Приватность и персональные данные
Работа с данными
Как член Евросоюза, Латвия следует требованиям, установленным Общим регламентом по защите персональных данных Европейского союза (GDPR).
Операторы персональных данных – те, кто организуют или осуществляют сбор, хранение и обработку персональных данных, или же определяют ее цели и содержание. В Латвии они обязаны соблюдать требования закона "О защите данных" (Datu aizsardzības likums) и Общий регламент по защите данных (GDPR).
Основные требования этих законов включают:
- Законную, справедливую и обоснованную обработку данных;
- Соблюдение принципа прозрачности (не усложненного доступа пользователей к информации об обработке их персональных данных), и минимизацию собираемых данных;
- Сообщение о нарушении данных в течение 72 часов в случае утечки в Государственную инспекцию по защите данных в Латвии (DVI) ;
- Ведение регистров обработки данных с указанием цели обработки, категорий данных, субъектов данных и мер безопасности;
- Назначение ответственного за защиту данных (DPO, Data Protection Officer) в определенных организациях;
- Дополнительные обязательства для государственных и муниципальных учреждений, включая обучение сотрудников и назначение ответственных за защиту данных.
«Право на забвение»
Право на забвение — это возможность человека попросить удалить его личные данные из интернета или других баз данных, если эти данные больше не нужны или используются неправильно. Например, если информация устарела, была опубликована без согласия, или вы больше не хотите, чтобы её хранили.
«Право на забвение» в Латвии применяется в соответствии с GDPR. Это значит, что операторы персональных данных обязаны удалять данные по запросу субъекта данных, если отсутствует правовое основание для их дальнейшего хранения или обработки.
Вы, как субъект данных, можете попросить оператора удалить свои данные при определенных обстоятельствах, он будет обязан это сделать. Но эти обстоятельства ограничены: например, когда обработка данных была основана на согласии, согласие было отозвано, и для обработки данных больше нет оснований. Даже если такое право «на забвение» используется, есть ряд исключений; например, если есть юридическое обязательство хранить данные.
Государственная инспекция по защите данных в Латвии (DVI) контролирует соблюдение этого права и может предписать удаление данных даже без согласия оператора.
Трансграничная передача данных
Внутри ЕС передача данных не требует специальных разрешений или дополнительных условий, нужно только соблюдать общие требования GDPR:
- получение согласия субъекта данных
- соблюдение целей обработки данных
- минимизацию данных
- прозрачность, безопасность, и другие.
Если передача данных происходит на территорию иностранного государства (вне ЕС и Европейской экономической зоны), то должно быть решение о соответствии (adequacy decision): это когда европейская комиссия приняла решение, что в этой стране обеспечивается адекватный уровень защиты данных. Среди таких стран, например, Аргентина, Канада, Израиль, Новая Зеландия, Великобритания, Соединенные Штаты, и другие.
В случае со странами, в отношение которых такого решения нет, передача данных возможна, если обеспечены адекватные гарантии, такие, как обязательные корпоративные правила (BCRs), стандартные договорные положения (SCCs), и другие кодексы и сертификации.
Третий вариант, при котором можно передавать данные в другие страны – это исключительные, разовые и несистематические случаи. Они бывают такие:
- когда передача данных осуществляется с явного согласия субъекта данных,
- когда она необходима для выполнения контракта с субъектом данных или в его интересах,
- когда она необходима или законно требуется на основании важных общественных интересов или для судебных исков,
- когда она необходима для защиты жизненно важных интересов субъекта данных,
- когда она осуществляется из публичного реестра,
- или когда осуществляется в соответствии с так называемым незначительным освобождением от передачи.
Например, туристические агентства могут передавать данные своих клиентов гостиницам или партнерам, которые помогают в организации отдыха за границей страны, потому что это обязательно для выполнения договора между турагентом и клиентом.
Европейский совет по защите данных выпустил Руководство по взаимодействию между Статьей 3 GDPR (о территориальных сферах действия GDPR) и международными передачами данных (2/2018), чтобы помочь разобраться в исключительных случаях.
Безопасность веб-сайтов и мобильных приложений
В Латвии есть обязательные требования по информационной безопасности для веб-сайтов и мобильных приложений, и они регулируются различными законодательными актами и нормативными документами. Эти требования существуют для того, чтобы защищать персональные данных, обеспечивать кибербезопасность и предотвращать инциденты, связанные с информационной безопасностью.
Здесь применяются нормы GDPR, которые устанавливают строгие требования по защите персональных данных. Это включает обязательства по обеспечению безопасности данных, которые обрабатываются веб-ресурсами и мобильными приложениями (статьи 5, 24, 25, 32).
2) Закон о кибербезопасности Латвии Informācijas tehnoloģiju drošības likums устанавливает требования к обеспечению безопасности информационных систем и сетей, в том числе для публичных и частных организаций. Он включает требования по предотвращению кибератак, реагированию на инциденты и обеспечению непрерывности работы.
