какая информация является личной
Что относится к персональным данным. Кому их можно передавать, как хранить и уничтожать
В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.
Что такое персональные данные и что к ним относят
Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).
К персональным данным, согласно данному закону, относят:
Но стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, персональными являться не могут. Если номер телефона сам по себе не является персональными данными, то в базе оператора, с указанием ФИО владельца — является. Адрес электронной почты в формате petrov_sergey_1987@mail.ru — тоже относится к персональным данным, как и ФИО, с привязкой к ИНН, номеру телефона или месту регистрации.
Также существует классификация персональных данных. Их подразделяют на:
Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.
Немного подробнее по каждой категории.
Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.
Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,
Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.
Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.
К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация,
информация о принадлежности к определенной социальной группе,
Обработка персональных данных
Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.
Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:
В свою очередь, обработка может осуществляться тремя путями:
После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).
Что будет, если нарушить законодательство о персональных данных
Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.
Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.
Что делать, чтобы не попасть под штрафы
Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:
Все нужна регистрация в Роскомнадзоре?
Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:
Во всех остальных случаях — регистрация обязательна!
Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!
Персональные данные (Краткий FAQ)
Что такое персональные данные?
Что такое оператор и субъект персональных данных?
Как классифицировать информационную систему персональных данных?
Судный день отсрочен до 1 января 2011 года
ДОПОЛНЕНИЕ :
Но как всегда случается, операторы персональных данных особо не шевелились, и мало кто успел сделать все, что требуется. 16 декабря 2009 г. Госдума приняла в третьем чтении поправки к статьям 19 и 25 закона «О персональных данных» (152-ФЗ). Срок приведения информационных систем персональных данных (ИСПДн) в соответствие с данным законом перенесли на год – до 1 января 2011 г. Кроме того, из закона исключена норма, обязывающая оператора при обработке персональных данных использовать шифровальные (криптографические) средства для защиты данных.
Обязательные требования по защите информационных систем персональных данных
Основные обязательные требования к организации системы защиты информации в зависимости от класса типовой ИСПДн:
Для ИСПДн класса 4:
Перечень мероприятий по защите персональных данных определяется оператором (в зависимости от возможного ущерба)
Для ИСПДн класса 3:
• декларирование соответствия или обязательная аттестация по требованиям безопасности информации
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (для распределенных систем ИСПДн К3)
Для ИСПДн класса 2:
• обязательная аттестация по требованиям безопасности информации
• должны быть реализованы мероприятия по защите персональных данных от ПЭМИН
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации для распределенных систем
Для ИСПДн класса 1:
• обязательная аттестация по требованиям безопасности информации
• должны быть реализованы мероприятия по защите персональных данных от ПЭМИН
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации
Порядок действий по защите информационной системы персональных данных
Последовательность действий при выполнении требований законодательства по обработке персональных данных:
1) Уведомление в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации;
2) Предпроектное обследование информационной системы — сбор исходных данных;
3) Классификация системы обработки персональных данных;
4) Построение частной модели угроз с целью определения их актуальности для информационной системы;
5) Разработка частного технического задания на систему защиты персональных данных;
6) Проектирование системы защиты персональных данных;
7) Реализация и внедрение системы защиты персональных данных;
8) Выполнение требований по инженерной защите помещений, требований по пожарной безопасности, охране, электропитанию и заземлению, санитарных и экологических требований;
9) Аттестация (сертификация) по требованиям безопасности информации;
10) Повышение квалификации сотрудников в области защиты персональных данных;
11) Сопровождение (аутсорсинг) системы защиты персональных данных.
Когда аттестация и сертификация обязательна?
Аттестация информационных систем по требованиям безопасности информации обязательна:
— для ИСПДн, в случае отнесения персональных данных к государственному информационному ресурсу (см.«Специальные требования и рекомендации по технической защите конфиденциальной информации», Гостехкомиссия России, 2001 г.) ;
– в остальных случаях — для ИСПДн 1, 2 и 3 классов.
Для ИСПДн 3 класса по решению оператора процедура обязательной аттестации может быть заменена процедурой декларирования соответствия (см. «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», ФСТЭК России, 2008 г., п.3.11). К сожалению, в настоящее время процесс декларации соответствия не регламентирован.
