Страница 3 из 22
Содержание данных, пожалуй, самый очевидный из этих трех элементов, так как оно раскрывает информацию о субъекте. Это могут быть его медицинская карта, реквизиты из договора или трудовая книжка. Такая информация, по своей сути, относится к конкретному лицу.
Рассматривая задачи, можно обнаружить, что данные, которые никак не попадают в категорию персональных данных, – например, детализация корпоративных звонков – могут все же являться таковыми, если используются для наблюдения за действиями сотрудника. В этом случае Группа рассматривала такие данные, как персональные данные, относящиеся к сотруднику, делающему звонки, и к лицу, которому звонил данный сотрудник. И наконец, рассматривая интерпретацию результатов, можно утверждать, что даже данные, которые не относятся к определенному лицу,т. е. без элемента «содержание», и которые не используются для получения информации об определенном лице,т. е. даже без элемента «задачи», все равно могут являться персональными данными, затрагивающими права и интересы человека. Например, спутниковая система навигации, которая используется исключительно в целях обеспечения эффективности работы диспетчерской службы такси или службы доставки, может содержать персональные данные, так как данные о местонахождении потенциально могут быть использованы для мониторинга за поведением и передвижением водителей.
Группой, по-видимому, было оставлено пространство для маневров при рассмотрении того, что может являться персональными данными, чтобы со временем сузить или расширить это понятие.
Также требует освещения вопрос, рассмотренный Группой в анализе, касающийся требования идентификации субъекта данных. С этой точки зрения наблюдается единая позиция большинства стран. Ни один из законов не требует, чтобы лицо действительно было идентифицировано. Они либо оставляют такую возможность, используя термин identifiable (поддающийся идентификации), или конкретизируют, что данные являются персональными данными, если по ним можно идентифицировать субъекта персональных данных, либо с их помощью субъект персональных данных поддается идентификации. Таким образом, даже малейшая возможность идентификации лица может быть достаточной для того, чтобы отнести данные к персональным данным.
В то же время ни один из этих законов не требует, чтобы субъекта персональных данных можно было напрямую идентифицировать по этим данным. И хотя почти половина официальных определений персональных данных ничего не говорят на этот счет, многие все же констатируют, что возможность даже косвенной идентификации субъекта является достаточной для того, чтобы их защищать. Это, по сути, означает, что данные, находящиеся в чьем-либо распоряжении, даже если они никого не идентифицируют, подлежат обращению как с персональными данными ровно до тех пор, пока они в сочетании с другой доступной информацией могут использоваться для идентификации их субъекта. Стоит понимать, что определение того, насколько субъект персональных данных поддается идентификации, может сильно зависеть от текущих обстоятельств, и то, что не поддается идентификации сегодня, может ей поддаваться уже через несколько лет, что, в свою очередь, может перевести такие данные в категорию персональных данных.
В качестве примера, предложенного Группой, приводится газетная статья о преступлении, в которой раскрываются определенные подробности преступления, но не называется ничьих имен. Поскольку имеется общедоступная информация – будь то информация из судебных протоколов или статьи из других газет, – имеется возможность установить личности задействованных лиц. Таким образом, по мнению Группы, даже если статья не указывает данные участников, все равно будет считаться, что в ней содержатся персональные данные.
1.1.3. Субъекты отношений в области обеспечения конфиденциальности персональных данных
Пункт (а) ст. 2 Директивы 95/46/ЕС о защите физических лиц при обработке персональных данных и о свободном перемещении таких данных определяет субъекта данных как лицо, которое может быть определено (прямо или косвенно, в частности, через идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности). Как отмечалось выше, проект Регламента дополняет это определение, конкретизируя перечень идентификаторов, дополнив его именем субъекта персональных данных, сведениями о месте его нахождения и онлайн-идентификаторами (id). В российском законе данный термин поясняется косвенно через определение персональных данных.
Проектом Директивы устанавливаются различия между субъектами данных. Отдельными категориями выделяются подозреваемые в подготовке или совершении уголовного преступления, лица, осужденные за уголовные преступления, жертвы и потенциальные жертвы уголовного преступления, третьи стороны по уголовным преступлениям (свидетели и лица, которые могут представить информацию по правонарушению), а также лица, которых нельзя отнести ни к одной из перечисленных выше категорий.
Права субъекта персональных данных обеспечиваются предоставлением ему юридической возможности контролировать обращение со своими данными. Очевидно, что права субъекта данных корреспондируют обязанностям и ответственности операторов и обработчиков, поэтому будут рассмотрены совместно.
Пункт (d) ст. 2 Директивы 95/46/ЕС о защите физических лиц при обработке персональных данных и о свободном перемещении таких данных определяет оператора данных как физическое или юридическое лицо, государственный орган, агентство или любой другой орган, который самостоятельно или совместно с другими определяет цели и способы обработки персональных данных; когда цели и способы обработки определены законодательством или подзаконными актами на национальном уровне или уровне ЕС, оператор или конкретные критерии его назначения могут быть установлены национальным законодательством или законодательством ЕС.
Пункт (е) ст. 2 Директивы 95/46/ЕС о защите физических лиц при обработке персональных данных и о свободном перемещении таких данных устанавливает, что «обработчик» означает физическое или юридическое лицо, государственный орган, агентство или любой другой орган, который обрабатывает персональные данные от имени оператора.
Пункт (g) ст. 2 Директивы 95/46/ЕС закрепляет, что под получателем персональных данных следует понимать физическое или юридическое лицо, государственный орган, агентство или любой другой орган, являющийся или не являющийся третьим лицом, которому раскрывают данные; несмотря на это, органы власти, которые могут получать данные в рамках частного запроса, не рассматриваются как получатели.
Пункт (g) ст. 2 Директивы 95/46/ЕС определяет «третье лицо» как физическое или юридическое лицо, государственный орган, агентство или любой другой орган, который не является субъектом данных, оператором, обработчиком и лицом, управомоченным обрабатывать данные под прямым руководством оператора или обработчика.
Права субъекта данных, обязанности оператора и обработчика
Статья 17 Директивы 95/46/ЕС устанавливает, что оператор должен осуществлять надлежащие технические и организационные меры для защиты персональных данных от случайного или неправомерного разрушения либо случайной потери, изменения, несанкционированного раскрытия или доступа, в частности, когда обработка включает передачу данных по сети, и от всех иных неправомерных форм обработки.
Пункт 2 ст. 17 Директивы 95/46/ЕС устанавливает, что оператор должен, когда обработка осуществляется от его имени, выбирать обработчика, предоставляющего достаточные гарантии в отношении мер технической безопасности и организационных мер, регулирующих осуществляемую обработку, и должен обеспечить соблюдение этих мер.
Проект Регламента предусматривает получение персональных данных не только от субъекта персональных данных, право на доступ субъекта к собранным персональным данным, право субъекта на исправление и удаление его персональных данных. Проект Регламента устанавливает, что оператор обработки данных обязан стереть персональные данные без неоправданной задержки. Проект Регламента также устанавливает право на мобильность персональных данных.