CC BY
566
Понятие персональных данных в Российской Федерации и Европейском союзе
Мираев Артур Григорьевич
аспирант, кафедра коммерческого права, Санкт-Петербургский государственный университет
В настоящей статье описаны сложившиеся в законодательстве, правоприменительной практике и доктрине Российской Федерации и Европейского союза подходы к пониманию персональных данных. Автор анализирует основные аргументы в пользу узкого и широкого подходов к пониманию персональных данных. Поскольку предполагается, что сложившееся широкое понятие персональных данных создает излишние и обременительные обязанности для лиц, осуществляющих обработку информации, не нарушающую прав и свобод человека и гражданина, в статье исследуется возможность ограничительной интерпретации понятия персональных данных, позволяющей обеспечить прозрачное регулирование отношений по обработке по информации, а также повысить формальную определенность норм, устанавливающих обязанности операторов персональных данных. В статье также представлена критика широкого подхода к пониманию персональных данных, связанная с тем, что такой подход накладывает существенное количество обязанностей на операторов данных, которые в своей деятельности никаким образом не нарушают права субъектов персональных данных. Также акцент в статье сделан на принципах отнесения информации к категории персональных данных, сформированных судебной практикой и закрепленных в законодательстве Европейского союза. Накопленные в Европейском союзе принципы относимости информации к персональным данным, по мнению автора, являются релевантными и способны помочь судебной практике и законодательству в Российской Федерации корректно определить случаи, когда информацию следует и не следует относить к категории персональных данных, что, в свою очередь, позволит внести прозрачность и определенность в правовое регулирование отношений по обработке персональных данных. Ключевые слова: персональные данные, информационное право, неприкосновенность частной жизни, понятие персональных данных, обработка информации, информация.
X 2 о
о см ю
О!
Введение
В Российской Федерации и в Европейском союзе законодательство о персональных данных направлено на обработку персональных данных, осуществляемую с помощью средств автоматизации либо без средств автоматизации, но соответствующую характеру действий, совершаемых с персональными данными с использованием средств автоматизации. Указанная особенность объекта правового регулирования обусловлена, с одной стороны, появлением и распространением в XX веке новых средств и способов обработки информации, которые упростили процесс накопления и обмена информацией о субъектах данных, а также тем, что юридические и физические лица получили возможность обрабатывать персональные данные в своих интересах, в том числе, путем отправления телематических электронных сообщений рекламного характера, передачи, включая трансграничную, персональных данных, иных действий с персональными данными без согласия субъекта данных. С другой стороны, особенность объекта правого регулирования была обусловлена повышением риска нарушений права на неприкосновенность частной жизни человека и иных нарушений прав человека при обработке персональных данных автоматизированным способом.
Вышеуказанные обстоятельства требовали развития законодательных механизмов, обеспечивающих неприкосновенность частной жизни, поскольку общие гарантии, предусмотренные в Конституции Российской Федерации от 12.04.1978 в статье 40 и в статьях 23-24 Конституции Российской Федерации от 12.12.1993 года, а также в статье 8 Конвенции о защите прав человека и основных свобод от 04.11.1950 года, не отражали специфику автоматизированной обработки информации и не предусматривали адекватных способов обеспечения сохранности персональных данных при их автоматизированной обработке. В результате развития законодательства, направленного на защиту неприкосновенности частной жизни, в Европейском союзе и Российской Федерации появилось законодательство о персональных данных, детализировавшее правовой режим персональных данных. При этом законодательство о персональных данных поставило ряд новых вопросов, являющихся предметом научных дискуссий. В данной статье с помощью анализа правовой доктрины, правоприменительный практики и положений законодательства Российской Федерации и Европейского союза будет раскрыта и прокоммен-
тирована часть наиболее принципиальных и обсуждаемых вопросов о том, что представляют из себя персональные данные.
Одним из самых важных аспектов законодательства о персональных данных является понятие персональных данных. Научные дискуссии вокруг этого понятия ведутся не один десяток лет, однако единообразное понимание того, что данное понятие включает в себя, так и не сложилось. Для того, чтобы максимально точно определить понятие персональных данных, следует обратиться к опыту законодательного регулирования, правоприменительной практике и, безусловно, правовой доктрине. В рамках данного исследования будет проанализирован соответствующий опыт Российской Федерации и Европейского союза.
