Персональные данные с точки зрения GDPR

Персональные данные в рамках GDPR

Пользуясь услугами различных компаний и сервисов, вы оставляете им свои персональные данные. Это могут быть имя, фамилия, адрес, история покупок, номер телефона и многое другое.

Даже форма ушей может считаться персональными данными. Строение уха уникально, и при наличии специальных навыков и соответствующих технологий по нему вас можно идентифицировать не хуже, чем по отпечаткам пальцев или сетчатке глаза.

Владельцем (субъектом) персональных данных может быть физическое лицо, но никак не юридическое. Иначе говоря, компании и учреждения субъектами персональных данных не являются.

Обработка персональных данных

Обработка персональных данных — это любые действия, которые совершаются с персональными данными, независимо от того, выполняются они автоматизированными системами или нет.

Обработкой могут быть различные действия с персональными данными — сбор, запись, организация, хранение, адаптация, изменение, поиск, использование, раскрытие, распространение, удаление и так далее.

По сути, если вам просто стали известны чьи-то персональные данные — их обработка уже началась.

Какие персональные данные регулирует GDPR

И тут может возникнуть следующий вопрос. Предположим, субъект живет в Берлине, и это все, что о нем известно. Население столицы Германии — 3,7 миллиона человек, и если мы знаем о субъекте лишь то, что он — берлинец, мы никак не можем использовать эту информацию. Тем более ему во вред. Регулирует ли GDPR подобные персональные данные?

В этом случае в свои права вступает одно из ключевых понятий регламента — идентификация. То есть установление личности по имеющимся данным.

С точки зрения GDPR владелец персональных данных — это идентифицированное или идентифицируемое лицо. Иначе говоря, его личность установлена либо есть возможность её установить. Если по имеющимся данным личность человека установить нельзя, то под действие GDPR данный субъект не попадает.

Пример

Вы привязываете к сайту авиакомпании номер мобильного телефона и адрес электронной почты. По этим данным вас можно идентифицировать, а значит, вы оставляете компании свои персональные данные.

Но если же вы принимаете участие в анонимном опросе авиакомпании и указываете только город своего жительства, то с точки зрения GDPR вы своих данных не оставляете.

Прямая и косвенная идентификация

Идентификация может быть прямой и косвенной.

Прямая идентификация позволяет сразу установить личность человека, дополнительных сведений не требуется. Например, ФИО, номер телефона или адрес электронной почты — это прямые идентификаторы. Обладая такими данными о вас, кто угодно сможет установить вашу личность.

При косвенной идентификации личность можно установить, если известны и другие персональные данные. Так, должность человека — это косвенный идентификатор. Если кто-то узнал лишь вашу должность, он не сможет установить вашу личность. Но если помимо должности ему станут известны, например, ваше место работы и имя, то вас смогут идентифицировать.

Можно ли получить персональные данные без ведома субъекта?

Да, можно. Некоторые компании при обработке данных могут получать больше информации о вас, чем вы изначально даёте. Для этого используется, например, профилирование.

Профилирование — это любая форма автоматизированной обработки персональных данных, которая проводится для оценки индивидуальных аспектов личности. Профилирование помогает предсказывать или анализировать работоспособность человека, его материальное положение, здоровье, личные предпочтения, интересы, поведение, местоположение или передвижение.

Например, вы недавно искали в интернете информацию о стоимости роликовых коньков — и теперь их реклама постоянно попадается вам на глаза. Всё это происходит потому, что по вашим поисковым запросам организации могут создавать персональную (профилированную) рекламу. Вас классифицируют по различным группам или секторам и создают профиль, основываясь на вашем поведении в Сети.

Профилирование является легальным только в том случае, когда субъект предупреждён о нём. Именно поэтому на всех сайтах, создающих куки-файлы, всплывает надоедливое предупреждение об их использовании

Специальные категории данных

Среди персональных данных выделяются специальные их категории, которые требуют особой осторожности и внимания при обработке.

