Почему защита личных данных не мешает открытию публичных реестров — основные вопросы и мифы

Почему защита приватности не мешает открытию публичных реестров, и какие проблемные моменты стоит учитывать при использовании открытых данных, в колонке для AIN.UA рассказала команда специалистов по защите персональных данных в ЕС Privacy HUB — Денис Иванов, Влад Некрутенко, Артем Кобрин и Дмитрий Корчинський.

За последние годы Украина заняла одно из лидирующих мест по уровню открытости публичных реестров, что является результатом длительной совместной работы как публичного, так и частного сектора. Параллельно с открытием реестров, в Украине также ведется работа по реформе защиты персональных данных по образцу европейского законодательства, хорошо известного как General Data Protection Regulation (GDPR).

Возникла дилемма: с одной стороны — открытые реестры во многих случаях содержат имена, контакты и другую информацию о физических лицах, с другой — законодательство о защите персональных данных ограничивает возможности сбора и обработки такой информации.

Когда публичные реестры содержат персональные данные

Первое, что важно понимать — защита персональных данных касается не всех открытых государственных реестров. Законодательство о защите персональных данных регулирует использование информации только о человеке, что включает, например, информацию о физическом лице-предпринимателе, но не касается информации о юридическом лице или о статистических данных.

На основе данных Единого Государственного Реестра, персональными данными будут имя, адрес, контакты и любая другая информация о ФОП. Персональными будут также данные учредителей/директоров юридического лица, которые тоже можно собрать из реестра.

Миф 1:

После публикации в открытый доступ персональные данные перестают защищаться. Это не так. Публикация данных в открытый доступ дает больше возможностей по их обработке, но не освобождает от режима защиты персональных данных. Такой позиции придерживается и Европейский Союз в своем мнении о соотношении открытых и персональных данных.

Читайте статтю: IP-адреси кінцевих користувачів веб-сайтів як персональні дані. Українські реалії

Кто в ответе за обработку данных из открытых реестров

В регулировании защиты персональных данных существует две роли: контролер (укр. володілець) и процессор (укр. розпорядник) персональных данных. Контролер — это организация, которая принимает решение о публикации персональных данных или их сборе с открытых реестров.

При работе с открытыми реестрами можно выделить две основные группы контролеров:

• Распорядитель открытых данных (укр. «розпорядник відкритих данних») — орган власти, предприятие или другое лицо, которое принимает решение о публикации открытых данных;
• Сервисы, использующие публичную информацию/открытые данные для постройки сервисов на их основе.

Процессор персональных данных, в свою очередь, является подрядчиком контролера, который обрабатывает данные по поручению и в интересах контролера. Такими процессорами могут быть облачный провайдер, хранящий данные компаний, или служба тех. поддержки, помогающая пользователям сервиса клиента.

Важно — не перепутать «розпорядника публічної інформації» и «розпорядника персональних даних» (процессора). Из-за проблем с терминологией в украинском законодательстве, «розпорядник публічної інформації» — это «володілець» (контролер) в понимании защиты персональных данных, так как он принимает решение о публикации персональных данных. «Розпорядником персональних данних» будет только та компания, которая выполняет задания контролера.

За что отвечает распорядитель публичной информации

Распорядитель публичной информации, которая включает персональные данные, будет считаться контролером персональных данных, и любая обработка (сбор, публикация, редактирование, передача) должна будет соответствовать законодательству о защите персональных данных. Остановимся на основных моментах.

Цели и основания для обработки

В первую очередь, любой контролёр персональных данных должен определить юридическое основание и цели, для которых он проводит обработку. Для распорядителей публичной информации, как правило, всё просто – они публикуют данные, потому что этого требует закон. Как Европейский GDPR (п. «e» ч. 1 ст. 6), так и Закон Украины «О защите персональных данных» (п. 2 ч. 1 ст. 11) позволяют обрабатывать персональные данные по требованиям законодательства.

