Обзор законов стран ЕС о персональных данных

Мы знаем или хотя бы слышали про GDPR, действующий в ЕС. Но какие ещё законы в области персональных данных действуют в Европе? Какие особенности надо учесть, когда открываешь бизнес в ЕС?

Чтобы вы знали, что в ЕС законов по персональным данным больше чем 1.

В практике был интересный кейс, когда ко мне обратились люди, открывшие офис представительства в Европе и им пришло письмо от местного надзорного органа. В нём было требование предоставить все сведения о DPO - лице, ответственном за обработку и защиту персональных данных. Они перепугались и не могли понять что они нарушают - GDPR соблюден, политика опубликована, контакты есть, даже галочки в формах на сайте есть, что от них ещё хотят?

Оказалось, что когда открываешь компанию, то ты открываешь не просто в рамках ЕС, но в конкретном государстве, где есть свои национальные законы, которые надо соблюдать. К тому же, GDPR и вообще требования законов - это не столько о документах и бюрократии, сколько о процессах в бизнесе.

И именно эта ситуация побудила меня написать такой небольшой обзор. Несмотря на размеры - это именно небольшой экскурс в законы, потому что про каждую страну и её законы можно рассказывать много :)

Сразу могу сказать, что самые важные общие требования в части персональных данных везде одинаковы и основаны на 7 принципах GDPR:

1) Законность, справедливость и прозрачность обработки персональных данных для субъекта данных и с его согласия

2) Ограничение целью - обработка осуществляется исключительно для законных целей, которые чётко указаны субъекту данных при их сборе в политике конфиденциальности

3) Минимизация данных - можно собирать и обрабатывать столько данных, сколько необходимо для достижения целей

4) Точность - персональные данные должны быть актуальными, а неточные и избыточные данные (с учетом цели сбора) - должны быть удалены или исправлены

5) Ограничение срока хранения - хранение персональных данных допускается исключительно в рамках достижения целей

6) Целостность и конфиденциальность - обработка должна выполняться таким образом, чтобы обеспечить безопасность, целостность и конфиденциальность данных

7) Подотчетность - Контроллер несет ответственность в полном объёме за все процессы, связанные с персональными данными и должен продемонстрировать соответствие процессов требованиям GDPR

Основные документы, действующие в ЕС в области персональных данных:

GDPR применяется во всех странах ЕС с той же юридической силой, как если бы они были местными законами. При этом, государства-участники ЕС должны принять свои собственные законы для реализации GDPR, но они могут отличаться, так как GDPR носит прежде всего общий и шаблонный характер, который задаёт тренд (например, по GDPR возраст согласия на обработку персональных данных - 16 лет, но каждое государство может установить свой).

Так организовано, чтобы процессы внутри государства соответствовали единым требованиям, установленным в ЕС. Каждая страна, исходя из своих национальных особенностей и проблем, с которыми сталкивалась - сделала упор на определенные условия и сама определяет строгость наказания за нарушения.

Интересный факт:

Статьей 203 Договора о Европейском Союзе и Договора о функционировании Европейского Союза (TFEU) установлено, что условия норм, принятых в ЕС должны быть утверждены государствами-участниками. Так, требования GDPR должны были быть перенесены в национальное законодательство до 6 мая 2018 года.

При этом, некоторые страны не успели в указанный срок. Так Европейская Комиссия призывала Суд ЕС наложить на Грецию финансовые санкции в виде выплаты в размере 5 287,50 евро в день с даты нарушения срока, с минимальной единовременной выплатой в размере 1 310 000 евро и ежедневной уплатой штрафа в размере 22 169,70 евро со дня вынесения первого судебного решения до полного исполнения обязательств. После этого в Греции очень оперативно приняли новый закон о персональных данных. Аналогичная ситуация произошла и с Испанией.

В Европейский Союз входит 27 государств, рассматривать каждый не имеет смысл, поэтому в выборке участвуют только 8, которые имеют яркие особенности.

В Германии действует Федеральный закон о защите данных (Bundesdatenschutzgesetz - BDSG).

BDSG распространяется на случаи, если осуществляется обработка персональных данных не в личных (семейных) целях. Впрочем, все остальные законы о персональных данных - также.

