ЗАКОНОДАТЕЛЬСТВО НОВОЙ ЗЕЛАНДИИ В СФЕРЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Система законодательства. Основные нормативно-правовые акты и их материальное действие
1 декабря 2020 года в Новой Зеландии вступил в силу Закон о неприкосновенности частной жизни (Privacy act 2020, далее – Закон о конфиденциальности). Данный закон является ключевым актом в законодательстве страны в сфере персональных данных. Он значительно усиливает законы в части соблюдения конфиденциальности и предусматривает введение дополнительных обязательств и требований.
Помимо Закона о конфиденциальности существуют кодексы практики. В настоящее время разработано шесть таких кодексов:
- Кодекс о национальных чрезвычайных ситуациях гражданской обороны (Civil Defence National Emergencies (Information Sharing) Code, 2020).
Данный кодекс предоставляет агентствам более широкие полномочия по сбору, использованию и раскрытию личной информации на период действия чрезвычайного положения в стране.
- Кодекс конфиденциальности кредитной отчетности (Credit Reporting Privacy Code, 2020).
Кодекс применяет особые правила к кредитным бюро для обеспечения защиты личной жизни, регулируя сбор, хранение, использование и раскрытие кредитной информации. Для кредитных бюро данный кодекс определяет конфиденциальность информации.
- Кодекс конфиденциальности медицинской информации (Health Information Privacy Code, 2020).
Кодекс устанавливает конкретные правила для учреждений сферы здравоохранения. Он охватывает медицинскую информацию, собираемую, используемую, хранящуюся и раскрываемую учреждениями здравоохранения, и заменяет собой принципы конфиденциальности информации для сферы здравоохранения.
Территориальное действие законодательства о персональных данных
Закон о конфиденциальности имеет экстерриториальное действие и распространяется:
- на организации, расположенные в Новой Зеландии;
- на организации, расположенные за пределами Новой Зеландии, но предлагающие товары /услуги физическим лицам в Новой Зеландии;
- на организации, расположенные за пределами Новой Зеландии, но собирающие информацию о физических лицах в Новой Зеландии.
Закон о конфиденциальности распространяется на государственные учреждения, местные советы, предприятия и частных лиц. Есть некоторые исключения: например, закон не распространяется на средства массовой информации, членов парламента, генерал-губернатора, омбудсменов и суды.
Основные понятия
Персональные данные
Согласно Закону о конфиденциальности, понятие персональных данных охватывает широкий спектр данных – фактически это любая информация, относящаяся к идентифицируемому лицу, включая информацию, относящуюся к смерти физического лица, которая хранится Генеральным регистратором в соответствии с Законом о регистрации рождений, смертей, браков и отношений 1995 года (Births, Deaths, Marriages, and Relationships Registration Act 1995).
Чувствительные данные
16 декабря 2021 года Управление комиссара по вопросам конфиденциальности Новой Зеландии (OPC) опубликовало свое Руководство «Работа с конфиденциальной информацией», Working with sensitive information.
Чувствительная личная информация:
- раса;
- этническая принадлежность;
- пол;
- сексуальная ориентация;
- половая жизнь;
- здоровье;
- инвалидность;
- возраст;
- религиозные, культурные или политические убеждения.
Членство в правозащитных группах, профсоюзах или политических партиях также считается чувствительной информацией, поскольку эти данные могут дать представление о личных мнениях и выборе человека.
Закон о конфиденциальности называет две группы персональных данных, которые относятся к чувствительным данным:
- медицинская, генетическая, биометрическая и финансовая информация;
- личная информация детей.
Трансграничная передача
Закон о конфиденциальности допускает трансграничную передачу данных:
- с согласия физического лица;
- если организация, в которую передаются персональные данные, подпадает под действие Закона о конфиденциальности;
- если обеспечивается уровень гарантий защиты персональных данных, сопоставимый с Законом о конфиденциальности;
- если передача информации предусмотрена законодательством или международными актами;
Биометрические данные
В Руководстве «Работа с конфиденциальной информацией» к биометрическим данным относится высокочувствительная информация, такая как результаты анализа ДНК, сексуальная жизнь, этническая принадлежность, ВИЧ-статус, заболевания или состояния, вызывающие социальную стигматизацию, история психического здоровья, зависимость, ожидаемая продолжительность жизни.
Персональные данные несовершеннолетних
Закон о конфиденциальности не предусматривает специального регулирования обработки персональных данных несовершеннолетних. Однако надзорный орган по вопросам конфиденциальности предусматривает рекомендации в отношении малолетних, которые не способны самостоятельно действовать от своего имени. Они заключаются в том, чтобы организации руководствовались практическим подходом и обрабатывали персональные данные несовершеннолетних с согласия их родителей (опекунов).
Права субъекта персональных данных (отзыв согласия, требование о прекращении обработки)
Закон о конфиденциальности предусматривает раздел, посвященный следующим правам субъекта персональных данных:
- право на доступ к информации;
- право на исправление информации;
- право получать ответ от агентства на запрос субъекта персональных данных;
- право подавать жалобу Уполномоченному по вопросам конфиденциальности;
- право получать уведомления от агентства.
Отраслевое регулирование в области персональных данных
Медицина
Вопросам конфиденциальности в медицине посвящен отдельный документ, который называется Кодекс конфиденциальности медицинской информации.
Он распространяется на все учреждения здравоохранения и защищает всю личную медицинскую информацию, относящуюся к идентифицируемому лицу. Министерство здравоохранения несет ответственность за соблюдение этого кодекса в отношении всей доверенной ему медицинской информации.
Кодекс устанавливает цель сбора медицинской информации (исполнение функций и обязанностей учреждения здравоохранения), а также регулирует процедуру раскрытия информации и устанавливает определенные ограничения в этой связи.
Кроме указанного документа Министерством здравоохранения в 2017 году разработано Руководство по управлению медицинской информацией (HISO 10064:2017) (Health Information Governance Guidelines), которое дает поставщикам медицинских услуг рекомендации о том, как собирать и передавать личную медицинскую информацию на законных основаниях.
Четыре основные предметные области в руководящих принципах включают:
- поддержание качества и доверия;
- защита прав потребителей и обеспечение прозрачности;
- надлежащее раскрытие и совместное использование;
- обеспечение безопасности и защиты личной медицинской информации.
Локализация (положения, требования, ответственность)
Законодательство не предусматривает требований о локализации персональных данных.
Ответственность за нарушения в сфере персональных данных, оборотные штрафы
Ответственность за нарушение прав в сфере персональных данных может быть гражданской, административной и уголовной.
Урегулирование споров. Досудебная процедура. Право на обращение в суд
Субъект персональных данных вправе подать жалобу на нарушение его прав в связи с обработкой персональных данных Уполномоченному по вопросам конфиденциальности.
Уполномоченный инициирует расследование в соответствии с поданной жалобой. Также Уполномоченный по вопросам конфиденциальности может самостоятельно инициировать расследование, если полагает, что права субъектов могут быть нарушены. В некоторых случаях расследование передается Директору по правам человека. Директор может передать дело в Трибунал.
Субъект персональных данных также вправе обратиться в суд напрямую, если по некоторым причинам, перечисленным в Законе
о конфиденциальности, Уполномоченный по вопросам конфиденциальности принял решение не расследовать жалобу.
Надзорный орган в сфере персональных данных
Основным регулятором защиты данных является Уполномоченный по вопросам конфиденциальности.
Обзор отражает авторский взгляд ведущего специалиста по юридическому
сопровождению А.С. Мишкиной на законодательство Королевства Новой Зеландии