Защита персональных данных – миф или реальность? Кто и зачем собирает ваши личные данные

Фото: reddit.com

В Беларуси до сих пор нет полноценного правового механизма, позволяющего защитить свои персональные данные, в то время как в Евросоюзе уже как год внедрен и работает Общий регламент защиты персональных данных (GDPR).

► 27 июня 2019 года Национальный надзорный орган Румынии вынес решение о наложении штрафа в размере 130 тыс. евро на UNICREDIT BANK. Дело в том, что система платежей была спроектирована таким образом, что персональные данные (место жительства и личный номер) сотен тысяч плательщиков банка UNICREDIT были раскрыты получателям платежа в нарушение принципа минимизации данных (ст. 5 GDPR). Скорее всего, нарушение явилось следствием недобросовестной работы инженеров, системных архитекторов, которые проектировали систему и заложили передачу получателям ненужных сведений, что противоречит ст. 25 GDPR.

С 01.07.2019 запущен пилотный проект электронных платежей Нацбанка – сможет ли он обеспечить достойную безопасность персональных данных плательщиков?

► В 2018 году British Airways подверглась хакерской атаке, ей грозит штраф в 4 млн. фунтов ($230 млн.), что составляет 1,5% от годового оборота авиакомпании, за масштабную утечку пользовательских данных, поскольку безопасность некоторых данных (платежная карта, логин, детали полета) была на низком уровне, а это – нарушение GDPR.

Должна ли компания Белавиа учитывать стандарты GDPR в своей работе?

► С 16.05.2019 в Беларуси расширен перечень сведений, которые пассажир должен сообщить билетному кассиру при оформлении проездных документов для следования в международном сообщении в поездах с нумерованными местами: теперь кроме фамилии и номера документа, удостоверяющего личность, необходимо дополнительно представить информацию об имени и дате рождения пассажира.

Как БелЖД обеспечивает права европейских туристов на защиту персональных данных?

► Все центральные улицы Минска оснащены видеонаблюдением в режиме реального времени – кто и зачем собирает эту информацию, где она хранится, как может быть использована?

► Можно ли действительно удалить свой аккаунт в сети Интернет, включая личную переписку и фотографии, не будет ли эта информация сохранена на облачном сервере без реального удаления?

► Каковы перспективы развития законодательства Беларуси в сфере защиты персональных данных?

На эти и другие темы мы побеседовали с Сергеем Воронкевичем, директором консалтинговой компании «Data Privacy Office».

– Очевидно, что в современном мире невозможно не делиться своими персональными данными, не оставлять за собой «цифровой след». Однако контролировать это след, иметь возможность его удалить или исправить – это естественное право человека, которое необходимо обеспечивать в каждом современном цивилизованном государстве. Беларусь в этом плане не исключение – она тоже идет по пути ограничения использования личной информации и защиты персональных данных.

Сегодня в Основном законе прописано, что каждый имеет право на защиту от незаконного вмешательства в его личную жизнь, в том числе от посягательства на тайну его корреспонденции, телефонных и иных сообщений (ст. 28 Конституции Республики Беларусь). За разглашение персональных данных установлена административная (ст. 22.13 КоАП), а за преступления, связанные с незаконным использованием личных данных – уголовная ответственность (ст. 203, 352, 355, 376 УК).

Отдельные вопросы по сбору и хранению персональных данных урегулированы соответствующими нормативными актами: Законом от 10.11.2008 № 455-З «Об информации, информатизации и защите информации», постановлением Совмина от 10.04.2019 № 228 «Об особенностях внесения отдельных персональных данных и их актуализации в регистре населения», постановлениями МВД: от 27.09.2012 № 341 «Об установлении порядка обезличивания персональных данных, содержащихся в регистре населения», от 14.05.2014 № 163 «Об установлении образцов электронных документов, содержащих персональные данные физических лиц, вносимые судами общей юрисдикции в регистр населения» и т.д.

Однако основной документ – Закон о персональных данных – пока не принят.

Проект Закона «О персональных данных» поступил в Палату представителей еще в марте, 13.06.2019 он был принят в первом чтении. Законопроект создан как комплексный НПА, который будет регламентировать порядок обращения с персональными данными, обеспечивать защиту прав и свобод граждан при сборе, обработке, распространении или предоставлении их персональных данных. Принятие закона о защите персональных данных – это первый шаг в сторону цивилизованного подхода к приватности. В проекте есть еще много неопределенности, но главное сделать этот первый шаг, а практика его применения подскажет дальнейшее направление движения.

– А как обстоят с этим дела у наших соседей – в странах ЕС?

– Законодательная, правоприменительная и судебная практика разрешения возникавших спорных вопросов в области защиты персональных данных в странах Евросоюза формировалась несколько десятилетий. Однако, несмотря на то, что юридические основы права на защиту личной жизни и персональных данных были заложены еще в прошлом веке – в принятой Генеральной Ассамблеей ООН Всеобщей декларации прав человека (1948) и Европейской конвенции о защите прав человека и основных свобод (1950), пока еще нельзя говорить о том, что в Европе либо где-либо еще все проблемы сняты, и все вопросы улажены.

