Обзор законов стран ЕС о персональных данных

Мы знаем или хотя бы слышали про GDPR, действующий в ЕС. Но какие ещё законы в области персональных данных действуют в Европе? Какие особенности надо учесть, когда открываешь бизнес в ЕС?

Чтобы вы знали, что в ЕС законов по персональным данным больше чем 1.

В практике был интересный кейс, когда ко мне обратились люди, открывшие офис представительства в Европе и им пришло письмо от местного надзорного органа. В нём было требование предоставить все сведения о DPO - лице, ответственном за обработку и защиту персональных данных. Они перепугались и не могли понять что они нарушают - GDPR соблюден, политика опубликована, контакты есть, даже галочки в формах на сайте есть, что от них ещё хотят?

Оказалось, что когда открываешь компанию, то ты открываешь не просто в рамках ЕС, но в конкретном государстве, где есть свои национальные законы, которые надо соблюдать. К тому же, GDPR и вообще требования законов - это не столько о документах и бюрократии, сколько о процессах в бизнесе.

И именно эта ситуация побудила меня написать такой небольшой обзор. Несмотря на размеры - это именно небольшой экскурс в законы, потому что про каждую страну и её законы можно рассказывать много :)

Сразу могу сказать, что самые важные общие требования в части персональных данных везде одинаковы и основаны на 7 принципах GDPR:

1) Законность, справедливость и прозрачность обработки персональных данных для субъекта данных и с его согласия

2) Ограничение целью - обработка осуществляется исключительно для законных целей, которые чётко указаны субъекту данных при их сборе в политике конфиденциальности

3) Минимизация данных - можно собирать и обрабатывать столько данных, сколько необходимо для достижения целей

4) Точность - персональные данные должны быть актуальными, а неточные и избыточные данные (с учетом цели сбора) - должны быть удалены или исправлены

5) Ограничение срока хранения - хранение персональных данных допускается исключительно в рамках достижения целей

6) Целостность и конфиденциальность - обработка должна выполняться таким образом, чтобы обеспечить безопасность, целостность и конфиденциальность данных

7) Подотчетность - Контроллер несет ответственность в полном объёме за все процессы, связанные с персональными данными и должен продемонстрировать соответствие процессов требованиям GDPR

Основные документы, действующие в ЕС в области персональных данных:

• Regulation 2016/679 (The General Data Protection Regulation) - о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных
• Regulation 2018/1725 - о защите физических лиц при обработке персональных данных учреждениями, органами, учреждениями и агентствами Союза и о свободном перемещении таких данных
• Directive 2002/58/EC - об обработке персональных данных и защиты конфиденциальности в секторе электронных коммуникаций
• Directive 2016/680 - о защите физических лиц при обработке персональных данных компетентными органами в целях предотвращения, расследования, обнаружения или преследования уголовных преступлений или исполнения уголовных наказаний

GDPR применяется во всех странах ЕС с той же юридической силой, как если бы они были местными законами. При этом, государства-участники ЕС должны принять свои собственные законы для реализации GDPR, но они могут отличаться, так как GDPR носит прежде всего общий и шаблонный характер, который задаёт тренд (например, по GDPR возраст согласия на обработку персональных данных - 16 лет, но каждое государство может установить свой).

Так организовано, чтобы процессы внутри государства соответствовали единым требованиям, установленным в ЕС. Каждая страна, исходя из своих национальных особенностей и проблем, с которыми сталкивалась - сделала упор на определенные условия и сама определяет строгость наказания за нарушения.

Интересный факт:

Статьей 203 Договора о Европейском Союзе и Договора о функционировании Европейского Союза (TFEU) установлено, что условия норм, принятых в ЕС должны быть утверждены государствами-участниками. Так, требования GDPR должны были быть перенесены в национальное законодательство до 6 мая 2018 года.

