Европейцы должны помнить о том, что закон GDPR не распространяется на Беларусь.
В Беларуси до сих пор нет полноценного правового механизма, позволяющего защитить свои персональные данные, в то время как в Евросоюзе уже как год внедрен и работает Общий регламент защиты персональных данных (GDPR).
***
27 июня 2019 года Национальный надзорный орган Румынии вынес решение о наложении штрафа в размере 130 тыс. евро на UNICREDIT BANK. Дело в том, что система платежей была спроектирована таким образом, что персональные данные (место жительства и личный номер) сотен тысяч плательщиков банка UNICREDIT были раскрыты получателям платежа в нарушение принципа минимизации данных (ст. 5 GDPR). Скорее всего, нарушение явилось следствием недобросовестной работы инженеров, системных архитекторов, которые проектировали систему и заложили передачу получателям ненужных сведений, что противоречит ст. 25 GDPR.
***
С 01.07.2019 запущен пилотный проект электронных платежей Нацбанка – сможет ли он обеспечить достойную безопасность персональных данных плательщиков?
***
В 2018 году British Airways подверглась хакерской атаке, ей грозит штраф в 4 млн. фунтов ($230 млн.), что составляет 1,5% от годового оборота авиакомпании, за масштабную утечку пользовательских данных, поскольку безопасность некоторых данных (платежная карта, логин, детали полета) была на низком уровне, а это – нарушение GDPR.
***
Должна ли компания Белавиа учитывать стандарты GDPR в своей работе?
***
С 16.05.2019 в Беларуси расширен перечень сведений, которые пассажир должен сообщить билетному кассиру при оформлении проездных документов для следования в международном сообщении в поездах с нумерованными местами: теперь кроме фамилии и номера документа, удостоверяющего личность, необходимо дополнительно представить информацию об имени и дате рождения пассажира.
Как БелЖД обеспечивает права европейских туристов на защиту персональных данных?
***
Все центральные улицы Минска оснащены видеонаблюдением в режиме реального времени – кто и зачем собирает эту информацию, где она хранится, как может быть использована?
***
Можно ли действительно удалить свой аккаунт в сети Интернет, включая личную переписку и фотографии, не будет ли эта информация сохранена на облачном сервере без реального удаления?
***
Каковы перспективы развития законодательства Беларуси в сфере защиты персональных данных?
На эти и другие темы cайт «Экономическая газета» побеседовали с Сергеем Воронкевичем, директором консалтинговой компании «Data Privacy Office».
– Очевидно, что в современном мире невозможно не делиться своими персональными данными, не оставлять за собой «цифровой след». Однако контролировать это след, иметь возможность его удалить или исправить – это естественное право человека, которое необходимо обеспечивать в каждом современном цивилизованном государстве. Беларусь в этом плане не исключение – она тоже идет по пути ограничения использования личной информации и защиты персональных данных.
Сегодня в Основном законе прописано, что каждый имеет право на защиту от незаконного вмешательства в его личную жизнь, в том числе от посягательства на тайну его корреспонденции, телефонных и иных сообщений (ст. 28 Конституции Республики Беларусь). За разглашение персональных данных установлена административная (ст. 22.13 КоАП), а за преступления, связанные с незаконным использованием личных данных – уголовная ответственность (ст. 203, 352, 355, 376 УК).
Отдельные вопросы по сбору и хранению персональных данных урегулированы соответствующими нормативными актами: Законом от 10.11.2008 № 455-З «Об информации, информатизации и защите информации», постановлением Совмина от 10.04.2019 № 228 «Об особенностях внесения отдельных персональных данных и их актуализации в регистре населения», постановлениями МВД: от 27.09.2012 № 341 «Об установлении порядка обезличивания персональных данных, содержащихся в регистре населения», от 14.05.2014 № 163 «Об установлении образцов электронных документов, содержащих персональные данные физических лиц, вносимые судами общей юрисдикции в регистр населения» и т.д.
Однако основной документ – Закон о персональных данных – пока не принят.
Проект Закона «О персональных данных» поступил в «палату представителей» еще в марте, 13.06.2019 он был принят в первом чтении. Законопроект создан как комплексный НПА, который будет регламентировать порядок обращения с персональными данными, обеспечивать защиту прав и свобод граждан при сборе, обработке, распространении или предоставлении их персональных данных. Принятие закона о защите персональных данных – это первый шаг в сторону цивилизованного подхода к приватности. В проекте есть еще много неопределенности, но главное сделать этот первый шаг, а практика его применения подскажет дальнейшее направление движения.
