Персональные данные по GDPR. Читаем закон

в 11:03, , рубрики: gdpr, заблуждения, Законодательство в IT, законодательство и ИТ, персональные данные, хранение данных

Я долгое время читал интерпретации регламента GDPR. Почему-то я был уверен, что из-за сильно сложного юридического языка читать оригинальный регламент я не смогу. Что люди, умнее меня, давно все прочитали и сделали выжимки. Но, начитавшись этих «выжимок», я набросал в свою голову столько хлама, что стало тошно. Продолжая читать такие тексты, я, вместо того, чтобы хоть что-то понять, переставал понимать вообще, о чем идет речь. Особенно много разногласий в вопросе, что считать персональными данными в рамках GDPR. Тут кто на что горазд. У кого-то X (подставить IP, IDFA, Google Advertising ID, email, etc.) — персональные данные, у кого-то нет.

Каково же было мое удивление, когда я понял, что регламент этот написан вполне себе человеческим языком, и что в нем противоречий и возможных разночтений на порядок меньше, чем о нем принято говорить.

В этой статье я попытаюсь сфокусироваться только на том, что считать персональными данными по GDPR. Конечно же это еще одна интерпретация, причем человека, далекого от законотворчества (работаю техническим директором в маленькой российской компании). Но попытка не пытка. Возможно, статья подтолкнет вас прочитать закон.

Читать рекомендую тут: gdpr-info.eu. Это не оригинал, но там читать намного удобней.

Определение персональных данных

Art. 4 (1):

‘personal data’ means (1) any information relating to (2) an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as (3) a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person

Что из этого можно понять:

  1. Персональными данными являются вообще любые данные (1), которые можно связать с физическим лицом. Нет смысла рассуждать, являются ли отдельно взятые данные персональными или нет. Если все данные, имеющиеся у вас на пользователя, можно связать с физическим лицом, то все они — персональные данные. Списки заказов, устройств, покупок, заметки, комментарии, адреса, в общем, все то, что пользователь может оставить у вас, пользуясь вашим продуктом — потенциально персональные данные.
  2. Данные могут быть уже прямо связаны с физическим лицом (“an identified natural person”), т.е. явно прописаны, чьи они (скажем, к ним привязаны ФИО, год рождения), или их можно потенциально связать (“an identifiable natural person”) посредством доступных способов (подробнее об этом ниже).
  3. Идентификаторы пользователей, такие как логины, IDFA и AAID, какие-то идентификаторы в куках, уникальные номера в системе — могут быть у вас в системе ссылками на какие-то физические лица. Однако, эти идентификаторы (а также все связанные с ними данные) становятся персональными (и подпадают под GDPR) только тогда, когда физические лица, представленные этими идентификаторами, могут быть потенциально идентифицированы в реальном мире (“an identifiable natural person”).

Что такое «identifiable»

Выдержка из Recital 26:

To determine whether a natural person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by another person to identify the natural person directly or indirectly. To ascertain whether means are reasonably likely to be used to identify the natural person, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration the available technology at the time of the processing and technological developments.

Это о том, что под понятием “an identifiable natural person” нужно понимать физическое лицо, которые можно определить любыми доступными вам способами с разумной вероятностью и с разумными тратами ресурсов. «Разумность» вы оцениваете сами и готовитесь оспаривать в суде, если вдруг придется.

Recital 30:

Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them.

Это снова про то, что, собирая много разных данных про пользователя, мы в конечном итоге можем идентифицировать физическое лицо в реальном мире. И тогда все, что мы собрали, становится персональными данными.

Анонимные данные

Еще одна выдержка из Recital 26:

The principles of data protection should therefore not apply to anonymous information, namely information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable.

Итак, если по имеющимся у вас данным нельзя идентифицировать физическое лицо (в разумных пределах, см. выше), то все данные на пользователя вашей системы являются анонимными и не подпадают под действие GDPR.

Вместо заключения

Часто можно встретить вопросы типа «Является ли IP-адрес пользователя персональными данными?» Если вы вдруг ловите себя на мысли, что задаетесь таким или похожими вопросами, то скорее всего вы не понимаете, что такое персональные данные в рамках GDPR.

В отрыве от контекста такой вопрос не имеет смысла. Давайте разберем случай с IP-адресами. Тут два аспекта.

Во-первых, IP-адрес можно рассматривать просто как часть данных, которые вы собираете на пользователя. Если можно потенциально определить реальное физическое лицо, которое стоит за этим пользователем (не через этот IP-адреса, в вообще, используя все доступные средства и данные), то все данные, которые вы собрали (и IP-адрес среди них) — персональные данные.

Во-вторых, IP-адрес можно рассматривать как данные, с помощью которых можно определить физическое лицо. Тут все зависит от того, что еще вы собираете, кроме IP-адреса. Если вы запомнили только IP-адрес посетителя кафе, который воспользовался общей точкой доступа в интернет, то вряд ли этот адрес можно рассматривать как персональные данные (за IP-адреса в логах сильно не переживайте). Но если вы, помимо IP-адреса, собираете еще что-то, что, вместе с этим IP-адресом, сделает возможным идентификацию конкретного посетителя, например, время и частоту посещения кафе и/или заказы посетителей, то все, что вы собрали (и IP-адрес тоже) — персональные данные.

Автор: snaky

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js