Мой персональный код - это конфиденциальная информация? Самые распространенные мифы и факты о защите данных в Латвии
В обществе встречаются разные мифы и предубеждения о защите данных, которые чаще всего не соответствуют действительности. Такие мифы, которые передаются "из уст в уста", не только поддерживают ложную информацию, но и формируют неверное понимание того, как обрабатываются и защищаются наши данные. Государственная инспекция по защите данных (Datu valsts inspekcija, DVI) развенчивает 10 популярных мифов, которые нередко можно услышать в обществе.
DVI напоминает уже ранее разъясненные вещи, а также раскрывает новые аспекты, которые, возможно, не так часто подчеркивались или объяснялись.
1. Видеонаблюдение, ведущееся с помощью камеры или видеорегистратора, нужно регистрировать в Государственной инспекции по защите данных
«Нет, никакую обработку данных не нужно регистрировать или согласовывать с Государственной инспекцией по защите данных. Но в любом случае операторы (лица или организации, которые осуществляют обработку данных) должны обрабатывать данные в соответствии с требованиями Регламента о защите данных и других нормативных актов».
2. Потенциальный работодатель может позвонить бывшему работодателю, чтобы получить отзыв о сотруднике
«Хотя чаще всего такая практика до сих пор встречается именно среди работодателей, однако до того, как опрашивать бывших работодателей, необходимо получить согласие работника на такую обработку данных. Получение информации официальным путем (обоснованно обращаясь письменно в прежнюю компанию, а не звоня и расспрашивая) может быть предусмотрено нормативными актами или обосновано законными интересами потенциального работодателя.
Однако, применяя правовое основание "законный интерес", работодатель должен провести тест на баланс интересов, где обязан обосновать свою потребность и интерес в сведениях о трудовой деятельности работника, не причиняя вреда самому работнику, с которым трудовые отношения еще не начаты. В большинстве случаев, если законом не предусмотрена обязанность проверять сотрудников до приема на работу, желание работодателя это сделать чаще исходит из любопытства, а не из законных интересов».
3. Без моего согласия данные нельзя обрабатывать
«Согласие лица — не единственное законное основание, когда организация может обрабатывать ваши персональные данные. В Регламенте определены шесть правовых оснований для обработки данных: согласие, исполнение договора, юридическая обязанность, интересы общества, защита жизненно важных интересов и соблюдение законных интересов. Организация обязана применять соответствующее правовое основание для обработки данных.
Если в каком-либо нормативном акте предусмотрено, что работодатель обязан предоставить о вас информацию, например, в Государственную налоговую службу, то для этого не требуется ваше согласие».
4. На публичных мероприятиях и на улице нельзя фотографировать
«Вы имеете право делать фотографии в публичных местах, на мероприятиях, в путешествиях и хранить их на своём устройстве — фотоаппарате или мобильном телефоне, если делаете это для личных нужд. Однако если решите публиковать такие фотографии, будьте внимательны, чтобы на них, насколько возможно, не были изображены другие люди (если цель публикации — не сам человек). Если избежать этого нельзя, публикуйте только такие изображения, которые не задевают честь и достоинство людей. И всегда помните — если изображённый на фото человек попросит вас удалить снимок, выполните эту просьбу!
В свою очередь, если фотография человека опубликована с целью, например, уведомить общественность о возможной краже или другом правонарушении, это считается обработкой данных в рамках Регламента, и к ней применяются его условия».
5. Мой персональный код — это конфиденциальные персональные данные
«Согласно Регламенту, к специальным категориям, то есть к конфиденциальным персональным данным, относятся сведения, раскрывающие расовую или этническую принадлежность, политические взгляды, религиозные или философские убеждения; данные о членстве в профсоюзе; генетические данные; биометрические данные, обрабатываемые исключительно для идентификации физического лица; данные о здоровье; сведения о половой жизни или сексуальной ориентации человека. Таким образом, ни имя и фамилия, ни персональный код не являютсяконфиденциальными данными, как и адрес, и к ним не применяются особые условия обработки».
6. Регламент о защите данных запрещает обрабатывать данные
«Часть населения считает, что с введением Регламента была запрещена любая обработка данных, особенно — без согласия человека.
Это нетак. Цель Регламента не запрещать и не разрешать любую обработку данных. Регламент — это рамки правил, применимые к любой обработке данных, которая подпадает под его действие. В нем определено, что данные могут обрабатываться при наличии соответствующего и законного правового основания и с соблюдением принципов обработки данных. Даже если одно из условий не выполнено, обработка данных может считаться незаконной».
7. Запрещено обрабатывать данные умерших людей
«В Регламенте не установлен запрет на обработку данных умерших лиц, так как они не квалифицируются как данные о физическом лице. Однако, публикуя информацию об умершем, важно тщательно оценить, не задевает ли эта информация его близких или других людей».
8. Специалиста по защите данных должны назначать все организации
«Назначение специалиста по защите данных обязательно в случаях, когда обработку данных осуществляет государственное учреждение или структура (за исключением судов при выполнении ими своих функций). Также — если деятельность организации регулярно и систематически включает масштабное наблюдение за людьми или обработку специальных категорий данных, например, сведений о судимостях или правонарушениях. В остальных случаях назначение специалиста по защите данных является добровольным выбором».
9. Номер телефона и номерной знак автомобиля — это персональные данные
«Номерной знак автомобиля, так же как и номер телефона, не связанный с конкретным человеком, не являются персональными данными в понимании Регламента. Однако в ситуации, когда такая информация может быть увязана с конкретным идентифицируемым физическим лицом, она становится персональными данными и должны применяться правила защиты данных».
10. В распоряжении государственных органов или Государственной инспекции по защите данных есть единая база со всеми персональными данными
«В Латвии есть несколько информационных систем, которые содержат сведения о жителях, например, "Регистр населения", "Регистр наказаний", "Государственная единая компьютеризированная земельная книга" и другие. У каждой из этих систем есть свой держатель и оператор обработки данных. Ни Государственная инспекция по защите данных, ни какое-либо другое государственное учреждение не имеет доступа к единой базе или к базам данных, которые ведут другие учреждения.
Если житель хочет узнать, почему его данные находятся в этих системах или кто их просматривал, ему нужно обращаться в каждое конкретное учреждение отдельно и задавать конкретные вопросы».
