ФИО, ИИН, e-mail, IP-адрес, геном и история покупок: что относится к персональным данным, а что – нет

Персональные данные – какая конкретно информация подразумевается под этими словами? Законы гарантируют людям защиту их персональных данных от незаконного сбора и распространения, но где грань, отделяющая их от остальных сведений? За комментарием Zakon.kz обратился к юристу Сайкену Айсину.

Вопросы эти особенно актуальны в связи активной цифровизацией общественных отношений и расширением сфер обработки информации о гражданах, уточняет юрист, кандидат юридических наук Сайкен Айсин.

"На практике возникает неопределенность: какие именно сведения подлежат защите – и значит, влекут ответственность? А какими сведениями можно оперировать без ограничений? Где проходит граница между персональными и не персональными данными?".Сайкен Айсин

Персональные данные в будущем

А.Г.: А давайте тоже говорить конкретно. Есть официальный документ – ответ министра внутренних дел РК от 7 декабря 2019 года на вопрос от 26 ноября 2019 года № 582584. Там сказано:

"В целях информационного обеспечения населения используются общедоступные источники персональных данных (в том числе биографические справочники, телефонные, адресные книги, общедоступные электронные информационные ресурсы, средства массовой информации).

Персональные данные ограниченного доступа – персональные данные, доступ к которым ограничен законодательством РК. К ним относятся установочные данные лица (фамилия, имя, отчества, год, дата рождения, национальность), сведения о месте жительства (место регистрации), индивидуальном идентификационном номере (ИИН), документах, удостоверяющих личность (номер) и другие сведения".

Предположим, вы опубликовали в масс-медиа статью и подписались: ФИО, кандидат юридических наук. Такие данные будут считаться общедоступными, "доступ к которым является свободным с согласия субъекта" (согласно статье 6 Закона РК "О персональных данных и их защите").

Однако если такое согласие человек не давал, то по умолчанию эти данные будут считаться "персональными данными ограниченного доступа", которые, собственно, и находятся под защитой.

Разве такого разъяснения недостаточно?

С.А.: Проблема в том, что подробного разъяснения нет в законодательных актах. И не только в Законе РК "О персональных данных и их защите" от 21 мая 2013 года. Но и в Правилах сбора, обработки персональных данных, утвержденных приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 21 октября 2020 года. Да и массив информации, который должен разграничиваться, гораздо шире вышеперечисленного в ответе.

Сейчас в нормативных актах под персональными данными понимаются:

"Данные, в том числе биометрические, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе".

Как видите, действующее определение не дает четких пояснений, какие именно сведения граждан следует отнести к персональным данным и, по большому счету, мы можем лишь догадываться, что к ним относится.

Теперь другой момент. С 11 июля 2026 года вступают в силу поправки, предусмотренные Законом РК от 9 января 2026 года "О внесении изменений и дополнений в некоторые законодательные акты РК по вопросам цифровизации, транспорта и предпринимательства". В их числе и изменение формулировки, что такое персональные данные:

"Сведения или совокупность сведений о субъекте персональных данных, дополненные одним или несколькими идентификаторами персональных данных". Новая редакция пп. 2) статьи 1 Закона РК "О персональных данных и их защите"

Заметим, что таким образом из понятийного аппарата исключается определение "биометрические данные". Кроме того, законодатель не только не прояснил ситуацию с перечнем данных, но и ограничил сферу сведений о гражданине. В частности, если сейчас в формулировке говорится о данных, которые зафиксированы на электронном, бумажном и (или) ином материальном носителе, то с 11 июля законодательством будут охватываться только те сведения, которые были "дополнены идентификаторами персональных данных".

При этом не уточняется:

• куда именно дополнены сведения, и какие именно;
• что такое идентификаторы персональных данных.

В общем, вышеуказанные НПА вне зависимости от редакций не дают четких критериев отнесения информации к персональным данным, что допускает расширительное толкование.Сайкен Айсин

Особое внимание вызывает использование термина "сведения", который по своей природе охватывает неограниченный круг информации, потенциально включающий:

• анкетные данные (ФИО, ИИН);
• контактную информацию (номер телефона, e-mail);
• поведенческие и цифровые данные (геолокация, IP-адрес, device ID);
• социальные характеристики (семейное положение, место работы и др.).

Каковы критерии персональных данных

А.Г.: Эти сведения как раз перечисляются в вышеупомянутом ответе МВД. Кстати, имеются и другие документы, где так или иначе оцениваются сведения на предмет, являются ли они персональными данными или нет. Например, в письме Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности РК от 6 мая 2024 года № ЖТ-2023-03797512.

В документе, в частности, говорится, что поведенческие особенности (к примеру, история покупок товаров в интернет-магазине или активность в социальных сетях) не относятся к биометрическим, а значит, и к персональным данным. Тогда как дактилоскопическая и геномная информация является персональными данными ограниченного доступа.

С.А.: Не все персональные данные перечислены в ответах и письмах. Некоторые закачиваются словами "и другие сведения". И еще раз повторю, это не нормативные акты. В результате правовой неопределенности правоприменитель и участники гражданского оборота фактически лишены возможности однозначно определить, какие данные в совокупности образуют персональные данные.

С учетом действующих формулировок возникает риск расширительного применения норм законодательства о персональных данных, в том числе:

• при обработке информации в трудовых отношениях;
• в деятельности средств массовой информации;
• при осуществлении предпринимательской деятельности;
• в бытовых ситуациях (например, при передаче контактных данных третьим лицам).

При этом, что важно, законодательством предусмотрена административная ответственность за нарушения в данной сфере, а если причинен существенный вред – то и уголовная. Это усиливает значимость правовой определенности.

Поэтому так важны официальные разъяснения уполномоченного органа по вопросам допустимых пределов использования информации. А именно, при повседневной работе с самой разной информацией нужно – на законодательном уровне – четкое разграничение персональных данных и иной информации, для чего, в свою очередь, должны быть сформулированы критерии отнесения информации к персональным данным.

Например, что такое – "идентификаторы персональных данных"? Тем более, что с 11 июля это, как следует из нового определения – основополагающий критерий отнесения данных к персональным.