travkin333 (travkin333) wrote,
travkin333
travkin333

Category:

Дефиниции. Персональные данные

Дефиниции. Персональные данные

Евродиректива
определяет основное понятие, связанное с персональными данными:

«персональные данные» означают любую информацию, связанную с идентифицированным или идентифицируемым физическим лицом (“субъектом данных”); идентифицируемым лицом является лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификационный номер или на один или несколько факторов, специфичных для его физической, психологической, ментальной, экономической, культурной или социальной идентичности;

В этом определение особо значимыми являются несколько моментов.

Под персональными данными понимается любая информация, относящаяся к физическому лицу (субъекту персональных данных). Это означает, что персональные данные охватывают не только традиционные, «чувственным образом» понимаемые данные (имя, адрес, номер телефона, место работы и пр.), но и те данные, которые фиксируют внешние особенности субъекта
персональных данных, зафиксированные факты, касающиеся его связи с внешним миром и т.д. Более того, к персональным данным относятся также мнения о данном человеке, объективные или субъективные, если они зафиксированы и соотнесены с данным человеком.

Последняя категория данных имеет большое значение, поскольку мнение может быть «исчисляемо» и, как следствие, непосредственно применяемо к субъекту персональных данных, а качество этого мнения может существенно повлиять на состояние прав субъекта персональных данных. Можно привести два характерных примера:

-   бюро кредитных историй во всем мире на основании данных, характеризующих надежность гражданина на рынке потребительского кредита (его кредитной истории), с помощью определенных математических механизмов вычисляют его кредитный рейтинг или «скоринг». Эта удобная в использовании численная характеристика чаще всего является основой решения кредитодателя при предоставлении или непредоставлении кредита субъекту кредитной истории. При этом очевидно, что «мнение» о субъекте кредитной истории (субъекте персональных данных), исчисленное бюро кредитных историй, является, по определению, персональными данными[1] и качество этого мнения может оказать существенное влияние на репутацию гражданина, как участника рынка потребительского кредита[2];

-   в последнее время среди работодателей набирает силу «мода» на использование объективной оценки деятельности сотрудников, которая с помощью определенных математических механизмов рассчитывается на основании различных показателей, в том числе взаимных оценок работниками в рамках трудового коллектива. Очевидно, что это «исчисленное» мнение, являющее персональными данными, критически важно для работника, поскольку от его качества зависит, подчас, размер большей части выплачиваемого ему денежного вознаграждения[3].

Определение содержит принципиально важное положение о том, что персональная информация признается таковой не только по отношению к лицу, заведомо связанному с этой информацией, т.е. идентификация которого по отношению к ней очевидна или состоялась, но и информация, которая может быть соотнесена с неким лицом.

Это положение пояснено в преамбуле к Евродирективе:

«(…) Принципы защиты должны применяться к любой информации, касающейся идентифицированного или идентифицируемого лица; (…) для определения того, является ли лицо идентифицируемым, следует принимать в расчет все средства, в равной мере могущие быть реально использованными либо контролером, либо любым иным лицом для идентификации указанного лица;»

Другими словами, если существует реальная возможность соотнесения неких данных с неким лицом с помощью обозримых средств, то эти данные являются персональными данными этого лица. Примером могут служить (уникальные!) адреса электронной почты, заимствованные в Интернете. Эти адреса могут быть с привлечением конечных по объему и обозримых средств и усилий идентифицированы с их владельцами, что делает их персональными данными вне зависимости от того, известны заранее или нет тем, кто их зафиксировал, владельцы этих адресов электронной почты. И обратно, некие данные, соотнесение которых с определенным лицом объективно невозможно (например, абстрактной формулы ДНК), не могут расцениваться как персональные.

Важно также и то, что данные, сделанные обезличенными, т.е. несоотносимыми с конкретным лицом с применением обозримых средств, персональными данными не признаются. Примером может быть (физическое) уничтожение признаков идентификации (конкретных ссылок на лица) без возможности восстановить эту идентификацию при обработке, скажем, статистических или научных данных.

