• 27 сентября 2022

    Европейский союз

     

    ЗАКОНОДАТЕЛЬСТВО ЕВРОПЕЙСКОГО СОЮЗА В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

    Система законодательства. Основные нормативно-правовые акты

    В европейской правовой системе представления о праве на неприкосновенность частной жизни и праве на защиту персональных данных развивались во взаимосвязи. Право на неприкосновенность частной жизни, именуемое в европейском праве правом на уважение частной жизни, провозглашено во Всеобщей декларации прав человека, принятой в 1948 году. Впоследствии это право гарантировала Европейская конвенция о правах человека (далее – ЕКПЧ), которая имеет обязательную юридическую силу для договаривающихся сторон.

    Статья 8 ЕКПЧ предусматривает, что каждый имеет право на уважение его личной и семейной жизни, жилища и корреспонденции. Вмешательство в это право со стороны органа государственной власти запрещено, за исключением случаев, когда такое вмешательство осуществляется в соответствии с законом, преследует важные и законные общественные интересы и необходимо в демократическом обществе.

    Декларация и ЕКПЧ были приняты задолго до появления компьютеров и Интернета, которые трансформировали общественные отношения, в том числе создав новые риски для права на уважение частной жизни. В ответ на потребность в конкретных правилах, регулирующих сбор и использование личной информации, возникла новая концепция конфиденциальности, известная в одних европейских юрисдикциях как «информационная конфиденциальность», а в других – как «право на информационное самоопределение».

    Формирование законодательства по защите данных в Европе началось в 1970-х годах с принятием в некоторых государствах нормативных правовых актов, регулирующих обработку личной информации государственными органами и крупными компаниями.

    C годами защита данных превратилась в самостоятельную ценность, которая не совпадает с правом на уважение частной жизни. Право на уважение частной жизни и право на защиту персональных данных призваны защитить схожие ценности, то есть автономию и человеческое достоинство людей. Вместе с тем права различаются по своей формулировке и объему. Право на уважение частной жизни состоит из общего запрета на вмешательство, которое может быть ограничено в общественных интересах. Защита персональных данных рассматривается как право, предусматривающее систему сдержек и противовесов для защиты людей при обработке их персональных данных.

    В европейской правовой системе считается, что право на защиту персональных данных вступает в силу всякий раз, когда персональные данные обрабатываются. Любая операция по обработке персональных данных подлежит соответствующей защите независимо от отношения и влияния на конфиденциальность. Для срабатывания правил защиты данных не обязательно доказывать нарушение частной жизни.

    Правовую основу действующих в ЕС правил защиты персональных данных составляет ряд актов:

    Договоры об Европейском союзе (TEU) и о функционировании Европейского союза (англ.Treaty on the Functioning of the European Union, TFEU).

    Первоначальные договоры ЕС не содержали каких-либо ссылок на права человека или их защиту, учитывая, что Европейское экономическое сообщество изначально задумывалось как региональная организация, ориентированная на экономическую интеграцию и создание общего рынка.

    В последующем под влиянием в том числе судебных прецедентных актов Суда ЕС была принята Хартия основных прав Европейского союза и внесены поправки в Договор о функционировании ЕС. Так, согласно статье 8 (1) Хартии и статье 16 (1) Договора о функционировании Европейского союза, предусматривается, что каждый имеет право на защиту персональных данных. При этом это право распространяется не только на граждан Евросоюза, но и на граждан третьих стран, находящихся на законных основаниях на территории ЕС, вне зависимости от длительности их пребывания (речь идет о бизнесменах, туристах, студентах, научных работниках, сезонных рабочих, сотрудниках международных организаций и транснациональных компаний, гражданах третьих стран и лицах без гражданства, обратившихся с ходатайством о предоставлении убежища, и др.).

    Во всех государствах-членах ЕС обработка должна соответствовать основным компонентам защиты персональных данных, а именно независимому надзору и уважению прав субъекта данных.

