Файл: Персональные данные в системе информации ограниченного доступа.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 03.12.2023
Просмотров: 126
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
123 соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных (далее – Требования, они подразделяются на 5 основных видов, в зависимости от категорий персональных данных, обрабатываемых в них информационные системы, в которых обрабатываются специальные категории персональных данных (касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных информационные системы, в которых обрабатываются биометрические персональные данные информационные системы, в которых обрабатываются общедоступные персональные данные информационные системы, в которых обрабатываются персональные данные работников/сотрудников оператора информационные системы, в которых обрабатываются иные категории персональных данных. В тоже время в соответствии с Требованиями выбор организационных и технических мер защиты информации в информационных системах персональных данных зависит от 3 критериев Категорий персональных данных. Соответственно обработка в информационной системе специальных категорий персональных данных или биометрических персональных данных существенно повышает требования к их защищенности, в то время как обработка только общедоступных персональных данных существенно их снижает Объема данных. Требования защищенности информационной системы повышаются с возрастанием количества субъектов персональных данных, данные о которых содержатся в системе Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных постановление Правительства РФ от 01.11.2012 № 1119.
124
▪ Видов угроз, которые актуальны для информационной системы в части появления недокументированных (недекларированных) возможностей в системном или прикладном программном обеспечении. Всего три типа угроз для го типа вероятны недокументированные (недекларированные) возможности в системном программном обеспечении для го типа – в прикладном программном обеспечении, для го типа – иные недокументированные (недекларированные) возможности. Используя эти критерии, устанавливаются 4 уровня защищенности, каждый из которых со своим обязательным перечнем организационных и/или технических мер, обусловленных определенной комбинацией названных выше критериев. Соответствие уровня защищенности вышеуказанным критериям можно представить в виде следующей таблицы (см. табл. 1). Таблица 1 Требуемый уровень защищенности Предполагаемый тип угроз Категории персональных данных Объем данных количество субъектов, данные о которых содержит ИСПД
1
) й тип й тип й тип Спец. кат.
ПД
2
Био- мет- рич.
ПД Иные
ПД Общедоступные
ПД Более
100 тыс. Менее
100 тыс. й уровень Х Х Х Х Х Х й уровень Х Х Х Х Х Х Х Х Х Х Х Х Х Х Х й уровень Х Х Х Х Х Х
1
ИСПД – информационная система персональных данных
2
ПД – персональные данные
125 Х Х Х Х Х Х Х Х й уровень Х Х Х Х Х В соответствии сданными таблицы для установления того или иного уровня защищенности достаточно наличия у информационной системы одного из наборов соответствующих показателей, каждый набор при этом соответствует одной из строчек таблицы, те. для установления, к примеру, 1 ровня защищенности достаточно наличия одного из двух наборов критериев, а для го — шести и т.д. Каждый уровень защищенности обеспечивается путем выполнения оператором информационной системы персональных данных соответствующих требований, которые целесообразно представить также в виде таблицы (см. табл. 2): Таблица 2 Уровни защищенности
ИСПД Требования, необходимые к выполнению оператором й уровень й уровень й уровень й уровень Организация режима обеспечения безопасности помещения, где размещается
ИСПД, препятствующего возможности неконтролируемого проникновения или пребывания, лиц, не имеющих доступа
Обеспечение сохранности носителей ПД
Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к ПД, обрабатываемым в ИС, необходим для выполнения ими служебных (трудовых) обязанностей
Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз
126 Не применяются Назначение должностного лица (работника, ответственного за обеспечение безопасности ПД в ИС
Не применяются регистрация в журнале безопасности изменений полномочий сотрудника оператора по доступу к ПД, содержащимся в ИС
Не применяются Создание структурного подразделения, ответственного за обеспечение безопасности ПД в ИС либо возложение ее на имеющееся структурное подразделение
