можно предложить следующий: если данные позволяют выделить некоего индивида из множества лиц и использовать в отношении него особую модель взаимодействия, то такое лицо является определяемым, а соответствующая информация – его персональными данными.
Ключевую роль в квалификации информации, дающей возможность косвенно определить физическое лицо, в качестве персональных данных играет анализ средств, которые позволяют это сделать. К сожалению, Закон о персональных данных не содержит никаких указаний на них, в этой связи целесообразно обратиться к положениям европейского права. В п. 26 Преамбулы Директивы 1995 г. указано, что «для определения того, является ли лицо идентифицируемым, следует принимать в расчет все средства, в равной мере могущие быть вероятно (likely) и разумно (reasonably) использованными либо оператором, либо любым иным лицом для идентификации указанного лица». Исходя из анализа этого положения можно сделать два основных вывода:
1) в качестве идентифицирующего лица может выступать любое лицо, а не только оператор, что расширяет понятие «персональные данные», поскольку не требуется концентрироваться исключительно на анализе возможностей отдельно взятого оператора;
2) в качестве критериев, которыми надо руководствоваться при анализе вероятности отнесения данных к личности субъекта таким «любым лицом», фигурируют (а) вероятность и (б) разумность их использования.
Вероятность использования данных должна оцениваться с учетом всех обстоятельств. К примеру, она гораздо выше у компаний, использующих продвинутые технологии анализа данных в своих бизнес-процессах (финансовые организации, организации связи, социальные сети, крупные онлайн-магазины и др.), чем у небольших организаций, которые не могут позволить себе использование таких технологий (риск-ориентированный подход в действии). Разумность по общему правилу должна предполагать возможность идентификации лица с привлечением правомерных средств, т.е., например, без взлома компьютерных систем или незаконного доступа к базам данных третьих лиц, в том числе государственных органов41.
Если у оператора есть два набора данных, каждый из которых не позволяет определить лицо, но в совокупности они могут это сделать, то каждый из таких наборов данных может быть квалифицирован как персональные данные, поскольку может рассматриваться в качестве информации, относящейся к косвенно определяемому лицу.
В этой связи возникает вопрос: следует ли при решении вопроса о квалификации данных в качестве персональных принимать во внимание массивы данных, находящиеся во владении у конкретного оператора, или же следует учитывать потенциальную возможность совместного использования их с информацией, находящейся во владении других операторов? Согласно позиции Суда ЕС данные о динамических IP-адресах, собранные онлайн-сервисом, являются персональными данными при одновременном выполнении следующих условий:
1)
См.:
