Законы Республики Корея о защите данных
Модель защиты персональных данных в Корее ближе к основанной на комплексной защите прав человека модели Европейского Союза (главная ценность — неприкосновенность частной жизни), чем к модели США (обработка и передача данных всегда разрешены, а компании самостоятельно отвечают за риски).
В соответствии со статьёй 17 конституции Республики Корея гражданам гарантируется право на защиту частной жизни. Право на защиту частной жизни может быть ограничено исключительно на основании закона в интересах государственной безопасности, обеспечения законности, сохранения общественного благосостояния, но даже в этих случаях нельзя нарушать ключевые аспекты данного права.
Статья 18 конституции Республики Корея устанавливает право на защиту коммуникаций. Право на конфиденциальность частной информации при этом корейцы отличают от права на защиту частной жизни, считая право на конфиденциальность личной информации отдельным фундаментальным правом (Постановление конституционного суда Республики Корея от 26 мая 2005 года).
В Корее действуют несколько законов о защите данных, которые провозглашают «право контролировать информацию о самом себе».
Свод законов Кореи о защите данных включает:
- Общий закон — Закон «О защите персональных данных» (PIPA).
- Отраслевые законы, например, Закон «О сетях информации и связи» (IC Network Act).
Каждый из этих общих (отраслевых) законов устанавливает свои правила, требования и систему уведомлений.
Закон Кореи «О защите персональных данных» действует не только в отношении резидентов или лиц, находящихся в Корее. Так, корейские агентства по защите данных обратились к нескольким организациям, не имеющим представительства в Корее, с просьбой соблюдать правовые нормы страны по защите данных.
Законы Кореи о защите данных регулируют деятельность обработчиков данных (в терминологии Европейского Союза — «контроллер данных», аналогичный термин в российском законодательстве — «оператор персональных данных»). К ним относят государственные учреждения, компании, организации или физических лиц, которые в силу основных или сопутствующих обязанностей, напрямую или через третье лицо работают с персональными данными, то есть используют в своей работе «досье» человека.
В Корее с общим количеством жителей менее 50 миллионов человек (по данным на середину 2015 года) насчитывается около 3,5 миллиона обработчиков данных.
До 2011 года применялось отраслевое регулирование. В сфере финансовых услуг при обработке персональных данных руководствовались положениями закона «О кредитной информации», закона «Об электронных финансовых транзакциях», в области информации и связи — закона «О сетях информации и связи» (IC Network Act), закона «О региональной информации», в государственном управлении — закона «О защите государственными учреждениями персональных данных» и т.д.
Такое регулирование имело много пробелов. Были отрасли, где обработка данных не регулировалась вообще. Принятие закона Кореи «О защите персональных данных» в 2011 году эти пробелы устранило.
Необходимость изменения законодательства о защите данных была вызвана утечкой большого объема данных из кредитных учреждений (83 миллиона информационных единиц).
В настоящее время законодательство Кореи соответствует требованиям Организации экономического сотрудничества и развития. В нём отражены принципы, обязательные для соблюдения всеми обработчиками данных: принцип ограничения сбора данных целью их предоставления, принцип обеспечения качества данных, принцип определения цели, принцип ограничений в использовании, принцип гарантий безопасности, принцип открытости, принцип индивидуального участия субъекта в контроле за обработкой данных, принцип подотчетности.
При обработке данных компания или физическое лицо должны удостовериться, входят ли в обрабатываемый массив персональные данные. Если да, им необходимо получить официальное разрешение на сбор и использование данных. В случае отсутствия разрешения личная информация из обрабатываемого набора данных должна быть удалена.
При обработке больших данных допускается раскрытие исключительно деперсонализированной информации.
На каждом этап обработки данных действуют строгие ограничительные меры — любой этап обработки данных требует отдельного разрешения. Если при обработке данных предполагается размещение результатов обработки в Интернете, то компании-обработчику необходимо получить до 10 разрешений. Столь жёсткие требования следуют из конституции Кореи, которая гарантирует гражданину контроль данных о себе.
В случае передачи обработки данных на аутсорсинг требуется согласие субъекта персональных данных на такое действие. Таким образом ответственность передается третьей стороне, осуществляющей обработку персональных данных.
Жесткие ограничения наложены на разглашение регистрационного номера резидента Кореи (т.н. идентификационный номер, состоящий из 13 цифр, включающий информацию о фамилии, имени, отчестве, дате рождения, месте проживания, полу; смена RRN возможна в исключительных случаях, например, по причине смена пола).
В каждой компании назначается специалист по информационной безопасности, отвечающий за предотвращение утечек персональных данных и за их защиту. Специалистов может быть несколько — в зависимости от размера компании.
Обработчики данных обязаны сообщать обо всех утечках личной информации субъекту данных, чтобы субъект мог уменьшить ущерб от инцидента.
Кроме того, в числе ограничительных мер — требование об обязательном уничтожении персональных данных в случае достижения цели их обработки.
Согласно законодательству Кореи о защите персональных данных, количество личной информации, обрабатываемой онлайн, должно быть минимально.
Прямой маркетинг (читай: реклама, использующая личную информацию) запрещён без предварительного согласия адресата информации.
Кредитные организации обязаны:
- регулярно отчитываться перед уполномоченными органами;
- предпринимать специальные защитные меры;
- проводить обучение сотрудников по вопросам информационной безопасности;
- включать в аутсорсинговый контракт по обработке данных положения о безопасности обработки кредитных данных;
- получать согласие субъектов данных при раскрытии кредитной информации третьей стороне;
- не хранить кредитную информацию более пяти лет.
За нарушение законодательства о персональных данных возможна уголовная (предусмотрена за неуничтожение данных в случае достижения цели их обработки), административная и гражданско-правовая ответственность.
Максимальный объем возмещения ущерба — 3 миллиона вон, что равно 2,5 тысячи долларов. Максимальное административное взыскание составляет до 3% от оборота компании за год, когда произошёл инцидент.
Источник: Экспертный центр Электронного государства
Читайте также:
Трансграничная электронная торговля становится важнейшим двигателем внешней торговли Китая
На днях на очередном заседании Госсовета КНР было принято важное решение о более широком распространении соответствующих правил и механизмов администрирования, аналогичных действующим в Китайской комплексной экспериментальной зоне трансграничной электронной коммерции города Ханчжоу.
Оформление паспортов в виде ID-карты стартовало в Украине
Государственная миграционная служба Украины сегодня начала оформление паспортов гражданина Украины в виде пластиковой карточки — ID-карты. Об этом в комментарии УНН сообщил руководитель пресс-службы ГМС Украины Сергей Гунько.