О защите данных физических лиц

25 мая 2018 года на территории Европейского союза (ЕС) вступил в силу Общий регламент по защите данных (англ. General Data Protection Regulation, далее в тексте – Регула), который отменил действие Директивы 95/46/ЕС «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных», а также действие Закона Латвии о защите личных данных. 

Если ранее вопрос по обработке данных в каждом государстве решался по-разному, то с 25 мая Регула непосредственно и незамедлительно применяется во всех странах-участницах Евросоюза, в том числе и на территории Латвии, без необходимости в разработке национальных нормативных актов. 

По сути, Регула предусматривает модернизацию уже существующих принципов защиты личных данных, создав единые правила защиты личных данных, которые действуют по всей территории Евросоюза. Защита, предусмотренная настоящей Регулой, должна применяться в отношении физических лиц вне зависимости от их гражданства или места жительства при обработке их личных данных.  

Регула не распространяется на обработку персональных данных юридических лиц, например, предприятий, включая наименование и форму юридического лица, а также контактную информацию юридического лица. 

Регула также не применяется в отношении обработки личных данных физическими лицами в ходе осуществления ими исключительно личной или бытовой деятельности, которая не связана с профессиональной или коммерческой деятельностью. Личная или бытовая деятельность может включать в себя переписку и сохранение адресов, взаимодействие через социальные сети.  

Что включает в себя понятие «личные данные»? Речь идет о любой информации, с помощью которой можно идентифицировать человека – субъекта данных, т.е. его имя, фамилия, контактная информация, адрес проживания, фотография, дата рождения, персональный код и т.д. Соответственно, обработка личных данных означает сбор, регистрацию, структурирование, хранение, использование, передачу, уничтожение и прочие действия с вышеуказанной информацией.  

Физическое или юридическое лицо, госструктура, предприятие или другое учреждение, которое определяет цели и средства обработки личных данных именуется Контролером.  

Из данной Регулы следует, что если предприятие собирает или хранит данные работников, обрабатывает данные клиентов и других физических лиц, проводит целенаправленные маркетинговые мероприятия или работает с сенситивными данными, то действие Регулы распространяется и на данное предприятие, и предприятие выступает в виде контролера.  

Упрощенно говоря, данная Регула касается любого предприятия или самозанятого лица, которое нанимает на работу сотрудников, выписывает счета или заключает договоры с физическими лицами, а также на другом основании обрабатывают личные данные. 

Поэтому очень важно осознавать объём личных данных, который обрабатывает предприятие. Для этого важно провести аудит и выявить, каким образом и с какой целью личные данные собираются, хранятся, используются, кто к ним имеет доступ и кому они в дальнейшем передаются. 

Согласно 5 статьи Регулы при обработке личных данных должны быть соблюдены следующие принципы: 

1. Законность, справедливость и прозрачность. Личные данные должны обрабатываться законно, беспристрастно и прозрачно. Информация о целях, методах и объёмах обработки личных данных должна быть изложена максимально доступно и просто. 
2. Ограничение цели. Личные данные должны собираться для определенных, явных и законных целей. 
3. Минимизация данных. Личные данные должны быть адекватными, соответствующими и ограничиваться тем, что необходимо относительно целей, для которых они обрабатываются, т.е. в минимальном объеме. 
4. Точность. Личные данные должны быть точными и актуальными. 
5. Ограничение по хранению. Личные данные должны храниться в форме, которая позволяет идентифицировать субъектов данных, в течение срока, необходимого для целей обработки. 
6. Целостность и конфиденциальность. Личные данные должны обрабатываться способом, гарантирующим соответствующую безопасность персональных данных, включая защиту от несанкционированной или незаконной обработки, потери, разрушения или уничтожения данных. 

Также Регула определяет, что обработка личных данных может быть законна только при соблюдении одного из нижеуказанных условий: 

1. субъект данных дал согласие на обработку его личных данных; 
2. обработка личных данных необходима для исполнения или заключения договора; 
3. обработка личных данных необходима для соблюдения правовых обязательств, возложенных на контролера (например, предприятие передает информацию по своим работникам в Службу государственных доходов или Агентство государственного социального страхования);  
4. обработка необходима для защиты жизненно важных интересов (например, если человек попадает в больницу после серьезного несчастного случая, больнице не нужно его согласие для поиска документа, удостоверяющего его личность, чтобы в дальнейшем найти его историю болезни или связаться с ближайшим родственником); 
5. обработка необходима для выполнения задачи, которую выполняет Контролер в интересах общества или при исполнении служебных полномочий (например, Латвийская ассоциация семейных врачей имеет определенные официальные полномочия и может проводить дисциплинарные процедуры против своих членов); 
6. обработка необходима для обеспечения законных (легитимных) интересов контролера (например, для обеспечения безопасности имущества, данное предприятие может проводить видеосъемку физических лиц). 

