Руководство по GDPR

Мария Беляева

В 2018 году Евросоюзом принят законодательный акт, определяющий права граждан и иных субъектов данных при обработке их персональных данных.В руководстве приведены принципы и критерии европейского законодательства по защите данных, механизмы применения норм права, надзор за соблюдением прав субъектов, а также сравнение законодательных практик ЕС и РФ в области защиты данных, рабочие кейсы, выводы и решения надзорных органов ЕС, Суда Европейского Союза и Европейского суда по правам человека.

Глава 2

Европейский Союз: основные аспекты концепции персональных данных, механизмы анонимизации, псевдонимизации и аутентификации.

Специальные категории персональных данных, персональные данные в контексте правонарушений и приговоров судов.

Концепция обработки данных, автоматизированная и ручная обработка персональных данных.

Контроллеры и совместные контроллеры, процессоры, взаимодействие контроллер — процессор, получатели и третьи лица, согласие.

Законодательство ЕС и РФ в области защиты данных.

В соответствии с законодательством ЕС и Совета Европы, персональные данные определяются как информация, относящаяся к идентифицированному или идентифицируемому физическому лицу. Это относится к информации о лице, чья личность либо идентифицирована, либо может быть установлена посредством дополнительной информации. Для определения является ли физическое лицо идентифицируемым, контроллер или другое лицо должны принять во внимание все разумные меры, которые могут быть использованы для прямой или косвенной идентификации личности (например, дополнительные атрибуты данных, позволяющие отличить одного субъекта от другого).

Основные аспекты концепции персональных данных

Субъект данных

В контексте Общего регламента по защите данных к персональным данным относится любая информация, относящаяся к идентифицированному или идентифицируемому лицу. В соответствии с законодательством ЕС физические лица (субъекты данных) являются единственными владельцем своих данных в контексте права на защиту данных. Действие Общего регламента по защите данных распространяется на субъектов данных в ЕС и не применяется к защите персональных данных умерших лиц.

Закон Совета Европы в части Модернизированной Конвенции 108 также регламентирует защиту физических лиц в отношении обработки их персональных данных. Терминология законодательства о защите данных, в части правовых систем ЕС, идентична.

Юридические лица имеют право на защиту данных. Европейский суд по правам человека принимает заявления от юридических лиц касательно нарушений их прав на защиту данных в соответствии со статьей 8 Европейской конвенции по правам человека.

В Пояснительном докладе к Модернизированной Конвенции 108 отмечается, что национальное законодательство может применяться для защиты законных интересов юридических лиц. Общий регламент по защите данных ЕС 2016/679 не распространяется на обработку данных юридических лиц, включая форму собственности и названия, а также контактных данных такого субъекта. Тем не менее Директива о конфиденциальности и электронных коммуникациях защищает конфиденциальность сообщений и законные интересы юридических лиц в отношении автоматизированной обработки и хранения данных субъектов.

Данные

Любые данные считаются персональными при условии, что они относятся к идентифицированному или идентифицируемому лицу. Персональные данные включают информацию, относящуюся к личной, профессиональной и общественной жизни субъекта данных.

Например, оценочный лист работника, хранящийся в его личном деле, представляет собой персональные данные работника. Мнение руководителя, зафиксированное в данном оценочном листе, будет считаться косвенной информацией о субъекте, а значит данные, такие как «лояльность работника» и факты, которые можно отнести к субъекту «работник отсутствовал 2 недели в течение года», будут считаться персональными данными работника.

Европейский суд по правам человека интерпретирует термин «персональные данные» как не ограничивающиеся вопросами личности субъекта, поскольку разделение вопросов частной и профессиональной жизни не всегда возможно. Данная интерпретация применяется и в Общем регламенте по защите данных.

Согласно законодательству ЕС и Совета Европы, информация содержит данные о субъекте, в случае если:

— лицо идентифицировано или может быть идентифицировано с помощью этой информации;

— субъект данных хотя и не идентифицирован, но может быть идентифицирован при последующей обработке.

