Страница 12 из 22
Ключевую роль в квалификации информации, дающей возможность косвенно определить физическое лицо, в качестве персональных данных играет анализ средств, которые позволяют это сделать. К сожалению, Закон о персональных данных не содержит никаких указаний на них, в этой связи целесообразно обратиться к положениям европейского права. В п. 26 Преамбулы Директивы 1995 г. указано, что «для определения того, является ли лицо идентифицируемым, следует принимать в расчет все средства, в равной мере могущие быть вероятно (likely) и разумно (reasonably) использованными либо оператором, либо любым иным лицом для идентификации указанного лица». Исходя из анализа этого положения можно сделать два основных вывода:
1) в качестве идентифицирующего лица может выступать любое лицо, а не только оператор, что расширяет понятие «персональные данные», поскольку не требуется концентрироваться исключительно на анализе возможностей отдельно взятого оператора;
2) в качестве критериев, которыми надо руководствоваться при анализе вероятности отнесения данных к личности субъекта таким «любым лицом», фигурируют (а) вероятность и (б) разумность их использования.
Вероятность использования данных должна оцениваться с учетом всех обстоятельств. К примеру, она гораздо выше у компаний, использующих продвинутые технологии анализа данных в своих бизнес-процессах (финансовые организации, организации связи, социальные сети, крупные онлайн-магазины и др.), чем у небольших организаций, которые не могут позволить себе использование таких технологий (риск-ориентированный подход в действии). Разумность по общему правилу должна предполагать возможность идентификации лица с привлечением правомерных средств, т.е., например, без взлома компьютерных систем или незаконного доступа к базам данных третьих лиц, в том числе государственных органов41.
Если у оператора есть два набора данных, каждый из которых не позволяет определить лицо, но в совокупности они могут это сделать, то каждый из таких наборов данных может быть квалифицирован как персональные данные, поскольку может рассматриваться в качестве информации, относящейся к косвенно определяемому лицу.
В этой связи возникает вопрос: следует ли при решении вопроса о квалификации данных в качестве персональных принимать во внимание массивы данных, находящиеся во владении у конкретного оператора, или же следует учитывать потенциальную возможность совместного использования их с информацией, находящейся во владении других операторов? Согласно позиции Суда ЕС данные о динамических IP-адресах, собранные онлайн-сервисом, являются персональными данными при одновременном выполнении следующих условий:
1) они могут идентифицировать конкретного субъекта в совокупности с данными, которые имеются у интернет-провайдера такого субъекта, и
2) у онлайн-сервиса есть потенциальный доступ к таким данным интернет-провайдера.
В рассматриваемом случае Суд счел, что такой доступ у онлайн-сервиса был, поскольку указанные сведения могли быть запрошены у интернет-провайдера при возникновении необходимости расследования неправомерных действий третьих лиц в отношении онлайн-сервиса, например, DDoS-атак42. Учитывая, что благодаря технологиям «больших данных» существует потенциальная возможность сотрудничества в сфере совместной обработки массивов данных, которые могут принадлежать различным операторам, данное решение выглядит вполне логичным. Однако не менее очевидно, что оно чрезмерно расширяет понятие персональных данных, увеличивая как издержки операторов, связанные с исполнением законодательства о персональных данных, так и риски принятия ими неправильных решений о статусе обрабатываемой информации.
г) Субъектами персональных данных могут выступать только физические лица. Контактные данные и реквизиты юридического лица, а также иные сведения, по которым можно его определить, не охватываются понятием персональных данных. Во многом это связано с тем, что основной вид персональных данных юридического лица – фирменное наименование – обладает защитой в рамках специального правового режима, а данные о представителях юридического лица – физических лицах охватываются общим правовым режимом законодательства о персональных данных. Кроме того, отнесение юридических лиц к числу субъектов персональных данных могло бы повлечь негативные последствия для коммерческого оборота как посредством создания дополнительных условий для недобросовестной конкуренции, так и вследствие дополнительных ограничений на трансграничный обмен информацией.