При этом, некоторые страны не успели в указанный срок. Так Европейская Комиссия призывала Суд ЕС наложить на Грецию финансовые санкции в виде выплаты в размере 5 287,50 евро в день с даты нарушения срока, с минимальной единовременной выплатой в размере 1 310 000 евро и ежедневной уплатой штрафа в размере 22 169,70 евро со дня вынесения первого судебного решения до полного исполнения обязательств. После этого в Греции очень оперативно приняли новый закон о персональных данных. Аналогичная ситуация произошла и с Испанией.

В Европейский Союз входит 27 государств, рассматривать каждый не имеет смысл, поэтому в выборке участвуют только 8, которые имеют яркие особенности.

В Германии действует Федеральный закон о защите данных (Bundesdatenschutzgesetz - BDSG).

BDSG распространяется на случаи, если осуществляется обработка персональных данных не в личных (семейных) целях. Впрочем, все остальные законы о персональных данных - также.

Особенности и дополнения к GDPR:

1) Более детальные требования к назначению сотрудника, ответственного за обработку персональных данных (DPO), по сравнению с GDPR: в организации должен быть назначен ответственный сотрудник, если более 20 человек осуществляет автоматизированную обработку персональных данных или если обработка связана с передачей и анонимизацией данных, исследовании рынков, а DPO должны быть предоставлены надзорному органу;

2) Прямо запрещено передавать пул персональных данных, полученных без разрешения субъектов - в коммерческих целях или для причинения вреда субъектам;

3) Разрешено видеонаблюдение в общедоступных местах: государственные органы вправе осуществлять в целях охраны жизни и здоровья граждан (для предотвращения угроз государственной и общественной безопасности, уголовных преступлений), если видеонаблюдение необходимо для защиты законных интересов и эти интересы выше, чем право субъектов на охрану персональных данных;

4) Разрешена обработка данных для скоринга перед заключением договора, при условии:

• соблюдения законодательства по применению мер защиты данных;
• расчет значения вероятности осуществляется на основе научно признанной математико-статистической процедуры
• адресные данные не использовались исключительно для расчета значения вероятности (не для предложения услуг или передачи третьим лицам)
• в случае использования адресных данных субъект был проинформирован о предполагаемом использовании этих данных до расчета значения вероятности
• процесс скоринга задокументирован и имеет инструкцию
  

5) Возраст предоставления согласия на обработку данных - 16 лет;

6) Дополнительная ответственность:

- штрафы за нарушение BDSG возможны до 50 000 евро;

- лишение свободы до 2-х лет

В Греции, в дополнение к GDPR был принят Закон 4624/2019 от 29.08.2019 года, который вызвал множество вопросов, так как частично не соответствовал ни действующему законодательству Греции, ни GDPR. Этот закон критикуют за размытые формулировки.

Особенности и дополнения к GDPR:

1) Возраст согласия на обработку персональных данных - 15 лет, иначе только с согласия законного представителя (родителей, опекунов и т.д.);

2) Запрещена обработка генетических данных в целях страхования жизни и здоровья и оценки возникновения рисков;

3) Разрешена обработка особых категорий данных государственными и частными организациями без согласия субъекта, когда это обязательно в целях обеспечения здравоохранения, социального обеспечения и оценки трудоспособности, обеспечения безопасности, но при условии наличия мер по защите интересов субъектов данных;

4) Разрешена обработка персональных данных в журналистских или академических, художественных или литературных целях без согласия субъекта данных при условии, что право на информирование общественности выше чем право на неприкосновенность частной жизни;

5) Контроллер данных вправе не удалять персональные данные по запросу субъекта данных, если у контролера есть основания полагать, что удаление может отрицательно повлиять на законные интересы субъекта данных;

6) Дополнительная ответственность за нарушение закона (архивирование, удаление, копирование, незаконное использование персональных данных): лишение свободы до 1 года. В случае особых категорий данных налагается лишение свободы на срок не менее 1 года и штраф до 100 000 евро. А если это сделано в коммерческих целях и общая выгода от этого превышает 120 000 евро, то лишение свободы на срок до 10 лет.

