Персональные данные – это, безусловно, “валюта” современной экономики. Сбор, анализ и перемещение персональных данных по всему миру приобрели огромное экономическое значение. Касается это и территории “Большой Европы”.
Защита персональных данных в Европейском союзе рассматривается в качестве неотъемлемого элемента фундаментальных прав и свобод человека и гражданина наряду с неприкосновенностью личности. Право граждан на защиту персональных данных гарантировано учредительными договорами ЕС. Так, согласно статье 8 (1) Хартии основных прав Европейского союза и статье 16 (1) Договора о функционировании Европейского союза предусматривается, что каждый имеет право на защиту персональных данных, касающихся его или ее. При этом это право распространяется не только на граждан Евросоюза, но и на граждан третьих стран, находящихся на законных основаниях на территории ЕС, вне зависимости от длительности их пребывания (речь идет о бизнесменах, туристах, студентах, научных работниках, сезонных рабочих, сотрудниках международных организаций и транснациональных компаний, гражданах третьих стран и лицах без гражданства, обратившихся с ходатайством о предоставлении убежища, и др.).
Изначально основой нормативно-правовой базы ЕС в этой сфере являлись международные инструменты – Рамочные принципы ОЭСР в области защиты неприкосновенности частной жизни и трансграничной передачи персональных данных 1980 г. и Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, открытая для подписания в 1981 г., в рамках которых впервые в мировой правовой практике было выделено в качестве объекта защиты право граждан на защиту их персональных данных.
В 1995 году странами Европейского союза была принята Директива № 95/46/ЕС о защите прав частных лиц при обработке персональных данных (ПД). Однако компании в основном игнорировали ее. В итоге 25 мая 2018 года на смену данному документу пришел Общий регламент по защите данных (General Data Protection Regulation или GDPR). Важным отличием GDPR является его экстерриториальный принцип действия — Регламент применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от местонахождения такой компании.
Согласно GDPR, персональные данные - это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъект данных), по которой прямо или косвенно можно его определить. К такой информации относится в том числе имя, данные о местоположении, онлайн идентификатор или один или несколько факторов характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица (п. 1 ст. 4). Определение широкое и достаточно четко дает понять, что даже IP адреса также могут быть персональными данными.
Важно отметить, что существуют определенные типы персональных данных, относящиеся к категории особых или конфиденциальных персональных данных. Это информация, раскрывающая: расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения и членство в профсоюзах. Кроме того, к этой группе относятся генетические, биометрические данные, используемые для идентификации физического лица, данные о состоянии здоровья, сведения, касающиеся сексуальной жизни или сексуальной ориентации (ст. 9).
Общий подход европейцев к обработке персональных данных сформулирован в виде шести основных принципов:
Законность, справедливость и прозрачность. Персональные данные должны обрабатываться законно, справедливо и прозрачно. Любую информацию о целях, методах и объемах обработки персональных данных следует излагать максимально доступно и просто.
Ограничение цели. Данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией (онлайн-сервисом).
Минимизация данных. Нельзя собирать личные данные в большем объёме, чем это необходимо для целей обработки.
Точность. Личные данные, которые являются неточными, должны быть удалены или исправлены (по требованию пользователя).
Ограничение хранения. Личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных на срок не более, чем это необходимо для целей обработки.
Целостность и конфиденциальность. При обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения.
GDPR — это важнейший законодательный документ, который существенно повышает уровень защиты персональных данных в ЕС и за его пределами. Он требует очень внимательного изучения и соблюдения. Реформа дает ясность и последовательность правил, которые должны применяться в области защиты данных. Она также восстанавливает доверие пользователя-потребителя, что позволяет бизнесу максимально использовать возможности на едином европейском цифровом рынке.
Регламент применяется во всех странах ЕС с той же юридической силой, как если бы они были местными законами. При этом, государства-участники Евросоюза должны принять свои собственные законы для реализации GDPR, но они могут отличаться. Скажем, по GDPR возраст согласия на обработку персональных данных установлен в 16 лет, но каждое государство может установить свой. Это сделано с той целью, чтобы процессы внутри государства соответствовали единым требованиям, установленным в ЕС.
В итоге каждая европейская страна, исходя из своих национальных особенностей и проблем, сделала упор на определенные условия и сама определяет строгость наказания за нарушения. И в сегодняшнем материале мы расскажем о том, какие национальные требования установлены по обработке персональных данных в отдельных европейских странах — Германии, Испании, Швеции, Франции, а также на Кипре.
