Новые нормы Евросоюза по защите персональных данных
Введение
В апреле 2016 г. вступил в силу Регламент (ЕС) 2016/679 Европейского Парламента и Совета «О защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмене Директивы 95/46/ EC (Общие положения о защите данных)» (далее – GDPR (General Data Protection Regulation)). С 25 мая 2018 года GDPR начал применяться на территории Европейского Союза.
Правовая основа и порядок применения Регламентов и Директив на территории стран Европейского Союза различны. Директивы требуют имплементации в национальное право государств-членов. Регламенты же, напротив, непосредственно применяются на территории государств-членов, являясь прямыми законодательными актами Евросоюза. Таким образом, GDPR применяется на территории стран Евросоюза с последующей гармонизацией с Регламентом собственного национального права. Для разъяснения положений Регламента создана Рабочая группа WP29, которая публикует пояснительные документы и рекомендации по применению GDPR.
В данной работе рассматриваются основные положения и понятия GDPR, правовая основа обработки данных в Европейском Союзе, приводятся примеры применения GDPR, проводится общее сравнение Европейского и Российского законодательства в области обработки персональных данных.
ОБЩИЕ СВЕДЕНИЯ GDPR
1.1. Область определения и основные понятия
GDPR устанавливает правила по защите физических лиц в области обработки персональных данных, их свободного перемещения в рамках Евросоюза, включая трансграничную передачу данных. Территориальная сфера применения Регламента закреплена в Статье 3. GDPR применяется на территории Европейского Союза, однако действие Регламента GDPR распространяется на субъектов за пределами Европейского Союза.
Требования Регламента защищают физические лица в отношении обработки персональных данных субъектами, которые не учреждены в Европейском Союзе, в следующих случаях:
- обработка персональных данных связана с предложением товаров или услуг субъектам данных в Евросоюзе, независимо от того, связано это с их с оплатой или нет;
- мониторинг поведения субъектов данных, поскольку их поведение происходит в Европейском Союзе.
Статья 4 Регламента вводит основные понятия:
1. «Персональные данные» ("personal data") – любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»); идентифицируемое физическое лицо – это лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификатор, такой как имя, фамилия, идентификационный номер, данные о местоположении, онлайн-идентификатор или один или несколько характерных для указанного лица физических, физиологических, генетических, духовных, экономических, культурных факторов или ссылаясь на факторы социальной идентичности.»
К персональным данным относятся:
- имя, фамилия, отчество, дата рождения;
- адрес постоянной регистрации, место фактического проживания;
- номер паспорта, СНИЛС, ИНН и других документов;
- номер телефона, e-mail и другая контактная информация;
- место работы, должность.
Существует специальные категории персональных данных, имеющих более строгие требования к обработке. К таким данным относятся:
- состояние здоровья;
- вероисповедание;
- национальность;
- биометрические данные – физические, физиологические или поведенческие признаки физического лица, при помощи которых возможно однозначно идентифицировать человека.
2. «Обработка» ("processing") означает любую операцию или набор операций, которые выполняются над персональными данными или над наборами персональных данных, автоматическими или неавтоматическими средствами. Такие как сбор, запись, организация, структурирование, хранение, адаптация или изменение, просмотр, использование, раскрытие (путем передачи, распространения или, иначе, делая их доступными), выравнивание или комбинирование, ограничение, удаление или уничтожение.»
Субъекты, осуществляющие обработку персональных данных, в GDPR определяются двумя терминами: «контроллер» и «процессор».
3. «Контроллер» ("controller") – физическое или юридическое лицо, публичное учреждение, агентство или иная структура, которая самостоятельно или совместно с другими определяет цели и способы обработки персональных данных; если цели и способы такой обработки определены правовыми актами Союза или Государства-члена ЕС, то контроллер или частные критерии для его назначения могут быть предусмотрены правовыми актами Союза или Государства-члена ЕС.»
«GDPR устанавливает, что контроллер обязан: в определенных случаях сотрудничать с обработчиками данных; вести учетную документацию; осуществлять оценку воздействия обработки персональных данных на права субъектов данных для некоторых видов обработки данных; внедрять механизмы защиты данных; в момент сбора персональных данных предоставлять субъектам данных полную информацию о целях сбора персональных данных, о правах субъектов данных и т.д.; обязаны, по возможности, в течение 72 часов уведомлять национальные органы по защите данных (Data Protection Authorities) об обнаружении утечек персональных данных и соответствующих субъектов персональных данных. »
4. «Процессор» (или «обработчик») ("processor") – это физическое или юридическое лицо, государственный орган, агентство или другой орган, который обрабатывает личные данные от имени контроллера.»
Согласно Регламенту процессор должен: «вести письменный реестр операций по обработке персональных данных, выполненных от имени и по поручению каждого контроллера; если у обработчика нет представителя в Евросоюзе, он обязан назначить такое лицо в определенных случаях; без задержек уведомлять контроллера об утечках персональных данных; участвовать в деятельности по трансграничной передаче данных».
1.2. Принципы и законные основания обработки персональных данных
Статья 5 Регламента устанавливает следующие принципы обработки персональных данных:
1. Законность, честность и обзорность ("lawfulness, fairness and transparency"). Подробные разъяснения законных оснований для обработки персональных данных содержатся в Статьях 6-10 Регламента. Статья 12 GDPR раскрывает обязательства контроллера по предоставлению субъекту данных информации, указанной в Статьях 13-14. Работа с персональными данными должна проводиться на законных основаниях, не нарушая других требований законодательства (это особенно важно для специальных категорий персональных данных). Согласно этому принципу физические лица должны четко знать, для чего и как будут использоваться их персональные данные, быть застрахованными от причинения вреда и ущерба при обработке персональных данных
Зарегистрируйся, чтобы продолжить изучение работы
.
Подробнее рассмотрим вопрос законности обработки персональных данных. Согласно Статье 6 обработка данных является законной, если соблюдается одно из следующих условий:
- «субъект данных дал согласие на обработку его персональных данных для одной или более конкретных целей». Запрос согласия на обработку данных дает субъекту данных возможность выбора, вызывает доверие. Формулировка согласия должна быть ясной, лаконичной и конкретной, не вводить в заблуждение. Не допускается использования «согласия по умолчанию» (например, заранее проставленные в нужных местах «флажки»).
- «обработка нужна для выполнения договора, в котором субъект данных является заключающей договор стороной, или для принятия мер по требованию субъекта данных до заключения договора». Иными словами, если физическое лицо заключило договор с какой-либо организацией в целях получения определенных услуг, то эта организация имеет право на обработку персональных данных этого лица, чтобы выполнить свои обязательства по договору.
- «обработка необходима для выполнения юридического обязательства в отношении контроллера». Это законное основание применяется, когда обработка персональных данных необходима для исполнения действующих правовых норм.
- «обработка нужна для защиты жизненно важных интересов субъекта данных или других лиц». Полагаться на данное основание необходимо в случае необходимости защитить чью-то жизнь, невозможности субъекта данных дать согласие на обработку данных. Нужно отметить, что применение этого законного основания неуместно в случаях оказания плановой медицинской помощи, когда субъект данных в состоянии дать добровольное согласие на обработку данных.
- «обработка необходима для выполнения задач в интересах общества или при осуществлении контроллером законно предоставленных официальных полномочий». Данное законное основание характерно для государственных органов или иных организаций, действующих в интересах общества.
- «обработка необходима для соблюдения законных интересов контроллера или третьего лица, за исключением, если интересы или основные права и свободы субъекта данных, для которых требуется защита персональных данных, являются более важными, чем такого рода интересы, в особенности, если субъектом данных является ребенок.»
2. Целевые ограничения ("purpose limitation"). Обработка персональных данных должна проводиться только в соответствии с задокументированными определенными целями, о которых субъект данных должен быть оповещен. При выявлении новых целей, отличающихся от первоначальных, требуется дополнительное согласие физического лица на обработку данных. Следует обратить внимание, что цели должны удовлетворять требованиям действующего законодательства.
