При ідентифікації слід враховувати наступну особливість. При визначенні ступеню легкості проведення ідентифікації слід виключити особу самого ідентифікатора (людини), вірніше відому їй інформацію, оскільки кожна людина є носієм різноманітної інформації, яку вона може використовувати для ідентифікації, і не виключено, що їй достатньо знати лише один з елементів з вище перелічених даних, щоб ідентифікувати людину, наприклад, коли ідентифікатор побачить відомості про себе самого.
Це можна пояснити прикладом, коли два працівника однієї компанії аналізують один й той самий набір знеособлених даних, і один з них, завдяки своїм спогадам, розуміє, що ці дані стосуються його сусіда з квартири навпроти, а інший працівник ніколи не мав в житті подій, пов’язаних з сусідом його колеги, тому і не може за рахунок відомої йому інформації та спогадів ідентифікувати особу сусіда свого колеги.
Чи ідентифікувала в такому випадку компанія сусіда свого працівника? Ні, не ідентифікувала, допоки працівник не каже колегам про свої здогади і не починає використовувати розкриту інформацію в інтересах компанії. А щоб зрозуміти, чи він має право повідомити колег про факт ідентифікації свого сусіда, йому треба провести вищезазначений тест на конфіденційність (див. Частину 2).
Вказане пояснюється також тим, що неможливо встановити достеменно і об’єктивно, якою інформацією володіє людина, тому що окрім об’єктивних чинників неможливості адекватно пригадати інформацію, людина ще має волю, за допомогою якої, вона може приховувати свої знання.
Отже, заради об’єктивності ідентифікація повинна спиратися на презумпцію, що людина (навіть фізична особа-підприємець), яка здійснює ідентифікацію, не знає нічого про осіб, чиї персональні дані в даний момент аналізуються за допомогою конкретного набору персональних даних.
А з цього випливає висновок, що персональні дані за формою існування — це не будь-яка інформація, а загальновідомі обставини плюс інформація, яка зберігається на будь-яких носіях (за виключенням власного мозку людини, хоча загальновідомих обставин це виключення не стосується, бо вони тому загальновідомі, що більшість людей про них знають і пам’ятають) і яка може зчитуватися людиною за допомогою її власних органів чуття чи інших засобів, тобто документи, книги, файли, проте, коли мова йде про збирання, поширення, використання, розповсюдження, передачу, надання доступу до персональних даних, тобто за виключенням зберігання, то в цих ситуаціях персональні дані можуть існувати і в усній формі, оскільки вони в ході діяльності оператора інформації можуть бути відтворенні і повідомлені усно.
Ще один приклад, для детального пояснення критерію відносної ідентифікації. У компанії десь в документах, файлах є запис у вигляді 10 цифр. Якщо ввести ці цифри в пошукову форму Єдиного державного реєстру юридичних осіб, фізичних осіб-підприємців та громадських формувань, то є можливим ідентифікувати певну фізичну особу-підприємця за цим набором цифр. Чи буде вважатися в такому випадку, що компанія, зберігаючи запис з цих 10 цифр, обробляє саме персональні дані? Ні, так не буде вважатися, бо якщо спробувати ідентифікувати людину на підставі лише тих даних, які знаходяться у володінні та розпорядженні цієї юридичної особи, то ідентифікувати не вийде, бо у неї більше нічого нема про цю людину, крім набору цифр.
А от якщо компанія збереже у себе результати пошуку, де буде зрозуміло, що ті 10 цифр, то є реєстраційний номер облікової картки платника податків, а з ними ще ПІБ людини, адреса місця проживання, то тоді у володінні та розпорядженні юридичної особи знаходитиметься значно більша сукупність даних, яка дозволяє ідентифікувати конкретну людину, а тому є персональними даними.
Отже, відомості, які дають змогу прямо ідентифікувати людину, і відомості, які дають змогу опосередковано ідентифікувати людину, мають знаходитися у володінні оператора інформації, і тут йдеться не про можливість оператора отримати ці відомості з джерел інформації, які знаходяться під контролем інших третіх осіб, а йдеться лише про ті джерела (носії) інформації, які є у володінні самого оператора інформації, тобто ідентифікація і можливість ідентифікувати має бути в межах сукупності даних, наявних у оператора на момент здійснення ідентифікації чи здійснення ймовірних спроб ідентифікувати людину.
Таке розуміння персональних даних важливе, адже значно звужує обсяг даних, які підпадають під категорію персональних даних, і роблять Україну в цій частині більш привабливою, особливо для осіб, чиї бізнес-моделі побудовані на роботі з персональними даними, порівняно із країнами, які включають до персональних даних дані, на підставі яких будь-хто може прямо чи непрямо ідентифікувати людину. І саме цим Україна відрізняється від Європейського Союзу, де в справі № C-582/14 (Patrick Breyer v Bundesrepublik Deutschland) Європейський Суд Справедливості запровадив більш широке визначення та зазначив, що для того, щоб інформація розглядалася як “персональні дані” у значенні статті 2 (а) цієї Директиви, не обов’язково, щоб вся інформація, яка надає змогу ідентифікувати суб’єкта даних, перебувала в руках однієї особи.
Скоріш за все, і Рада Європи та її органи будуть узгоджувати свою політику із позицією Європейського Союзу, а тому будуть очевидними розбіжності між їхніми рекомендаціями та українськими підходами в охороні персональних даних, якщо Україна залишатиметься на теперішніх позиціях.
To be continued…
Юрій Карлаш
Технології, Медіа і Телекомунікації 