    Конвенция о защите физических лиц при автоматизированной обработке персональных данных 108 (Заключена в г. Страсбурге 28.01.1981).

    С появлением информационных технологий в 1960-х годах возникла растущая потребность в более подробных правилах защиты личных данных. К середине 1970-х годов Комитет министров Совета Европы принял различные резолюции о защите персональных данных, ссылаясь на статью 8 ЕКПЧ. В 1981 г. была сформулирована Конвенция 108 и открыта для подписания другими государствами. В настоящее время Конвенция 108 остается единственным юридически обязывающим международным документом в области защиты данных.

    Конвенция 108 применяется ко всей обработке данных, осуществляемой как в частном, так и в государственном секторах, включая обработку данных судебными и правоохранительными органами.

    Директива Европейского Парламента и Совета 95/46 ЕС о защите частных лиц при обработке персональных данных и свободном перемещении таких данных от 24 октября 1995 г.

    Директива о защите данных установила подробную и всеобъемлющую систему защиты данных в ЕС. Однако, в соответствии с правовой системой ЕС директивы не применяются напрямую и должны быть перенесены в национальное законодательство государств-членов. Государства-члены ЕС имеют свободу действий при переносе положений директивы и, несмотря на то, что Директива предназначалась для обеспечения полной гармонизации и единого уровня защиты, на практике в государствах-членах она применялась по-разному. Это привело к установлению различных правил защиты данных в ЕС, при этом определения и правила по-разному интерпретировались в национальных законах. Уровни правоприменения и строгость санкций также различались. После разработки директивы в конце 1990-х годов в информационных технологиях произошли значительные изменения. В совокупности эти причины привели к реформе законодательства ЕС о защите данных.

    Закон (ЕС) 2016/679 Европейского Парламента и Совета от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмене Директивы 95/46/EC (далее –  GDPR) (pdf).

    После многих лет интенсивных дискуссий реформа защиты данных привела к принятию Общего регламента по защите данных. Данный акт в отличие от своего предшественника имеет прямое действие и фактически вводит на всей территории ЕС гармонизированное правовое регулирование в сфере защиты персональных данных. Стоит отметить, что GDPR сохранил основные положения Директивы 95/46.

    «Цели и принципы Директивы 95/46/EC по-прежнему сохраняют юридическую силу» 
    (пункт 9 GDPR)

    Территориальное действие

    GDPR применяется к предприятиям, зарегистрированным в ЕС, а также к контролерам и обработчикам данных, не зарегистрированным в ЕС, но предлагающим товары или услуги субъектам данных в ЕС или отслеживающим их поведение.

    По сравнению с Директивой GDPR существенно расширил права субъектов персональных данных, упростил порядок доступа и корректировки персональных данных, регламентировал условия на исключение персональных данных из общедоступных ресурсов, порядок переноса персональных данных между операторами. Введены требования к операторам данных уведомлять национальные надзорные и регулирующие органы о выявленных нарушениях при обработке персональных данных. Подтверждено право на обжалование гражданами действий в сфере обработки персональных данных, которые, по их мнению, нарушают право на защиту, по месту жительства субъекта, а не по месту юридической регистрации оператора персональных данных.

    Директива (ЕС) 2016/680 от 27 апреля 2016 г. Европейского Парламента и Совета от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных компетентными органами в целях предупреждения, расследования, обнаружения или уголовного преследования правонарушений или исполнения уголовных наказаний, а также о свободном перемещении таких данных и отмене Рамочного решения Совета 2008/977/JHA.

    Первым правовым инструментом ЕС, регулирующим этот вопрос, было Рамочное решение Совета Европы 2008/977/JHA о защите персональных данных, обрабатываемых в рамках сотрудничества полиции и судебных органов по уголовным делам. Его правила применяются только к полицейским и судебным данным при обмене между государствами-членами. Внутренняя обработка персональных данных правоохранительными органами была исключена из сферы его применения.