Когда распорядитель должен самостоятельно решить, публиковать ли данные в открытый доступ, обработка попадает под выполнение задания в общественных интересах (п.5 ч.1 ст.11 ЗУ «О защите персональных данных»). Такие ситуации требуют от распорядителя проведения трехступенчатого теста:

• существует ли частный интерес в защите информации? В данном случае частный интерес человека будет в защите персональных данных;
• может ли публикация информации навредить частному интересу в защите персональных данных?
• если да, то перевешивает ли общественный интерес публикации частный интерес человека?

Путем проведения теста сохраняется баланс между защитой персональных данных и публикацией информации в открытый доступ, что и позволяет работать с информацией о физических лицах.

Лицензионные условия

Защита персональных данных в Украине и ЕС строится на принципе целевого ограничения: если адрес человека опубликовали для проверки достоверности его информации, то в целях почтового маркетинга или продажи данных его использовать без согласия такого человека нельзя. Поэтому важный элемент на стадии публикации открытых данных — зафиксировать в законе или решении распорядителя цели и условия дальнейшей обработки публичной информации.

Зафиксированные условия послужат правовым полем для работы сервисов с данными. Отдельные страны, как Великобритания (вторая страна в мире по открытости), идут дальше и создают лицензионные условия по использованию публичной информации — например, UK Open Government License.

В таких случаях пользование данными схоже с «Terms of Use» на обычном веб-сайте — либо соответствуй правилам, либо не пользуйся нашими услугами. Такой метод особенно эффективен, когда информации нужны дополнительные условия защиты.

Читайте статью: Как работает прослушка мобильных телефонов и как от нее защититься

За что отвечает сервис, работающий на открытых данных

Миф 2:

Законы о защите приватности запрещают публиковать или использовать информацию о человеке из открытого доступа. Если бы это было правдой, зачем публиковать данные в машиночитаемом виде? Право на приватность — не абсолютное право, и в данном случае оно ограничивается публичным интересом в открытости информации, общественным правом на информацию.

Сервис, который работает с открытыми данными, будет отвечать только за обработку данных, которые берет из открытого доступа. Например, компания принимает решение парсить данные из ЕГР через API или форматирует опубликованные данные и размещает их в удобной для восприятия форме.

Каждое из таких действий подпадает под определение обработки персональных данных и требует соблюдать законодательство по защите персональных данных. Ниже мы остановимся на основных моментах, которые должен соблюдать такой сервис.

Совместимость с целями публикации данных

Цель обработки данных сервисом должна быть совместимой с целью, определенной в законе или решении распорядителя публичной информацией. Например, данные из Единого Государственного Реестра позволяют проверить компанию, в том числе данные о директоре, которые являются персональными данными.

Если сервис использует данные для такой же или близкой цели, то обработка будет совместимой с целью, в которой опубликовали персональные данные. В то же время, нельзя взять данные из ЕГР и заняться спам рассылкой, поскольку это не будет совместимо с изначальной целью публикации.

Основанием для обработки для данных сервисов будет их легитимные (законные) интересы (п. «f» ч. 1 ст. 6 GDPR, п.6 ч.1 ст. 11 ЗУ). Для использования законных интересов требуется:

• Определить интерес — коммерческие, индивидуальные или общественные цели в обработке публичной информации.
• Обработка должна быть «необходима» для достижения поставленного интереса.
• Самое главное — сбалансировать законный интерес с интересами, правами и свободами человека. Чем более публичное лицо, информацию о ком обрабатывают, тем больше баланс будет смещен в сторону общественного интереса. Например, коррупционер не сможет запретить публикацию и распространение достоверной информации о себе, поскольку будет перевешивать общественный интерес.

Более того, если данные уже находятся в общем доступе, это дает более широкое поле для интересов, в которых сервис может обрабатывать информацию.

Читайте статью: Право на забвение: можно ли добиться изъятия из Интернета нежелательных данных о себе

Privacy Notice

Каждый сервис который обрабатывает персональные данные обязан проинформировать человека об обработке его данных. Зачастую right to be informed реализуется через Privacy Notice (Политику Приватности), которую размещают на сайте, а также через рассылку по контактным данным человека, о котором обрабатывается информация.