Кроме этого, определение содержит важное для правоприменения понятие идентификационного номера, что означает правовую фиксацию этого номера или некоего иного уникального кода, присвоенного идентифицируемому лицу. Это является важным и с точки зрения отношения к любым «численным» или «исчисляемым» характеристикам, таким как биометрический код.

 

В Евроконвенции предложена укороченная формула определения персональных данных[4]:

“персональные данные” означают любую информацию, касающуюся определенного или поддающегося определению лица (“субъект данных”)

Несмотря на лаконичность формулы, она поглощает все те нюансы, которые были обсуждены выше. Кроме этого, в Пояснительной записке к тексту Евроконвенции содержится стандартное пояснение относительно возможной идентификации субъекта персональных данных.

 

Статья 3 российского Закона определяет персональные данные как:

персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

Даже поверхностного взгляда на предложенную законодателем формулу достаточно, чтобы понять отличие этой формулы от международного стандарта. А отличия эти не только существенные, но способны кардинальным образом повлиять на правоприменительную практику.

В первую очередь, законодатель постарался пояснить, какая информация может рассматриваться как персональные данные и, несмотря на основное свойство – любая информация – предложил логический рядфамилия, имя, отчество, год, месяц, дата и место рождения, адрес места жительства и т.д. – который любой желающий может самостоятельно продолжить.

Стремление дать пояснение основному понятию можно было бы поддержать, если бы не одно существенное обстоятельство. Нужно обратить внимание на термин, использованный в международных стандартах – любая информация относящаяся к нему (имеющая отношение к человеку, затрагивающая его (интересы), relating), а не только та, которая его непосредственно характеризует (свойство предложенного логического ряда).

Это означает, что, например, персональными данными являются (в соответствии с мировым стандартом):

-   вмятина на крыле автомобиля. Эта информация характеризует не субъекта персональных данных, а его автомобиль и становится существенными персональными данными владельца в момент, когда владелец обращается к страховщику с предложением застраховать автомобиль;

-   следы от клопов на стенах спальни или наличие тараканов на кухне. Сведения об этих фактах не являются «персональными данными» спальни или кухни, а суть персональные данные владельца и могут повлиять, скажем, на условия его договора о найме квартиры;

-   IP-адрес компьютера. Эта характеристика не является «персональными данными» компьютера, а суть характеристика его владельца (адрес его «виртуальной личности», соотносимость которой с «реальной личностью» может быть установлена обозримыми средствами).

Этот ряд примеров можно продолжать до бесконечности. Другими словами, основным свойством персональных данных является несомненная соотносимость их с субъектом (гражданином), а чувствительность данных, в свою очередь и при определенных обстоятельствах, может повлиять на его интересы (права и свободы).

Предложенный в законопроекте логический ряд не охватывает (и принципиально не может охватить) всего многообразия сведений, которые, несомненно, должны быть отнесены к персональным данным, что следует из приведенных примеров.

В свою очередь, вольное или невольное сужение сферы применения Закона приводит к несоответствию концепции российского Закона концепции Евроконвенции.

Вторым важнейшим свойством предложенной Законом формулы является характеристика персональных данных как сведений, которые позволяют идентифицировать их субъекта.

Прежде всего, предложение использовать некие персональные данные (в частности, из предложенного законодателем логического ряда) для идентификации их субъекта и на этом de facto строить правовую систему принципиально неверно. Гарантированная идентификация человека возможна только на основании тех данных, которые однозначно характеризуют его, как биологический объект (биометрические данные), при условии, что существует механизм сравнения этих данных с данными, принадлежащими другим лицам (прежде всего – соответствующая база данных, содержащая эти биометрические данные). В качестве подобных данных, уникальность которых установлена опытным путем (т.е. на основании проверки практикой гипотезы об их уникальности), можно назвать отпечатки пальцев, генетические данные и т.п. Остальные категории персональных данных заведомо не позволяют на практике произвести однозначную идентификацию, т.е. выполнить требование, установленное рассматриваемой формулой.