Понятие персональных данных в Российской Федерации
Рассматривая законодательное понятие персональных данных в Российской Федерации, необходимо отметить, что изложенное в настоящий момент в Федеральном законе от 27.07.2006 N 152-ФЗ «О персональных данных» понятие закреплено, исходя из широкого подхода, поскольку определяет персональные данные как любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
В таком виде понятие существует лишь с 25.07.2011 года и следует заметить, что данное понятие отличается от существовавших ранее законодательных понятий персональных данных в Российской Федерации именно тем, что к персональным данным стала относиться и такая информация, на основании которой нельзя без использования иной информации определить субъекта. Такой вывод позволяет сделать исключение из понятия персональных данных указания на то, что информация о физическом лице, относящаяся к персональным данным, должна позволять определять прямо или косвенно такое физическое лицо. То есть, в настоящий момент персональные данные должны лишь относиться к прямо или косвенно определенному или определяемому физическому лицу, но не идентифицировать его.
Кроме того, анализируя представленное в законодательстве понятие персональных данных, нельзя не обратить внимание на то, что персональные данные - это, в первую очередь, информация. Это означает, что интерпретация понятия персональных данных как информации должна осуществляться в соответствии с понятием информации, установленным Федеральным законом «Об информации, информационных технологиях и о защите информации». Поскольку названный закон определяет информацию как сведения (сообщения, данные) независимо от формы их представления, положения законодательства о персональных данных будут распространяться на обработку любой информации, относящейся к прямо или косвенно определенному или определяемому физическому лицу, вне зависимости от формы представления такой информации. Исходя из си-
стемного толкования понятия персональных данных, следует сказать, что оно представлено в широком смысле и является контекстно-ориентированным [5], в результате чего к персональным данным может относиться практически любая информация в любой форме.
Широкий подход в законодательном определении персональных данных вызывает в правовой доктрине многочисленную критику, связанную с отсутствием формальной определенности данного понятия [9]. Множество ученых в своей критике указывают на необходимость сужения понятия персональных данных в целях распространения правового режима персональных данных только на такую информацию, обработка которой может повлечь нарушение прав субъектов персональных данных [8]. Также существует подход, согласно которому правовой режим персональных данных следует распространять только на такую информацию, которая позволяет идентифицировать конкретное физическое лицо [4]. В доктрине отмечается также и тот факт, что действующее понятие персональных данных в период информационного развития общества не позволит адекватно регулировать интернет-отношения, связанные с обеспечением безопасности персональных данных [4].
Представленная критика широкого подхода к понятию персональных данных связана, в том числе, и с тем, что основной и единственной целью закона в Российской Федерации является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных. При этом, цели закона не учитывают права и свободы третьих лиц, включая, например, операторов персональных данных, которые заинтересованы в прозрачности и определенности правового регулирования и, в частности, в том, чтобы законным образом осуществлять обработку информации, относящейся к персональным данным.
Безусловно, для того, чтобы обработка информации осуществлялась законным образом, необходимо, чтобы распространение правого режима персональных данных на ту или иную информацию происходило прозрачным и понятным для операторов данных образом. Однако, исходя из содержания понятия персональных данных в законодательстве Российской Федерации и его интерпретации правоприменительной практикой, в настоящий момент представляется затруднительным сделать однозначный вывод о том, какая именно информация будет относиться к персональным данным.
Вместе с тем, нельзя не отметить, что в правовой доктрине существует и противоположный подход, обосновывающий широкое понимание персональных данных. К основным аргументам сторонников широкого подхода к пониманию персональных данных можно отнести принципиальную невозможность точного определения персональных данных ввиду многообразия отношений, связанных с обработкой персональных данных [3], а также высокую динамику этих отношений, характеризующуюся появлением новых способов и техноло-
5
-о Д -С
гп
о
А
а
Н
А У
т; А
X 2
о сч
ю
О!
гий обработки персональных данных [11]. Более того, отмечается, что сужение понятия персональных данных может повлечь нарушение существующих международных обязательств РФ и может вызвать ущемление права на неприкосновенность частной жизни [10]. Также существует позиция, согласно которой сужение понятия персональных данных не позволит решить проблемы с неопределенностью отдельных положений законодательства, а неточности следует устранять путем внесения изменений в иные положения законодательства о персональных данных [6].
