Блог

Максим Али, юрист практики по интеллектуальной собственности / информационным технологиям «Качкин и Партнеры», рассуждает о позиции Роскомнадзора в отношении обработки некоторых персональных данных.

Перечитывая небезызвестные разъяснения Роскомнадзора (РКН) под названием «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», задумался над следующей позицией РКН:

При поступлении в адрес работодателя резюме, составленного в произвольной форме, при которой однозначно определить физическое лицо, его направившее, не представляется возможным, данное резюме подлежит уничтожению в день поступления.

В моей голове возник вопрос: почему мы должны уничтожать такую информацию, если мы не можем идентифицировать по ней гражданина? Разве она тогда будет регулироваться ФЗ «О персональных данных»? Разве это информация об определенном или определяемом физическом лице (а закон, вслед за Конвенцией 1981 года, определяет персональные данные именно так [1])?

При этом сам РКН в упомянутых выше разъяснениях не приводит обоснования своей позиции.

На мой взгляд, это является закономерным следствием отсутствия в практике единообразного толкования понятия «персональные данные» и стремлением регулятора толковать его расширительно.

В комментарии к ФЗ «О персональных данных» под ред. А. А. Приезжевой [2] признается, что есть повод усомниться в формальной определенности легального определения персональных данных, а текущее определение дает возможность для слишком широкого толкования. В качестве наиболее сбалансированного подхода упоминается следующий: данные можно считать персональными, если они позволяют идентифицировать физическое лицо без использования дополнительной информации.

Аналогичную позицию в монографии об электронной коммерции [3] аргументирует Александр Савельев: персональные данные – это фрагменты данных, которые находятся у одного и того же оператора и в совокупности друг с другом позволяют идентифицировать человека.

Изложенное, конечно, является лишь одним из вариантов толкования определения. Можно, к примеру, возразить следующим образом. Возможен случай, когда данные, которые находятся в распоряжении оператора, сами по себе могут никого не идентифицировать, но позволят установить личность в совокупности с иной информацией, находящейся в открытом доступе. Предположим, что у оператора есть номер телефона, который является просто набором цифр, но в совокупности с базой данных телефонов, размещенной в Интернете, позволяет определить личность человека. Получается, разрешая вопрос о том, будет ли такой номер телефона персональными данными, мы должны встать либо на сторону субъекта персональных данных, либо на сторону оператора (который заинтересован в работе с минимальным объемом информации, квалифицируемой в качестве персональных данных). В качестве аргумента защиты интересов субъекта можно сказать, что, по сути, нет границы между персональными данными и набором цифр, составляющих номер телефона, если он открывает иную информацию о человеке (имя, адрес) в течение доли секунды с момента отправки поискового запроса в Google. Более того, иногда, совершая определенные действия с информацией, можно получить доступ к данным, которые позволят провести идентификацию: к примеру, клиент Сбербанка может сделать денежный перевод другому клиенту банка по номеру его телефона, и банк сам пришлет имя и отчество получателя денег перед окончательным одобрением транзакции (имя и отчество, при этом, могут оказаться уникальными). Другой пример: некоторые социальные сети и другие онлайн-сервисы позволяют найти пользователей по адресам электронной почты, то есть даже абстрактный адрес наподобие perfectflower@yahoo.com позволит соотнести его с конкретной учетной записью пользователя социальной сети, содержащей фото, имя и другие сведения. Тем не менее позиция вышеупомянутых авторов все же представляется мне справедливой, в том числе, потому, что оператор не должен быть чрезмерно обременен необходимостью каждый раз проверять, может ли конкретная информация (путем совершения тех или иных манипуляций) обрести характер персональных данных, тем более что полностью гарантировать результативность такой проверки, как правило, весьма затруднительно.

Вернемся к разъяснениям Роскомнадзора, с которых началась эта заметка. Речь идет о ситуации, когда у оператора есть какие-то фрагменты (допустим, подлинные) сведений о каком-то соискателе, который направил свое резюме на адрес электронной почты потенциального работодателя. К примеру, резюме содержало лишь ФИО соискателя, но не содержало дополнительной информации, которая позволила бы идентифицировать определенного человека: ни телефона, ни адреса места жительства, ни фотографии. Установить связь с отправителем по электронной почте в тот же день не удалось. Само по себе ФИО (приведу банальный пример с Иваном Ивановичем Ивановым, но повторяющихся комбинаций имен среди русскоязычного населения достаточно много, как все из вас понимают) нельзя признать персональными данными, если оно неуникально. Учитывая, что у оператора отсутствовала возможность идентифицировать человека по тем лишь фрагментам информации, которые были в его распоряжении, то такие фрагменты информации и не являются персональными данными. Значит, они и не подлежат уничтожению. Даже если мы встанем на ту позицию, что содержание «неполного» резюме нужно оценивать вкупе с общедоступными источниками, это не опровергает ошибочности разъяснений РКН, ведь там говорится о принципиальной невозможности идентификации человека с помощью полученных данных.

В одном из судебных заседаний, где мне довелось участвовать, рассматривался вопрос о том, что из содержащейся в деле информации является персональными данными. Представитель РКН процитировал понятие из ФЗ «О персональных данных», а затем дал от себя комментарий в том духе, что персональными данными могут быть любые сведения, пусть даже косвенно касающиеся человека (однако подразумевалось, что таких данных может быть даже недостаточно для идентификации конкретного субъекта).

Согласитесь, такую позицию РКН можно довести до абсурда, ведь сведения о человеке – это и размер обуви, и даже количество рук или ног. Неужели они все подпадают под то же самое регулирование, что и персональные данные? Неужели в образце заявления, который лежит под стеклом в налоговой инспекции, нельзя просто так использовать словосочетание «Иванов Иван» без оглядки на соответствующие нормы законодательства? Очень хотелось бы, чтобы эти вопросы действительно были риторическими.

[1] Пункт «a» статьи 2 «Конвенция о защите физических лиц при автоматизированной обработке персональных данных» (заключена в Страсбурге 28.01.1981): «персональные данные» означают любую информацию об определенном или поддающемся определению физическом лице («субъект данных»)

[2] Федеральный закон «О персональных данных»: научно-практический комментарий (постатейный) / А.Х. Гафурова, Е.В. Доротенко, Ю.Е. Контемиров и др.; под ред. А.А. Приезжевой. М.: Редакция «Российской газеты», 2015. Вып. 11. 176 с.

[3] Савельев А.И. Электронная коммерция в России и за рубежом: правовое регулирование. М.: Статут, 2014. 543 с.