В Дании, кроме GDPR действует Закон № 502 от 23 мая 2018 года.

Особенности и дополнения к GDPR:

1) Запрещено использовать предварительно проверены отметки в чек-боксах согласия на сбор и обработку персональных данных. Кроме того, уведомление о том, что “продолжение использования - согласие с правилами”, в т.ч. для cookie не являются действительным согласием. Использование файлов cookie, независимо от того, включают ли собранные данные персональные данные, размещение и функциональность файлов cookie - требует наличие согласия пользователя;

2) Чтобы полноценно уведомить субъекта об обработке персональных данных - Контролер должен предпринять активные действия: недостаточно просто опубликовать на сайте политику, надо чтобы пользователь чётко поставил “галочку” и доказал, что всё понял;

3) Если контроллер получает случайно персональные данные, которые он не запрашивал и ему не нужны - он должен уведомить субъекта данных не позднее, чем через 10 дней после получения;

4) Обязательство для крупных компаний дополнять финансовый отчет руководства отчетом об исполнении политики компании в отношении обработке персональных данных данных;

5) Происходит разделение на «обычные данные» и «конфиденциальные данные» в отношении персональных данных, несмотря на то, что это прямо не упоминается в GDPR. Конфиденциальная информация - это персональные данные, которые в силу своего характера и контекста требуют особой защиты, поскольку случайное или незаконное уничтожение, потеря, изменение, несанкционированное раскрытие таких персональных данных или доступ к ним могут привести к физическим, материальным или иным убыткам для субъекта данных (к примеру, размер доходов, благосостояние, условия труда, внутренних семейные отношения).

6) При записи разговоров с клиентами, например, для обеспечения качества - контроллер должен получить согласие от субъекта до того, как разговор будет записан;

7) Возраст дачи согласия на обработку персональных данных - не моложе 13 лет;

8) Контроллеры данных, собирающие персональные данные через социальные сети, могут рассматриваться как совместные контролеры с правообладателем социальных сетей;

9) Дополнительная ответственность - в рамках уголовной ответственности лишение свободы на срок до 6 месяцев.

Законодательство Исландии о конфиденциальности данных является довольно строгим и изложено в Законе № 90/2018 от 27 июня 2018 года.

Особенности и дополнения к GDPR:

1) Создан специальный надзорный орган - Persónuvernd (в значение орган по защите данных, а дословно - Конфиденциальность);

2) Установлено действие законов об обработке персональных данных на умерших физических лиц - не менее 5 лет с момента их смерти;

3) Persónuvernd требует от контролеров проконсультироваться и получить предварительное разрешение на обработку персональных данных, если цели затрагивают общественные интересы;

4) Нет обязательства по специальной регистрации в качестве оператора персональных данных, но есть требование предоставить контактные данные ответственного лица за обработку (DPO);

5) Персональные данные, собранные с помощью отслеживающих технологий, в т.ч. Cookie - не могут храниться более 90 дней;

6) Создан Национальный регистр Исландии, который ведет реестр лиц, которые возражают против спама и использования их данных для маркетинговых целей. Контроллеры, занимающиеся маркетингом и продажами перед использованием контактных данных должны проверить наличие лица в этом списке;

7) В рекламных письмах должно быть явно указано: наименование лица, которое обращается к субъекту, контакт для возражения против получения писем и телефонных звонков, указано откуда взяты данные контакта (если субъект не является клиентом);

8) Возраст дачи согласия на обработку персональных данных - 13 лет

9) Дополнительная ответственность:

• нарушение физическим лицом профессиональной тайны карается штрафом или лишением свободы на срок до 1 года
• наложение ежедневных штрафов до устранения нарушения в размере до 200 000 исландских крон (около 1 240 евро)
  
• штраф от 100 000 исландских крон (приблизительно 620 евро ) до 2 400 000 000 исландских крон (приблизительно 14 879 030 евро) или в случае компании - до 4% от общего мирового годового оборота за предыдущий финансовый год (в зависимости от того, что больше)
  
• физическое лицо может быть приговорено к лишению свободы сроком до 3 лет.
  

