Служба электронной безопасности Министерства транспорта¸ связи и высоких технологий Азербайджана готовит свод законов по защите персональных данных.

Как сообщил TIME руководитель Службы электронной безопасности Фаиг Фарманов, в процессе разработки нового законодательства используется международный опыт и нормативно-правовые акты.

«Азербайджан в рамках международного взаимодействия со странами Европы, наряду с защитой персональных данных граждан страны, должен также обеспечить защиту персональных данных иностранных граждан, проживающих и осуществляющих деятельность на территории нашей страны, а также туристов. Исходя из этого мы в качестве основы азербайджанского законодательства в области защиты персональных данных берём Генеральный регламент о защите персональных данных (GDPR) Европейского Союза», – сообщил Ф. Фарманов.

Отметим, что GDPR направлен прежде всего на то, чтобы дать гражданам контроль над собственными персональными данными, и на упрощение нормативной базы для международных экономических отношений путём унификации регулирования в рамках ЕС.

Ключевые принципы GDPR:

Законность, справедливость и прозрачность — должны быть легальные основания в рамках GDPR для сбора и использования данных, не нарушение любых законов, открытость, честность от начала и до конца об использовании персональных данных.

Все конкретные задачи должны быть закреплены в политике конфиденциальности и должны чётко соблюдаться.

Минимизация использованных данных — использование адекватного количества данных для выполнения поставленных целей ограниченных только необходимым количеством;

Точность — персональные данные должны быть точными и не должны вводить в заблуждение; исправление неправильных;

Ограничение хранения данных — не хранить данные дольше чем нужно, периодически проводить аудит данных и удалять неиспользуемые;

Целостность и конфиденциальность/безопасность — хранить данные в безопасном месте и уделять достаточное внимание сохранности данных;

Подотчётность — ответственность за обработку персональных данных и выполнение всех остальных принципов GDPR включая записи о конфиденциальности; защите, использовании, проверки данных; назначении должностного лица по защите данных (англ. DPO, data protection officer).

Важным моментом является то, что GDPR применим и к тому, кто обрабатывает данные, и к тому, кто собирает данные. Тот, кто собирает данные, определяет цель и значение обработки персональных данных, а обработчик ответственен за непосредственную обработку данных, но оба несут ответственность за соблюдение норм GDPR.

В странах ЕС за невыполнение закона в облласти защиты персональных данных накладывается штраф до 20миллионов евро или до 4% от годового мирового оборота компании за предыдущий финансовый год, в зависимости от того, что больше.

В законе расширено понятие персональных данных, введены понятия «трансграничной передачи данных», «псевдонимизации», установлено «право на забвение», определена роль должностного лица по защите данных (англ. DPO, data protection officer).

В частности введены такие понятия как Data controller — контролёр данных — организация, которая собирает данные от резидентов ЕС; Data processor — обработчик данных — организация, которая обрабатывает данные от имени контроллёра данных, например, поставщик облачных услуг; Data subject (person) — субъект данных (лицо) — физическое лицо; Special categories of personal data — специальная категория персональных данных — данные о расе, политическом мнении, религиозных или философских убеждениях, генетические данные, членство в профсоюзах, биометрические данные позволяющие определить конкретного человека, данные о здоровье, сексуальная ориентация.