Общие положения | Законодательство о защите данных
Законодательство на национальном уровне
В Австралии принят федеральный Закон о конфиденциальности 1988 года (Privacy Act 1988, Cth, далее — «Закон о конфиденциальности»), а также другие законы, в том числе Закон об управлении налогами 1953 года, Закон о телекоммуникациях 1997 года, Закон о перехвате и доступе к сообщениям 1979 года, определяющие права и обязанности при обработке персональных данных и соблюдении права на частную жизнь.
Существенные изменения в Закон о конфиденциальности были внесены и вступили в силу 12 марта 2014 года — они касаются, среди прочего, прямого маркетинга, уведомлений об обработке данных, политик конфиденциальности, обработки нежелательных данных, передачи данных за пределы Австралии и кредитного скоринга.
За серьезные или систематические нарушения частной жизни предусмотрены значительные штрафы.
Австралийское федеральное правительство проводит с 2020 года пересмотр Закона о конфиденциальности.
В феврале 2023 был опубликован отчет по пересмотру закона, а в сентябре 2023 — официальный ответ на него.
В последней редакции правительство одобрило полностью или частично 106 из 116 предложенных реформ.
Первая волна изменений намечена на 2024 год; более масштабные изменения будут обсуждаться дополнительно.
Помимо федерального законодательства, ряд австралийских штатов и территорий приняли свои собственные законы о защите данных, касающиеся обращения с информацией государственными органами (например, в Новом Южном Уэльсе, в столичной территории, Северной территории, Квинсленде, Тасмании и Виктории).
Дополнительно в отдельных законах регулируются вопросы наблюдения, использования данных о судимости и медицинской информации.
В этом обзоре рассматривается только федеральный Закон о конфиденциальности, если специально не указано иное.
Вступление в силу
Закон о конфиденциальности действует с 1 января 1989 года.
Законом о поправках 2000 года введены положения о регулировании обработки персональных данных частным сектором, вступившие в силу 21 декабря 2001 года.
В 2012 году были приняты значительные изменения, вступившие в силу 12 марта 2014 года.
Закон о поправках, касающийся обязательного уведомления о нарушениях данных, начал действовать 22 февраля 2018 года.
Последние изменения 2022 года усилили санкции за серьезные или повторяющиеся нарушения права на частную жизнь, а также расширили полномочия Управления австралийского комиссара по информации (OAIC).
Национальный надзорный орган
Компетентным контролирующим органом по вопросам защиты персональных данных в Австралии является Управление австралийского комиссара по информации (Office of the Australian Information Commissioner, OAIC).
Адрес ведомства: GPO Box 5218, Sydney, NSW 2001.
Официальный сайт — www.oaic.gov.au.
Комиссар возглавляет OAIC и отвечает за большинство функций по защите персональных данных, включая рассмотрение жалоб субъектов данных.
Предшествующий орган, Office of the Privacy Commissioner, был интегрирован в OAIC с 1 ноября 2010 года; теперь комиссар совмещает должности Privacy Commissioner и Information Commissioner.
Уведомительная или регистрационная схема
Организации и госорганы, работающие с персональными данными, не обязаны проходить предварительную регистрацию или уведомлять об этом OAIC.
Освобождение от уведомления
Не применяется.
Сфера действия
Область действия
Закон о конфиденциальности распространяется на обработку персональных данных федеральными государственными учреждениями и частными организациями на территории Австралии.
Он также действует на зарубежные операции австралийских организаций и иностранных компаний, если у них есть «связь с Австралией».
Такая связь определяется наличием юрлица, зарегистрированного или действующего в Австралии, либо ведением бизнеса в Австралии или на её внешних территориях.
В 2023 году административный суд подтвердил, что для зарубежной компании достаточно «ведения бизнеса в Австралии», чтобы Закон о конфиденциальности распространялся на обработку данных по всему миру.
Понятие «ведение бизнеса в Австралии» толкуется широко — достаточно регулярно собирать данные с серверов в Австралии, даже без физического присутствия в стране.
В рамках пересмотра закона федеральное правительство обсуждает, не стоит ли добавить требование, чтобы персональные данные были связаны с Австралией, чтобы сузить сферу применения.
