ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

GDPR Европейского союза пересмотрел способы обработки и обращения с персональными данными компаниями. Защита персональных данных стала одной из самых актуальных тем в бизнесе компании. Защита данных включает права физических лиц в отношении обработки их персональных данных, безопасности данных, а также обязательств контролёров данных. GDPR — это самый всеобъемлющий закон о конфиденциальности и безопасности данных в мире, который возлагает обязательства на все компании, собирающие данные о лицах, находящихся в ЕС, включая компании из Сербии, которые обрабатывают данные лиц из ЕС. Защита персональных данных в цифровую эпоху несёт особые вызовы, и логично, что наша страна принимает правила, обеспечивающие безопасность данных. Следуя примеру GDPR, в 2018 году Сербия приняла Закон о защите персональных данных Сербии, который, среди прочего, регулирует защиту персональных данных, права субъектов данных, сбор и обработку персональных данных, а также обязанности контролёров данных, согласие субъектов данных, безопасность данных, удаление данных из страны, а также наказания за нарушения защиты персональных данных.

Что такое «персональные данные»?

Персональные данные в понимании Закона о защите персональных данных Сербии — это любые данные, которые определяются или подлежат идентифицированию прямым или косвенным образом и на основании которых может быть идентифицировано конкретное физическое лицо. Эти данные могут, например, включать: имя, фамилию, личный идентификационный номер, номер удостоверения личности, адрес проживания, медицинскую карту, описание физических или психологических характеристик, адрес электронной почты, история интернет-активности (религии, лайки, клики), история интернет-серфинга, IP-адреса компьютеров или смартфонов и т.д. Если устройство или браузер персонализированы, то файлы cookie, загруженные с сайтов, также являются персональными данными.

К кому относятся эти данные?

Субъекты данных — исключительно физические лица. Это означает, что юридические лица в любой форме не пользуются защитой данных в смысле Закона Сербии о защите персональных данных.

Обязательства контролёра данных

Право обрабатывать персональные данные (например, сбор, учет, использование данных и т.д.) принадлежит как юридическим, так и физическим лицам, и эти лица в смысле Закона о защите персональных данных Сербии могут выступать как контролёры или обработчики. Часто сам термин «обработка данных» недостаточно ясен. Важно понимать, что сами данные являются процессом обработки персональных данных. «Обработка» связана с активным поведением, но обработка данных также может рассматриваться как пассивные действия, такие как хранение и хранение данных. Контроллер — это физическое лицо или компания, определяющая цель и способы обработки, тогда как процессор — это физическое или юридическое лицо, обрабатывающее персональные данные от имени контролёра. Контроллер определяет, почему и как собираются и хранятся данные. С другой стороны, процессор не контролирует обработку данных и не принимает важных решений о том, почему, как и как долго они обрабатываются, а действует по всем этим вопросам исключительно в соответствии с инструкциями, данными контроллером. Обязанности контролёров по данным включают принятие соответствующих технических, организационных и кадровых мер для обеспечения полного соблюдения Закона о защите персональных данных Сербии. Контролёр также обязан обеспечивать, чтобы всегда обрабатывались только те персональные данные, необходимые для достижения цели обработки, а также чтобы эти данные использовались для целей, на которые субъект дал согласие. Например, при онлайн-покупках клиенты часто оставляют свой адрес электронной почты, чтобы зарегистрировать аккаунт — именно для этого и есть цель оставления адреса. Это не означает, что продавец может использовать этот адрес электронной почты покупателя для отправки ему предложений и акций, если покупатель не предоставил свою «личную информацию» для этой цели. В этом примере компания, владеющая сайтом, является контролёром данных своих клиентов. Персональные данные также собираются через файлы cookie, которые собирает сайт. Контроллер должен быть прозрачен в отношении любой обработки.

