Тамар Калдани, первый инспектор по защите персональных данных в Грузии, эксперт по персональным данным
Какую роль играет инспектор по персональным данным в Грузиии?
Независимый надзорный орган в области защиты персональных данных играет важную роль: без специального органа (инспектора по персональным данным) очень сложно внедрять соответствующее законодательство. Поскольку огромные массивы персональных данных находятся в руках как государства, так и частных организаций, должен быть тот, кто обеспечивает справедливый баланс между правами граждан и легитимными интересами государственных органов и частных компаний. Независимость и доверие к инспектору крайне важна, в том числе для того, чтобы частный сектор не воспринимал его как стандартный государственный надзор.
Закон о персональных данных в Грузии был принят в 2011 году, но о нем никто не знал до 2013 года, когда мы создали надзорный орган и начали применять закон и новые стандарты.
В функции инспектора входит:
- расследование нарушений в отношении персональных данных граждан;
- повышение осведомленности лиц, обрабатывающих персональные данные, через консультации и рекомендации по разным аспектам защиты и безопасности данных;
- повышение осведомленности граждан о важности защиты персональных данных и мер для самостоятельной защиты;
- в случае серьезных нарушений – наложение на государственные органы и частные компании штрафов и обязательств исправлять процессы и принимать превентивные меры.
Инспектор Грузии также обладает уникальными функциями надзора обработки персональных данных правоохранительными органами, в том числе при проведении скрытых следственных действий (например, при прослушке и сборе метаданных с мобильных сетей).
Конечно, Грузия не единственная страна, которая внедрила специальный надзорный орган, мы даже опоздали. Во многих европейских странах он действует еще с 1970-х годов, и эта волна распространилась на весь мир – более чем в 140 странах существует данная практика.
Все страны, где действуют хорошие законы о персональных данных и которые стремятся улучшить стандарты, создают отдельные органы по защите персональных данных граждан.
Например, в Украине эту функцию сейчас осуществляет омбудсмен по правам человека, но рассматривается идея разделения и создания органа, чьим основным вниманием будет защита персональных данных. Но самое главное для надзорного органа – необходимость иметь профессиональные и технические навыки и адекватные ресурсы для эффективного выполнения функций в высоко оцифрованной и технологической среде.
Кто занимает главную роль в принятии решений касательно персональных данных граждан?
В большей степени эта роль принадлежит государству, которое принимает законы и решения о том, как будет регулироваться обработка данных. Одна из целей регулирования заключается не в самом создании надзорного органа, но в создании эффективного органа с широкими полномочиями, достаточной независимостью и ресурсами защищать права граждан и мотивировать организации, занимающиеся обработкой данных, обеспечивать соблюдение закона.
Гражданское общество для меня как для инспектора всегда было партнером и влияющим фактором. Часто надзорные органы и гражданское общество встают на одну сторону в защите интересов граждан и вместе адвокатируют прогрессивные реформы.
Гражданское общество может актуализировать и поднимать вопросы защиты персональных данных, проводить мониторинг и обращать внимание граждан, парламента и государственных органов на те или иные моменты. Но если мы говорим о проверке и регулировании нарушений, то необходим именно специальный надзорный орган: организации гражданского общества не смогут получить доступ и профессионально и досконально проверить законность обработки данных. Есть и другие государственные органы, занимающиеся вопросами кибербезопасности или действиями криминального характера. Но кто, например, защищает гражданина от ситуаций незаконной обработки данных частным сектором, когда от компаний приходит много спама или
камеры видеонаблюдения используются не для безопасности и защиты собственности, а для наблюдения за поведением сотрудников?
В Грузии это регулирование прописано в законе о персональных данных и занимается им как раз Служба Государственного инспектора, которая используют современные подходы для решения проблем.
Когда мы говорим о персональных данных, как должна строиться эффективная коммуникация между правительством и гражданами?
Доверие граждан очень важно и для государственных органов, и для частного сектора. Обработка персональных данных должна быть основана на легитимных целях, граждане должны о них знать изначально. Если появляются новые цели, обработчик должен взять дополнительное согласие.
Кроме того, государство должно рассказать, к каким позитивным результатам приведет создание новых баз данных или систем и какие меры защиты и безопасности оно предпринимает. Это особенно важно при сборе и обработке таких сенситивных данных, как биометрические и генетические, потому что они уникальны и остаются с человеком навсегда.