Если зарубежная деятельность организации необходима по закону другой страны, такое действие не считается вмешательством в частную жизнь по австралийскому закону.
В 2022 году было удалено дополнительное требование о физическом хранении данных в Австралии.
Понятия контролера и процессора
В Законе о конфиденциальности нет разграничения между контролером и процессором данных — все организации, на которые распространяется закон, именуются «APP-структурами».
Любая обработка данных этими организациями, будь то сбор, использование, хранение, раскрытие или иная форма обработки, подпадает под действие закона.
Охват бумажных и электронных данных
Закон регулирует работу с любыми персональными данными, собранными из любых источников и любыми способами, независимо от их материальной (электронной или бумажной) формы.
Национальные отступления
В основном Закон о конфиденциальности регулирует федеральные государственные органы и частный сектор, но агентства штатов предусматривают отдельное регулирование.
Закон освобождает от требований операторов малого бизнеса, если годовой оборот за прошлый финансовый год меньше 3 миллионов австралийских долларов, за исключением ряда случаев (например, если малый бизнес оказывает медицинские услуги и хранит такие сведения, раскрывает персональные данные за вознаграждение, либо является подрядчиком по федеральному контракту).
В рамках реформ этот механизм планируют отменить после анализа последствий и разработки программ поддержки малого бизнеса.
Исключения предусмотрены также для обработки данных в сугубо личных, семейных нуждах, для СМИ и политических партий, но для некоммерческих организаций общего освобождения нет.
Также имеется ограниченное исключение при обмене персональными данными (кроме чувствительных) между компаниями внутри одной группы.
Обработка персональных данных работников работодателями, связанных с трудовым договором, также в определенных случаях не регулируется этим законом.
Персональные данные
Что такое персональные данные
По определению Закона о конфиденциальности, термин «персональная информация» охватывает сведения или мнения о конкретном или потенциально определяемом человеке, независимо от формы существования этих данных (документированной или нет) и их правдивости.
Сравнение с GDPR не выявляет существенных различий.
Защита информации о юридических лицах
Данные о юридических лицах не признаются персональными, если только отдельно их нельзя идентифицировать как конкретное лицо (например, индивидуального предпринимателя, сотрудника, клиента, директора).
Однако в рамках режима Consumer Data Right (CDR) сведения о компаниях также могут попасть под защиту (см. далее о переносимости данных).
Правила обработки персональных данных
В Законе о конфиденциальности отсутствует термин «обработка» в европейском смысле, а разграничения между контролем и обработкой не проводится.
Каждая организация, подпадающая под действие закона, при любом взаимодействии с персональными данными (сбор, использование, хранение, раскрытие) должна соблюдать австралийские принципы конфиденциальности (Australian Privacy Principles, APPs), которые регулируют все этапы жизни данных — от получения до использования и передачи — и применяются как к частному сектору, так и к органам власти.
Общий принцип APP — использовать персональные данные только для той цели, ради которой они были собраны.
Использование или раскрытие для других целей (вторичных) возможно только с согласия субъекта данных или если вторичная цель тесно связана с основной, и субъект разумно может её ожидать.
Для чувствительных данных вторичная цель должна быть напрямую связана с основной. Существуют также исключения из этого общего правила.
Требования к согласию
Формальных процедур получения согласия в законе не закреплено (кроме ситуации с трансграничной передачей данных, описанной ниже).
Согласие может быть как явно выраженным, так и подразумеваемым, в устной или письменной форме, но обязательно предполагает, что субъект информирован о сути согласия и дал согласие добровольно.
Уровень необходимого согласия зависит, среди прочего, от возможных последствий для субъекта, если данные будут использованы или раскрыты.
В опубликованных рекомендациях APP указаны четыре признака действительного согласия: информированность лица; добровольность; актуальность и конкретность согласия; способность субъекта понять и выразить согласие.
Особые правила в отношении детей
Специальные положения по обработке данных несовершеннолетних в законе отсутствуют.
Однако в руководствах APP указывается, что организация должна в каждом случае оценить, обладает ли субъект младше 18 лет необходимым уровнем зрелости для осознанного согласия.
При отсутствии такой зрелости желательно получать согласие родителя или опекуна.
Как правило, если конкретно не оценивать каждое лицо, можно считать, что лицо старше 15 лет вправе дать согласие — если нет оснований считать иначе.