Офицер по защите персональных данных

Для обеспечения соблюдения всех положений, связанных со сбором и обработкой персональных данных, контролёр и процессор могут назначить сотрудника по защите данных. Это физическое лицо, которое либо работает у контролера или процессора, либо является внешним сотрудником — например, по контракту на работу. Адвокат часто назначается для защиты персональных данных . Лицо, занимающееся защитой персональных данных, не обязательно должно иметь юридическое образование, но учитывая обязанности лица, предусмотренные Законом о защите персональных данных Сербии, юридический опыт в области знаний процедур, дачи мнений, составления документов и т.д., безусловно, необходим для адекватного выполнения этой работы.

Офицер по защите данных также может выполнять другие задачи, но таким образом, чтобы другие обязательства не приводили к конфликту интересов. Например, сотрудник по защите данных не может быть лицом, нанятым контролёром и определяющим цель и способ обработки персональных данных от его имени.

Это лицо несёт ответственность информировать и давать мнение контролёру или процессору о своих юридических обязательствах, чтобы обеспечить надлежащее обеспечение защиты персональных данных. Кроме того, Офицер по защите персональных данных является контактной точкой для сотрудничества с Комиссаром по информации общественного значения и защите персональных данных. Привлечение сотрудника по защите персональных данных часто зависит от выбора контролёра и процессора, но Закон о защите персональных данных Сербии предписывает, когда необходимо привлекать специалиста по защите данных.

Вот следующие случаи:

1. обработка осуществляется государственными органами, если только она не осуществляется судом с целью осуществления своих судебных полномочий;
2. Основные действия контролёра или процессора заключаются в операциях обработки, которые по своей природе, объему или целям требуют регулярного и систематического контроля большого числа объектов данных — например, интернет-провайдеров, которые в первую очередь занимаются базовой деятельностью процессора, что чаще всего включает регулярный и систематический надзор за большим числом людей;
3. Основная деятельность контролёра или процессора заключается в обработке особых категорий персональных данных (обработка раскрытых расовых или этнических признаков, политических взглядов, религиозных или философских убеждений или членства в профсоюзах, а также обработка генетических данных, биометрических данных с целью уникальной идентификации человека, данных о состоянии здоровья или данных о сексуальной жизни или сексуальной ориентации физического лица) или персональных данных в связи с уголовными судимостями и уголовными преступлениями в Большой том. Один из примеров практики, когда обязательно назначить специалиста по защите персональных данных, относится к частным аптекам, если они выполняют деятельность по выдаче лекарств по электронному рецепту, поскольку тогда обработка данных осуществляется в больших масштабах.

Правовые основания для обработки персональных данных

Правовые основы обработки персональных данных определяются Законом о защите персональных данных Сербии и являются единственной законной обработкой, основанной на правовой основе обработки персональных данных. Для обеспечения законной защиты данных обработка должна быть следующей:

1. с явного согласия субъекта данных;
2. необходимых для выполнения обязательств, взятых на себя по контракту, или других действий по запросу субъекта данных — например, выполнения обязательств по трудовому договору (имя и фамилия, банковский счет и т.д.);
3. необходим для выполнения обязательств оператора;
4. необходимы для защиты жизненно важных интересов субъекта данных или другого физического лица (на самом деле это ситуации жизни и смерти: например, обработка необходима для профилактики и борьбы с эпидемиями);
5. необходимы для выполнения задач общественного интереса или юридических обязательств контролёра — чаще всего сбор и обработка персональных данных в связи с юридическими обязательствами, предусмотренными Трудовым законодательством и законами, регулирующими пенсионное, медицинское и инвалидное страхование, либо обязательства банков собирать законно установленные данные от конкретного лица, если применяются положения, направленные на предотвращение отмывания денег и финансирования терроризма);
6. необходимо для реализации законных интересов контролёра или третьей стороны, если только у субъекта данных нет интересов, которые перевешивают законные интересы контролёра или третьей стороны, особенно если субъект данных несовершеннолетний — чаще всего с точки зрения защиты имущества и безопасности работодателя (ограниченное видеонаблюдение и т.д.).

Хотя каждая из вышеуказанных правовых оснований для обработки данных заслуживает особого внимания, в этом блоге мы будем уделять больше внимания согласию субъекта данных как условию для законной обработки и защиты данных, учитывая, что это самая неадекватная основа для сбора и обработки персональных данных, и компания должна быть особенно осторожной.