Анализ приведенных данных позволяет говорить о том, что объем требований, а, следовательно, и уровень защищенности информационной системы повышается от четвертого уровня к первому уровню. Наиболее защищенным является первый уровень, для реализации которого к оператору предъявляется наибольший объем требований. Приведенные перечни требований к организационными техническим мерам защиты информационных систем персональных данных были еще более подробно раскрыты в Приказе ФСТЭК от 18 февраля 2013 года, который уже детально раскрывает состав и содержание организационных и технических мер по защите персональных данных при их обработке в информационных системах персональных данных. На основании этого документа в зависимости от требуемого уровня защищенности оператору необходимо применять следующие меры по обеспечению безопасности информационных систем персональных данных идентификация и аутентификация субъектов доступа и объектов доступа управление доступом субъектов доступа к объектам доступа ограничение программной среды защита машинных носителей информации, на которых хранятся и
127 или) обрабатываются персональные данные регистрация событий безопасности антивирусная защита обнаружение (предотвращение) вторжений контроль (анализ) защищенности персональных данных обеспечение целостности информационной системы и персональных данных обеспечение доступности персональных данных защита среды виртуализации; защита технических средств защита информационной системы, ее средств, систем связи и передачи данных выявление инцидентов (одного события или группы событий, которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее – инциденты, и реагирование на них управление конфигурацией информационной системы и системы защиты персональных данных»
1
Приведенные меры могут иметь различное содержание и также варьируются в зависимости от требуемого уровня защищенности информационной системы и предполагаемых типов угроз, описанных ранее, на основании чего формируется базовый набор мер, соотношение которых подробно раскрывается в Приложении к составу и содержанию мер по обеспечению безопасности персональных данных в информационных системах персональных данных. Предполагается, что оператор на основании анализа информационной системы и ее параметров адаптирует указанный
1
Приказ ФСТЭК России Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных от 18 февраля 2013 г. № 21.
128 базовый набор мер, исходя из структурно-функциональных ее характеристик. При этом оператор обязан проводить оценку эффективности принимаемых мер не реже одного раза в 3 года, как самостоятельно, таки с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите информации. В соответствии счастью статьи 12 Федерального закона О лицензировании отдельных видов деятельности к лицензируемым видам деятельности относятся деятельность по разработке и производству средств защиты конфиденциальной информации и деятельность по технической защите конфиденциальной информации. На основании этих положений приняты соответствующие постановления Правительства О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации и О лицензировании деятельности по технической защите конфиденциальной информации. Оба эти документа не проводят никакого различия между различными видами конфиденциальной информации, а, следовательно, в одинаковой степени применимы для оценки применяемых оператором мер по защите конфиденциальности персональных данных, в тех случаях, когда требуется использование технических средств. Последнее еще более показывает на общность мероприятий, методики алгоритмов защиты информации ограниченного доступа, включая обеспечение ее конфиденциальности. Таким образом, конфиденциальность информации является, с одной стороны, необходимым элементом защиты информации ограниченного доступа, с другой стороны, определенным ее состоянием, когда исключается неправомерный доступ к ней, достигаемым путем реализации комплекса мер правового, организационного и технического характера. Соответственно конфиденциальность следует трактовать как –
1
О лицензировании отдельных видов деятельности федер. закон от 04.05.2011 № 99-ФЗ (ред. от
30.12.2015) (с изм. и доп, вступ. в силу с 01.01.2017).
129 элемент правового режима информации ограниченного доступа, выражающегося в реализации конфидентом комплекса мероприятий правового, организационного и технического характера, направленного на исключение возможности неправомерного доступа к ней Конфиденциальность в определенном смысле можно рассматривать и как необходимое режимное требование, обращенное к конфиденту – оператору, работнику, иному лицу, которое имеет доступ к конфиденциальной информации на законном основании. Указанное требование может быть установлено обладателем информации или на основании закона. Требует также определенного пояснения и тот факт, что требование конфиденциальности может иметь различное содержание, в том числе и применительно к различным видам правоотношений. Все вышесказанное в большей степени применимо к административным, информационным, гражданско-правовым отношениям, тогда как в трудовых отношениях требование конфиденциальности может иметь несколько иное значение, которое скорее можно рассматривать как часть должностных обязанностей, связанных с определенным порядком работы с информацией при их исполнении.
