• 24 августа 2022

    Великобритания

     

    ЗАКОНОДАТЕЛЬСТВО ВЕЛИКОБРИТАНИИ В СФЕРЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

    Система законодательства в области персональных данных

    Великобритания вышла из состава Европейского союза, имплементировав General Data Protection Regulation (GDPR) в свое национальное законодательство. Теперь этот Регламент в Великобритании именуется GDPR UK.

    Ключевыми законодательными актами, регулирующими защиту данных, является не только GDPR UK, но и Закон о защите данных 2018 года (DPA). Текущие версии GDPR UK и DPA (с поправками, внесенными после выхода Великобритании из Европейского Союза, от 31 января 2020 года) применяются в Великобритании с 1 января 2021 года.

    Этими нормативными правовыми актами регулирование обработки персональных данных не исчерпывается, имеются и иные, в частности: Кодекс практики обмена данными, Детский кодекс, Кодекс маркетинга, Кодекс журналистики, Руководство ICO по легитимному интересу, Руководство в отношении обработки персональных данных и трансграничного обмена данными с ЕС/ЕЭЗ после окончания переходного периода Brexit,  Руководство ICO по реализации принципа подотчетности, Руководство от ICO по проведению DPIA, Руководство по использованию файлов cookie и аналогичных технологий, Руководство по правилам конфиденциальности и электронных коммуникаций, Руководство по ИИ и защите данных, Объяснение решений, принимаемых с помощью ИИ, Инструментарий для оценки рисков ИИ и защиты данных.

    В связи с Brexit Европейская комиссия приняла два решения об адекватности защиты данных в Великобритании: от 28 июня 2021 года в соответствии с Регламентом (ЕС) 2016/679 Европейского парламента и Совета и от 28 июня 2021 г. в соответствии с Директивой (ЕС) 2016/680 Европейского парламента и Совета по надлежащей защите персональных данных Соединенного Королевства.

    В Великобритании планируются многочисленные изменения в области защиты данных, в частности:

    Законопроект о безопасности в Интернете

    Законопроект о безопасности в Интернете был внесен в парламент 17 марта 2022 года, и он будет требовать от социальных сетей, поисковых систем, веб-сайтов и других приложений, позволяющих людям размещать свой контент в Интернете, проводить мероприятия по защите пользователей от вредоносного контента. Одним из таких мероприятий обозначается обязательная биометрическая проверка пользователей.

    Трансатлантическая система конфиденциальности данных

    25 марта 2022 года ЕС и США объявили, что достигли «принципиального соглашения» о новом механизме передачи данных, который позволит передавать персональные данные из ЕС в США путем принятия решения об адекватности. На сегодняшний день передача данных осуществляется в соответствии с рекомендациями, изложенными в информационном бюллетене «Трансатлантические рамки конфиденциальности данных» между EU и USA. Рекомендации являются временным решением. Ожидается, что после внедрения нового механизма передачи между ЕС и США, Великобритания также последует этому примеру и примет свое собственное решение об адекватности между Великобританией и США.

    Реформа защиты данных в Великобритании

    10 сентября 2021 года Департамент цифровых технологий опубликовал документ «Данные: новое направление». Цель этого документа — предложить реформу режима защиты данных в Великобритании, которая создала бы «режим данных», способствующий росту и инновациям, сохраняя при этом «ведущие в мире стандарты защиты данных».

    На рассмотрение парламента 2 февраля 2022 года представлены: Соглашение о международной передаче данных («IDTA»), дополнение о международной передаче данных к Стандартным договорным условиям Европейской комиссии (SCC) для международной передачи данных (Дополнение) и документ, устанавливающий переходные положения. Указанные документы уже принимают во внимание имеющее обязательную силу решение Суда Европейского Союза по делу ICO против Facebook* Ireland Limited, Максимилиан Шремс (C-311/18) («Дело Шремса II»).

    Материальное и территориальное действие. Общий регламент защиты данных (GDPR UK)

    GDPR UK устанавливает основные определения и основные принципы защиты данных, касающиеся оснований для обработки данных, а также определенных обязанностей и обязательств по подотчетности, которые применяются как к организациям, так и к отдельным лицам, обрабатывающим персональные данные. Он также формулирует права для физических лиц, являющихся субъектами данных, в том числе устанавливает право на защиту и получение компенсации.

