+7 (499) 550-80-03
4people@grfc.ru
    • Главная Аналитика и законодательство Международные акты и акты иностранных государств в области персональных данных Акты иностранных государств Австралия
    3 августа 2022

    Австралия

     

    ЗАКОНОДАТЕЛЬСТВО АВСТРАЛИИ В СФЕРЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

    Система законодательства. Основные нормативно правовые акты 

    Законодательство Австралии в сфере персональных данных имеет несколько уровней: федеральный и территориальный.

    Главным законом является Закон «О приватности» от 1988 года (The Privacy Act (далее – PA). Данный закон включает в себя 13 принципов приватности, которые считаются самостоятельными актами (Australian Privacy Principles (далее – APP).

    Закон «О моих медицинских данных» от 2012 года (The My Health Records Act (далее – MHRC) регулирует отношения об обработке данных о здоровье
    в рамках системы My health records физическими лицами, государственными агентствами, организациями и государством.

    Закон «О медицинских идентификаторах» от 2010 года (The Health Identifiers Act (далее – HIA), который регулирует использование и раскрытие данных о медицинских идентификаторах.

    Закон «О телесвязи» от 1997 года (The Telecommunication Act (далее – TA) принят в целях воспрепятствования незаконному использованию и раскрытию данных о телесвязи.

    Закон «О спаме» от 2003 года (The Spam Act (далее – SA) принят для урегулирования практики по отправлению нежелательных сообщений через СМС или электронную почту.

    Закон «О запрете нежелательных звонков» от 2006 года (The Do Not Call Register Act (далее – DNCRA) регулирует отношения, связанные
    с поступающими с незнакомых номеров звонков.

    Территориальное законодательство:

    Закон «О приватности и защите персональных данных» Нового Южного Уэльса от 1998 года (The Privacy and Data Protection Act).

    Закон «О приватности и защите персональных данных» Виктории от 2014 года (The Privacy and Data Protection Act).

    Закон «Об информационной приватности» Квинсленда от 2009 года (The Information Privacy Act).

    Инструкция «О принципах приватности» Южной Австралии от 1989 года (The Information Privacy Principles Instruction).

    Закон «О персональных данных и их защите» Тасмании от 2004 года (The Personal Information and Protection Act).

    Закон «О персональных данных» Австралийской столичной территории от 2004 года (The Australian Capital Territory Act).

    Территориальное и материальное действие законодательства о персональных данных

    Территориальная применимость в отношении операторов (за исключением госорганов) определяется через правовую конструкцию «связь с Австралией» (Australian link) и имеет место тогда, когда оператором является:

    • гражданин Австралии;
    • лицо, чье постоянное присутствие в Австралии не подлежит ограничению по времени;
    • партнерство, созданное в Австралии или на внешней территории Австралии (острова);
    • траст, созданный в Австралии или на внешней территории;
    • юридическое лицо, зарегистрированное в Австралии или на внешней территории;
    • некорпоративная ассоциация, центральное управление и контроль которой находятся в Австралии или на внешней территории.

    Дополнительные критерии, свидетельствующие о наличии связи с Австралией:

    • организация или оператор осуществляют бизнес в Австралии или на внешней территории;
    • персональные данные были собраны на территории Австралии или внешней территории Австралии до появления акта, либо во время его действия.

    Закон «О персональных данных» не применяется к:

    • обработкам для личных и семейных нужд, не связанных с осуществлением бизнеса;
    • обработкам небольших бизнес-операторов, оборот которых составляет менее 3 млн австралийских долларов в года (исключение небольшие операторы, обрабатывающие данные о здоровье);
    • обработкам персональных данных работников.

    Основные понятия

    Персональные данные – информация о физическом лице, которое можно разумно идентифицировать, независимо от того, записана ли эта информация в материальной форме (это включает информацию, переданную устно), и независимо от того, возможна ли такая идентификация или повторная идентификация на основе самой информации или в сочетании со ссылкой на нее.

    Чувствительные данные – раса, этническое происхождение, политические взгляды, членство в политических партиях, религиозные взгляды, философские убеждения, членство в профсоюзах, сексуальная ориентация, судимость, а также данные о здоровье, генетические данные и биометрия.

    Основания для обработки персональных данных

    Законодательство Австралии не имеет как таковых оснований обработки персональных данных. Вместо этого закон устанавливает требования к обеспечению прозрачности, то есть информирование об условиях обработки, уведомление об утечках, а также в отдельных случаях требование о получении простого или явного согласия на обработку.

