Сегодняшняя статья получилась достаточно тяжелой для восприятия, тем ни менее оставляю как есть.
В ленте новостей BBC появилась статья о согласии Facebook изменить правила хранения личной информации. По результатам переговоров с канадскими властями Facebook взяли на себя обязательства доработать систему обработки данных граждан так, чтобы пользователи имели возможность полностью удалять свою личную информацию со всех серверов компании вместе с удалением личного аккаунта.
Поводом для всей этой работы стало заключение канадской комиссии по защите личной информации. Дело в том, что после деактивации аккаунта, Facebook хранит данные пользователей неопределенное количество времени. И такая практика, по мнению комиссии, противоречит канадскому законодательству: по закону этой страны частные сведения могут храниться в течение разумного времени, только если для этого существует необходимость.
Теперь личные данные всех пользователей Facebook в Канаде, да и во всем мире будут защищены значительно лучше! Аплодируем стоя канадцам ;-)
Возникает вопрос - почему канадцы?
Тут нужно вспомнить канадское законодательство в области privacy, в котором я пытался разобраться некоторое время назад.
Итак. В структуре регулирования деятельности по обработке персональных данных, канадцы пошли во многом путем США и создали очень сложную внутреннюю структуру законодательства с кучей нормативно-правовых актов. И вы знаете, в этом есть свои преимущества.
В недавней новости АРБ было заявление о необходимости создания отраслевых стандартов в области персональных данных. В немалой степени их необходимость обуславливается невозможностью дать универсальное трактование даже основополагающим определениям. Например, персональные данные, обрабатываемые интернет-магазином по своей сути и природе не похожи на персональные данные в страховой компании, т.к. «контекст» обработки принципиально иной. И в тоже время, название одно и тоже.
Что же сделали канадцы? Они дали короткую простую трактовку privacy: Privacy – это такая персональная информация, которая идентифицирует личность. А вот понимание идентифицирующая информация меняется от закона к закону, от штата к штату. Например, в:
1) Personal Health Information Protection Act (закон штата Онтарио) под идентифицирующей информацией понимается информация, которая идентифицирует лицо или которая может быть использована самостоятельно или с другой информацией для идентификации лица.
2) Protection of Personal Health Information (закон штата Ньюфаундленд и Лабрадор) под идентифицирующей информацией понимается информация, которая идентифицирует лицо или которая может быть использована самостоятельно или совместно с другой информацией для идентификации лица.
3) Protection of Personal Information Act (закон штата Нью-Брансуик) под идентифицирующей информацией понимается информация, по которой лицо может быть идентифицировано путем содержащейся информации, поскольку информация включает имя данного лица, делая личность человека очевидной или может сделать личность человека очевидной при определенных обстоятельствах в сочетании с другой информацией, которая включает в себя имя человека или информацию делающую личность человека очевидной. (трудно дался перевод, но смысл передан верно) и т.д.
Иными словами, под конкретный закон, под конкретную задачу создается свой набор основных понятий, или говоря точнее - трактовок этих понятий. С одной стороны в купе с прецедентным правом (характерным для англо-американской законодательной и судебной системы) это создает трудности, но с другой стороны вопрос не простой и упрощать его до жестких терминов и трактовок не практично.
А что тут воспевать-то — по сравнению с Евродирективой шесть или семь шагов назад.
В нашей стране абсолютно неприменимо. У нас локальное законодательство не настолько автономно.
Даже если заменить «штат» на «отрасль» возникают различные коллизии…
С другой стороны — конкретики конечно в нашем законодательстве в итоге меньше чем хотелось бы для «простого человека». И исполнение закона, который регуляторы оценивают, как относящегося к «7 млн. операторов», отданное «консультантам»… Мягко говоря — «неправильно это как-то».
С другой стороны. Почему-то в большинстве случаев все смотрят на «вершину айсберга» — банки, страховые компании и т.п., а ведь там все более-менее понятно, неясны только ряд моментов, не так много, как в других сферах.Интернет-торговля — там наоборот, слишком много непонятного чтобы вообще можно было пользоваться.
А есть ведь еще куча уже привычных вещей, которые при детальном рассмотрении массу вопросов вызывают.
