В отношении обработки данных физических лиц политические партии не являются исключением и обязаны при этом соблюдать требования Общего регламента о защите данных (ОРЗД) в том же объеме, что и любой другой администратор данных. Примечательно, что именно в предвыборный период Государственная инспекция данных выпустила новое руководство по обработке данных физических лиц перед выборами. Свидетельствует ли это о том, что надзорное учреждение будет усиленно оценивать выполнение партиями требований ОРЗД? В данной статье – о том, какие меры нужно принять партии, чтобы обеспечить процедуру обработки данных, соответствующую ОРЗД.

Заглянув на официальные домашние страницы политических партий, почти на каждой можно найти недочеты и несоответствия (не указана информация о соблюдении прав субъектов данных, предусмотренных ОРЗД, обработка cookie-файлов осуществляется без юридического основания и др.).

Поскольку кандидаты и члены многих политических партий происходят из среды предпринимательства, мы хотели бы напомнить ряд существенных вещей, на которые партиям нужно обратить внимание при обработке данных физических лиц в предвыборный период.

Есть ли соответствующее уведомление о конфиденциальности?

В опубликованном на домашней странице партии уведомлении о конфиденциальности необходимо указать права субъектов данных, предусмотренные статьями 13 и 14 ОРЗД, а также суметь их реализовать, если того потребует субъект данных. Один лишь факт составления уведомления о конфиденциальности еще не означает, что оно соответствует требованиям ОРЗД, поэтому нужно проследить за тем, чтобы уведомление было понятным, наглядным и адресованным определенной целевой аудитории, а также содержало четкое описание целей обработки данных.

Имеется ли юридическое основание для обработки данных?

Для каждой цели обработки данных необходимо определить юридическое основание, которое также должно быть указано в уведомлении о конфиденциальности. Одно лишь категорическое утверждение в уведомлении конфиденциальности о том, что осуществляемая партией обработка данных является законной, еще не означает, что для этого есть юридическое основание. При определении юридического основания партии нужно быть особенно внимательной – подробно разъяснить его в своем уведомлении о конфиденциальности (например, обращение к идентифицируемому избирателю, предоставление БПБК сведений об уплате членских взносов, обработка cookie-файлов на домашней странице партии, хранение полученных персональных данных в облачном хранилище). Для каждого действия по обработке данных следует определить наиболее соответствующее юридическое основание обработки данных.

Получено ли надлежащее согласие субъекта данных?

Согласие субъекта данных должно быть свободным, конкретным и недвусмысленным, его нельзя включать в тексты бланков, а также неправильно включать галочки о согласии в заранее отмеченные поля – галочки о согласии с конкретным действием по обработке данных ставит сам субъект данных. Ни в коем случае нельзя оказывать давление на избирателя, вынуждая его поделиться своими данными, например, телефонным звонком или сообщением идентифицируемому лицу в социальных сетях с просьбой предоставить свои данные (адрес электронной почты, почтовый адрес или номер телефона) для последующей отправки коммерческих уведомлений. Это означает запрет на обращение к субъекту данных, если партия предварительно не получила от него ясное и недвусмысленное согласие, свидетельствующее о том, что данное лицо желает узнать о конкретном предложении.

Профилирование, политическая реклама и агитация

Нередко партии получают персональные данные от третьих лиц, например от посредников, чтобы отправлять конкретной аудитории сообщения для достижения целей избирательной кампании. Сведения о политических убеждениях также можно вывести из анализа размещенных в различных источниках персональных данных, даже если эти данные не связаны с политикой, – оценив поведение лица или выполнив другие наблюдения (например, картинки, комментарии, записи в социальных сетях). Об использовании таких данных посредников партия обязана уведомить субъекта данных, включив соответствующую информацию в уведомление о конфиденциальности согласно статье 14 ОРЗД. Также важно, чтобы перед использованием таких данных посредников партии провели проверку с целью убедиться в законности получения данных.

Если партия осуществляет профилирование, то и об этом действии по обработке данных нужно уведомить субъекта данных в политике конфиденциальности и суметь выполнить запрос субъекта данных, если он пожелает отказаться от профилирования.

Внедрены ли соответствующие технические решения и организационные мероприятия?

Несмотря на то что ОРЗД позволяет администратору данных определять, какие меры или решения вводить в действие, чтобы обеспечить соответствие обработки данных требованиям ОРЗД, данное разрешение все же существенно не облегчает работу администратора, который сам должен оценить уровень безопасности и соответствие обработки данных, осуществляемой партией, и достаточность принятых мер. При этом партия должна суметь наглядно доказать, что внедрены соответствующие технические решения, разработана соответствующая документация и обучены члены партии.

Если партия пользуется сторонними услугами, перед началом такого сотрудничества она должна определить, нужно ли заключать договор об обработке данных в рамках конкретной услуги, или, например, при отправке данных за пределы ЕС/ЕЭЗ оценить, какие гарантии будет внедрять партия, чтобы обеспечить соответствие ОРЗД.

Напоминаем, что партии, помимо прочего, обязаны соблюдать принцип подотчетности (accountability), из которого следуют две основные обязанности: обязанность обеспечить соблюдение требований ОРЗД и способность это доказать. Это означает, что администратор обязан письменно документировать все правила и решения, связанные с защитой данных.

Следует признать, что единого перечня документов по защите данных, которые необходимо составить, чтобы доказать соблюдение требований ОРЗД, не существует. Поэтому партиям нужно оценить, достаточно ли у них знаний в области защиты данных, не совершаются ли такие действия по обработке, к которым применяется статья 37 ОРЗД об обязательном назначении специалиста по защите данных или регистрации действий по обработке, и не обязан ли администратор разработать специфические документы по защите данных, следующие из положений ОРЗД.

С учетом вышеизложенного, если у партии возникнут сомнения или вопросы об осуществляемой ею обработке персональных данных, приглашаем проконсультироваться со специалистами по обработке данных.