Что вы знаете об ICO и защите персональных данных в Internet?

Зачастую, регистрируя бизнес в Великобритании или Шотландии, собственники IT проектов выбирают эти юрисдикции из-за удобной системы налогообложения и престижа. Однако, далеко не все знают о том, что в этой стране достаточно строго контролируются отношения, связанные со сбором, использованием и передачей информации о частных лицах.

Владельцы дейтинговых ресурсов, платежных сервисов, social networking ( SNS ), и любых других ресурсов, в которых они предлагают пользователям зарегистрироваться и оставить свои персональные данные, должны знать, что за некоторые нарушения в области персональных данных национальным законодательством Великобритании предусмотрена уголовная ответственность и огромные штрафы. 

Как правило, на сайтах размещены тексты Terms of use или Политики конфиденциальности, с условиями которых пользователь обязан ознакомиться и принять. В этих документах обычно указывают перечень персональных данных, которые собирает и хранит сайт; способы и варианты использования таких персональных данных, а также случаи, когда сайт предоставляет такие данные третьим лицам.

Нужно быть очень осторожными с формулировками, знать национальное законодательство страны регистрации компании-контролера сайта и нормы международного права в сфере защиты персональных данных, чтобы составить Политику конфиденциальности и Terms of use правильно, поскольку некорректные формулировки могут привести к тому, что компания – контролер интернет ресурса может получить обвинение в некорректном использовании персональных данных, что повлечет за собой наложение штрафных санкций.

Какая публичная организация в Великобритании устанавливает правила работы с персональными данными и контролирует их исполнение? Как осуществляется контроль?

Допустим, у вас есть классический сайт знакомств. В регистрационной форме, которую вы предлагаете заполнить посетителям, безусловно, есть вопросы, которые позволяют вам собирать персональные данные, к примеру: пол, возраст, семейное положение и т.п. Также, вы предлагаете вашим посетителям загрузить фотографии на сайт, чтобы процесс общения стал более полным и увлекательным. По определенным причинам, ваша компания, которая обслуживает данный сайт, указанная в Terms of Use , зарегистрирована не в оффшоре, а в красивой и богатой Великобритании, Северной Ирландии или Шотландии. Не важно в какой организационной форме она существует - Ltd или LLP . Главное – юрисдикция регистрации – Соединенное Королевство Великобритании и Северной Ирландии, и ее регистрационные данные можно легко найти в Company House .

Будьте готовы к тому, что в один прекрасный день на электронный адрес вашей компании начнут приходить жалобы от пользователей, в том числе и о некорректном использовании их персональных данных, а на почтовый адрес компании вы получите письмо на красивом бланке от Information Commisioner ’ s Office ( ICO ) с требованием пройти регистрацию в Реестре контролеров данных ( Register of data controllers ), согласно с требованиями Data Protection Act 1998.

Согласно с требованиями Data Protection Act 1998, каждая организация, которая процессит персональную информацию, обязана зарегистрироваться в Реестре, который ведет ICO . За невыполнение этого требования предусмотрена уголовная ответственность. На сегодняшний день в реестре ICO зарегистрировано более 400 000 контролеров персональных данных.

ICO – это независимая организация Великобритании, призванная защищать права в области использования и передачи информации. В ее сфере защита не только персональных данных, но и более широкая функция – осуществлять защиту Конфиденциальности ( Privacy ) и электронных коммуникаций ( electronic communication ). ICO обычно не требует, она рекомендует. Но ее рекомендации выполняет даже Google , чтобы не получить ошеломляющие финансовые санкции.

ICO популяризирует свою деятельность и активно делиться с аудиторией историями о своей активности, в частности, как Google изменил свою политику конфиденциальности после расследования и рекомендаций ICO https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2015/01/google-to-change-privacy-policy-after-ico-investigation/

Так, в марте 2012 года Google представила свою новую политику конфиденциальности, которая объединяла около 70 различных существующих политик, разработанных для разных сервисов. Но ICO пришла к выводу, что новая политика не содержит достаточно информации о том, как и почему собирают персональную информацию о пользователях сервисов. ICO обнаружила, что поисковая система использует слишком расплывчатые термины при описании, как она собирает и использует персональные данные своих пользователей в Великобритании.

По результатам расследования ICO потребовала от Google подписать официальное обязательство улучшить информацию о том, как поисковик собирает персональную информацию пользователей в Великобритании. Google в настоящее время подписал обязательство внести соответствующие изменения в политику конфиденциальности, после того, как они будут отвечать нормам Data Protection Act и пройдут соответствующее тестирование. На внедрение изменений в политику конфиденциальности у Google есть время до 2017 года. Промежуточные результаты Google демонстрировал ICO уже в июле 2015 года.

Почему Google принимает во внимание требования ICO ? Все очень просто – никто не хочет платить штрафы, размер которых за каждое нарушение может доходить до 500 000 фунтов стерлингов. Помимо наложения штрафных санкций ICO также может инициировать возбуждение уголовного дела против компании-нарушителя.

Обычно процесс начинается проведением аудита деятельности компании. Далее ICO выносит предписание, в котором указаны нарушения и пути их возможного исправления. Если компания не реагирует на предписания ICO может применять следующие меры:

•   Выдача предписания, обязывающего предприятие откорректировать свою деятельность согласно с нормами законодательства

• Выдача принудительного предписания и приказа « stop now » о немедлен ном прекращении деятельности, которая нарушает закон

• Накладывать штрафы до 500 000 фунтов стерлингов

• Инициировать уголовные дела

Безусловно, перед тем, как регистрироваться в Реестре контролеров персональных данных, нужно сначала определить, попадает предприятие в категорию контролеров или нет. На сайте ICO предусмотрена специальная тест-форма. Однако, не все так просто. Как обычно, существует масса юридических нюансов, которые также нужно учитывать перед тем, как принимать решение регистрироваться или нет: схема работы компании, алгоритм проведения платежных операций, основной ареал осуществления хозяйственных операций и многое другое, нужно анализировать в комплексе.

Итого: будьте бдительны, Господа! Privacy – это серьезно, а нарушение Privacy может быть очень дорого.