Для начинающего предпринимателя сложнее всего бывает определить, когда он имеет дело с персональными данными. Где они начинаются и где кончаются?

Персональными данными считаются все данные об установленном или устанавливаемом физическом лице, отражающие физические, психические, физиологические, экономические, культурные  или социальные характеристики, связи и принадлежность.

Осложняет оценку обработки персональных данных тот факт, что тут мы имеем дело с так называемым расплывчатым понятием, меняющимся по мере развития технологий. К примеру, на данный момент к персональным данным относится и то, какие веб-страницы человек посещает, какие поисковые слова использует. Понятие персональных данных распространяется на любые формы информации: она может быть представлена в словах, цифрах, графических изображениях, фотографиях или звуках.

Персональными данными могут быть и вес тела человека (участие в программе похудания), и его покупательские привычки (приобретение бонусных карт), и семейное положение (количество детей). Такими же данными являются лицо и фигура человека (фотография), местонахождение (тренировка в спортзале), прошлое (в какой школе учился). Сегодня трудно найти сферу деятельности, которая в той или иной степени не затрагивала обработку персональных данных.

Закон подразделяет персональные данные на обычные и деликатные. К числу последних относятся такие, которые раскрывают расовую или этническую принадлежность человека, политические взгляды, вероисповедание и философские убеждения, принадлежность к профсоюзу, состояние здоровья или сексуальную жизнь. К обработке деликатных персональных данных предъявляется целый ряд особых требований, их обработка вне медицинской системы весьма затруднена. В Эстонии к обработчикам деликатных персональных данных предъявляются дополнительные требования, такие как регистрация в регистре DIAT. Кроме того, обработчик таких данных должен соблюдать обязанность конфиденциальности. Требуется также точно определить, для чего и с какой целью используются персональные данные.

В связи с обычными персональными данными у обработчика нет обязанности регистрации, но в остальной части правила и требования к обработке остаются такими же, как и в случае с деликатными персональными данными.

Для поставщика услуги обработку персональных данных осложняет то обстоятельство, что человек, чьи данные обрабатываются, не обязан сам быть в курсе собственных прав. Человек может с удовольствием предоставить свои персональные данные для обработки, но, несмотря на это, обработчик должен обеспечить соблюдение всех требований по их защите.

Без согласия человека собирать и обрабатывать персональные данные запрещено. Этот запрет распространяется и на те персональные данные, которые, как говорится, лежат у всех на виду (данные, выложенные в социальных сетях). Их может собирать и структурировать только медиапредприятие, заручившееся на то согласием пользователя.

Отдельные требования предъявляются к передаче персональных данных за рубеж. Делать это можно либо с согласия Инспекции по защите данных, либо же при передаче данных в ту страну, которая имеет аналогичный режим защиты данных, что и в Европейском союзе.

Тоомас Сеппел,
адвокат,
Hedman Partners