Персональными данными могут признаваться сведения не только о живом, но и об умершем физическом лице. Данный вывод следует из положений ст. 9 Закона о персональных данных, в которой говорится, что «в случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни». Материалы судебной практики демонстрируют актуальность вопроса об обеспечении надлежащей защиты персональных данных умерших лиц. В ряде случаев соответствующая организация на основании достигнутых с медицинскими учреждениями договоренностей на безвозмездную перевозку тел умерших получает приоритетный доступ к персональным данным умерших и их родственников, что дает ей возможность в первоочередном порядке предлагать свои услуги родственникам умерших. И хотя судами данная ситуация рассматривается преимущественно через призму законодательства о защите конкуренции (см. постановления Семнадцатого арбитражного апелляционного суда от 28 августа 2014 г. по делу № А50-2319/2014; ФАС Уральского округа от 26 марта 2013 г. по делу № А60-25035/2012; решения арбитражного суда Республики Бурятия от 29 декабря 2014 г. по делу № А10-4767/2014; арбитражного суда Свердловской области от 26 декабря 2013 г. по делу № А60-22167/2013), она неплохо иллюстрирует возможную ценность персональных данных умерших лиц и возможное их использование для вторжения в личную сферу родственников умершего и причинения им моральных страданий.
С учетом вышеизложенного, персональные данные можно разделить на три группы:
1) персональные данные, которые предоставляются самим субъектом (например, размещаются им в социальной сети);
2) персональные данные, которые появляются в процессе использования субъектом определенного сервиса (например, геолокационные данные или метаданные);
3) персональные данные, которые являются результатом анализа данных первых двух групп, в том числе посредством инструментов аналитики «больших данных», и представляют собой оценку субъекта персональных данных (например, его кредитный рейтинг)43.
3. Судебная практика по вопросам квалификации персональных данных не отличается единообразием. Многие суды исходят из основанного на устаревших нормативных актах узкого понимания понятия персональных данных как информации, которая позволяет однозначно идентифицировать лицо. В частности, они не признают персональными данными ИНН (Апелляционное определение Санкт-Петербургского городского суда от 3 февраля 2015 г. по делу № 2-3097/2014), СНИЛС (Решение Белоглинского районного суда Краснодарского края от 22 июня 2014 г. по делу № 2-300/2014 № 2-300/2014), номер паспорта (Определение Московского городского суда от 29 февраля 2012 г. № 33-6709; Постановление Тринадцатого арбитражного апелляционного суда от 21 июня 2010 г. по делу № А56-4788/2010), поскольку, по их мнению, на основании такой информации нельзя идентифицировать конкретное лицо.
В качестве яркой иллюстрации данной логики можно привести мотивировку одного из решений, в котором суд пришел к выводу об отсутствии нарушений Закона о персональных данных, «поскольку запрашиваемая сотрудниками банка информация в отношении В., высказывания работников ответчиков не содержат персонифицированных и детализированных данных, работниками ответчиков не назывались ни адрес места проживания лица, ни год, месяц, дата и место рождения, семейное, социальное, имущественное положение, образование, профессия, доходы, а также другая информация, по которой возможно идентифицировать конкретное лицо» (Апелляционное определение Московского городского суда от 28 января 2014 г. по делу № 33-5461).
41
См.: Bygrave A. Data Privacy Law: An International Perspective. Oxford: University Press, 2014. P. 132. См., также: Patrick Breyer v. Bundesrepublik Deutschland, ECJ, Case C-582/14. 19 October 2016.
42
Patrick Breyer v. Bundesrepublik Deutschland, ECJ, Case C-582/14. 19 October 2016. Следует отметить, что ранее Европейский Суд Справедливости уже указывал, что IP-адрес относится к персональным данным. См.: Scarlet Extended SA v. SABAM, ECJ, Case C 70/10. 24 November 2011.
43
Personal Data: The Emergence of a New Asset Class. World Economic Forum, January 2011. URL: https://www.weforum.org/reports/personal-data-emergence-new-asset-class; Recommendation 1/2001 on Employee Evaluation Data. Article 29 Data Protection Working Party. 22 March 2001.