Например. Газеты бесплатных объявлений. Всяческие «изруквруки», «моирекламы» и т.п. Есть там ПДн? По определению — безусловно, ведь номер телефона субъекта продающего подержаный тазик — относится к воплне определяемому лицу. Являются ПДн обезличенными? Ясного ответа нет, а ведь это принципиально важный вопрос,неблагоприятный ответ на который кореным образом меняет бизнес. Как быть с общедоступными архивами в сети?
Как быть с программами повышения лояльности ритейлеров? Их персональные дисконтные карты и т.п. ВУЗы наши, в большинстве из которых также практически полностью отсутсвует какое-либо понимание проблемы…
На всех интеграторов не хватит, а в существующей ситуации с НПА нет никакой возможности оператору разработать собственное непротиворечащее закону решение.
Есть еще масса подобных вопросов, и, на мой взгляд, ответом могут быть тольк конкретизирующие НПА. Причем разработанные с участием представителей рынка и операторов, а не только регуляторов. Можно посмотреть что со связью случилось. Регулятор разработал НПА, там где надзор на них глаза закрывал — как-то конкуренция существует. Там где жестко подходил к контролю — на рынке только монополии. Вот боюсь и здесь что-то подобное может случиться. Только нет пока у операторов ПДн ассоциации типа АДЭ, которая хоть как-то пыталась бы и их интересы отстаивать. Да и заботы о субъектах ПДн от регуляторов выглядят как-то уж очень «тяжеловесными»…
voldemar: «В нашей стране абсолютно неприменимо. У нас локальное законодательство не настолько автономно.»
Более того, Вас никто не призывает делать также? ;-)
Для России характерен Статусный характер права и сделать как в США, Канаде или Британии у нас никогда не получится.
Да в России «уточнение» понятия персональных данных нельзя проводить на уровне регионов. Однако в самом 152 ФЗ есть начало правильного пути. Каждой области, банкам, здравоохранению, образованию и тд. соответствует ФЗ. Если в эти ФЗ внесут поправки/разьяснения согласно 152 ФЗ, то для каждой уникальной области персональные данные будут определяться точно, просто и без лишних ограничений.
Для примера, тема, которую уже давно обсуждали. В школе у ученика берут о данные о нем, о его родителях. По 152 ФЗ данные школа может взять только с письменного согласия субъекта, либо его представителя в случае недееспособности субъекта. Ребенка нельзя считать недееспособным, однако и его подпись ничего стоить не будет (все должны подписывать родители). В данном случае без поправок в «Закон об образовании» получается тупик.
Майя Ольшанская: Почему нельзя считать недееспособным ребенка?
Вроде бы наш ГК считает что до 14 лет дети недееспособны, с 14 до 18 ограниченно дееспособны и только с 18 лет гражданин приобретает полную дееспособность? И что в законе об образовании обязывает сотрудников УО обрабатывать ПДн в нарушение 152 ФЗ?
Есть много отраслевых НПА (в т.ч. утверждающие формы справок, журналов и т.п.), в которые надо вносить изменения, но это задача ведомственная и, на мой взгляд, слабо относится к регулированию собственно.
А вот неопределенность терминологическая, как-то: «обезличивание», «уничтожение», «с использованием средств автоматизации» — ее устранять надо, причем на общефедеральном уровне. А то получится, что для банка ПДн обезличенные, а для его соседа страховщика — та же выбока уже — «и содержащая дополнительные сведения о субъекте».
это к статье отсыл. Цитата:
—
В недавней новости АРБ было заявление о необходимости создания отраслевых стандартов в области персональных данных. В немалой степени их необходимость обуславливается невозможностью дать универсальное трактование даже основополагающим определениям. Например, персональные данные, обрабатываемые интернет-магазином по своей сути и природе не похожи на персональные данные в страховой компании, т.к. «контекст» обработки принципиально иной. И в тоже время, название одно и тоже.
—
Природа и суть у ПДн одна — это информация о субъектах. Поэтому и название одинаковое :). Контекст может определять только формы и методы обработки, ну и непосредственно объемы и состав информации. И зачем разные стандарты для банков и интернет магазинов — мне не совсем понятно. Хочет банк или интернет-магазин обрабатывать информацию о состоянии моего здоровья — почему нужны требования разные? Или это из серии «кому-то информация «очень нужна , а кто-то «просто так интересуется»? Опять неочевидна необходимость разных требований.