Европейский суд по правам человека неоднократно заявлял, что понятие «персональные данные» в Европейской конвенции по правам человека идентично понятию в Модернизированной Конвенции 108, особенно в отношении идентифицированного или идентифицируемого лица.

В Общем регламенте по защите данных указано, что физическое лицо может быть идентифицировано в случае, если субъекта «можно идентифицировать прямо или косвенно, в частности, с помощью таких атрибутов, как имя, идентификационный номер, данные о местоположении, сетевой идентификатор (IP — адрес), по каждому из факторов или в совокупности, специфичных для физической, физиологической, генетической, психической, экономической, культурной или социальной идентичности субъекта». Имя субъекта данных является ярким примером такого описания и может непосредственно идентифицировать субъекта в связке с дополнительным атрибутом данных.

В некоторых случаях атрибуты, аналогичные имени, косвенно могут идентифицировать субъекта данных. Номер телефона, номер карточки социального страхования и регистрационный номер транспортного средства — все это примеры информации, которая может сделать субъект идентифицируемым. Также могут быть использованы и иные атрибуты, такие как — файлы персонального компьютера, файлы cookie и инструменты наблюдения за веб-трафиком для выделения субъектов путем определения их поведения и привычек. По мнению Рабочей группы по ст. 29 Общего регламента по защите данных, «без запроса имени и адреса лица его можно классифицировать на основе социально-экономических, психологических, философских или иных критериев и атрибутов». Определение персональных данных как в Совете Европы, так и в Европейском Союзе достаточно широкое и охватывает различные степени идентификации.

Так как многие имена не являются уникальными, в целях установления личности человека могут потребоваться другие атрибуты для гарантии точной идентификации субъекта. Иногда прямые и косвенные атрибуты могут быть объединены, чтобы провести точную идентификацию, например, дата и место рождения. Кроме того, в некоторых странах на государственном уровне введены персонализированные номера (аналог серии и номера паспорта гражданина РФ) для отождествления физических лиц. Переданные налоговые данные, данные на получение вида на жительство, сведения в административных документах, банковские данные и информация о здоровье могут быть отнесены к персональным данным. Биометрические данные, такие как отпечатки пальцев, цифровые отпечатки или радужная оболочка глаз, данные о местоположении и онлайн-атрибуты все чаще используются для идентификации субъектов в цифровом пространстве.

Для применения Общего регламента по защите данных не требуется фактической идентификации субъекта данных, достаточно, чтобы субъект был потенциально идентифицируемым. Субъект считается потенциально идентифицируемым, если имеется достаточно атрибутов данных, с помощью которых его можно прямо или косвенно идентифицировать. Согласно разделам 2 и 3 Общего регламента по защите данных все идентифицируемые данные, хранящиеся у обработчика, должны быть доступны субъекту данных, равно как и все сведения об обработке, включая третьих лиц, которым такие данные доступны.

Например, местный орган власти собирает данные об автомобилях на улицах города. По его указанию происходит автоматическая фотофиксация времени и местоположения автотранспортного средства с целью оформления штрафов, в случаях выявления нарушений. Субъект данных подает жалобу, заявляя, что местный орган власти не имеет правовых оснований в соответствии с законодательством о защите данных. Местный орган власти утверждает, что не осуществляет сбор персональных данных, поскольку номерные знаки автомашин обрабатываются без других идентификаторов и орган власти не имеет доступа к реестру полиции для идентификации субъекта.

Данное утверждение не соответствует требованиям Общего регламента по защите данных. Принимая во внимание, что цель сбора данных состоит в конечной идентификации субъекта для наложения штрафных санкций, можно сделать вывод, что субъект данных будет идентифицирован. Следовательно, будет произведена обработка персональных данных в реестрах полиции. Общий регламент по защите данных предусматривает дополнительных получателей данных, кроме непосредственного обработчика, которые могут предпринять попытку идентификации личности. В данном контексте действия местных властей равносильны сбору данных об идентифицируемых лицах и требуют наличия правовой основы в соответствии с законодательством о защите данных.