Германия
В Германии действует Федеральный закон о защите данных (Bundesdatenschutzgesetz - BDSG), который устанавливает следующие особенности и дополнения к GDPR:
1) Более детальные требования к назначению сотрудника, ответственного за обработку персональных данных (DPO), по сравнению с GDPR: в организации должен быть назначен ответственный сотрудник, если более 20 человек осуществляет автоматизированную обработку персональных данных или если обработка связана с передачей и анонимизацией данных, исследовании рынков, а DPO должны быть предоставлены надзорному органу;
2) Прямо запрещено передавать пул персональных данных, полученных без разрешения субъектов - в коммерческих целях или для причинения вреда субъектам;
3) Разрешено видеонаблюдение в общедоступных местах: государственные органы вправе осуществлять в целях охраны жизни и здоровья граждан (для предотвращения угроз государственной и общественной безопасности, уголовных преступлений), если видеонаблюдение необходимо для защиты законных интересов и эти интересы выше, чем право субъектов на охрану персональных данных;
4) Разрешена обработка данных для скоринга перед заключением договора, при условии:
соблюдения законодательства по применению мер защиты данных;
расчет значения вероятности осуществляется на основе научно признанной математико-статистической процедуры;
адресные данные не использовались исключительно для расчета значения вероятности (не для предложения услуг или передачи третьим лицам);
в случае использования адресных данных субъект был проинформирован о предполагаемом использовании этих данных до расчета значения вероятности;
процесс скоринга задокументирован и имеет инструкцию.
5) Возраст предоставления согласия на обработку данных - 16 лет;
6) Дополнительная ответственность:
— штрафы за нарушение BDSG возможны до 50 000 евро;
— лишение свободы до 2-х лет.
Франция
Во Франции в дополнение к GDPR действует обновленный поправками Закон № 78-17 от 6 января 1978 г. об обработке данных, файлах и свободах (Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés). Каковы же его главные особенности и дополнения к GDPR?
1) Персональные данные умерших лиц может быть обработана, если субъект данных не выразил свой отказ при жизни;
2) Возраст предоставления согласия на обработку данных — 15 лет;
3) Любой субъект вправе зарегистрироваться в специальном регистре — Bloctel и тем самым выразить отказ от рекламных звонков и писем (сообщений). Такой отказ действует 3 года и может продлеваться на тот же самый срок. При этом, если субъект заключил договор с контроллером — ему можно звонить, но после предлагать какие-либо товары и услуги уже нельзя, если его данные содержатся в Bloctel;
4) Можно покупать маркетинговые списки с данными у третьих лиц, если имеется соответствующее разрешение на передачу персональных данных от субъектов, содержащихся в списках и обеспечивается надлежащая защита данных;
5) В отношениях работник — работодатель не обязательно получение письменных согласий на обработку персональных данных, так как это предполагается изначально, поэтому:
Разрешено отслеживание геолокации транспортных средств, управляемых сотрудниками, если это осуществляется во время работы, сотрудники проинформированы об этом; Разрешена запись телефонных разговоров сотрудников, если это соответствует заранее определенной цели, например, для обучения или оценки качества обслуживания;- Разрешено изучение рабочей электронной почты, если у писем нет пометки "личное".
6) Дополнительная ответственность:
— лишение свободы до 5 лет;
— штраф для физических лиц до 300 000 евро;
— штраф для юридических лиц до 1 500 000 евро.
Кипр
В национальном законодательстве Кипра о персональных данных сейчас главную роль играет Закон № 125 (I) от 16.10.2018 года. Вот его главные особенности и дополнения:
1) Генетические и биометрические данные не могут быть обработаны в целях получения медицинского страхования и страхования жизни, даже если субъект данных дал согласие;
2) Обязательство получить консультацию и одобрение надзорного органа при передаче специальных категорий персональных данных в третьим лицам, находящимся в иных государствах;
3) Использовании видеонаблюдения на рабочем месте и биометрических данных работников возможно исключительно, если работодатель может доказать необходимость проведения данных мер либо в том случае, когда для достижения целей контроля нет иных способов.
