Що таке персональні дані за GDPR?

Центральною категорією в General Data Protection Regulation (GDPR/Регламент) є поняття «персональні дані». Незважаючи на те, що ця категорія зустрічається на кожному кроці, аналіз звернень наших клієнтів дозволяє стверджувати, що її зміст не завжди тлумачиться вірно.

Новітні підходи європейського законодавця засвідчують, що поняттям «персональні дані» охоплюється значно більше відомостей, ніж може здатися спочатку.

Що таке персональні дані за GDPR?

«Персональні дані» – це будь-яка інформація, що стосується фізичної особи, яку ідентифіковано чи можна ідентифікувати.

Здавалося б, достатньо просте формулювання, тим не менш, його необхідно розглядати дуже уважно. WP29 для кращого розуміння пропонує поділяти визначення персональних даних на чотири змістовні блоки:

• «будь-яка інформація»;
• «що стосується»;
• «фізичної особи»;
• «ідентифіковано чи можна ідентифікувати».

Блок 1. «Будь-яка інформація»

Персональними даними можуть вважатися будь-які відомості про суб’єкта:

• об’єктивні (ім’я особи, номер телефону, адреса електронної пошти);
• суб’єктивні (суб’єктивні оцінки, думки стосовно конкретної особи).

На практиці суб’єктивні персональні дані активно використовуються у фінансовому секторі (наприклад, банк визначає рівень платоспроможності клієнта) або у трудових відносинах (оцінка ефективності роботи конкретного працівника (KPI).

Водночас необов’язково, щоб інформація була правдивою. Якщо у контролера даних є можливість ідентифікувати особу за відомостями, що не відповідають дійсності, вони все одно становлять персональні дані за GDPR.

Персональні дані можуть бути виражені у формі:

• літер (ім’я особи);
• чисел (ідентифікаційний код особи);
• графіки (малюнок (картина), що дозволяє ідентифікувати його автора);
• фото (фото в паспорті);
• звуку (запис телефонної розмови з працівником банку);
• відео (запис з камер відеоспостереження).

Поняття «персональні дані» охоплює об’єктивні та суб’єктивні відомості про особисте, сімейне чи публічне життя фізичної особи, що виражені у формі літер, чисел, графіки, фото, звуку чи відео, якщо вони дозволяють ідентифікувати таку особу.

Блок 2. «Що стосується»

Лише факту наявності відомостей недостатньо для визнання їх персональними даними, оскільки такі відомості обов’язково повинні стосуватися конкретного суб’єкта. Схематично дане правило можна відобразити наступним чином:

Іноді на практиці встановити наявність зв’язку між інформацією та конкретною фізичною особою достатньо складно, оскільки за різних умов одна й та ж інформація може розглядатися як персональні дані, так і не бути ними.

Наприклад, окремо взяте ім’я Іванов Іван навряд чи становитиме персональні дані, оскільки в Україні може бути велика кількість людей з таким ім’ям, а, отже, відсутня можливість ідентифікувати конкретну особу. Тим не менш, якщо у контролера буде інформація, що Іванов Іван проживає у конкретному містечку з невеликою кількістю жителів, то ймовірність того, що у цьому містечку є ще особа з аналогічним ім’ям значно нижча, а, отже, існує теоретична можливість ідентифікувати фізичну особу. За таких умов є всі підстави вважати ім’я персональними даними.

Для визнання інформації персональними даними обов’язковою є наявність зв’язку між такою інформацією та конкретною особою. Іноді зв’язок може бути непрямим.

Блок 3. «Фізична особа»

GDPR передбачає захист прав фізичних осіб з моменту народження. Іноді серед широкого загалу можна почути твердження, що GDPR захищає персональні дані громадян Європи. Таке висловлювання не відповідає дійсності, оскільки GDPR жодним чином не пов’язаний з громадянством чи місцем проживання фізичної особи.

Більш детально про те, у яких випадках застосовується GDPR можна почитати у нашій статті Територія застосування GDPR.