Наконец, также абсурдна идея составления на основании комплекса этих данных некоего «информационного генома», исчерпывающе характеризующего его субъекта (или утилитарно служащего для его идентификации).

Насколько предложенная законодателем «игра слов» опасна с точки зрения правоприменения, можно показать на следующем примере[5].

На сайте ОАО "Владимирские коммунальные системы" www.erkc.-vladimir.ru были размещены данные о злостных неплательщиках[6]. Многие граждане посчитали это нарушением конституционных прав граждан. Прокуратура отреагировала на жалобы граждан.

"Прокуратурой города Владимира рассмотрено Ваше обращение на действия ОП "Единый расчетно-кассовый центр" ОАО "Владимирские коммунальные системы" при размещении информации о злостных неплательщиках на Интернет-сайте.

В ходе проверки дан анализ представленным организацией сведениям, нормам действующего законодательства.

В силу статей 23, 24 Конституции РФ каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

Отношения, возникающие при формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации, регулируются ФЗ "Об информации, информатизации и защите информации" от 20.02.1995 № 24-ФЗ[7].

Понятие "персональные данные" содержится в статье 2 названного закона, согласно которой "информация о гражданах (персональные данные) сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность.

Согласно статье 11 Закона, перечни персональных данных, получаемых и распространяемых, в том числе негосударственными организациями, должны быть закреплены на уровне федерального закона.

На федеральном уровне до настоящего времени специальный закон "Об информации персонального характера" не принят[8].

Институт персональных данных в российском законодательстве формируется за счет норм об информации определенного вида, содержащихся в различных федеральных законах. Объем сведений, позволяющих идентифицировать лицо[9], определяется в них по-разному.

В соответствии со статьей 12 ФЗ "Об актах гражданского состояния", персональными данными, не подлежащими разглашению являются сведения, ставшие известными работнику органа записи гражданского состояния в связи с государственной регистрацией акта гражданского состояния.

В соответствии с Указом Президента РФ от 06.03.1997 № 188, указанные сведения относятся к категории персональных данных только в том случае, если позволяют идентифицировать личность гражданина.

Состав таких сведений определен статьей 47 ГК РФ и специальными подзаконными актами, к таковым относится, прежде всего, постановление Правительства РФ от 31.10.1998 № 1274 и приказ Минюста РФ от 30.12.1999 № 194. Этими актами утверждены формы бланков, заполняемых гражданами в обязательном порядке при регистрации актов гражданского состояния.

Из содержания бланков можно получить сведения о полном имени гражданина, его национальности, точном месте жительстве, количестве детей, смерти или рождении родственников, вступлении в брак и т.д.

В соответствии со статьей 19 ГК РФ именем гражданина является фамилия, собственно имя и отчество. В соответствии со статьей 20 ГК РФ местом жительства признается место, где гражданин постоянно или преимущественно проживает.

Приведенные на сайте данные не в полной мере отражают персональные данные граждан.

Кроме того, содержащиеся в списке лица являются сторонами по договору оказания коммунальных услуг.

В соответствии со статьей 15 Конституции РФ граждане обязаны соблюдать законы. Согласно статьи 309 ГК РФ обязательства должны исполняться надлежащим образом. Гражданское законодательство не содержит запретов на предание гласности сведений об исполнении (неисполнении) договора одной из сторон. Федерального закона, причисляющего сведения об исполнении своих обязанностей по оплате коммунальных услуг к частной жизни граждан, в российском законодательстве не имеется.

В соответствии со статьей 17 ГК РФ гражданин несет обязанности. Истребование от должника долга не является причинением имущественного вреда. Пунктом 2 статьи 11 ФЗ "Об информации, информатизации и защите информации" установлено, что персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам.

Приведенное общее положение о порядке использования и распространения персональных данных, с учетом изложенных доводов, при наступлении последствий для гражданина подлежит доказыванию надлежащим образом исключительно в судебном порядке и только по заявлениям заинтересованных граждан. Оснований для прокурорского вмешательства в действия ОП ОАО "ВКС" "ЕРКЦ" не установлено".»