    DPA 2018 охватывает:

    • обработку персональных данных компетентным органом в любых правоохранительных целях;
    • обработку персональных данных разведывательными службами.

    Наконец, DPA содержит положения, касающиеся ICO, его функций, в том числе в части издания кодексов практики, положений, определении суммы и порядка оплаты операторами данных платы защиту данных.

    Защита данных не распространяется на информацию, относящуюся к умершим лицам, и на обработку информации в отношении юридических лиц.

    GDPR UK и DPA применяются как к обработке персональных данных, осуществляемой на территории Великобритании, так и экстерриториально, при определенных обстоятельствах, к обработке, осуществляемой за пределами Великобритании.

    Законодательство о защите данных применяется к обработке персональных данных контролером или обработчиком в одном из следующих контекстов:

    • в контексте деятельности компании в Великобритании (независимо от того, происходит ли фактическая обработка в Великобритании), при этом под деятельностью, например, понимается в том числе наличие офиса, филиала или дочерней компании в Великобритании;
    • в контексте обработки персональных данных находящихся в Великобритании лиц, в том числе контролером или обработчиком, не зарегистрированным в Великобритании, когда деятельность по обработке связана: (a) с предложением товаров и услуг этим лицам (независимо от того, взимается ли плата за эти услуги или нет), (b) мониторингом их поведения, если это происходит в Великобритании, что может включать создание профилей отдельных лиц с помощью файлов cookie, чтобы лучше ориентировать рекламу на них;
    • в контексте обработки персональных данных контролером, который не зарегистрирован в Великобритании, где внутреннее законодательство применяется в силу международного публичного права.

    В отношении электронных коммуникаций (в частности, маркетинговой деятельности, cookie) действует Положение о конфиденциальности в электронных коммуникациях (PECR).

    Термины и определения 

    • контролер: физическое или юридическое лицо, которое (самостоятельно или совместно с другими) определяет цели и способы обработки персональных данных;
    • обработчик: физическое или юридическое лицо, которое обрабатывает персональные данные от имени контролера;
    • субъект данных: идентифицированное или идентифицируемое физическое лицо, которое является субъектом персональных данных;
    • персональные данные: любая информация, относящаяся прямо или косвенно
      к идентифицированному или идентифицируемому лицу;
    • обработка: любая операция или набор операций, которые выполняются с персональными данными или с наборами персональных данных, независимо от того, автоматизированы они или нет (сбор, запись, организация, структурирование, хранение, адаптация или изменение, извлечение, консультация, использование, раскрытие путем передачи, распространения или предоставления иным образом, ограничение, удаление или уничтожение);
    • специальные категории данных: персональные данные, раскрывающие расовое или этническое происхождение субъекта данных, его политические взгляды, религиозные или философские убеждения, является ли субъект данных членом профсоюза, генетические данные, биометрические данные с целью однозначной идентификации субъекта данных, данные касающиеся здоровья субъекта данных или данных, касающихся сексуальной жизни или сексуальной ориентации субъекта данных;
    • биометрические данные: персональные данные, полученные в результате специальной технической обработки, касающееся физических, физиологических или поведенческих характеристик физического лица, которые позволяют или подтверждают уникальную идентификацию этого физического лица, например, изображения лица или дактилоскопические данные;
    • данные о здоровье: персональные данные, относящиеся к физическому или психическому здоровью физического лица, включая предоставление медицинских услуг, которые раскрывают информацию о состоянии их здоровья (статья 4 (15) GDPR UK);
    • данные о местоположении: любые данные, обрабатываемые в сети электронных коммуникаций, указывающие географическое положение терминального оборудования пользователя, включая данные, относящиеся к широте, долготе, высоте расположения терминального оборудования; направление движения пользователя; время записи информации о местоположении.

    Основания для обработки данных

     Законные основания для обработки изложены в статье 6 GDPR UK. По крайней мере, одно из них должно применяться при обработке персональных данных:

    • согласие: физическое лицо дало четкое согласие на обработку своих персональных данных с определенной целью;
    • договор: обработка необходима для исполнения договора
      с физическим лицом или для выполнения преддоговорных условий;
    • юридическое обязательство: обработка необходима для соблюдения требований закона;
    • жизненно важные интересы: обработка необходима для защиты чьей-либо жизни;
    • общественный интерес: обработка необходима вам для выполнения задачи в общественных интересах или для выполнения ваших официальных функций, и эта задача или функция имеют четкое основание в законе;
    • законный интерес: обработка необходима для законных интересов контролера или законных интересов третьей стороны, если только нет веских оснований для защиты персональных данных физического лица, которые перекрывают эти законные интересы.

    Надзорный орган

    Комиссар по информации (ICO) – независимый регулирующий орган по защите данных в Великобритании, полномочия которого определены статьей 51 GDPR UK и разделом 115 DPA.

    Основными обязанностями ICO являются мониторинг и обеспечение соблюдения GDPR UK, включая рассмотрение жалоб от субъектов данных и проведение расследований. На него также возложена ответственность за предоставление контролерам и процессорам консультаций, когда это требуется, а также за распространение определенных руководств и документов, таких как кодексы поведения и стандартные договорные положения (SCCs).

    Полномочия ICO по расследованию являются широкими и включают в себя: полномочия по проведению аудита контролера или процессора; обыску помещений; вынесению предупреждений, штрафов, наложению ограничений и запретов на обработку; приостановке международных потоков данных. ICO также обладает авторизационными полномочиями, что выражается в утверждении гарантии для международной передачи данных — обязательных корпоративных правил (BCR).

    Трансграничная передача данных

    В Великобритании отсутствуют требования к локализации данных, то есть данные могут физически не храниться в Великобритании. Тем не менее существуют требования к их международной передаче.

    В соответствии со статьей 44 GDPR UK требуется, чтобы любая международная передача персональных данных осуществлялась только при определенных условиях и/или с соблюдением определенных мер предосторожности. Условия изложены в статьях 45-49 GDPR UK  и нормативных документах регулятора:

    • адекватный режим защиты принимающей стороны (соответствующее решение выносится Государственным секретарем министерства внутренних дел в соответствии с разделом 17А DPA и статьей 45 GDPR UK);
    • в отсутствие указанного выше условия, контролер или обработчик, желающий передать персональные данные третьей стране или международной организации, может сделать это, если субъект данных дал явное согласие на предлагаемую передачу после того, как был проинформирован о возможных рисках такой передачи для субъекта данных из-за отсутствия решения об адекватности и надлежащих гарантий (статья 49 (1) (a));
    • передача необходима для выполнения контракта между субъектом данных и контролером или для реализации преддоговорных мер, принятых по запросу субъекта данных (статья 49 (1) (b));
    • передача необходима для заключения или исполнения договора, заключенного в интересах субъекта данных между контролером и другим физическим или юридическим лицом (статья 49 (1) (c));
    • передача необходима по важным причинам, представляющим общественный интерес (статья 49 (1) (d));
    • передача необходима для предъявления, осуществления или защиты юридических претензий (статья 49 (1) (e));
    • передача необходима для защиты жизненно важных интересов субъекта данных или других лиц, когда субъект данных физически или юридически неспособен дать согласие (статья 49 (1) (f)); или
    • передача производится из реестра, который в соответствии с внутренним законодательством предназначен для предоставления информации общественности и который открыт для консультаций либо с общественностью в целом, либо с любым лицом, которое может продемонстрировать законный интерес, но только в той мере, в какой условия, установленные внутренним законодательством для консультаций, выполняются в конкретном случае (статья 49 (1) (g)).
    • передача не является повторяющейся, если она касается ограниченного числа субъектов персональных данных, необходимо для обеспечения законных интересов, преследуемых контролером (которые не отменяются интересами или правами и свободами субъекта данных), и если контролер оценил все обстоятельства, связанные с передачей данных, и на основе этой оценки предоставил надлежащие меры предосторожности в отношении защиты персональных данных. Контролер также должен проинформировать ICO и субъекта данных о передаче (обязательное условие законных интересов, статья 49 (1)).

    Обязанности контролера и обработчика

    Уведомление об обработке данных

    В Великобритании контролеры обязаны платить ежегодный сбор — плата за защиту данных. Данная обязанность и тарифы закреплены в Положении о защите данных (сборы) 2018 года. Существует три тарифа: от 40 до 2900 фунтов стерлингов. Уровень платы зависит от типа организации, размера и оборота (например, благотворительные организации платят по низшему тарифу независимо от размера и оборота). Неуплата или нарушение порядка платы влечет штраф в размере до £4350.

    ICO публикует публичный реестр плательщиков сборов по защите данных, с которым можно ознакомиться на их веб-сайте. Информация, которая публикуется в реестре, включает имя и адрес контролера, регистрационный номер, уровень уплаченного сбора, дату оплаты и данные об истечении срока действия/продления, любые другие торговые названия, контактные данные сотрудника по защите данных (если применимо) (DPO) и их имя, если они дали согласие на публикацию этого.

    Неуплата или нарушение порядка оплаты, наказывается штрафом в размере до £ 4350, из расчета 150 % от неоплаченной суммы сбора.

    Учет обработки данных

    В соответствии со статьей 30 GDPR UK для контролеров и процессоров существуют обязанность по ведению письменных записей об обработке данных (в том числе в электронной форме).

    Контролеры и процессоры должны включать следующую обязательную информацию:

    Организации с численностью персонала менее 250 человек освобождаются от такой обязанности, если только обработка не может привести к риску для субъектов данных, обработка не является случайной или обработка включает «данные особой категории» или «данные об уголовных приговорах и правонарушениях».

    В соответствии со статьей 35 GDPR UK для контролеров существует обязательное требование о проведении DPIA при определенных обстоятельствах:

    • когда обработка может привести к высокому риску для прав и свобод физических лиц (статья 35 (1));
    • когда контролер использует персональные данные для проведения систематической и всесторонней оценки личных аспектов отдельных лиц на основе автоматизированной обработки (включая профилирование) и которая влечет за собой юридические последствия для физических лиц (или оказывает аналогичное существенное влияние) (статья 35 (3) (a));
    • когда контролер обрабатывает «данные особой категории» или «данные об уголовных приговорах и преступлениях» в больших масштабах (статья 35 (3) (b));
    • когда контролер проводит систематический мониторинг общедоступной области в больших масштабах (статья 35 (3) (c)).
    • ICO опубликовал Руководство по DPIA, где содержится список операций по обработке, которые могут привести к высокому риску. Среди таких операций имеются следующие:
    • инновационные технологии: обработка с использованием инновационных технологий, в том числе с использованием искусственного интеллекта;
    • решения, в основе которых лежит автоматизированное принятие решений (включая профилирование) или включают обработку данных специальной категории;
    • крупномасштабное профилирование: любое крупномасштабное профилирование отдельных лиц;
    • биометрия: любая обработка биометрических данных;
    • генетические данные: любая обработка генетических данных, кроме той, которая обрабатывается отдельным врачом общей практики или медицинским работником для оказания медицинской помощи непосредственно субъекту данных;
    • сопоставление данных: объединение, сравнение или сопоставление персональных данных, полученных из нескольких источников;
    • обработка персональных данных, которые не были получены непосредственно от субъекта данных в обстоятельствах, когда контролер считает, что соблюдение статьи 14 GDPR Великобритании окажется невозможным или потребует несоразмерных усилий;
    • обработка, которая включает отслеживание геолокации или поведения человека, включая, но не ограничиваясь, онлайн-средой;
    • использование персональных данных детей или других уязвимых лиц в маркетинговых целях, профилирование или другое автоматизированное принятие решений, или если вы намерены предлагать онлайн-услуги непосредственно детям; и
    • риск физического вреда: когда обработка носит такой характер, что нарушение персональных данных может поставить под угрозу здоровье или безопасность людей.

    ICO также имеет право публиковать белый список операций обработки, которые освобождаются от проведения DPIA. На сегодняшний день ICO не опубликовал белый список.