    Директива 2016/680 принята вместе с Общим регламентом по защите данных и установила комплексную систему защиты персональных данных в контексте деятельности правоохранительных органов, а также признала особенности обработки данных, связанных с общественной безопасностью.

    В то время как Общий регламент по защите данных устанавливает общие правила для защиты отдельных лиц в связи с обработкой их персональных данных и для обеспечения свободного перемещения таких данных в пределах ЕС, директива устанавливает конкретные правила для защиты данных в областях судебного сотрудничества по уголовным делам и сотрудничества полиции. Если компетентный орган обрабатывает персональные данные в целях предотвращения, расследования, выявления или судебного преследования уголовных преступлений, применяется Директива 2016/680. Если компетентные органы обрабатывают персональные данные в целях, отличных от указанных выше, применяется общий режим Общего регламента по защите данных.

    В отличие от своего предшественника (Рамочное решение Совета Европы 2008/977/ JHA), сфера применения Директивы 2016/680 распространяется на внутреннюю обработку персональных данных правоохранительными органами и не ограничивается обменом такими данными между государствами-членами.

    Согласно ее положениям, передача персональных данных между правоохранительными органами должна осуществляться в соответствии с принципами целесообразности, пропорциональности, минимальности и только для целей правоохранительной деятельности – раскрытия, расследования и предупреждения преступлений.

    Директива Европейского Парламента и Совета Европейского Союза 2002/58/ЕС от 12 июля 2002 г. в отношении обработки персональных данных и защиты конфиденциальности в секторе электронных средств связи.

    Установление специальных правил защиты данных также было признано необходимым в секторе электронных коммуникаций. С развитием Интернета, стационарной и мобильной телефонии важно обеспечить соблюдение прав пользователей на частную жизнь и конфиденциальность. Директива 2002/58/EC35 об обработке персональных данных и защите конфиденциальности в электронных коммуникациях устанавливает правила безопасности персональных данных в этих сетях, уведомление об утечке персональных данных и конфиденциальность сообщений. В отношении безопасности операторы услуг электронной связи должны, среди прочего, обеспечить, чтобы доступ к персональным данным был ограничен только уполномоченными лицами, и принять меры для предотвращения уничтожения, потери или случайного повреждения персональных данных. При наличии особенного риска нарушения безопасности сети связи общего пользования операторы должны информировать абонентов о риске. Директива также запрещает нежелательные сообщения (т.н. «спам»), если только пользователи не дали на это свое согласие, и содержит правила хранения «cookies» на компьютерах и устройствах. Эти основные обязательства ясно указывают на то, что конфиденциальность сообщений в значительной степени связана с защитой права на уважение частной жизни, закрепленного в статье 7 Хартии, и права на защиту персональных данных, закрепленного в статье 8 Хартии.

    Регламент № 45/2001 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных, осуществляемой учреждениями и органами Сообщества, и о свободном обращении таких данных».

    Поскольку Директива о защите данных может применяться только к государствам-членам ЕС, необходим дополнительный правовой инструмент для установления защиты данных для обработки персональных данных учреждениями и органами ЕС. Регламент (ЕС) № 45/2001 о защите физических лиц в отношении обработки персональных данных учреждениями и органами Сообщества и о свободном перемещении таких данных. Кроме того, указанным регламентом учрежден независимый надзорный орган для контроля за применением его положений — Европейский инспектор по защите данных (EDPS). EDPS наделен надзорными полномочиями и обязанностью контролировать обработку персональных данных в учреждениях и органах ЕС, а также заслушивать и расследовать жалобы на предполагаемые нарушения правил защиты данных. Он также консультирует учреждения и органы ЕС по всем вопросам, касающимся защиты персональных данных, начиная от предложений по новому законодательству и заканчивая составлением внутренних правил, касающихся обработки данных.