Особенности и дополнения к GDPR:

1) Более детальные требования к назначению сотрудника, ответственного за обработку персональных данных (DPO), по сравнению с GDPR: в организации должен быть назначен ответственный сотрудник, если более 20 человек осуществляет автоматизированную обработку персональных данных или если обработка связана с передачей и анонимизацией данных, исследовании рынков, а DPO должны быть предоставлены надзорному органу;

2) Прямо запрещено передавать пул персональных данных, полученных без разрешения субъектов - в коммерческих целях или для причинения вреда субъектам;

3) Разрешено видеонаблюдение в общедоступных местах: государственные органы вправе осуществлять в целях охраны жизни и здоровья граждан (для предотвращения угроз государственной и общественной безопасности, уголовных преступлений), если видеонаблюдение необходимо для защиты законных интересов и эти интересы выше, чем право субъектов на охрану персональных данных;

4) Разрешена обработка данных для скоринга перед заключением договора, при условии:

5) Возраст предоставления согласия на обработку данных - 16 лет;

6) Дополнительная ответственность:

- штрафы за нарушение BDSG возможны до 50 000 евро;

- лишение свободы до 2-х лет

В Греции, в дополнение к GDPR был принят Закон 4624/2019 от 29.08.2019 года, который вызвал множество вопросов, так как частично не соответствовал ни действующему законодательству Греции, ни GDPR. Этот закон критикуют за размытые формулировки.

Особенности и дополнения к GDPR:

1) Возраст согласия на обработку персональных данных - 15 лет, иначе только с согласия законного представителя (родителей, опекунов и т.д.);

2) Запрещена обработка генетических данных в целях страхования жизни и здоровья и оценки возникновения рисков;

3) Разрешена обработка особых категорий данных государственными и частными организациями без согласия субъекта, когда это обязательно в целях обеспечения здравоохранения, социального обеспечения и оценки трудоспособности, обеспечения безопасности, но при условии наличия мер по защите интересов субъектов данных;

4) Разрешена обработка персональных данных в журналистских или академических, художественных или литературных целях без согласия субъекта данных при условии, что право на информирование общественности выше чем право на неприкосновенность частной жизни;

5) Контроллер данных вправе не удалять персональные данные по запросу субъекта данных, если у контролера есть основания полагать, что удаление может отрицательно повлиять на законные интересы субъекта данных;

6) Дополнительная ответственность за нарушение закона (архивирование, удаление, копирование, незаконное использование персональных данных): лишение свободы до 1 года. В случае особых категорий данных налагается лишение свободы на срок не менее 1 года и штраф до 100 000 евро. А если это сделано в коммерческих целях и общая выгода от этого превышает 120 000 евро, то лишение свободы на срок до 10 лет.

В Дании, кроме GDPR действует Закон № 502 от 23 мая 2018 года.

Особенности и дополнения к GDPR:

1) Запрещено использовать предварительно проверены отметки в чек-боксах согласия на сбор и обработку персональных данных. Кроме того, уведомление о том, что “продолжение использования - согласие с правилами”, в т.ч. для cookie не являются действительным согласием. Использование файлов cookie, независимо от того, включают ли собранные данные персональные данные, размещение и функциональность файлов cookie - требует наличие согласия пользователя;

2) Чтобы полноценно уведомить субъекта об обработке персональных данных - Контролер должен предпринять активные действия: недостаточно просто опубликовать на сайте политику, надо чтобы пользователь чётко поставил “галочку” и доказал, что всё понял;

3) Если контроллер получает случайно персональные данные, которые он не запрашивал и ему не нужны - он должен уведомить субъекта данных не позднее, чем через 10 дней после получения;

4) Обязательство для крупных компаний дополнять финансовый отчет руководства отчетом об исполнении политики компании в отношении обработке персональных данных данных;

5) Происходит разделение на «обычные данные» и «конфиденциальные данные» в отношении персональных данных, несмотря на то, что это прямо не упоминается в GDPR. Конфиденциальная информация - это персональные данные, которые в силу своего характера и контекста требуют особой защиты, поскольку случайное или незаконное уничтожение, потеря, изменение, несанкционированное раскрытие таких персональных данных или доступ к ним могут привести к физическим, материальным или иным убыткам для субъекта данных (к примеру, размер доходов, благосостояние, условия труда, внутренних семейные отношения).

