Защита персональных данных: мифы и реальность

25-го апреля Инспекция по защите данных опубликовала на своём сайте сообщение, в котором, помимо прочего, призвала пересмотреть вопросы переносимости данных в своих рабочих процессах и информационных системах, так как этот аспект, скорее всего, будет требовать самых больших расходов и больше всего времени из всех необходимых действий. Инспекция советует не оставлять эти действия на последний момент, так как исполнения указанных положений можно требовать уже с самого первого дня вступления постановления в силу (http://www.aki.ee/et/soovitused_maaruseks_valmistumisel).

В своей адвокатской практике я неоднократно встречался с озадаченными клиентами, которые читают положения постановления, регулирующие переносимость данных, но не могут извлечь из них ни одного ясного требования или рекомендации о том, что им теперь нужно в срочном порядке сделать к моменту вступления постановления в силу. Непонимание начинается уже с сути данного права.

Переносимость данных как будто указывает на то, что должна существовать возможность передачи данных из пункта А в пункт Б, и это связано с обязанностью предоставить возможность передачи данных новому третьему лицу (например, новой компании, поставляющей услуги субъекту данных). Таким же образом об этом положении проинформировали общественность, побуждая пересмотр рабочих процессов и информационных систем и создание необходимых дополнительных разработок или иных приспособлений.

Однако кто эти лица, кому возможно передавать данные? Какие у них системы? Что делать в тех случаях, когда предприниматель-получатель не способен обработать данные из-за их отличающегося и несовместимого формата?

 

Во-первых, статья содержит т.н. право субъекта данных на извлечение данных, т.е. право, возникающее при определённых условиях, получать автоматически обрабатываемые персональные данные, переданные обработчику персональных данных, в структурированном, общеиспользуемом формате и в машиносчитываемом формате. Например, обязанность поставщика услуг потокового прослушивания музыки (стриминг) предоставить клиенту по его просьбе список выбранных им произведений. На самом деле обработчики данных обязаны обеспечивать это уже с мая 2018 года, что может, помимо прочего, означать пересмотр процессов и систем в том ключе, чтобы субъекту данных можно было бы в любое время предоставить полный обзор обрабатываемых в отношении него данных.

Несколько иной является ситуация, связанная с передачей данных от обработчика данных третьему лицу. Наряду с правом на извлечение данных, положение признаёт также такое право субъекта данных, но при этом делается оговорка, согласно которой передачу данных непосредственно другому обработчику данных можно требовать только, если это является технически осуществимым.

Иными словами, если переносимость данных не является осуществимой по техническим причинам, то обработчик данных не обязан передавать данные напрямую другому обработчику данных. Достаточного того, что субъекту данных обеспечивается право на извлечение данных.

Здесь стоит упомянуть и тот факт, что, несмотря на то, что переносимость данных в узком смысле слова приветствуется, потому что создаёт для потребителей предпосылки для более простой смены поставщика услуг (разрушение т.н. систем lock-in (привязка к поставщику)), по крайней мере, на сегодняшний день, по причине разнообразия информационных систем, немыслимо, чтобы все или даже существенная часть обработчиков данных в частном секторе начали бы согласовать свои системы, или создавать между ними программные интерфейсы, поддерживающие взаимодействие систем. Даже если отбросить коммерческие лицензии различных систем и связанную с ними финансовую нагрузку предприятий, нужно учесть, что даже для того, чтобы использовать альтернативные бесплатные программы, нужно согласиться с условиями лицензии соответствующего бесплатного программного обеспечения, и поэтому необоснованно требовать, чтобы новый поставщик услуг, желающий привлечь клиента, согласился с условиями лицензии бесплатного программного обеспечения, используемого предыдущим поставщиком услуг, для того, чтобы принять от него данные.

Проблемы, очевидно, осознала и рабочая группа европейских органов по защите данных, составляющая руководства к постановлению, в одном из которых можно найти обнадёживающие, но в то же время поверхностные рекомендации, адресованные обработчикам данных, которые состоят в том, чтобы начать работу по развитию совместимости информационных систем и программных интерфейсов приложения. Руководство не содержит более точную информацию о форматах и иных технических подробностях, из которых должны исходить обработчики данных.

Это означает, что в настоящем контексте переносимость данных является скорее идеей и указателем направления, обязательная сила которого зависит в каждом конкретном случае от технических обстоятельств, таких как совместимость или взаимодействие систем поставщиков услуг.

Autor: Тамбет Тоомела, партнёр Eversheds Sutherland Ots&Co Артём Луйк, адвокат Eversheds Sutherland Ots&Co Эрика Тувике, юрист Eversheds Sutherland Ots&Co