 |
|
 |
|
В.Светозаров, учредитель и редактор журнала «Бизнес-разведка»
Как регулируется работа с персональными данным в Европе и США
(обзорная статья)
В Европе сегодня более 50 стран жестко регулируют использование персональных данных. Их законы базируются на принципах, зафиксированных в двух Директивах Евросоюза:
- Директива 1995/46/EC Европарламента о защите данных;
- Директива 2002/58.EC об условиях работы с персональными данными и защите личных прав в сфере электронных коммуникаций.
Первая Директива касается вопросов сбора, хранения, раскрытия и использования персональных данных. Вторая – налагает ограничения на использование персональных данных в теле и интернет-маркетинге, других видах электронной коммуникации.
Распространено мнение, что Директива 1995 года является частью законодательства каждой страны Евросоюза. На деле это не так. Директива декларирует общие принципы, реализация которых возлагается на национальные законы. В рамках этих принципов каждая страна – член Евросоюза может вводить дополнительные ограничения. Поэтому законодательства в этой области разнятся от страны к стране. К тому же надо отметить, что в ряде стран законы об ограничении использования персональных данных появились еще до Директивы 1995 года. Так, в Германии федеральный закон был принят в 1977 году, во Франции, Дании, Норвегии в 1978 году.
Европейские законы о персональных данных (далее ПД), фокусируют внимание на процессах работы с ними – сбор, запись, систематизация, хранение, передача, уничтожение. Трактовка ПД носит самый широкий смысл. Она включает практически любую информацию, относящуюся к личности. Закон защищает такую информацию как, например, телефонный номер, адрес, дата рождения, вероисповедание, членство в профсоюзе.
Компания может использовать ПД только если субъект информации однозначно дает на это свое согласие, получив от компании соответствующий запрос. Запрос должен носить подробный, исчерпывающий характер, четко указывающий, какую информацию предполагается собирать, с какой целью, кто это осуществляет, будет ли эта информация предоставлена третьей стороне, какие меры обязуется компания предпринимать для предотвращения несанкционированных утечек. Компания также должна предоставлять субъекту право знакомиться с собранной о нем/ней информацией.
Персональные данные могут собираться исключительно для разрешенной законом цели. Вторично использовать их для иных, не декларированных задач, запрещено. Собственно данные, подлежащие сбору и применению, строго ограничиваются рамками заявленной цели. Срок хранения данных также ограничивается временем, которым исчерпывается достижение поставленной цели.
Организации, которым разрешено создавать и работать с базами персональных данных, берут на себя обязательства соблюдать конфиденциальность, исключать риск потери, злоупотребления, несанкционированного допуска, утечки, преждевременного уничтожения. Это означает, что организация обязана остановить свой выбор на провайдере, который способен предоставить достаточные гарантии безопасности и конфиденциальности. При этом требуется составление письменного документа, содержащего такие обязательства и гарантии.
Субъект имеет право не только знать, кто и зачем хочет собирать о нем/ней персональные данные, но и каковы используемые источники. То есть, знать, у кого уже имеется персональная информация, что собой она представляет, для кого она предназначается. У субъекта есть право знакомиться с этой информацией, изменять ее, если она не точна, уничтожать ее, запрещать ее использование для прямого маркетинга или в cookies.
Особо строгие ограничения оговариваются относительно прямого маркетинга. Коммерсанты не могут использовать ПД для этой цели, не получив предварительно четкое, недвусмысленное разрешение самого субъекта. Более того, уже однажды получив согласно правилам такое разрешение, скажем, его/ее электронный адрес для рекламы продуктов и услуг, коммерческая организация имеет право вторично использовать e-mail адрес только для рекламы аналогичных продуктов и услуг.
Для контроля за соблюдением закона и правил в странах Европы создана система мониторинга. Каждая организация обязана уведомлять соответствующий государственный орган (агентство) о характере и целях работы с ПД. В каждой стране уполномоченный орган власти обязан иметь регистр операций с ПД. Любой желающий может с ним ознакомиться.
Европейские Директивы ограничивают передачу персональных данных за пределы Евросоюза. Она может состояться только при условии, что страна-получатель «обеспечивает адекватный уровень защиты». На сегодняшний день Евросоюз признает таковыми немногие страны, в их числе, Аргентину, Канаду, Швейцарию. Передача ПД из Евросоюза другой стороне должна получить согласие субъекта информации.
В Соединенных Штатах регулирование в этой сфере намного либеральнее. Оно отдано на откуп отраслевым ассоциациям и бизнес-объединениям. И это различие в подходах создает проблемы для американских компаний, работающих с персональной информацией. В принципе любой проживающий в странах Евросоюза может подать в суд на американскую компанию, занимающуюся в Европе прямым маркетингом, если ее действия не соответствуют местному законодательству. Например, в случае использования электронного адреса без разрешения его владельца. Это и вопрос конкуренции, затрагивающий интересы американского бизнеса.
Американцы предложили Евросоюзу план т.н. «безопасной гавани», предусматривающий сертификацию заинтересованных организаций США при условии их обязательства соблюдать все принципы Директив. Европейцы, однако, уклоняются от принятия этого плана, но переговоры продолжаются между Министерством торговли США, с одной стороны, и Евросоюзом, отдельными его членами, с другой, с целью выработки компромиссного решения.
|
вернуться назад
