Коллектив авторов - Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет

В то же время, как отмечалось выше, проект Регламента называет конкретные виды персональных данных: имя субъекта персональных данных, сведения о месте его нахождения и онлайн-идентификатор (id). В случае принятия данной редакции ст. 4 проекта Регламента определение персональных данных в ЕС будет иметь смешанный характер.

Последующий текст Директивы выделяет отдельную специальную категорию данных. В российском законе они соответствуют специальным персональным данным. Так, раздел 3 Директивы в ст. 8 запрещает обработку персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, и обработку данных, касающихся состояния здоровья или сексуальной жизни. Таким образом, персональные данные также могут быть сгруппированы в перечисленные категории.

В проекте Регламента к специальным чувствительным категориям персональных данных также отнесены «генетические данные» (все личные данные, относящиеся к генетическим особенностям человека, наследуемым или приобретенным, полученным в результате анализа биологического материала человека), «биометрические данные» (любые личные данные, полученные в результате специфичной технической обработки, касающиеся физических, физиологических или поведенческих характеристик человека, которые позволяют подтвердить или подтверждают уникальную идентификацию конкретного лица, например, изображений лиц или дактилоскопические данные), «данные о здоровье» (данные, связанные с физическим или психическим здоровьем индивида, раскрывающие информацию о его состоянии здоровья).

Обработку специальных категорий персональных данных о расовой принадлежности, об этническом происхождении, о политических мнениях, о религии, о философских позициях, о членстве в профсоюзе, генетических данных, данных о состоянии здоровья или сексуальной жизни проектом Регламента предлагается запретить, однако допускаются исключения (если субъект персональных данных дал явное согласие на обработку персональных данных, обработка необходима в целях выполнения обязательств в области трудового права, обработка необходима, чтобы защитить жизненные интересы субъекта персональных данных или другого человека, обработка необходима для исполнения задач в рамках общественного интереса, социальной защиты, обработка персональных данных относительно здоровья необходима в целях профилактической или профессиональной медицины, медицинского диагноза, определения условий ухода или лечения и т. д.). Кроме того, обработка специальных категорий персональных данных может осуществляться в том случае, если она необходима для решения задач в области архивного дела в интересах общества, в исторических, статистических или научных целях. При этом обработка персональных данных, касающихся судимости и преступлений или связанных с обеспечением безопасности, может выполняться только под контролем официальных должностных лиц органов власти.

Также персональные данные предлагается различать по точности и надежности. В частности, проект Директивы разделяет персональные данные, основанные на фактах, и персональные данные субъективно оценочного характера.

Отметим, что вопросы о необходимости пересмотра концепции понимания персональных данных поднимаются все чаще как в ЕС, так и за его пределами. Эксперты отмечают, что граница между понятиями «персональные данные» (personally identifiable information, РП) и «неперсональные данные» (non-РП) постепенно размывается. Такое наблюдение подтолкнуло специалистов Международной ассоциации IAPP (далее – IAPP) к изучению того, что же именно входит в понятие «персональные данные», как с развитием технологий меняются официальные определения этих терминов.

В качестве отправной точки были взяты действующие официальные определения персональных данных. Действительно ли «персональные данные» – это «все данные о субъекте персональных данных»? Должны ли данные прямо идентифицировать субъекта персональных данных? Ответы на эти и многие другие вопросы можно получить, изучив определения персональных данных в законодательстве разных стран. Специалисты IAPP проверили соответствующие определения в 36 законах о защите данных 30 стран и пришли к следующим выводам. В упомянутых выше 36 законах используются разные формулировки. В некоторых странах, например в США, понятие персональных данных сформулировано относительно узко, и для его определения зачастую просто перечисляют конкретные элементы персональных данных. В то же время в других странах, особенно в странах Евросоюза, идет тенденция к более широкому толкованию термина «персональные данные». Несмотря на эти различия, в законодательстве этих стран, как и в Российской Федерации, используется типичная формулировка типа «персональные данные – это данные или информация, относящиеся к субъекту персональных данных, который можно идентифицировать». Также во всех странах используется одна и та же формулировка, иногда с небольшими изменениями, что «персональные данные – это данные, которые позволяют прямо или косвенно идентифицировать субъекта персональных данных».