Персональні дані померлої особи

Інформація стосовно померлих осіб за загальним правилом не належить до персональних даних та не охороняється GDPR. Тим не менш, у контексті цього запитання доцільно розглянути декілька спеціальних випадків.

Наприклад, якщо контролеру невідомо, чи суб’єкт персональних даних живий, то він зобов’язаний обробляти персональні дані такого суб’єкта відповідно до вимог GDPR.

WP29 також зазначає, якщо інформація про померлих може одночасно стосуватися і живих, то така інформація становить персональні дані.

Наприклад, якщо померла особа хворіла на гемофілію (хвороба, зумовлена мутацією X-хромосоми, що передається генетично), то її діти в абсолютній більшості випадків також будуть хворіти на гемофілію. У цьому разі відомості про те, що померла особа хворіла на гемофілію, будуть вважатися персональними даними навіть після смерті особи.

Обробка персональних даних фізичних осіб з моменту народження та до смерті, а в окремих випадках – після смерті, підпадає від регулювання GDPR.

Персональні дані юридичної особи?

З визначення «персональних даних» стає зрозумілим, що ця категорія стосується саме відомостей про фізичну особу. Окрім того, обробка персональних даних юридичної особи не охоплюється GDPR відповідно до пункту 14 вступної частини Регламенту. На цьому можна було б закінчити, однак з GDPR не все так легко 🙂

Розглянемо випадок, за якого найменування юридичної особи походить від імені фізичної особи. Наприклад, найменування товариство з обмеженою відповідальністю «Іванов І. І.» може вважатися персональними даними у розумінні GDPR, за умови, що за таким найменуванням можна ідентифікувати конкретного Іванова І. І. Інший випадок: працівник юридичної особи використовує корпоративну пошту в особистих цілях. Наприклад, якщо ваш HR-спеціаліст зареєструється зі спільної електронної пошти HR-відділу ([email protected]) у соціальній мережі під власним іменем, то корпоративна електронна пошта буде вважатися персональними даними HR-спеціаліста, а власник соціальної мережі буде виступати контролером таких даних.

Якщо відомості про юридичну особу пов’язані з фізичною особою та дозволяють її ідентифікувати, то така інформація буде становити персональні дані за GDPR.

Блок 4. «Ідентифіковано чи можна ідентифікувати»

Ідентифікована особа – особа, яка виділена серед інших членів групи.

Особа, яку можна ідентифікувати, – особа, яка ще не ідентифікована, але це можливо зробити, враховуючи існуючі технології, розумні витрати часу та фінансів, що необхідні контролеру на ідентифікацію.

Суб’єкта персональних даних може бути ідентифіковано:

• прямо (наприклад, за іменем або номером телефону);
• непрямо (наприклад, за посадою, віком, регіональним походженням тощо).

Різниця полягає у тому, що для непрямої ідентифікації за загальним правилом необхідна наявність одночасно кількох категорій відомостей про особу.

Наприклад, інформація про те, що вік якоїсь абстрактної особи становить 40 років не є персональними даними. Однак у поєднанні з відомостями, що ця особа обіймає посаду, приміром, міністра в уряді, то у сукупності така інформація забезпечує непряму ідентифікацію особи, а, отже, буде вважатися персональними даними (звісно, за умови, що не декілька міністрів одночасно мають такий вік).

Вирішення питання, чи є відомості про особу персональними даними за GDPR повністю залежить від можливості конкретного контролера ідентифікувати особу за наявною у нього інформацією, у тому числі за рахунок поєднання таких відомостей з інформацією, яку він може отримати від третіх осіб з урахуванням «розумної ймовірності».

Файли cookies та персональні дані

Як відомо, файли cookies, що завантажуються веб-ресурсом на локальний комп’ютер користувача, можуть збирати основну інформацію про його онлайн-поведінку (наприклад, інформацію про відвідані сторінки, мовні налаштування браузера, час та тривалість відвідування, переглянуті рекламні оголошення тощо).