130 ГЛАВА 3. ФОРМИРОВАНИЕ РОССИЙСКОГО И ЗАРУБЕЖНОГО ЗАКОНОДАТЕЛЬСТВА О ПЕРСОНАЛЬНЫХ ДАННЫХ
1 2 3 4 5 6 7 8 9 10 11
3.1. Современные тенденции развития законодательства о персональных данных в зарубежных странах Проблема защиты персональных данных уже давно не является чем-то новым для большинства государств мира. Законодательная основа для правового регулирования персональных данных начала формироваться уже более 40 лет назад. В Европе, равно как ив США, в конце х годов, как результат оценки рисков для прав и свобод в условиях развития новых информационных технологий обработки информации, появляются законы о защите персональных данных. Первый закон о персональных данных был принят в Германии в федеральной земле Гессен еще в 1970 году, и впоследствии лег в основу федерального закона, принятого в 1977 году. Первые законы о защите данных при их автоматической обработке на национальном уровне появились в 1973 в Швеции, ив году в США (Акт о защите частной жизни – Privacy В целом в мире, поданным организации Прайваси Интернэшенал, законодательство о защите персональной информации принято более чем в
100 странах, в число которых вошла и Россия. Законодательство о защите неприкосновенности частной жизни и защите персональных данных имеет схожие тенденции развития, что объясняется, в определенной степени, принятием на международном уровне соответствующих документов, направленных на гармонизацию национальных законов, а также общими целями защиты – защита прав и свобод субъекта (индивида) при обработке данных.
1
The Privacy Act of 1974, 5 U.S.C. § 552a. – (https://www.gpo.gov/fdsys/pkg/USCODE-2012-title5/pdf/USCODE-
2012-title5-partI-chap5-subchapII-sec552a.pdf). – Дата обращения 02.05.2017.
2
Banisar, D. National Comprehensive Data Protection / D. Banisar // Privacy Laws and Bills. – 2016. – 28 Nov. –
(https://ssrn.com/abstract=1951416 or http://dx.doi.org/10.2139/ssrn.1951416). – Дата обращения 02.05.2017.
131 Нормативные и декларативные документы о защите данных приняты в рамках некоторых региональных и универсальных объединений государств. В тоже время в связи с обилием этих документов целесообразным видится рассмотрение не всех их, а наиболее авторитетных источников, которые оказали значительное влияние на формирование национальных систем защиты персональных данных, тес анализа и правовой оценки источников международного права, которые могут дать общее представление о развитии законодательства в области защиты данных, являясь своего рода обобщением национального опыта и практики, отмечая при этом характерные особенности в правовом регулировании отдельных стран. Международные источники рассмотрены далее преимущественно в хронологическом порядке их появления, их места в системе источников права соответствующих международных организаций, а также сточки зрения их влияния на национальное законодательство и практику.
Организация по экономическому развитию и сотрудничеству
Первым документом такого рода стали Основные положения Организации по экономическому развитию и сотрудничеству (ОЭСР), о защите неприкосновенности частной жизни и международных обменов персональными данными (далее по тексту – Основные положения, которые были приняты 23 сентября 1980 года. Предпосылкой для создания документа стала необходимость объединения усилий государств в области защиты персональных данных при их трансграничной передаче, исходя из того, что различия в национальном законодательстве могут вызвать серьезные проблемы в важных секторах экономики (банковском деле, страховании и т.д.). Разработчиком выступила приглашенная группа экспертов во главе с судьей М.Д. Кирби, председателем австралийской комиссии по реформированию судебной системы, которая и подготовила текст Рекомендаций Совета ОЭСР в области защиты неприкосновенности
1
OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data. – (http://www.oecd.org
/sti/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm). – Дата обращения
02.04.2017.
132 частной жизни и международных обменов персональными данными
1
Основной целью принятия рассматриваемого документа было скорее упрощение международного трансграничного обмена персональными данными между государствами-участниками при условии соблюдения необходимых гарантий неприкосновенности частной жизни, что должно было способствовать экономическому и социальному развитию государств
2
В целом сферу действия Основных положений можно сформулировать как автоматизированная обработка персональных данных в государственном и частном секторе экономики, которая может нести угрозу нарушения неприкосновенности частной жизни и других индивидуальных свобод. При этом упоминалась возможность распространения действия Основных положений не только на автоматизированную обработку персональных данных, но и возможность установления государствами- участниками ОЭСР в своем законодательстве дополнительных мер защиты неприкосновенности частной жизни и индивидуальных свобод. В качестве исключений для применения Основных положений к обработке данных были названы суверенитет и безопасность государства и публичный порядок, с упоминанием того, что такие случаи должны быть редкими и обязательно известны общественности. Основу правового механизма защиты прав индивида, предложенного Основными положениями, составляет ряд принципов, изложенных в части 2 документа, к которым были отнесены
– ограничение объема данных
– качество данных
– конкретизация целей
– ограничение на использование данных
– обеспечение безопасности
– открытость
1
Там же. – EXPLANATORY MEMORANDUM.
