С вступления в силу Всеобщей регулы защиты данных (ВРЗД) обработчики данных заметили, что ограничения стали строже. В чём противоречия между защитой личных данных и надзором за лицами? И как директива о предотвращении легализации преступно добытых средств (ДПЛПДС) может мирно сосуществовать с ВЗРД?
ВЗРД
1 была введена в мае этого года, чтобы устранить недостатки в правовых актах ЕС о личных данных. Теперь у пользователей больше прав, установленных законом, нарушение которых грозит предприятиям денежным штрафом до 20 миллионов евро или 4% от годового оборота.
В директивах и регулах обычно указывается их взаимная связь. В случае директивы выполнение регулы может создавать дополнительные сложности. Кроме того, эти правила действуют в правовом регулировании и местной судебной практике. В принципе конфликты не должны возникать, однако предприятия часто имеют обыкновение упоминать приватность как причину несоответствия качества оказания услуг или нарушений ДПЛПДС.
Важно помнить, что ДПЛПДС – директива, а ВРЗД – регула. Между этими двумя аспектами имеется существенное отличие. Директива позволяет странам ЕС ввести требования ДПЛПДС в свои национальные правовые акты, таким образом соблюдая основные требования ДПЛПДС, однако это не запрещает странам ЕС ввести более строгие требования.
С другой стороны, регула не позволяет странам ЕС транспонировать требования ВРЗД в свои национальные правовые акты, а вместо этого регула применяется единообразно во всём ЕС. Таким образом страны ЕС не могут делать изменения, хотя бы они были небольшими и правовые акты надо вводить в неизменном виде в национальные правовые акты. В результате этого защита данных в Латвии будет подобна защите данных в Германии или Франции.
Вот один пример, который чаще всего обманчив и заставляет вдуматься в соответствие регул и директив – введение регистров получателей истинной выгоды или скорее то, что им надо быть публичными.
Чтобы уменьшить риск ЛПДС, важно понять, кто является фактическим владельцем предприятия, т.е., кому принадлежит контрольный пакет акций или кто иначе контролирует руководство, занимает ведущие должности. Именно на эти аспекты опиралась Еврокомиссия, выступив в 2015 году с инициативой образовать центральные регистры с данными о конечных получателях выгоды на государственном уровне, после этого передавать эту информацию объединённому регистру Европы. Кроме того, получателями выгоды надо было признать тех, кому непосредственно или косвенно принадлежит более 25% долей основного капитала общества и которые в известной мере могут влиять на деятельность предприятия, в том числе на руководство высшего уровня. По усмотрению страны этот порог можно уменьшать согласно нормативным актам страны. Централизованный регистр введён основываясь на принципе «знай своего клиента», соблюдая международные стандарты и наилучшую практику.
Таким образом, теоретически информация об истинных получателях выгоды может быть доступна всем и каждому. Поэтому в новых предложенных изменениях ДПЛДПС предусмотрено, что страны ЕС обязаны обеспечить доступ к регистрам получателей выгоды только лицам, которые докажут законные интересы.
Страна ЕС со своей стороны может предусмотреть ограничение доступа ко всей информации или её части о фактических правах собственности в случае индивидуального предприятия, если её распространение может создать риск, например, жульничества, шантажа, похищения лица, насилия и запугивания, которые направлены против получателя выгоды. Кажется, что публичные регистры истинных получателей выгоды бесспорно помогут идентифицировать подозрительные финансовые деяния и предотвратят финансирование терроризма и другие преступные деяния, которые связаны с отмыванием денег.
Например, согласно статье 17 ВРЗД у лиц имеются новые «права удаления», которые называют также «правом стать забытым». Однако это – не абсолютные права, которые всегда надо будет соблюдать. Вообще говоря, если необходимо продолжать обрабатывать эти данные лица (например, потому, что имеется законная обязанность), то делать это можно. Однако каждое требование надо рассматривать по существу и, если решено не удалять данные даже тогда, если этого требует субъект данных, надо будет суметь обосновать, почему это не сделано.
Важно упомянуть, что роль государства в ВРЗД уменьшена до проверки доказательства согласия лица в случае, который делегирован специально образованному государственному учреждению – контролёру информации каждой страны ЕС. Если структура или лицо, которое собирает информацию о гражданах ЕС, не может предоставить существенные доказательства о ранее полученном согласии, тогда контролёр информации имеет право запретить эту деятельность.
Однако, если обработка данных лица, которую производят предприятия, попадает в сферу действия этой регулы, то в регуле надо предусмотреть возможность стран ЕС в особых случаях законом ограничить конкретные обязанности и права, если это ограничение необходимо в демократическом обществе и является соразмерным мероприятием, чтобы гарантировать защиту конкретных важных интересов, в том числе общественную безопасность и предотвращение преступных деяний, их расследование, раскрытие или призвание к ответственности за них, или исполнение уголовного наказания, в том числе охрану от угроз общественной безопасности и их предотвращение. Это важно, например, в связи с борьбой с ЛПДС.
Важен также принцип прозрачности, который обязывает предпринимателя подавать полную информацию лицам, права которых затронуты во время обработки данных лица. Наилучшей практикой может стать документ, который клиент подписал и подтвердил, что он проинформирован о том, что предприятие использует его личные данные и он, подписав документ, согласен с этим.
Большие предприятия главным образом должны создать систему, чтобы управлять личными данными, основываясь на системе соответствия. В рамках этого надо произвести следующие действия:
- разработать внутренние правила по защите и безопасности личных данных;
- оценить все риски и последствия, связанные с обработкой личных данных;
- обеспечить для работников регулярные учебные курсы, чтобы развивать навыки защиты личных данных;
- сохранять обширную документацию, в которой отражены как все действия по обработке данных, так и все возможные нарушения защиты личных данных.
В конце концов этим двум правовым актам надо будет взаимодействовать между собой, и поэтому в настоящий момент нам надо помочь ВРЗД правильно занять своё законное место, вводя ее и максимально идентифицируя недостатки.
__________________________
1 Регула Европарламента и Совета (ЕС) 2016/679 от 27 апреля 2016 года о защите физического лица в отношении обработки личных данных и свободном обороте этих данных и которой отменяется Директива 95/46/ЕК