    Согласие должно быть добровольным, конкретным, то есть направленным на определенное действие с данными. Субъект должен иметь возможность узнать информацию о том, выражал ли он согласие, а также отозвать его. Обработка чувствительных данных требует выражения явного согласия.

    При использовании согласия в форме opt-out следует учитывать следующие позволяющие оценить его допустимость факторы:

    • вариант отказа был четко и наглядно представлен;
    • последствия того, что субъект по каким-то причинам не воспользовался формой отказа, несущественны;
    • субъект был проинформирован о последствиях отказа;
    • возможность отказаться была в свободном доступе, воспользоваться такой возможностью было легко;
    • и другие.

    Оператор и процессор

    Законодательство не разделяет лиц, причастных к обработке персональных данных, на операторов и процессоров. Любые лица, осуществляющие обработку, должны выполнять требования закона.

    В законе используется понятие APP entity (Australian Privacy Principle entity), которое включает в себя организации и агентства.

    В частности, к организациям отнесены: юридические лица, партнерства, иные ассоциации и трасты, за исключением политических партий, а также малого бизнеса с ежегодным оборотом менее 3 миллионов австралийских долларов. 

    К агентствам относятся: министерства, ведомства, федеральные суды, полиция, учреждения и трибуналы, созданные для публичных целей и так далее.

    При раскрытии данных другому лицу оператор обязан удостовериться в том, что получатель предпримет необходимые меры защиты и выполнит требования к обработке. Рекомендуется проводить предварительную проверку лица, которому передаются данные, и заключить с ним соглашение о требованиях к уровню защиты персональных данных.

    Лица, обрабатывающие персональные данные, обязаны опубликовать политику обработки персональных данных. В политике обязательно должны быть указаны:

    • перечень обрабатываемых персональных данных;
    • цели обработки персональных данных;
    • как субъект может узнать, какие данные о нем обрабатываются и как потребовать их уточнения;
    • как субъект может пожаловаться на нарушения порядка обработки данных;
    • как оператор будет реагировать на поступившую жалобу на нарушение.

    Данные о несовершеннолетних

    Австралийское законодательство не имеет отдельного регулирования, посвященного обработке данных детей, и не предусматривает возраста,
    с которого несовершеннолетний приобретает право самостоятельно выражать согласие на обработку. Однако в соответствии с разъяснениями регулятора операторы обязаны проверять способно ли лицо, не достигшее 18 лет, понимать значение обработки персональных данных, на которое оно дает согласие.

    Существует презумпция того, что лицо, достигшее 15 лет, признается понимающим значение обработки персональных данных и способным самостоятельно выразить согласие, если не будет доказано обратное.
    В отношении обработки данных о здоровье Комиссией было принято дополнительное разъяснение, согласно которому для обработки данных
    в рамках государственной электронной системе «Сведения о моем здоровье» согласие может быть выражено лицом, достигшим 14-летнего возраста.

    Права субъектов 

    1. Знать, кто собирает, использует или раскрывает персональные данные о субъектах.
    2. Знать, для каких целей персональные данные собраны, как будут использоваться или раскрываться, а также кому данные будут передаваться.
    3. Иметь право идентифицировать себя или использовать псевдоним во время обработки в некоторых случаях.
    4. Получить доступ к персональным данным о себе.
    5. Требовать прекратить направление нежелательных маркетинговых сообщений.
    6. Требовать уточнения неточных и исправления неверных персональных данных.
    7. Подавать жалобу на незаконную обработку персональных данных.
      В первую очередь субъект должен направить жалобу самому оператору.
      В случае ее неудовлетворения жалобы обратиться в уполномоченный орган.

    Трансграничная передача персональных данных

    Трансграничная передача разрешается, если есть законное основание и одно из следующих условий:

    • передача в страну, обеспечивающую адекватный уровень защиты;
    • данные передаются лицам, имеющим специальную сертификацию или документы, подтверждающие соответствие кодексам поведения, одобренных специальным регулятором;
    • защищенность передачи подтверждена типовыми договорными условиями (Standard Contractual Clauses);
    • компании связаны корпоративными правилами;
    • имеется согласие, либо обработка необходима для исполнения договора, защиты интересов субъекта.