Действительно, растущее многообразие способов обработки информации и появление новых видовых данных, обработка которых может влиять на права и свободы человека и гражданина, ставят большой вопрос о том, возможно ли полностью предусмотреть «узким» понятием персональных данных все потенциальные случаи, когда обработка информации будет влиять на права и свободы субъектов персональных данных. При этом нельзя согласиться с тем, что сужение понятия персональных данных не позволит внести большую формальную определенность для субъектов, осуществляющих обработку информации.
Рассмотрев понятие персональных данных в законодательстве и в правовой доктрине в Российской Федерации, нельзя не обратиться к интерпретационным актам судебной практики. Предварительно следует отметить, что в связи с широким подходом к понятию персональных данных в российском законодательстве отсутствует и сложившаяся единообразная судебная практика, которая бы однозначно отграничивала информацию, относящуюся к персональным данным, от иной информации, обработка которой не относится к предмету регулирования законодательства о персональных данных. При этом, судебная практика, зачастую, не пытается вывести новые критерии относимости информации к персональным данным, не пытается установить ограничения для применения правового режима персональных данных в отношении тех или иных категорий информации, а лишь исследует, может ли быть отнесена та или иная информация к персональным данным, исходя из буквального толкования положений законодательства. Например, в решении Белоглин-ского районного суда Краснодарского края от 22 июня 2014 г. по делу N 2-300/2014 N 2-300/2014 ИНН не был признан персональными данными. В определении Московского городского суда от 29 февраля 2012 г. N 33-6709 номера паспорта был признан персональными данными. В постановление Восемнадцатого арбитражного апелляционного суда от 9 декабря 2013 г. N 18АП-13107/2013 по делу N А34-3659/2013 номера лицевого счета, площадь помещения, сумма начисления и задолженности, показания и номер электрического счетчика были признаны персональными данными.
Существуют как судебные акты, интерпретирующие законодательство о персональных данных, исходя из узкого смысла, который закладывался в него законодательством до 25.07.2011 года.
Например, в апелляционном определении Московского городского суда от 28 января 2014 г. по делу N 33-5461/14 было указано, что к персональным данным относится та информация, по которой лицо можно идентифицировать. При этом встречаются и судебные акты, в которых персональные данные понимаются расширительно. Так в решении Арбитражного суда г. Москвы от 25 мая 2016 г. по делу N А40-51869/2016-145-449 было указано, что если данные относятся к определенному физическому лицу, они являются персональными вне зависимости от того, можно ли на основании этих данных определить физическое лицо.
Исходя из вышеизложенного, следует отметить, что законодательно установленное в Российской Федерации понятие персональных данных допускает его расширительное толкование [2], а также позволяет распространять правовой режим персональных данных на такую информацию, обработка которой не влечет нарушение прав субъектов персональных данных. Вместе с тем необходимо указать, что правовое регулирование отношений по обработке персональных данных должно учитывать не только права субъектов персональных данных, но и права операторов персональных данных.
Расширительное толкование понятия персональных данных может повлечь ряд обременительных обязанностей для лиц, осуществляющих обработку даже такой информации, которая самостоятельно не позволяет идентифицировать субъекта персональных данных и никаким образом не влечет нарушений или ущемлений права на неприкосновенность частной жизни. В связи с этим предполагается, что компромиссным решением станет ограничительное толкование персональных данных в правоприменительной практике, опирающееся, однако, не исключительно на цель обеспечения неприкосновенности частной жизни, но и на иные цели, согласующиеся со статьей 2 Федерального закона «О персональных данных». Подобное телеологическое толкование понятия персональных данных не будет создавать обременительных обязанностей для лиц, осуществляющих обработку информации, не нарушающую прав и свобод человека и гражданина, а также позволит обеспечить права и свободы субъектов персональных данных. Данный вывод, однако, не исключает того, что для отдельных категорий данных может потребоваться специальная конкретизация положений законодательства, в том числе, путем включения в законодательство прямых исключений.
Наконец, завершая анализ подходов к понятию персональных данных в Российской Федерации, нельзя не упомянуть о том, что существует отдельная проблема, связанная с правовой квалификацией отношений, предметом которых являются персональные данные [1]. Данная проблематика тесно связана с понятием персональных данных, поскольку от ответа на вопрос о природе персональных данных как объекте права зависит решение многих практических проблем, включая проблему с квали-
фикацией согласия на обработку персональных данных и проблему трансграничной передачи персональных данных. В частности, в настоящий момент едва ли можно однозначно отнести персональные данные к объектам гражданских прав, расценивая их как нематериальные блага, поскольку такой подход ставит под вопрос распоряжение таким объектом в силу его неотчуждаемости.
