Страница 10 из 22
Директива 1995 г. прямо называет в числе своих целей не только защиту права на неприкосновенность частной жизни, но и обеспечение свободного движения данных. Именно соображениями необходимости гармонизации законодательств стран − членов ЕС в области защиты персональных данных для целей построения единого европейского рынка и было во многом обусловлено ее принятие34. Аналогичные соображения лежали и в основе принятия Регламента 2016 г., направленного не на гармонизацию, а на унификацию законодательства в указанной сфере. Это лишний раз подтверждает тот факт, что законодательство о персональных данных нельзя рассматривать в отрыве от экономической составляющей, которая присутствовала с самого момента его становления. Как указал Европейский Суд Справедливости, «право на защиту персональных данных не является абсолютным правом и должно рассматриваться в контексте выполняемых им функций в обществе»35.
7. Реализуя одну из своих основных целей – защиту права на неприкосновенность частной жизни, личную и семейную тайну, – законодательство о защите персональных данных имеет своей задачей минимизацию ряда рисков, связанных с ненадлежащей и (или) недобросовестной обработкой персональных данных, как то:
1) дискриминация субъекта персональных данных;
2) мошенничество («кража личности» − identity theft);
3) причинение вреда жизни и здоровью субъекта персональных данных в результате получения злоумышленниками данных о его местонахождении, иной информации, которая может способствовать совершению насильственных действий в отношении данного лица;
4) моральный дискомфорт, который возникает от ощущения постоянной «слежки» и является причиной самоцензуры лица.
При этом для применимости законодательства о персональных данных не требуется, чтобы данные последствия фактически наступили, достаточно лишь гипотетической возможности их наступления. Средствами решения указанных задач являются принципы обработки персональных данных (в частности принципы минимизации обрабатываемых данных, ограничения процессов обработки заявленной целью, недопустимости совместной обработки данных, собранных с несовместимыми целями, и пр.; см. об этом ст. 5 Закона о персональных данных и комментарий к ней); нормы о запрете на принятие юридически значимых решений в отношении субъектов персональных данных исключительно автоматизированными способами (ст. 16); возложение на операторов обязанностей по принятию организационных и технических мер по защите персональных данных (ст. 19) и ряд других.
Статья 3. Основные понятия, используемые в настоящем федеральном законе
В целях настоящего Федерального закона используются следующие основные понятия:
1) персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2) оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3) обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
4) автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
5) распространение персональных данных– действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
6) предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
7) блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
8) уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
9) обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
10) информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
11) трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1. Понятие персональных данных. Понятие персональных данных является наиболее фундаментальным для всего законодательства в указанной сфере, поскольку именно квалификация информации в качестве персональных данных выступает своего рода «спусковым механизмом», приводящим его в действие.
До 1 сентября 2011 г. под персональными данными понималась «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация»36. Новая дефиниция расширила понятие персональных данных за счет (1) добавления возможности косвенной идентификации лица; (2) удаления словосочетания «на основе такой информации», что обусловило необходимость принятия во внимание не только данного конкретного массива данных для решения вопроса об их квалификации как персональных, но и иной информации; (3) удаления «приблизительного» перечня персональных данных. Тем самым новое понятие персональных данных, используемое в комментируемой статье, было приведено в соответствие с положениями Конвенции 1981 г., согласно ст. 2 (а) которой термин «персональные данные» означает любую информацию об определенном или поддающемся определению физическом лице («субъект данных»).
Таким образом, дефиниция данного понятия, выступающая предметом довольно острой критики в силу ее недостаточной определенности, является не изобретением российского законодателя, а следствием имплементации в российское право положений международного договора. Схожая дефиниция персональных данных содержится и в европейском праве. Так, в Директиве 1995 г. персональные данные означают «любую информацию, связанную с определенным или определяемым физическим лицом («субъектом данных»); лицо признается определяемым, если оно может быть определено прямо или косвенно, в частности, посредством ссылки на его идентификационный номер либо один или несколько факторов, характерных для его физической или физиологической, ментальной, экономической культурной или социальной идентичности» (ст. 2 (а)). Данная дефиниция была уточнена в ст. 4 (1) Регламента 2016 г. за счет дополнительной конкретизации возможных видов идентификаторов физического лица: «персональные данные означают любую информацию, связанную с определенным или определяемым физическим лицом («субъектом данных»); лицо признается определяемым, если оно может быть определено прямо или косвенно, в частности, посредством ссылки на идентификаторы, такие как его имя, идентификационный номер, данные о местоположении, онлайн-идентификатор (курсив мой. – А.С.). либо один или несколько факторов, характерных для его физической или физиологической, ментальной, экономической культурной или социальной идентичности». Таким образом, файлы cookie, являющиеся онлайн-идентификатором, и геолокационные данные прямо отнесены Регламентом 2016 г. к числу персональных данных.
34
Orla Lynskey. The Foundations of EU Data Protection Law. 2015. Oxford University Press. P. 47 ff. При этом подготовительные материалы свидетельствуют о намерении Европейской Комиссии использовать данное законодательство для стимулирования развития европейской IT-индустрии. См.: Bygrave A. Data Privacy Law: An International Perspective. Oxford: University Press. 2014. P. 125.
35
Volker und Markus Schecke GbR and Hartmut Eifert v. Land Hessen. ECJ, Joined Cases C-92/09 and C-93/09. 9 November 2010.
36
Федеральный закон от 25 июля 2011 г. № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных»».