Когда обезличенные данные перестают быть персональными?
Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных. Согласно европейскому законодательству обезличенные данные персональными не являются, но только в том случае, если после обезличивания действительно нет возможности определить их принадлежность. Определить идентифицируемость субъекта по конкретным данным бывает непросто. В ряде случаев здесь приходится полагаться на субъективные мнения.
Эта статья, также как и предыдущие, опирается на европейское законодательство и продолжает рубрику "Как решаются вопросы персональных данных в цивилизованных странах".
Согласно европейским директивам персональные данные - это любая информация, относящая к определенному или определяемому (идентифицируемому) на основании данной информации человеку. При этом для идентификации субъекта (установления того, к кому информация относится) оператором ПДн или любым другим человеком могут использоваться любые оправданные средства. "Оправданные" означает, что даже если у кого-то имеется потенциальная возможность идентифицировать субъекта по имеющимся данным, но однако маловероятно, что данная возможность будет использована (например, это неоправданно дорого или технически очень сложно реализуемо), то субъект признается неидентифицируемым по имеющимся данным, а эти данные не признаются персональными.
Из этого определения следует то, что один и тот же набор данных, обрабатываемый одной организацией, может рассматриваться как персональные данные, поскольку у этой организации есть возможность соотнести его с конкретным субъектом, но при передаче этих данных другой организации, у которой нет возможности идентифицировать субъекта, которому эти данные принадлежат, они перестают быть персональными данными.
Примером могут служить данные, собираемые во время переписи населения. Для Росстата, обрабатывающего и хранящего анкеты граждан, эти данные являются персональными, даже если они разнесены по разным базам данных, каждая из которых по-отдельности не позволяет идентифицировать субъекта. В то же время, когда эти данные передаются в исследовательские центры (при этом из них убирается информация, позволяющая идентифицировать субъекта, такая как ФИО и домашние адреса), эти данные перестают быть персональными, т.к. у ученых, производящих их обработку, нет возможности идентифицировать субъектов без помощи Росстата. Конечно, это будет так только при том условии, что в Росстате обеспечивается надежная защита этих данных и их утечка является маловероятной. Отсюда еще один вывод: возможность отнесения обезличенных данных к персональным зависит от степени защиты идентификационной информации, обеспечиваемой первичным оператором ПДн. Следовательно возможность отнесения данных к персональным зависит также и от времени, поскольку с течением времени условия функционирования ИСПДн могут изменяться, могут появляться новые угрозы и уязвимости и принимаемых защитных мер уже может оказаться недостаточно для обеспечения надлежащего уровня защиты. В этом случае обезличенные ранее данные, уже некорректно будет относить к обезличенным и они снова станут персональными.
Таким образом, возможность отнесения данных к обезличенным также зависит от нашей субъективной оценки уровня защищенности первичной идентификационной информации или от вероятности успешного восстановления такой информации, если она была уничтожена.
персональные данные
Персональные данные, даже обезличенные, являются персональными при любом раскладе. Невозможность по ним идентифицировать субъекта не снижает их персональность. Глупо говорить что обезличенный номер телефона ничейный, если он выдан конкретному человеку.