Регулирование персональных данных в ГонконгеМатериал редакции

Защита персональных данных – важная часть современного правового регулирования, направленная на сохранность личной информации. В данной статье рассмотрим систему защиты персональных данных в Гонконге.

Многим известно законодательство ЕС в данной области, т.к. на текущий момент General Data Protection Regulation (GDPR) является одним из самых проработанных актов, нацеленных на регулирование сбора и хранения персональных данных.

Вместе с тем многие страны активно вбирают в себя опыт и вводят собственное регулирование, поскольку в современном мире утечка персональной информации, а также её распространение без согласия лица уже давно стало насущной проблемой.

В Гонконге действует Постановление о персональных данных (конфиденциальности) («PDPO»), которое вступило в силу в 1996 году. Это один из старейших комплексных законодательных актов о защите персональных данных в Азиатском регионе.

В PDPO неоднократно вносились изменения. Последние значимые поправки были внесены в 2021 году и касаются ужесточения мер по борьбе с доксингом* путем криминализации подобных действий.*Доксинг - поиск и/или публикация персональных данных человека без его согласия.

PDPO регулирует как частный, так и государственный сектор. Организации, оказывающие услуги на территории Гонконга, подпадают по действие Privacy Ordinance. PDPO охватывает только лиц, являющихся пользователями данных, операции которых контролируются в Гонконге или из Гонконга, даже если цикл обработки данных происходит за его пределами.

Прежде чем углубляться в детали требований, необходимо, прежде всего, ознакомиться с несколькими ключевыми определениями в рамках PDPO:

1. Персональные данные означают информацию, которая относится к живому лицу и может быть использована для его идентификации. Они также должны существовать в такой форме, к которой возможен доступ или обработка.
2. Пользователь данных – лицо, которое самостоятельно или совместно с другими лицами контролирует сбор, хранение, обработку или использование персональных данных.
   
3. Обработчик данных — это лицо, которое обрабатывает персональные данные от имени другого лица (пользователя данных), а не для своих собственных целей. Обработчики данных не регулируются напрямую PDPO. Вместо этого пользователи данных обязаны договорными или другими способами гарантировать, что их обработчики данных соответствуют применимым требованиям PDPO.
   

После сбора персональные данные должны обрабатываться безопасным способом и храниться только такой период времени, сколько необходимо для достижения целей использования данных. Использование данных должно быть ограничено или связано с первоначальной целью сбора. Субъектам данных предоставляется право доступа и внесения исправлений в свои данные.

PDPO устанавливает 6 основных принципов:

1. Цель и способ сбора

Предусматривает, что сбор персональных данных осуществляется только в законных целях, непосредственно связанных с деятельностью пользователя данных. Собранные данные должны быть необходимыми и достаточным, но не чрезмерными для указанной цели. Способы сбора должны быть законными и справедливыми. Определена также информация, которую пользователь данных должен предоставить субъекту данных при сборе персональных данных.

2. Точность данных и продолжительность хранения

Требует, чтобы пользователи данных предпринимали все возможные шаги для обеспечения точности личных данных и их хранения не дольше, чем это необходимо для достижения цели, для которой данные используются. Раздел 26 PDPO требует, чтобы пользователи данных удаляли персональные данные, которые больше не требуются для целей, для которых они используются.

3. Использование данных

Предусматривает, что персональные данные должны использоваться (включая раскрытие или передачу) только для тех целей, для которых они были собраны, или для непосредственно связанных с ними целей, за исключением случаев, когда имеется явно выраженное и добровольное согласие субъекта данных. Субъект данных может отозвать свое ранее данное согласие путем письменного уведомления.

Для целей так называемого прямого маркетинга пользователь данных должен получить согласие лица на использование его персональных данных. Согласие должно быть явно выражено, то есть молчание не может являться согласием. Более того, пользователь данных должен сообщить субъекту данных о намерении использовать его/ее персональные данные именно для прямого маркетинга. Пользователь данных также должен уведомить субъекта данных о праве отказаться от предоставления согласия и использования его личных данных.

4. Безопасность данных

Требует, чтобы пользователи данных предпринимали все возможные шаги для защиты личных данных, которыми они владеют, от несанкционированного или случайного доступа, обработки, удаления, потери или использования.

5. Открытость и прозрачность

Требует, чтобы пользователи данных предоставляли общую информацию о видах персональных данных, которыми они владеют, и основных целях, для которых используются персональные данные.