При этом, необходимо иметь в виду, что законодательство о персональных данных направлено на защиту неприкосновенности частной жизни, право на которую гарантировано Конституцией Российской Федерации и которое не может быть ограничено даже в условиях, предусмотренных статьей 56 Конституции. Тем не менее, Федеральный закон о персональных данных содержит перечень положений, ограничивающий свободное распоряжение персональными данными, в том числе, путем введения ограничений при трансграничной передаче персональных данных. Таким образом, нуждается в дополнительном исследование вопрос правовой природы персональных данных.
Понятие персональных данных в Европейском союзе
Рассматривая Европейский опыт правового регулирования отношений по обработке персональных данных, следует отметить, что 25 мая 2018 года произошла унификация законодательства о персональных данных, в связи с чем на территории Европейского союза сформировалось единое понятие персональных данных. Согласно Регламенту ЕС 2016/679 от 27 апреля 2016 г. «О защите прав физических лиц применительно к обработке персональных данных, о свободном движении таких данных и об отмене Директивы 95/46/ЕС» персональные данные - это любая информация, связанная с определенным или определяемым физическим лицом ("субъектом данных"); лицо признается определяемым, если оно может быть определено прямо или косвенно, в частности, посредством ссылки на идентификаторы, такие как его имя, идентификационный номер, данные о местоположении, онлайн-идентификатор либо один или несколько факторов, характерных для его физической или физиологической, ментальной, экономической культурной или социальной идентичности. Статья 4 (1) Регламента ЕС 2016/679 от 27 апреля 2016 года содержит практически аналогичное российскому законодательному понятие персональных данных, однако содержит примечательную особенность в виде открытой ссылки на ряд идентификаторов, которые могут относиться к персональным данным. Такая ссылка в большей степени учитывает фактически складывающиеся в настоящее время отношения по обработке уникальных идентификаторов физических лиц, в том числе, в сети Интернет, в целях защиты прав и свобод человека и гражданина, поскольку до формирования соответствующей практики и её закрепления в положениях законодательства крупные операторы данных могли использовать такие идентификаторы в своих целях без согласия на это субъектов персональных данных.
Современный подход к определению персональных данных в Европейском союзе также является широким [12], однако содержит примерный открытый перечень информации, которая прямо отнесена к персональным данным. Указанный подход частично закрепляет уже сформированную практику Европейского суда, согласно которой отдельные категории информации были отнесены к персональным данным. Так в решении от 24 ноября 2011 г. по делу Scarlet Extended SA v SABAM C-70/10 Европейский суд признал IP адреса персональными данными, поскольку IP адрес является уникальным сетевым адрес узла в компьютерной сети, который позволяет косвенно определить физическое лицо.
Кроме того, рассматривая понятие персональных данных в Европейском союзе, в целях интерпретации этого понятия нельзя не отметить значимость преамбулы указанного выше регламента. В частности, в статье (4) преамбулы указано, что право на защиту персональных данных не является абсолютным и должно применяться с учетом его назначения в обществе, а также в соотношении с иными фундаментальными правами в соответствии с принципом пропорциональности. Также, исходя из положений преамбулы, следует, что правила обработки персональных данных не должны создавать преград для свободного обращения персональных данных внутри Европейского союза.
Главной целью регламента является обеспечение, с одной стороны, прозрачности и формальной определенности норм, устанавливающих обязанности операторов данных, и, с другой стороны, обеспечение для физических лиц наличия возможности контролировать действия операторов с персональными данными, а также легко предотвращать незаконную обработку персональных данных. Более того, целый ряд положений преамбулы указывает на то, что технологические процессы обработки данных позволяют на беспрецедентном уровне обрабатывать информацию, в связи с чем субъекты персональных данных должны иметь контроль за своими персональными данными.
Таким образом, законодательство в Европейском союзе, в отличие от законодательства Российской Федерации, учитывает в качестве целей законодательного регулирования не только необходимость защиты прав и свобод человека и гражданина при обработке персональных данных, но и совокупность иных фундаментальных прав, интересы государства, коммерческих и некоммерческих организаций, осуществляющих обработку персональных данных. Преамбула Регламента ЕС 2016/679 от 27 апреля 2016 года дает правопри- р менительным органам Европейского союза указа- Д ние на необходимость ограничительного толкова- Ч ния положений законодательства о персональных С данных в общей системе законодательного регу- А лирования с учетом принципа пропорционально- Н сти, чем, безусловно, ограничивает распростране- у ние правового режима персональных данных на А
X 2
0 сч
ю
01
некоторые категории информации и обеспечивает баланс законных интересов.
