Приватность и персональные данные
Работа с данными
Как член Евросоюза, Португалия следует требованиям, установленным Общим регламентом по защите персональных данных Европейского союза (GDPR). GDPR здесь соблюдают строго, основной орган, который контролирует соблюдение всех правил и законов – это Национальная комиссия по защите данных (CNPD).
Среди основных положений GDPR:
- обработка персональных данных возможна только с согласия субъекта персональных данных, с некоторыми исключениями;
- персональные данные должны использоваться только для реализации поставленных целей;
- для обработки "специальных" категорий персональных данных, таких, как биометрия, должны быть обеспечены специальные условия;
- закрепляется право субъекта знать, какие его данные и как именно обрабатываются;
- закрепляются права на удаление и исправление неточных данных;
- необходимо соблюдение принципа прозрачности (не усложненный доступ пользователей к информации об обработке их персональных данных);
- обеспечение безопасности хранения данных, и прочее.
Еще в Португалии действует национальное законодательство – Закон о защите данных Lei n.º 58/2019, в основном он регулирует то, как в стране исполняется GDPR.
«Право на забвение»
Субъект данных может попросить удалить свои данные при определенных обстоятельствах. Это значит, что если вы хотите удалить информацию о себе, используя так называемое «право на забвение» (которое есть в России), в Португалии возможно это сделать, но только при определенных обстоятельствах. Эти обстоятельства ограничены: например, когда обработка данных была основана на согласии, согласие было отозвано, и для обработки данных больше нет оснований.
Но даже если такое право «на забвение» возникает, существует ряд исключений; например, если есть юридическое обязательство хранить данные.
Все эти требования аналогичны требованиям GDPR.
Трансграничная передача данных
Внутри ЕС передача данных не требует специальных разрешений или дополнительных условий, нужно только соблюдать общие требования GDPR:
- получение согласия субъекта данных
- соблюдение целей обработки данных
- минимизацию данных
- прозрачность, безопасность, и другие.
Если передача данных происходит на территорию иностранного государства (вне ЕС и Европейской экономической зоны), то должно быть либо решение о соответствии (adequacy decision): это когда европейская комиссия приняла решение, что в этой стране обеспечивается адекватный уровень защиты данных.
В случае со странами, в отношение которых такого решения нет, передача данных возможна, если обеспечены адекватные гарантии, такие как обязательные корпоративные правила (BCRs), стандартные договорные положения (SCCs), и другие кодексы и сертификации.
Третий вариант, при котором можно передавать данные в другие страны – это исключительные, разовые и несистематические случаи. Они бывают такие:
- когда передача данных осуществляется с явного согласия субъекта данных,
- когда она необходима для выполнения контракта с субъектом данных или в его интересах,
- когда она необходима или законно требуется на основании важных общественных интересов или для судебных исков,
- когда она необходима для защиты жизненно важных интересов субъекта данных,
- когда она осуществляется из публичного реестра,
- или когда осуществляется в соответствии с так называемым незначительным освобождением от передачи.
Например, туристические агентства могут передавать данные своих клиентов гостиницам или партнерам, которые помогают в организации отдыха за границей страны, потому что это обязательно для выполнения договора между турагентом и клиентом.
Европейский совет по защите данных выпустил Руководство по взаимодействию между Статьей 3 GDPR (о территориальных сферах действия GDPR) и международными передачами данных (2/2018), чтобы помочь разобраться в исключительных случаях.
Безопасность веб-сайтов и мобильных приложений
Требования по безопасности в Португалии аналогичны содержащимся в GDPR и ePrivacy Directive (директиве ЕС о защите данных и приватности).
Те, кто обрабатывают данные, должны обеспечить:
- Псевдонимизацию и шифрование персональных данных;
- Своевременное восстановление доступности и доступ к персональным данным в случае физического или технического инцидента;
- Способность обеспечить постоянную конфиденциальность, целостность, доступность и устойчивость своих информационно-технологических систем;
- Процесс регулярного тестирования, оценки и анализа эффективности технических и организационных мер по обеспечению безопасности обработки данных.
Правила и сроки хранения данных
В правилах GDPR говорится, что персональные данные должны храниться в такой форме, которая позволяет идентифицировать субъектов данных только до тех пор, пока это нужно для целей обработки. Дольше, чем этот срок, такие данные храняться только тогда, когда используются:
- в архивных целях
- в общественных интересах
- в целях научных, статистических и исторических исследований.
И даже в этих случаях это возможно только тогда, когда организованы правильные технические и организационные меры хранения.