    Назначение сотрудника по защите данных

     Существует обязательное требование к контролерам и обработчикам назначать DPO при определенных обстоятельствах в соответствии со статьей 37 GDPR UK:

    • в тех случаях, когда обработка осуществляется государственным органом или органом, за исключением судов, действующих в их судебном качестве;
    • в тех случаях, когда основная деятельность контролера или обработчика данных заключается в регулярном и систематическом мониторинге субъектов данных в больших масштабах;
    • в тех случаях, когда основная деятельность контролера или обработчика данных заключается в обработке в больших масштабах «данных особой категории» или «данных об уголовных приговорах и преступлениях».

    Основными обязанностями DPO являются контроль за соблюдением GDPR UK, предоставление консультаций контролеру или процессору и взаимодействие с ICO. Детали, касающиеся положения DPO и их задач, изложены в статьях 38 и 39 GDPR UK соответственно.

    Контактные данные DPO должны быть опубликованы, а также переданы в ICO (статья 37 (7)). Ссылка на ICO для предоставления подробной информации находится здесь.

    Уведомление о нарушении данных

    Существует обязательное требование уведомлять об утечке персональных данных как ICO, так и субъекта данных, затронутого утечкой (статьи 33, 34 GDPR UK).

    Обязанности по уведомлению об утечке данных различны для контролера и процессора.

    Для контролера необходимо уведомить ICO без неоправданной задержки и, по возможности, не позднее, чем через 72 часа после того, как стало известно об утечке данных. О нарушении необходимо уведомить ICO, за исключением случаев, когда маловероятно, что оно повлечет за собой риск для прав и свобод людей. Обработчики обязаны уведомить своего контролера о нарушении без неоправданной задержки (статья 33 (2) GDPR UK).

    В случае, если утечка персональных данных может привести к высокому риску для прав и свобод отдельных субъектов данных, последние должны быть уведомлены без неоправданной задержки. Существует небольшое количество исключений, например, когда уведомление потребует непропорциональных усилий. Однако в этом случае должно быть публичное сообщение для информирования отдельных лиц столь же эффективным образом.

    Хранение данных

    Статья 28 GDPR UK требует заключения договора между контролером и обработчиком, включая определенные обязательные положения. Это должно быть в письменной форме, в том числе в электронной форме.

    Договор должен предусматривать следующее:

    • обработка персональных данных только по документированным инструкциям контролера, в том числе в отношении передачи персональных данных в третью страну или международную организацию, если этого не требует внутреннее законодательство, (статья 28 (3) (a));
    • соблюдение конфиденциальности (статья 28 (3) (b));
    • принятие мер, требуемых в соответствии со статьей 32, то есть по реализации надлежащих технических и организационных мер безопасности) (статья 28 (3) (c));
    • помощь контролеру соответствующими техническими
      и организационными мерами, насколько это возможно, (статья 28 (3) (e));

    Обработка данных несовершеннолетних

    GDPR UK предоставляет детям дополнительную защиту. Установлен возраст цифрового согласия в 13 лет. В тех случаях, когда данные были собраны на основании согласия ребенка, то его законный представитель, как и сам ребенок вправе потребовать удаления своих данных, воспользовавшись правом на удаление («право быть забытым»). Обработка данных с участием детей требует обязательного проведения DPIA.

    ICO также опубликовал Детский кодекс: свод правил для онлайн-сервисов, в котором рассматриваются вопросы, связанные с обработкой данных детей и дизайном информационных ресурсов, таких как приложения, игры, веб-сайты и смарт-устройства.

    * Facebook, Instagram и WhatsApp входят в Meta Platforms Inc., деятельность которой запрещена на территории РФ.

    Обзор отражает авторский взгляд ведущего специалиста по юридическому
    сопровождению Е.С. Дмитриева на законодательство Соединённого Королевства Великобритании и Северной Ирландии

     

    Центр использует файлы cookies с целью управления веб-сайтом и совершенствования своей работы по оказанию правовой помощи гражданам. Вы можете разрешить использование всех файлов cookies или только некоторых из них.