2
Там же. – Часть первая, § 2 и 3.
3
Там же. – Часть первая, § 2 и 3.
133
– индивидуальное участие (контроль субъекта данных
– ответственность. Именно эти 8 принципов стали в итоге основой для формирования национального законодательства в странах-участницах ОЭСР. В отношениях между собой государства-участники обязывались принимать разумные и должные меры к обеспечению непрерывного и безопасного международного обмена персональными данными, единственным исключением к созданию препятствий и ограничений рассматривалась невозможность обеспечения защиты персональных данных другим государством-участником. В качестве механизма реализации обязательств, вытекающих из Основных положений, государствам предлагалось принять соответствующее внутреннее законодательство, поощрять и поддерживать саморегулирование, обеспечить наличие разумных механизмов реализации прав субъекта, предусмотреть санкции и иные средства защиты прав субъекта, обеспечить недискриминационное отношение к субъектам данных. Обязательства по реализации Основных положений взяли на себя 34 государства-участника ОЭСР: Австралия, Австрия, Бельгия, Канада, Чехия, Дания, Франция, Германия, Венгрия, Исландия, Италия, Япония, Корея, Нидерланды, Новая Зеландия, Норвегия, Польша, Испания, Швейцария, Великобритания, США, те. почти всеведущие страны Европы, а также страны с развитой экономикой по всему миру. Кроме этого, по собственной инициативе присоединилось еще одно государство, не являющееся участником ОЭСР – Албания. Обязательства по рассматриваемому документу были выполнены еще в 1998 году всеми государствами- участниками ОЭСР, как было заявлено на встрече министров в Оттаве
2
В дальнейшем в рамках ОЭСР была создана система мониторинга реализации государствами Основных положений, а также, учитывая
1
The OECD Privacy Framework, 2013 OECD. – (http://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf).
– Дата обращения 02.05.2017. – P. 2.
2
Report on the Cross-Boarder Enforcement of the Privacy Laws, OECD 2006. – (http://www.oecd.org/sti/ieconomy
/informationsecurityandprivacy.htm). – Дата обращения 02.05.2017. – P. 12.
134 масштабы глобализации электронной торговли, – специальная рабочая группа по информационной безопасности и защите частной жизни. Последняя совместно с Секретариатом ОЭСР регулярно, разв года, по итогам мониторинга подготавливает доклады о состоянии реализации участниками своих обязательств. По оценкам специалистов рабочей группы, во всех государствах-участниках ОЭСР, несмотря на наличие иногда существенных отличий в подходах государств к регулированию обработки персональных данных, выполнены обязательства, указанные в Основных положениях. Среди этих государств, особняком выделяются государства ЕС и Совета Европы, где помимо Основных положений фактором гармонизации можно назвать Конвенцию Совета Европы о защите личности в связи с автоматической обработкой персональных данных, а также Директиву ЕС
95/46/ЕС
2
. В этих государствах были приняты законодательные акты, в полной мере охватывающие все обязательства, вытекающие из Основных положений. Типичным органом защиты прав субъекта персональных данных в этих государствах стали комиссары, специальные уполномоченные по защите данных или специальные комиссии. Остальные государства ОЭСР также приняли специальное законодательство в области защиты персональных данных, возложив обязанности по контролю на уже существующие органы государственной власти. Канада, Австралия, Новая Зеландия выполнили все требования по принятию законодательства, учредив в качестве уполномоченного органа по защите данных специальных комиссаров по защите данных. Особый подход отмечен лишь у США, где наиболее сложная система уполномоченных органов, поскольку их четыре, и каждый отвечает за свой аспект. Аналогичным образом устроено и законодательство, причем урегулирован на уровне федерального законодательства в целом лишь публичный сектор, тогда как частный в
1
Report on the Cross-Boarder Enforcement of the Privacy Laws, OECD 2006. – (http://www.oecd.org/sti/ieconomy
/informationsecurityandprivacy.htm). – Дата обращения 02.05.2017. – P. 12–18.
2
Там же.
