Разбираемся в персональных данных с нуля: границы понятий, возможности работы, правовые нюансы.
Статью хочется начать с цитирования основателя Microsoft Билла Гейтса, который в предисловии к книге «IT как оружие. Какие опасности таит в себе развитие высоких технологий» сформулировал идею о том, что при сборе и использовании персональных данных важно соблюдать баланс интересов тех, чьи данные обрабатываются и тех, кто обрабатывает данные:
«Возможность собирать огромные объемы данных о пользователях – это палка о двух концах. С одной стороны, правительства, компании и частные лица получают возможность принимать более эффективные решения. С другой – это вызывает серьезные вопросы о том, каким именно образом персональные данные должны использоваться, чтобы не нарушить право людей на неприкосновенность частной жизни».
Соблюдение баланса интересов всех сторон: личности, государства, бизнеса – и есть основная причина, по которой во всем мире так активно развивается законодательство в области защиты частной жизни.
В Республике Беларусь Закон «О защите персональных данных» № 99-З от 07.05.2021 (далее – Закон о персональных данных) вступил в силу 15 ноября минувшего года. В развитие Закона о персональных данных были приняты правовые акты, рекомендации Национального центра защиты персональных данных Республики Беларусь (далее – Национальный центр защиты персональных данных), разработаны мероприятия по контролю соблюдения законодательства в области защиты персональных данных. Несмотря на все это у бизнеса и у субъектов, чьи персональные данные обрабатываются, остается много вопросов на тему приватности.
Для того, чтобы отвечать на такие вопросы, год назад компанией ActiveCloud проводились вебинары. Однако вопросы продолжают поступать, так как со временем появляется практика, поэтому мы возобновляем вебинары, и в дополнение к вебинарам приняли решение вести постоянную рубрику о защите персональных данных в Республике Беларусь. Будем поднимать как простые вопросы, такие как понятие персональных данных, так и более сложные, такие как хранение данных в облаках, анкеты лояльности, холодные звонки, обработка данных из социальных сетей.
На связи с вами буду я, Ходорович Инга. Интересующие вас вопросы, ответы на которые вы хотели бы получить и пожелания к будущим статьям можно направлять на электронную почту infosec@activecloud.com.
И так, поехали.
О понятии персональных данных
Начнем с азов. Что же такое персональные данные? Скорее всего специалисты, интересующиеся защитой персональных данных, уже давно вдоль и поперек изучили Закон о персональных данных, но цикл статей рассчитан на широкую аудиторию, в том числе на новичков в этой области. Профессионалы же, возможно, смогут взглянуть на букву закона под другим углом.
Введенное в достаточно общем виде понятие «Персональные данные» (статья 1 Закона о персональных данных) как «любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано» вызывает споры о том, относится ли та либо иная информация к персональным данным, и риторика в этой области не утихает до сих пор. Будет ли номер телефона являться персональными данными? А никнейм, под которым субъект зарегистрировался у вас на сайте?
На сайте Национального центра защиты персональных данных (cpd.by) в рубрике «Ответы на часто задаваемые вопросы» указано, что к персональным данным может относится абсолютна любая информация: фото лица, история болезни, сведения GPS, история звонков, номер телефона, электронная почта и так до бесконечности.
Так что, получается, практически вся информация – это персональные данные? Ответом может быть «нет», потому как важно понимать, что для отнесения информации к персональным данным, нужен анализ информации по следующим критериям:
-
содержание информации (может ли такая информация идентифицировать субъекта, «относится» ли информация к лицу);
-
цель обработки (например, случайное изображение номера автомобиля на фотографии, иллюстрирующей открытие нового магазина или размещение номера автомобиля на специальном интернет-ресурсе);
-
влияние обработки на конкретного субъекта.
Решение также просто, как сложен приведенный выше требуемый анализ: если вдруг у вас возникают сомнения по отнесению информации к персональным данным, относите такую информацию к персональным данным и соблюдайте в отношении таких данных законодательство о защите персональных данных. Исходя из такого подхода, вы точно будете уверены, что ничего не упустили и ваши клиенты могут чувствовать себя защищенными и доверять вам самое ценное – свою информацию.
А что можно делать с законно полученными персональными данными (о законно полученных персональных данных мы поговорим в нашей рубрике позже)? В ответ на этот вопрос можно смело говорить «Всё», но, как обычно бывает, и тут есть ограничения. Рассмотрим некоторые моменты в этой части.
Работа с данными
Персональные данные можно обрабатывать! Закон о персональных данных говорит, что обработка – это в том числе сбор, систематизация, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных. При этом понятия «блокирование», «обезличивание», «предоставление», «распространение» «трансграничная передача» и «удаление» раскрываются в Законе о персональных данных.
Так, а что сложного, если вроде как все перечислено – вопрошает любой специалист, столкнувшийся с этим определением. На практике путают понятия «предоставление» и «распространение», что может вести к серьезным последствиям нарушения законодательства о защите персональных данных, который определяет эти понятия следующим образом.
ПРЕДОСТАВЛЕНИЕ персональных данных – действия, направленные НА ОЗНАКОМЛЕНИЕ с персональными данными ОПРЕДЕЛЕННОГО ЛИЦА ИЛИ КРУГА ЛИЦ. К примеру, предоставление документов при трудоустройстве на работу, регистрация в личном кабинете интернет-магазина.
РАСПРОСТРАНЕНИЕ персональных данных – действия, направленные НА ОЗНАКОМЛЕНИЕ с персональными данными НЕОПРЕДЕЛЕННОГО КРУГА ЛИЦ. К примеру, размещение в сети Internet в открытом доступе резюме кандидата на работу.
Выходит, что размещение своих данных в социальных сетях (LinkedIn, TikTok, Instagram и т.д.) может быть как предоставлением персональных данных, так и их распространением. В случае, когда аккаунт открыт для всех – персональные данные распространены, то есть доступ к данным есть у неограниченного круга лиц, а когда аккаунт закрыт, то данные (фото, личная информация), доступны, к примеру, только подписчикам, которых владелец аккаунта самостоятельно одобряет, то есть ограниченному кругу лиц.
Какая разница предоставляются данные либо распространяются?
Здесь мы руководствуемся правилами логики:
-
В случае, если ДАННЫЕ РАСПРОСТРАНЕНЫ, в том числе самостоятельно субъектом, ОПЕРАТОР (лицо, которое обрабатывает персональные данные) может БЕЗ СОГЛАСИЯ обрабатывать данные (выше изложено понятие «обработка»), то есть МОЖЕТ ЗВОНИТЬ, ПРЕДЛАГАТЬ УСЛУГИ, РАБОТУ и т.д. НО ТОЛЬКО ДО ТОГО момента, пока пользователь НЕ ЗАЯВИТ О ПРЕКРАЩЕНИИ ТАКОЙ ОБРАБОТКИ, а также об удалении данных.
-
В случае ПРЕДОСТАВЛЕНИЯ данных, БЕЗ ПОЛУЧЕНИЯ СОГЛАСИЯ на те же рекламные рассылки ВОЗМОЖНОСТИ ОБРАБОТКИ данных у ОПЕРАТОРА НЕТ.
Заявлять о прекращении обработки и (или) удалении данных необходимо непосредственно оператору, и это одно из фундаментальных прав лиц, чьи персональные данные обрабатываются.
Ну а о правах субъектов и о том, как их реализовать, поговорим в следующих статьях.
С заботой о вас и ваших данных, Инга Ходорович,
ведущий юрисконсульт и специалист по защите персональных данных ActiveCloud