Несмотря на то, что общий подход к определению персональных данных, сложившийся в законодательстве Европейского союза, сохранился широким, правоприменительная практика ещё до унификации законодательства о персональных данных указывала на необходимость ограничительного толкования персональных данных и поиска дополнительных критериев для отнесения информации к персональным данным. Например, Европейский суд в решении от 24 ноября 2011 г. по делу Scarlet Extended, C-70/10, EU:C:2011:771 определил новый критерий для отнесения информации к персональным данным - она позволяет с высокой степенью достоверности идентифицировать физическое лицо.
Кроме того, необходимо отметить, что одним из ключевых вопросов, с которым столкнулись законодательство и судебная практика в Европейском союзе, является вопрос правовой квалификации информации, генерируемой браузером. Данный вопрос имеет большое значение, поскольку, с одной стороны, организации, обрабатывающие такую информацию, должны понимать, нарушают ли они при этом права субъектов персональных данных, а, с другой стороны, субъекты персональных данных должны понимать, имеют ли они право ограничивать или исключать использование такой информации.
Практика Европейского союза исходит из следующего. Информация, создаваемая браузером, содержит два релевантных элемента, а именно: историю браузера с количеством посещенных сайтов, датами и количеством таких посещений пользователем; информацию, позволяющую идентифицировать устройство пользователя посредством уникального идентификатора. Поскольку указанная информация позволяет определить лицо, а также позволяет использовать её для применения целевой рекламы, такая информация относится к категории персональных данных. Такой вывод был подтвержден в решении от 27.03.2015 года Апелляционного суда Англии и Уэльса по делу A2/2014/0403. Данный вывод имеет существенное правовое значение и именно поэтому владельцы сайтов в сети Интернет в настоящее время размещают формы согласия пользователей, предусматривающие согласие на использование информации, создаваемой браузером, куки и т.п. Необходимо отметить, что данное согласие в соответствии со сложившейся в Европейском союзе практике необходимо получать вне зависимости от того, регистрируется ли пользователь на соответствующем сайте или нет, что подтверждается, например, в решении Бельгийского суда первой инстанции по делу 15/57/C от 09.11.2015 года с участием корпорации Фейсбук.
Доктринальный подход к персональным данным, представленный в Европейском союзе, исходит из того, что к персональным данным не следует ту информацию, которая никаким образом не может быть отнесена к субъекту персональных
данных [13]. При этом отмечается, что определимость физического лица должна быть оценен объективно. Это означает, что во внимание должно приниматься не только наличие юридических и фактических возможностей оператора персональных данных, но также наличие таких возможностей и у третьих лиц [14].
Данный доктринальный подход на практике, в частности, означает, что совокупность данных, позволяющих прямо или косвенно определить физическое лицо, будет считаться персональными данными, даже если не все эти данные имеются у одного лишь оператора данных, при условии, что такой оператор располагает возможностью использовать с помощью третьих лиц такие методы, которые с высокой степенью могут быть использованы для идентификации физических лиц. Данный подход, в частности, подтверждается в решении Европейского суда от 19 октября 2016 г. по делу Patrick Breyer v. Bundesrepublik Deutschland, C-582/14. Таким образом, право Европейского союза признает при указанных выше условиях возможность распространения правового режима персональных данных на информацию, вне зависимости от её принадлежности одному конкретному лицу -оператору данных.
Выводы
Как можно заметить, исходя из вышеизложенного, и в Российской Федерации, и в Европейском союзе широко сформулированное законодательное определение персональных данных влечет необходимость его ограничительного толкования. При этом, такое толкование должно, с одной стороны, отвечать требованиям защиты неприкосновенности частной жизни, но, с другой стороны, не быть излишне обременительным для операторов данных.
В отличие от Российской Федерации, законодательство и правоприменительная практика Европейского союза предусматривает ряд существенных принципов, согласно которым информацию следует относить или не относить к персональным данным. Кроме того, подход к понятию персональных данных в Европейском союзе отличается и тем, что европейское законодательство прямо указывает на то, что право на защиту данных не является абсолютным, а должно интерпретироваться с учетом прав и обязанностей иных лиц, включая операторов данных, согласно принципу пропорциональности. Наконец, доктринальный и правоприменительный опыт Европейского союза предусматривает ряд последовательных критериев, которые позволяют отграничить случаи, когда информация должна относиться к категории персональных данных.