В рамках реформирования Закона о конфиденциальности предлагается ввести отдельный онлайн-кодекс для защиты детей и дополнительные меры безопасности для несовершеннолетних.
Правила для данных работников
Работодатели освобождены от требований Закона о конфиденциальности в части сбора и использования кадровых данных, если речь идёт о записях, непосредственно связанных с прежними или текущими трудовыми отношениями.
Это отличает Австралию от других юрисдикций. Однако прорабатывается вопрос введения дополнительных мер защиты для работников.
Исключение по записям применяется лишь к уже имеющимся у работодателя документам и не распространяется, в частности, на обработку данных независимых подрядчиков.
Кроме того, некоторые штаты вводят отдельные требования к наблюдению за сотрудниками — например, по установке камер или систем отслеживания в офисах требуется сообщение сотрудникам заранее.
Чувствительные персональные данные
Что такое чувствительные данные
Закон о конфиденциальности определяет «чувствительную информацию» в общем соответствии с международной практикой.
Правила обработки
Обычно для сбора чувствительных данных требуется согласие субъекта, при этом данные должны быть необходимы для одной или нескольких задач или функций организации.
Однако есть исключения — например, когда сбор обязателен по закону.
Некоммерческие организации могут собирать чувствительную информацию без согласия для собственных нужд, если сведения касаются исключительно их членов и используемые в рамках деятельности.
Использование или раскрытие чувствительных данных по другой (вторичной) цели возможно только если цель напрямую связана с основной, субъект дал согласие, раскрытие требуется по закону или применимо другое исключение.
Данные о судимостях
Данные о судимости по закону считаются разновидностью чувствительной информации, поэтому к ним применяются те же правила.
Формальности получения согласия для чувствительных данных
Дополнительных формальных требований к согласию при обработке чувствительных данных не установлено.
Специалист по защите данных
Необходимость назначения
Обязательного требования о назначении специалиста по защите данных нет.
Рекомендации APP советуют организациям назначать ответственного за приватность как элемент надлежащего управления для соблюдения законодательства о персональных данных.
Обязанности
Не применимо из-за отсутствия законодательной обязанности.
Ответственность и оценка воздействия на приватность
Требования к процедурам управления и политике
Принцип APP 1 требует, чтобы каждая APP-структура имела чёткую, актуальную и общедоступную (бесплатно) политику конфиденциальности, включающую сведения о способах сбора, хранения, целей использования, раскрытия персональных данных и правах субъектов на их данные.
Также организации обязаны принимать разумные меры для обеспечения соответствия своей деятельности принципам APP — что именно считается «разумным», зависит от размера и ресурсов организации, особенностей информации и практической реализуемости мер безопасности.
APP не допускают ссылку на неудобство или затраты как на оправдание отсутствия защиты.
В качестве примера рекомендуемых мер названы обучение персонала, регулярные аудиты и обновление процедур.
Обязательность оценки воздействия
Обязательной оценки влияния на частную жизнь нет, однако APP 1 рекомендует проводить такой анализ при запуске новых проектов по обработке данных.
Права субъектов данных
Уведомление
При сборе информации организация обязана обеспечить субъекту либо до, либо сразу после сбора информирование о своём наименовании, целях обработки, возможных получателях данных и содержании собственной политики приватности, в том числе о способах подачи жалобы.
Если информация собирается не напрямую у субъекта, организация также должна проинформировать его о тех же аспектах.
Право на доступ
Как общее правило, по запросу субъект имеет право получить доступ к своим данным.
Существуют исключения — например, если выдача данных может нарушить права других лиц или запрещена законом.
Право на переносимость
По запросу субъект имеет право потребовать предоставления сведений о себе в выбранной форме, если это практически осуществимо.
Организация, не могущая выдать данные в желаемом формате, обязана обосновать отказ.
С 2019 года действует закон о праве потребителя на данные (CDR), который предусматривает передачу определённых наборов данных по требованию субъекта.
Режим CDR последовательно внедряется: с июля 2020 — в банковском секторе, с 2022 — в энергетике, в 2024 расширится на open finance (концепция и практика в индустрии финансовых услуг, которая предполагает безопасный обмен финансовыми данными с поставщиками сторонних услуг через API).