Если «убрать» из мотивировок прокуратуры ссылки на отмененные или недействующие нормативные документы (законы, указы) и применить новую российскую дефиницию, то формальное основание для отказа в прокурорском вмешательстве останется, что не только противоречит здравому смыслу, но и прямым образом нарушает права граждан.

Подводя черту под кратким анализом формулы, содержащейся в Законе, необходимо обозначить главный ее порок. Законодатель, вольно или невольно, ведет разговор о свойствах некой информации, которую правоприменитель (в широком смысле – каждый из нас), вправе истолковывать как персональные данные или неперсональные данные в соответствии с собственными представлениями об этом объекте. При этом критерий относимости этой информации к категории персональных данных, содержащийся в формуле Закона и предложенный правоприменителю, абсурден в принципе. Тем самым, создается ложное представление о самом предмете Закона (по крайней мере, в той степени, насколько он должен отвечать общепринятым в мире правовым стандартам) и создается основа для возможного умаления цели, декларируемой Законом (вслед за мировым стандартом):

Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Ставить достижение цели закона – обеспечение прав и свобод граждан – в зависимость от произвольного толкования основного объекта – персональных данных – категорически недопустимо.



[1] Несмотря на очевидность такого утверждения, оказывается необходимым время от времени ее доказывать. Так, во Франции один из финансовых институтов (банков) отказался предоставить клиенту доступ к его «кредитному скорингу» на том основании, что эта характеристика не является персональными данными. Уполномоченный орган по персональным данным вынес предписание предоставить эти данные клиенту, считая эти данные персональными, если они непосредственно связаны с клиентом. Суд подтвердил решение уполномоченного органа.

[2] И, кстати, не только на репутацию в данном случае. Например, в Соединенных Штатах надежность гражданина, как потребителя кредита, может повлиять на решение о принятии его на работу.

[3] Несмотря на очевидность такой квалификации оценки, в процессе правоприменения могут возникать определенные сложности. В 2004 году работник одного предприятия в Италии обратился с жалобой в уполномоченный орган по персональным данным. Причиной жалобы был отказ работодателя ознакомить работника с данными численной оценки его деловых качеств («скоринга»). Уполномоченный орган вынес решение об обязательности осведомления работника с этими данными. Однако суд первой инстанции, в который обратился работодатель, расценил решение уполномоченного органа как выходящее за рамки его компетенции, т.к., по уверению работодателя, процесс расчета «скоринга» не был завершен и, тем самым, этот «скоринг» не может рассматриваться в качестве персональных данных. Верховный Суд Италии отверг аргументы суда первой инстанции и подтвердил ранее принятое им в аналогичных случаях решение, согласно которому любая оценка, вне зависимости от степени ее «готовности» является персональными данными со всеми вытекающими правовыми последствиями.

[4] Здесь и далее положения Евроконвенции даны в официальном переводе, представленном Государственной Думе.

[5] Информационное агентство REGNUM, 18-05-2006

[6] Соответственно, идет разговор о «черных списках». Правовые основания явления под этим названием подробно рассмотрены в разделе «Правоприменение». В данном случае нам интересен подход правоприменителя с точки зрения интерпретации понятия «персональные данные».

[7] Отменен в связи с принятием Федерального закона «Об информации, информационных технологиях и защите информации»

[8] Федеральный закон «О персональных данных» принят летом 2006 года

[9] Здесь и далее выделено мною (Ю.Т.)

Subscribe

  • Про частную жизнь. Новая законодательная инициатива

    Ранее, рассматривая возможные подходы к решению «проблемы персональных данных», мы более-менее подробно коснулись и конституционных…

  • Поправки в ГК РФ

    За подписью Президента Российской Федерации в Государственную Думу были внесены поправки в ГК РФ (Гражданский кодекс). Предлагаю вашему…

  • Новый сайт-проект

    Предлагаем вашему вниманию новый проект, посвященный персональным данным - www.mpdata.ru. Это сугубо коммерческий проект, предназначенный для…

  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments