* кто и какую информацию сможет получать о состоянии здоровья пациента;
* в каких случаях водители смогут пользоваться видеорегистраторами;
* какие возникнут новые нюансы с банковскими кредитами и т. д.
Далее мы ответим на все эти вопросы. Но начнем с главного — со смысла происходящего.
Зачем это всё нужно?
Как поясняется на сайте Госинспекции данных, если вкратце, смысл нововведения в том, что у каждого человека есть право знать, кто и с какой целью собирает его данные. Отныне вводятся инструменты контроля, дающие возможность отказаться предоставлять свои данные, изъять их, исправить. Хранить уже собранные данные бесконечно нельзя.
Специалист по защите персональных данных Денис Чаловский, ставший знаменитым после того, как его осудили в США за киберпреступления, пояснил в разговоре с нами:
— Главное, что нужно помнить, обрабатывая личные данные клиентов или пользователей: эти данные принадлежат не компании, а именно этим клиентам. Они просто ими поделились для использования, и относиться к ним нужно соответствующе. Прежде чем затевать какую-то обработку данных, стоит подумать, как бы вы сами отнеслись к тому, что ваши данные будут обрабатываться таким образом. Например, чтобы потом на почту приходила реклама.
Денис Чаловский также подчеркнул: право отказаться от нежелательных рассылок у вас было и ранее, но сейчас это право четче оговорено законодательно. Если вы несогласны с любой обработкой ваших данных, от нее можно будет отказаться в любой момент.
Кроме того, регула предписывает с большим уважением относиться к праву людей не быть нигде опубликованными. Даже если это вечеринка друзей и кто-то сделал снимок, а потом выложил в соцсети, страдать молча от того, что вы не получились на фотографии, больше не придется — есть основание попросить друга убрать снимок. Хотя, будем надеяться, по такому поводу обращений в Госинспекцию данных не будет.
Зачем вообще вводить какие-то новые регулы? Ответ прост: мы живет уже в другое время. Данные собирают все кому не лень, взламывают хранилища данных тоже все подряд. Сейчас продолжается скандал c Facebook, когда к посторонним фирмам утекли данные миллионов пользователей; недавно в сеть попало множество паролей электронной почты, в том числе и популярных в Латвии доменов. В Литве в конце апреля разгорелся прецедентный для Балтии скандал: хакеры похитили личные данные и фотографии пациентов из компьютерной системы клиники пластической хирургии Grozio Chirurgija. Речь идет в том числе о литовских знаменитостях и VIP-персонах из-за рубежа. Теперь эти материалы выставлены на продажу в интернете. Злоумышленники разместили украденное в «темном сегменте» Сети (Dark Web). Цена — от 50 до 2000 евро за фото или документ либо 344 тысячи евро за «весь пакет», сообщает 15min.lt. Хакеры указывают, что к ним попали данные 25 тысяч клиентов клиники. К письму были приложены снимки обнаженных частей тела некоторых из них.
Хакеры сообщили, что сначала пытались шантажировать Grozio Chirurgija, надеясь получить «небольшие отступные» в назидание за использование клиникой уязвимой IT-системы.
«Так как мы получили отказ (судя по всему, у наших визави просто непомерное эго!), мы размещаем все данные в определенном месте, чтобы любой мог их приобрести», — сообщили письмом хакеры.
Сейчас делом занимается полиция. Но для того, чтобы обезопасить пользователей от таких инцидентов, Евросоюз ввел регулу об Общей защите данных — 2016/679 (на английском — The General Data Protection Regulation (GDPR).
Ознакомиться с текстом на латышском можно здесь — http://eur-lex.europa.eu/legal-content/LV/TXT/HTML/?uri=CELEX:32016R0679&from=EN.
Что точно является нарушением
Как узнать, не обрабатываете ли вы случайно чьи-нибудь данные? Что вообще обозначает«обработка данных»?
Как указано в 18-м пункте преамбулы, вы ничего не обрабатываете, если собираете данные исключительно для личных нужд или нужд своего домохозяйства, а сам сбор не связан с профессиональной или коммерческой деятельностью.
Так что можете продолжать держать архив корреспонденции или список нужных адресов, в том числе и электронных. Но вот если вы решите вести наблюдение за жизнью соседей, а потом их где-то опубликовать, вы тут же станете нарушителем регулы.
Как указывает Госинспекция данных, типичными нарушениями являются:
* копирование паспорта, если закон этого прямо не требует;
* указание персонального кода на конверте;
* отправка незаклеенного конверта, отправка счета без конверта;
* вопрос работодателя, который спрашивает после болезни работника, что с ним приключилось;
* работодатель просит отзыв о кандидате с предыдущего места работы без согласия потенциального работника;
* видеонаблюдение без информирования субъекта данных;
* аудиозапись во время собрания без информирования присутствующих;
* рассылка электронных писем нескольким адресатам с раскрытием всех мейлов;
* проверка электронной почты работников без их уведомления;
* передача клиентской базы партнеру по бизнесу.
Позорные доски должников — вне закона
Многие задаются вопросом: при чем тут я? Ответ: регула касается вообще всех. Особенно много проблем сейчас у предприятий, которым нужно привести всю их «кухню» в порядок. «У нас маленькое производство, храним только данные клиентов, которым выписываем накладные, никаких данных не обрабатываем. Это тоже считается?»— то и дело раздаются подобные вопросы.
В понимании регулы — считается. Она вообще затронула весь мир, потому что защищает права членов Евросоюза, где бы они ни находились и кем бы ни являлись — клиентами или работниками. Так что соблюдать требования регулы придется, хотя некоторым предприятиям можно обойтись без особо назначенного специалиста по защите данных — если на них работает менее 250 работников и основная деятельность не касается сбора данных. А вот больницам, охранным фирмам, адвокатским бюро, рекрутинговым агентствам, фирмам по маркетингу и т. п. придется завести отдельного специалиста по охране данных.
Для обработки данных предусмотрено шесть оснований: согласие субъекта, выполнение договора, юридическая обязанность, общественные интересы, защита витальных интересов, соблюдение законности.
В связи с этим вывешивание данных должников по квартплате в подъезде, например, отныне будет совершенно точно вне закона. Зато для того, чтобы продолжать выписывать вам счета, никакого дополнительного согласия не требуется, потому что, скорее всего, основанием для выписывания будет заключенный ранее договор или закон — например, о ведении бухгалтерских документов.
А как же СМИ?
Попасть в газету или книгу человек по-прежнему может, как говорится, без проблем. Ибо пункт 153 преамбулы регулы предусматривает, что нужно сохранять равновесие между правами на защиту данных и правилами, которые регламентируют свободу слова и информации, в том числе и в журналистском, академическом, художественном и литературном выражениях.
Отметим от себя: вокруг новшеств по охране данных уже сейчас происходит множество спекуляций. Нам в редакцию поступали примерно такие жалобы: «А что это вы про меня пишете, хотя я не давал на это своего согласия?»
Уточним для подобных недовольных: законодательство об охране личных данных не регулирует работу СМИ и не вводит в Латвии цензуру. (Она, кстати, запрещена Сатверсме.) Газеты и другие средства массовой информации в Латвии работают согласно закону об СМИ. И мы не обязаны ни с кем согласовывать свои публикации.
Права пациентов
С правами пациентов и вообще медициной все непросто. Понятное дело, сенситивные личные данные нужно защищать. Но в дело вступают еще и национальные законы в сфере здравоохранения. В итоге регула, например, никак не защищает права на защиту данных умершего человека. (За исключением случаев, если его данные касаются ныне живущих, например, о наследственном заболевании.) При этом латвийские законы защищают сведения и об умерших.
lvportals.lv разъясняет, можно ли будет получать и какую именно информацию о состоянии здоровья пациента. Например, сможет ли бабушка отвести на прием к врачу внучку после вступления в силу упомянутой регулы и задавать вопросы врачу — или ей будет в этом отказано.
«Записывая на визит к врачу свою 85-летнюю бабушку, у которой проблемы с памятью, работник медицинского учреждения предупредил меня, что в дальнейшем у менякак третьего лицане будет прав вместо бабушки записывать ее к врачу, отменять прием. Что я могу сделать, чтобы и в дальнейшем помогать своей пожилой родственнице?»
С похожими проблемами в ближайшее время, возможно, столкнутся многие другие жители Латвии.
