DPO
Постановка системы защиты персональных данных согласно европейским регламентам и национальным законам

Почему информационная приватность – это важно?

 

 

Слово «приватность» звучит все чаще и чаще. Оно может иметь множество значений. Принято выделять четыре вида приватности:

  1. Телесная. Люди носят одежду и таким образом сами выбирают, какие части тела выставлять на показ. Кроме того, каждый имеет право на защиту от нежелательных прикосновений и физического насилия;
  2. Территориальная (пространственная). Неприкосновенными являются место проживания человека, его личные вещи и т.д. Никто не вправе нарушать эту приватность без разрешения;
  3. Коммуникационная. Любой имеет право на тайну почтовой связи, телефонных разговоров, переписки. Классический пример из обычной жизни – переход во время разговора на шепот, чтобы посторонние не услышали, о чем беседа;
  4.  Информационная. Понятия чести и достоинства сильно влияют на нас. Коллеги, друзья и семья формируют свое отношение к нам на основании того, что им известно. Всего лишь один маленький факт из жизни человека может значительно изменить его положение в обществе.

На практике возникает путаница между коммуникационной и информационной приватностью. Отличие заключается в том, что они регулируются разным законодательством. В Европе коммуникационная приватность регулируется ePrivacy Regulation. Что касается информационной приватности, то речь здесь, скорее, о контроле людьми над собственной информацией.

О защите информационной приватности заговорили еще в 80-е годы ХХ века в Германии. Там было сформулировано право на информационное самоопределение: «Каждый человек вправе сам определять информацию о себе, а так же решать, какую личную информацию и при каких обстоятельствах передавать другим». Некоторые видят здесь сходство с правом на частную жизнь в Америке. Однако между этими двумя правами есть разница. Американское право на личную жизнь затрагивает в большей степени телесную, территориальную и коммуникационную приватность. В то время, как право на информационное самоопределение касается только информационной приватности.

 

Почему это важно?

 

Информационная приватность обеспечивает:

1) Контроль человеком вмешательства в свою жизнь государства, частных компаний и др. С помощью персональных данных можно влиять на репутацию человека, формировать его поведение, определять принимаемые им решения и, таким образом, контролировать его;

2) Свободу меняться, учиться, делать ошибки. Развитие возможно только в условиях свободы для изменений и учебы, в том числе на своих ошибках. Человек должен иметь право на ошибку, право меняться;

3) Свободу от оправданий и объяснений. Поведение человека сильно зависит от мнения других людей. Чтобы человек мог свободно действовать, он не должен сдерживать себя мыслями, что о нем подумают другие, что его могут осмеять или осудить;

4) Контроль над публичной жизнью человека. С помощью персональных данных принимаются такие важные решения, как выдача кредита или лицензии, прием на работу. Информация влияет на личную и профессиональную репутацию. Человек должен знать, например, что в отношении него ведется расследование.

Особенно актуальным вопросы информационной приватности приобрели в период развития Интернета. Например, многие Интернет-платформы собирают информацию о предпочтениях пользователя и с учетом этого расставляют все посты в ленте новостей.

 

Как в Европе защищают информационную приватность?

 

Основным нормативным правовым актом в области информационной приватности в Европе является Общий регламент защиты персональных данных (General Data Protection Regulation). На сегодняшний день это самый прогрессивный закон в области защиты персональных данных. Основные особенности этого Регламента:

1) Основная цель – дать субъектам данных больший контроль над их персональными данными и усилить ответственность компаний за их обработку;

2) GDPR установил большие штрафы. Компаниям становится дешевле соблюдать правила Регламента, чем создавать резервный фонд для штрафов;

3) GDPR является частью законодательства каждой страны ЕС, а так же актом прямого действия, т.е. применяется непосредственно на территории Европы;

4) Регламент не запрещает обработку персональных данных, а только устанавливает для нее условия. Более того, одна из целей GDPR – упростить движение персональных данных;

5) Определение персональных данных в GDPR является очень широким. Оно фактически включает в себя не только, например, имя и фамилию, но и номер автомобиля, адрес электронной почты, а в определенных случаях – даже IP-адрес. Являются ли данные персональными, зависит от контекста.

Необходимость в GDPR появилась, так как развитие информационных технологий позволило обрабатывать большие массивы данных в очень краткие сроки. Это привело к формированию FAAMG – пятёрки крупнейших компаний сферы информационных технологий (Facebook, Amazon, Apple, Microsoft, Google). Эти компании смогли быстро монетизировать персональные данные (например, при помощи таргетинг, контекстная реклама) и завладеть с их помощью мировым рынком.

В результате возникла новая система – Surveillance capitalism (капитализм слежки). Для того чтобы реклама оставалась релевантной:

1) Активно собираются огромные объемы данных о пользователях со всего мира;

2) Вся эта информация анализируется с помощью очень быстрых алгоритмов;

3) Определяются особенности поведения и предсказываются предпочтения пользователей;

4) Через эту информацию компании пытаются влиять на поведение пользователей.

В результате персональные данные превратились в товар. Сегодня это самый ценный ресурс на Земле, «новая нефть».

 

Основные принципы обработки персональных данных

 

При обработке персональных данных нужно соблюдать несколько принципов, указанных в GDPR:

1) Законность, справедливость и прозрачность. «Законность» означает, что персональные данные можно обрабатывать только на законном основании. Их шесть: контракт, легитимный интерес, жизненный интерес, требование закона, публичный интерес, согласие субъекта данных.

Требование «справедливости» основано на здравом смысле. Иными словами, при обработке персональных данных нужно думать, справедливо ли при этом поступают по отношению к субъекту данных.

«Прозрачность» означает необходимость информировать субъекта данных о том, как, для чего и какие персональные данные обрабатываются. Причем информация должна быть изложена на простом и ясном языке. Самый известный пример такого уведомления – Privacy Policy/Privacy Notice;

2) Ограничение целью. Для обработки персональных данных нужно указать конкретную цель. Причем данные нельзя использовать за рамками этой цели;

3) Минимизация данных. Этот принцип применяют при сборе персональных данных. Данных следует собирать минимальное достаточное для достижения цели количество;

4) Точность. Компании должны поддерживать точность данных и при необходимости изменять их. Причем неточность данных может быть как объективной (например, неправильно указано место регистрации), так и субъективной (неправильная запись в протоколе заседания);

5) Ограничение хранения. После достижения заявленной цели персональные данные нужно удалить. Если они не были своевременно удалены, то субъекты данных вправе потребовать удалить их. Однако в некоторых случаях персональные данные обоснованно хранятся достаточно долго (например, для целей налогового законодательства). В подобных ситуациях невозможно удалить персональные данные по требованию их владельца;

6) Целостность и конфиденциальность. Персональные данные должны защищаться с помощью мер информационной безопасности, чтобы не допустить их утечки, изменения или утраты;

7) Подотчетность. Это отдельный принцип, согласно которому компании должны документировать и демонстрировать соответствие обработок требованиям GDPR.

 

В заключение следует сказать, что приватность – не про секреты, не про тайну информации о человеке, а про контроль человека над ней. 

 

Автор:
Мария Арнст CIPM
Мария Арнст CIPM, TÜV, Strategic Privacy by Design, DPP
Сертифицированный профессионал в области информационной приватности. Европа CIPP/E Сертифицированный менеджер в области информационной приватности CIPM TUV сертифицированная Data Protection Officer Strategic-Privacy-by-Design Профессионал в области информационной приватности по GDPR
Data Protection Officer, GDPR консультант, исследовательница в области приватности
Расписание курсов загружается, подожди несколько секунд