Мы регистрируемся в сети Интернет, пишем обращения и др. Наши персональные данные попадают к третьим лицам. Такая информация нуждается в защите от случайного распространения и использования. Что важно знать о защите персональных данных?
Персональные данные жителей Евросоюза
В ЕС с 25 мая 2018 г. применяется Регламент (ЕС) N 2016/679 Европейского парламента и Совета ЕС о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (GDPR). Регламент касается защиты персональных данных жителей Евросоюза. Поэтому о GDPR важно знать:
— белорусским организациям, их представительствам в ЕС, которые сотрудничают на территории ЕС с физическими лицами или нацеливают на них свои продажи товаров, услуг, в том числе проводя мониторинг спроса и т.д.;
— учрежденным в ЕС субъектам, которые обрабатывают персональные данные.
Положения GDPR стоит учитывать и тем белорусским компаниям, которые оказывают физическим лицам финансовые и иные услуги, продают товары, используя системы международных расчетов, платежную инфраструктуру, расположенную в государствах — членах ЕС. Это важно для поддержания конкурентоспособности компаний на европейском рынке.
Оригинальный текст GDPR можно найти по ссылке. Регулирующий орган по защите данных в ЕС — это Европейский совет по защите данных (EDPB). На сайте EDPB можно найти руководства по применению GDPR и иную информацию о защите персональных данных. По запросу в google можно найти тексты неофициальных переводов GDPR на русский язык.
Под обработкой персональных данных в GDPR понимается любая операция (операции), которая осуществляется с персональными данными. Например, сбор, запись, организация, структурирование, хранение.
Четкого перечня персональных данных GDPR не устанавливает. К ним относится любая информация, которая позволяет идентифицировать физическое лицо, в том числе об имени, местоположении, идентификатор в режиме онлайн и др. В отношении анонимных персональных данных GDRP не применяется, когда невозможно установить кто их предоставил..
GDPR запрещает обработку особых персональных данных: расовое или этническое происхождение, политические взгляды, религиозные убеждения или философские воззрения, членство в профессиональном союзе, а также обработку генетических данных, биометрических данных для однозначной идентификации физического лица, данных, касающихся здоровья, половой жизни или сексуальной ориентации физического лица. Однако в некоторых случаях обработка таких данных возможна. В частности, когда само физлицо сделало эти данные общедоступными.
Как обрабатывать персональные данные в ЕС:
1. Получить согласие на обработку.
На каждое действие по обработке нужно получить согласие физлица.
На заметку
Когда персональные данные нужны только для заключения договора с физлицом, его согласие получать не нужно.
Согласие должно быть добровольным и однозначным. Оно может быть письменным или выраженным простановкой галочки/крестика при посещении интернет-сайта; это может быть выбор технических настроек для услуг на сайте или другой способ поведения, который четко указывает на то, что физлицо в указанном контексте согласно на запланированную обработку своих персональных данных. При этом у физлица есть право отозвать свое согласие. Рекомендуют получать отдельное согласие на каждый вид обработки персональных данных: на сбор, хранение, распространение, передачу.
На заметку
Согласием физлица на обработку персональных данных не являются: молчание, уже проставленная галочка/крестик или бездействие.
2. Ознакомить физлицо с информацией.
Нужно ознакомить физлицо как минимум с идентификационными данными организации, которая получает данные, и целью (целями) их обработки. Например, в трудовых отношениях по GDPR персональные данные работников могут обрабатываться на основе их согласия в целях выполнения трудового договора.
Физлицо имеет право получить любую информацию об обработке своих персональных данных; потребовать внесения изменений в свои данные, потребовать их удаления («право на забвение»); передать свои данные другой организации; возражать против обработки своих персональных данных.
На заметку
Необходимо при первом общении с физлицом сообщить ему о его правах на возражения против обработки относящихся к нему персональных данных, а также против обработки относящихся к нему персональных данных для целей прямого маркетинга, включая формирование профиля.
3. Назначить своего представителя в государстве, входящем в Евросоюз.
Белорусским организациям, которые нацеливают продажи своих товаров и услуг на физлиц — граждан государств ЕС, нужно в письменной форме назначить своего представителя в Евросоюзе. Представитель назначается в одном из государств — членов ЕС, в котором находятся физлица, персональные данные которых обрабатываются. Представителя нужно уполномочить решать совместно с представляемой организацией или вместо нее все связанные с обработкой вопросы, особенно с надзорными органами и субъектами данных — физлицами.
4. Вести учет обработки персональных данных.
Организация или ее представитель должны вести учет обработки персональных данных и учет деятельности, связанной с обработкой. В частности, в учетные сведения нужно включить фамилию и контактные сведения обрабатывающего данные лица или лиц и данные об организации, от имени которой действует указанное лицо, ее представителя (при наличии) и инспектора по защите персональных данных. Инспектор — это эксперт, который дает консультации по построению работы согласно GDPR, проводит аудит обработки персональных данных. Это не обязательно сотрудник компании, инспектором может быть сторонний эксперт по договору оказания услуг. Сотрудничество с инспектором обязательно только для некоторых компаний. Например, тех, которые ведут масштабный мониторинг (сбор) персональных данных, в том числе особых. Однако получать консультации инспектора возможно и полезно всем компаниям, которые обрабатывают персональные данные.
Учетные сведения должны сохраняться в письменном виде, в том числе в электронной форме. Такие сведения представляются надзорным органам по их требованию.
На заметку
Вести учетные сведения не нужно, когда в организации работает менее 250 человек, кроме случаев, когда обработка связана с риском для прав и свобод физлиц, обработка не носит случайный характер или включает в себя специальные категории данных (особые данные), или персональные данные, связанные с судимостями и преступлениями.
5. Уведомлять об утечке персональных данных.
Об утечке персональных данных организация должна в течение 72 часов уведомить надзорный орган, действующий на территории соответствующего государства ЕС. Уведомлять физлицо об утечке его персональных данных нужно, когда утечка может привести к высокой степени риска для прав и свобод физических лиц. Когда уведомление каждого физлица требует несоразмерных усилий, делается информирование общественности, например, в СМИ, или рассылка.
А что у нас
К персональным данным относятся основные и дополнительные персональные данные, которые вносятся в регистр населения, а также иные данные, позволяющие идентифицировать лицо <*>. Основные персональные данные <*> — это, в частности, фамилия, собственное имя, отчество, пол, число, месяц, год и место рождения, цифровой фотопортрет. Дополнительные персональные данные <*> — это сведения о высшем образовании, налоговых обязательствах, об исполнении воинской обязанности и др. Если иного не требует законодательство, то на сбор, обработку, хранение информации о частной жизни физического лица и персональных данных, а также пользование ими нужно получить письменное согласие физлица <*>. Однако ответственность за отсутствие такого согласия не установлена.
Для сближения с общемировой практикой защиты персональных данных разработан проект Закона, который вынесен на общественное обсуждение до 11 августа 2018 г. По Проекту к персональным данным принадлежит любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано на основании такой информации. На каждое действие с персональными данными потребуется согласие физлица, выраженное в письменной либо в электронной форме. Организации и физлица, которые имеют дело с персональными данными, названы операторами. Будет определен уполномоченный орган по защите прав субъектов персональных данных.