Юрист Рижской восточной клинической университетской больницы Лаура Шаберте разъясняет, что такие случаи легко решаются в рамках нормативных актов.
Десятый пункт второй части закона «О правах пациентов» предусматривает, что информацию о пациенте можно распространять только с его письменного согласия или в случаях, оговоренных этим законом.
«Поэтому, чтобы получить информацию о состоянии здоровья своего родственника, необходимо оформить его письменное согласие, что можно сделать в свободной форме без нотариального заверения», — рассказывает юрист Шаберте.
Например: «Прошу сообщать моей родственнице Айе Берзине всю информацию, связанную с моим здоровьем. Подпись пациента и число».
Нормативные акты не подразумевают, что такое заявление должно быть в обязательном порядке заверено у нотариуса.
Однакоесть и исключения. Если в больницу доставят человека без сознания, врачу не понадобится согласие пострадавшего, чтобы заглянуть в документы, проверить его личность, возможную историю болезни по базе данных и связаться с родственниками.
Магазинные базы: согласие можно отозвать
Одно из оснований для сбора ваших данных — неоспоримое согласие. Например, вы согласились дать свои данные, чтобы оформить карту клиента магазина и указали мейл и день рождения, чтобы вам присылали предложения об услугах и какие-то особые скидки в подарок. Однакокак только вы передумали, согласно 7-й статье регулы, вы можете свое согласие отозвать.
Об этом праве (на отказ) вас должны уведомить во время оформления. При этомобработка данных будет являться законной, пока согласие было, а после того, как вы его отозвали, уже нет.
Коммерсантам, в свою очередь, защитники данных рекомендуют озаботиться оформлением согласия. Потому что регула позволяет согласиться устно, но вот как в случае конфликта доказать, что такое согласие было? Лучше подстраховаться письменным или электронным вариантом.
Кстати, 16-я статья регулы отдельно оговаривает, что согласие ребенка на обработку данных является законным по достижении 16 лет. До этого законность должен подтверждать родитель или опекун. Конкретные страны могут ввести и другой возраст согласия, но не ниже 13 лет.
Право «быть забытым»
Что делать с социальными сетями и поисковиками? Статья 17 регулы предусматривает, что у любого человека есть право быть стертым (или забытым), если это касается исключения из системы обработки данных. Например, так можно «стереться» из поиска Google.
65-й пункт преамбулы предусматривает, что у каждого есть право на удаление или исправление данных, если тот, кто их хранит, нарушает закон. Особенно подчеркивается право быть стертым, если данные более не нужны для первоначальных целей, если субъект отозвал свое согласие на обработку или возражает против обработки. Кроме того, особенно важно, что удалить данные нужно, если согласие дал ребенок, который полностью не отдавал себе отчета в своих действиях. Право «стереться» есть у такого человека, даже если он перестал быть ребенком. Для дальнейшего хранения «оспоренных» данных нужно законное обоснование, например, в связи с правом на свободу слова и информации, чтобы выполнить юридические обязанности, какие-то обязанности в интересах общества. Основания для того, чтобы быть «стертым», подробно перечислены в 17-й статье регулы.
Что касается поиска Google, то, как пишет Jurista vards, он уже озаботился даже специальной формой для изъятия данных из всемирной паутины. Но Google подчеркивает, что следит за обоснованностью запроса на «забвение» и соблюдением общественных интересов. В результате устаревшую информацию могут удалить, а вот, например, сведения о преступлениях — нет. Поисковик просит прислать документы и обоснование для изъятия каждой из ссылок, которая вас не устраивает. Кроме того, известно, что Google часто отказывает тем, кто просит стереться, на основании защиты общественных интересов. С оговоркой: «Если вас что-то не устраивает, можете судиться». Возможно, с вступлением регулы в силу что-то изменится.
Приведем в этой связи показательный пример: в апреле Google проиграл дело в Лондоне, пишет The Guardian.
Бизнесмен, которого приговорили к шести месяцам тюрьмы в 1990-х за вмешательство в коммуникации, добился права исключить эту информацию из общего доступа. Правда, его коллега по делу, осужденный на четыре года за подделку счета, проиграл. Судья объяснил свое решение: выигравший бизнесмен проявил раскаяние, тогда как второй продолжал упорствовать. Суд также отклонил все требования компенсаций. Судья говорит, что, по его убеждению, информация об обвинениях первого бизнесмена перестала быть важной для публики, потеряла срок годности.
