Мария Беляева - Руководство по GDPR

Взаимодействие с другими правами и законными интересами:

Взаимодействие с другими правами и законными интересами в Российской Федерации реализовано на уровне Конституции РФ, нормативно-правовых актов федерального значения и решений судов. Критерии таких взаимодействий основываются на решении органов власти и судебных решениях, выносимых в строгом соответствии с законом и внутренним убеждением судьи (п. 3, статьи 8 главы 3 Кодекса судейской этики).

Европейский Союз: основные аспекты концепции персональных данных, механизмы анонимизации, псевдонимизации и аутентификации.

Специальные категории персональных данных, персональные данные в контексте правонарушений и приговоров судов.

Концепция обработки данных, автоматизированная и ручная обработка персональных данных.

Контроллеры и совместные контроллеры, процессоры, взаимодействие контроллер – процессор, получатели и третьи лица, согласие.

Законодательство ЕС и РФ в области защиты данных.

В соответствии с законодательством ЕС и Совета Европы, персональные данные определяются как информация, относящаяся к идентифицированному или идентифицируемому физическому лицу. Это относится к информации о лице, чья личность либо идентифицирована, либо может быть установлена посредством дополнительной информации. Для определения является ли физическое лицо идентифицируемым, контроллер или другое лицо должны принять во внимание все разумные меры, которые могут быть использованы для прямой или косвенной идентификации личности (например, дополнительные атрибуты данных, позволяющие отличить одного субъекта от другого).

Субъект данных

В контексте Общего регламента по защите данных к персональным данным относится любая информация, относящаяся к идентифицированному или идентифицируемому лицу. В соответствии с законодательством ЕС физические лица (субъекты данных) являются единственными владельцем своих данных в контексте права на защиту данных. Действие Общего регламента по защите данных распространяется на субъектов данных в ЕС и не применяется к защите персональных данных умерших лиц.

Закон Совета Европы в части Модернизированной Конвенции 108 также регламентирует защиту физических лиц в отношении обработки их персональных данных. Терминология законодательства о защите данных, в части правовых систем ЕС, идентична.

Юридические лица имеют право на защиту данных. Европейский суд по правам человека принимает заявления от юридических лиц касательно нарушений их прав на защиту данных в соответствии со статьей 8 Европейской конвенции по правам человека.

В Пояснительном докладе к Модернизированной Конвенции 108 отмечается, что национальное законодательство может применяться для защиты законных интересов юридических лиц. Общий регламент по защите данных ЕС 2016/679 не распространяется на обработку данных юридических лиц, включая форму собственности и названия, а также контактных данных такого субъекта. Тем не менее Директива о конфиденциальности и электронных коммуникациях защищает конфиденциальность сообщений и законные интересы юридических лиц в отношении автоматизированной обработки и хранения данных субъектов.

Данные

Любые данные считаются персональными при условии, что они относятся к идентифицированному или идентифицируемому лицу. Персональные данные включают информацию, относящуюся к личной, профессиональной и общественной жизни субъекта данных.

Например, оценочный лист работника, хранящийся в его личном деле, представляет собой персональные данные работника. Мнение руководителя, зафиксированное в данном оценочном листе, будет считаться косвенной информацией о субъекте, а значит данные, такие как «лояльность работника» и факты, которые можно отнести к субъекту «работник отсутствовал 2 недели в течение года», будут считаться персональными данными работника.

Европейский суд по правам человека интерпретирует термин «персональные данные» как не ограничивающиеся вопросами личности субъекта, поскольку разделение вопросов частной и профессиональной жизни не всегда возможно. Данная интерпретация применяется и в Общем регламенте по защите данных.

Согласно законодательству ЕС и Совета Европы, информация содержит данные о субъекте, в случае если:

– лицо идентифицировано или может быть идентифицировано с помощью этой информации;

– субъект данных хотя и не идентифицирован, но может быть идентифицирован при последующей обработке.

Европейский суд по правам человека неоднократно заявлял, что понятие «персональные данные» в Европейской конвенции по правам человека идентично понятию в Модернизированной Конвенции 108, особенно в отношении идентифицированного или идентифицируемого лица.

В Общем регламенте по защите данных указано, что физическое лицо может быть идентифицировано в случае, если субъекта «можно идентифицировать прямо или косвенно, в частности, с помощью таких атрибутов, как имя, идентификационный номер, данные о местоположении, сетевой идентификатор (IP – адрес), по каждому из факторов или в совокупности, специфичных для физической, физиологической, генетической, психической, экономической, культурной или социальной идентичности субъекта». Имя субъекта данных является ярким примером такого описания и может непосредственно идентифицировать субъекта в связке с дополнительным атрибутом данных.

В некоторых случаях атрибуты, аналогичные имени, косвенно могут идентифицировать субъекта данных. Номер телефона, номер карточки социального страхования и регистрационный номер транспортного средства – все это примеры информации, которая может сделать субъект идентифицируемым. Также могут быть использованы и иные атрибуты, такие как – файлы персонального компьютера, файлы cookie и инструменты наблюдения за веб-трафиком для выделения субъектов путем определения их поведения и привычек. По мнению Рабочей группы по ст. 29 Общего регламента по защите данных, «без запроса имени и адреса лица его можно классифицировать на основе социально-экономических, психологических, философских или иных критериев и атрибутов». Определение персональных данных как в Совете Европы, так и в Европейском Союзе достаточно широкое и охватывает различные степени идентификации.

Так как многие имена не являются уникальными, в целях установления личности человека могут потребоваться другие атрибуты для гарантии точной идентификации субъекта. Иногда прямые и косвенные атрибуты могут быть объединены, чтобы провести точную идентификацию, например, дата и место рождения. Кроме того, в некоторых странах на государственном уровне введены персонализированные номера (аналог серии и номера паспорта гражданина РФ) для отождествления физических лиц. Переданные налоговые данные, данные на получение вида на жительство, сведения в административных документах, банковские данные и информация о здоровье могут быть отнесены к персональным данным. Биометрические данные, такие как отпечатки пальцев, цифровые отпечатки или радужная оболочка глаз, данные о местоположении и онлайн-атрибуты все чаще используются для идентификации субъектов в цифровом пространстве.