Регулирование и защита персональных данных в ЕС и Беларуси

Кирилл Шафеев

ассоциированный партнер ООО "Юридическая компания ЮКОН", руководитель направления "Privacy & Data Protection"

ООО «ЮрСпектр» 26 октября 2021 года провело аудиториум ilex на тему «Регулирование и защита персональных данных в ЕС и Беларуси». Лектором выступил Кирилл Шафеев, ассоциированный партнер ООО «Юридическая компания ЮКОН», руководитель направления «Privacy & Data Protection». Он подробно рассказал об источниках правового регулирования в Беларуси и ЕС, принципах обработки персональных данных, обязанностях контроллеров и процессоров, ответственности по GDPR.

1. Источники правового регулирования

1.1. Источники правового регулирования в Беларуси

1. Закон от 10.11.2008 N 455-З «Об информации, информатизации и защите информации».

2. Закон от 07.05.2021 N 99-З «О защите персональных данных». Устанавливает:

— перечень терминов и определений, например таких, как персональные данные, информационная система, оператор, субъект персональных данных, уполномоченное лицо и т.д. (ст. 1 Закона N 99-З);

— принципы обработки персональных данных (принцип законности, прозрачности, ограничения целью, минимизации данных, достоверности и т.д.) (ст. 4 Закона N 99-З);

— согласие субъекта персональных данных на их обработку (свободное, однозначное, информированное). Согласие можно выразить в письменной и электронной форме. Доказать его получение обязан оператор (ст. 5 Закона N 99-З);

— право субъекта на отзыв согласия. В этом случае оператор должен удалить или заблокировать персональные данные субъекта (ст. 10 Закона N 99-З);

— право субъекта получить информацию, кому передали его персональные данные; изменить их, прекратить обработку, удалить, обжаловать действия (бездействие) оператора (ст. 11 — 13 Закона N 99-З);

— разграничение ответственности между оператором и уполномоченным лицом (п. 3 ст. 7 Закона N 99-З);

— институт трансграничной передачи персональных данных (ст. 9 Закона N 99-З). Появится перечень надлежащих юрисдикций, в которые можно будет свободно передавать данные.

3. Приказы Оперативно-аналитического центра при Президенте:

— от 26.08.2013 N 60 «Об утверждении Положения о порядке проведения государственной экспертизы средств технической и криптографической защиты информации»;

— 12.03.2020 N 77 «О подтверждении соответствия средств защиты информации»;

— 05.02.2021 N 22 «О наделении полномочиями на составление протоколов об административных правонарушениях, подготовку дел об административных правонарушениях к рассмотрению»;

— 20.02.2020 N 66 «О мерах по реализации Указа Президента Республики Беларусь от 9 декабря 2019 г. N 449». Закрепляет Положение о порядке аттестации систем защиты информации.

4. КоАП:

— ст. 23.6 (разглашение коммерческой или иной охраняемой тайны);

— 23.7 (нарушение законодательства о защите персональных данных);

— 24.1 (неисполнение письменного требования, предписания);

— 24.2 (воспрепятствование проведению проверки, экспертизы).

5. УК:

— ст. 203-1 (незаконные действия в отношении информации о частной жизни и персональных данных),

— ст. 203-2 (несоблюдение мер обеспечения защиты персональных данных).

1.2. Источники правового регулирования в ЕС

1. Договор о функционировании ЕС (заключен в Риме 25.03.1957) и Хартия фундаментальных прав 2007 года (первичное законодательство). Хартия предусматривает защиту семейной, частной жизни, коммуникаций и персональных данных, а также необходимость создания надзорных органов, которые должны следить за защитой прав и законных интересов граждан в рамках обработки персональных данных.

2. Регламенты, директивы, решения Европейской комиссии и т.д. (вторичное законодательство).

3. Общий регламент по защите персональных данных (General Data Protection Regulation (далее — GDPR)).

4. Директива об обработке персональных данных (принята 27.04.2016), осуществляемой органами административного или уголовного преследования в рамках государств — членов ЕС. Устанавливает порядок передачи персональных данных в рамках борьбы с транснациональными преступлениями (терроризм, торговля людьми и т.д.). В отличие от регламента не имеет прямого действия. Требует имплементации в национально-правовую систему.

2. GDPR

2.1. Принципы обработки персональных данных

GDPR устанавливает принципы:

— законности, честности и прозрачности. Персональные данные должны обрабатываться в соответствии с правовым основанием. Если обрабатывается специальная категория данных (информация о сексуальной ориентации, политических и религиозных взглядах, здоровье и т.д.), помимо основного правового основания, нужно указать дополнительное. Контроллер должен предусмотреть политику конфиденциальности или приватности, доказывающую законность обработки персональных данных, и предоставить субъекту данных право ознакомиться с необходимой информацией.

Правовые основания обработки персональных данных:

— согласие субъекта данных;

— договор с субъектом или вступление с ним в договорные отношения;

— право ЕС или его члена. Например, если в соответствии с правом у контроллера есть юридические обязательства в сфере найма, он должен собрать персональные данные для обеспечения надлежащего уровня трудовых отношений с работником;

— жизненно важный интерес. Например, если субъект персональных данных поступает в тяжелом состоянии в больницу и не может дать согласие на обработку данных, работники больницы в целях защиты его жизни вправе обработать медицинские и другие данные субъекта;

— публичная задача (задача в публичном интересе);

— юридический интерес. Он должен превалировать над правами и законными интересами субъекта персональных данных. Чтобы определить это, перед обработкой данных следует оценить степень интереса.

