Научно-практический постатейный комментарий к Федеральному закону «О персональных данных»
ценность для обработки, либо быть анонимной, но одновременно и тем, и другим она не может быть никогда66. Чем больше степень обезличивания данных, тем меньше ценность таких данных для анализа. Таким образом, в новых технологических реалиях обезличивание данных уже не может выполнять функцию эффективного средства защиты персональных данных и в более глобальном смысле – в частной жизни граждан. Рост производительности и доступности вычислительных мощностей, а также огромный массив доступной в сети «Интернет» личной информации обусловливают техническую возможность деанонимизации даже тщательно обезличенных данных с учетом того, что любые обезличенные данные всегда имеют какой-либо атрибут, относящийся к личности.
В этой связи новое европейское законодательство пошло по пути дифференциации понятий псевдоанонимизации данных и анонимизированных данных. Псевдоанонимизация представляет собой способ обработки персональных данных, в результате которого становится невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту, при условии, что такая дополнительная информация хранится отдельно и в отношении ее принимаются организационные и технические меры, обеспечивающие ее неиспользование для соотнесения с определенным или определяемым лицом (ст. 4 (5) Регламента 2016 г.). Анонимизированность данных предполагает такую степень обезличенности данных, при которой последние не относятся к определенному или определяемому лицу. Такие данные не являются персональными и не подпадают под действие законодательства о персональных данных. При разграничении указанных понятий принимается во внимание наличие возможности осуществления их деобезличивания разумными средствами оператором или иным лицом. При этом принимаются во внимание материальные и временные затраты, которые оператор должен понести для этого, а также уровень развития технологий на момент совершения процесса обработки (п. 26 Преамбулы Регламента 2016 г.).
Таким образом, обезличенные (псевдоанонимизированные – по терминологии Регламента 2016 г.) данные по новому европейскому законодательству по общему правилу рассматриваются в качестве персональных данных, а сами действия по обезличиванию − как одно из средств защиты персональных данных, при обработке которых в ряде случаев действуют некоторые послабления67.
Понятия информационной системы персональных данных и базы данных
1. Понятие информационной системы персональных данных по сути является воспроизведением понятия информационной системы, которое содержится в Законе об информации, с одним уточнением − указанием на особый характер обрабатываемой в ней информации в виде персональных данных. Согласно п. 3 ст. 2 Закона об информации под информационной системой понимается совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.