Руководство по GDPR - страница 31

Закон Совета Европы в части Модернизированной Конвенции 108 также регламентирует защиту физических лиц в отношении обработки их персональных данных. Терминология законодательства о защите данных, в части правовых систем ЕС, идентична.

Юридические лица имеют право на защиту данных. Европейский суд по правам человека принимает заявления от юридических лиц касательно нарушений их прав на защиту данных в соответствии со статьей 8 Европейской конвенции по правам человека.

В Пояснительном докладе к Модернизированной Конвенции 108 отмечается, что национальное законодательство может применяться для защиты законных интересов юридических лиц. Общий регламент по защите данных ЕС 2016/679 не распространяется на обработку данных юридических лиц, включая форму собственности и названия, а также контактных данных такого субъекта. Тем не менее Директива о конфиденциальности и электронных коммуникациях защищает конфиденциальность сообщений и законные интересы юридических лиц в отношении автоматизированной обработки и хранения данных субъектов.

Данные

Любые данные считаются персональными при условии, что они относятся к идентифицированному или идентифицируемому лицу. Персональные данные включают информацию, относящуюся к личной, профессиональной и общественной жизни субъекта данных.

Например, оценочный лист работника, хранящийся в его личном деле, представляет собой персональные данные работника. Мнение руководителя, зафиксированное в данном оценочном листе, будет считаться косвенной информацией о субъекте, а значит данные, такие как «лояльность работника» и факты, которые можно отнести к субъекту «работник отсутствовал 2 недели в течение года», будут считаться персональными данными работника.

Европейский суд по правам человека интерпретирует термин «персональные данные» как не ограничивающиеся вопросами личности субъекта, поскольку разделение вопросов частной и профессиональной жизни не всегда возможно. Данная интерпретация применяется и в Общем регламенте по защите данных.

Согласно законодательству ЕС и Совета Европы, информация содержит данные о субъекте, в случае если:

– лицо идентифицировано или может быть идентифицировано с помощью этой информации;

– субъект данных хотя и не идентифицирован, но может быть идентифицирован при последующей обработке.

Европейский суд по правам человека неоднократно заявлял, что понятие «персональные данные» в Европейской конвенции по правам человека идентично понятию в Модернизированной Конвенции 108, особенно в отношении идентифицированного или идентифицируемого лица.

В Общем регламенте по защите данных указано, что физическое лицо может быть идентифицировано в случае, если субъекта «можно идентифицировать прямо или косвенно, в частности, с помощью таких атрибутов, как имя, идентификационный номер, данные о местоположении, сетевой идентификатор (IP – адрес), по каждому из факторов или в совокупности, специфичных для физической, физиологической, генетической, психической, экономической, культурной или социальной идентичности субъекта». Имя субъекта данных является ярким примером такого описания и может непосредственно идентифицировать субъекта в связке с дополнительным атрибутом данных.

В некоторых случаях атрибуты, аналогичные имени, косвенно могут идентифицировать субъекта данных. Номер телефона, номер карточки социального страхования и регистрационный номер транспортного средства – все это примеры информации, которая может сделать субъект идентифицируемым. Также могут быть использованы и иные атрибуты, такие как – файлы персонального компьютера, файлы cookie и инструменты наблюдения за веб-трафиком для выделения субъектов путем определения их поведения и привычек. По мнению Рабочей группы по ст. 29 Общего регламента по защите данных, «без запроса имени и адреса лица его можно классифицировать на основе социально-экономических, психологических, философских или иных критериев и атрибутов». Определение персональных данных как в Совете Европы, так и в Европейском Союзе достаточно широкое и охватывает различные степени идентификации.