вторник, 14 марта 2017 г.

Великобритания: Новое европейское законодательство устанавливает высокую планку для соответствия – и британский уполномоченный по информации будет рад узнать Ваше мнение


Данная заметка Александра Мартина (Alexander J Martin) была опубликована 2 марта 2017 года на сайте британской газеты «The Register».

Регулятор опубликовал проект руководства по исполнению законодательства GDPR и открыл консультации по данной теме.

Британский уполномоченный по информации (Information Commissioner) Элизабет Денхэм (Elizabeth Denham), отвечающая, в том числе, за защиту персональных данных

Британское Управление уполномоченного по информации (The UK Information Commissioner's Office, ICO - в его обязанности входит надзор за исполнением законодательства о защите персональных данных – Н.Х.), опубликовало проект руководства для операторов персональных данных о том, что на самом деле будет означать для пользователей дача согласия на сбор и передачу их данных согласно положениям вскоре вступающего в силу нового законодательства Европейского союза о защите персональных данных – «Общих правил защиты персональных данных» (General Data Protection Regulation, GDPR).

Вы уже, наверное, слышали об этом новом режиме, который станет в Великобритании законом с 25 мая 2018 года, независимо от того, как будет проходить процедура выхода страны из Евросоюза.

GDPR установит более высокий стандарт получения согласий, необходимых операторам персональных данных для того, чтобы легально обрабатывать данные других лиц. Организации нужно будет обеспечить «четкие и более детализированные методы дачи согласия, хорошее документирование согласий и простые, легкодоступные способы, позволяющие людям отзывать своё согласие», а в противном случае они будут признаны нарушителями.

В соответствии со статьей 83 GDPR (см. http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679#d1e6226-1-1 ), в самых крайних случаях неисполнения требований законодательства организации могут быть оштрафованы на сумму до 20 миллионов евро либо на сумму до 4%  их общемирового годового оборота за предыдущий финансовый год - смотря, что окажется больше.

Как сказал нашей газете эксперт, специализирующийся на правовых вопросах использования облачных вычислений и информационных технологий Фрэнк Дженнингс (Frank Jennings) в его превосходном анализе этого законодательства (см.  https://www.theregister.co.uk/2017/02/08/stop_its_the_data_police/ ):
«Получение согласия - это быстрый способ соблюдения законов о защите персональных данных. GDPR ужесточает этот режим. Для того, чтобы можно было положиться на согласие, оно должен быть предоставлено в виде «ясно выраженного акта одобрения, устанавливающего и подтверждающего свободно данное, конкретное, информированное и недвусмысленное выражение согласия субъектом персональных данных».

Согласие должно быть «явным» по отношению к специальным («чувствительным») персональным данным. Согласие должно охватывать все предполагаемые виды обработки, но оно не будет признаваться как свободно данное в отсутствие реального свободного выбора. Кроме того, физические лица могут в любое время отозвать своё согласие.

Компаниям следует немедленно пересмотреть свои формы заявлений о согласии на обработку персональных данных, веб-формы, в которых проставляются соответствующие «галочки», политики, правила и условия защиты неприкосновенности частной жизни и обработки персональных данных.
2 марта 2017 года Управление уполномоченного по информации (ICO) опубликовало 39-страничный проект руководства по согласиям ( https://ico.org.uk/media/about-the-ico/consultations/2013551/draft-gdpr-consent-guidance-for-consultation-201703.pdf ), начав тем самым публичное обсуждение этого документа, посвященного тому, как обеспечить соответствие новым требованиям. Данное руководство в первую очередь должно помочь организациям избежать гигантских штрафов.

В извещении о проведении публичного обсуждения, доступом по адресу https://ico.org.uk/media/about-the-ico/consultations/2013552/gdpr-consent-guidance-consultation-form-201703.pdf , сообщается, что оно заканчивается 31 марта. Извещение включает в себя небольшую анкету (в которой предлагается дать оценку проекту руководства – Н.Х.). Участие в обсуждении открыто для всех.

Александр Мартин (Alexander J Martin)

Мой комментарий: Тем российским организациям, которые обрабатывают персональные данные граждан Евросоюза, само собой нужно тщательно изучить все особенности GDPR. Но есть о чем беспокоится и всем остальным нашим организациям – вполне вероятно, что наше законодательство о защите персональных данных через какое-то время будет гармонизировано с GDPR, а это будет означать большие проблемы. Британское руководство достаточно четко указывает на основные болевые точки:
  • Согласие должно быть отделено от прочих условий и порядка оказания услуг. В общем случае согласие не должно являться предварительны условием получения услуги (с моей точки зрения, это безумная европейская фантазия, поскольку частично обработка персональных данных необходима как для собственно оказания услуги, так и для выполнения иных требований законодательства и защиты прав поставщика услуги в случае конфликта – и уже сейчас есть немало примеров того, как Роскомнадзор очень односторонне подходит к данному вопросу, часто исходя не из баланса интересов, а из интересов одного лишь субъекта персональных данных).

  • GDPR прямо запрещает использование форм, где «галочка» согласия проставлена по умолчанию.

  • GDPR требует возможности избирательного согласия, когда речь идет о нескольких отдельных видах обработки.

  • Для подтверждения наличия согласия требуется четкое документирование.

  • При новом режиме организациям, обладающим политической и экономической властью над людьми (государственным органам, работодателям и т.д.)  будет труднее получить согласие, признаваемое действительным.

  • Требуется разъяснять людям их право на отзыв согласия в любое время и предоставлять для этого удобные способы.
Источник: сайт газеты «The Register»
https://www.theregister.co.uk/2017/03/02/gdpr_ico_draft_guidance_consultation/

Комментариев нет:

Отправить комментарий