Задать вопрос

Является ли fingerprint персональными данными?

Всем доброго времени суток.
Является ли fingerprint персональными данными?
Если не является, какая минимальная информация может к нему быть добавлена, чтобы это всё стало персональными данными?

Если у меня есть fingerprint пользователя, с которым по запросу к открытому api можно сделать запрос и получить, какие-то последние действия пользователя, нужно ли с пользователя брать согласие на обработку данных?
  • Вопрос задан
  • 336 просмотров
Подписаться 6 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 1
dollar
@dollar
Делай добро и бросай его в воду.
Если fingerprint`а достаточно, чтобы идентифицировать человека, то это однозначно персональные данные.

В вашем случае fingerprint идентифицирует только конкретное устройство, а не человека. То есть нельзя сказать, что это за человек и даже какого он пола. Аналогичным образом можно сказать про логин пользователя на вашем сайте - это не персональные данные, хотя он и может довольно точно определить устройства, с которых человек пользуется вашим сайтом.

Так что ответ - нет, это не является персональными данными.

Однако, формулировки закона так размыты, что точно интерпретировать их никто не может. В конкретном случае суд будет решать, что является ПД, а что - нет. Кокретика черпается из уже вынесенных судебных решений. В частности точно известно, что ФИО является ПД. Так что если пользователь в качестве User Agent укажет свои ФИО (надо, конечно, постараться, но технически это возможно), а вы как раз используете User Agent для формирования fingerprint, то fingerprint будет является персональными данными. Это не точно, но скорее всего так будет. Аналогично пользователь может в качестве аватарки закачать своё фото - это тоже ПД.

В общем, всё, что может идентифицировать человека, включая ФИО, адрес, паспорт, телефон и т.д. (любое из) является ПД.

Чтобы застраховаться от суда, просто берите согласие на обработку со всех, у кого хотите брать fingerprint. Например, в Европе уже норма спрашивать на сайте, можно ли пользователю подсунуть куки. А если такое согласие взять проблематично, то и жаловаться на вас, скорее всего, будет некому.

И ещё один нюанс. Если вы хешируете все полученные данные (и не важно, есть там ФИО или нет), то это уже будут обезличенные персональные данные. Они не являются персональными данными. Главное, выберите такой алгоритм, чтобы он был необратим, то есть чтобы нельзя было восстановить исходные данные.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы