Новый закон ЕС о защите персональных данных

С 25 мая 2018 года в Европейском союзе начали применяться новые правила по обработке личных данных – Общий регламент о защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 года, или GDPR – Reglamento general protecсion de datos), который является законом прямого действия в 28 странах Евросоюза.

Личные данные

В последнее время в приходящих на ваш электронный адрес письмах вы могли прочитать такую фразу: «Здравствуйте, мы предприятие Х, нам нужно согласие на хранение вашей личной информации в соответствии с Общим регламентом защиты данных (RGPD)». Корпорации-гиганты, такие как Google, Аpple, Facebook, The Big Date, собравшие невероятное количество информации о пользователях, от отпечатков их пальцев до покупательских пристрастий, теперь обязаны соответствовать новым правилам европейского законодательства, касающимся обработки персональных данных.

Личные данные – это разнообразная информация о человеке, например, его имя и местожительство, сведения о здоровье и общественном положении, фотографии или аудиозаписи, т.е. любые данные, которые прямо или косвенно идентифицирует личность. О случаях использования личной информации и передачи ее третьим лицам читайте в статье «Защита персональных данных. Законность предоставления персональных данных и кредитных историй в Испании».

Зона действия GDPR

Этот закон напрямую обращается к компаниям (независимо от их местонахождения), которые обрабатывают личную информацию резидентов и граждан ЕС.

Какие российские предприятия попадают в зону действия закона:

• компании или представительства, работающие непосредственно в любой из стран ЕС;
• предприятия, реализующие онлайн-услуги или продажи и использующие для этого персональные данные европейцев, например, железнодорожный транспорт, авиатранспорт, туристические агентства, агентства по бронированию отелей и др.;
• организации, созданные вне ЕС, проводящие мониторинг поведения субъектов ЕС.

Мониторинг данных подразумевает:

1. отслеживание поведения гражданина или резидента страны Европейского союза в интернете;
2. обработка личной информации о пользователе для создания профиля групп людей или отдельных лиц;
3. анализ их поведения или отношения к чему-либо (например, личные предпочтения).

Согласие на обработку информации

Компании, получающие данные о клиенте, должны иметь от него разрешение на ее хранение, использование в каких-либо целях и на передачу третьей стороне. До появления нового закона действовало правило молчаливого согласия: если клиент давал свои данные компании, то предполагалось, что он разрешает то, что не запрещает. После скандала с Facebook, когда в президентской предвыборной кампании США были использованы данные миллионов пользователей социальной сети для определения их политических предпочтений, наступило время завоевывать доверие клиентов.

Но есть и исключения из новых правил: согласие не нужно, если есть законное обязательство предоставить необходимую информацию, например, в государственные органы. Почему Королевство Испания оштрафовало известную социальную сеть, мы писали в статье «Власти Испании оштрафовали Facebook на 1,2 млн евро». Обратите внимание: не рекомендуется соглашаться с каким-либо текстом, если там есть заранее поставленная «галочка» о согласии.

Сроки использования информации. Право на забвение

У носителя личной информации появилось право требовать удалить переданную информацию, или «право на забвение». До настоящего времени такое действие выполнялось только по решению суда. Теперь человек может требовать у предприятия или властей удалить его личные данные, если:

• они используются не для тех целей, для которых изначально были получены;
• прошел необходимый срок для использования;
• человек принял решение забрать согласие на использование его данных;
• использовано больше информации, чем было необходимо;
• информация использовались в некорректной форме и т.д.

Право на забвение применяется не только по отношению к поисковым системам. Компании, обрабатывающие личную информацию, обязаны удалить чьи-либо персональные данные по требованию их владельца, если это не противоречит интересам общества или правам человека. О праве на забвение и проблемах использования системы «Блокчейн» подробно написано в статье «Новый общий регламент о защите данных ЕС: основные моменты».

Перенесение информации

Право на перенесение данных – новшество в правилах обработки данных Европейского союза. Компании обязуются по требованию субъекта данных передавать электронную копию информации другой компании. Например, человек использует сервис для аренды квартир «A», затем решил перейти на сервис «B». В данном случае право на перенос данных по запросу их владельца позволяет получить от «A» информацию о личности (в частности, предпочтения по количеству комнат и дополнительные пожелания) и передать их сервису «B».

Контроллер по защите данных

В новом законе есть определения ответственных исполнителей по работе с персональными данными: это контроллеры и процессоры данных. Если говорить образно, то контроллер – капитан судна, он несет юридическую ответственность за обработку данных и координирует работу, а процессор – это моряк, исполнитель указаний контроллера. Требование о назначении ответственного лица применяется к публичным компаниям, которые:

• имеют более 250 сотрудников;
• регулярно проводят наблюдения или мониторинг лиц из ЕС;
• обрабатывают специальные персональные данные, например, медицинские заключения или данные о судимости.

Для примера рассмотрим облачную систему, в которой находятся личные данные клиентов и которой пользуются сотрудники фирмы для выполнения задач и проектов. Эти сотрудники – процессоры данных, а их руководитель – контроллер.

Упоминание о несовершеннолетних

Согласие на обработку личных данных ребенка передается родителям или опекунам до достижения детьми допустимого возраста авторизации. В странах ЕС этот возраст наступает от 13–16 лет, в Испании – в 14 лет.

Принципы обработки данных

Общий подход европейцев к обработке персональной информации сформулирован в виде следующих основных положений.

1. Законность и прозрачность. Персональные данные подлежат только законной и прозрачной обработке. Любая информация о целях, методах и объемах использования персональных данных должна быть изложена в понятной форме.
2. Определение цели. Информация собирается и используются исключительно в целях, заявленных компанией.
3. Минимизация данных. Получать и использовать личные данные в объеме большем, чем это необходимо для поставленных и согласованных целей, запрещено.
4. Точность. Некорректные личные данные по требованию владельца удаляются или исправляются.
5. Ограничения по срокам и форме хранения. Личная информация хранится в форме, удобной для идентификации субъекта. Срок хранения не должен превышать необходимый для его обработки.
6. Конфиденциальность и целостность. Компании, получающие от граждан их персональные данные, обеспечивают высокую степень защиты от утечки к третьим лицам, повреждений и уничтожения.

Испанское агентство защиты данных (AEPD)

Для координации действий создан Европейский комитет защиты данных, при этом каждое государство самостоятельно определяет санкции и штрафы для нарушителей. О штрафе, наложенном агентством AEPD, написано в статье «Испания оштрафовала Facebook и WhatsApp на €600 000 за перекрестный анализ данных пользователей».

Ответственность

При нарушении правил обработки личных данных предусмотрена ответственность: штраф – до 20 млн евро или 4% валового дохода компании за год.

Права субъектов данных

GDPR делает шире права резидентов и граждан ЕС в области контроля использования их личных данных, и они могут осуществлять такие действия:

• требовать подтверждения факта обработки их данных;
• получать информацию о целях использования;
• получать сведения о том, передается ли их личная информация третьим лицам;
• узнавать, в течение какого срока данные будут хранить или использоваться;
• получать сведения о том, из какого источника информация о них была получена;
• требовать исправить информацию при необходимости;
• отправить запрос на прекращение обработки данных.

О ценности владения информацией

Владение информацией в век глобального интернета становится ключом для решения вопросов бизнеса и политических задач. Компания «Испания по-русски» работает на информационном рынке с 1997 года и завоевала доверие клиентов, пользующихся ее сервисами и информацией. Мы всегда готовы помочь вам в реализации ваших проектов, от туризма до покупки недвижимости в Испании и других делах. Конфиденциальность информации и не передача ее третьим лицам, нами гарантируется. О политике конфиденциальности читайте на сайте «Испания по-русски».