пятница, 3 февраля 2012 г.

Правительство Евросоюза опубликовало проект нового законодательства о персональных данных, часть II

(Продолжение, начало см. http://rusrim.blogspot.com/2012/02/i.html )

Общие правила защиты персональных данных (General Data Protection Regulation)

Это очень большой документ (115 страниц, более трети из которых занимает преамбула, рассказывающая о добрых намерениях европейских законодателей), - поэтому остановлюсь лишь на наиболее интересных моментах.

Правила строились на основе баланса интересов, и неудивительно, что уже в первой статье говорится, что «Свободное движение персональных данных внутри Евросоюза не должно ни ограничиваться, ни запрещаться по причинам, связанным с защитой физических лиц в связи с обработкой их персональных данных»

Данные Правила не применимы (ст.2) к обработке персональных данных в случае, если:
  • Обработка ПД проводится в рамках деятельности, не входящей в число вопросов, регулируемых законодательством Евросоюза, в особенности это касается деятельности по обеспечению национальной безопасности,

  • ПД обрабатываются органами и учреждениями Евросоюза,

  • Обработка ПД проводится странами-членами Евросоюза в рамках деятельности, охватываемой 2-й главой Договора о Европейском Союзе (Treaty on European Union),

  • ПД обрабатываются физическим лицом, в отсутствие какого-либо корыстного интереса, в рамках его собственной, исключительно личной деятельности или деятельности его домохозяйства,

  • ПД обрабатываются компетентными органами с целью предотвращения, расследования, обнаружения или преследования уголовных преступлений либо исполнения уголовных наказаний.
Правила не препятствуют применению Директивы 2000/31/EC (т.н. «Директивы об электронной коммерции», http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32000L0031:En:HTML ).

В директиве четко разделяются роли, обязанности и ответственность операторов ПД (controller) и обработчиков ПД (processor), которые действуют в точном соответствии с указаниями оператора.

Директива применяется и в отношении операторов, зарегистрированных вне Евросоюза, если те обрабатывают ПД резидентов Евросоюза с целью оказания услуг или сбыта товаров, либо с целью мониторинга их поведения (ст.3).

Появилась статья «Обработка персональных данных ребенка» (ст.8). Для детей до 13 лет обработка таких данных допускается только с согласия родителей или опекунов.

К специальным, особо защищаемым категориям ПД отнесены сведения о судимости (ст.9), а вместо «философских убеждений» предлагается написать  просто «убеждения». При этом заметно расширен список исключений, когда такая обработка возможна, в т.ч. (с определенными оговорками) в интересах исторических, статистических и научных исследований.

В отдельную статью (ст.16) выделено право субъекта ПД на корректировку и дополнение его персональных данных. Следующая статья (ст.17) посвящена праву «быть забытым» и на уничтожение ПД. Соответствующие положения в той или иной форме присутствуют и в действующей Директиве, но они впервые собраны воедино и выделены в виде отдельной статьи. Что касается уничтожения ПД, то в ряде случаев оператор, вместо стирания ПД, может ограничить их обработку:
  • На период, позволяющий оператору проверить точность данных, в случае, если субъект ПД оспаривает их точность,

  • Оператору ПД более не нужны для выполнения своих задач, однако они должны храниться в качестве доказательства,

  • Обработка ПД ведется незаконно, и субъект ПД возражает против их уничтожения, требуя вместо этого ограничения их использования,

  • Субъект ПД требует перенести его персональные данные в другую систему автоматизированной обработки.
Вводится право на перемещение данных (data portability, ст.18): «Субъект ПД должен иметь право, если его ПД обрабатываются электронными средствами и хранятся в структурированном и общеупотребительном формате, получить от оператора копию проходящих обработку ПД в электронном структурированном формате, который широко используется и допускает дальнейшее использование данных субъектом ПД». Также предусматривается право субъекта ПД, в случае обработки данных по согласию или контракту в электронном виде, требовать передачи ПД в другую систему иного оператора. Еврокомиссия резервирует за собой право установить форматы передачи ПД, соответствующие технические стандарты, правила и процедуры.

Появилась отдельная статья (ст.20), регламентирующая использование профилирования, под которым понимаются «меры, способные повлечь правовые последствия или существенно повлиять на физическое лицо, основанные исключительно на автоматизированной обработке с целью оценки определенных аспектов личности физического лица, либо проанализировать или предсказать, в частности, эффективность деятельности этого лица на работе, его экономическое положение, местоположение, здоровье, персональные предпочтения, надёжность или поведение».

Появилась также отдельная статья (ст.23) «Защита ПД запроектированная и по умолчанию» (data protection by design and by default), требующая от операторов заранее предусматривать в своих системах меры и процедуры. Обеспечивающие исполнение требований законодательства. Должны быть реализованы меры, обеспечивающие, что, по умолчанию, обрабатываются только те ПД, что необходимы для каждой конкретной цели обработки, и что собираются и хранятся лишь минимально необходимые ПД.

В отдельную статью (ст.26) выделены положения, относящиеся к обработчику – организации или лицу, обрабатывающему ПД от имени и в точном соответствии с инструкциями оператора. Обработчик, собирающий дополнительные ПД или отступающий от указаний оператора, рассматривается как со-оператор и в этой части несет все обязанности оператора.

В отдельную статью (ст.28) собраны требования по документированию деятельности оператора и обработчика.

Статья 31 об оповещении контролирующих органов об инцидентах, связанных с безопасностью ПД, требует, по возможности извещать об инцидентах в течение 24 часов. В случае задержки, оператор будет обязан представить объяснения. Обработчик обязан оповещать оператора немедленно.

Статья 32 обязывает оператора, в случае, если инцидент с ПД способен негативно повлиять на защищённость ПД или на неприкосновенность частной жизни субъекта ПД, извещать об этом субъекта «без ненужных задержек».

В новом законодательстве предусматривается поблажка мелкому бизнесу – будет необязательно держать в штате руководителя, отвечающего за защиту персональных данных (ст.35).

Похоже, что теперь существенно более гибко сформулированы правила, регламентирующие передачу ПД в третьи страны (ст.ст.41 - 43).

В общем, изменений достаточно много – так что соответствующему комитету нашей Думы стоит морально подготовиться, впереди его ждёт большая работа :)

(Окончание следует, см. http://rusrim.blogspot.com/2012/02/iii.html )

Источник:  сайт Еврокомиссии
http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm

Комментариев нет:

Отправить комментарий