6. Доступ и корректировка

Предоставляет субъектам данных право запрашивать доступ и исправление своих личных данных. Пользователь данных должен указать причины отказа в запросе субъекта данных на доступ к его/ее персональным данным или на их исправление.

PDPO предусматривает ряд исключений из некоторых требований соответствия при возникновении определенных обстоятельствах. Связано это с тем, что хотя конфиденциальность является важным правом лиц, должен соблюдаться баланс, касающийся общественных интересов и иных прав человека.

Исключения из регулирования предусмотрены, в частности, в рамках предотвращения или судебного преследования преступлений, безопасности и обороны, статистики и исследования, новостной деятельности, защиты здоровья субъекта данных и т.д.

Также исключения касаются случаев, когда использование персональных данных требуется или разрешено законом или постановлением суда, или необходимо для осуществления или защиты законных прав на территории Гонконга.

На данный момент территориальное действие PDPO никак не определено в самом законе. Вместе с тем Комиссар по конфиденциальности персональных данных (Privacy Commissioner for Personal Data, PCPD) дал разъяснение, что PDPO все-таки не имеет экстерриториального охвата. Таким образом, PDPO существенно отличается от GDPR в данном вопросе, поскольку последний предусматривает экстерриториальное применение.

Нормы GDPR применяются ко всем организациям, которые обрабатывают данные граждан ЕС вне зависимости от того, где организация зарегистрирована, а также есть ли у нее филиал на территории ЕС.

Когда речь идет о компании, инкорпорированной в Гонконге, нормы GDPR применяются:

• предложения товаров и услуг субъектам данных, находящимся в Союзе, независимо от того, требуется ли от них оплата, или нет, либо
• мониторинга их поведения, если такое поведение происходит в Союзе.
  

Таким образом, если услуги оказываются субъектам, находящимся на территории ЕС – GDPR будет действовать. При этом, также исходя из Преамбулы 14: “защита, предусмотренная настоящим Регламентом, должна применяться к физическим лицам, независимо от их гражданства или места жительства в связи с обработкой их персональных данных”.

PDPO устанавливает сбор явно выраженного согласия субъекта данных, данного добровольно и не отозванного в письменной форме. Такое согласие требуется, только если пользователь данных собирается использовать персональные данные для целей, отличных от тех, для которых данные были первоначально собраны, или для непосредственно связанной цели.

То есть, получать какое-либо письменное согласие не требуется по общим правилам, если данные используются для целей, для которых они были изначально собраны. В противном случае необходимо получить так называемое “prescribed consent”.

Основные принципы PDPO применимы также и в рамках вопросов трудоустройства, однако Комиссар также опубликовал различные кодексы и руководящие принципы в отношении управления и мониторинга человеческих ресурсов, а также конфиденциальности личных данных на работе.

Однако PDPO содержит также и исключения из требований доступа (из принципа 6) для определенных персональных данных, связанных с трудоустройством, и соответствующих процессов.

Эти исключения позволяют работодателям отказывать сотрудникам в доступе к их личным данным, имеющим отношение к предложениям по планированию штата или процессам оценки, связанным с трудоустройством.

Примеры таких оценочных процессов включают дисциплинарные разбирательства, мероприятия по продвижению по службе или оценочные процессы, касающиеся продолжения работы сотрудника.

При обнаружении возможных нарушений PDPO, любое лицо может подать жалобу Комиссару. В зависимости от имеющихся фактов и имеющихся доказательств Комиссар может провести, отказать в проведении или прекратить расследование жалобы.

Когда Комиссар получает жалобу или имеет разумные основания полагать, что может иметь место нарушение PDPO, он может провести расследование предполагаемого нарушения и опубликовать отчет с изложением результатов расследования и рекомендаций, если это отвечает общественным интересам.

Если по завершении расследования будет установлено, что соответствующий пользователь данных нарушает или нарушил PDPO, Комиссар может выдать пользователю данных уведомление о принудительном исполнении, предписывающее принять меры по исправлению положения и/или превентивные меры.

Нарушение исполнительного уведомления, выданного Комиссаром, также является правонарушением, за которое может быть наложен максимальный штраф в размере 50 000 USD и тюремное заключение на срок до 2 лет с ежедневным штрафом в размере 1 000 USD. Последующие нарушения могут привести к максимальному штрафу в размере 100 000 USD и тюремному заключению на срок до 2 лет с ежедневным штрафом в размере 2 000 USD.

В зависимости от серьезности дел Комиссар может осуществлять судебное преследование от своего имени или передавать дела, связанные с подозрением в совершении других преступлений, в полицию или Министерство юстиции для дальнейшего рассмотрения.