    Роль Суда Европейского союза

    Суд Европейского союза (СЕС) обладает юрисдикцией в определении того, выполнило ли государство-член свои обязательства в соответствии с законодательством ЕС о защите данных, а также в толковании законодательства ЕС для обеспечения его эффективного и единообразного применения во всех государствах-членах. С 1995 года накопился значительный объем прецедентного права, разъясняющего значение защиты персональных данных. Судебная практика остается актуальной и действительной для толкования и применения принципов защиты данных в ЕС в той мере, в какой эти основные принципы и концепции сохранены в GDPR.

    Термины и определения

    В соответствии с законодательством ЕС, а также законодательством Совета Европы, «персональные данные» определяются как информация, относящаяся к идентифицированному или идентифицируемому физическому лицу. Это касается информации о лице, личность которого либо установлена, либо может быть установлена на основе дополнительной информации. Чтобы определить, является ли лицо идентифицируемым, контролер или другое лицо должны принять во внимание все разумные средства, которые могут быть использованы для прямой или косвенной идентификации физического лица, например, позволяющие рассматривать, чем человек отличается от другого.

    • «Персональные данные» – это любая информация, относящаяся к «субъекту данных», то есть идентифицированному или поддающемуся идентификации физическому лицу; поддающееся идентификации физическое лицо это лицо, которое можно прямо или косвенно идентифицировать, в частности, посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор, либо на один или несколько факторов, специфичных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица;
    • «Субъект данных» – это идентифицированное или поддающееся идентификации физическое лицо; поддающееся идентификации физическое лицо это лицо, которое можно прямо или косвенно идентифицировать, в частности, посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайновый идентификатор или один или несколько факторов, специфичных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица.

    Согласно законодательству ЕС, только живые физические лица защищены европейским законом о защите данных. Общий регламент по защите данных (GDPR) определяет персональные данные как любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу.

    Согласно Конвенции № 108, защита данных касается, прежде всего, защиты физических лиц; однако Договаривающиеся стороны могут распространить защиту данных на юридические лица, такие как предприятия и ассоциации, в своем национальном законодательстве.

    • «Обработка» – это любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными с использованием средств автоматизации или без использования таких средств, включая сбор, запись, организацию, структурирование, накопление, хранение, адаптацию или изменение, загрузку, просмотр, использование, раскрытие посредством передачи, распространение или иной вид предоставления доступа, сопоставление или комбинирование, сокращение, удаление или уничтожение.
    • Контролер» – это любое физическое или юридическое лицо, государственный орган, учреждение или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных; контролер или критерии для его определения могут быть установлены законодательством Союза или государства-члена в случаях, когда, цели и средства этой обработки определяются законодательством Союза или государства-члена;
    • «Согласие» субъекта данных – это добровольное, конкретное, информированное и однозначное волеизъявление, в котором субъект данных с помощью заявления или четкого утвердительного действия дает согласие на обработку своих персональных данных;
    • «Генетические данные» – это персональные данные, относящиеся к наследственным или приобретенным генетическим характеристикам физического лица, которые раскрывают уникальную информацию о физиологии или здоровье человека, и которые являются результатом, в частности, анализа биологического образца данного физического лица;
    • «Биометрические данные» – это персональные данные, полученные в результате специальной технической обработки, которые касаются физических, физиологических или поведенческих черт физического лица, а также позволяют произвести или подтверждают однозначную идентификацию этого физического лица, например, изображение лица или дактилоскопические данные;
    • «Данные, касающиеся здоровья» – это персональные данные о физическом или психическом здоровье физического лица – в том числе о пользовании медицинскими услугами, – раскрывающие информацию о состоянии его здоровья.

