Первое яблоко раздора скрытое в самом определении понятия «персональные данные» (далее также ПД, а их базы - БПД). Как известно, статья 2 Закона устанавливает, что «ПД - это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано». Сразу заметна положительная черта этого определения - оно действительно охватывает весь массив данных, которые нуждаются в защите. Время бросается в глаза и черта отрицательная - сложно найти двух людей, которые бы дошли согласию относительно того, что такое «конкретная идентификация» и каким образом она / может / должна происходить.
«Единственным критерием отнесения сведений к ПД, который установлен Законом, является то, что с их помощью физическое лицо может быть идентифицировано», - справедливо указывает на этот недостаток старший юрист АК «Сделка» Сергей Дзюбенко.
Разные лица и структуры имеют разные возможности для идентификации личности. Приложив усилия, как правило, можно идентифицировать человека даже по IP-адресу компьютера, с которого это лицо осуществляло доступ к сети Интернет. По номеру автомобиля можно идентифицировать его владельца. Так же - по номеру паспорта, водительского удостоверения и т.п.. Но осуществить такую идентификацию способны не все и не всегда.
Господин Дзюбенко считает, что при таких обстоятельствах в каждом случае получения сведений о личности необходимо оценивать возможность с их помощью идентифицировать ее и соответственно принимать решение, такие сведения персональными данными, которые подлежат защите согласно Закону.
Понятно, что владельцам крупных БПД придется разработать внутренние механизмы, с помощью которых те или иные данные признаются «персональными» или нет, и, соответственно, принимается решение о регистрации / нерегистрации базы таких данных или о включении / невключении таких данных в зарегистрированной базы.
Необходимый минимум данных, которые при обычных обстоятельствах позволяющие идентифицировать лицо, - вот то, чего критически не хватает Закона. «Идентификационный минимум», то есть минимальный объем данных, достаточный для идентификации конкретного лица, Законом не устанавливается, как и перечень ПД », - отмечает юрист АО« Волков и Партнеры »Марианна Бек.
Руководитель практики МПЦ EUCON, адвокат Евгений Петренко обращает внимание на то, что в Директиве Европейского Союза «О защите лиц в связи с обработкой персональных данных и перемещением (передачей) этих данных» от 24 октября 1995 года (Директива ЕС), а именно : в абзаце 26 отмеченного, «чтобы определить, является ли лицо такой, что может быть конкретно идентифицировано, во внимание необходимо принимать все возможные способы, которые могут применяться как владельцем информации, так и каким-либо лицом для идентификации указанного лица».
«Идентификация или гипотетическая возможность идентификации конкретного человека является ключевым критерием», - считает господин Евгений. По мнению адвоката, список фамилий и имен лиц, проживающих в Украине, например, не содержит достаточного набора данных, чтобы идентифицировать конкретного человека, поскольку имена и фамилии в таком списке не привязаны к конкретным лицам. «Для идентификации такого лица понадобятся дополнительные сведения, например, идентификационный номер, адрес проживания, профессия, возраст или любые другие специфические данные», - объясняет он.
Сергей Дзюбенко считает, что данными, с помощью которых лицо может конкретно идентифицировать, могут быть сведения (например, идентификационный номер лица или его паспортные данные, реквизиты других документов, выданных на имя лица, свидетельства о рождении, удостоверения водителя, документа о образование), а также совокупность сведений (например, фамилия, имя, отчество, дата и место рождения, место жительства, средства связи, место учебы или работы и т.п.).