У подальшому веб-ресурс отримує збережену файлами cookies інформацію та реагує відповідним чином (наприклад, на основі інформації про переглянуті рекламні оголошення демонструє більш релевантні для конкретного користувача товари).

Файли cookies безпосередньо не дозволяють ідентифікувати конкретну особу. Тим не менш, вони забезпечують ідентифікацію комп’ютера чи іншого пристрою (загалом – «заліза»). У цьому разі отримані дані можуть використовуватися для відслідковування онлайн поведінки «заліза» і, як наслідок, для формування профілю звичок його власника.

У справі Vidal-Hall v Google Inc. Апеляційний суд Англії дійшов висновку, що хоча файли cookies прямо не дозволяють ідентифікувати конкретну фізичну особу, однак вони забезпечують ідентифікацію його «заліза». Поєднавши відомості, що зібрані за допомогою файлів cookies, з іншими відомостями про власника профілю, контролер може ідентифікувати особу. Отже, у сучасному світі є обґрунтовані підстави прирівнювати конкретного користувача до «заліза», яким він користується.

Інформація, отримана за допомогою файлів cookies, в абсолютній більшості випадків буде вважатися персональними даними за GDPR.

ІР адреса як персональні дані

ІР адреса – це набір чисел, що присвоюється приладу, забезпечує його ідентифікацію та зв’язок з іншими приладами через мережу Інтернет.

ІР-адреса може бути двох основних типів:

• статична (прилад використовує одну ІР-адресу при кожному підключенні до мережі);
• динамічна (прилад отримує різні ІР-адреси при кожному підключенні до мережі).

Для провайдерів інтернет-послуг як статичні, так і динамічні ІР-адреси будуть вважатися персональними даними, оскільки такий провайдер в більшості випадків може пов’язати ІР-адресу з конкретним клієнтом.

Стосовно контролерів, які не є провайдерами інтернет-послуг, то необхідно розглядати два випадки залежно від типу ІР-адреси. Використовуючи статичну ІР-адресу, такі контролери завжди можуть створити профіль звичок її власника та розрізняти їх один від одного (за аналогією з файлами cookies).

Дане правило не може застосовуватися до динамічних ІР-адрес, що змінюються при кожному підключенні до мережі.

У справі Patrick Breyer v Bundesrepublik Deutschland Суд справедливості Європейського Союзу дійшов висновку, що динамічна ІР-адреса може вважатися персональними даними, оскільки особу можна ідентифікувати, поєднавши ІР-адресу з додатковою інформацією, наприклад, з даними інтернет-провайдера (відомостями про час підключення та сторінки, які відвідувалися з даної ІР-адреси).

Водночас додаткова інформація не обов’язково повинна зберігатися у контролера, достатньо існування «розумної ймовірності» її отримати. Контролер самостійно оцінює «розумну ймовірність» з урахування фінансових витрат, існуючих технологій та часу, що необхідні для ідентифікації особи.

Динамічна та статична ІР-адреси завжди будуть персональними даними в руках провайдера інтернет-послуг. Стосовно контролера, який не є провайдером інтернет-послуг, то статична ІР-адреса в абсолютній більшості випадків буде вважатися персональними даними, тимчасом як динамічна ІР-адреса становитиме персональні дані лише за умови існування у контролера «розумної ймовірності» ідентифікації її власника.

Висновки

Поняття «персональні дані» у розумінні GDPR охоплює значно більший обсяг інформації, ніж може здатися на перший погляд. Тому у контексті Регламенту завжди потрібно керуватися золотим правилом: «У разі наявності будь-яких сумнівів щодо того, чи є інформація персональними даними, – її необхідно вважати персональними даними та обробляти відповідно до вимог GDPR».