    Принципы защиты персональных данных

    Принципами обработки персональных данных являются:

    • законность обработки – персональные данные могут быть получены только законным способом. Статья 6 (1) GDPR включает помимо согласия субъекта еще пять законных оснований для обработки: а) когда обработка необходима для выполнения договора; б) для выполнения задач в целях выполнения государственных функций; в) для соблюдения юридических обязательств; г) для законных интересов контролера или третьих лиц; д) для защиты жизненно важных интересов субъекта данных;
    • справедливость обработки – означает, что контролеры должны уведомлять субъектов данных об обработке данных законным и прозрачным образом, обязаны продемонстрировать соответствие обработки закону; операции по обработке не должны выполняться тайно, и субъекты данных должны знать о потенциальных рисках; также указанный принцип требует, чтобы данные различных людей обрабатывались без дискриминации или обмана, то есть справедливо;
    • прозрачность обработки – этот принцип устанавливает обязательство контролера принимать любые надлежащие меры, чтобы информировать субъектов данных (пользователей, покупателей, клиентов) о том, как используются их данные; прозрачность также применима к информации, предоставляемой физическому лицу как до начала обработки персональных данных, так и после; она должна быть легкодоступной для субъекта данных, это означает, что конкретная цель обработки персональных данных должна быть известна и понятна субъекту данных во время сбора персональных данных;
    • ограничение цели – персональные данные должны собираться для определенных явных и законных целей и не должны обрабатываться в дальнейшем способом, несовместимым с такими целями. Исключение составляет обработка для целей архивирования в общественных интересах, научных или исторических исследований или статистических целей;
    • целостность и конфиденциальность – персональные данные должны обрабатываться таким образом, чтобы обеспечить надлежащую безопасность, включая защиту от несанкционированной или незаконной обработки и от случайной потери, уничтожения или повреждения, с использованием соответствующих технических или организационных мер (статья 5 (1) (f) GDPR);
    • подотчетность – контролеры несут ответственность и должны быть в состоянии продемонстрировать соблюдение закона (презумпция виновности); например, если контролер не способен посредством внутренней документации, технического задания или демонстрации функционала ПО доказать, что его система удаляет адреса покупателей, по которым, например, доставляются покупки, то тем самым нарушается принцип подотчетности;
    • минимизация данных – обосновывает и осуществляет принцип необходимости; при дальнейшей обработке контролер должен периодически анализировать, являются ли обработанные персональные данные по-прежнему адекватными, релевантными необходимыми или данные должны быть удалены или анонимизированы;
    • ограничение по времени хранения – данные хранятся в форме, которая позволяет идентифицировать субъектов данных не дольше, чем это необходимо для целей, для которых эти данные обрабатываются.

    Территориальная сфера применения

    Территориальная сфера действия GDPR определена в статье 3 (1) Регламента, где сказано: «Настоящий Регламент применяется к обработке персональных данных в контексте деятельности учреждения контролера или обработчика в ЕС, независимо от того, происходит ли обработка в Союзе или нет».

    Существует исчерпывающий перечень оснований, по которым GDPR применяется к компаниям по территориальному принципу.

    В частности, его действие распространяется на:

    1) компании, зарегистрированные на территории ЕС, независимо от места проведения самой обработки;

    2) компании, не зарегистрированные на территории ЕС, если а) производится предложение товаров/услуг гражданам или резидентам ЕС; б) производится мониторинг действий граждан или резидентов ЕС;

    3) компании, зарегистрированные в странах, следующих законодательству ЕС, на основании международных договоров.

    Наибольшая ясность применения GDPR прослеживается ко всем компаниям, базирующимся в ЕС(1). Однако дела c международными компаниями или предприятиями за пределами ЕС обстоят иначе. Определение того, является ли субъект контролером или обработчиком для целей законодательства ЕС о защите данных, является ключевым элементом при оценке применения GDPR к такой обработке персональных данных.

    В части 1 статьи 3 GDPR есть существенное указание на «обработку персональных данных в контексте деятельности учреждения контролера или обработчика», хотя в основной части акта термин «деятельность учреждения» не раскрывается. «Деятельность учреждения» также упоминается в преамбуле 22 GDPR, где говорится, что «любая обработка персональных данных в контексте деятельности организационной единицы контролёра или процессора в Союзе должна осуществляться в соответствии с настоящим Регламентом, независимо от того, осуществляется ли сама обработка на территории Союза. Организационная единица подразумевает эффективное и реальное осуществление деятельности постоянных структур».

