Як тепер захищатимуть персональні дані в ЄС

Щоб розшукати терористів і злочинців, американські та європейські спецслужби масово використовують особисті дані людей, які навіть нічого не підозрюють. Вони стежать за спілкуванням мільйонів людей. Передусім американські інтернет-компанії вилучають величезні обсяги даних і передають їх спецслужбам і правоохоронним органам. Це стало відомо після викриттів, які в 2013 році зробив уже колишній співробітник американських спецслужб Едвард Сноуден.

"Базова постанова" створює єдиний закон для ЄС

Стривожені таким станом справ Єврокомісія, Рада ЄС та Європарламент упродовж трьох років вели переговори, щоб забезпечити нову правову основу для захисту даних в ЄС. Мета полягала в тому, щоб врахувати інтереси громадян, компаній, а також секретних служб і створити новий дієвий порядок регулювання цієї делікатної теми. Цього четверга Європарламент має ухвалити нову "Базову постанову про захист даних", яка через два роки стане законом прямої дії в 28 країнах-членах ЄС.

На відміну від звичайних директив ЄС у такому випадку національним парламентам не потрібно ухвалювати ще додаткові закони. Таким чином відбувається уніфікація захисту персональних даних в усіх 28 країнах-членах Євросоюзу. Отже, в межах ЄС у цьому питанні діятиме один спільний закон. Водночас має бути ухвалено закон про "Захист даних в поліцейській та юридичній сферах", який дозволяє збирати та аналізувати дані підозрюваних і свідків.

Найважливіші зміни виглядають наступним чином:

Кому належать мої персональні дані?

Жодна компанія чи органи влади не мають права збирати дані про мене, за винятком випадків, коли я погоджуюся на це або існують законодавчі положення, які змушують мене передати певні дані. Збір даних компаніями, веб-сайтами чи іншими службами дозволений лише в тих випадках, якщо я даю свою однозначну беззаперечну згоду. Так звана "імовірна згода", яка досі частково застосовувалася і забезпечувалася встановленою за замовчуванням "галочкою" на сайтах, більше не дозволяється. Компанії мають право запитувати лише ті дані, які справді необхідні їм для надання послуг.

Чи можу я попросити видалити мої дані?

У новому законодавстві вперше беззастережно закріплене так зване "право на забуття". Тепер Google, Facebook, Twitterта інші сервіси, що збирають дані, повинні за вимогою видалити мої аккаунти та особисті дані й більше не мають права передавати їх третім особам. Крім того, планується запровадити так звану мобільність даних: якщо я змінюю провайдера, то можу забрати свої дані з собою й перенести їх до нового провайдера. На вимогу компанія має показати, які з моїх даних вона зберегла, як їх використовує і кому передає. Ця інформація має подаватися не заплутано, а "зрозуміло й безкоштовно".

Що дозволяється компаніям і органам влади?

Фірми й державні органи, залежно від їхніх розмірів, повинні призначати відповідальних за захист даних, які забезпечуватимуть дотримання "Базової постанови про захист даних". У маленьких компаніях вистачатиме позаштатного відповідального співробітника. У питанні захисту особистих даних кордонів між країнами більше не існує. Компанії та корпорації з представництвами в кількох європейських країнах можуть обмінюватися даними всередині підприємств, лише якщо дотримуються правил захисту даних. Провайдери сайтів також повинні дотримуватися низки нових правил. Наприклад, діти в майбутньому матимуть право підтверджувати дозвіл на використання їхніх даних лише з 16-ти років, а не з 13-ти як зараз. Зареєструватися на Facebook, скажімо, стане складніше. Провайдери веб-сайтів повинні будуть теоретично перевіряти вік особи, яка хоче зареєструватися.

Чи можуть мої дані бути використані за межами ЄС?

Компанії матимуть право передавати мої особисті дані до третіх країн, таких як США, лише якщо в них створено такий же рівень захисту даних, як і в ЄС. Суд Європейського Союзу в жовтні минулого року оголосив недійсною угоду між США та країнами ЄС, відому під назвою "SafeHarbor"("Безпечна гавань"), яка загалом дозволяла передачу даних і їх зберігання в США. Зараз ЄС і США ведуть перемовини про нову угоду. Нова угода про захист даних передбачає, що держави, в яких органи влади мають неспівмірний доступ до даних і здійснюють масове стеження за ними, більше не зможуть вважатися "безпечними гаванями" для даних. Компанії в Європі не мають права передавати мої дані безпосередньо органам влади в США чи ще десь. Для цього в кожному конкретному випадку необхідна угода про правову допомогу між ЄС та третіми країнами. Крім того, я повинен мати в цій третій країні можливість подати позов проти використання моїх даних.

Куди я можу поскаржитися з приводу зловживання моїми даними?

Для цього має бути створено принцип "єдиного вікна": я можу звернутися зі скаргою до своїх національних органів із захисту даних незалежно від того, в якій країні ЄС, якою компанією чи органом влади були зібрані мої персональні дані. Для цього мають тісно співпрацювати всі 28 національних відомств із захисту даних. Вони діятимуть у межах спільної структури - Європейського комітету із захисту персональних даних. Саме за цим комітетом має бути останнє слово у сумнівних випадках. Окремим компаніям у питанні захисту даних теж більше не доведеться мати справу з різними відомствами із захисту даних в кожній окремій країні ЄС, а лише з національною структурою тієї країни, в якій розташований головний офіс фірми.

Як каратиметься зловживання даними?

На компанії, які порушують "Базову постанову", можуть накладати штраф, розмір якого складає до чотирьох відсотків від загального річного обороту фірми.

Які дані має право запитувати поліція та органи прокуратури?

Як і раніше правоохоронні органи можуть за розпорядженням суду аналізувати дані комунікації, телефонні дзвінки, електронні листи підозрюваних і т.д. Термін збереження даних, зібраних без відповідної на те причини, в усіх країнах ЄС регулюється по-різному і не є предметом "Директиви про захист даних в органах поліції та правосуддя". Дані свідків і жертв злочинів матимуть вищий рівень захисту.