В будущем планируется оценка эффективности системы и возможное расширение CDR на другие отрасли.
Лица и компании, которые могут быть идентифицированы по CDR-данным, имеют право получить эти сведения или запросить их передачу третьим лицам.
Право на забвение
На данный момент право на удаление своих данных отсутствует, однако рассматривается возможность его введения.
Субъекты могут требовать исправления некорректных, устаревших, неполных данных.
Если организация отказывает в исправлении, она обязана мотивированно сообщить обоснование отказа и способы обжалования решения.
APP 11.2 обязывает уничтожать или обезличивать данные, если нужды в их хранении больше нет.
Возражение против прямого маркетинга
Принципы APP запрещают использовать персональные данные для прямого маркетинга, если субъект не дал согласие или не действует исключение — например, субъект разумно ожидал использования информации для рекламы, организация предлагает простой механизм отказа (opt-out), и субъект не воспользовался им.
Если данные были получены от третьей стороны или субъект не ожидал их использования в маркетинге — согласие обязательно.
Согласие требуется всегда для маркетинга чувствительных данных.
Исключения есть для подрядчиков, работающих по государственным контрактам.
Закон о запрете телемаркетинга и Закон о борьбе со спамом дополнительно регулируют эти вопросы.
Прочие права
Субъект данных вправе не раскрывать своё имя, если по закону разрешено анонимное взаимодействие с организацией.
Жалобы на нарушения прав подаются комиссару, который проводит расследование.
Планируется ввести право на возражение против сбора, использования или раскрытия персональных данных, прямое судебное право и правовое средство в виде специального деликта за вторжение в частную жизнь.
Безопасность
Требования к обеспечению безопасности
Принцип APP 11 предполагает, что организации принимают активные меры для защиты сохранности персональных данных, предотвращения неправомерного доступа, утраты или изменений, а также регулярно проверяют обоснованность хранения данных.
Закон не требует введения конкретных стандартов ИБ.
OAIC выпустил «Руководство по обеспечению безопасности персональной информации», где среди разумных мер названы: анализ характера и объёма обрабатываемых данных, последствий утечки, стоимости и трудоёмкости внедряемых мер и потенциального нарушения приватности самой мерой безопасности.
Это руководство неприменимо как закон, но дополняет требования APP и руководство о действиях при нарушениях данных.
Ожидается дальнейшее уточнение понятия «разумных мер» в будущих реформах.
В определённых случаях законы требуют специальных мер защиты — например, для данных об отчетности по кредитам, идентификации по налоговым номерам и медицинских данных.
Разрабатывается программа по унификации многочисленных разрозненных обязательств по хранению и уничтожению различных видов персональных данных.
Передача данных третьим сторонам
Прямых требований к работе с данными у внешних подрядчиков нет, однако организации несут обязательства по APP 11 — они должны добиваться того, чтобы их подрядчики принимали аналогичные меры защиты и информировали о возможных инцидентах неправомерного доступа.
Как правило, эти меры обеспечиваются контрактами с подрядчиками. В ряде случаев для их исполнения требуется проведение аудита или проверки добросовестности контрагента, особенно при передаче данных облачным провайдерам, что рассматривается в рекомендациях OAIC.
Уведомление о нарушениях
С 2018 года действует обязательный порядок уведомления о серьезных нарушениях конфиденциальности (NDB Scheme).
Если обнаружено несанкционированное получение, раскрытие или утрата персональных данных, и есть основания считать, что это может привести к серьёзному ущербу, необходимо уведомить OAIC и всех затронутых (или находящихся в зоне риска) субъектов данных при первой возможности. Исключение — если своевременно приняты меры, исключающие возможность ущерба.
Если есть подозрение, что нарушение могло произойти, организация обязана в течение 30 дней провести расследование.
В рамках реформ предлагается сократить срок обязательного уведомления до 72 часов, чтобы привести австралийское регулирование в соответствие с мировыми стандартами.
Передача персональных данных за рубеж
Ограничения на трансграничную передачу данных
Принцип APP 8 регулирует «раскрытие» данных зарубежным организациям независимо от физического перемещения информации.
Перед раскрытием организация обязана принять разумные меры для того, чтобы зарубежный получатель не нарушал австралийские требования к защите данных.