В разделе 8 этого закона есть следующее обязательство для ответственного лица:
- организовать управление безопасностью информационных технологий органа власти;
- не реже одного раза в год проводить проверку безопасности информационных технологий и по ее результатам организовывать устранение выявленных недостатков;
- не реже одного раза в год посещать тренинги, организуемые Институтом реагирования на инциденты безопасности по вопросам безопасности информационных технологий;
- не реже одного раза в год проводить инструктаж сотрудников органа по вопросам безопасности информационных технологий.
Закон о цифровых услугах (Digital Services Act, DSA) описывает обязательные требования к информационной безопасности веб-сервисов, в том числе к управлению рисками. Онлайн-платформы, и особенно – крупные, должны предпринимать меры для выявления, анализа и снижения рисков, связанных с информационной безопасностью. Этот закон описывает технические, организационные меры и планы действий при инцидентах, которые должны знать и соблюдать все местные организации. В стране действует Институт реагирования на инциденты безопасности информационных технологий Латвии (CERT.LV), он способствует обеспечению безопасности информационных технологий в стране.
Правила и сроки хранения данных
В правилах GDPR говорится, что персональные данные должны храниться в такой форме, которая позволяет идентифицировать субъектов данных только до тех пор, пока это нужно для целей обработки. Дольше, чем этот срок, такие данные храняться только тогда, когда используются:
- в архивных целях
- в общественных интересах
- в целях научных и исторических исследований.
И даже в этих случаях это возможно только тогда, когда организованы правильные технические и организационные меры хранения.
Данные, которые нужны для выполнения налоговых или бухгалтерских обязательств, нужно хранить столько, сколько отмерено по законодательству, в Латвии это 10 лет согласно закону о бухгалтерском учете. Персональные данные сотрудников хранятся столько, сколько положено по трудовому законодательству.
Если персональные данные используются для подтверждения исполнения договора, их нужно хранить до истечения срока давности, в течение которого могут предъявлять претензии.
Раскрытие персональных данных по запросам госорганов
Персональные данные могут быть раскрыты госорганам и правоохранительным органам, если есть законное основание – например, письменный запрос или судебное постановление.
Раскрытие и обработка данных должны соответствовать правовым основаниям (например, обеспечение национальной безопасности, предотвращение преступлений). Их устанавливают Закон об услугах информационного общества и GDPR.
Раскрытие персональных данных по запросам частных лиц
Если с просьбой о раскрытии персональных данных обращаются частные лица – например, адвокаты и нотариусы, они должны предоставить письменный запрос с указанием цели и правового основания. Таким основанием может быть согласие пользователя или судебное решение. Журналисты могут запрашивать данные в рамках журналистских расследований, если запрос оправдан общественным интересом. Все такие запросы проверяются на законность оператором данных. Это регулируется Законом об услугах информационного общества и GDPR.
Ответственность за нарушение закона о персональных данных
За нарушение закона о защите данных предусмотрена административная (Ст. 38 Закона о защите данных Datu aizsardzības likums) и уголовная ответственность (Уголовный закон Латвии, ст 145). Государственная инспекция по защите данных может наложить штрафы до 10 миллионов евро, или 2% от мирового годового оборота компании, за незначительные нарушения, и до 20 миллионов евро или 4% за серьезные нарушения
Видеонаблюдение
В Латвии есть камеры видеонаблюдения в общественных и в частных местах – на улицах, в зданиях, торговых центрах, паркингах, в других общественные местах. Использование камер наблюдения имеет определенные ограничения и правила, регулирующие их применение. Видеонаблюдение считается обработкой данных автоматизированными средствами в соответствии с GDPR, и поэтому здесь действуют основные принципы этого регламента: законность, справедливость и прозрачность, ограничение целей и хранения, минимизация данных, безопасность, право на доступ к данным, оповещение о съемке.
Закон о полиции (Policijas likums) регулирует использование видеонаблюдения в общественных местах для предотвращения преступлений и обеспечения общественного порядка. В соответствии со статьей 12 этого закона, полиция имеет право использовать технические средства для наблюдения и документирования, но при этом обязана соблюдать права человека и свободы граждан. Запрещено использовать видеонаблюдение для целей, которые могут нарушать права и свободы людей, например, для незаконной слежки или дискриминации.
96 статья Конституции Латвийской Республики (Satversme) гарантирует право на частную жизнь, неприкосновенность жилища и корреспонденции, и использование видеонаблюдения не должно нарушать эти права граждан.
Шпионское ПО
В Уголовном законе Латвии существует статья 237.1 о «Нарушении условий оборота товаров стратегического назначения». Она предусматривает наказание за наличие у человека разного рода шпионского оборудования или ПО. Шпионское ПО (Spyware) — это вредоносная программа, которая тайно устанавливается на компьютер, смартфон или планшет, чтобы собирать данные о владельце без его разрешения. Такие программы могут передавать информацию злоумышленникам. Поэтому в стране стоит внимательно относиться в товарам стратегического назначения или двойного назначения, в том числе и к программному обеспечению. Чтобы разобраться в этих правилах, можно руководствоваться Правилами о Национальном перечне стратегически важных товаров и услуг.