3. Принцип минимизации данных ("data minimisation"). Согласно GDPR обработке подлежит минимальный адекватный набор персональных данных, требуемый для достижения заданных целей. Хранение и сбор излишнего числа данных о физическом лице является нецелесообразным. Следует отметить, что Регламентом предусмотрено «право на забвение», согласно которому субъект данных может потребовать у контроллера удаления излишних или более не нужных персональных данных (Статья 17 GDPR).
4. Точность ("accuracy"). Обрабатываемые личные данные должны быть точными, обновленными, не вводящими в заблуждение. Регламент предусматривает необходимость принятия мер по своевременному отслеживанию и исправлению неточных данных без задержки. Например, согласно Статье 16 GDPR физическое лицо обладает правом на исправление неточных персональных данных.
5. Ограничение по хранению ("storage limitation"). Данный принцип требует, чтобы персональные данные хранились не дольше, чем это необходимо для целей, для которых эти данные обрабатываются. Персональные данные могут храниться в течение более длительных периодов, так как персональные данные могут обрабатываться только для архивных целей в интересах общества, научных или исторических, исследовательских целей или для целей статистики, с учетом осуществления соответствующих технических и организационных мер. GDPR не устанавливает конкретных сроков сохранности данных. Длительность хранения персональных данных определяется только целями обработки этих данных.
6. Целостность и конфиденциальность ("integrity and confidentiality"). Согласно GDPR при проведении соответствующих технических и организационных мер должна быть обеспечена безопасность обработки, защита от утечки информации, незаконной обработки, случайной потери, уничтожения или повреждения персональных данных.
7. Ответственность за просмотр ("accountability"). Данный принцип гласит, что контроллер несет ответственность за соблюдение вышеперечисленных принципов и, при необходимости, может это наглядно продемонстрировать.
КОНТРОЛЛЕР И ПРОЦЕССОР В GDPR
2.1. Методы определения контроллера и процессора
Важно понимать различие между функциями и задачами контроллера и процессора в аспекте определения «обработки». Принятие важных решений, профессиональная оценка и интерпретация персональных данных должны выполняться контроллером данных. «Обработка» предполагает, что деятельность процессора (обработчика) данных должна быть ограничена «техническими» действиями, такими, например, как сбор, хранение или удаление данных. Необходимо отметить, что выше приведенное объяснение не является точным и простым различием, и некоторые аспекты «обработки», например «владение» персональными данными, могут быть общими и для контроллера, и для процессора.
Контроллер данных определяет цели и способы обработки персональных данных. Он может делать это самостоятельно или совместно с другими организациями. Это означает, что контроллер данных осуществляет общий контроль над деятельностью по обработке данных в рамках «почему», «зачем» и «как». Данное определение обеспечивает определенную гибкость, например оно позволяет одному контроллеру данных по большей части, но не исключительно, контролировать цели обработки другого контроллера. Оно также позволяет другому контроллеру данных иметь отличное мнение в определении цели, в то время как он в основном отвечает за контроль способа обработки. Многие деловые отношения работают таким образом.
Чтобы определить, является ли субъект контроллером данных, необходимо выяснить, принимает ли он решение:
- в первую очередь о сборе персональных данных и на какой правовой основе;
- о содержании персональных данных, которые необходимо собрать;
- о цели или целях, для которых данные должны быть собраны и использоваться;
- у каких групп лиц (определенных лиц) необходимо собирать данные;
- раскрывать ли данные, и если да, то кому;
- о доступе субъекта и правах других лиц;
- как долго сохранять данные или делать нестандартные поправки к данным.
Все вышеперечисленные решения – это решения, которые могут быть приняты только контроллером в рамках общего контроля над операцией обработки данных
50% реферата недоступно для прочтения
Закажи написание реферата по выбранной теме всего за пару кликов. Персональная работа в кратчайшее
время!
Задать вопрос
на новый заказ в Автор24. Это бесплатно.