135 большей степени действует на основе принципа саморегулирования. Более подробно особенности правового регулирования персональных данных в США будут рассмотрены далее. В 2013 году рабочая группа экспертов ОЭСР подготовила новую версию Основных положений, которая была утверждена Советом ОЭСР 11 июля 2013 года. Основанием к подготовке обновленной версии Основных положений стало признание существенной роли, которую стали играть персональные данные в экономике, обществе и повседневной жизни. Причиной этого стали глубокие и значительные изменения в информационной среде и экономике, которые создают дополнительные угрозы правам человека. Согласно отчету экспертов рабочей группы, изменения коснулись трех концептуальных идей (концептов):
– формирование национальной стратегии защиты частной жизни приватности, требующей координации на самом высоком правительственном уровне, при наличии эффективных национальных законов о персональных данных
– формирование эффективных управленческих практик по защите частной жизни, которые могут стать ключевым звеном в фактическом или практическом обеспечении прав личности
– извещение о нарушении безопасности (конфиденциальности) персональных данных, при этом информация о нарушении должна доводиться не только до сведения контролирующего органа, но и непосредственно до субъекта данных. Как следствие в обновленной версии Основных положений появились положения, касающиеся обязанностей оператора, расширения прав субъектов персональных данных, а также положения о контролирующем органе, включая его понятие.
1
The OECD Privacy Framework, 2013 OECD. – (http://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf).
– Дата обращения 02.05.2017. – P. 3.
136 Примечательно, что Россия предприняла ряд усилий по вступлению в число стран ОЭСР, ив году Совет ОЭСР принял Дорожную карту по присоединению Российской Федерации к Конвенции об Учреждении ОЭСР
1
В тоже время среди указанных направлений сотрудничества на тот момент, как, впрочем, ив последующем, вопросы, касающиеся защиты персональных данных небыли обозначены. По сообщению сайта ОЭСР процесс вступления Российской Федерации официально временно приостановлен с 13 марта 2014 года
2
Совет Европы
В рамках Совета Европы можно говорить о двух аспектах правового регулирования обработки персональных данных. Первый связан с существующим наднациональным механизмом защиты прав субъекта персональных данных через уже имеющийся и эффективно функционирующий механизм Конвенции о защите прав человека и его основных свобод (далее по тексту – Конвенция. Речь идет о деятельности Европейского суда по правам человека (далее по тексту – Суд) в рамках толкования и защиты права на уважение частной жизни, предусмотренного статьей 8 Конвенции. Данный документ, как и практика Суда, являются в соответствии с Протоколом № 11 4
обязательными для стран-участниц, а это
47 европейских государств, включая Россию
5
Несмотря на то, что напрямую в Конвенции ничего не говориться о персональных данных и правовом регулировании их обработки и многих других подобных аспектах, действие ее распространяется на правовое регулирование персональных данных в той части, которая затрагивает
1
Дорожная карта присоединения Российской Федерации к Конвенции об учреждении ОЭСР (принята на й сессии Совета ОЭСР 30 ноября 2007). – (http://oecdru.org/zip/ROADMAP_RUS.doc). – Дата обращения 02.05.2017.
2
Вступление России в ОЭСР. – (http://oecdru.org/roadmap.html). – Дата обращения 02.05.2017.
3
Конвенция о защите прав человека и основных свобод (заключена в Риме 04.11.1950) (с изм. от
13.05.2004). Вместе с Протоколом № 1 (подп. в Париже 20.03.1952); Протоколом № 4 об обеспечении некоторых прав и свобод помимо тех, которые уже включены в Конвенцию и первый Протокол к ней (подп. в Страсбурге 16.09.1963); Протоколом № 7 (подп. в Страсбурге 22.11.1984).
4
Протокол № 11 к Конвенции о защите прав человека и основных свобод о реорганизации контрольного механизма, созданного в соответствии с Конвенцией (подп. в Страсбурге 11.05.1994).
5
Государства-члены Совета Европы // Официальный сайт Совета Европы. – (http://www.coe.int/ru/web/about- us/our-member-states). – Дата обращения 02.05.2017.
