Законопроект о персональных данных внесён в парламент. Это ещё не победа, но уже хороший знак — его могут принять уже на весенней сессии. Наш Алексей Козлюк рассказывает самое главное о законе.
Этот день мы в Human Constanta, как говорится, приближали, как могли. Да что там, первые шаги в сторону этого закона мы делали ещё когда об этом почти никто не говорил, а нашей организации не было даже в планах. Сейчас, когда из каждого утюга говорят о приватности, защите данных и прочих GDPR, очевидно, что без закона о персональных данных никакая цифровая трансформация не случится. Данные — новая нефть, а где вы видели, чтобы нефть никто не регулировал.
Подробный разбор положений законопроекта, который будет интересен юристам, мы оставим на потом. Сейчас о самом главном. Кстати, самое главное то, что закон вступит в силу через год после принятия — никуда бежать не надо.
Содержание
Для кого это важно
Для нас всех, конечно же. Мы с вами и есть субъекты данных, чьи права должен защитить закон. Назойливая рассылка, на которую вы не подписывались, мутные ребята, которые вас «пробивают по базе», слишком подробные анкеты программ лояльности, медицинские записи, которые живут своей жизнью и гуляют по рукам, все эти государственные базы данных, которые непонятно кто и зачем наполняет — теперь у нас появятся хотя бы законные основания с этим всем бороться.
Для бизнеса наступает новая эпоха, когда стоит десять раз подумать перед тем, как собирать наши данные. Ведь их придётся надежно хранить, соблюдать наши права и в любой момент отвечать на наши запросы. Да, это незначительно повысит издержки. Такие явления, как торговля маркетинговыми базами данных (а как вы думаете номер телефона вашей бабушки попал к «оконщикам» и прочим продавцам фильтров для воды) должны вообще исчезнуть. Но европейский (и не только) бизнес живет в таких условиях с 80-х годов прошлого века, так что и наши привыкнут.
Государственные органы тоже будут вынуждены пересмотреть свои подходы, впрочем, это зависит не столько от текста закона, сколько от позиции и возможностей уполномоченного органа, который будет следить за законностью использования наших данных.
В общем, это шаг в правильную сторону, где наши данные принадлежат нам, а не государству или корпорациям, а они этими данными только пользуются, прозрачно и подотчетно.
Это будет беларусский GDPR?
Кто ещё не в курсе, GDPR — это общий регламент по защите персональных данных в Европейском Союзе, который действует с 25 мая 2018 года. Поскольку он широко применяется и к иностранным организациям, об этом законе знают во всем мире. А ещё это самые строгие правила работы с персональными данными на сегодняшний день и де-факто стандарт для транснациональных корпораций.
Беларусский законопроект достаточно близко подошёл к европейскому стандарту. Здесь есть и обязанность публиковать политики приватности, писать правила обработки данных понятным языком, получать свободное, конкретное и информированное (а не подразумеваемое) согласие и предупреждать обо всех способах обработки данных.
Для первого времени этого должно быть достаточно, ведь сложно сразу начать делать то, к чему европейские страны шли почти 40 лет. Да, здесь нет privacy by design/default (проектируемая приватность/приватность по умолчанию), нет переносимости данных (data portability), нет ничего про принятие решений с использованием алгоритмов. Поверьте, пройдёт немало времени, пока наши правоприменители смогут свободно интерпретировать основные принципы и условия обработки данных в конкретных бизнес-процессах и технических решениях. А к этому времени наработанная практика позволит предложить необходимые правки в закон. Сейчас в законопроекте основные принципы закреплены, также есть ряд условий обработки данных, помимо согласия субъекта.
Чего не хватает, так это информирования нас с вами об утечках наших данных (законопроект обязывает уведомлять только уполномоченный орган).
Вы наверняка заметили, как часто в новостях звучит информация о том, что информация о пользователях в крупных компаниях вдруг попала в руки злоумышленникам. Это не значит, что раньше таких инцидентов было меньше, просто не было обязанности об этом сообщать. Теперь это вопрос репутации компании, а не только головная боль службы безопасности. Узнаем ли мы больше о том, как наши компании не справляются с защитой данных, покажет время.
Новые слова для юристов
Появится много новых определений, которые приняты в этой сфере. Например, участники отношений:
А) субъект данных (data subject) — человек, к которому относятся персональные данные;
Б) оператор (controller) — те, кому мы даём наши данные — государственный орган, человек, в том числе индивидуальный предприниматель, юридическое лицо, иная организация, самостоятельно или совместно осуществляющие действия с персональными данными;
В) уполномоченное лицо (processor) — те, кому оператор поручает действия с персональными данными и кто действует строго в рамках задания оператора и несёт перед ним ответственность (всякие хостинги, облачные базы данных и CMS и проч.);
Г) уполномоченный орган по защите прав субъектов персональных данных (data protection authority) — должен быть создан президентом в соответствии с законом. Пока это темная лошадка, несмотря на ключевую роль в регулируемых отношениях.
Какие права у нас появятся
Мы будем получать от оператора информацию о своих правах, связанных с нашими персональными данными. Мы сможем давать и отзывать согласие на сбор, обработку, распространение, предоставление своих персональных данных, знакомиться со своими персональными данными, требовать внесения в них изменений, получать информацию о предоставлении своих персональных данных третьим лицам, требовать прекращения действий со своими персональными данными и (или) их удаления. Если нас что-то не устраивает, мы сможем обжаловать действия (бездействие) и решения оператора (уполномоченного лица), связанные со сбором, обработкой, распространением, предоставлением своих персональных данных. Не так уж мало.
Какие обязанности появятся у операторов
Операторы будут обязаны разъяснять субъекту персональных данных его права, связанные со сбором, обработкой, распространением, предоставлением персональных данных. Это нужно будет делать в письменной форме или в той форме, в которой у человека спрашивают согласие на обработку данных. Политика приватности должна быть доступна для любого (например, по прямой ссылке на сайте).
Операторы будут обязаны получать согласие субъекта персональных данных на сбор, обработку (за исключением обезличивания), распространение, предоставление персональных данных. Согласие должно быть свободным, конкретным и информированным.
Фразы «продолжая пользоваться нашим сервисом, вы соглашаетесь» уже не будут работать.
Операторы должны будут обеспечивать защиту персональных данных. Это будут организационные и технические меры (например, шифрование). Конкретные меры защиты для разных категорий информации будут определять специально созданный Уполномоченный орган и Оперативно-аналитический центр. Каждая организация должна будет создать отдельное структурное подразделение или назначить лицо, ответственное за организацию сбора, обработки, распространения, предоставления персональных данных. Да здравствует новая профессия — DPO — data protection officer. Если оператор допустит утечку ваших данных, он должен будет уведомить об этом Уполномоченный орган.
Оператор должен будет предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, по требованию субъекта персональных данных либо уведомить субъекта персональных данных о причинах отказа во внесении таких изменений.
Оператор должен прекратить действия с персональными данными, а также удалить (блокировать) их, в том числе по требованию субъекта персональных данных, при отсутствии оснований для таких действий с персональными данными, предусмотренных Законом и иными законодательными актами. То же придётся сделать, если данные не являются необходимыми для заявленной цели либо истек срок, указанный в согласии субъекта персональных данных или законодательном акте. Уполномоченный орган также может запретить обработку данных.
Что может пойти не так
Текст законопроекта не так уж плох, на первый взгляд. И все же давайте посмотрим на факторы, которые могут сделать закон или совсем нерабочим или, что хуже, заставить его работать совсем на другие цели.
Так бывает, закон есть, но его никто не исполняет. Этому может способствовать то, что в законе окончательно не определён Уполномоченный орган по защите прав субъектов персональных данных. Будет ли создан новый, институционально независимый орган с достаточными полномочиями, финансированием и квалифицированными сотрудниками (это европейский стандарт)? Будет ли это придаток к прокуратуре или какому-то министерству (это позиция некоторых госорганов)? Решать будет администрация президента, и у них на это год с момента принятия закона. Представьте, что это должен быть такой орган, который сможет проверить МВД и эффективно запретить им обрабатывать наши данные с нарушением закона. И те обязаны подчиниться.
Второй вопрос — ответственность за нарушение закона. В ЕС это до 20 млн. или 4% от оборота, что означает очень серьезные риски для бизнеса и соответствующее отношение. В России в своё время штрафы были настолько низкими, что проще дождаться проверки и заплатить, чем обращаться за консультацией к юристу. Опять же, кто будет проводить проверки и составлять протоколы? В законопроекте у Уполномоченного органа таких функций не предусмотрено, обращаться в суд от имени субъектов данных или в защиту неограниченного круга лиц он тоже не сможет. Тогда это будет делать прокуратура, не обладая при этом необходимыми ресурсами и квалификацией. Вам надо установить незаконную трансграничную передачу данных, вы заходите в серверную, а дальше? У зарубежных аналогов уполномоченного органа возможности шире и штат наполовину укомплектован техническими специалистами. Это не безвыходная ситуация, но есть риск, что в комплексе это сильно затруднит исполнение закона.
Как может случиться, что закон будет использован во вред? Целью закона о персональных данных является защита частной жизни. Эта ценность должна находиться в балансе с ценностью свободы информации. Отдавая приоритет одной, мы можем ущемить другую, так это работает. Сейчас у нас есть отраслевой закон «Об информации, информатизации и защите информации», в котором право на доступ к информации государственных органов прописано очень нечетко и на практике работает плохо. Отдельного закона о доступе к публичной информации у нас нет, как нет и правила, что даже секретная информация может быть раскрыта, если общественный интерес к ней превалирует.
С появлением Закона о персональных данных баланс смещается и появляется целый ряд возможностей ещё больше закрыть государственную информацию от общественного контроля, прикрываясь защитой частной жизни и персональных данных. В Украине в первые годы действия закона именно так и происходило. В законопроекте есть несколько положений, которые призваны не допустить применения защиты персональных данных против прав журналистов и свободы слова, но все будет зависеть от правоприменения. Human Constanta и ряд других организаций уже сейчас выступают за разработку дополнительных гарантий в виде закона о доступе к публичной информации.
Вместо заключения
Мы кажется ещё на один шаг становимся ближе к цифровому обществу. Останется ли этот закон на бумаге или станет рабочим инструментом защиты наших прав в цифровую эпоху, зависит не только от его текста. Сейчас особенно важно поднять спорные вопросы при обсуждении в парламенте, а затем выстраивать конструктивные отношения между бизнесом, государством и гражданским обществом для создания эффективной системы защиты персональных данных. Системы, которая будет учитывать наши права, а также интересы бизнеса, и станет выгодна и полезна всем.