Согласие субъекта данных

Согласие субъекта данных является одной из шести возможных юридических оснований для обработки персональных данных. На самом деле это заявление о завещании человека, который разрешает обрабатывать свои данные для определённых целей. Согласие субъекта данных должно основываться на свободно выраженной воле субъекта данных, чтобы быть свободно дано, конкретным, однозначным и информированным согласием. Когда персональные данные обрабатываются и основаны на согласии субъекта данных, контроллер должен иметь возможность доказать, что субъект данных дал согласие на обработку своих персональных данных, то есть Согласие должно быть задокументировано.

Согласие субъекта данных может быть дано в нескольких формах. Одним из самых распространённых примеров получения согласия субъекта данных является условие доступа к определённым сайтам и их использования с согласия субъекта данных. Обычно это достигается путем обусловленного доступа к сайту, принимая «политику конфиденциальности» этого сайта. Согласие даётся «галочкой» рядом с которой написано, что «отмечая» мы принимаем политику конфиденциальности этого сайта, то есть компании или другого лица, чьим сайтом он является. Даже в практике ЕС утверждается, что «галочка» не должна быть «отмечена» заранее, но требуется, чтобы поле было пустым, а ответчик добровольно «отметил» поле, то есть согласие ответчика должно быть активным и однозначным.

Согласие как юридическое основание для обработки персональных данных не может быть распоряжено, то есть Её нельзя передать другому управляющему, а также нельзя перенять у другого управляющего — например, в случае передачи всего бизнеса от одного юридического лица к другому.

Разумеется, любое согласие субъекта данных может быть отозвано субъектом данных, который дал согласие, без последствий для положения этого человека, в любое время. Отзыв согласия субъекта данных не влияет на допустимость обработки, проведённой на основании согласия до аннулирования. Отзыв должен быть простым, и когда согласие даётся онлайн, нажав на опцию дать согласие, субъекты данных должны иметь возможность отозвать своё согласие таким же простым способом. Если нет иных юридических оснований для обработки персональных данных контролёром, отзыв согласия должен привести к удалению персональных данных и прекращению любой другой деятельности, связанной с данными лица, отозвавшего своё согласие.

Заявление о завещании человека без возможности его изменения или отзыва, чтобы не иметь юридических последствий для положения этого лица, не может считаться действительным согласием, и это особенно важно учитывать при сборе и обработке персональных данных сотрудников работодателем. В таких отношениях вопрос о добровольном согласии сотрудника особенно спорен, учитывая, что сотрудник вряд ли откажет работодателю в согласии на обработку данных без страха перед последствиями, а основанием для сбора и обработки персональных данных сотрудников не должно быть согласие субъекта данных — самого сотрудника.

Для того чтобы согласие субъекта данных считалось добровольным, необходимо учитывать, является ли выполнение договора условным для предоставления согласия, которое не является необходимым для исполнения этого договора. Например, если заключение или исполнение контракта на предоставление услуг зависит от согласия обработчика данных для целей прямого маркетинга, такое согласие не считается добровольным.

Право быть забытым

С развитием и расширением защиты данных право быть забытым получило широкое применение как в теории, так и на практике. «Право быть забытым» означает право субъекта данных запросить контролера удалить доступные персональные данные субъекта данных, если существует юридически допустимая основания.

Закон о защите персональных данных Сербии предусматривает следующие основания:

1. Потребность в предоставлении персональных данных исчезла;
2. Согласие субъекта данных было отозвано субъектом данных в соответствии с законом, и нет других оснований для обработки персональных данных;
3. Субъект данных возражал против обработки в соответствии с законом о защите данных;
4. Незаконная обработка персональных данных;
5. Персональные данные должны быть удалены для выполнения юридических обязательств контролера;
6. Данные собираются несовершеннолетним, достигшим 15 лет, с целью использования интернет-услуг (например: поиск в Google, отели при бронировании и т.д.).