137 нарушение прав и свобод, предусмотренных текстом Конвенции. В первую очередь это касается права на уважение частной жизни. За последние десятилетия в практике Суда накоплено значительное количество дел, прямо или косвенно затрагивающих те или иные аспекты защиты персональных данных. В некоторых случаях Суд прямо указывает на тесную связь персональных данных со смыслом и содержанием статьи 8 Конвенции. К примеру, в деле S. & Marper v. United Kingdom Судом было заявлено, что само хранение персональных данных о частной жизни лица должно рассматриваться в качестве вторжения в частную жизнь в контексте статьи 8 Европейской конвенции о защите прав человека и его основных свобод. Последующее использование сохраненной информации не меняет этого вывода»
1
Общий анализ существующей судебной практики Европейского суда по правам человека позволяет выделить целый ряд проблемных аспектов, которые так или иначе были им исследованы или затронуты. Сбор персональных данных В практике Европейского суда по правам человека можно назвать ряд решений, в которых были затронуты отдельные аспекты, связанные с обработкой персональных данных, такие как сбор, хранение, раскрытие, разглашение и доступ субъекта к информации (данным) о нема также необходимость гарантировать защиту, те. сохранять конфиденциальность данных в отдельных случаях. Одним из первых дел стало дело Гаскина против Соединенного Королевства, в котором Суд постановил, что поскольку в личном деле заявителя содержатся сведения сугубо личного характера о его детстве, развитии и последующей жизни, получение такой информации необходимо для того, чтобы узнать и понять свое детство, ранние этапы развития. Подобные данные, таким образом, являются
1
Case of S. and Marper v. The United Kingdom. Judgement of 04.12.2008. – (http://hudoc.echr.coe.int/eng?i=001-
90051)/ – Дата обращения 02.05.2017. – § 67.
2
Case of Gaskin v. The United Kingdom. Judgement of 07.07.1989. – (http://hudoc.echr.coe.int/eng?i=001-57491).
– Дата обращения 02.05.2017. – § 89.
138 главным источником информации о его прошлом и годах развития и ограничение доступа к ним Суд посчитал нарушением ста процедуры, существующие в Соединенном Королевстве, не обеспечивающими уважения права заявителя на частную и семейную жизнь. Другим примером, где было подчеркнута идея необходимости сохранения конфиденциальности персональной информации, может быть дело «Z против Финляндии, где Европейский суд по правам человека указал, что уважение тайны данных о здоровье человека является важнейшим принципом правовых систем всех участников Совета Европы. Поэтому внутреннее законодательство должно предоставлять гарантии для предотвращения распространения или разглашения сведений о здоровье человека, в особенности сведений о наличии улица ВИЧ-инфекции. Исключение в этом случае возможно лишь в интересах расследования и наказания преступлений и обеспечения гласности судебного производства. Также Суд исследовал вопрос о регулировании использования имении фамилии – вопрос о фамилии отдельного человека относится к его/ее личной и семейной жизни, поскольку он подразумевает вопрос персональной идентификации. Тот факт, что может существовать общественный интерес в вопросе о регламентировании использования фамилии, не является достаточным, чтобы вывести вопрос о фамилии отдельного лица из-под защиты положения об уважении личной и семейной жизни. Те же принципы применимы и к именам, которые тоже имеют отношение к личной и семейной жизни, поскольку этот вопрос относится к проблеме идентификации личности в рамках своих семей и сообщества»
3
Как нетрудно заметить, практика Суда лишь косвенным образом содержит регулирование – определенные казуальные нормы, которыми государства-участники должны руководствоваться, чтобы избежать
1
Там же.
2
Case of Stjerna v. Finland. Judgement of 25.11.1994. – (http://hudoc.echr.coe.int/eng?i=001-57912)/ – Дата обращения 02.05.2017.
3
Case of Guillot v. France. Judgement of 24.10.1996. – (http://hudoc.echr.coe.int/eng?i=001-58069). – Дата обращения 02.05.2017.
139 нарушений статьи 8 Конвенции о защите прав человека и его основных свобод, в том числе и при обработке персональных данных. В целом практика Суда становится все более разнообразной, что объяснимо как с позиции развития представлений оправе на уважение частной жизни и тех правомочий, которые теперь вкладываются в содержание этого понятия, таки сточки зрения развития современных информационных технологий, которые формируют новые виды угроз правам человека, в том числе и связанные с персональными данными. Так, в частности, за последние несколько лет можно назвать, по крайней мере, десяток достаточно известных дел, касающихся сбора, хранения и использования персональных данных спецслужбами и правоохранительными органами. Часть из этих дел напрямую касались России. В 2011 году Суд признал практику по созданию базы данных наблюдения, используемой для сбора информации о передвижениях поездом, самолетом в пределах России, и о задержаниях лиц, занимающихся правозащитной деятельностью, противоречащей ст. 8 Конвенции. В 2013 году в деле Avilkina and Others v.