Данные, которые нужны для выполнения налоговых или бухгалтерских обязательств, нужно хранить столько, сколько отмерено по законодательству, в Португалии это 10 лет. Персональные данные сотрудников хранятся столько, сколько положено по трудовому законодательству; в Португалии это могут быть разные сроки, но обычно это 5 лет после увольнения.
Если персональные данные используются для подтверждения исполнения договора, их нужно хранить до истечения срока давности, в течение которого могут предъявлять претензии. В Португалии общий срок исковой давности это 20 лет, но в некоторых случаях это может быть и 3, и 5 лет.
Раскрытие персональных данных по запросам госорганов
Португалия регулирует раскрытие персональных данных посредниками, то есть, интернет-провайдерами, платформами социальных сетей, компаниями, предоставляющими онлайн-услуги, местными законами: о сохранении данных (Lei n.º 32/2008) и о защите данных (Lei n.º 58/2019).
По закону госорганы и полиция могут запросить ваши данные у посредников, но для этого должны быть достаточные основания. Например, уголовные расследования, предотвращение преступлений или обеспечение общественной безопасности. Ещё для этого обязательно потребуется судебный ордер, а запрашиваемая информация должна быть строго ограничена необходимым минимумом. Запросы данных включают обоснования и ссылки на законодательство.
Раскрытие персональных данных по запросам частных лиц
Адвокаты, нотариусы и журналисты могут запрашивать доступ к персональным данным, но только при наличии законных оснований. В случае адвокатов это может быть связано с защитой прав клиента или представлением их интересов в судебных процессах.
Тех, чьи персональные данные могут быть раскрыты, по закону (Статья 13 GDPR) обязательно должны проинформировать о целях и основания обработки их данных, и об их правах. Это положение не действует, если субъект уже это знает.
Видеонаблюдение
Внедрение систем видеонаблюдения со звукозаписью не допускается по закону от 2019 года; за исключением тех случаев, когда эти системы применяются в закрытых помещениях, или если на то есть предварительное разрешение от надзорного органа. Согласно Трудовому кодексу Португалии, изображения работников, а также другие их персональные данные, могут обрабатываться с помощью видеонаблюдения или средств слежения только в целях уголовного или дисциплинарного разбирательства.
В Португалии, как и во многих странах мира, разрешена установка камер видеонаблюдения – для обеспечения безопасности в общественных местах. Такие камеры установлены на улицах, площадях и набережных, в аэропортах и в других местах, где много людей. В Лиссабоне камеры широко применяются на вокзалах, в метро, на автобусных остановках и в других местах, связанных с транспортом.
Еще видеокамеры устанавливаются в коммерческих зонах – в торговых центрах, магазинах и ресторанах. Владельцы должны соблюдать правила установки и уведомлять посетителей о видеонаблюдении. Также видеонаблюдение можно устанавливать в частных домах и в жилых комплексах. Закон требует, чтобы камеры охватывали только частную территорию, и запрещает направлять их на соседние участки или общественные зоны без специального разрешения.
Регулирует использование камер видеонаблюдения закон Lei n.º 1/2005. Контролирует использование видеонаблюдения Национальный орган по защите данных (CNPD), он одобряет проекты по установке камер, проводит регулярные инспекции и выдает разрешения на установку систем видеонаблюдения – если камеры соответствуют законодательству и соблюдают права граждан на конфиденциальность.
По закону, зоны с с видеонаблюдением должны быть четко обозначены специальными знаками, информирующими о записи. Срок хранения видеозаписей строго ограничен (до 30 дней), и и записи должны удаляться после его истечения, если они не используются для расследования. Граждане имеют право запрашивать доступ к своим изображениям на записях и оспаривать незаконное использование их данных.
Ответственность за нарушение закона о персональных данных
Согласно Португальскому закону о защите данных 58/2019, нарушения могут повлечь в том числе и уголовную ответственность, например, за следующие действия:
- Использование личных данных способом, несовместимым с целью их сбора;
- Неправомерный доступ к личным данным;
- Несанкционированное разглашение личных данных;
- Нарушение или уничтожение личных данных;
- Внесение ложных данных;
- Нарушение обязанности соблюдать конфиденциальность;
- Невыполнение указаний CNPD (Национальной комиссии по защите данных Португалии).
Все эти преступления наказываются штрафом или лишением свободы на срок до четырех лет.
Санкции за нарушение закона в целом такие же, как установленные в GDPR. Однако регулятор GDPR в Португалии считает, что этот общий регламент ЕС не делает различий между неосторожным или умышленным характером правонарушения, размером компаний или юридической природой посредников, и потому решил не применять правила по размерам штрафов, предусмотренные GDPR, а применить максимальные суммы, им установленные. Это отражено в резолюции № 2019/494.