Однако право быть забытым не является абсолютным, то есть оно страдает от определённых ограничений, и одним из этих ограничений является свобода выражения мнений и информации. В деле, рассматриваемом Комиссаром по защите персональных данных, запрос на реализацию права быть забытым был отклонён, поскольку удаление персональных данных было запрошено с журналистского портала, который написал статью о определённом лице, являющемся директором компании, и такое удаление могло бы помешать осуществлению свободы выражения мнений и информации. Журналистское исключение — это правило, предусмотренное Законом о защите персональных данных Сербии, согласно которому, при определённых обстоятельствах, журналистские исследования и публикация информации в СМИ не подлежат обязанностям по защите персональных данных, как в случае других контролёров. Поэтому, если кто-то хочет подать запрос на удаление своих данных, то есть подать запрос на осуществление права быть забытым, рекомендуется проконсультироваться с юристом или экспертом по защите данных, чтобы обсудить наличие определённых ограничений на осуществление права быть забытым.

Защита данных в медицине

Как всем известно, очень чувствительные персональные данные часто «обрабатываются» в медицине, поэтому защита данных в медицине и безопасность данных имеют решающее значение.

Недавно медицинское учреждение в Республике Сербия было предупреждено Комиссаром по защите персональных данных, поскольку медицинская карта одного человека могла быть проверена любым сотрудником этого учреждения. Мы хотим напомнить, что доступ к персональным данным без согласия субъекта данных или без каких-либо других юридических оснований является незаконной обработкой персональных данных.

Кроме того, поскольку медицинское учреждение имело статус контролёра, поскольку оно обрабатывает персональные данные, оно было обязано предоставить все необходимые условия (персонал, ИТ и т.д.) для обеспечения законной и безопасной обработки личных данных пациентов.

Рассматривая характер утечки данных в данном случае, мы можем прийти к решению, почему такое обращение с медицинским учреждением было незаконным, задавая вопрос: предоставил ли пациент свои личные данные медицинскому учреждению, чтобы доступ к данным имели только врачи, которые его осматривают, и другие вспомогательные лица, или он хотел, чтобы к его личным (и чувствительным) данным имели доступ каждый, кто работает в этом учреждении?

Это лишь один из способов, которыми обработка персональных данных в медицине может осуществляться незаконно. Для обеспечения защиты данных в медицине все медицинские учреждения должны внедрять соответствующие меры защиты и создавать условия для безопасности данных.

Какие шаги должна предпринять компания по контролю данных для защиты данных?

Закон о защите персональных данных Сербии не устанавливает точные шаги, которые компания должна предпринять для того, чтобы сбор и обработка персональных данных были законными. Шаги по обеспечению безопасности данных основаны на принципах, установленных Законом. Законность, справедливость и прозрачность — это основные принципы, которые должны направлять контролёров данных, и они подразумевают, среди прочего, что субъекты данных должны обладать полной и чёткой информацией о сборе и обработке персональных данных, а контролёры должны справедливо относиться к этим лицам. Компания, безусловно, должна начинать с определения, какие персональные данные собираются, где они хранятся и какие люди имеют к ним доступ — так называемое картирование данных. Кроме того, необходимо соответствовать принципам закона, то есть составлять список лиц, чьи данные обрабатываются, определять, на каких основаниях и с какой целью они обрабатываются, а также обучать сотрудников законному сбору и обработке персональных данных. Также необходимо узнать, какие документы обязательны для защиты персональных данных, и составить их. Кроме того, документирование как шаг означает, что запросы субъекта данных сохраняются, а также доказательства передачи данных третьим лицам и передачи данных из страны.

Юрист по защите персональных данных

Защита данных — это, безусловно, новая и чрезвычайно сложная область для всех компаний, и помощь юриста необходима для выполнения всех обязанностей компаний, предусмотренных Законом о защите персональных данных Сербии, разработки внутренних актов по обработке персональных данных, обязательных документов по защите персональных данных и избежания штрафов за нарушения их защиты.

Фото на обложке: Фото towfiqu-barbhuiya на unsplash