Средства защиты информации, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия (см. «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», п.5), включая сертификацию на соответствие требованиям по безопасности информации (см. «Основные мероприятия по организации. », п. 3.3).
При этом, для программного обеспечения, используемого при защите информации в ИСПДн (средств защиты информации, в том числе встроенных в общесистемное и прикладное программное обеспечение), должна быть проведена в том числе сертификация на отсутствие недекларированных возможностей (см. «Основные мероприятия по организации. », пп. 4.2, 4.3).
Примечание:
1) Операторы ИСПДн при проведении мероприятий по обеспечению безопасности персональных данных (конфиденциальной информации) при их обработке в ИСПДн 1, 2 классов и распределенных информационных систем 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.
2) Заявители на сертификацию средств защиты информации (разработчики СЗИ, ИСПДн или операторы персональных данных) должны иметь лицензию на осуществление деятельности по разработке и/или производству средств защиты конфиденциальной информации.
ДОПОЛНЕНИЕ :
В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456; опубликован: «Российская газета», 5 марта 2010 г., № 46) не применять с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных следующие методические документы ФСТЭК России:
• Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
• Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.
Ответственность за нарушения по обработке персональных данных
Лица, виновные в нарушении требований Федерального закона 152-ФЗ «О персональных данных», несут:
— гражданскую,
– уголовную (см. Уголовный кодекс Российской Федерации, ст.137, 140, 155, 183, 272, 273, 274, 292, 293),
— административную (см. Кодекс Российской Федерации об административных правонарушениях, ст. 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2),
— дисциплинарную (см. Трудовой кодекс Российской Федерации, ст.81; ст.90; ст.195; ст.237; ст.391)
и иную предусмотренную законодательством РФ ответственность (см. подзаконные акты по работе с персональными данными, которые издаются в субъектах РФ, ведомствах и организациях).
Аббревиатуры используемые в статье:
ФСТЭК — Федеральная служба по техническому и экспортному контролю.
ПЭМИН — Побочные Электромагнитные Излучения и Наводки
Персональные данные для digital-маркетинга: полный гайд и шаблоны документов
Вы собираете имейлы или телефоны клиентов — вы оператор персональных данных. Разбираемся, как не нарушить закон.
Евгений Царёв
Управляющий RTM Group, эксперт в области IT-права и кибербезопасности. 15 лет в сфере защиты информации, из них более 10 лет — на руководящих позициях в крупных компаниях отрасли, включая Leta IT-Company и Swivel Secure. В 2018 году основал и возглавил группу компаний RTM Group, специализирующуюся на IT-праве, судебных компьютерных экспертизах и аудите в области ИБ и ИТ.
Самозанятый автор. Создаёт статьи в блог и коммерческий контент. Пишет о маркетинге, финансах, бизнесе и YouTube.
Что такое персональные данные
Понятие персональных данных и правила их обработки содержатся в федеральном законе №152-ФЗ «О персональных данных». Согласно ему, персональные данные — это «любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)».
Когда вы начинаете обрабатывать такие сведения, то становитесь оператором персональных данных. Под обработкой закон понимает любые действия: сбор, запись, систематизацию, накопление, хранение, — вплоть до уничтожения. Полный список можно посмотреть в этой статье.
Почти все компании в России — операторы персональных данных, потому что обрабатывают хотя бы сведения о сотрудниках. Также операторами становятся все, кто обрабатывает сведения о клиентах. Вот несколько типовых ситуаций:
В тот момент, когда вы начинаете обработку персональных данных, запускается и механизм ответственности. Вы становитесь оператором со всеми последствиями.
О чём необходимо помнить операторам, когда они обрабатывают персональные данные граждан? Нужно определить цель и сроки обработки ПДн, содержание, объём, перечень и категории обрабатываемых данных, заручиться согласием субъекта. Ниже мы разберём подробнее, какие требования законодательства нужно выполнить.
Уведомление Роскомнадзора
Просто так начать обрабатывать персональные данные нельзя. До старта нужно уведомить Роскомнадзор. Только компании и учреждения, которые вели эту деятельность до выхода соответствующего закона, могут регистрироваться по факту. Другими словами, они могут уведомлять ведомство уже после того, как начали обработку.