Это требование не действует, если: а) получатель подчиняется закону или системе, сопоставимым с APP и подконтрольным субъекту; б) субъект дал явно выраженное согласие на особую передачу, осознавая свою уязвимость и невозможность получить защиту по австралийскому закону; в) действует специально оговоренное исключение.
Согласие должно быть явно выраженным, причем человек должен быть заранее информирован о последствиях и невозможности получения защиты по австралийскому праву.
Чаще всего разумной мерой защиты становится обязательство зарубежного получателя соблюдать австралийские стандарты приватности — это оговаривается в контракте.
Если зарубежный получатель нарушает APP, несмотря на все меры, ответственность несет первая (австралийская) организация.
Также организация должна принять меры безопасности при передаче данных за рубеж.
Прямого механизма обязательного уведомления или согласования с OAIC при трансграничной передаче нет.
Обязательные корпоративные правила
В Австралии пока нет специального режима по признанию внутригрупповых корпоративных правил, однако существование таких правил может учитываться для обоснования передачи данных зарубежным получателям, подчиняющимся сопоставимой системе, включая международные корпоративные стандарты.
Применение норм и санкции
Штрафы
OAIC вправе обращаться в Федеральный суд для взыскания штрафа за серьезные или систематические нарушения — для физлиц до 2,5 млн австралийских долларов, для компаний — наибольшая из трех сумм: 50 млн долларов; утроенная прибыль, полученная за счёт нарушения; 30% оборота компании за период нарушения, если ущерб невозможно оценить.
Это регуляторные штрафы — они не выплачиваются пострадавшим.
Кроме того, комиссар может налагать штрафы за отказ предоставить запрошенную информацию без обращения в суд.
Планируется введение пошаговых (многоуровневых) штрафов за административные и средние по тяжести нарушения.
Уголовная ответственность
Нарушения Закона о конфиденциальности не влекут уголовного наказания. Комиссар не может инициировать дела о лишении свободы за такие проступки.
Рассматривается возможность криминализации умышленного восстановления обезличенных данных для причинения вреда или извлечения незаконной выгоды.
Компенсация
По итогам расследования жалобы комиссар вправе примирить стороны либо вынести решение — обязать организацию компенсировать расходы и/или ущерб, не повторять нарушения, предпринять меры по устранению последствий или совершить иные разумные действия.
Решение комиссара не обязательно к исполнению, но пострадавший или комиссар могут обратиться в суд для его принудительного исполнения.
Прочие полномочия
OAIC также компетентен к аудиту (assessment), заключению исполнимых обязательств с организациями, разработке и регистрации кодексов приватности, получению судебного запрета на нарушение закона.
OAIC обладает широкими полномочиями по сбору и обмену информацией с другими органами и общественностью — в том числе по расследованию нарушений и обмену сведениями с государственными структурами для смягчения последствий инцидентов с данными.
Правительство планирует предоставить OAIC дополнительные средства для судебных расследований и расширить возможности по публичным расследованиям и обзорам.
Практика применения
OAIC ранее придерживалось примирительного подхода, но сейчас стало активнее применять санкции и проводить расследования.
Согласно отчету за 2022/2023, было вынесено 9 официальных решений по жалобам, 94% споров разрешались на ранних стадиях.
Меры включали извинения, корректировку данных, обязание разработать план реагирования на инциденты, не повторять нарушения, а также выплату компенсаций от 1 500 до 2 150 австралийских долларов.
За тот же период начато и завершено по 28 расследований, подано 895 официальных уведомлений о нарушениях.
В 2022/2023 году произошли самые масштабные утечки за всё время действия режима уведомления, начаты расследования крупных инцидентов Optus, Medibank, Latitude Group и Australian Clinical Labs; в 2023 году против Optus и Medibank инициированы коллективные иски.
В отличие от антимонопольного регулятора ACCC, OAIC редко заключает официальные мировые соглашения.
Впервые в 2020 году OAIC подало гражданский иск в Федеральный суд против Facebook Inc. и Facebook Ireland за серьёзные/систематические нарушения.
В 2023 аналогичный иск инициирован против Australian Clinical Labs за неадекватную защиту данных миллионов австралийцев.