Захист персональних даних: що потрібно знати

У сучасному світі цифрові технології поступово проникають в усі сфери життя людини. Діджиталізація державних та приватних послуг передбачає збір персональних даних. Проблема в тому, що, коли людина передає будь-які відомості про себе, здебільшого вона навіть не здогадується, що з ними відбувається далі, які є ризики та як уберегтися від неправомірних дій.

Щоб мінімізувати загрози, важливо розібратися в основних поняттях, дізнатися про свої права та обов’язки тих, хто збирає інформацію.

Що таке персональні дані?

У Законі України “Про захист персональних даних” визначено, що персональні дані – це відомості про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

Є помилкове уявлення, що йдеться тільки про паспорт, ідентифікаційний код або номер телефону. Насправді це стосується будь-якої інформації про людину, яка відбиває її фізичну, генетичну, економічну, соціальну або культурну ідентичність.

Законодавець розділяє персональні дані на дві категорії: загальні та особливі (чутливі).

Наприклад, до загальної категорії можна зарахувати: прізвище, ім’я, місце народження, сімейний стан, дані, записані в посвідченні водія, дані про майно, банківські дані, підпис, адресу місця проживання, IP-адреси та ін. Цей перелік не вичерпний.

Особлива категорія охоплює інформацію про: расове, етнічне походження, політичні, релігійні, світоглядні переконання, членство в політичних партіях та професійних спілках, засудження до кримінального покарання, а також біометричні, генетичні дані та дані, що стосуються здоров’я або статевого життя.

Ті, хто збирає інформацію, мають забезпечити відповідний рівень її захисту, бо розголошення чутливої інформації може становити особливий ризик для людини. Також важливо знати, що персональні дані можуть бути виражені у формі:

• фото (зображення людини);
• цифр (ідентифікаційний код, номер телефону);
• відео або звуку (голосу).

Хто збирає персональні дані?

Сьогодні практично не існує організацій чи установ, які б не збирали персональних даних. Єдине, що їх відрізняє, – мета та вид інформації, яку вони обробляють.

Наприклад, магазинам переважно потрібні електронні адреси та номери телефонів для просування продуктів. Інтернет-компанії збирають поведінкові дані людини: які сайти відвідує, що шукає, дивиться тощо, щоб у результаті отримати цифровий продукт, на основі якого формується реклама, політична агітація тощо.

Банки, медичні, страхові, туристичні та інші сервіси взагалі не можуть вести свою діяльність без персональних даних. Найширший спектр інформації про людину збирає держава.

Які є загрози витоку даних?

Персональні дані можуть зберігатися на папері, в інформаційних системах або інших носіях. Це означає, що загрози для витоку персональних даних виникають не лише в разі кібератак. Але з огляду на те, що сьогодні практично вся інформація в державному та приватному секторі оцифровується, ризик злому систем значно вищий. Також проблема витоку може бути пов’язана не із зовнішніми факторами, адже часто працівники самі розповсюджують дані.

Нещодавно Служба безпеки України повідомила, що заблокувала несанкціонований збут відомостей з інформаційних систем Державної податкової та митної служб. Посадовці спільно з банківськими працівниками організували схему та торгували даними про фінансово-господарські операції підприємців. Наразі ще не невідомі реальні наслідки цієї неправомірної діяльності як для окремої особи, так і суспільства загалом. Але ця історія демонструє, що в державних структурах існує цілий бізнес із продажу баз даних. Сподіваємося, що, коли завершиться досудове розслідування, громадськість дізнається про масштаб проблеми.

Останнім часом дедалі частіше в ЗМІ розповідають про випадки, коли шахраї, отримавши доступ до паспортних та інших даних, оформлюють без відома людини кредити, переоформлюють рухоме або нерухоме майно.

Ще одна серед популярних тем у контексті захисту інформації – це розвиток місцевої інфраструктури систем відеоспостереження. Отримавши доступ до програм, протягом невеликого проміжку часу можна сформувати повне досьє людини: де вона, коли, з ким, де буває, на якому автомобілі пересувається тощо. Є випадок, коли після мирних зібрань проти незаконного забудовника за допомогою відеоматеріалів з міських систем знаходили та переслідували активістів.

