Лийза Леванди: обработка персональных данных не должна выходить за рамки острой необходимости
В мае Министерство финансов направило на публичное обсуждение новые принципы проведения государственных закупок, которые, в частности, касаются повышения социальной ответственности. Учитывая, что ежегодно госзакупки вливают в экономику 4-5 млрд евро, эта идея заслуживает одобрения. Однако нельзя забывать и о гарантии основных прав, в том числе права людей на защиту персональных данных, пишет Лийза Леванди.
На практике уже существует множество примеров государственных закупок с критериями, направленными на продвижение социальных ценностей. Однако зачастую эти критерии сформулированы таким образом, что требуют обработки данных о состоянии здоровья соответствующих лиц или их родственников.
К примеру, начисляются дополнительные пункты, если в состав команды, участвующей в тендере, входит человек, признанный частично нетрудоспособным или имеющий инвалидность. Аналогичным образом, дополнительные баллы могут быть начислены за то, что один из членов команды воспитывает ребенка с ограниченными возможностями. Учитывая особую деликатность данных о здоровье, неизбежно возникает вопрос о том, достаточно ли в этом процессе продумана защита персональных данных.
В соответствии с принципами целесообразности и минимальной обработки персональных данных, обработчик такой информации должен всегда оценивать, является ли состав персональных данных, которые будут использоваться, явно необходимым для достижения намеченных целей, или он в какой-то степени чрезмерный. Определять условия закупки также следует через призму пропорциональности.
Помимо прочего, социальные критерии не могут автоматически применяться одинаково ко всем закупкам. Поэтому заказчикам всегда надо сначала определить, насколько оценка тендерных предложений на основе чьих-либо персональных данных уместна в контексте предмета договора, а затем выбрать минимальный набор данных, необходимый для достижения поставленной цели.
Следует отметить, что социально ответственным является стремление к тому, чтобы объем собираемых персональных данных был как можно меньше, а более деликатные сведения, по возможности, вообще не собирать.
Добровольное согласие под вопросом
Однако в тех случаях, когда опираться на персональные данные все же необходимо, следует убедиться в наличии правовой основы для их обработки. Сам Закон о государственных закупках пока не содержит четких правовых оснований для обработки данных о здоровье, поэтому заказчикам следует опираться на Общее постановление о защите персональных данных (GDPR).
На практике в таких ситуациях в первую очередь полагаются на согласие лиц, о которых собирают данные. На первый взгляд, это может показаться логичным и обоснованным, однако, зная, что согласие на обработку персональных данных может быть действительным только в том случае, если оно дано добровольно, возникает ряд вопросов.
Например, под добровольным согласием подразумевается, что у человека есть реальный и свободный выбор, давать или не давать согласие на обработку персональных данных. Иными словами, человек не должен чувствовать давления на него. Кроме того, отсутствие согласия или его отзыв не должны иметь никаких негативных последствий для человека. Именно по этим причинам, как правило, согласие не считается возможным в ситуациях, когда лицо и оператор данных находятся в явно не равных позициях - например, в контексте трудовых отношений или когда персональные данные обрабатываются государственным учреждением.
Представим себе ситуацию, когда процедура госзакупок предусматривает начисление дополнительных баллов предложению, поданному компанией, в коллективе которой есть хотя бы один человек с частичной трудоспособностью. Это ставит предпринимателя в ситуацию, когда для того, чтобы рассчитывать на максимальное количество баллов в рамках процедуры госзакупок, ему ничего не остается, как получить согласие своего работника на раскрытие его медицинских данных. Тогда предприниматель обращается к своему сотруднику и предлагает ему повысить шансы на принятие участия в госзакупке, если работник согласится раскрыть заказчику свои медицинские данные, например, о частичной нетрудоспособности по состоянию здоровья.
Осмелюсь предположить, что большинство работников не чувствуют, что у них есть "реальный и свободный выбор", чтобы решить, давать или не давать согласие. Еще более сложной может оказаться ситуация, когда работника просят дать разрешение на раскрытие медицинской информации о его ребенке для подтверждения наличия у последнего инвалидности.
Если обеспечить добровольное согласие сложно, то соблюдать остальные условия наилучшим образом уже бесполезно. В любом случае вопрос о добровольном согласии остается открытым.
Может потребоваться создание отдельного правового основания
Если опираться на согласие невозможно, необходимо найти другое основание для обработки персональных данных.
Большинство оснований для обработки специальных категорий персональных данных требуют четкой юридической возможности или обязанности делать это в соответствии с законодательством Европейского союза или страны ЕС. Помимо информации о здоровье, к специальным категориям персональных данных относятся, например, сведения о расовом или этническом происхождении, а также данные о сексуальной ориентации.
При отсутствии подходящей правовой основы для обработки персональных данных может помочь изменение нормативно-правовых актов. Это потребует от законодателя оценки того, возможна ли вообще, в каком объеме и при каких условиях обработка специальных категорий персональных данных при государственных закупках. Это может быть сделано как для оценки тендерных предложений, так и впоследствии, на этапе исполнения договора, когда проверяется соблюдение условий. При этом законодатель должен предусмотреть соответствующие гарантии защиты основных прав и интересов граждан, поскольку основание, согласно которому предоставляется право на обработку деликатных персональных данных, должно быть подробным и конкретным.
Таким образом, можно было бы установить пределы и четко определить, в каком объеме и каким образом обработка, например, медицинских или иных деликатных данных для достижения социальных целей при государственных закупках является разумной и пропорциональной.
За законную обработку информации отвечает как участник тендера, так и заказчик
Следует также иметь в виду, что ответственность за обеспечение законности обработки персональных данных лежит, с одной стороны, на заказчике, а с другой - на предпринимателе, участвующем в государственных закупках в качестве работодателя. Поэтому и тем, и другим стоит тщательно продумать, насколько законно могут быть использованы персональные данные.
Если в действующих нормативно-правовых актах соответствующее основание для обработки специальных категорий персональных данных не может быть найдено, оно должно быть создано на законодательном уровне, либо персональные данные не должны обрабатываться вообще. Самодеятельность или закрытие глаз на недостатки регулирования не спасет ситуацию. В противном случае в развитии социальной ответственности мы будем делать один шаг вперед и два шага назад.
Редактор: Ольга Звягинцева