    Для того чтобы понять, предлагает ли компания свои товары или услуги лицам, находящимся на территории ЕС, следует установить очевидность намерения, то есть волеизъявление компании считать себя заключившей договор с любым лицом, находящимся на территории ЕС, акцептовавшим её оферту. По GDPR одними из признаков намерений является использование веб-сайтом функционала на языке государства – члена ЕС и производство расчёта цен в валюте государства – члена ЕС с возможностью заказа либо упоминание потребителей или пользователей, находящихся на территории ЕС (pdf).

    Под мониторингом понимается отслеживание лиц в сети Интернет с дальнейшим применением или потенциальной возможностью применения различных технологий по обработке персональных данных для анализа, либо прогнозирования предпочтений, личностных характеристик, особенностей поведения (pdf).

    Для того чтобы обработка данных повлекла применение GDPR, отслеживаемое поведение должно относиться к субъекту данных в Союзе и отслеживаемое поведение должно иметь место на территории ЕС. Применение статьи 3(2)(b), когда контролер данных или процессор контролируют поведение субъектов данных, находящихся в ЕС, может охватывать широкий спектр мероприятий по мониторингу, включая: профилирование, геолокацию, сбор cookies.

    Трансграничная передача данных

    Трансграничная передача в третьи страны возможна лишь при соблюдении Главы V Регламента. Она содержит необходимые механизмы, направленные на то, чтобы передача в третьи страны не ослабляла уровень защиты персональных данных, гарантированный Регламентом.

    Основным условием правомерной передачи персональных данных в третьи страны или международные организации является обеспечение адекватного уровня защиты данных (решение об адекватности принимает Европейская Комиссия и составляет список юрисдикций с должным уровнем защиты).

    Передача данных в страну, не обеспечивающую адекватный уровень защиты, разрешается только при одном из следующих условий:

    1) субъект данных предоставил согласие на передачу после того, как ему было сообщено о возможных рисках такой передачи;

    2) передача необходима для выполнения контракта между субъектом данных и контролером или для реализации преддоговорных мер, принятых на запрос субъекта данных;

    3) передача необходима для заключения или исполнения договора, заключенного в интересах субъекта данных между контроллером и другим физическим или юридическим лицом;

    4) передача необходима для общественного интереса;

    5) передача необходима для формирования, осуществления или защиты законных интересов;

    6) передача необходима для защиты жизненно важных интересов субъекта данных или других лиц, если субъект данных физически или юридически не способен дать согласие.

    Требования к согласию на обработку персональных данных.

    В соответствии со статьей 6 GDPR cогласие является одним из шести оснований обработки персональных данных. Статья 4 (11) GDPR определяет cогласие субъекта как (1) добровольное, (2) конкретное, (3) информированное и (4) однозначно определенное, в котором субъект данных с помощью заявления или четкого утвердительного действия дает согласие на обработку своих персональных данных.

    Добровольность подразумевает, что субъект данных не имеет реальный выбор. Если он чувствует вынужденность согласия во избежание ущерба для себя, то такое согласие считается незаконным. Если согласие включено в условия обслуживания, как неизменная его часть, то оно не считается добровольным. Согласие также не считается добровольным, если субъект данных не может отозвать его без неблагоприятных последствий для себя.

    Статья 6(1)(а) подтверждает, что Согласие должно быть дано в отношении «одной или нескольких конкретных» целей и что субъект данных должен иметь выбор в отношении каждой из них.

    Чтобы согласие было информированным, необходимо предоставить субъекту данных несколько элементов, имеющих решающее значение для принятия им решения. В согласии требует отражения следующая информация: a) наименование контролера; b) цели обработки, для которых предназначаются персональные данные; c) типы данных, которые будут собираться и использоваться; d) наличие права на отзыв; e) сведения об автоматической обработке данных в соответствии со статьей 22(2)(с); f) сведения о возможных рисках передачи данных из-за отсутствия адекватного решения и защитных мер, описанных в статье 46.