Для определения критериев вероятности идентификации субъекта следует учитывать все объективные факторы, такие как стоимость и время, затраченное на идентификацию, а также принять во внимание физические и программные возможности.

В соответствии с законодательством Совета Европы, Пояснительный доклад к Модернизированной Конвенции 108 содержит следующую формулировку понятия «идентификация»: понятие «идентифицируемый» относится не только к гражданской или юридической идентичности человека как таковой, но и к тому, что может позволить «определить личность субъекта» средствами обработки и, как следствие, подвергнуть классификации. Такое «определение субъекта» может быть осуществлено с помощью доступа к его (ее) электронным устройствам или комбинации таких устройств (стационарные или мобильные гаджеты, камеры, игровые устройства и т. д.), а также с использованием идентификационного псевдонима (логина), биометрических или генетических данных, данных о местонахождении, IP-адреса или иного идентификатора. Субъект данных не будет считаться потенциально «идентифицируемым», если для его/ее идентификации требуется неоправданное количество времени, денег или иных ресурсов. Оправданность ресурсных затрат должна оцениваться в каждом индивидуальном случае с учетом следующих факторов: цели обработки данных, стоимости и преимущества идентификации данных, типа контроллера и используемых средства, а также технологий обработки.

Законодательство о защите данных не регулирует формы содержания или хранения персональных данных. Например, это могут быть устные сообщения, телевизионное или кабельное изображение (включая звук), информация в электронном виде, генетические материалы, ДНК (дезоксирибонуклеиновая кислота) и иные атрибуты данных.

Анонимизация

Согласно принципу минимизации в контексте ограничения объемов и сроков хранения данных, изложенному как в Общем регламенте по защите данных, так и в Модернизированной Конвенции 108, данные должны храниться «в форме, которая позволяет идентифицировать субъект данных не дольше, чем это необходимо для целей обработки персональных данных». В соответствии с этим принципом данные должны быть уничтожены или обезличены после достижения целей обработки.

Процесс обезличивания данных означает, что все идентифицируемые элементы исключаются из набора персональных данных, так чтобы субъекта данных невозможно было идентифицировать. В своем мнении Рабочая группа по статье 29 анализирует эффективность и границы применения различных методов обезличивания данных. Оптимальное решение принимается в каждом индивидуальном случае. Независимо от выбранного метода обезличивание должно быть необратимым, чтобы по оставшимся атрибутам нельзя было идентифицировать данных субъекта. Риск повторной идентификации обезличенных субъектов необходимо рассматривать с учетом критериев: время, усилия, затраты и использование технологических ресурсов.

После процедуры обезличивания данных они перестают относиться к персональным данным и действие Общего регламента по защите данных на них более не распространяется.

Регламент предусматривает, что физическое или юридическое лицо, не обязано проводить обработку дополнительных данных для идентификации субъекта после процедуры обезличивания. Но в случае повторно проводимых операций, например, осуществление права доступа, исправления, удаления, ограничения обработки и операций по переносу данных, когда субъект данных предоставляет дополнительную информацию и совокупность атрибутов для идентификации, такой набор данных становится персональными данными.

Псевдонимизация

К персональной информации относятся следующие атрибуты: имя, дата рождения, пол, адрес и другие элементы, по совокупности которых вас могут идентифицировать. Процесс псевдонимизации личных данных означает, что идентифицируемые атрибуты заменяются псевдонимами.

Законодательство ЕС толкует псевдонимизацию как «обработку персональных данных таким образом, при котором персональные данные больше не могут быть соотнесены с конкретными субъектами данных без использования дополнительных атрибутов данных, при условии, что такие атрибуты хранятся отдельно и защищены организационными и техническими мерами от возможной попытки идентификации субъекта».