Особой вехой в совершенствовании законодательства о защите персональных данных в мировом сообществе стало принятие Советом Европы Конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера (Страсбург, 28.01.1981). Цель ее принятия –обеспечение на территории всех ее участников уважения прав и основных свобод каждого человека независимо от гражданства или места жительства и особенно – права на неприкосновенность личной жизни в связи с обработкой персональных данных. Конвенция закрепила такие основополагающие принципы защиты персональных данных, как ограничение на обработку персональных данных о национальной принадлежности, политических взглядах либо религиозных или иных убеждениях, в том числе касающихся здоровья или сексуальной жизни лица.

Развитость информационной инфраструктуры, доступность мобильной связи и Интернета привели фактически к тотальной круглосуточной слежке за всяким и каждым. Европа столкнулась с серьезными проблемами, связанными со свободой вообще и свободой выбора для каждого отдельного гражданина ЕС в частности. Эта чаша наполнилась настолько, что стала очевидной необходимость обеспечить личную свободу человеку путем ограничения доступа к его персональным данным, их несанкционированного и неограниченного использования в коммерческих интересах компаний, предлагающих товары и услуги, а также государства.

25.05.2018 в Евросоюзе вступил в силу Общий регламент защиты персональных данных (General Data Protection Regulation, далее – GDPR или Регламент).

GDPR заменил директиву Data Protection Directive 1995 года. Регламент был принят 27.04.2016 – он вступил в силу после двухлетнего переходного периода, поскольку, в отличие от ранее действовавшей директивы, действует напрямую в каждой стране ЕС без необходимости принимать национальный закон. За невыполнение Регламента накладывается штраф до 20 000 000 Евро или до 4% от годового мирового оборота компании за предыдущий финансовый год: в зависимости от того, что больше.

Принципы GDPR:

Законность, справедливость и прозрачность — должны иметься легальные основания для сбора и использования данных, ненарушение любых законов, открытость, честность от начала и до конца о использовании персональных данных;
Ограничение обработки заявленной целью — данные можно собирать и использовать только для конкретных задач, указанных в политике приватности (конфиденциальности) и за эти рамки нельзя выходить;
Минимизация использованных данных — использование минимально необходимого количества данных для выполнения заявленных целей;
Точность — персональные данные должны быть точными и не должны вводить в заблуждение; исправление неправильных;
Ограничение хранения данных — не хранить данные дольше чем нужно, уничтожать их автоматически или периодически проводить аудит данных и удалять неиспользуемые;
Целостность и конфиденциальность (информационная безопасность) — хранить, передавать и использовать данные только безопасным способом, не допуская их несанкционированного или случайного повреждения, удаления или доступа к ним;
Подотчётность — ответственность за обработку персональных данных и выполнение всех остальных принципов GDPR, включая учет данных, и операций по их обработке, назначение должностного лица по защите персональных данных, контролирование своих подрядчиков и партнеров.

Однако напрямую GDPR не распространяет свое действие на территории нашей страны, эти вопросы требуют национального законодательного регулирования.

– Значит ли это, что граждане Евросоюза, прибыв в Беларусь, подпадают под действие нашего национального законодательства и фактически утрачивают некоторые свои «европрава»?

– Верно, когда человек приехал из ЕС в Беларусь, его защищает уже белорусское законодательство, а не GDPR.

Правила Регламента действуют на территории ЕС и дополнительно распространяют свое действие на те организации, которые осуществляют свою хозяйственную деятельность на европейском рынке товаров и услуг. Так, если вы обрабатываете данные людей, которые находятся в ЕС и зарабатываете на этом деньги, то будьте добры исполнять при этом европейские законы: гарантируйте гражданам такие права, как право быть забытым, а также право получать к данным доступ.

На европейском рынке работают многие белорусские компании в области финансов, торговли, транспорта, логистики. Можно сказать, что эти компании, выполняя GDPR, лучше подготовятся к тем изменениям, которые в обозримом будущем будут приняты и в Беларуси.

– Правовое регулирование позволит обеспечить соблюдение права на тайну личной жизни и защиту ее от несанкционированных вторжений, а что оно привнесет в развитие рынка товаров и услуг?

– Для бизнеса это палка о двух концах, безусловно. С одной стороны, это приведет к упорядочению и систематизации бизнес-процессов в любой компании, а также повысит доверие потребителей. С другой стороны, законодательное регулирование создаст очевидные препятствия для быстрого получения личной информации клиентов и тем более – для свободного ее использования, бессрочного ее хранения.

Когда правила будут установлены, их придется соблюдать, обучать персонал игре по новым правилам, нести ответственность за свои действия и компетентность своих сотрудников, возможно – даже вводить соответствующие штатные единицы.

– Однако клиентооринтированность именно в том и состоит, чтобы уважать своего клиента, охранять его спокойствие?

– Безусловно. Человек имеет право знать, зачем вы берете его е-mail, для чего вам нужна дата его рождения и адрес места жительства. Ведь не всякий человек хочет получать на свой адрес рекламные рассылки, или не хочет получать их автоматически – а только по конкретным темам, не всем нужны поздравления с днем рождения от интернет-магазина, а вот информацию о скидках для именинников – вполне. Исполнение закона о защите персональных данных – это забота о людях и их интересах. Назойливость в предложении себя – это зачастую потеря клиента. Задача законодательного регулирования персональных данных – это снятие социальной напряженности, это забота каждого о каждом: этими актами заботы вы признаетесь своим клиентам, сотрудникам, контрагентам в любви. Насильно любить никого не заставишь, но оценить заботу можно, сделать бизнес более человечным – можно и нужно.

Мы продолжим разговор с Сергеем Воронкевичем в ближайших выпусках газеты.