В первой части мы вкратце описали предоставление согласия на обработку персональных данных, кто, когда и как его может или должен предоставить, и какие обязанности обработчика данных это предусматривает. В настоящей статье мы постараемся подробнее объяснить другую правовую основу для обработки персональных данных, а именно договорную причину.
Прежде всего повторим, что любая обработка персональных данных должна быть законной, что означает, что должна существовать причина для обработки таких данных. Для заинтересованных лиц должно быть прозрачно и понятно, что происходит получение, использование, обсуждение или другая обработка их касающихся персональных данных, а также степень осуществляемой обработки или возможной будущей обработки. Такая прозрачность требует, чтобы вся информация и сообщения, связанные с обработкой таких персональных данных, были легко доступны и понятны, а также сформулированы четко и просто.
Это включает в себя, в частности, информацию о личности обработчика данных и целях обработки, и другую информацию для обеспечения прозрачной обработки в отношении заинтересованных физических лиц, и их права на получение информации о обрабатываемых персональных данных, их касающихся. Заинтересованные лица должны быть предупреждены о рисках, правилах, гарантиях, как и их правах при обработке персональных данных. В частности, конкретные цели, для которых обрабатываются персональные данные, должны быть четко указаны и установлены при получении персональных данных. Персональные данные должны быть адекватными, релевантными и ограниченными в той мере, в какой это необходимо для целей, для которых они обрабатываются. Это требует, прежде всего, обеспечения того, чтобы период, в течение которого такие персональные данные сохраняются, был ограничен в той мере, в какой это необходимо.
Персональные данные должны обрабатываться только в том случае, если цель обработки не может быть достигнута другими соответствующими средствами при соответствующих условиях, а также должно быть обеспечено, чтобы персональные данные не сохранялись дольше, чем это необходимо. Необходимо принять все возможные меры для обеспечения исправления или удаления неверных данных. Персональные данные должны обрабатываться таким образом, чтобы была обеспечена надлежащая безопасность и конфиденциальность персональных данных, в том числе предотвращение несанкционированного доступа к персональным данным и устройству, используемому для их обработки.
Одной из законных причин, или в терминологии, которая используется в рассматриваемом постановлении, правовым основанием для обработки персональных данных заинтересованных лиц является обработка, необходимая для выполнения договора, одной из сторон которого является заинтересованное лицо, или для того, чтобы по требованию заинтересованного лица были до заключения договора приняты определенные меры.
Это правовое основание будет включать вероятно наиболее распространенную причину для обработки персональных данных обычными предпринимателями, поскольку каждый торговый, трудовой или другой договор содержит персональные данные. В таком случае согласие заинтересованного лица совершенно не имеет смысла, поскольку причиной обработки персональных данных является выполнение договора. Многие считают, что самой правильной практикой в соответствии с правилами GDPR является согласие заинтересованного лица, и стремятся внести это согласие почти повсеместно, однако это неправильное представление. В качестве примера мы можем привести различные интернет-магазины, в которых нельзя без отметки соответствующего согласия осуществить покупку. В соответствии с новым законодательством такая процедура будет неправильной, поскольку причиной обработки является договор, а согласие не может быть условием для выполнения договора. Тем не менее, если интернет-магазин будет полученные персональные данные использовать также для маркетинговых целей, согласие уже необходимо получить.
Поэтому в этом отношении необходимо также понимать, что также при работе с договорами необходимо придерживаться правил и принципов защиты персональных данных, т. е. недопустимо даже нахождение договора где-то на автомобильном сидении или на столе в офисе и т. п. Кроме того, уже нельзя вносить в договоры всю известную информацию, но только те данные, которые действительно необходимы для идентификации договаривающейся стороны, или такие, которые требуются в некоторых случаях по закону, или только такие, которые необходимы для той цели, для которой их обрабатываем, т.е. для выполнения договора.
Новое постановление вводит совершенно новую перспективу, или, возможно, новое представление о обработке и защите персональных данных. В принципе, произошел отказ от строго формального и бюрократического понимания защиты персональных данных, как того требовало до сих пор действующее законодательство, но теперь основное внимание уделяется конкретному соблюдению правил и принципов защиты. Проще говоря, меньше бумаг и больше реальных действий: больше не требуется от всех разработки правил безопасности и защиты, предоставляемых для возможного контроля, но необходимо реально персональные данные защитить. Таким образом, бюрократия будет лимитирована, но только на первый взгляд, поскольку каждый обработчик данных (лицо, которое обрабатывает персональные данные) будет обязан продемонстрировать надзорным органам соблюдение процедур защиты в соответствии с постановлением. А как проще всего доказать это соблюдение обязанностей? Ну, конечно так, что обеспечим письменное подтверждение или письменный учет выполнения обязанностей. Однако нужно подчеркнуть, что только письменная запись недостаточна для демонстрации выполнении обязанностей, нужно реально выполнять то, что эта запись предусматривает.
В заключение можем только отметить, что вопреки тому, что разные «умные» компании пугают этим законом и предлагают за плату разработку принципов защиты и обеспечение ответственного лица, не нужно нового постановления пугаться, поскольку оно определяет только правила защиты, однако метод их реализации оставляет на усмотрение каждого лица с тем, что защита должна быть адекватной. То есть, вкратце: адекватным образом обеспечить (в зависимости от деятельности, объема обрабатываемых данных, средств и цели обработки), чтобы не могло произойти уничтожение данных без причины, злоупотребление ними или их утечка.
Продолжение следует…