В Беларуси во втором чтении находится законопроект об обработке персональных данных.
Персональные данные – это любая информация, позволяющая отличить одного человека от другого. Некоторые организации говорят, что не имеют персональных данных своих пользователей, но на вопрос: — «Используете ли вы маркетинговый cookies» отвечают – «да, конечно используем». Имея IP адрес пользователя и зная, что на вашем сайте он просматривал, вы уже имеете персональные данные пользователя и их обрабатываете. Это совокупная информация, позволяющая идентифицировать человека. Практически все компании сейчас так, или иначе работают с персональными данным.
Почему важно знать про аспекты GDPR, всё что сейчас будет приниматься в защите персональных данных Беларуси, оно всё будет касаться GDPR.
Когда вступил в силу GDPR все пугались штрафов в 20 млн. евро, но всё намного серьёзнее. Практика применения штрафов больше и в основном это по европейским и американским компаниям, в Беларуси эти требования распространяются если: ваша компания или любой из её офисов находится на территории ЕС; вы предлагаете товары или услуги резидентам ЕС; вы обрабатываете данные жителей Евросоюза.
Что можно делать с персональными данными? ВСЁ, но с соблюдением требований. Суть в том, что GDPR не прописывает запрещённых вещей, которые нельзя делать с персональными данными, можно делать всё, но с соблюдением всех требований обработки персональных данных. Рассмотрим основные требования GDPR и в чем они могут отличаться от Беларуси:
При обработке персональных данных вы должны иметь основания.
Одно из оснований для обработки данных в соответствии с GDPR — согласие, причем надлежащее. Сервис не может заранее проставлять галочки в нужных ему местах, а все правила должны быть сформулированы на простом и понятном языке. По европейскому регламенту, согласие может быть дано как письменно, так и устно.
В Беларуси — только на бумаге или в электронной форме. Это относится и к cookies .1 октября 2019 года, было вынесено решение европейского суда, которое поставило точку в большом споре — относится ли эта информация к cookies? — да относится!
Так же согласие должно быть легко отозвано. Недавно был кейс в Испании, авиаперевозки не предоставляли пользователям функционал отказа или принятия, они просто уведомляли что они используют сookies, пользователь подал жалобу что его согласие на мониторинг моего поведения не отзывается, компания сказала отключить браузере отслеживания сookies, на что регулятор сказал штраф 300 000 000 евро, понятно, что так делать нельзя, должно быть указано где можно отозвать сookies.
Ограничение цели обработки.
Необходимо объяснять пользователю зачем они вам. Нельзя брать информацию просто так, что бы она хранилась.
Согласие пользователя — это лишь одно из оснований для обработки данных. В отличие от GDPR, в Белорусском законопроекте отсутствует самая гибкая правовая основа для обработки персональных данных — понятие «законный интерес».
Принцип законного интереса в ЕС применяется в том случае, если пользователь не может дать согласие на обработку персональных данных, но они будут ему полезны: дают коммерческие, личные или другие социальные выгоды.
- Минимальный необходимый набор информации. Реальный объём информации, которым вы реально будете пользоваться.
- Ограничение срока хранения данных. Установить срок хранения информации, например, год, два, или же срок будет обусловлен событием, к примеру, мы храним данные после вашего последнего заказа год. Есть два кейса дел в Германии в 2018 году:
- Компания не удаляла данные пользователей с 2008 года. В 2018 году резко начала расти маркетинговая рассылка в бешеных количествах, понятно пользователи не довольны, они с компанией уже много лет не работают что это за спам, штраф составил 150 000 000 евро.
- Информация хранилась, но не использовалась, к ним пришёл рандомный аудит компании, и выяснили что данные хранятся более 10 лет, штраф составил более 200 000 000 евро.
Целостность и безопасность.
Для защиты персональных данных должны приниматься необходимые для этого меры защиты. В GDPR прописаны требования к программному обеспечению для обеспечения защиты пользователей:
- privacy by design: предустановленные инструменты в ПО, которые минимизируют персонализацию и обезличивают пользователя (личные данные хранятся отдельно);
- privacy by default: максимальные настройки приватности, которые должны предлагаться пользователю по умолчанию.
Белорусский законопроект таких требований не содержит и достаточно поверхностно регулирует технические способы защиты персональных данных.
- Точность и актуальность.
- Подотчётность.
Пользователи на территории ЕС очень сильно осведомлены, что свои персональные данные можно очищать, ведь GDPR, чётко прописал права пользователей.
- Права пользователей GDPR.
- Право на доступ к информации
- Прова на доступ к данным
- Право на изменение и удаление данных
- Право ограничить или запретить обработку данных.
Белорусский законопроект дает пользователям почти все те же права, что и GDPR. У белорусов теперь также появится «право на забвение» — удаление персональных данных из базы, возражение против обработки, право быть информированным, право изменения персональных данных.
Помимо этих прав, GDPR также предоставляет право не подпадать под действие решения, которое основывается исключительно на автоматической обработке (например, когда таким образом банк принимает решение о предоставлении кредита). У нас, к сожалению, такой гарантии законопроектом не предоставлено.
Как мы видим, Европейское законодательство более чётко прописало нормы закона о защите персональной информации для граждан Евросоюза и они находятся в более безопасном регламенте по отношению с Беларусью, нам остаётся надеется что с принятием нового закона мы тоже применим опыт GDPR и наши пользователи тоже будут более защищены и смогут защищать свои права на обработку персональных данных.