В Испании действует Закон № 3/2018 от 5 декабря 2018 года - Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales.

Особенности и дополнения к GDPR:

1) Даётся возможность контроллеру самостоятельно разобраться с жалобой.В случае подачи жалобы на контролера или процессора в надзорный орган: надзорный орган уведомляет контроллера и ответственное лицо за обработку персональных данных (DPO) вправе самостоятельно разрешить вопрос в течение двух месяцев с момента получения такой жалобы;

2) Сильной критике подверглось положение закона о том, что политические партии вправе использовать персональные данные, полученные с веб-страниц и других публичных источников, для осуществления политической деятельности в период выборов. После обжалования в конституционном суде этого положения - были внесены правки и теперь политические партии вправе обрабатывать политические мнения только в том случае, если они были свободно выражены людьми при осуществлении своего права на свободу выражения мнений и своей идеологической свободы;

3) Есть целая глава о гарантиях цифровых прав.В нескольких статьях говорится о защите частной жизни в сфере труда, например, о праве на неприкосновенность частной жизни и праве использования цифровых устройств на рабочем месте, праве на неприкосновенность частной жизни от использование устройств видеонаблюдения и звукозаписи на рабочем месте и использования систем геолокации при исполнении трудовых обязательств. А также установлены права:

• право на свободу выражения мнений и информации, особенно в отношении выражения мнения в Интернете
• наличие алгоритмов в социальных сетях (и публичных ресурсах), позволяющих исправить и удалить опубликованную информацию
  
• право на забвение в поисковых системах и социальных сетях
  

4) Согласие на использование файлов cookie может считаться полученным на законных основаниях, если на сайте хотя бы минимум информации об использовании предоставляется с помощью баннера. Согласием будет являться однозначное действие субъекта, указывающих на согласие, к примеру, использование полосы прокрутки или переход по ссылкам на посещенном сайте;

5) Возраст выражения согласия на обработку персональных данных - 14 лет;

6) Дополнительная ответственность:

Уголовная ответственность в форме лишения свободы от 1 до 4 лет и / или ежедневный штраф на срок от 12 до 14 месяцев может быть наложено наложено лицо, которое совершает действия с целью раскрытия персональных данных без согласия субъекта: взлом электронной почты или почтового ящика, мессенджера, иного хранилища; перехват телекоммуникаций; использование технических устройств для прослушивания, передачи, записи или воспроизведения звука или изображений.

В национальном законодательстве Кипра действует Закон № 125 (I) от 16.10.2018 года.

Особенности и дополнения:

1) Генетические и биометрические данные не могут быть обработаны в целях получения медицинского страхования и страхования жизни, даже если субъект данных дал согласие;

2) Обязательство получить консультацию и одобрение надзорного органа при передаче специальных категорий персональных данных в третьим лицам, находящимся в иных государствах;

3) Использовании видеонаблюдения на рабочем месте и биометрических данных работников возможно исключительно, если:

- работодатель может доказать необходимость проведения данных мер;

- для достижения целей контроля нет иных способов.

4) Использование Cookie разрешено только с согласия пользователя, которому должна быть предоставлена четкая и исчерпывающая информация о целях обработки, за исключением случае использования Cookie, необходимых для оказания услуг субъекту и без которых функционирование невозможно;

5) Дополнительная ответственность:

• Лишение свободы до 3 лет и / или штраф в размере не более 30 000 евро
• лишение свободы не более 1 года и / или штраф не более 10 000 евро (за нарушение в отношении обработки, которое не охвачено конкретным правонарушением)
  
• лишение свободы до 5 лет и / или штраф в размере не более 50 000 евро (за нарушение физическим лицом обязательств DPO как ответственным лицом, особо крупные масштабы продажи персональных данных при отсутствии согласия субъектов на сбор этих данных).
  

