Защита персональных данных: мифы и реальность

25-го апреля Инспекция по защите данных опубликовала на своём сайте сообщение, в котором, помимо прочего, призвала пересмотреть вопросы переносимости данных в своих рабочих процессах и информационных системах, так как этот аспект, скорее всего, будет требовать самых больших расходов и больше всего времени из всех необходимых действий. Инспекция советует не оставлять эти действия на последний момент, так как исполнения указанных положений можно требовать уже с самого первого дня вступления постановления в силу (http://www.aki.ee/et/soovitused_maaruseks_valmistumisel).

В своей адвокатской практике я неоднократно встречался с озадаченными клиентами, которые читают положения постановления, регулирующие переносимость данных, но не могут извлечь из них ни одного ясного требования или рекомендации о том, что им теперь нужно в срочном порядке сделать к моменту вступления постановления в силу. Непонимание начинается уже с сути данного права.

Переносимость данных как будто указывает на то, что должна существовать возможность передачи данных из пункта А в пункт Б, и это связано с обязанностью предоставить возможность передачи данных новому третьему лицу (например, новой компании, поставляющей услуги субъекту данных). Таким же образом об этом положении проинформировали общественность, побуждая пересмотр рабочих процессов и информационных систем и создание необходимых дополнительных разработок или иных приспособлений.

Здесь стоит упомянуть и тот факт, что, несмотря на то, что переносимость данных в узком смысле слова приветствуется, потому что создаёт для потребителей предпосылки для более простой смены поставщика услуг (разрушение т.н. систем lock-in (привязка к поставщику)), по крайней мере, на сегодняшний день, по причине разнообразия информационных систем, немыслимо, чтобы все или даже существенная часть обработчиков данных в частном секторе начали бы согласовать свои системы, или создавать между ними программные интерфейсы, поддерживающие взаимодействие систем. Даже если отбросить коммерческие лицензии различных систем и связанную с ними финансовую нагрузку предприятий, нужно учесть, что даже для того, чтобы использовать альтернативные бесплатные программы, нужно согласиться с условиями лицензии соответствующего бесплатного программного обеспечения, и поэтому необоснованно требовать, чтобы новый поставщик услуг, желающий привлечь клиента, согласился с условиями лицензии бесплатного программного обеспечения, используемого предыдущим поставщиком услуг, для того, чтобы принять от него данные.

Проблемы, очевидно, осознала и рабочая группа европейских органов по защите данных, составляющая руководства к постановлению, в одном из которых можно найти обнадёживающие, но в то же время поверхностные рекомендации, адресованные обработчикам данных, которые состоят в том, чтобы начать работу по развитию совместимости информационных систем и программных интерфейсов приложения. Руководство не содержит более точную информацию о форматах и иных технических подробностях, из которых должны исходить обработчики данных.

Это означает, что в настоящем контексте переносимость данных является скорее идеей и указателем направления, обязательная сила которого зависит в каждом конкретном случае от технических обстоятельств, таких как совместимость или взаимодействие систем поставщиков услуг.

Autor: Тамбет Тоомела, партнёр Eversheds Sutherland Ots&Co Артём Луйк, адвокат Eversheds Sutherland Ots&Co Эрика Тувике, юрист Eversheds Sutherland Ots&Co