6) При записи разговоров с клиентами, например, для обеспечения качества - контроллер должен получить согласие от субъекта до того, как разговор будет записан;

7) Возраст дачи согласия на обработку персональных данных - не моложе 13 лет;

8) Контроллеры данных, собирающие персональные данные через социальные сети, могут рассматриваться как совместные контролеры с правообладателем социальных сетей;

9) Дополнительная ответственность - в рамках уголовной ответственности лишение свободы на срок до 6 месяцев.

Законодательство Исландии о конфиденциальности данных является довольно строгим и изложено в Законе № 90/2018 от 27 июня 2018 года.

Особенности и дополнения к GDPR:

1) Создан специальный надзорный орган - Persónuvernd (в значение орган по защите данных, а дословно - Конфиденциальность);

2) Установлено действие законов об обработке персональных данных на умерших физических лиц - не менее 5 лет с момента их смерти;

3) Persónuvernd требует от контролеров проконсультироваться и получить предварительное разрешение на обработку персональных данных, если цели затрагивают общественные интересы;

4) Нет обязательства по специальной регистрации в качестве оператора персональных данных, но есть требование предоставить контактные данные ответственного лица за обработку (DPO);

5) Персональные данные, собранные с помощью отслеживающих технологий, в т.ч. Cookie - не могут храниться более 90 дней;

6) Создан Национальный регистр Исландии, который ведет реестр лиц, которые возражают против спама и использования их данных для маркетинговых целей. Контроллеры, занимающиеся маркетингом и продажами перед использованием контактных данных должны проверить наличие лица в этом списке;

7) В рекламных письмах должно быть явно указано: наименование лица, которое обращается к субъекту, контакт для возражения против получения писем и телефонных звонков, указано откуда взяты данные контакта (если субъект не является клиентом);

8) Возраст дачи согласия на обработку персональных данных - 13 лет

9) Дополнительная ответственность:

В Испании действует Закон № 3/2018 от 5 декабря 2018 года - Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales.

Особенности и дополнения к GDPR:

1) Даётся возможность контроллеру самостоятельно разобраться с жалобой.В случае подачи жалобы на контролера или процессора в надзорный орган: надзорный орган уведомляет контроллера и ответственное лицо за обработку персональных данных (DPO) вправе самостоятельно разрешить вопрос в течение двух месяцев с момента получения такой жалобы;

2) Сильной критике подверглось положение закона о том, что политические партии вправе использовать персональные данные, полученные с веб-страниц и других публичных источников, для осуществления политической деятельности в период выборов. После обжалования в конституционном суде этого положения - были внесены правки и теперь политические партии вправе обрабатывать политические мнения только в том случае, если они были свободно выражены людьми при осуществлении своего права на свободу выражения мнений и своей идеологической свободы;

3) Есть целая глава о гарантиях цифровых прав.В нескольких статьях говорится о защите частной жизни в сфере труда, например, о праве на неприкосновенность частной жизни и праве использования цифровых устройств на рабочем месте, праве на неприкосновенность частной жизни от использование устройств видеонаблюдения и звукозаписи на рабочем месте и использования систем геолокации при исполнении трудовых обязательств. А также установлены права:

4) Согласие на использование файлов cookie может считаться полученным на законных основаниях, если на сайте хотя бы минимум информации об использовании предоставляется с помощью баннера. Согласием будет являться однозначное действие субъекта, указывающих на согласие, к примеру, использование полосы прокрутки или переход по ссылкам на посещенном сайте;

5) Возраст выражения согласия на обработку персональных данных - 14 лет;

6) Дополнительная ответственность:

Уголовная ответственность в форме лишения свободы от 1 до 4 лет и / или ежедневный штраф на срок от 12 до 14 месяцев может быть наложено наложено лицо, которое совершает действия с целью раскрытия персональных данных без согласия субъекта: взлом электронной почты или почтового ящика, мессенджера, иного хранилища; перехват телекоммуникаций; использование технических устройств для прослушивания, передачи, записи или воспроизведения звука или изображений.

В национальном законодательстве Кипра действует Закон № 125 (I) от 16.10.2018 года.