Во Франции в дополнение к GDPR действует обновленный поправками Закон № 78-17 от 6 января 1978 г. об обработке данных, файлах и свободах (Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés)

Особенности и дополнения к GDPR:

1) Персональные данные умерших лиц может быть обработана, если субъект данных не выразил свой отказ при жизни;

2) Возраст предоставления согласия на обработку данных - 15 лет;

3) Любой субъект вправе зарегистрироваться в специальном регистре - Bloctel и тем самым выразить отказ от рекламных звонков и писем (сообщений). Такой отказ действует 3 года и может продлеваться каждый 3 года. Причём, если от субъект заключил договор с контроллером - ему можно звонить, но после предлагать какие-либо товары и услуги уже нельзя, если его данные содержатся в Bloctel;

4) При использовании на сайте cookie cогласие должно быть однозначным: прокрутка вниз, пролистывание или просмотра сайта или приложения недостаточно, чтобы это считаталось согласием. Согласие должно отражать волю субъекта: он должен быть проинформирован в понятной, полной и видимой форме, а просто ссылки на общие условия использования сайта недостаточно;

5) Можно покупать маркетинговые списки с данными у третьих лиц, если имеется соответствующее разрешение на передачу персональных данных от субъектов, содержащихся в списках и обеспечивается надлежащая защита данных;

6) В отношениях работник - работодатель не обязательно получение письменных согласий на обработку персональных данных, так как это предполагается изначально, поэтому:- Разрешено отслеживание геолокации транспортных средств, управляемых сотрудниками, если это осуществляется во время работы, сотрудники проинформированы об этом;- Разрешена запись телефонных разговоров сотрудников, если это соответствует заранее определенной цели, например, для обучения или оценки качества обслуживания;- Разрешено изучение рабочей электронной почты, если у писем нет пометки "личное".

7) Дополнительная ответственность:

- лишение свободы до 5 лет;

- штраф для физических лиц до 300 000 евро;

- штраф для юридических лиц до 1 500 000 евро.

В Швеции действует Закон о защите данных (2018: 218) и Регламент о защите данных (2018:219).

Но кроме него много отраслевых законов, которые регулируют обработку персональных данных в разных сферах, например: Закон о видеонаблюдении (Kamerabevakningslag (2018: 1200)), Закон о кредитной информации (Kreditupplysningslagen (1973: 1173)), Закон о взыскании долга (Inkassolagen (1974: 182)), Закон о свободе мнения (Yttrandefrihetsgrundlag (1991: 1469)), Закон о маркетинге (Marknadsföringslag (2008: 486)), Закон о данных пациента (Patientdatalag (2008: 355)), Закон об электронных коммуникациях (Lag (2003: 389) om elektronisk kommunikation). Несмотря на то, что правовое регулирование в Швеции децентрализовано и имеет большое количество нормативных актов - они закрепляют на национальном уровне принятые нормы GDPR и иных законов ЕС.

Особенности и дополнения к GDPR:

1) В отношении персональных данных умерших лиц нет отличий от живых, то есть если было дано согласие организации или у государственного / муниципального есть право обрабатывать данные - оно сохраняется;

2) Возраст предоставления согласия на обработку данных - 13 лет;

3) Согласие субъекта на использование файлов cookie может быть выражено через настройки веб-браузера, но на сайте в любом случае должно быть предупреждение об использование cookie.

Как итог, хочу сказать, что у каждой страны есть свои особенности, законы и нормы, которые надо учитывать при расширении и открытия бизнеса. Всегда лучше заранее узнать о них и предусмотреть, чем потом лихорадочно исправлять нарушения.

Берегите себя и свой бизнес,
с уважением, Журлов Никита,
проект ITdoc.