4) Использование cookie разрешено только с согласия пользователя, которому должна быть предоставлена четкая и исчерпывающая информация о целях обработки, за исключением случаев использования cookie, необходимых для оказания услуг субъекту и без которых функционирование невозможно;
5) Дополнительная ответственность:
— лишение свободы до 3 лет и / или штраф в размере не более 30 000 евро;
— лишение свободы не более 1 года и / или штраф не более 10 000 евро (за нарушение в отношении обработки, которое не охвачено конкретным правонарушением);
— лишение свободы до 5 лет и / или штраф в размере не более 50 000 евро (за нарушение физическим лицом обязательств DPO как ответственным лицом, особо крупные масштабы продажи персональных данных при отсутствии согласия субъектов на сбор этих данных).
Испания
В Испании действует Закон № 3/2018 от 5 декабря 2018 года о защите персональных данных и гарантиях цифровых прав — Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales, — в котором:
1) дается возможность контроллеру самостоятельно разобраться с жалобой.В случае подачи жалобы на контролера или процессора в надзорный орган: надзорный орган уведомляет контроллера и ответственное лицо за обработку персональных данных (DPO) вправе самостоятельно разрешить вопрос в течение двух месяцев с момента получения такой жалобы;
2) большой (и в принципе, достаточно обоснованной) критике подверглось положение закона о том, что политические партии вправе использовать персональные данные, полученные с веб-страниц и других публичных источников, для осуществления политической деятельности в период выборов. После обжалования в конституционном суде этого положения — были внесены правки и теперь политические партии вправе обрабатывать политические мнения только в том случае, если они были свободно выражены людьми при осуществлении своего права на свободу выражения мнений и своей идеологической свободы;
3) имеется целая глава о гарантиях цифровых прав, где говорится о защите частной жизни в сфере труда, например, о праве на неприкосновенность частной жизни и праве использования цифровых устройств на рабочем месте, праве на неприкосновенность частной жизни от использование устройств видеонаблюдения и звукозаписи на рабочем месте и использования систем геолокации при исполнении трудовых обязательств.
Кроме того, в ней установлены:
право на свободу выражения мнений и информации, особенно в отношении выражения мнения в Интернете;
наличие алгоритмов в социальных сетях (и публичных ресурсах), позволяющих исправить и удалить опубликованную информацию;
право на забвение в поисковых системах и социальных сетях.
4) согласие на использование файлов cookie может считаться полученным на законных основаниях, если на сайте хотя бы минимум информации об использовании предоставляется с помощью баннера. Согласием будет являться однозначное действие субъекта, указывающих на согласие — например, использование полосы прокрутки или переход по ссылкам на посещенном сайте;
5) возраст выражения согласия на обработку персональных данных начинается в королевстве по достижении 14 лет;
6) к уголовной ответственность (в форме лишения свободы от 1 до 4 лет и / или ежедневного штрафа на срок от 12 до 14 месяцев) может быть привлечено любое лицо, которое совершает действия с целью раскрытия персональных данных без согласия субъекта: взлом электронной почты или почтового ящика, мессенджера, иного хранилища; перехват телекоммуникаций; использование технических устройств для прослушивания, передачи, записи или воспроизведения звука или изображений.
Швеция
Прежде всего, в рассматриваемой нами сфере на территории Королевства Швеция действуют
Закон о защите данных (2018: 218) и Регламент о защите данных (2018:219). Однако кроме них, также имеется и много отраслевых законов, которые регулируют обработку персональных данных в разных сферах.
Среди них, к примеру, можно выделить Закон о видеонаблюдении (Kamerabevakningslag (2018: 1200)), Закон о кредитной информации (Kreditupplysningslagen (1973: 1173)), Закон о взыскании долга (Inkassolagen (1974: 182)), Закон о свободе мнения (Yttrandefrihetsgrundlag (1991: 1469)), Закон о маркетинге (Marknadsföringslag (2008: 486)), Закон о данных пациента (Patientdatalag (2008: 355)), Закон об электронных коммуникациях (Lag (2003: 389) om elektronisk kommunikation).
Тем не менее, несмотря на то, что правовое регулирование в Швеции работы с персональными данными децентрализовано и имеет большое количество нормативных актов, все они закрепляют на национальном уровне принятые нормы GDPR и иных законов ЕС.
В целом шведское законодательство устанавливает вот такие примечательные дополнения к GDPR:
1) В отношении персональных данных умерших лиц нет каких-либо юридических отличий от живых. Иначе говоря, если покойный успел до кончины дать согласие на обработку своих данных, оно сохраняется в прежнем объеме и правах;
2) Возраст предоставления согласия на обработку данных —13 лет;
3) Согласие субъекта на использование файлов cookie может быть выражено через настройки веб-браузера, но на сайте в любом случае должно быть предупреждение об использование cookie.