Однако та же статья 17 предусматривает, что «стирание» не применяют, если обработка нужна, чтобы защитить право на свободу слова и информации; чтобы выполнить юридический долг; на основании интересов общества в сфере здравоохранения; для архивирования в общественных, научных и исторических интересах; чтобы защитить законные требования.
Что с видеорегистраторами и камерами?
Ранее, как многие водители знают, нужно было регистрировать камеры видеонаблюдения и видеорегистраторы в Госинспекции данных. Однако более этого делать не нужно — с 25 мая они будут на вашей совести и ответственности.
Регула не требует ничего делать, если ваш регистратор просто фиксирует, что происходит вокруг в автоматическом режиме. Если же вы заглянули в запись и начали данные как-то обрабатывать, то будьте внимательнее, чтобы ничьих прав не нарушить!
Проблемы могут возникнуть с видеокамерами в публичных местах. Для тогочтобы видеонаблюдение в местах общего пользования осуществлялось законно, нужно обязательно уведомить субъектов, что оно ведется. Например, соответствующей табличкой. Но просто значка камеры недостаточно. На табличке нужно указать цель наблюдения — например:«Безопасность, предотвращение преступлений». Кроме того, там же должен быть указан тот, кто отвечает за обработку данных, правовое обоснование, юридический адрес, получатели данных. В общем, серьезный документ получается.
(см. фото).
О штрафах и сроках
Еще немного пояснений с сайта Еврокомиссии.
Как долго можно хранить данные? Как можно меньше. Для принятия сроков стоит учитывать причины обработки данных, какие обязанности наложены на предприятие и учреждение. Долго хранить можно данные только с целью архивации, обеспечения общественных, научных и исторических интересов — но если проведена анонимизация, шифровка и так далее.
При этомданные нужно регулярно обновлять. Еврокомиссия приводит такой пример: агентство по найму собирает CV кандидатов, но никак их не обновляет. При этомпланирует хранить документы 20 лет. Это нарушение, так как из-за отсутствия обновлений CV работников становятся бесполезными — информация не соответствует действительности.
Регула требует сурово карать нарушителей. За неправильное хранение и распространение данных можно «попасть» на штраф до 20 миллионов евро или 4% от оборота предприятия.
Подробнее об условиях применения санкций написано в статье 83 регулы. Однако там подчеркивается, что каждый случай должен рассматриваться индивидуально и в соответствии с законодательством конкретной страны.
Робот больше не может решать, давать ли кредит
Что еще стоит учитывать. Отныне клиент банка или другой финансовой организации может опротестовать решение, которое принято на основе математических алгоритмов, то есть без участия человека.
Как известно, банки, страховые компании, больницы и прочие организации хранят о своих клиентах огромный объем информации, базирующийся на личных данных. На основе этих данныхдля упрощения работы может приниматься множество решений. К примеру, пользователь интернет-банка может подать заявку на потребительский кредит. Система оценивает запросы на небольшие кредиты без участия человека. То есть автоматически рассчитывается доход человека, его поступления и траты, а также кредитная нагрузка. В итоге система принимает решение, давать кредит или нет.
С 25 мая принятое таким образом решение можно оспорить и попросить банк, чтобы ваше заявление на кредит рассматривалось не в автоматическом режиме, а с участием работника банка. И отказать в этом вам не имеют права.
Это указано в 71-м пункте преамбулы регулы: субъект данных имеет право не быть субъектом решения, которое принимается на основании автоматизированной обработки и которое имеет юридические последствия для субъекта.
Есть и исключения: если профилирование недвусмысленно разрешено законами конкретной страны, если речь идет о надзоре за налогами и борьбе с мошенничеством в этой сфере, если субъект данных дал недвусмысленно согласие на такую обработку данных. Однако все равно субъекту данных нужно обеспечить участие человека, право высказать свое мнение, получить пояснение, оспорить решение.
Куда обращаться с вопросами
Если у вас возникли вопросы, Госинспекция данных дает консультации с 13.00 до 15.00 по телефону 67223131.
Николай Кудрявцев, "Сегодня"