Долго обсуждаемый GDPR регулирует защиту данных и вступил в силу с мая 2018 года, и хотя это постановление ЕС, оно по-прежнему будет применяться к тем, кто работает в ЕС из США. Постановление предусматривает, что оно распространяется на веб-пользователей в ЕС, поэтому, если вы имеете с ними какие-либо контакты, возможно, самое время ознакомиться с GDPR. В его содержании особое внимание уделяется персональным данным, которые, по мнению как законодателей, так и интернет-пользователей, заслуживают защиты. С другой стороны, многие представители бизнеса считают, что ужесточение правил ставит под угрозу их способность сохранять конкурентоспособность на рынке, который в значительной степени основан на больших данных. Но что такое персональные данные, и какие права вы имеете на свои собственные?
Определение: что такое персональные данные?
Термин «персональные данные» обычно понимается как все данные и информация, позволяющие получить представление о личности физического лица — то есть человека «из плоти и крови», хотя четкого юридического определения не существует. Таким образом, это понятие исключает юридические лица и корпорации, если только партнеры и управляющие директора не являются одним и тем же физическим лицом.
Персональные данные определяются как «любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»); идентифицируемое физическое лицо — это лицо, которое может быть прямо или косвенно идентифицировано, в частности, по идентификатору, такому как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор, или по одному или нескольким факторам, характерным для физической, физиологической, генетической, психической, экономической, культурной или социальной идентичности этого физического лица» (оригинальная формулировка из статьи 4, пункт 1 GDPR).
Согласно этому определению, существует множество типов персональных данных, некоторые из которых вместе с примерами представлены на следующем рисунке. Этот обзор ни в коем случае не является полным, а лишь призван дать краткий перечень.
С другой стороны, если данные не могут быть отнесены к конкретному лицу, поскольку они полностью анонимны, то никаких правил защиты данных соблюдать не нужно. Проблема снова возникает с так называемыми «псевдонимизированными» данными, которые также могут быть использованы для определения уникального референтного лица, если у вас есть необходимая дополнительная информация. В случае сомнений всегда действует принцип осторожности. Поскольку иногда трудно провести различие между персональными и неперсональными данными, всегда следует начинать с первых, чтобы гарантировать защиту потенциально частной информации. Например, органы по защите данных считают, что даже IP-адреса относятся к персональным данным, поскольку они могут быть четко присвоены соответствующему пользователю Интернета благодаря взаимодействию провайдеров доступа и услуг.
Какие существуют конкретные типы персональных данных?
Помимо уже перечисленных примеров персональных данных, GDPR также определяет «специальные» персональные данные, относящиеся к физическим лицам. К ним относятся:
- этническое и культурное происхождение
- Политические, религиозные и философские взгляды
- состояние здоровья
- сексуальная ориентация
- членство в профсоюзе
- В соответствии со статьей 9 GDPR, генетическая информация (например, анализы ДНК) и биометрические данные (например, фотографии и отпечатки пальцев) также включены.
В связи с чувствительным характером этой информации соответствующие положения о конфиденциальности являются гораздо более строгими. Соответственно, обработка специальных категорий персональных данных в принципе запрещена в соответствии со статьей 9(1) GDPR, если только субъект данных не дал явного согласия на обработку своих данных (заявления о согласии на обработку общих персональных данных недостаточно). Еще одним способом обработки персональных данных является законный государственный интерес в этой информации, например, в контексте уголовного преследования. Хотя назначение профессионального специалиста по защите данных обычно является вопросом для рассмотрения управляющим директором, оно является обязательным при обработке специальных персональных данных.
Почему и как необходимо защищать персональные данные?
Всем известно, что крупные интернет-компании, такие как Google и Facebook, собирают персональные данные о своих пользователях в больших масштабах. В основном они используют их для размещения индивидуализированной рекламы и получения экономической прибыли. Эти данные в основном используются для оптимизации продаж и индивидуализации маркетинговых механизмов.
Это усложняется тем, что люди становятся все более осторожными в отношении того, какие данные они раскрывают в Интернете, и боятся стать «прозрачными людьми», представленными только профилями данных в Интернете. Постоянные случаи кражи данных и злоупотребления фишингом, а также использование троянских программ еще больше усиливают этот страх. Ведь чем больше конфиденциальной информации о человеке циркулирует в сети, тем большему риску подвергается его финансовая и социальная информация.
