GDPR: просто о сложном

GDPR: просто о сложном

  • Вторник, 02 июля 2024 11:36
    • Фото freepik.com Фото freepik.com

    Задумывались ли вы, где хранятся отпечатки пальцев или снимки лица для разблокировки смартфона? Или почему интернет-магазины запрашивают дату рождения при оформлении заказа? Каждый день мы делимся персональными данными: при знакомстве, поиске работы, записи к врачу, заказе товаров и оплате услуг. Мы редко думаем о том, как эти данные используются дальше.

    Персональные данные включают не только идентификаторы, такие как имя, номер паспорта, ID, логин, никнейм, адрес электронной почты, номер телефона, IP-адрес и данные банковских карт, но и любую информацию, относящуюся к человеку. Это могут быть номер автомобиля, почерк, видеозапись, фотография, адрес, семейный статус, сведения электронных кошельков, информация о состоянии здоровья, просмотренные страницы, поисковые запросы и посты в социальных сетях.

    Если данные не могут быть использованы для идентификации человека без значительных усилий или специальных средств, они считаются анонимными и не попадают под соответствующее законодательство.

     

    ПОТЕРЯ КОНТРОЛЯ

    С развитием технологий люди стали активно делиться своими персональными данными, стремясь к удобству и комфорту. Однако это повышает риски, так как информация может быть использована против них. В новом цифровом мире субъекты данных теряют контроль над своими данными.

    Для Европейского союза этот вопрос всегда был в числе высоких приоритетов. Защита персональных данных рассматривается в качестве неотъемлемого элемента фундаментальных прав и свобод человека и гражданина наряду с неприкосновенностью личности.

    27 апреля 2016 года был принят Общий регламент по защите данных (GDPR), который вступил в силу 25 мая 2018 года. Закон заменил старые нормы защиты данных, существовавшие около двух десятилетий, вызвав множество вопросов по поводу интерпретаций и возможных последствий несоблюдения требований.

     

    ЧТО ТАКОЕ «ПЕРСОНАЛЬНЫЕ ДАННЫЕ»?

    Персональные данные – это любая информация, связанная с физическим лицом. Это данные, которые сами по себе или в сочетании с другой информацией могут идентифицировать человека.

    Примеры персональных данных:

    ∙ Имя

    ∙ Номер паспорта или удостоверения личности

    ∙ Адрес

    ∙ Электронная почта

    ∙ Номер телефона

    ∙ IP-адрес

    Особые категории:

    ∙ Расовая или этническая принадлежность

    ∙ Политические взгляды

    ∙ Религиозные или философские убеждения

    ∙ Членство в профсоюзах

    ∙ Генетические данные

    ∙ Биометрические данные для уникальной идентификации

    ∙ Данные о здоровье, сексуальной жизни или ориентации

    ∙ Данные о судимостях и правонарушениях

     

    ЗАКОННЫЕ ОСНОВАНИЯ ДЛЯ ОБРАБОТКИ

    Согласно GDPR, обработка персональных данных возможна только при наличии законных оснований, список которых перечислен в статье 6. Для обработки данных особых категорий требуется дополнительное законное основание, установленное статьей 9 GDPR. Напомним, что ещё в 1990 году ООН разработала Руководящие принципы по регламентации компьютеризированных картотек, содержащих данные личного характера, которые утверждают, что «любое лицо, удостоверяющее свою личность, имеет право знать, подвергаются ли касающиеся его данные обработке, получать об этом сообщение в понятной форме, без излишних задержек и расходов, добиваться внесения соответствующих исправлений в данные или уничтожение их в случае их незаконной, необоснованной или неточной регистрации и, если эти данные сообщались кому-либо, знать их получателя».

     

    ЧТО ТАКОЕ GDPR?

    Общий регламент по защите данных (GDPR) – это регламент Европейского Союза, введенный в мае 2018 года для усиления защиты данных и конфиденциальности. Закон 125(I)/2018 был принят для эффективной реализации положений GDPR на Кипре.

    GDPR позволяет гражданам лучше контролировать свои персональные данные, предоставляя им определенные права, и налагает строгие обязательства на контролеров данных. Регламент применяется к обработке персональных данных контролерами данных, базирующимися в ЕС, независимо от местонахождения обработки, а также к контролерам данных вне ЕС, если они предоставляют товары или услуги лицам в ЕС или ЕЭЗ1 или следят за их поведением.

     

    ПРАВА СУБЪЕКТОВ ДАННЫХ

    Согласно GDPR, субъект данных имеет следующие права в отношении своих персональных данных, собранных и обработанных контролером данных:

    ∙ Право на доступ: получение подтверждения о том, обрабатываются ли его персональные данные, и доступ к этим данным.

    ∙ Право на исправление: возможность запросить корректировку или обновление неточных или неполных данных.

    ∙ Право на удаление (право на забвение): запросить удаление данных, если их обработка больше не требуется.

    ∙ Право на получение данных: получить копию своих данных в структурированном, машиночитаемом формате.