При этом, законодательство о персональных данных в Российской Федерации и соответствующая правоприменительная практика, не содержащие никаких отсылок к тому, что обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, должно реализоваться с учетом иных правовых принципов, а также прав и обязанностей операторов данных, в
настоящее время вряд ли можно назвать формально определенным правовым регулированием. В связи с этим представляется необходимым следующее.
Одним из возможных способов сужения понятия персональных данных будет являться импле-ментация ограничительных принципов, согласно которым будет определяться необходимость распространения правового режима персональных данных в отношении конкретной информации. Данные ограничительные принципы должны исходить из того, что право на защиту персональных данных не может априорно преобладать над иными защищаемыми правами и законными интересами третьих лиц, а должно рассматриваться в совокупности с правами и законными интересами третьих, с учетом принципа пропорциональности.
Кроме того, для сужения понятия персональных данных уместным будет восприятие европейского опыта в части определения тех критериев, которые необходимо использовать для того, чтобы на информацию можно было распространить правовой режим персональных данных. Такая мера позволит операторам данных понимать, в отношении какой именно информации и в каких случаях следует соблюдать все предусмотренные законодательством меры по её защите.
Вышеизложенные меры представляются наиболее адекватными для восполнения существующих в действующем законодательстве Российской Федерации и релевантной правоприменительной практике пробелов и неопределенностей, связанных с интерпретацией понятия персональных данных. При этом, не исключается, что для целей обеспечения формальной определенности публичных обязанностей операторов данных необходимо будет воспользоваться и иными способами, которые позволят конкретизировать правовое регулирование обработки информации.
Литература
1. Архипов В.В. Проблема квалификации персональных данных как нематериальных благ в условиях цифровой экономики, или Нет ничего более практичного, чем хорошая теория // Закон. 2018. N 2. С. 52 - 68.
2. Багаев В. Стоит задуматься, что можно упростить в существующем законодательстве, если люди решают свои экономические задачи альтернативными способами [Интервью с И.А. Дроздовым] // Закон. 2018. N 2. С. 6 - 17.
3. Бачило И.Л. и др. Персональные данные в структуре информационных ресурсов. Основы правового регулирования. Минск, 2006. 474 с.
4. Буркова А.Ю. Определение понятия "персональные данные" // Право и экономика. 2015. N 4. С. 20- 24.
5. Бычков А.И. Категории персональных данных // СПС КонсультантПлюс. 2018.
6. Грибанов А.А. Общий регламент о защите персональных данных (General Data Protection Regulation): идеи для совершенствования российского законодательства // Закон. 2018. N 3. С. 149 - 162.
7. Жарова А.К. Опыт правового обеспечения безопасности персональных данных (на примере Аргентины и Великобритании) // Информационное право. 2017. N 4. С. 16 - 27.
8. Наумов В.Б., Архипов В.В. Понятие персональных данных: интерпретация в условиях развития информационно-телекоммуникационных технологий // Российский юридический журнал. 2016. N 2. С. 186 - 196.
9. Приезжева А.А. Федеральный закон «О персональных данных»: научно-практический комментарий (постатейный) / А.Х. Гафурова, Е.В. Доро-тенко, Ю.Е. Контемиров и др.; под ред. А.А. При-езжевой. М.: Редакция "Российской газеты", 2015. Вып. 11. 176 с.
10. Савельев А.И. Направления регулирования Больших данных и защита неприкосновенности частной жизни в новых экономических реалиях // Закон. 2018. N 5. С. 122 - 144.
11. Савельев А.И. Научно-практический постатейный комментарий к Федеральному закону "О персональных данных". М.: Статут, 2017. 320 с.
12. Фуренец А. GDPR: будьте знакомы! // Банковское обозрение. 2018. N 7. С. 60 - 62.
13. EU General Data Protection Regulation (GDPR): An Implementation and Compliance Guide -Second edition. IT Governance Privacy Team. 2017. 400 p.
14. L. Feiler., N. Forgo, M. Weigl. The EU General Data Protection Regulation (GDPR): A Commentary. 2018. 333 p.
Conception of personal data in the Russian Federation and the
European union Miraev A.G.