    GDPR определяет, что согласие требует четкого утвердительного действия субъекта данных. Должно быть очевидно, что субъект данных дал свое Согласие на конкретную обработку.

    Обработка специальных категорий персональных данных

    Некоторые типы конфиденциальных персональных данных подлежат дополнительной защите в соответствии с GDPR. Они перечислены в статье 9 GDPR:

    • персональные данные, указывающие на расовое или этническое происхождение;
    • политические взгляды;
    • религиозные или философские убеждения;
    • членство в профсоюзе;
    • генетические данные и биометрические данные, обрабатываемые с целью однозначной идентификации физического лица;
    • данные, касающиеся здоровья;
    • данные, касающиеся сексуальной жизни или сексуальной ориентации физического лица.

    Обработка этих особых категорий запрещена, за исключением ограниченных обстоятельств, изложенных в статье 9 GDPR. Особые категории персональных данных могут обрабатываться в соответствии с GDPR в следующих случаях:

    • когда субъект данных дал свое явное согласие на обработку рассматриваемых персональных данных;
    • когда обработка необходима для защиты жизненно важных интересов субъекта данных или другого лица, если субъект данных физически или юридически неспособен дать согласие;
    • когда персональные данные обрабатываются в ходе законной деятельности фонда, ассоциации или любой другой некоммерческой организации с политическими, философскими, религиозными или профсоюзными целями, и обработка надлежащим образом защищена; такая обработка может относиться только к членам или бывшим членам организации или к лицам, которые регулярно контактируют с ними в связи с целями организации; данные не могут быть раскрыты за пределами этой организации без согласия субъектов данных;
    • когда обработка касается персональных данных, которые явно обнародованы субъектом данных, например, путем их публикации на собственном веб-сайте субъекта данных;
    • когда обработка необходима для установления, осуществления или защиты юридических требований.

    Чувствительная природа специальной категории данных влечет за собой согласие, выходящее за рамки обычного «заявления или явного позитивного действия» со стороны субъекта данных. Это означает, что следование по ссылке или отметка поля в приведенных примерах могут быть расценены как недостаточное согласие. Руководство по согласию рекомендует другие формы согласия, такие как заполнение электронной формы, использование электронной подписи, запись устного заявления или проведение двухэтапной верификации (например, отметка поля в форме и последующее подтверждение согласия по электронной почте).

    В соответствии со статьей 9 (2)(с) обработка специальных категорий персональных данных допускается, если она необходима для защиты жизненно важных интересов лица или третьих лиц. Жизненно важный интерес включает в себя угрозы физической неприкосновенности, или жизни лица, или третьего лица. Согласно Преамбуле 46, данное основание может также применяться к гуманитарным ситуациям, таким как мониторинг эпидемий или оказание помощи в случае стихийных или антропогенных бедствий.

    Обработка обнародованных данных признается законной, если такое обнародование не было случайным, непреднамеренным или непроизвольным раскрытием. Это должно быть результатом свободного и обдуманного решения. Индивид должен полностью осознавать, что он обнародовал свои данные.

    GDPR требует, чтобы организации обращались со специальными категориями персональных данных с предоставлением соответствующих гарантий.

    Обязанности контролера и процессора

    Контролер и процессор – это физические и юридические лица, государственные органы, учреждения и другие компании. Контролер определяет цели и средства обработки персональных данных, процессор (обработчик) обрабатывает данные от имени и по поручению контролера.

    Контролер и процессор должны принимать надлежащие организационные и технические меры для обеспечения исполнения GDPR.

    Государственные органы и предприятия, основная деятельность которых заключается в регулярной или систематической обработке персональных данных, обязаны нанимать сотрудника по защите данных (DPO), который отвечает за соблюдение GDPR. Компании должны сообщать о нарушениях в национальные надзорные органы в течение 72 часов, если такие нарушения оказывают негативное влияние на конфиденциальность пользователей.