Дополнительные правовые основания обработки персональных данных:

— согласие субъекта на обработку их специальной категории;

— жизненно важный интерес;

— значительный публичный интерес;

— ограничения целью. Цели обработки персональных данных нужно указывать в политике конфиденциальности или приватности и периодически проверять. Если цели обработки достигнуты, полученные для их достижения персональные данные субъекта удаляются. В случае обновления целей важно получить согласие субъекта на обработку данных;

— минимизации персональных данных. Оператор может получить данные в объеме, необходимом для достижения целей обработки. При обнаружении в информационной системе дополнительных данных контроллер или процессор (действует от имени и по поручению контроллера) должен их удалить.

— точности. Контроллер или процессор обязан обрабатывать актуальный перечень персональных данных. Поэтому их периодически нужно проверять и обновлять.

— ограничения хранения данных. Устанавливается точный срок (например, 5 лет) или критерий, позволяющий субъекту персональных данных определить его (например, 2 года с момента последнего общения). С окончанием срока данные удаляются из системы или анонимизируются.

— целостности, конфиденциальности. Принцип отвечает за меры технической и организационной защиты информации.

— подотчетности. Любой оператор персональных данных должен доказать, что обрабатывает их в соответствии с вышеназванными принципами. В частности, представить документы; предусмотреть реестр обработки, который устанавливает исчерпывающий перечень ситуаций обработки персональных данных и юридические основания.

2.2. Обязанности контроллеров

1. Соответствие вышеупомянутым принципам обработки персональных данных.

2. Соответствие процедурам реализации прав субъекта персональных данных.

3. Техническая (или) организационная защита информации. Осуществляется в зависимости от объема обработки данных или их контекста.

4. Наем процессоров, которые смогут обеспечить надлежащий уровень защиты данных после их передачи.

5. Заключение с процессором юридического соглашения, регулирующего порядок обработки данных.

6. Информирование контролирующего органа в течение 72 ч о нарушениях в сфере персональных данных.

7. Обеспечение конфиденциальности персональных данных.

8. Обеспечение механизма международной передачи данных.

9. Сотрудничество с органами-регуляторами стран ЕС.

GDPR предусматривает институт совместных контроллеров данных. Они имеют такие же обязательства, что и обычные контроллеры. Могут иметь соглашение о совместном контроллерстве, определяющее правовой режим данных при их совместной обработке, а также контроллеров, которые реагируют на запросы субъектов данных.

2.3. Обязанности процессоров

1. Следование инструкциям контроллера.

2. Привлечение субпроцессоров с письменного согласия контроллера. Они должны обеспечивать надлежащий уровень защиты персональных данных.

3. Техническая и организационная защита информации.

4. Информирование контроллеров и органов-регуляторов об инцидентах в области информационной безопасности.

5. Информирование контроллеров о том, что их письменные указания нарушают законодательство в сфере приватности.

6. Обеспечение механизма международной передачи данных в случае их передачи от процессора к субпроцессору.

2.4. Органы-регуляторы

В каждой стране ЕС есть как минимум один орган-регулятор. Это публичный орган власти, действующий независимо и компетентно. Таких органов может быть и больше.

Задачи органа-регулятора:

— мониторинг и обеспечение надлежащей имплементации GDPR;

— консультирование органов власти по обработке персональных данных на национальном уровне;

— обеспечение надлежащего уровня знаний граждан ЕС в сфере приватности обработки данных;

— рассмотрение жалоб субъектов персональных данных, проведение расследования с привлечением других органов-регуляторов и государств — членов ЕС.

Правомочия органа-регулятора:

— расследовательские. Орган-регулятор в целях проверки законодательства в сфере приватности имеет доступ к документам организаций, помещениям, офисам и т.д.

— корректирующие. Орган-регулятор может выписывать предупреждения, выносить контроллерам или процессорам предписания соблюдать GDPR, запрещать обработку персональных данных, налагать штрафы.

— авторизационные (консультативные). Орган-регулятор проводит разъяснительную работу среди органов госвласти и контроллеров, опробует сертификационные механизмы, кодексы поведения, определяет для контроллеров условия защиты персональных данных в случае их трансграничной передачи.

Обратите внимание!
На территории ЕС разъяснительную работу и единое применение регламентов обеспечивает Европейский совет по защите персональных данных.

2.5. Административные штрафы, налагаемые органом-регулятором

Штраф в размере 10 млн евро или до 2% от финансового оборота за предыдущий год налагается за нарушение:

— обязательств в отношении приватности;

— обязательств контроллеров и процессоров;

— применения сертификационных механизмов и т.д.

Штраф в размере до 20 млн евро или до 4% от финансового оборота за предыдущий год применяется в случае нарушения:

— принципов обработки персональных данных;

— прав их субъекта;

— механизма передачи данных и т.д.

2.6. Обращение в суд

При массовых нарушениях в сфере персональных данных могут подаваться массовые иски. В некоторых правовых системах для участия в качестве соистца требуется активное волеизъявление. Из-за количества субъектов персональных данных сумма возмещения может превышать суммы штрафов, налагаемых органом-регулятором.