Главной целью политики является соблюдение принципа прозрачной обработки данных. В тексте политики важно указать наименование и контактные данные сервиса, категории обрабатываемых данных, цели обработки и правовые основания обработки и права пользователя. Есть и другие требования, которые варьируются в зависимости от особенностей сервиса и юрисдикции.

Чтобы политика была по-настоящему хорошей, нужно исходить не только из требований законодательства, но и из ожиданий пользователя. Представьте себя на месте человека, который ничего не знает о вашем сервисе. Ему нужно объяснить весь процесс сбора и обработки его данных, в том числе и тех, которые берутся из открытых источников.

Составляя качественную Политику Приватности, компания не только идёт навстречу своему пользователю, но и обезопасит себя от возможных рисков, связанных с нарушением права человека быть проинформированным.

Право на забвение и другие права: ничто не абсолютно

Миф 3:

При получении запроса на удаление данных вы обязаны, несмотря ни на что, удалить эти данные. Как и в случае с правом на приватность, право на забвение не является абсолютным.

Есть несколько сценариев, когда контролёр может отказать в запросе на удаление. Один из примеров, когда данные можно продолжать обрабатывать — информация нужна для осуществления права на свободу выражения мнения и свободу информации.

Аналогично, сервис вправе отказать в удалении, когда обработка выполняется для соответствия нормам законодательства. Если сервис получил запрос на удаление данных, но у него есть основание для отказа, он должен сообщить об этом пользователю. Игнорирование запроса дает пользователю основание для других претензий против контролера.

К слову, чтобы минимизировать шанс появления претензий, сервис обязан хранить данные в актуальном виде. Данные должны, насколько это возможно, синхронизироваться с публичным реестром, чтобы сервис не размещал у себя неточную или устаревшую информацию, ведь публикация неточной информации является нарушением законодательства о защите персональных данных.

Читайте статью: 6 советов от юриста по защите авторских прав в Интернете

Защита информации

Порой компании не считают важным вкладываться в защиту своих процессов по обработке персональных данных. Законодатель решил этот вопрос радикально — обязал всех, кто обрабатывает персональные данные «принимать разумные организационные и технические меры по защите данных». Появляется вполне логический вопрос: «Почему сервис должен обеспечить защиту данных, которые и так находятся в открытом доступе?».

Представим ситуацию. На сервер компании, которая обрабатывает открытые данные, произошла хакерская атака. Хакеры заменили актуальные контактные детали на мошеннические. Компания не заметила подмены и продолжает делать анализ, основываясь на неактуальной информации.

Физические лица пишут жалобы на компанию за публикацию ложной информации, СМИ освещают ее в негативном свете. В результате компания терпит финансовые и репутационные потери. Такой ситуации можно избежать, если вложить ресурсы в техническую защиту информации.

Это — только одна тысяч ситуаций, которая может произойти потенциально. Для сервиса важно проработать все потенциальные угрозы и найти меры по их предотвращению. Помимо этого нужно разработать план минимизации урона на случай, если предотвратить угрозу не удалось.

Вывод

Американский ученый и писатель Девид Брин писал: «Всякий раз, когда возникает конфликт между приватностью и ответственностью, люди требуют первого для себя, а второго — для всех остальных.»

Фраза ученого как нельзя точно отображает, что баланс между открытостью и приватностью не должен быть игрой с нулевой суммой. Открытость государственных реестров крайне важна, и украинские наработки реально сохранить и после реформы защиты персональных данных.

В той же мере важна и обратная сторона медали: общественный интерес не всегда перевешивает частное право на приватность человека. Задание государства и сервисов, работающих на открытых данных — убедиться, что открытость данных не будет неоправданно вредить правам, интересам и репутации обычных людей.

Авторы статьи: Денис Иванов, Влад Некрутенко, Артем Кобрин и Дмитрий Корчинский