Russia
2
требование следственного органа, в связи с расследованием уголовного дела в отношении Свидетелей Иеговы, к публичным клиникам сообщать о фактах отказа последователями секты от переливания крови было также признано противоречащим Конвенции, несмотря на то, что в целом жалоба заявителей была отклонена как неприемлемая. Водном из последних дел в отношении России в деле Roman Zakharov v. Russia, решение по которому было принято в 2015 году, Европейский суд по правам человека указал на нарушение требований государством статьи 8 Конвенции в части наличия законодательных норм, обязывающих операторов связи
1
Case of Shimovolos v. Russia. Judgement of 21.06.2011. – (http://hudoc.echr.coe.int/eng?i=001-105217)/. – Дата обращения 02.05.2017.
2
Case of Avilkina and Others v. Russia. Judgement of 06.06.2013. – (http://hudoc.echr.coe.int/eng?i=001-120071).
– Дата обращения 02.05.2017.
140 устанавливать оборудование для сбора данных о телефонных переговорах и управляемое непосредственно спецслужбами
1
Безусловно, Россия является далеко не единственной страной, практика защиты персональных данных которой была рассмотрена Европейским судом в последние годы. В частности, в 2009 году законодательство Франции, устанавливающее возможность формирования органами полиции базы данных о лицах, совершивших преступления сексуального характера, также была признана противоречащей статье 8 Конвенции. В сущности, таких примеров, когда в объектив Суда попадают законодательство и практика государств в области защиты персональных данных, становится все больше и что, вероятно, в дальнейшем потребует отдельного детального изучения. Второй аспект напрямую связан со специальным регулированием обработки персональных данных и созданием наднациональных механизмов гармонизации законодательства стран-участниц Совета Европы. Проблема защиты прав и свобод личности при обработке данных начала обсуждаться в Европе еще в середине х годов прошлого века. В 1973 и 1974 гг. Комитет министров Совета Европы принял две резолюции о защите неприкосновенности частной жизни в связи с созданием электронных банков данных – одну для частного, другую для государственного сектора. Обе эти резолюции содержат рекомендации правительствам стран – членов Совета Европы принять меры к обеспечению соблюдения базовых принципов защиты, относящихся к получению данных, качеству данных и праву частного лица на получение информации о своих персональных данных и способах их использования. Позднее Совет Европы, выполняя инструкции своего Комитета министров, начал подготовку международной Конвенции о защите неприкосновенности частной жизни в отношении зарубежной
1
Case of Roman Zakharov v. Russia. Judgement of 04.12.2015. – (http://hudoc.echr.coe.int/eng?i=001-159324). – Дата обращения 02.05.2017.
2
Explanatory Report to the Convention for the Protection of Individuals with regard to Automatic Processing of
Personal Data. – (
https://rm.coe.int/16800ca434
). – Дата обращения 02.05.2017. – Part 4.
141 обработки персональных данных и передачи данных через государственные границы. С ноября 1976 года по май 1979 года Комитет по защите данных провел четыре заседания. Рабочая группа, составленная из экспертов, представляющих Австрию, Бельгию, Францию, ФРГ, Италию, Нидерланды, Испанию, Швецию, Швейцарию и Великобританию, несколько раз собиралась между пленарными заседаниями Комитета, стем чтобы разработать общую философию, а также уточнить детали проекта Конвенции. В апреле 1980 года другой комитет экспертов пересмотрели доработал текст. Он был одобрен Европейским комитетом по правовому сотрудничеству и утвержден Комитетом министров 17 сентября 1980 г. Конвенция получила название – О защите личности в связи с автоматизированной обработкой персональных данных, также известная, как Конвенция Совета Европы № 108 (далее по тексту – Конвенция, вобравшая в себя весь предшествующий опыт и ставшая основным документом в этой области для стран-участниц Совета Европы. Конвенция оказалась более объёмным документом по сравнению с Основными положениями ОЭСР и, как следствие, более проработанным. Несмотря на схожесть отдельных положений, в качестве принципиальных отличий можно указать упоминание в Конвенции в качестве одной из основных целей – не только гарантировать защиту прав и свобод личности при трансграничной передаче информации, но и поставить проблему защиты личности при принятии решений, затрагивающих его права и свободы, на основании персональных данных, подвергающихся автоматизированной обработке как государственными, таки частными структурами. Кроме этого, следует отметить расширение и более качественную проработку понятийного аппарата Конвенции, в особенности появление определений автоматизированная база данных, автоматическая обработка, контролер
1
Explanatory Report to the Convention for the Protection of Individuals with regard to Automatic Processing of
Personal Data. – (https://rm.coe.int/16800ca434). – Дата обращения 02.05.2017. – § 17.