    Законодательством предусмотрена отдельная категория данных о здоровье, которая хранится в информационном сервисе «Мои данные о здоровье». Такие данные могут передаваться за пределы Австралии только в анонимизированном формате.

    Локализация

    Локальные акты некоторых штатов Австралии требуют локализации персональных данных. К примеру, в Новом Южном Уэльсе и штате Виктория требуется локализация персональных данных о здоровье, кроме случаев, когда субъект выразил согласие на передачу своих персональных данных. Передача необходима для исполнения договора, компания должна предпринять необходимые меры для защиты передаваемых данных.

    Отдельные законы штатов предусматривают также требование о локализации в отношении кредитных данных, налоговых и финансовых данных, данных об экспортном контроле и других.

    Значимые особенности регулирования

    Закон «О приватности» не применяется к обработкам персональных данных текущих и бывших сотрудников. Соответственно, работодатель не обязан следовать принципам и иным требованиям закона в ходе обработки данных, переданных текущими или бывшими сотрудниками. При этом данные, полученные при взаимодействии с лицами, претендующими на вакантные должности, обрабатываются в соответствии с Законом «О приватности».

    Обработка данных в рамках группы компаний носит упрощенный порядок и не требует соблюдения правил, распространяющихся на случаи передачи данных от одного самостоятельного оператора к другому. Исключением являются случаи трансграничной передачи.

    Урегулирование споров

    Субъекты персональных данных вправе требовать компенсацию морального вреда за нарушение их приватности. К примеру, в штате Виктория органом, в который субъект может обратиться с требованием о возмещении компенсации, является гражданский и административный трибунал Виктории. Размер компенсации может составлять 100 000 австралийских долларов, однако случаев взыскания такой суммы на практике не встречалось. Как правило, размеры возмещения варьируются от 1 000 до 3 000 австралийских долларов. За особо грубые нарушения размер компенсации может достигать 25 000 австралийских долларов. Такой размер компенсации был взыскан в результате публикации данных о здоровье на веб-сайте и их не удалении в течение года, что в результате привело стрессу, беспокойству и ухудшению здоровья.

    При этом субъекты вправе подавать коллективные иски, размер требований которых существенно больше. К примеру, в одном из дел об утечке в Новом Южном Уэльсе суд удовлетвори компенсацию в размере 270 000 австралийских долларов за незаконную продажу данных 100 сотрудников скорой помощи.

    Ответственность

    Максимальный штраф для компаний за нарушение приватности может составлять 2,2 млн австралийских долларов. При этом максимальный предел планируется поднять до 10 млн, а также установить расчет, как тройной размер полученной выгоды или 10 процентов ежегодного оборота компании.

    За нарушение Закона «О медицинских данных» компании могут быть привлечены к ответственности в размере 1,6 млн австралийских долларов, а физические лица в размере 300 тысяч долларов. Кроме того, физические лица могут быть привлечены к уголовной ответственности за разглашение медицинских данных в виде лишения свободы на срок до 2 лет.

    За незаконную обработку кредитной информации субъектов персональных данных размеры штрафов могут достигать до 400 тысяч долларов.

    Надзорный орган в сфере персональных данных, его полномочия

    Защитой персональных данных на федеральном уровне занимается Австралийская комиссия приватности, которая интегрирована в управление Австралийской комиссии об информации (Office of the Australian Information Commissioner (далее OAIC). К полномочиям OAIC относятся:

    • проведение расследований;
    • реагирование на жалобы;
    • мониторинг нарушений;
    • подготовка разъяснений.

    Контролем за исполнением законов о нежелательных сообщениях и звонках занимается Австралийское управление по коммуникациям и средствам массовой информации (The Australian Communications and Media Authority (далее — ACMA).

    Контрольным органом в сфере защиты персональных данных Нового Южного Уэльса является Комиссия по информации и приватности (The Information and Privacy Comission (далее – IPC).

    Свой контрольный орган есть в штате Виктория, Квинсленд, Тасмания, а также в Южной, Западной и Северной Австралии.

    Обзор отражает авторский взгляд ведущего специалиста по юридическому
    сопровождению В.А. Ширманова на законодательство     Австралии

     

    Центр использует файлы cookies с целью управления веб-сайтом и совершенствования своей работы по оказанию правовой помощи гражданам. Вы можете разрешить использование всех файлов cookies или только некоторых из них.