ACCC также проявляет активность по вопросам прозрачности, например, через запреты на обман и введение в заблуждение (Австралийский закон о потребителях, ACL).
В 2021 ACCC выиграло дело против Google из-за неправомерного сбора данных о геолокации.
В 2023 Meta понесло ответственность за недостоверное информирование пользователей; при этом ACCC не всегда добивается успеха (так, одно из дел против Google завершилось в 2022 году без санкций).
ACCC также является основным регулятором для режима CDR.
Приватности в сети | Маркетинг и cookies
Законодательство
Сфера рассылки рекламы по e-mail регулируется Законом о борьбе со спамом 2003 года (Spam Act), который вступил в силу 10 апреля 2004 года.
Телемаркетинг и факсовый маркетинг контролируются Законом о национальном реестре отказавшихся от звонков (DNCR Act) и сопутствующими регламентами; его ключевые положения действуют с 31 мая 2007 года.
Дополнительно приняты обязательные отраслевые стандарты 2007 и 2011 годов. APP 7 регулирует рекламу, но не применяется в том объёме, в котором действуют Spam Act или DNCR Act.
Оба акта контролируются австралийским регулирующим органом в сфере коммуникаций и СМИ (ACMA).
Закон 2022 года расширил права ACMA по обмену информацией с другими федеральными органами, если это необходимо для исполнения функций.
Cookies
Прямого регулирования использование cookies не имеет, однако персональные данные, собираемые через cookies, подпадают под защиту Закона о конфиденциальности.
В рамках реформирования закона планируется расширить определение персональных данных, чтобы покрыть технически выводимые сведения, если по ним можно идентифицировать человека, так что данные из cookies, вероятно, будут подпадать под это определение.
Рассылка по электронной почте
Для отправки коммерческой электронной корреспонденции Spam Act требует указания отправителя, обязательного получения согласия получателя и наличия функциональной ссылки на отказ (unsubscribe).
Закон распространяется на сообщения, если отправитель или получатель находится в Австралии, либо бизнес управляется из Австралии.
Различий между рассылкой на частные и корпоративные адреса нет.
Из закона выведены сообщения, отправляемые госорганами, политическими партиями, религиозными организациями и некоторыми благотворительными учреждениями — при соблюдении определённых условий.
Отдельно регулируется факсовый маркетинг — он скорее подпадает под DNCR Act.
Согласие на рассылку может быть явно выраженным или подразумеваемым из поведения или существующих отношений между отправителем и адресатом.
В ряде случаев согласие может быть предположено на основании опубликованного адреса.
За нарушение Spam Act предусмотрены гражданско-правовые санкции.
ACMA считает борьбу со спамом, SMS-мошенничеством и принудительное соблюдение требования о наличии функциональной ссылки на отказ (unsubscribe) одним из приоритетов.
В 2023 наложены крупные штрафы, в том числе 2 млн долларов на DoorDash Inc и 3,5 млн долларов на Commonwealth Bank of Australia Ltd.
Телефонный маркетинг
DNCR Act создал национальный «Реестр отказавшихся от звонков», в который могут быть занесены стационарные и мобильные телефоны, закреплённые за физическими лицами.
Абоненты с такими номерами вправе требовать не получать рекламу по телефону; несанкционированные звонки таким адресатам считаются нарушением.
Закон различает категории номеров: для частных/домашних пользователей, исключительно для факсов, госорганов и экстренных служб — только такие входят в реестр.
Оставшиеся (например, корпоративные) телефоны, как правило, не подпадают под DNCR Act.
Для деятельности, выходящей за рамки этого закона, действует индустриальный стандарт: он устанавливает минимальные требования к времени, целям, источникам, прекращению звонков и отображению номера.
Исключения по DNCR Act делают для звонков, санкционированных государством, религиозными организациями или благотворительными учреждениями, но эти организации при определенных звонках всё равно подпадают под индустриальный стандарт.
Если абонент ранее дал явно выраженное или подразумеваемое согласие на звонки, реклама допускается.
За нарушение предусмотрены гражданские штрафы и возможность судебного запрета (injunction).
|
Хотите узнать больше? Нужна юридическая помощь? Звоните и пишите нам, не откладывая! Телефон: +7-495-201-68-31 Электронная почта: inbox@shewzov.ru |