Фундаментальные принципы европейского законодательства по защите персональных данных

27 января 2020

Европейские законодатели начали обращать внимание на необходимость выделения и закрепления отдельного права человека на защиту их персональных данных еще в 50-х годах двадцатого века. В течение всего периода, начиная с даты вступления в силу Европейской Конвенции по правам человека и до настоящего времени, принципы по защите персональных данных трансформировались. Они эволюционировали и в конце концов усовершенствовались к виду, в котором мы можем их идентифицировать пока.

Какими документами регламентируются основные принципы?

Основными документами, которые определяют основные принципы и требования по защите персональных данных в Европе является General Data Protection Regulation (GDPR) от 2016 года, Convention on the protection of individuals with regard the automated protection of personal data (Convention 108) с 1981 года дополнена протоколом от 2001 года. Кроме этого, фундаментальное право на защиту персональных данных, определенное в Charter of Fundamental Rights of the European Union с 2000 года и European Convention on Human Rights от 1950 года.

Ниже будут рассмотрены принципы, которые были выделены европейским законодателем в General Data Protection Regulation.

Законности, честности и прозрачности

В понимании этого принципа, любая обработка или использование персональных данных физических лиц должно осуществляться таким образом, чтобы у субъекта персональных не возникало никаких сомнений относительно того, что его права не нарушаются, а персональные данные обрабатываются законно. Вместе с тем, компания или любая другая лицо, использующее персональные данные, должна обеспечить, чтобы:

персональные данные оброблювалися или иным образом использовались исключительно на законных основаниях;
субъект персональных данных был обеспечен информацией, максимально описывает все цели, средства, сроки обработки персональных данных, а также любые другие нюансы, касающиеся персональных данных и могут требоваться законодательством, как Европейского союза в целом, так и законодательством каждой отдельной страны — члена ЕС;
использование персональных данных осуществлялось в прозрачном виде, без каких-либо дополнительных условий, которые могут устанавливаться компанией, которая обрабатывает персональные данные, о которых субъект персональных данных не может знать. В частности, не могут устанавливаться дополнительные цели использования персональных данных, если о таких целях не поставлен в известность владелец персональных данных.

Принцип ограничения целей обработки

Как и говорилось выше, европейское законодательство требует от компаний установления четких целей обработки персональных данных и сообщения о таких целях субъектов персональных данных перед началом использования данных.

Это означает, что если компания, например, собрала персональные данные о своем покупателя с целью продажи ему определенного товара, такая компания, соответственно, не может использовать эти данные для отправки маркетинговых сообщений покупателю с рекламой своим услугам по уборке офисов. Если компания все же решится на осуществление такого, такие действия могут классифицироваться как нарушение компанией требований законодательства о защите персональных данных, в частности GDPR.

Принцип минимизации данных

Не может собираться больше персональных данных, чем это нужно для реализации целей, установленных компанией в момент сбора таких данных. Суть этого принципа логическая, ведь зачем собирать данные, которые ты не используешь?

Компаниям, например, не стоит получать от субъекта данных данные о его рост, вес и национальность, если речь идет исключительно о продаже такому лицу программного обеспечения для обеспечения функционирования веб-сайта. Обычно, исходя из практики, контролирующие органы довольно легко проявляют компании, которые занимаются подобным манипулированием, ведь проанализировав, в процессе аудита, содержание баз персональных данных и сопоставив их с целями обработки данных, есть возможность определить, работает ли компания законно.

Принцип принадлежности данных

На самом деле этот принцип не следует трактовать от слова «принадлежит», ведь здесь речь идет о том, что персональные данные должны быть в надлежащем состоянии, то есть быть полными, актуальными и корректными.

Обычно недостаточно собрать персональные данные, поместить их в базу данных и забыть о них. Необходимо всегда поддерживать персональные данные в надлежащем состоянии, в том числе путем предоставления возможности субъекту данных внести изменения самостоятельно, когда он этого требует, или же путем внесения изменений самой компанией, соответствующим распоряжение или требованием субъекта данных.

Здесь речь может, например, идти о случаях, когда субъект персональных данных меняет адрес своей прописки или когда он меняет фамилию, имя, номер телефона или адрес электронной почты. Иногда внесения таких изменений может быть не обязательным для компании, для того чтобы предоставить услуги или продать товары, однако, право субъекта данных на использование его персональных данных компанией в надлежащей форме является одним из тех прав, своей сути обеспечивают соблюдение фундаментального принципа принадлежности данных.

Принцип ограничения хранения данных

Принцип заключается в том, что ни одно лицо не имеет права хранить персональные данные дольше, чем это необходимо для реализации поставленных целей использования персональных данных.

Этот принцип довольно специфическим, ведь компания в праве самостоятельно подобрать цели использования персональных данных, а следовательно и установить соответствующий срок хранения таких данных. Как показывает практика, это довольно сложно — определиться сразу со всеми целями, которые интересовали компании, и которые предоставили ему возможность хранить данные максимально долго. Поэтому, обеспечение деятельности компании в рамках этого принципа, следует подходить достаточно осторожно и тщательно.

Исключением остаются случаи, когда компания может установить новые (дополнительные) цели использования данных и сообщить субъекта данных об этом, или же когда дополнительный срок хранения данных требуется законодательством ЕС или отдельной страны-члена ЕС, или когда это необходимо для защиты законных интересов компании , в частности для защиты, выполнения или подачи иска.

Принцип обеспечения безопасности данных

Другими словами — это принцип интеграции и конфиденциальности. Он заключается в том, что априори все персональные данные должны использоваться и обрабатываться с обеспечением максимальной безопасности.

GDPR определяет основные меры, которые должны приниматься компаниями для обеспечения безопасности персональных данных, в том числе в процессе сбора, использования и передачи персональных данных другим лицам.

В общем, можем отметить, что почти треть статей General Data Protection Regulation покрывает требования этого принципа, а потому несоблюдение этого принципа может быть решающим в вопросе обеспечения GDPR compliance компаниями.

принцы соответствии

Самым ключевым и самым модерновым следует считать принцип соответствия, ведь именно в контексте этого принципа, компании, которые собирают, используют, передают или иным образом используют персональные данные, должны гарантировать факт того, что они соблюдают требования законодательства по защите данных, а также приняли всех надлежащих организационных и технических мероприятий, чтобы обеспечить максимальный уровень безопасности обработки данных.

Этот принцип предполагается в General Data Protection Regulation и является тем принципом, что делает современный подход к защите персональных данных революционным, ведь ни один нормативный акт до этого не определял такого принципа и не заставлял компании внедрять одни принципы по-для реализации других.

«Придерживайтесь требований GDPR, и ваша компания будет работать спокойно»