Интернет вещей и Общий регламент по защите данных (GDPR): точки соприкосновения

Екатерина Некит

К.ю.н., доцент, доцент кафедры гражданского права

Национального университета «Одесская юридическая академия»

Одним из важнейших проблемных вопросов в сфере Интернета вещей сегодня является вопрос защиты персональных данных. С целью обеспечения защиты персональных данных в Европейском Союзе были разработаны новые правила обработки персональных данных и принят Общий регламент по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 года или GDPR - General Data Protection Regulation), который вступает в силу с мая 2018  года, после чего компании, которые нарушают правила обработки персональных данных рискуют быть привлеченными к ответственности с наложением штрафов в 20 000 000 евро или 4% годового дохода компании.

Основные принципы обработки персональных данных по GDPR таковы:

1) законность, справедливость и прозрачность: любую информацию о целях, методах и объемах обработки персональных данных следует выражать максимально доступно и просто; 

2) ограничение цели: данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией (онлайн-сервисом);

 3) минимизация данных: нельзя собирать личные данные в большем объеме, чем это необходимо для целей обработки; 

4) точность: личные данные, которые являются неточными, должны быть удалены или исправлены (по запросу пользователя);

5) ограничение хранения: личные данные должны храниться в форме, которая позволяет идентифицировать субъекта данных на срок не более, чем это необходимо для целей обработки; 

6) целостность и конфиденциальность: при обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения [1]. 

Важной для надлежащего развития Интернета вещей новацией, закрепленной в GDPR, являются так называемые дружественные для инноваций правила, согласно которым гарантии защиты данных в разрабатываемых продуктах и ​​услугах должны быть обеспечены на самых ранних стадиях развития, то есть еще на стадии проектирования.  Это правило называется Privacy by Design или Data Protection by Design. 

Основными принципами Privacy by Design являются:

1) превентивные меры, а не только устранение последствий: встраивание конфиденциальности в конструкцию системы должно быть активным, а не ограничиваться лишь мерами по устранению последствий.  Такой подход предполагает и предотвращает случаи нарушения конфиденциальности еще до того, как они происходят.  Иными словами, личная информация должна быть защищена до того, как система запущена в работу, а не после выявления нарушений конфиденциальности;

2) конфиденциальность как стандартная установка: Privacy by Design стремится достичь максимальной степени защиты личной информации, гарантируя, что персональные данные защищены автоматически в той или иной информационной системе или деловых отношениях.  Даже если индивидуум не предпринимает никаких мер, его личная информация остается надежно защищенной. Не требуется никаких действий со стороны индивидуума для защиты личной информации - система уже изначально содержит в себе необходимые установки; 

3) конфиденциальность как часть структуры: защита личной информации должна стать неотъемлемой частью архитектуры любой информационной системы или деловых отношений.  Это не какой-то дополнительный компонент, внесенный в систему пост-фактум; 

4) полная функциональность с суммарным положительным результатом: Privacy by Design не ищет поводов для ложной дихотомии, таких, например, как укрепление безопасности системы в противовес защите личной информации, демонстрируя, что можно обеспечить и то, и другое; 

5) защита личной информации в течение всего цикла ее сбора, хранения, обработки и уничтожения: конфиденциальность должна быть встроена в систему еще до начала сбора данных.  Более того, эта защита должна надежно распространяться на весь цикл хранения и обработки данных;  иными словами, сохранение данных имеет важное значение для конфиденциальности с момента запуска системы и до конца ее существования. Это гарантирует надежное хранение данных, а после окончания их использования - надежное и своевременное уничтожение;

6) доступность и открытость: все компоненты и операции остаются открытыми и доступными, как для пользователей, так и для тех, кто обеспечивает данный вид сервиса;

7) соблюдение конфиденциальности пользователей: система должна быть ориентирована на пользователя.  Это достигается такими мерами, как защита личной информации по умолчанию, своевременное сообщение о сборе личной информации, предоставление пользователю свободы выбора в удобной и понятной форме [2]. 

Кроме того, что приведенные положения по защите персональных данных стоят внимания украинского законодателя с целью обеспечения защиты персональных данных украинских граждан путем принятия аналогичного акта, необходимо помнить, что Регламент ЕС 2016/679 носит экстерриториальный характер, то есть применяется ко всем компаниям, обрабатывающим  персональные данные граждан и резидентов ЕС, независимо от места нахождения такой компании.

Источники:

1. GDPR – новые правила обработки персональных данных в Европе для международного IT-рынка.
2. Кавукиан Э. Privacy by Design: 7 основополагающих принципов.