Страница 19 из 22
4. В зарубежной литературе подчеркивается, что в эпоху «больших данных» информация может либо представлять ценность для обработки, либо быть анонимной, но одновременно и тем, и другим она не может быть никогда66. Чем больше степень обезличивания данных, тем меньше ценность таких данных для анализа. Таким образом, в новых технологических реалиях обезличивание данных уже не может выполнять функцию эффективного средства защиты персональных данных и в более глобальном смысле – в частной жизни граждан. Рост производительности и доступности вычислительных мощностей, а также огромный массив доступной в сети «Интернет» личной информации обусловливают техническую возможность деанонимизации даже тщательно обезличенных данных с учетом того, что любые обезличенные данные всегда имеют какой-либо атрибут, относящийся к личности.
В этой связи новое европейское законодательство пошло по пути дифференциации понятий псевдоанонимизации данных и анонимизированных данных. Псевдоанонимизация представляет собой способ обработки персональных данных, в результате которого становится невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту, при условии, что такая дополнительная информация хранится отдельно и в отношении ее принимаются организационные и технические меры, обеспечивающие ее неиспользование для соотнесения с определенным или определяемым лицом (ст. 4 (5) Регламента 2016 г.). Анонимизированность данных предполагает такую степень обезличенности данных, при которой последние не относятся к определенному или определяемому лицу. Такие данные не являются персональными и не подпадают под действие законодательства о персональных данных. При разграничении указанных понятий принимается во внимание наличие возможности осуществления их деобезличивания разумными средствами оператором или иным лицом. При этом принимаются во внимание материальные и временные затраты, которые оператор должен понести для этого, а также уровень развития технологий на момент совершения процесса обработки (п. 26 Преамбулы Регламента 2016 г.).
Таким образом, обезличенные (псевдоанонимизированные – по терминологии Регламента 2016 г.) данные по новому европейскому законодательству по общему правилу рассматриваются в качестве персональных данных, а сами действия по обезличиванию − как одно из средств защиты персональных данных, при обработке которых в ряде случаев действуют некоторые послабления67.
Понятия информационной системы персональных данных и базы данных
1. Понятие информационной системы персональных данных по сути является воспроизведением понятия информационной системы, которое содержится в Законе об информации, с одним уточнением − указанием на особый характер обрабатываемой в ней информации в виде персональных данных. Согласно п. 3 ст. 2 Закона об информации под информационной системой понимается совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств. Таким образом, в соответствии с данной трактовкой рассматриваемого понятия информационная система персональных данных имеет место только при автоматизированной обработке, в отличие от прежней дефиниции этого понятия, которое охватывало и обработку данных без использования средств автоматизации.
2. База данных является всего лишь одним из элементов информационной системы наряду с техническими средствами и иными информационными технологиями, используемыми при обработке информации. Данное разграничение особенно важно с учетом требования о локализации отдельных процессов обработки персональных данных (ч. 5 ст. 18 Закона о персональных данных), которое предусматривает обязанность нахождения на территории Российской Федерации именно базы данных, а не всей информационной системы персональных данных. Понятие «информационная система персональных данных» используется для «обслуживания» вопросов, связанных с информационной безопасностью – при формулировании организационных и технических мер по обеспечению безопасности персональных данных в ходе их обработки в информационных системах персональных данных и уровней защищенности таких данных (см. ст. 19 Закона о персональных данных и комментарий к ней).
3. Ни Закон о персональных данных, ни Закон об информации не содержат определения базы данных, в связи с чем следует обратиться к дефиниции базы данных, используемой в гражданском законодательстве. В соответствии с п. 2 ст. 1260 ГК РФ базой данных является представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ). Стоит отметить, что отдельные представители Роскомнадзора дают более широкое толкование понятия «база данных», понимая под ней «упорядоченный массив данных, независимый от вида материального носителя информации, и используемых средств его обработки (архивы, картотеки, электронные базы данных)». Так, например, базой данных, по их мнению, «можно считать таблицу в форматах Excel или Word, в которой содержатся персональные данные граждан»68. Данный подход объясняется представителями Роскомнадзора тем, что «в законодательстве Российской Федерации существует много понятий баз данных, тем не менее все они сводятся к одному общему значению, которое и приведено выше». Оставляя в стороне весьма спорное заявление о наличии множества понятий баз данных в российском законодательстве, обратим внимание на тот факт, что предлагаемое представителями Роскомнадзора понятие «база данных» дословно совпадает с дефиницией, которая содержится в Модельном законе СНГ «О персональных данных» 1999 г.69 Данный документ хотя и можно рассматривать в качестве авторитетного источника, но формально он не имеет юридической силы и не может выступать в качестве акта, регулирующего «в рамках СНГ международные отношения в сфере защиты прав субъектов персональных данных»70.
Понятие трансграничной передачи персональных данных
1. Трансграничная передача персональных данных представляет собой отдельный вид обработки таких данных, заключающийся в передаче их «на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу». Ранее содержавшееся в указанной дефиниции указание на пересечение Государственной границы Российской Федерации было удалено как не соответствующее реалиям информационных процессов, происходящих в сети «Интернет», которая в силу своего трансграничного, децентрализованного и виртуального характера не позволяет четко обозначить географические границы определенной деятельности. В европейском законодательстве используется несколько иное, чуть более широкое понимание трансграничной передачи данных – как действий по передаче данных на территорию третьих стран (не являющихся членами Европейского Союза) или международных организаций (ст. 25 (1) Директивы 1995 г.; ст. 45 (1) Регламента 2016 г.). При этом национальная принадлежность получателя таких данных в третьей стране не имеет значения.
2. Квалифицирующими признаками трансграничной передачи персональных данных по российскому праву являются факты попадания персональных данных:
1) на территорию иностранного государства;
2) под контроль иностранного лица и
3) в результате целенаправленной деятельности оператора.
Указанные признаки позволяют выделить основной критерий трансграничной передачи данных: результатом такой передачи является попадание персональных данных под юрисдикцию другого государства с одновременным выбытием из-под юрисдикции Российской Федерации. Таким образом, если оператор − российское юридическое лицо передает персональные данные в свое представительство, находящееся за рубежом, то трансграничной передачи нет, поскольку данные не передаются иностранному лицу, а передаются самому себе (отсутствует признак 2). По этой же причине не будет трансграничной передачи данных в ситуациях, когда сотрудник организации едет в зарубежную командировку с ноутбуком, на котором записаны персональные данные иных лиц.
66
Ohm P. Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization // UCLA Law Review No. 57. 2010. P. 1704.
67
См. п. 26 Преамбулы к Регламенту 2016 г.
68
См.: Комментарий к Федеральному закону от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях». C. 10.
69
Принят в г. Санкт-Петербурге на 14-ом пленарном заседании Межпарламентской ассамблеи государств − участников СНГ Постановлением от 16 октября 1999 г. № 14-19.
70
Иная позиция у представителей Роскомнадзора. См.: Федеральный закон «О персональных данных»: Научно-практический комментарий / Под ред. зам. руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой. М., 2015. С. 25.