Что такое Personal Data и зачем их защищатьСтремительное технологическое развитие и глобализация изменили не только нашу жизнь, но и мировую экономику. Как указывают в своей аналитике специалисты консалтинговой компании "Эмикс", оказывающие услуги консалтинга в Москве, масштабы обработки и сбора персональных данных значительно выросли, а их роль приобрела немалый значимости. Часто мы даже не обращаем внимание, как предоставляем сведения о себе, регистрируясь в социальной сети, покупая товары онлайн, устраиваясь на работу или записываясь к парикмахеру. Однако никто не может быть уверен, что те, в чьих руках окажутся наши персональные данные, будут действовать добродетельно, а главное - законно, соблюдая права субъектов данных. Следовательно, в современных условиях вопросы защиты персональных данных приобретает все большую актуальность как для нашей страны, так и в целом для мирового сообщества.
25.05.2018 г. вступил в силу Общий регламент по защите персональных данных (General Data Protection Regulation) (далее - Регламент или GDPR), который значительно повышает стандарты в области защиты персональных данных, в частности, расширив круг данных, которые являются персональными и нуждаются в защите, регламентировании ряда прав субъектов данных, установив беспрецедентные санкции для нарушителей положений Регламента.
Рассмотрим подробнее, какие сведения о физическом лице относятся к персональным данным, которые основные принципы их обработки, сборки и защиты. В соответствии с положениями ст. 4 Регламента, Personal Data - это любая информация, с помощью которой прямо или косвенно можно идентифицировать определенную физическое лицо по таким идентификаторами как имя, идентификационный номер, данные о местонахождении, онлайн-идентификатор или по одному или нескольким факторами, является определяющими для физической, физиологической, генетической, умственной, экономической, культурной или социальной сущности такого физического лица. Стоит отметить, что это понятие толкуется достаточно детализировано и развернуто, а также учитывает электронные идентификационные данные, полностью соответствует требованиям.
Отдельно следует остановиться на так называемых «чувствительных данных», которые GDPR выделяет в особую категорию. К ним относятся, в частности, данные о расовой или этнической принадлежности, убеждений, религиозные, философские верования, а также биометрические, генетические данные, данные о состоянии здоровья, половой жизни или сексуальной ориентации человека. По общему правилу, обработка этой категории данных запрещена и разрешена только в строго регламентированных случаях и в определенном Регламентом порядке.
В соответствии с требованиями GDPR, персональные данные должны обрабатываться законно - только при наличии оснований для их обработки (согласие субъекта данных, договор и т.п.), справедливо и прозрачно. Регламент внедряет принцип ограничения целей обработки персональных данных - данные обрабатываются только с четкими, конкретными, законными целями. Объем данных должен ограничиваться лишь необходимым их количеством, в связи с определенной целью обработки. Также GDPR регламентирует принцип ограничения хранения, согласно которому хранения данных должно быть не более, чем это необходимо для цели, в связи с которой они обрабатываются.
Следует отметить, что особое внимание Регламент уделяет защите персональных данных. В частности, в соответствии с требованиями GDPR, обработка данных должна осуществляться таким образом, чтобы обеспечивать надлежащую безопасность данных (защита от несанкционированного или незаконной обработки, случайной потери, уничтожения, повреждения), используя соответствующие технические и / или организационные меры.
Технологическое развитие приводит к возникновению новых проблем для защиты персональных данных. Несмотря на скандал вокруг Cambridge Analytics и Facebook по неправомерной передачи персональных данных миллионов пользователей социальной сети, как никогда остро стоит вопрос о необходимости защиты таких данных на высоком уровне. Недобросовестные владельцы персональных данных и их распорядители могут неплохо заработать. Таким образом, с помощью технологического прогресса персональные данные превращаются в товар или средство воздействия. Например, с помощью недобросовестного использования персональных данных можно повлиять на избирательную компанию путем моделирования предпочтений субъектов данных и демонстрации им соответствующей политической рекламы.
Что касается безопасности персональных данных в нашей стране, то вопрос повышения уровня качества защиты таких данных пока является одним из самых актуальных. Каждый из нас хотя бы раз получал SMS с навязчивой рекламой товаров, услуг или заведений, о которых мы впервые слышим. Конечно, мы не давали согласия на такую рассылку. Сегодня, сделав несложный поисковый запрос в сети, можно найти целый ряд объявлений о продаже клиентских баз данных с именами, адресами, номерами телефонов, электронными адресами граждан, вряд ли хотели, чтобы информация о них мог получить кто угодно. Также стоит упомянуть недавний скандал, просто взорвал отечественное медиа пространство новостью о продаже персональных данных клиентов одной из ведущих почтовых компаний, однако официально факт выставления на продажу базы данных не был признан.
Несмотря на наличие таких объявлений, вероятно, есть спрос на неправомерное покупку сведений о гражданах, а возможность приобрести персональные данные свидетельствуют о необходимости повышения требований в области обеспечения безопасности таких данных в нашей стране. Учитывая описанную ситуацию, считаем необходимым отметить о стандартах защиты персональных данных в стране и сравнить их с положениями GDPR. Согласно положениям Закона «О защите персональных данных», персональные данные - это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть идентифицировано.
Как видим, национальное законодательство определяет персональные данные значительно уже, чем GDPR, а также не учитывает электронные идентификационные данные (IP-адрес, файлы cookies и т.д.), электронные данные о перемещении и местонахождения, а следовательно, такой подход не соответствует требованиям современности и является несколько устаревшим.
К тому же, несмотря на наличие законодательного определения понятия персональных данных, в правоприменительной практике можем встретить случаи неоднозначного определения достаточного объема информации о лице, необходимого для ее идентификации. Все же трудно согласиться с указанным подходом, так как возможны уникальные комбинации фамилий и имен, которые позволят идентифицировать определенную физическое лицо.
Несмотря на проблемы в отечественном правовом регулировании в сфере защиты персональных данных на территории нашей страны активно внедряются стандарты GDPR. К примеру, компаниями, на которые из-за особенностей их деятельности распространяются требования Регламента, а также компаниями, которые поддерживают политику, базирующуюся на этических принципах, а также желают отвечать высоким стандартам безопасности персональных данных, что является положительным опытом для страны.
Подытоживая, следует отметить, что с развитием технологий изменилась роль и значение персональных данных. Несмотря на увеличение масштабов обмена сведениями о физических лицах, такие данные требуют пристального защиты, а механизмы обеспечения безопасности их обращения должны постоянно совершенствоваться. Расширенное определение персональных данных, учитывая электронные идентификационные данные (IP-адрес, файлы cookies и т.д.) и электронные данные о перемещении и местонахождение, соответствует требованиям времени и позволяет обеспечить высокий уровень защиты таких данных, а также прав и интересов субъектов данных. Что касается нашей страны, то уровень стандартов в сфере защиты персональных данных является низким и не соответствует требованиям современности. Однако, надеемся на появление отечественного аналога GDPR в недалеком будущем.
Короткая ссылка на новость: http://law-clinic.net/~v82eM
|