Скачиваний:
6
Добавлен:
26.01.2024
Размер:
500 Кб
Скачать

§ 2. Регулирование правомерного использования Больших данных в Европейском союзе

С 25 мая 2018 г. на территории всего Европейского союза действует Общеевропейский регламент по защите персональных данных или General Data Protection Regulation (далее – GDPR, «Регламент»). На уровне правотворчества государства - члены Евросоюза обязаны гармонизировать с Регламентом GDPR свое национальное право посредством принятия, изменения, дополнения своего национального права. В соответствии с п. 1 ст. 4, персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъект данных), по которой прямо или косвенно можно его определить. К такой информации относится в том числе имя, данные о местоположении, онлайн-идентификатор или один или несколько факторов, характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица. Определение широкое и дает понять, что даже IP-адреса могут быть персональными данными. Важно отметить, что GDPR согласован с положениями целого ряда международно-правовых актов, в том числе:

- Конвенции Совета Европы от 28 января 1981 г. о защите физических лиц при автоматизированной обработке персональных данных и Дополнительного протокола к Конвенции;

- Хартии Европейского Евросоюза об основных правах;

- Европейской Конвенции о защите прав человека и основных свобод.

Это подчеркивает тот аспект, что Регламент рассматривает данные именно с точки зрения прав и свобод гражданина, а не как цифровой актив.

Кроме того, Регламент устанавливает законные основания для обработки данных (ч. 1 ст. 6). Наличия хотя бы одного из них достаточно для того, чтобы обработка считалась законной. В частности, обработка считается законной, если субъект данных предоставил согласие на обработку своих персональных данных, или она необходима для выполнения контракта, стороной которого является субъект данных. Неопределенность вызывает основание, по которому необходимость обработки данных обуславливается защитой жизненно важных интересов субъекта данных или другого физического лица. Такая формулировка позволяет компаниям обрабатывать их, даже не располагая четким правовым обоснованием, что может вызывать многочисленные злоупотребления на практике.

На базе анализа положений GDPR и трудов европейских юристов была составлена таблица с наиболее существенными изменениями, привнесенными Регламентом.

Расширение сферы регулирования GDPR(по сравнению с Директивой о защите данных 1995 г.)

Нововведения GDPR

Расширенные определения понятий «персональные данные», «конфиденциальная информация», «анонимные данные» и «псевдонимизация»

Обязательное введение ответственного по защите данных (DPO — Data Protection Officer) для компаний в случаях (ст. 37 Регламента): – в компаниях, которые систематически и регулярно осуществляют крупномасштабный мониторинг лиц; – в компаниях, которые осуществляют крупномасштабную обработку особых категорий персональных данных; – в любых публичных органах, которые осуществляют обработку персональных данных

Для обработки данных детей до 16 лет требуется согласие родителей

Прямое действие регламента в судах государств-членов ЕС, а также в Европейском Суде (European Court of Justice), решения которого обладают прецедентным характером.

Некоторое уменьшение административного бремени (отсутствие национальной регистрации обработчика или предварительного разрешения)

Регуляторные штрафы до 20 млн евро или 4% годового оборота компании

Экстерриториальное применение к иностранным контроллерам и обработчикам данных

С 25 мая 2018 г. начал функционировать вновь созданный орган Евросоюза – Европейский совет по защите данных (European Data Protection Board, EDPB)

Подход Европейского союза весьма последователен: регулирование распространяется как на первичный сбор данных, так и на их обработку, обезличивание, использование и уничтожение. GDPR, в первую очередь, рассматривает Большие данные как персональные данные в их широком понимании. Это влечет создание льготного режима для обработки обезличенных данных, усиленной защиты пользователей, а также наложение огромных штрафов (до 20 млн евро) на компании за неправомерное использование и другие нарушения.

Также, GDPR закрепляет принципы обработки данных.

1. Законность, справедливость и прозрачность. Любую информацию о целях, методах и объёмах обработки персональных данных следует излагать максимально доступно и просто, а также, в случае необходимости, предоставлять отчетность контролирующим органам.

2. Ограничение цели. Данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией.

3. Минимизация данных. Нельзя собирать личные данные в бóльшем объёме, чем это необходимо для целей обработки.

4. Точность. Необходимо принимать обоснованные меры для обеспечения своевременного удаления или исправления неточных данных.

5. Ограничение хранения. Личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных на срок не более, чем это необходимо для целей обработки.

6. Целостность и конфиденциальность. При обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения.

GDPR работает по принципу экстерриториальности (ст. 3) в двух случаях: «..(a) предоставления товаров и услуг субъектам данных в Союзе4 вне зависимости от того, требуется ли оплата от указанного субъекта данных, или (b) мониторинга их деятельности при условии, что деятельность осуществляется на территории Союза».

Компании, даже не находящиеся на территории Евросоюза, в том числе российские, обязаны в полном объеме соблюдать требования GDPR, а также назначать уполномоченного ответственного представителя на территории Европейского союза, который будет отвечать на все запросы контролирующих органов.

Соседние файлы в папке !!Экзамен зачет учебный год 2024