Определение персональных данных, которое содержится в Законе, хотя и соответствует международной практике, в частности Конвенции о защите лиц в связи с автоматизированной обработкой персональных данных от 28 января 1981 года и директиве «О защите лиц в связи с обработкой персональных данных и перемещением (передачей) этих данных »от 24 октября 1995 года, является достаточно общим и не дает четких критериев, какой минимальный объем данных можно считать достаточным для того, чтобы физическое лицо могло быть конкретно идентифицировано.
Информацией, относящейся к лицу, может быть конкретно идентифицировано, есть информация, которая не сразу ассоциируется с конкретным человеком, однако достаточна для того, чтобы определенным путем определить, к какой конкретного человека она имеет отношение. Позиция Государственной службы по вопросам защиты персональных данных сводится к тому, что способ, который состоится идентификация человека, как правило, не имеет значения, при условии, что есть хотя бы гипотетическая возможность такой идентификации.
Евгений Петренко, руководитель практики МПЦ EUCON, адвокат