По мере развития интернет-технологий вопрос о защите персональных данных, в том числе в облачных хранилищах, перешел в разряд крайне важных. Персональные данные, исходя из законодательства РФ, это информация, прямо либо косвенно касающаяся физлица – субъекта ПДн.
Как определить – персональные ли данные?
Уточняя определение, Роскомнадзор заявляет, что допустимый минимум ПДн, по которому можно идентифицировать личность, не установлен. Огромное число правовых актов международного значения, а также принятых в Российской Федерации федеральных законов, кодексов и правительственных актов предполагают отличающееся количество перечней для запрашиваемой и собираемой персональной информации.
Так как из этого следует вывод, что нет однозначного понимания, при каких обстоятельствах данные являются персональными, а когда – нет. В сложившейся ситуации можно исходить из того, что если установить конкретного человека, субъекта ПДн, без привлечения сопутствующей информации (помимо собранной) нельзя, то полученные данные нельзя отнести к персональными. При этом совокупность данных, которой достаточно для того, чтобы идентифицировать физическое лицо, принято считать персональной информацией.
Зачем нужен «идентификатор»?
Роскомнадзор определил, что идентификатор – это сведения, позволяющие точно указать на конкретного носителя ПДн. Идентификационные номера присваиваются всем гражданам без исключения и включают паспортные и биометрические данные, ИНН, СНИЛС, номера карт и лицевых счетов в банке.
Также российский регулятор указывает на существование персональных данных, дающих возможность вероятного совпадения. В их число попали ФИО, дата рождения, адрес прописки, должность или иная информация, позволяющая выделить физическое лицо из массы. В судах, при этом полагают, что по отдельности вся эта информация не может рассматриваться как ПДн.
Какое отношение cookie имеют в ПДн?
Роскомнадзор полагает, что куки и цифровые следы в интернете несут в себе определенный риск. Это связано с тем, что cookies передаются в аналитические службы Яндекс.Метрики, Google Analytics. Собирается информация об ОС, часовом поясе, языке, пользователь работает в браузере. Для сборщиков сведений важно располагать знать глубину цвета, разрешение экрана, поддержку JavaScript, тип соединения при передаче информации, размер окна в браузере.
Совокупность обработанных аналитиками данных, касательно поведения и предпочтений пользователей, позволяет определить человека в реальной жизни. Поэтому при обработке файлов требуется получить разрешение пользователя на обработку ПДн.
Чтобы получить разрешение, необходимо не просто проинформировать пользователя. Он должен выразить свое согласие, кликнув на галку в договоре об обработке ПДн.
GDRP – регламент Европы для работы с ПДн
Вот уже три года действует европейский регламент, упорядочивающий обработку персональных данных (2018). Исходя из преамбулы закона, под определение персональных данных подпадают интернет-идентификаторы, способные служить «ключами» при поиске конкретных физических лиц. К ним относятся IP-адреса, идентификаторы куков, метки, цифровые следы, а также предпочтения пользователя в вопросе выбора сайтов.
Несмотря на обширные перечни и обилие законодательных и регламентирующих работу с персональными данными документов, однозначного определения ПДн до сих пор не существует. Аспекты включения той или иной информации в понятие персональных данных зависят исключительно от контекста и контента.
