Европейская группа по архивам (European Archives Group, EAG, https://ec.europa.eu/info/about-european-commission/service-standards-and-principles/transparency/freedom-information/access-documents/information-and-document-management/archival-policy/european-archives-group_en - официальная группа экспертов при Еврокомиссии, сформированная в 2006 году и включающая представителей национальных архивов стран-членов Евросоюза – Н.Х.) подготовила Руководство по внедрению архивными службами закона Евросоюза о защите персональных данных («Общие правила защиты персональных данных» - General Data Protection Regulation. GDPR). Это руководство содержит базовые сведения и практические рекомендации для архивистов по конкретным проблемным вопросам, связанных с применением GDPR в архивной сфере.
Задача данного Руководства - помочь архивным службам европейских стран применять закон GDPR. Руководство не является завершённым документом, работа над ним продолжается, в него могут в дальнейшем вноситься поправки и дополнения, в том числе на основе Вашего опыта, замечаний и предложений. Руководство также может меняться вследствие появления новых законодательно-нормативных актов в данной области, и под влиянием мнений и указаний, опубликованных Европейским советом по защите персональных данных (European Data Protection Board, EDPB, https://edpb.europa.eu/about-edpb/about-edpb_en – независимый европейский орган, в котором представлены национальные уполномоченные органы стран Евросоюза по защите персональных данных, а также европейский уполномоченный по надзору за зашитой персональных данных - European Data Protection Supervisor, EDPS, см. https://europa.eu/european-union/about-eu/institutions-bodies/european-data-protection-supervisor_en - Н.Х.).
Европейская группа по архивам будет рада Вашим замечаниям и предложениям, которые следует направлять на адрес электронной почты: SG-EAG-GUIDELINES@ec.europa.eu .
На сайте в настоящее время выложены следующие материалы:
- Руководство EAG по внедрению закона GDPR в архивной сфере объёмом 37 страниц, см. https://ec.europa.eu/info/files/guidance-data-protection-archive-services_en (прямая ссылка на PDF-файл: https://ec.europa.eu/info/sites/info/files/eag_draft_guidelines_1_11_0.pdf );
- Информация о защите персональных данных в Евросоюзе: https://ec.europa.eu/info/law/law-topic/data-protection_en ;
- В будущем также будет выложено национальное законодательство стран Евросоюза, вводящее закон GDPR и реализующее его положения.
I. ВведениеВ частности, в Рекомендациях отмечается следующее:
II. Основные принципы
III. Что представляют собой «цели архивации в интересах общества» (archiving purposes in the public interest)?
- Общие принципы обработки персональных данных (ст.5)
- Законность обработки ПДн
- Закон GDPR защищает персональные данные только живых людей (однако национальное законодательство также защищать ПДн умерших)
IV. Права субъектов персональных данных
- Различные правила для различных архивов («цели архивации в интересах общества» в соответствии с п.158 Преамбулы GDPR)
- Меры предосторожности и исключения, связанные с обработкой ПДн в рамках архивации в интересах общества, в интересах научных и исторических исследований и в статистических целях (ст.89)
V. Категории обрабатываемых персональных данных, требующие специальной защиты
- Ключевой момент: предоставление физическим лицам контроля над их персональными данными
- Информация, которая должна предоставляться в том случае, когда ПДн были получены не от их субъекта (ст.14)
- Право доступа для субъекта персональных данных (ст.15)
- Право на исправление ошибок (ст.16)
- Право на удаление (“право быть забытым») (см.17)
- Право на ограничение обработки (ст.18) и право на оспаривание (ст.21)
- Обязанности по извещению, связанные с исправлением или уничтожением ПДн, а также с ограничениями на их обработку (ст.19)
- Право на перенос данных (portability) (ст.20)
VI. Безопасность данных
- Обработка специальных категорий персональных данных
- Обработка персональных данных, связанных с уголовными преступлениями и наказаниями (ст.10)
VII. Меры по обеспечению прозрачности и соответствия требованиям законодательства
- Запроектированная защита персональных данных (by design) и защита по умолчанию (by default) (ст.25): что это значит для архивов?
