Мария Беляева – Руководство по GDPR (страница 14)
Так как многие имена не являются уникальными, в целях установления личности человека могут потребоваться другие атрибуты для гарантии точной идентификации субъекта. Иногда прямые и косвенные атрибуты могут быть объединены, чтобы провести точную идентификацию, например, дата и место рождения. Кроме того, в некоторых странах на государственном уровне введены персонализированные номера (аналог серии и номера паспорта гражданина РФ) для отождествления физических лиц. Переданные налоговые данные, данные на получение вида на жительство, сведения в административных документах, банковские данные и информация о здоровье могут быть отнесены к персональным данным. Биометрические данные, такие как отпечатки пальцев, цифровые отпечатки или радужная оболочка глаз, данные о местоположении и онлайн-атрибуты все чаще используются для идентификации субъектов в цифровом пространстве.
Для применения Общего регламента по защите данных не требуется фактической идентификации субъекта данных, достаточно, чтобы субъект был потенциально идентифицируемым. Субъект считается потенциально идентифицируемым, если имеется достаточно атрибутов данных, с помощью которых его можно прямо или косвенно идентифицировать. Согласно разделам 2 и 3 Общего регламента по защите данных все идентифицируемые данные, хранящиеся у обработчика, должны быть доступны субъекту данных, равно как и все сведения об обработке, включая третьих лиц, которым такие данные доступны.
Для определения критериев вероятности идентификации субъекта следует учитывать все объективные факторы, такие как стоимость и время, затраченное на идентификацию, а также принять во внимание физические и программные возможности.
В соответствии с законодательством Совета Европы, Пояснительный доклад к Модернизированной Конвенции 108 содержит следующую формулировку понятия «идентификация»: понятие «идентифицируемый» относится не только к гражданской или юридической идентичности человека как таковой, но и к тому, что может позволить «определить личность субъекта» средствами обработки и, как следствие, подвергнуть классификации. Такое «определение субъекта» может быть осуществлено с помощью доступа к его (ее) электронным устройствам или комбинации таких устройств (стационарные или мобильные гаджеты, камеры, игровые устройства и т. д.), а также с использованием идентификационного псевдонима (логина), биометрических или генетических данных, данных о местонахождении, IP-адреса или иного идентификатора. Субъект данных не будет считаться потенциально «идентифицируемым», если для его/ее идентификации требуется неоправданное количество времени, денег или иных ресурсов. Оправданность ресурсных затрат должна оцениваться в каждом индивидуальном случае с учетом следующих факторов: цели обработки данных, стоимости и преимущества идентификации данных, типа контроллера и используемых средства, а также технологий обработки.
Законодательство о защите данных не регулирует формы содержания или хранения персональных данных. Например, это могут быть устные сообщения, телевизионное или кабельное изображение (включая звук), информация в электронном виде, генетические материалы, ДНК (дезоксирибонуклеиновая кислота) и иные атрибуты данных.
Анонимизация
Согласно принципу минимизации в контексте ограничения объемов и сроков хранения данных, изложенному как в Общем регламенте по защите данных, так и в Модернизированной Конвенции 108, данные должны храниться «в форме, которая позволяет идентифицировать субъект данных не дольше, чем это необходимо для целей обработки персональных данных». В соответствии с этим принципом данные должны быть уничтожены или обезличены после достижения целей обработки.
Процесс обезличивания данных означает, что все идентифицируемые элементы исключаются из набора персональных данных, так чтобы субъекта данных невозможно было идентифицировать. В своем мнении Рабочая группа по статье 29 анализирует эффективность и границы применения различных методов обезличивания данных. Оптимальное решение принимается в каждом индивидуальном случае. Независимо от выбранного метода обезличивание должно быть необратимым, чтобы по оставшимся атрибутам нельзя было идентифицировать данных субъекта. Риск повторной идентификации обезличенных субъектов необходимо рассматривать с учетом критериев: время, усилия, затраты и использование технологических ресурсов.
После процедуры обезличивания данных они перестают относиться к персональным данным и действие Общего регламента по защите данных на них более не распространяется.
Регламент предусматривает, что физическое или юридическое лицо, не обязано проводить обработку дополнительных данных для идентификации субъекта после процедуры обезличивания. Но в случае повторно проводимых операций, например, осуществление права доступа, исправления, удаления, ограничения обработки и операций по переносу данных, когда субъект данных предоставляет дополнительную информацию и совокупность атрибутов для идентификации, такой набор данных становится персональными данными.
Псевдонимизация
К персональной информации относятся следующие атрибуты: имя, дата рождения, пол, адрес и другие элементы, по совокупности которых вас могут идентифицировать. Процесс псевдонимизации личных данных означает, что идентифицируемые атрибуты заменяются псевдонимами.
Законодательство ЕС толкует псевдонимизацию как «обработку персональных данных таким образом, при котором персональные данные больше не могут быть соотнесены с конкретными субъектами данных без использования дополнительных атрибутов данных, при условии, что такие атрибуты хранятся отдельно и защищены организационными и техническими мерами от возможной попытки идентификации субъекта».
В отличие от обезличенных данных псевдонимизированные данные по-прежнему относятся к персональным данным, которые подпадают под юрисдикцию Общего регламента по защите данных.
Общий регламент по защите данных признает различные виды использования псевдонима в качестве соответствующей технической меры для усиления защиты данных и специально упоминается при проектировании систем защиты данных и при определении средств обработки с использованием механизмов защиты по умолчанию (by design and by default).
Псевдонимизация прямо не упоминается в правовых определениях Модернизированной Конвенции 108. Тем не менее в Пояснительном докладе Модернизированной Конвенции 108 указано, что «использование псевдонима или любого цифрового идентификатора не приводит к обезличиванию данных, так как субъект все еще может быть идентифицирован и выделен как субъект данных».
Один из способов псевдонимизации данных – шифрование. После того как данным был присвоен псевдоним, расшифровка данных возможна только при наличии ключа дешифрования. Без такого ключа идентификация крайне затруднительна. Однако для владельцев такого ключа, повторная идентификация не составит сложности. Несанкционированное использование ключей дешифрования представляет риск для обработки персональных данных. Таким образом, «псевдонимированные данные должны рассматриваться как персональные данные», подпадающие под юрисдикцию Модернизированной Конвенции 108.
Аутентификация
Данная процедура предназначена для подтверждения соотношения субъекта данных с определенной личностью, или с выполнением определенных действий, таких как: вход в зону безопасности или снятие денег с банковской карты. Аутентификация может быть достигнута путем сравнения биометрических данных, таких как фотография или отпечатки пальцев в удостоверении личности с данными устанавливаемого лица. Например, путем запроса информации, которая должна быть известна только лицу с определенной личностью или посредством авторизации с использованием персонального идентификационного номера (ПИН). Так же может быть предъявлен определенный токен, который должен находиться исключительно у лица с определенной идентификационной информацией или авторизацией, такой как специальная чип-карта или ключ от сейфа. Электронная подпись также является средством идентификации и аутентификации субъекта в электронных сообщениях.