Перед подачей заявления нужно подготовиться:
Уже после этого можно регистрироваться. Роскомнадзор разработал форму уведомления для всех, кто будет обрабатывать персональные данные. Есть три способа подать уведомление:
Регулятор вносит сведения в реестр операторов персональных данных в течение 30 дней с даты поступления уведомления. Когда вы начнёте обрабатывать данные и потребуются какие-либо изменения, нужно будет сообщить о них Роскомнадзору. Также нужно будет уведомить, если вы прекратите собирать и обрабатывать данные.
Можно ли обойтись без регистрации в Роскомнадзоре? Можно, но в редких случаях — они описаны в статье 22 №152-ФЗ. В основном это прямые договоры с клиентами, когда вы никому не передаёте информацию о клиентах, а также не предоставляете им дополнительных услуг. Ещё можно обойтись без уведомления, если вы:
Но всё это — только если правоотношения строятся «в чистом виде», что на практике практически невозможно. Например, работодатель наверняка имеет зарплатный проект и передаёт сведения в банк.
Если у вас есть хотя бы небольшие сомнения, лучше спросить регулятора о вашем конкретном случае, чем в одностороннем порядке решить, что предписания к вам не относятся.
Случай из практики. Автосалон не зарегистрировали в качестве оператора персональных данных. Руководители организации решили, что организация подпадает под исключения из части 2 статьи 22 152-ФЗ. Все случаи обработки персональных данных, решили они, — это исключения: автосалон выдаёт разовые пропуска, заключает договоры купли-продажи авто и обрабатывает сведения о работниках.
Организация сообщила об этом в Роскомнадзор информационным письмом. В ответ регулятор разъяснил, что пройти процедуру придётся. Аргументы Роскомнадзора были такими:
Поскольку салон оказывает сопутствующие и посреднические услуги, ему пришлось зарегистрироваться в качестве оператора.
Необходимые документы и их шаблоны
Правильно разработанная юридическая документация поможет свести к минимуму риск, что компанию обвинят в нарушении законодательства о персональных данных. Список необходимых документов включает:
В разделе мы расскажем об этих документах подробнее.
Политика конфиденциальности и правила работы с персональными данными. В документах многих компаний содержится одна и та же ошибка: правила работы с персональными данными они называют политикой конфиденциальности. Однако это разные документы.
Правила работы с персональными данными должны содержать то, что рекомендует Роскомнадзор и требует 152-ФЗ. Политика конфиденциальности шире: документ описывает работу со всей конфиденциальной информацией, в том числе с персональными данными. В политику добавляют то, что нужно защитить дополнительно. Например, это договоры, переписка с клиентами и партнёрами, внутренняя документация.
Два документа можно объединить в один, это не противоречит законодательству. Когда пользователи регистрируются на сайте, их нужно познакомить с политикой конфиденциальности и правилами работы с персональными данными до процедуры регистрации.
Согласие на обработку персональных данных. Форма, которую должен заполнять субъект персональных данных. В ней обязательно должны быть сведения об информационных ресурсах оператора. Это адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имени файла веб-страницы. Нужно указать адреса всех сайтов, которые будут обрабатывать сведения о пользователях.
Согласие должно быть написано чёткими и ясными фразами, чтобы пользователь понял, кому и в каких случаях вы можете передавать его данные. Ошибкой будет написать что-то вроде « Пользователь ознакомлен и согласен с тем, что передача его персональных данных может осуществляться маркетплейсом в объёме, необходимом для получения Пользователем доступа к Платформе, любым третьим лицам, в том числе осуществляющим техническое обслуживание сайта и поддержку Пользователя».
Важно! Если на сайте можно зарегистрироваться, нужно знакомить пользователей с политикой конфиденциальности и получать согласие на обработку персональных данных перед тем, как он отправит анкетные сведения.
Согласие на обработку персональных данных
Когда клиент подписался на новостную рассылку на сайте, оформил заказ на маркетплейсе или оставил заявку на тест-драйв авто, он сообщил как минимум своё имя, номер телефона или email. Это основание запросить и получить согласие на обработку персональных данных.
Пользователь должен принять решение о предоставлении данных свободно и по своей воле. В подтверждение он должен подписать официальное согласие на обработку такой информации.
