С развитием сети Интернет неизбежно возник вопрос идентификации пользователя. Особенно важным это стало с активизацией интернет-торговли.
Возьмем, например, интернет-магазин. Пользователь выбирает товар и переходит к сервису покупки. В этот момент с точки зрения права он подтверждает согласие на покупку товара на тех условиях, которые указаны на сайте интернет-магазина. Кликая на кнопку «купить» или аналогичную кнопку пользователь становится «покупателем», т.е. стороной сделки купли-продажи товара. А сторона сделки должна быть идентифицирована, иначе сделка не будет считаться законной.
Простыми словами персональные данные – это данные, которые позволяют идентифицировать человека. Причем информация может являться персональными данными даже если для идентификации лица одной ее недостаточно.
Классическое определение: Персональные данные – любые сведения, относящиеся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных), которые предоставляются другому физическому или юридическому лицу либо лицам.
С появлением рынка лидогенерации персональные данные сами по себе стали товаром, и это вызвало необходимость более тщательной защиты права человека на приватность.
Единого полного списка категорий персональных данных не существует, так как с изменением технологий появляются новые виды персональных данных.
Но есть особо важные категории персональных данных – в европейской правовой традиции их принято называть «чувствительными», в российской – «специальными» и «биометрическими».
Согласно Федеральному закону РФ «О персональных данных» (ФЗ-152) под специальной категорией персональных данных понимаются данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Биометрические персональные данные – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (отпечаток сетчатки или пальца, рост, вес, фото и т.д.).
Эти категории важно определять при установлении уровня защиты персональных данных по требованиям, к примеру, российской ФСТЭК, т.к. чем «важнее» данные, тем больше требуется технических, правовых и организационных средств для их защиты.
Отдельно хочу упомянуть относительно новые персональные данные, которые собираются автоматически - IP-адрес, данные о местоположении, поведение в интернете (файлы cookie), данные профилирования и аналитики. Это довольно своеобразная категория персональных данных – предварительное согласие на их сбор от пользователя получить невозможно, т.к. они запрашиваются автоматически, что диктует необходимость отдельного регламентирования порядка их сбора.
Информация о юридических лицах (фирмах), государственных органах, международных организациях не является персональными данными.
Таким образом, в контексте интернет-ресурсов персональные данные – это информация о пользователе, которая собирается автоматически (cookie, ip и т.д.), а также формами регистрации и дополнительными данными в личном кабинете.
При этом, с точки зрения закона неважно – являются ли эти данные обязательными для заполнения или нет, так как сама возможность их сбора требует применения максимальных средств защиты.
Тема персональных данных очень обширна, и мы еще поговорим подробнее о нюансах по законодательству РФ и Европы в следующих статьях.
Напоминаю: Если у вас есть конкретные вопросы в сфере IT-права - пишите в ЛС в тг-канале t.me/it_law_is_simple. По мере возможности буду на них отвечать.