Таким образом, правила защиты данных налагают ответственность на тех, кто владеет кучей персональных данных: компании и органы власти обязаны по закону гарантировать защиту информации о своих клиентах. Это подразумевает соблюдение следующих принципов и практик, изложенных в GDPR:
- Законность обработки данных: Сбор, хранение, использование и передача персональных данных третьим лицам допускается только с явного согласия субъекта данных.
- Прозрачность: Компании и органы власти подлежат всесторонней отчетности, документации и доказательствам. По запросу субъекта данных они должны предоставить информацию обо всех процедурах обработки, касающихся его персональных данных.
- Целевое назначение: Использование данных должно быть всегда целенаправленным и не должно быть произвольным.
- Минимизация данных: Организации обязаны собирать только самые необходимые данные для своих целей и держать объем хранимой информации на минимальном уровне.
- Правильность обработки данных: Хранимые данные всегда должны быть корректными и актуальными, а также обновляться при необходимости.
- Ограничение хранения: Существует регулярное обязательство по удалению данных, если они больше не требуются для целей организации, если они хранились незаконно или если истек заранее установленный срок давности.
- Целостность и конфиденциальность: Компании и органы власти должны принимать широкие меры для внутренней защиты данных. Помимо использования программ шифрования и защитного программного обеспечения, это также включает в себя подробное обучение сотрудников, которым доверена обработка данных.
Нарушение этих принципов может повлечь за собой штраф в размере до 20 миллионов евро или до 4 процентов от мирового годового оборота компании в соответствии со статьей 83(5) GDPR — правило, которое обеспечивает финансовый стимул для соблюдения руководящих принципов, но все же не может гарантировать абсолютную безопасность персональных данных. Поэтому экономия данных также является эффективным принципом при работе в Интернете. Кроме того, рекомендуется удалять или, по крайней мере, фальсифицировать личные, адресные и банковские данные, введенные после совершения онлайн-покупки. И последнее, но не менее важное: имеет смысл знать о своих правах по отношению к компаниям и властям.
Какие права имеют люди, чьи персональные данные собираются, хранятся и обрабатываются?
GDPR предусматривает три основных права, которыми обладают люди при сборе их персональных данных:
Согласно европейскому законодательству, персональные данные в принципе должны рассматриваться как собственность физического лица. На практике это означает, что сбор, хранение, обработка и пересылка данных допускаются только при наличии явного и активного согласия данного лица. Поэтому косвенного признания практики защиты данных онлайн-сервиса недостаточно. Также не допускается так называемая «сцепка», при которой компания или орган власти предоставляет определенные услуги только с согласия и не оставляет пользователю свободного выбора.
Согласно статье 15 GDPR, люди также имеют право доступа к компаниям и органам власти, которым они предоставляют свои персональные данные. Управление комиссара по информации в Великобритании предлагает короткий, неформальный образец письма, который можно легко адаптировать и дополнить любой дополнительной информацией, которую вы хотите предоставить. Следующие вопросы полезны для того, чтобы получить представление об объеме и порядке хранения данных:
- Какие данные хранятся о моей персоне?
- Где хранятся эти данные?
- Как эти данные были собраны?
- С какой целью они хранились?
- Кому были переданы мои данные?
Хотя по закону компании и органы власти обязаны предоставлять информацию, в некоторых случаях вам придется столкнуться с нежеланием или даже преследованием, если вы хотите получить ответы на эти вопросы. Именно в таких случаях настойчивость приносит свои плоды: ссылаясь на свои права, устанавливая жесткие сроки и, в конце концов, угрожая обратиться в ответственный орган по защите данных, вы, наконец, получаете ту уверенность, которую заслуживаете. И если вы не согласны с тем, как собираются данные, информация неверна или устарела, или даже была сохранена или передана незаконно, вы можете применить свое последнее право: право на исправление, удаление и блокирование данных (Статья 15(1e) GDPR).
Нажмите здесь для ознакомления с важными юридическими оговорками.