– А как обстоят с этим дела у наших соседей – в странах ЕС?
– Законодательная, правоприменительная и судебная практика разрешения возникавших спорных вопросов в области защиты персональных данных в странах Евросоюза формировалась несколько десятилетий. Однако, несмотря на то, что юридические основы права на защиту личной жизни и персональных данных были заложены еще в прошлом веке – в принятой Генеральной Ассамблеей ООН Всеобщей декларации прав человека (1948) и Европейской конвенции о защите прав человека и основных свобод (1950), пока еще нельзя говорить о том, что в Европе либо где-либо еще все проблемы сняты, и все вопросы улажены.
Особой вехой в совершенствовании законодательства о защите персональных данных в мировом сообществе стало принятие Советом Европы Конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера (Страсбург, 28.01.1981). Цель ее принятия –обеспечение на территории всех ее участников уважения прав и основных свобод каждого человека независимо от гражданства или места жительства и особенно – права на неприкосновенность личной жизни в связи с обработкой персональных данных. Конвенция закрепила такие основополагающие принципы защиты персональных данных, как ограничение на обработку персональных данных о национальной принадлежности, политических взглядах либо религиозных или иных убеждениях, в том числе касающихся здоровья или сексуальной жизни лица.
Развитость информационной инфраструктуры, доступность мобильной связи и Интернета привели фактически к тотальной круглосуточной слежке за всяким и каждым. Европа столкнулась с серьезными проблемами, связанными со свободой вообще и свободой выбора для каждого отдельного гражданина ЕС в частности. Эта чаша наполнилась настолько, что стала очевидной необходимость обеспечить личную свободу человеку путем ограничения доступа к его персональным данным, их несанкционированного и неограниченного использования в коммерческих интересах компаний, предлагающих товары и услуги, а также государства.
25.05.2018 в Евросоюзе вступил в силу Общий регламент защиты персональных данных (General Data Protection Regulation, далее – GDPR или Регламент).
GDPR заменил директиву Data Protection Directive 1995 года. Регламент был принят 27.04.2016 – он вступил в силу после двухлетнего переходного периода, поскольку, в отличие от ранее действовавшей директивы, действует напрямую в каждой стране ЕС без необходимости принимать национальный закон. За невыполнение Регламента накладывается штраф до 20 000 000 Евро или до 4% от годового мирового оборота компании за предыдущий финансовый год: в зависимости от того, что больше.
Принципы GDPR:
Законность, справедливость и прозрачность — должны иметься легальные основания для сбора и использования данных, ненарушение любых законов, открытость, честность от начала и до конца о использовании персональных данных;
Ограничение обработки заявленной целью — данные можно собирать и использовать только для конкретных задач, указанных в политике приватности (конфиденциальности) и за эти рамки нельзя выходить;
Минимизация использованных данных — использование минимально необходимого количества данных для выполнения заявленных целей;
Точность — персональные данные должны быть точными и не должны вводить в заблуждение; исправление неправильных;
Ограничение хранения данных — не хранить данные дольше чем нужно, уничтожать их автоматически или периодически проводить аудит данных и удалять неиспользуемые;
Целостность и конфиденциальность (информационная безопасность) — хранить, передавать и использовать данные только безопасным способом, не допуская их несанкционированного или случайного повреждения, удаления или доступа к ним;
Подотчетность — ответственность за обработку персональных данных и выполнение всех остальных принципов GDPR, включая учет данных, и операций по их обработке, назначение должностного лица по защите персональных данных, контролирование своих подрядчиков и партнеров.
Однако напрямую GDPR не распространяет свое действие на территории нашей страны, эти вопросы требуют национального законодательного регулирования.
– Значит ли это, что граждане Евросоюза, прибыв в Беларусь, подпадают под действие нашего национального законодательства и фактически утрачивают некоторые свои «европрава»?
– Верно, когда человек приехал из ЕС в Беларусь, его защищает уже белорусское законодательство, а не GDPR.
Правила Регламента действуют на территории ЕС и дополнительно распространяют свое действие на те организации, которые осуществляют свою хозяйственную деятельность на европейском рынке товаров и услуг. Так, если вы обрабатываете данные людей, которые находятся в ЕС и зарабатываете на этом деньги, то будьте добры исполнять при этом европейские законы: гарантируйте гражданам такие права, как право быть забытым, а также право получать к данным доступ.