Что нужно знать о новых правилах обработки персональных данных?

3625 просмотров
Среда, 27 июня 2018, 10:30
Владислав Власюк
генеральный директор Директората по правам человека, доступу к правосудию и правовой осведомленности Минюста

"Якщо уявити, що персональні дані – це капітал, який формує і живить новий єдиний цифровий ринок, то чи є їхній захист фундаментальним правом людини?"

Ян Крюгер, виконавчий віце-президент SAI Global

25 травня 2018 року набрав чинності Регламент Європейського Парламенту і Ради ЄС від 27 квітня 2016-го про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух даних.

Зміна політики приватності в Європейському Союзі не залишилася без уваги з боку експертів.

Більше того, ледве встигнувши набрати чинність, Регламент дав підґрунтя для перших скарг проти інтернет-гігантів.

Так, того ж 25 травня 2018 року позивач в особі неприбуткової організації "None of Your Business" звинуватив Facebook, Google, Instagram, WhatsApp у шантажі – доступ до сервісів компаній залежить від згоди користувача на опрацювання його персональних даних ("take it or leave it").

"Facebook навіть заблокував акаунти користувачів, які не надали згоди. Врешті-решт перед користувачами поставав вибір: або видалити свій акаунт, або натиснути "Я погоджуюся з умовами та правилами користування".

Це не вільний вибір. Все це більше нагадує виборчий процес у Північній Кореї" (Макс Шремс, Голова компанії NOYB).

28 травня французька правозахисна група Quadrature du Net ("La Quad") подала подібні скарги проти Facebook, Google (Gmail, YouTube, Search), Apple, Amazon та LinkedIn. Крім того, La Quad обіцяє подати додаткові скарги проти Skype, Outlook, Android, WhatsApp і Instagram.

До слова, така політика компаній, відповідно до Регламенту, загрожує їм адміністративним штрафом у розмірі до 4% від загального глобального річного обігу за попередній фінансовий рік.

Якими є новації Регламенту щодо врегулювання питання опрацювання персональних даних і яким чином він посприяв вирішенню проблем захисту права людини на приватне життя?

1. Запроваджено концепцію "згоди" фізичної особи на опрацювання її персональних даних.

В основі всіх нововведень Регламенту – принцип повного та абсолютного інформування особи про всі дії з її персональними даними.

Цей принцип тісно пов’язаний із концепцією згоди – вільно наданого, конкретного, проінформованого та однозначного свідчення погодження фізичної особи на опрацювання її персональних даних.

Відповідно, це означає, що згода має бути виключно результатом усвідомленого вибору фізичної особи щодо опрацювання її персональних даних для однієї цілі. Наприклад, не є усвідомленим вибором автоматичне проставлення галочок у "consent boxes".

Проте на практиці вже виникають ситуації, за яких згоду намагаються отримати так би мовити обманним шляхом – зокрема, під виглядом згоди на правила та умови користування сервісами.

Інакше фізичній особі відмовляють у користуванні відповідними онлайновими сервісами. Яскравим прикладом є наведені вищі скарги проти інтернет-корпорацій.

2. Закріплено право на стирання персональних даних, або "право бути забутим".

Відповідно до статті 17 Регламенту, фізична особа, дані якої опрацьовуються, має право на негайне стирання своїх персональних даних, включно з посиланнями на такі персональні дані чи їхні копії.

Як і будь-яке правило, це також має свої винятки. Зокрема, воно не поширюється на випадки, коли інформація є необхідною для досягнення цілей суспільного інтересу, наукового чи історичного дослідження, статистичних цілей, формування, здійснення або захисту правових претензій та інше.

Виникає запитання: а чи можна заперечити опрацювання персональних даних? Так, безумовно.

Компанія зобов’язана припинити опрацювання ваших персональних даних у разі наявності відповідного запиту. Наприклад, ви можете вимагати видалення фотографії, на якій вас чітко можна ідентифікувати.

Проте: питання опрацювання фотографій є доволі делікатним.

Віднедавна туристи занепокоїлись тим, чи зобов’язані вони видаляти світлину, на якій чітко видно обличчя третіх осіб.

Регламент надає свободу вибору: або запросити згоду, що досить часто буде обтяжливим, або розмити зображення третіх осіб з метою унеможливлення їхньої ідентифікації. Інший вихід – обмежити доступ до вашої сторінки.

3. Забезпечено доступ фізичних осіб до персональних даних, які збирають щодо них.

Чимала кількість справ як у Європейському суді з прав людини, так і в Суді Європейського Союзу стосувалася скарг заявників на відсутність у них доступу до власних персональних даних, зокрема до медичних карток з результатами діагнозів, результатів обстежень і так далі або відомостей, які зберігають щодо працівників їхні роботодавці.

Регламент запропонував дві головні новації в цьому напрямку.

По-перше, закріпив право фізичної особи на доступ до персональних даних, що збирають щодо неї, у тому числі до інформації про цілі збирання таких даних, їхніх одержувачів та наслідки такого опрацювання.

По-друге, Регламент чітко визначив, що компанія, яка збирала персональні дані щодо фізичної особи, зобов’язана надати доступ останній до її персональних даних щонайменше протягом одного місяця з дня отримання відповідного запиту від фізичної особи. З урахуванням складності та кількості запитів такий строк може бути продовжено на два місяці.

4. Удосконалено алгоритм захисту персональних даних.