Поэтому, когда происходят изменения в законах, связанных с персональными данными, важно, чтобы граждане изначально понимали всю систему и могли участвовать в принятии решений, задавать вопросы и получать информацию, которая повысит их доверие к разным системам.
Так как именно мы, граждане, являемся владельцами наших персональных данных, у нас есть право на информационное самоопределение – то есть граждане сами решают, кому какие данные и для каких целей предоставлять.
Какова роль бизнес-структур и их ответственность за использование и потерю персональных данных?
Государственному и частному сектору часто не хочется сообщать о нарушениях, потому что это влияет на репутацию или на финансы, на стоимость акций компаний. Кто-то должен принять решение и указать, если риски перевешивают интерес обработчика. Речь не идет о мелких неполадках, скорее об утечке и потере данных, когда данные были скомпрометированы, и это влияет на безопасность и фундаментальные права граждан. Должен быть орган, который будет сообщать о таких нарушениях.
В основном законы о персональных данных предусматривают ответственность за нарушения в виде санкций, административного предупреждения, финансовых штрафов. В Европе штрафы достигают 40 миллионов евро, но при определении мер наказания GDPR советует принимать во внимание все факторы, смягчающие и отягчающие обстоятельства, степень риска и последствия для граждан. В Грузии мы инициировали поправки о повышении стоимости штрафов, потому что если бизнесу такие нарушения обходятся дешево, у него нет мотивации инвестировать в безопасность и защиту персональных данных.
Какая ответственность у НПО по сбору и использованию персональных данных граждан? Должны ли быть отдельные меры регулирования НПО в случае сбора и утери персональных данных?
В основном неправительственные организации тоже являются обработчиком данных, они должны соблюдать закон, международные стандарты. В моей практике мы провели много тренингов именно для НПО, которые предлагают услуги разным группам.
Например, организации, оказывающие юридическую помощь, имеют доступ к сенситивным данным, и Служба Государственного инспектора помогает им внедрять разные меры, процедуры и политику безопасности.
Вторжение таргетированной рекламы в частную жизнь человека.
Конечно, таргетированная реклама и современные маркетинговые стратегии вторгаются в частную жизнь. Если у меня не было возможности выразить свое согласие на обработку моих персональных данных и получение сообщений или звонков от разных компаний, то это нарушение. Важно, чтобы реклама была подписана и мы могли от нее отказаться. И та компания, которая принимает решение по обработке персональных данных и определяет цели и методы, должна нести ответственность в независимости от того, сама она занимается распространением рекламы или нанимает другую компанию.
О таргетированной рекламе в Facebook (на данный момент META Group): есть случаи штрафов со стороны европейских надзорных органов, потому что GDPR имеет влияние в том числе на компании, которые предлагают услуги гражданам ЕС, не будучи зарегистрированными на территории союза. В соцсетях и Интернете мы получаем таргетированную рекламу с помощью алгоритмов профилирования, которые позволяют наблюдать за нашими действиями и делают выводы о наших интересах.Также важно учитывать, что один и тот же компьютер или телефон могут использовать дети и родители совместно, так что в этом плане встает вопрос и защиты прав детей. У граждан есть разные права, в том числе право не быть объектом автоматических решений. Например, если с помощью только автоматической обработки данных страховые компании будут принимать решение о том, кого страховать, а кого – нет, или медицинские учреждения о том, кому предлагать медицинские услуги и по какой цене, это неправильная обработка данных. Профилирование – большая проблема во всем мире, и надзорные органы должны проверять неправильные методы и практики. Когда алгоритм принимает решение и отказывает мне в предоставлении услуг, у меня должно быть право запросить участие человека в разбирательстве.
Защита персональных данных детей
Когда обрабатываются данные детей, главное требование – чтобы их интересы всегда были учтены любым обработчиком (государством, частными компаниями, большими сетевыми организациями). Второе: когда дети самостоятельно используют сервисы, они должны сами понимать, на что соглашаются, и для этого информация должна быть прописана понятным для них языком. Если они не в том возрасте, чтобы самим принимать самостоятельное решение, согласие должны дать законные представители. Зачастую инспектор может потребовать блокировку данных в ускоренные сроки, если дело касается данных о ребенке.