Уже нікого не дивують дзвінки або повідомлення рекламного змісту від невідомої компанії. Існує обмін даними між компаніями для збільшення бази клієнтів, покращення алгоритмів роботи, аналізу вподобань, рекламного таргетингу тощо.

У соціальних мережах люди часто скаржаться на інциденти поширення інформації про здоров’я людини. Наприклад, у заповненому коридорі адміністратор уголос нагадує лікарям про візит пацієнтів, називаючи ім’я та діагноз. Існує також практика передання чутливої інформації на неправильну електронну адресу, реклама медичних процедур на прикладі конкретних пацієнтів або обмін даними з іншими суб’єктами без відома пацієнтів тощо.

Таких ситуацій безліч, і всі вони є грубим порушенням національного та міжнародного законодавства.

У цьому контексті важливо розуміти одне: є велика кількість суб’єктів, які збирають персональні дані, і якщо вони не будуть належно захищені, то можуть опинитися в руках зловмисників. Далі сценарії бувають різні: від використання задля маркетингу до цькування, переслідування людини або заволодіння її власністю.

У чому причини витоку даних в Україні?

Причини насамперед у низькій правосвідомості суспільства в цій сфері, недосконалому законодавстві, відсутності належного контролю з боку держави та недостатніх санкціях щодо порушників.

Наприклад, якщо за порушення права на приватність резидентів Європейського Союзу сума штрафу може становити десятки мільйонів євро, то максимальний штраф за порушення персональних даних українців – 17 000 гривень. Хоча проблема навіть не так у санкціях, як у тому, що порушники поки що не бачать своїх репутаційних ризиків. Адже в більшості країн світу захист даних стає новим критерієм довіри, який турбує людей нарівні з якістю наданих послуг.

Як захистити себе від витоку?

Наразі існує проблема розуміння основ інформаційного законодавства. Щоб уникнути негативного досвіду, потрібно для початку подолати переконання, що тема захисту персональних даних нудна, складна та не “про мене”.

Далі розібратися з базовими поняттями щодо цифрових прав, щоб максимально взяти під контроль потік особистої інформації. Зокрема, сприймати персональні дані як свою власність та не боятися ставити питання про їхнє оброблення. У статті 8 закону про захист даних зазначено, що кожен має право на доступ до своїх даних та знати про:

• мету, порядок, джерело збору та місце перебування своїх даних;
• механізм оброблення;
• хто має доступ та порядок передання інформації третім особам;
• умови захисту;
• термін зберігання, порядок видалення та ін.

Отримати цю інформацію можна, надіславши відповідний запит. Також законом передбачене право людини висувати вмотивовану вимогу із запереченням проти оброблення, зміни або знищення своїх даних. Наприклад, якщо вони збираються або поширюються незаконно. Будь-які протиправні дії з персональними даними можна оскаржити, звернувшись до Уповноваженого Верховної Ради України з прав людини або до суду.

Як можна вплинути на ситуацію?

Держава не регулює належним чином цієї сфери, тож контроль з боку суспільства – важливий елемент стримування використання персональних даних на шкоду людям. Громадянське суспільство та ЗМІ відіграють ключову роль як рупор щодо права людини на приватність. Що більше буде повідомлень про реальні порушення та ризики, то швидше сформується запит суспільства розібратися в цих питаннях, щоб захисти себе.

Адже, з одного боку, ми хочемо жити в суспільстві, у якому гарантовано захист персональних даних, а з іншого, стаючи свідками порушення права людини на приватність, не бажаємо про це говорити, залишаючи проблему латентною.

Наша приватність – це те, що робить нас особистостями, які можуть самостійно робити свій вибір та ухвалювати рішення. Культура приватності – це розуміння всього спектра вразливості людини в інформаційному середовищі та забезпечення їй належного захисту.