Ничего личного, только данные

Что такое персональные данные

Согласно Федеральному закону 152-ФЗ, персональные данные (ПД) — это любая информация, которая относится прямо или косвенно к определенному или определяемому физическому лицу. Из этой достаточно размытой формулировки можно сделать простой вывод: одни и те же данные в одних условиях считаются персональными, а в других — нет.

Взять, например, дату рождения. Если она написана на песке на необитаемом острове и мы сидим там одни, то это не персональные данные. Мы ничего не можем с ними сделать, мы не понимаем, кому они принадлежат и по этим данным «выйти» на конкретное физическое лицо не можем. Другое дело, когда эта дата — часть данных в CRM-системе, допустим, профиля врача или клиента. Та же самая дата рождения легко атрибутируется к конкретному лицу. Тогда это персональные данные и мы должны соблюдать все выдвигаемые законом требования.

Нередко у владельцев и пользователей систем CRM возникает желание что-нибудь сделать с ПД, чтобы они перестали быть персональными, чтобы не надо было получать у граждан разрешение на их обработку. Иными словами, как-то обезличить ПД, обобщить. Чаще всего это сводится к тому, что из системы удаляют ФИО, должность или, наоборот, дату рождения, номер телефона. Однако, согласно закону, в результате обезличивания ПД все равно остаются ПД. То есть, как бы парадоксально это ни звучало, обезличивание персональных данных не приводит к тому, что они теряют характеристики персональных. 

В этом есть логика. Ведь если мы просто указываем «главный врач такой-то больницы», а на сайте этой самой больницы есть ФИО главврача, то установить, кто именно это, не составляет труда.  

Кто должен являться оператором персональных данных? В случае, когда фармкомпания собирает, допустим, данные медицинских представителей и использует CRM-систему, то она же и выступает оператором. Именно она определила, какие данные и зачем...