St. Petersburg State University
The present article describes conceptions of personal data presented in law, law enforcement practice and legal doctrine in the Russian Federation and the European Union. The author analyzes main arguments for restricted and broadside approaches to personal data conception. As it is considered that current broadside approach creates excessive legal obligations to data operators, which process information without infringement of rights and freedoms of persons and citizens, the possibility of restrictive interpretation of personal data definition is analyzed in the article, as it provides the ability to secure transparent regulation of data processing and to enlarge formal certainty of rules establishing data operators obligations. The article contains critics of broadside approach to personal data conception connected with large amount of obligations imposed on data operators, data processing activities of which does not affect rights of data subjects. Moreover, the article also includes principles of determination of information as personal data provided by law enforcement practice and legislation of the European Union. Accumulated in the European Union principles of determination of information as personal data, in the author's opinion, shall be relevant and helpful for the purposes of determination of relevancy of information to personal data in the legislation and law enforcement practice in the Russian Federation. It shall be also helpful for the purposes of transparency and formal certainty of data protection legislation. Key words: personal data, informational law, privacy, personal data definition, data processing.
References
1. Arkhipov V.V. Problema kvalifikatsii personal'nykh dannykh kak
nematerial'nykh blag v usloviiakh tsifrovoi ekonomiki, ili Net nichego bolee praktichnogo, chem khoroshaia teoriia // Zakon. 2018. N 2. pp. 52 - 68.
2. Bagaev V. Stoit zadumat'sia, chto mozhno uprostit' v sushchestvuiushchem zakonodatel'stve, esli liudi reshaiut svoi
S^v
5
-C
m
о
a
Н
А У
т; А
ekonomicheskie zadachi al'ternativnymi sposobami [Interv'iu s I.A. Drozdovym] // Zakon. 2018. N 2. pp. 6 - 17.
3. Bachilo I.L. i dr. Personal'nye dannye v strukture infor-matsionnykh resursov. Osnovy pravovogo regulirovaniia. Minsk, 2006. 474 p.
4. Burkova A.U. Opredelenie poniatiia "personal'nye dannye" // Pravo i ekonomika. 2015. N 4. pp. 20- 24.
5. Bychkov A.I. Kategorii personal'nykh dannykh // SPS Kon-sul'tantPlius. 2018.
6. Gribanov A.A. Obshchii reglament o zashchite personal'nykh dannykh (General Data Protection Regulation): idei dlia sovershenstvovaniia rossiiskogo zakonodatel'stva // Zakon. 2018. N 3. pp. 149 - 162.
7. Zharova A.K. Opyt pravovogo obespecheniia bezopasnosti per-
sonal'nykh dannykh (na primere Argentiny i Velikobritanii) // In-formatsionnoe pravo. 2017. N 4. pp. 16 - 27.
8. Naumov V.B., Arkhipov V.V. Poniatie personal'nykh dannykh: interpretatsiia v usloviiakh razvitiia informatsionno-telekommunikatsionnykh tekhnologii // Rossiiskii iuridicheskii zhurnal. 2016. N 2. pp. 186 - 196.
9. Priezzheva A.A. Federal'nyi zakon «O personal'nykh dannykh»:
nauchno-prakticheskii kommentarii (postateinyi) / A.X. Gafu-rova, E.V. Dorotenko, U.E. Kontemirov i dr.; pod red. A.A. Priezzhevoi. M.: Redaktsiia "Rossiiskoi gazety", 2015. Vyp. 11. 176 p.
10. Savel'ev A.I. Napravleniia regulirovaniia Bol'shikh dannykh i zashchita neprikosnovennosti chastnoi zhizni v novykh ekonomicheskikh realiiakh // Zakon. 2018. N 5. pp. 122 - 144.
11. Savel'ev A.I. Nauchno-prakticheskii postateinyi kommentarii k Federal'nomu zakonu "O personal'nykh dannykh". M.: Statut,
2017. 320 p.
12. Furenets A. GDPR: bud'te znakomy! // Bankovskoe obozrenie.
2018. N 7. pp. 60 - 62.
13. EU General Data Protection Regulation (GDPR): An Implementation and Compliance Guide - Second edition. IT Governance Privacy Team. 2017. 400 p.
14. L. Feiler., N. Forgo, M. Weigl. The EU General Data Protection Regulation (GDPR): A Commentary. 2018. 333 p.
X 2
0
CS
to
01