Стоит обратить внимание на первый пункт вышеуказанных условий – получение согласия субъекта на обработку личных данных. Регула устанавливает, что согласие должно быть свободно предоставленным, конкретным, осознанным и однозначным. Согласие может быть дано в письменной, устной или электронной форме.  

Согласие может выражаться путем установки соответствующей отметки в определенном поле интернет-сайта (в виде галочки, крестика, точки и т.д.) либо выбора технических настроек или иного заявления, которое четко указывает на то, что субъект данных в указанном контексте согласен на запланированную обработку своих личных данных. Молчание субъекта данных, заранее проставленная галочка/крестик или бездействие лица не явлюется выражением его согласия.  

Согласие субъекта данных должно распространяться на все виды обработки личных данных. Если обработка охватывает несколько целей, то согласие должно быть дано для всех целей. Нужно помнить, что человек, данные которого обрабатываются, имеет право отозвать свое согласие в любое время. Об этом праве его нужно проинформировать.  

Необходимо отметить, что Регула в целом наделяет субъекта данных очень обширными правами и возможностями контроля над своими личными данными. Данные права включают в себя:  

• Право на доступ к своим данным, а также информации о целях обработки, категориях данных, о получателях, которым были или будут раскрыты личные данные, о сроке, в течение которого будут храниться личные данные и т.д. 
• Право на внесение исправлений в неточные личные данные.
• Право на удаление личных данных (право «быть забытым»). Это право можно использовать, если, например, личные данные больше не требуются для целей, для которых они были получены, или субъект данных отзывает свое согласие, на основании которого проводилась обработка, или, если отсутствует иное юридическое основание для обработки, а также в других случаях, установленных Регулой. 
• Право на ограничение обработки личных данных. Субъект данных вправе потребовать от контролера ограничить обработку личных данных, если точность персональных данных оспаривается субъектом данных, если обработка является незаконной, и субъект данных возражает против удаления персональных данных, если контролеру больше не требуются персональные данные для целей обработки, но они требуются субъекту данных для обоснования, исполнения или ведения защиты по судебным искам и в других случаях. 
• Право на возражение. Субъект данных на основаниях, вытекающих из его конкретной ситуации, имеет право на возражение против обработки относящихся к нему личных данных в определенных в Регуле случаях. Контролер в таком случае обязан прекратить обработку личных данных, кроме случаев, когда Контролер может предоставить убедительные законные основания для обработки, которые превалируют над интересами, правами и свободами субъекта данных или для создания, осуществления или защиты исковых требований. В данном случае контролер имеет право обрабатывать личные данные, за исключением хранения, только с согласия субъекта данных, или для обоснования, исполнения или ведения защиты по судебным искам. 
• Иные права, предусмотренные Регулой.

37 статья Регулы определяет обязанность для Контролера привлечь специалиста в области защиты личных данных в следующих случаях: 

1. обработка осуществляется публичным учреждением или структурой, за исключением судов, исполняющих свои обязанности; 
2. основная деятельность Контролера или обрабатывающего данные лица заключается в обработке данных, которая в силу своего характера, объема и/или целей, требует масштабного, регулярного и систематического мониторинга субъектов данных;  
3. основная деятельность контролера или обрабатывающего данные лица заключается в масштабной обработке особых категорий данных и личных данных, связанных с уголовными приговорами и преступлениями. 

Если предприятие не отвечает ни одному из вышеуказанных критериев, то обязанность назначить такого специалиста на него не распространяется. 

Главной особенностью данной Регулы, на которую стоит обратить внимание, является введение серьезных штрафных санкций за нарушение правил обработки личных данных.  

В Регуле определено, что денежные штрафы должны быть эффективными, соразмерными и соответствующими. Например, нарушение основных принципов обработки, включая условия для согласия (5, 6, 7 и 9 статьи Регулы), несоблюдение прав субъекта (12-22 статьи Регулы), несоблюдение принципов передачи личных данных получателю в третьей стране или международной организации (44–49 Статьи Регулы) повлечет административные штрафы до 20 миллионов евро или до 4% от оборота предприятия за предыдущий финансовый год, в зависимости от того, какая сумма больше.  

Данные административные штрафы установлены в Регуле, они не будут включены в национальные нормативные акты. За взыскание вышеуказанных штрафов в Латвии отвечает государственный надзорный орган, а именно Государственная инспекция данных. В случае незначительного нарушения надзорный орган может объявить выговор.