Квінтесенцією Регламенту є те, що особа сама визначає бажаний ступінь та межі втручання у своє приватне життя.

Технічно ще на етапі розроблення онлайн-продукту має бути впроваджено механізми і технології, що максимально забезпечать захист персональних даних користувача.

Наприклад, на момент реєстрації в соціальній мережі автоматично налаштовується обмежений доступ до профайлу фізичної особи, відкрити який для інших користувачів може виключно за власним бажанням відповідна фізична особа.

Крім того, компанія, яка опрацьовує персональні дані, несе відповідальність за те, щоб сторонні особи не отримали доступу до персональних даних фізичної особи, дані якої опрацьовуються.

Для цього впроваджено використання псевдонімів і кодування даних. Відповідно, дані уособлюються не з конкретною фізичною особою, а з псевдонімом, який обирає така особа і який одноособово володіє кодом доступу до персональних даних.

Відтак, вибір політики приватності лишається на розсуд самого користувача.

Для чого варто знати і вміти застосовувати положення Регламенту?

Все дуже просто. Персональні дані – по суті, приватна інформація – не існують без прив’язки до конкретної фізичної особи, а відтак будь-які прогалини в регулюванні персональних даних можуть призвести до порушень прав людини.

Та, власне, і призводять, про що свідчить практика Європейського суду з прав людини. Зокрема, систематичними порушеннями права людини на приватність є такі:

– передача спеціальних категорій персональних даних без згоди фізичної особи, дані якої опрацьовуються (справа Авілкіна та інші проти Російської Федерації, рішення від 6 червня 2013 року);

– зберігання органами державної влади відбитків пальців, зразків клітин і профілів ДНК особи, щодо якої було винесено виправдувальний вирок (справа С. та Марпер проти Сполученого Королівства, рішення від 4 грудня 2008 року), причому навіть самé зберігання даних, що стосуються приватного життя фізичної особи, становить порушення статті 8 Конвенції;

– внесення персональних даних особи до баз даних органів державної влади і подальше використання таких даних для інших цілей (справа Шимоволос проти Росії, рішення від 21 червня 2011 року);

– збирання персональних медичних даних пацієнта державною медичною установою без згоди самого пацієнта (справа Л. Х. проти Латвії, рішення від 29 квітня 2014 року);

– перешкоджання доступу фізичних осіб, дані яких опрацьовуються, до власних персональних даних (справа К. Х. та інші проти Словаччини, рішення від 28 квітня 2008 року) та інші.

І наостанок : яке значення має Регламент для України?

Перед українськими читачами, певно, неодноразово поставало питання того, наскільки важливим є знання тонкощів Регламенту. Є кілька аспектів.

Першим фактором є екстериторіальність дії Регламенту – зокрема, сфера його дії поширюється на українські компанії, які опрацьовують персональні дані резидентів Європейського Союзу.

Проте не менш суттєвим є той факт, що гармонізація українського законодавства до права ЄС є одним із пріоритетних завдань імплементації Угоди про асоціацію між Україною та ЄС.

До слова, включення питання щодо приведення українського законодавства у відповідність до Регламенту до проекту змін до Плану дій з реалізації Національної стратегії у сфері прав людини на період до 2020 року свідчить про важливість європейського документу для забезпечення захисту прав людини в Україні.

Владислав Власюк, генеральний директор Директорату з прав людини, доступу до правосуддя та правової обізнаності Мін'юсту

Наталія Герасимчук, державний експерт з правової роботи Директорату



powered by lun.ua
Лимонад или квас: какой горизонт у производителей безалкогольных напитков
Рынок безалкогольных напитков в Украине имеет значительный потенциал для развития и появления новых торговых марок. С каждым годом производство и экспорт растет в среднем на 10%. (укр.)
Рада чудес или волшебные кнопки
Мы и сейчас живем в ожидании чуда. Чуда высоких зарплат, дешевой колбасы и многокомнатной квартиры. И мы каждый раз верим в прибытие доброго волшебника. Мы даже совершаем обряд голосования и выбираем в президенты, депутаты, правительство тех, кто больше похож на волшебника. Тех, кто обещает больше несбыточного. Но очень нам нужного несбыточного чуда.
Кибербуллинг: защититься возможно?
Истории, выбранные из многочисленных реальных случаев из виртуальной жизни детей, - лишь капля в океане возможного психологического и эмоционального давления в интернете. (укр.)
Отчитывание чиновников как политтехнология Зеленского
Возможно, политтехнологи Зеленского не сообщили ему, но быть "крепким хозяйственником" – значит, отвечать за все. Президент сам выдает себя за "всемогущего решателя" и загоняет себя в тупик таким позиционированием. А отчитывание чиновников не имеет никакого отношения к управлению государством. (укр.)
Технологии парламентских выборов
Эти выборы были уникальны тем, что фактически продолжили президентскую кампанию. Какие технологии были в ходу участников парламентской гонки – разбираем. (укр.)
Открытие рынка земли: реализовать нельзя медлить
Мораторий необходимо отменять, но с чего начать? С торговли всеми аграрными землями или только государственными и коммунальными? (укр.)
Дело Маркива. Реконструкция событий под Славянском доказывает невиновность нацгвардейца
Попробуем проанализировать два главных "доказательства" следствия и воссоздать события, происходившие 24-го мая 2014 у фабрики "Zeus Ceramica" под Славянском, основываясь, главным образом, на рассказе Уильяма Рогелона – главного свидетеля обвинения. (укр.)