    ∙ Право на возражение: возразить против обработки данных в определенных ситуациях, например, для прямого маркетинга.

    ∙ Право на ограничение обработки: запросить ограничение обработки данных в определенных обстоятельствах, например, если точность данных оспаривается.

    ∙ Право не подвергаться автоматизированному решению: право не подвергаться решению, основанному только на автоматизированной обработке, если это решение оказывает значительное воздействие.

     

    Разберем текст нескольких статей этого закона.

     

    Право на доступ (статья 15 GDPR)

    Каждый человек имеет право получить доступ к своим данным, собранным компанией. Это включает информацию, предоставленную самим человеком, а также данные, собранные из других источников или созданные компанией. Субъект данных может узнать:

    ∙ цели использования его персональных данных;

    ∙ кому и куда они передаются;

    ∙ сроки хранения его данных;

    ∙ источник получения данных. Принимаются ли решения по обработке данных автоматически

    Компания обязана предоставить данные в запрашиваемой форме бесплатно, за исключением дополнительных копий и необоснованных запросов.

     

    Право на уточнение (статья 16 GDPR)

    Субъект данных (человек, которому принадлежат персональные данные) может требовать исправления информации, которая стала недостоверной или неточной. Это актуально при изменении паспортных данных, фамилии, адреса или допущенной ошибки в данных. Это право важно для обеспечения точности и полноты обрабатываемой информации.

     

    Право на удаление данных (статья 17 GDPR)

    Известное как право быть забытым, это право позволяет субъекту требовать удаления его данных. Однако это возможно только при определенных условиях, предусмотренных GDPR, таких как завершение целей обработки или незаконное использование данных.

     

    Право на возражение (статья 21 GDPR)

    Субъект может возразить против обработки данных, если основанием является легитимный или публичный интерес. В случае прямого маркетинга обработка должна быть немедленно прекращена.

     

    Право на компенсацию

    При нарушении GDPR контролер или процессор обязан выплатить субъекту данных компенсацию за причиненный ущерб.

     

    ПРИНЦИП МИНИМИЗАЦИИ ДАННЫХ

    Этот принцип требует, чтобы компании собирали только те данные, которые необходимы для достижения конкретной цели обработки. Они не должны запрашивать излишнюю информацию. Например, если цель – доставка товара клиенту, достаточно запросить адрес и телефон для связи, а дата рождения будет лишней.

     

    ГДЕ МОЖНО ПРОЧИТАТЬ ВЕСЬ ЗАКОН?

    Официальный текст Общего регламента по защите данных (GDPR) размещен на сайте EUR-Lex – официальном ресурсе правовой информации ЕС – eur-lex.europa.eu/eli/reg/2016/679/oj

    Этот документ доступен на нескольких языках (включая греческий), что позволяет ознакомиться с его содержанием в удобном формате.

     

    1 Европейская экономическая зона (ЕЭЗ) включает 27 стран ЕС и 4 страны Европейской ассоциации свободной торговли (ЕАСТ) - Исландию, Норвегию, Лихтенштейн и Швейцарию.

     

    Согласно законодательству ЕС, в каждом государстве действует комиссар по защите персональных данных. На Кипре эту должность занимает Ирини Лоизу-Николаиду. Актуальная информация доступна на сайте www.dataprotection.gov.cy

     

    ИЗ ИНТЕРВЬЮ ИРИНИ ЛОИЗУ-НИКОЛАИДУ ЖУРНАЛУ «УСПЕШНЫЙ БИЗНЕС» (2021)

    Как вы обеспечиваете соблюдение правил защиты данных на Кипре?

    Мы ожидаем полного соблюдения правил. При получении повторных жалоб на конкретную компанию, мы инициируем проверки. Мы активно контролируем соблюдение правил GDPR как в государственном и частном секторе.

    Можете привести примеры нарушений правил защиты данных? Какова процедура подачи жалобы?

    Мы получаем много жалоб на незаконный сбор данных. Организации могут иметь законные основания для запроса данных, но иногда запрашивают больше, чем необходимо. Это нарушение принципа пропорциональности, который гласит, что организации должны собирать только те данные, которые необходимы для конкретной цели. Жалобы можно подавать через шаблоны форм на нашем сайте. Если жалоба обоснована, мы запрашиваем мнение ответчика. После получения мнений сторон мы принимаем решение. На сайте доступны три типа шаблонов жалоб: для неавторизованного спама, для соблюдения прав использования авторизованных данных и для всех других типов.

    Вы упомянули, что нарушители могут быть оштрафованы. Есть ли стандартные суммы штрафов или каков обычный порядок?

    Это зависит от особенностей каждого случая. Например, за спам мы налагаем штраф в размере 1 000 евро на физическое лицо, которое распространяет спам-сообщения без согласия и возможности отказаться от них. Для политиков это будет 1 500 евро. Другие случаи рассматриваются индивидуально (условия с 2021 года могли измениться – прим. ред)

     

  • Read 595 times