Рассматривая задачи, можно обнаружить, что данные, которые никак не попадают в категорию персональных данных, – например, детализация корпоративных звонков – могут все же являться таковыми, если используются для наблюдения за действиями сотрудника. В этом случае Группа рассматривала такие данные, как персональные данные, относящиеся к сотруднику, делающему звонки, и к лицу, которому звонил данный сотрудник. И наконец, рассматривая интерпретацию результатов, можно утверждать, что даже данные, которые не относятся к определенному лицу,т. е. без элемента «содержание», и которые не используются для получения информации об определенном лице,т. е. даже без элемента «задачи», все равно могут являться персональными данными, затрагивающими права и интересы человека. Например, спутниковая система навигации, которая используется исключительно в целях обеспечения эффективности работы диспетчерской службы такси или службы доставки, может содержать персональные данные, так как данные о местонахождении потенциально могут быть использованы для мониторинга за поведением и передвижением водителей.

Группой, по-видимому, было оставлено пространство для маневров при рассмотрении того, что может являться персональными данными, чтобы со временем сузить или расширить это понятие.

Также требует освещения вопрос, рассмотренный Группой в анализе, касающийся требования идентификации субъекта данных. С этой точки зрения наблюдается единая позиция большинства стран. Ни один из законов не требует, чтобы лицо действительно было идентифицировано. Они либо оставляют такую возможность, используя термин identifiable (поддающийся идентификации), или конкретизируют, что данные являются персональными данными, если по ним можно идентифицировать субъекта персональных данных, либо с их помощью субъект персональных данных поддается идентификации. Таким образом, даже малейшая возможность идентификации лица может быть достаточной для того, чтобы отнести данные к персональным данным.

В то же время ни один из этих законов не требует, чтобы субъекта персональных данных можно было напрямую идентифицировать по этим данным. И хотя почти половина официальных определений персональных данных ничего не говорят на этот счет, многие все же констатируют, что возможность даже косвенной идентификации субъекта является достаточной для того, чтобы их защищать. Это, по сути, означает, что данные, находящиеся в чьем-либо распоряжении, даже если они никого не идентифицируют, подлежат обращению как с персональными данными ровно до тех пор, пока они в сочетании с другой доступной информацией могут использоваться для идентификации их субъекта. Стоит понимать, что определение того, насколько субъект персональных данных поддается идентификации, может сильно зависеть от текущих обстоятельств, и то, что не поддается идентификации сегодня, может ей поддаваться уже через несколько лет, что, в свою очередь, может перевести такие данные в категорию персональных данных.

В качестве примера, предложенного Группой, приводится газетная статья о преступлении, в которой раскрываются определенные подробности преступления, но не называется ничьих имен. Поскольку имеется общедоступная информация – будь то информация из судебных протоколов или статьи из других газет, – имеется возможность установить личности задействованных лиц. Таким образом, по мнению Группы, даже если статья не указывает данные участников, все равно будет считаться, что в ней содержатся персональные данные.