В отличие от обезличенных данных псевдонимизированные данные по-прежнему относятся к персональным данным, которые подпадают под юрисдикцию Общего регламента по защите данных.

Общий регламент по защите данных признает различные виды использования псевдонима в качестве соответствующей технической меры для усиления защиты данных и специально упоминается при проектировании систем защиты данных и при определении средств обработки с использованием механизмов защиты по умолчанию (by design and by default).

Псевдонимизация прямо не упоминается в правовых определениях Модернизированной Конвенции 108. Тем не менее в Пояснительном докладе Модернизированной Конвенции 108 указано, что «использование псевдонима или любого цифрового идентификатора не приводит к обезличиванию данных, так как субъект все еще может быть идентифицирован и выделен как субъект данных».

Один из способов псевдонимизации данных — шифрование. После того как данным был присвоен псевдоним, расшифровка данных возможна только при наличии ключа дешифрования. Без такого ключа идентификация крайне затруднительна. Однако для владельцев такого ключа, повторная идентификация не составит сложности. Несанкционированное использование ключей дешифрования представляет риск для обработки персональных данных. Таким образом, «псевдонимированные данные должны рассматриваться как персональные данные», подпадающие под юрисдикцию Модернизированной Конвенции 108.

Аутентификация

Данная процедура предназначена для подтверждения соотношения субъекта данных с определенной личностью, или с выполнением определенных действий, таких как: вход в зону безопасности или снятие денег с банковской карты. Аутентификация может быть достигнута путем сравнения биометрических данных, таких как фотография или отпечатки пальцев в удостоверении личности с данными устанавливаемого лица. Например, путем запроса информации, которая должна быть известна только лицу с определенной личностью или посредством авторизации с использованием персонального идентификационного номера (ПИН). Так же может быть предъявлен определенный токен, который должен находиться исключительно у лица с определенной идентификационной информацией или авторизацией, такой как специальная чип-карта или ключ от сейфа. Электронная подпись также является средством идентификации и аутентификации субъекта в электронных сообщениях.

Специальные категории персональных данных

Обе правовые системы Европы предусматривают специальные категории персональных данных, обработка которых несет дополнительный риск для субъектов данных, и соответственно, такие категории нуждаются в усиленной защите. Данные из таких категорий обрабатываются по принципу «запрещено все, что не разрешено» и в строго ограниченных законом целях.

Согласно статье 6 Модернизированной Конвенции 108 и статье 9 Общего регламента по защите данных, специальными считаются следующие категории данных:

— персональные данные, раскрывающие расовое и этническое происхождение;

— персональные данные, раскрывающие политические взгляды, религиозные или иные убеждения, в том числе философские;

— персональные данные членов профсоюзов;

— генетические и биометрические данные человека, обрабатываемые с целью его идентификации;

— персональные данные о здоровье, сексуальной жизни или сексуальной ориентации.

Персональные данные в контексте правонарушений и приговоров судов

Под юрисдикцию Модернизированной Конвенции 108 подпадают персональные данные, относящиеся к преступлениям, уголовными разбирательствам и приговорам суда. К таким данным применяются соответствующие меры защиты, и они отнесены к специальным категориям персональных данных. В рамках Общего регламента по защите данных такие данные не выделены в специальную категорию, но рассматриваются в отдельной статье.

Статья 10 Общего регламента по защите данных указывает, что обработка таких данных может осуществляться только «под контролем официальных властей или в случае, когда такая обработка разрешена законодательством ЕС или государства Евросоюза, и предусматривает надлежащие гарантии прав и свобод субъекта данных».

В ЕС обработка личных данных в контексте правоприменения регулируется специальным правовым документом — Директивой 2016/680/EC. Директива устанавливает правила защиты данных, которые являются обязательными для компетентных органов при обработке персональных данных в контексте предотвращения, расследования, выявления и преследования по уголовным преступлениям.

Концепция обработки данных

Конец ознакомительного фрагмента.