Особенности и дополнения:

1) Генетические и биометрические данные не могут быть обработаны в целях получения медицинского страхования и страхования жизни, даже если субъект данных дал согласие;

2) Обязательство получить консультацию и одобрение надзорного органа при передаче специальных категорий персональных данных в третьим лицам, находящимся в иных государствах;

3) Использовании видеонаблюдения на рабочем месте и биометрических данных работников возможно исключительно, если:

- работодатель может доказать необходимость проведения данных мер;

- для достижения целей контроля нет иных способов.

4) Использование Cookie разрешено только с согласия пользователя, которому должна быть предоставлена четкая и исчерпывающая информация о целях обработки, за исключением случае использования Cookie, необходимых для оказания услуг субъекту и без которых функционирование невозможно;

5) Дополнительная ответственность:

Во Франции в дополнение к GDPR действует обновленный поправками Закон № 78-17 от 6 января 1978 г. об обработке данных, файлах и свободах (Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés)

Особенности и дополнения к GDPR:

1) Персональные данные умерших лиц может быть обработана, если субъект данных не выразил свой отказ при жизни;

2) Возраст предоставления согласия на обработку данных - 15 лет;

3) Любой субъект вправе зарегистрироваться в специальном регистре - Bloctel и тем самым выразить отказ от рекламных звонков и писем (сообщений). Такой отказ действует 3 года и может продлеваться каждый 3 года. Причём, если от субъект заключил договор с контроллером - ему можно звонить, но после предлагать какие-либо товары и услуги уже нельзя, если его данные содержатся в Bloctel;

4) При использовании на сайте cookie cогласие должно быть однозначным: прокрутка вниз, пролистывание или просмотра сайта или приложения недостаточно, чтобы это считаталось согласием. Согласие должно отражать волю субъекта: он должен быть проинформирован в понятной, полной и видимой форме, а просто ссылки на общие условия использования сайта недостаточно;

5) Можно покупать маркетинговые списки с данными у третьих лиц, если имеется соответствующее разрешение на передачу персональных данных от субъектов, содержащихся в списках и обеспечивается надлежащая защита данных;

6) В отношениях работник - работодатель не обязательно получение письменных согласий на обработку персональных данных, так как это предполагается изначально, поэтому:- Разрешено отслеживание геолокации транспортных средств, управляемых сотрудниками, если это осуществляется во время работы, сотрудники проинформированы об этом;- Разрешена запись телефонных разговоров сотрудников, если это соответствует заранее определенной цели, например, для обучения или оценки качества обслуживания;- Разрешено изучение рабочей электронной почты, если у писем нет пометки "личное".

7) Дополнительная ответственность:

- лишение свободы до 5 лет;

- штраф для физических лиц до 300 000 евро;

- штраф для юридических лиц до 1 500 000 евро.

В Швеции действует Закон о защите данных (2018: 218) и Регламент о защите данных (2018:219).

Но кроме него много отраслевых законов, которые регулируют обработку персональных данных в разных сферах, например: Закон о видеонаблюдении (Kamerabevakningslag (2018: 1200)), Закон о кредитной информации (Kreditupplysningslagen (1973: 1173)), Закон о взыскании долга (Inkassolagen (1974: 182)), Закон о свободе мнения (Yttrandefrihetsgrundlag (1991: 1469)), Закон о маркетинге (Marknadsföringslag (2008: 486)), Закон о данных пациента (Patientdatalag (2008: 355)), Закон об электронных коммуникациях (Lag (2003: 389) om elektronisk kommunikation). Несмотря на то, что правовое регулирование в Швеции децентрализовано и имеет большое количество нормативных актов - они закрепляют на национальном уровне принятые нормы GDPR и иных законов ЕС.

Особенности и дополнения к GDPR:

1) В отношении персональных данных умерших лиц нет отличий от живых, то есть если было дано согласие организации или у государственного / муниципального есть право обрабатывать данные - оно сохраняется;

2) Возраст предоставления согласия на обработку данных - 13 лет;

3) Согласие субъекта на использование файлов cookie может быть выражено через настройки веб-браузера, но на сайте в любом случае должно быть предупреждение об использование cookie.

Как итог, хочу сказать, что у каждой страны есть свои особенности, законы и нормы, которые надо учитывать при расширении и открытия бизнеса. Всегда лучше заранее узнать о них и предусмотреть, чем потом лихорадочно исправлять нарушения.

Берегите себя и свой бизнес,
с уважением, Журлов Никита,
проект ITdoc.