Законодательство не предполагает конклюдентного подтверждения: то есть пользователь не может дать согласие, выполнив определённые действия. Нельзя прописать в политике, что клиент выражает согласие на обработку его данных, заполняя форму для заказа в интернет-магазине.
Получить согласие на обработку можно в любой форме, позволяющей подтвердить факт его получения. Например, чекбоксом — пунктом, в котором пользователь должен поставить галочку. Предустанавливать её нельзя: субъект персональных данных должен сам выразить согласие. Разместить чекбокс нужно во всех формах, в которых собирают персональные данные.
Также можно поместить уведомление о согласии на обработку рядом с кнопкой. Нажав на неё, пользователь согласится с тем, что вы будете обрабатывать его данные. Часто веб-сервисы собирают разрешения в личных кабинетах, где пользователи также проставляют метки в специальных формах.
Важно! Если собираете биометрические данные (фото пользователей или аудио с их голосом), нужно получать только письменное согласие на обработку персональных данных. Чекбокс не подойдёт.
В любой момент пользователь может отозвать согласие на обработку персональных данных. Тогда вы должны будете прекратить обрабатывать их, то есть удалить.
Бывают ли случаи, когда не нужно брать согласие на обработку персональных данных? Бывают, но их мало. Закон разрешает не брать согласие, если « обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора».
Не забывайте получать согласие на обработку персональных данных, даже если это кажется избыточным. Самые частые нарушения, за которые штрафуют операторов: компании обрабатывали данные без согласия владельцев или объём запрошенных данных не соответствовал целям обработки. Эти нарушения приводят не только к штрафам, но и к утечкам.
Ответственность за нарушения при обработке персональных данных
Правомерную обработку персональных данных контролирует Роскомнадзор, иногда это делают также Роструд и ФАС. Ответственность за нарушения в этой сфере год за годом ужесточается. Подробнее о видах ответственности читайте здесь.
По статье 13.11 КоАП РФ Роскомнадзор может возбудить дело об административном правонарушении и наложить штраф:
Риск привлечения к ответственности и размер штрафа не зависят от масштабов компании. Главное — характер и злостность нарушения.
Кейс. Роскомнадзор выявил нарушения на интернет-ресурсе, принадлежащем французскому регистратору доменов Gandi SAS. Когда клиент проставлял галочку о согласии на обработку персональных данных, он не получал информации об операторе.
Кроме того, компания обрабатывала личные сведения граждан России на территории США с нарушением требований 152-ФЗ. Согласно пункту 5 статьи 18 152-ФЗ, при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить обработку персональных данных с использованием баз данных, находящихся на территории России. У компании также не было политики обработки персональных данных. В результате рассмотрения дела ресурс включили в Реестр нарушителей прав субъектов персональных данных.
Только за 2020 год число заблокированных Роскомнадзором ресурсов превысило 190 тысяч. У регулятора есть широкий список оснований, в соответствии с которыми он может включить ресурс в список нарушителей. Подробный список представлен здесь.
Кроме того, в июле 2021 года вступил в силу 355-ФЗ, который внёс поправки в статью 7 115-ФЗ — закона о борьбе с легализацией доходов и финансированием терроризма.
Согласно новой редакции закона, банки обязаны принимать на обслуживание только те компании, сайт которых работает легитимно. А значит, он не заблокирован, не нарушает правила обработки персональных данных и другие предписания Роскомнадзора. Если есть какие-то нарушения, банк обязан отказать в обслуживании: компания не сможет совершать любые операции по расчётному счёту.
Закон касается не только новых компаний, но и тех, кто давно работает с расчётным счётом. Сфера бизнеса и организационно-правовая форма не имеют значения — никаких исключений нет. Банкам предписано выборочно проверять сайты на соответствие закону и бить тревогу, если выявлены нарушения.
обложка: Polina Vari для Skillbox Media
Что такое персональные данные
Понятие персональных данных и правовое регулирование
Защите личной информации посвящен закон «О персональных данных» от 27.07.2006 № 152-ФЗ. В п. 1 ст. 3 закреплено определение термина.