    Чтобы иметь возможность продемонстрировать соответствие GDPR, контролер данных должен применять меры, которые соответствуют принципам защиты данных. Статья 25 требует, чтобы меры по защите данных были разработаны для всех бизнес-процессов.

    Оценка воздействия на защиту данных (статья 35) должна проводиться, когда возникают конкретные риски для прав и свобод субъектов данных. Требуется оценка и смягчение рисков, а для высоких рисков требуется предварительное одобрение органов по защите данных.

    В отчете Агентства Европейского союза по сетевой и информационной безопасности подробно изложено, что необходимо сделать для обеспечения конфиденциальности и защиты данных по умолчанию. В них указывается, что операции шифрования и дешифрования должны выполняться локально, а не удаленной службой, поскольку и ключи, и данные должны оставаться во власти владельца данных, если требуется обеспечить конфиденциальность. В отчете указывается, что стороннее хранение данных в удаленных облаках практично и относительно безопасно, если ключами дешифрования владеет только владелец данных, а не облачный сервис.

    Обработка данных о детях

    GDPR признает, что персональные данные детей должны быть защищены особым образом, поскольку они могут быть менее осведомлены о рисках и последствиях обмена данными. В разделе 38 отмечается, что использование данных ребенка для маркетинга, создания профилей пользователей или сбора данных при использовании сервисов заслуживает особой защиты. Процесс получения согласия для детей (и действительность их согласия) регулируется статьей 8 GDPR. Разделы GDPR, относящиеся к данным детей, часто сокращаются до аббревиатуры GDPR-K.

    Предельный возраст цифрового согласия составляет 16 лет. Однако государства-члены могут законодательно установить более низкий возраст при условии, что такой более низкий возраст составляет не менее 13 лет. Так, в Германии, Венгрии, Литве, Люксембурге, Словакии и Нидерландах возраст согласия составляет 16 лет. В Австрии возраст согласия составляет 14 лет. В Испании, Чехии, Дании, Ирландии, Латвии, Польше и Швеции минимальный возраст согласия – 13 лет.

    Согласие ребенка действительно только в том случае, если лицо, несущее родительскую ответственность (родитель или опекун), также дает согласие. Статья 8 (2) требует разумных усилий для проверки того, что родитель дал согласие на обработку данных ребенка.

    GDPR-K не предписывает операторам использование конкретных методов проверки возраста цифрового порядка. Ответственность за определение разумного подхода, соответствующего риску, связанному с предлагаемой обработкой данных, лежит на операторе.

    Средства правовой защиты и ответственность

    Ответственность и штрафы, которые могут понести контролеры и обработчики за нарушения при обработке данных, изложены в главе 8 GDPR. В этой же главе предусмотрено право субъектов на судебную защиту и компенсацию в связи с допущенными нарушениями при обработке данных.

    Наложение административных штрафов на сумму до 20 миллионов евро или до 4% от общего мирового годового оборота за предыдущий финансовый год могут повлечь нарушения:

    • основных принципов обработки, включая условия получения согласия;
    • прав субъектов данных;
    • условий передачи персональных данных получателю в третьей стране или международной организации;
    • любых обязательств в соответствии с законодательством государства-члена, принятым в соответствии с главой 9 GDPR;
    • приказа надзорного органа о временном или окончательном ограничении обработки или о приостановлении потоков данных в соответствии со статьей 58 (2) или непредставление доступа в нарушение статьи 58 (1) GDPR.

    Обзор отражает авторский взгляд ведущего специалиста по юридическому
    сопровождению Е.С. Дмитриева на законодательство Европейского союза

     

    Центр использует файлы cookies с целью управления веб-сайтом и совершенствования своей работы по оказанию правовой помощи гражданам. Вы можете разрешить использование всех файлов cookies или только некоторых из них.