К специальным категориям данных относятся:

  • религиозные и философские убеждения;

  • генетические данные;

  • членство в профсоюзных организациях;

  • политическое мировоззрение;

  • биометрические данные;

  • медицинские записи;

  • расовое и этническое происхождение;

  • сведения, касающиеся сексуальной жизни или ориентации.

В каких случаях можно обрабатывать специальные категории данных

Для обработки специальных категорий данных существует ряд особых требований. Такие данные могут обрабатываться только в определенных случаях.

  1. Данные требуются для найма на работу, поддержания общественной безопасности и защиты закона.
    Например, вы передаёте информацию о том, что у вас есть аллергия, при устройстве на работу в собачий питомник. Или же вы вынуждены предоставить в правоохранительные органы справку о присутствии на рабочем месте, в то время как преступление происходило в другом районе города.
  2. Данные нужны для защиты здоровья, медицинской деятельности и оценки работоспособности.
    Новому врачу может понадобиться предшествующая история болезни для постановки диагноза. А если вы устраиваетесь работать тренером, то придётся предоставить данные о вашей физической подготовке.
  3. Данные требуются для судебного процесса.
    Например, вы прикладываете данные, чтобы обосновать судебный иск. Или, напротив, с помощью таких данных вы можете доказывать в суде свою невиновность.
  4. Данные собираются в целях проведения общественно значимых статистических, исторических и культурных исследований.
    К примеру, проводится перепись населения или исследуется масштаб распространения опасной инфекции на территории страны.
  5. Субъект дал явное согласие на обработку данных или данные опубликованы самим субъектом.
    Например, вы подписываете согласие на обработку персональных данных, оформляя абонемент в фитнес-клуб. Либо вы решили опубликовать в соцсетях результаты своего генетического теста.

Зачем нужно защищать персональные данные?

История с «Альфа-Банком»

В феврале 2019 года в сеть попало фото клиента российского «Альфа-Банка». На снимке клиент открыто держал паспорт в руках. Дело в том, что, привозя клиенту свежевыпущенную банковскую карту, курьеры банка обязаны фотографировать клиентов с паспортом для подтверждения верности вручения. Проблема в том, что потом они отправляли особо смешные фото в свой неформальный чат.

Всё обнаружилось, когда одна из сотрудниц «Альфа-Банка» уволилась и перешла на работу в другой банк. Но она осталась в чате курьеров и увидела там фото очередного «смешного» клиента с паспортом в руках (точнее, смешным был фон — клиент снялся на фоне ассортимента секс-шопа, где он работал).

Девушка показала снимок своему коллеге, который оказался знаком с парнем. В качестве шутки (прямо скажем, плохой) он выложил фото с неприятной подписью в сториз Instagram.

В итоге «Альфа-Банк» уволил нескольких сотрудников, причём они больше не смогут работать в финансовых организациях. Пострадавший клиент в качестве компенсации получил iPhone XS и возврат годовой комиссии за обслуживание карты.

Как вообще могло произойти, что посторонние люди получили доступ к фотографии паспорта клиента? Это результат халатности в обращении с персональными данными клиентов. Поэтому такие законы, как GDPR, жизненно необходимы.

А есть ли персональные данные, на которые не распространяется действие GDPR?

GDPR не действует в отношении анонимных персональных данных — это данные, по которым нельзя идентифицировать личность. Например, вы проходите анонимный онлайн-опрос о ваших потребительских предпочтениях и заполняете поля «пол и возраст». При анонимизации данные очищаются от любой информации, которая может идентифицировать личность.

Кстати, не стоит путать анонимизацию с псевдонимизацией. Псевдонимизация — это обработка персональных данных таким образом, что по ним нельзя идентифицировать человека без использования дополнительной информации, которая хранится отдельно. Но на данные после псевдонимизации GDPR действует.

Где можно почитать дополнительную информацию

Полное определение персональных данных, а также всех форм их обработки вы можете прочитать в статье 4 GDPR.

Подробнее о специальных категориях данных — в статье 9 GDPR.

Вывод

  • Персональные данные позволяют вас идентифицировать и получить о вас огромное количество информации, поэтому относиться к ним необходимо ответственно.

Поделитесь этой статьёй
персональные данныеGDPRзаконодательство