Персональные данные — это любые сведения, которые прямо или косвенно относятся к определенному или определяемому физическому лицу, иначе говоря, субъекту персональных данных.
Однако в законе не конкретизируется, какая именно информация может быть отнесена к личной. Нет ответа и на один из самых распространенных вопросов: являются ли ФИО персональными данными?
Частично конкретизируют расплывчатое определение Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утвержденные приказом Роскомнадзора от 30.05.2017 № 94.
На основании п. 2.5 указанного документа к личным данным относятся:
При этом Роскомнадзор приводит только примерный перечень, указывая, что любые другие сведения, относящиеся к субъекту, также являются персональными.
Иные персональные данные
Помимо перечисленных в Методических рекомендациях упоминаются еще два вида информации, относящейся к личной, а именно:
Особенности отнесения некоторой информации к личной
Поскольку ни в одном нормативном документе не фигурирует полный перечень персональных сведений о человеке, важно определить критерии, по которым можно понять, является информация персональной или нет.
Основной критерий закреплен в уже упомянутом п. 1 ст. 3 закона № 152-ФЗ. Таковой является информация, если по ней можно сделать вывод, какому физическому лицу она принадлежит.
Кроме того, законом (п. 9 ст. 3 закона № 152-ФЗ) введено такое понятие, как обезличивание личных сведений. Это совершение с личной информацией таких действий, после которых невозможно будет установить, к какому лицу она относится. Соответственно, персональные данные — это любые сведения, которые могут прямо или косвенно указать на человека, которому они принадлежат.
В этой связи рассмотрим подробнее вопрос об отнесении к личным сведениям некоторых видов данных.
Номер телефона
Чтобы понять, является ли номер телефона персональными данными, обратимся к закону «О связи» от 07.07.2003 № 126-ФЗ. На основании п. 1 ст. 53 этого закона Ф. И. О. и абонентские номера гражданина — это информация ограниченного доступа. Такие сведения охраняются законодательством, в том числе законодательством о персональных данных.
Более того, норма прямо указывает, что предоставление любых сведений, позволяющих идентифицировать пользователя, без согласия самого абонента запрещено.
Таким образом, можно сделать вывод, что номер телефона, принадлежащий физическому лицу, — это косвенная информация о конкретном человеке, соответственно, в силу п. 1 ст. 3 закона № 152 и с учетом положений п. 1 ст. 53 закона № 126 телефонный номер можно отнести к персональным данным в случае, если по номеру можно определить его принадлежность. Разумеется, по набору чисел сделать это нельзя. Соответственно, если нет совокупности данных, например номера телефона и имени, нельзя говорить о том, что номер телефона —это персональные сведения.
Электронная почта
Ответ на вопрос, является ли электронная почта персональными данными, менее очевиден, поскольку на законодательном уровне он не регламентируется. Исходя из общих положений, при отсутствии иных сведений о лице, которому принадлежит e-mail, электронный адрес не относится к персональным данным.
Но необходимо учитывать и сам адрес, который может включать возраст, имя, дату рождения, место рождения и прочие сведения о владельце (например, ivanivanov1986@moskva.ru). В этом случае электронная почта относится к личным данным.
Как правило, личная информация собирается в совокупности. Например, при регистрации на каком-то сайте пользователь вводит не только адрес электронной почты, но и имя. В данном случае совокупность информации позволяет идентифицировать человека, соответственно, собираемые сведения однозначно можно отнести к персональным данным.
ИНН, СНИЛС, паспортные данные
В отношении перечисленных сведений ответ очевиден: они подлежат защите в соответствии с законодательством о персональных данных, поскольку прямо относятся к конкретным лицам. Такой вывод подтверждается и судебной практикой, например апелляционным определением Московского городского суда от 20.10.2014 по делу № 33-35747.
Номера ИНН, СНИЛС и паспортные данные однозначно позволяют идентифицировать конкретного человека.
Итоги
Таким образом, хотя закон и дает определение персональных данных, но не приводит их исчерпывающий перечень, что вызывает много вопросов как у субъектов персональных данных, так и у операторов. Тем не менее законодательство содержит критерий, позволяющий определить, относится ли конкретная информация к личной. Этим критерием является возможность идентифицировать личность лица, к которому такие сведения относятся.