- Безопасность персональных данных (ст.ст.32-34)
- Оценка воздействия обработки ПДн (data protection impact assessment, DPIA) и предварительные консультации с регулятором (ст.ст.35-36)
Приложения:
- Документирование деятельности по обработке ПДн (ст.30)
- Нужно ли архивам назначать уполномоченного по защите ПДН (data protection officer, ст.37)?
- Глоссарий
- Источники дополнительных рекомендаций
«Согласно закону GDPR, «право быть забытым» означает не затруднение доступа к персональным данным (delinking), а фактическое их уничтожение. Статья 17 GDPR предоставляет субъекту ПДн право требовать от оператора ПДн уничтожения касающихся его/её персональных данных без неоправданных задержек.Хочу в первую очередь прокомментировать бессмысленность последнего параграфа. Этот «совет» рассчитан на то, чтобы помешать найти чувствительные документы «проходящим мимо» ленивым новичкам. Однако против серьёзных людей он столь же эффективен, как простенькая задвижка на входной двери эффективна против профессиональных взломщиков, - т.е. никак. По личному опыту могу сказать, что, умело подбирая ключевые слова, можно отыскать очень, очень многое :)
Данное право применимо в тех случаях, когда «персональные данные больше не нужны для тех целей, для которых они были собраны» или когда «субъект данных отзывает согласие» на их обработку, а также при некоторых других обстоятельствах. В то же время право на забвение может быть ограничено, и оно не может применяться, если обработка ПДн необходима для целей архивации в интересах общества, в случаях, когда уничтожение ПДн «может сделать невозможным или серьезно затруднить достижение целей такой обработки» (статья 17 (3)).
... В то же время архивисты должны помнить, что «право быть забытым» в понимании Суда Евросоюза (EU Court of Justice) (т.е. не уничтожение данных, а исключение появления ссылок на них в выдаче машин поиска) может быть реализовано архивными службами без ущерба для их миссии. Предотвращение использования поисковых систем для поиска имён в документах фактически не влияет на целостность архивных документов и не ставит под угрозу их постоянную сохранность. Кроме того, архивные службы могут воспрепятствовать поиску по именам по выложенным онлайн документам, в то же время сохраняя возможность отыскивать эти документы по ключевым словам, отличные от личных имен.»
В целом, с моей точки зрения, закон GDPR – это тот самый случай, когда чрезмерная доза лекарства превращает его в отраву, и особенно тогда, когда дело касается культурно-исторической памяти общества. Практика применения европейского законодательства о защите персональных данных показывает, что судьям пока что наплевать на историю и память… За разрушение исторической памяти с них не спрашивают, а вот попытки противостоять необоснованным или несоразмерным требованиям субъектов ПДн нередко приводят к серьёзным неприятностям, как по официальной линии, так и в виде травли через социальные сети.
К сожалению, вряд ли эта чума обойдёт нашу страну стороной, поэтому архивисты должны быть морально готовы противостоять ей, в том числе посредством саботажа попыток «подправлять» архивные документы. Также уже сегодня стоит задуматься о том, что выкладывание в сети определенных архивных документов в недалёком будущем может спровоцировать требования об удалении из них персональных данных (мы уже наблюдали подобное в связи с проектом ОБД «Мемориал», https://www.obd-memorial.ru/html/ - ведь память порой может быть очень «неудобной»).
Источник: сайт Еврокомиссии
https://ec.europa.eu/info/about-european-commission/service-standards-and-principles/transparency/freedom-information/access-documents/information-and-document-management/archival-policy/european-archives-group/guidance-data-protection-archive-services_en
Весьма полезно.
ОтветитьУдалитьСпасибо.