2
Конвенция о защите физических лиц при автоматизированной обработке персональных данных Заключена в Страсбурге 28.01.1981) // Сайт компании «КонсультантПлюс». – (http://www.consultant.ru/ document/cons_doc_LAW_121499/). – Дата обращения 02.04.2017.
142 базы данных, что существенным образом конкретизировало сферу ее применения в этой части. Как и Основные положения ОЭСР, Конвенция в качестве основной области применения оговаривала именно автоматизированную обработку персональных данных в частном и публичном секторах, при этом предлагая государствам определенную гибкость в сфере установления определенных категорий персональных данных под особой защитой, а также распространения действия положений Конвенции на данные, не подвергающиеся автоматической обработке, о чем сторона должна была сделать соответствующее одностороннее заявление, без права требовать от другой стороны подобных же действий
1
Самым главным отличием Конвенции стал сам характер документа, как международного договора, который имеет обязательную силу для его участников, те. государства обязались реализовать его положения – имплементировать их во внутреннее законодательство, о чем следует из положений ст. 4 ист, тогда как Основные положения имели рекомендательных характер и предусматривали обязательства как добровольное волеизъявление сторон. Ключевой в определении механизма регулирования обработки персональных данных, предложенного Конвенцией, следует назвать главу 2 Основные принципы защиты данных. Механизм защиты описан через установление основных требований, предъявляемых к обработке данных, как то законность и добросовестность получения и обработки (ст. 5 па законность целей обработки (ст. 5 п. b); соответствие объема персональных данных целям обработки (ст. 5 пс точность (ст. 5 п. d); ограниченность времени хранения персональных данных, позволяющих идентификацию, целями обработки (ст. 5 п. e). Также упоминается об особых категориях персональных данных – о национальной принадлежности, политических взглядах, религиозных и иных убеждениях и т.д., при обработке, которых должны быть предусмотрены специальные
1
Конвенция о защите физических лиц при автоматизированной обработке персональных данных Заключена в Страсбурге 28.01.1981) // Сайт компании «КонсультантПлюс». – (http://www.consultant.ru/ document/cons_doc_LAW_121499/). – Дата обращения 02.04.2017. – Ст. 3 ч. 3.
143 гарантии. Существенную часть в описании механизма регулирования обработки данных занимают права (гарантии) субъекту, которые заключаются в предоставлении прав по контролю обработки персональных данных о себе через возможность
• доступа к ними к информации о контролере
• требовать их уточнения, уничтожения, в случае нарушений правил обработки
• обращения за судебной защитой, которые должны быть гарантированы субъекту, при этом каждая сторона вправе установить дополнительные меры защиты
1
Одновременно Конвенция с достаточной точностью сформулировала допустимые исключения и ограничения из установленных требований к обработке персональных данных. Исключения допускаются лишь на основании закона в целях охраны государственной и общественной безопасности, денежных интересов государства, пресечения преступлений, для защиты прав субъекта данных, прав и свобод других лиц. Ограничения могли быть установлены только в исследовательских и статистических целях, при условии гарантирования прав и свобод субъекта
2
Остальные главы Конвенции, за исключением, пожалуй, главы 3, где описывается общее обязательство государств-участников не препятствовать трансграничному обмену данных, иначе как при отсутствии надлежащей защиты данных с другой стороны, носят скорее процедурный характер и посвящены взаимодействию участников Конвенции между собой посредством оказания взаимной помощи, через взаимодействие уполномоченных органов по защите данных, через создание специального Консультативного комитета, а также процедуре вступления Конвенции в
1
Конвенция о защите физических лиц при автоматизированной обработке персональных данных Заключена в Страсбурге 28.01.1981) // Сайт компании «КонсультантПлюс». – (http://www.consultant.ru/ document/cons_doc_LAW_121499/). – Дата обращения 02.04.2017. – Ст. 8.
2
Там же. – Ст. 9.
144 силу и порядка внесения поправок, односторонних заявлений сторон, оговорок, касательно исполнения ею отдельных положений. Касательно реализации Конвенции и ее имплементации во внутренние законодательные системы государств-участников, надо сказать, что этот процесс еще не завершен. Почти все государства в качестве средства имплементации выбрали принятие национального закона о защите данных или же внесения соответствующих поправок в уже существующие законы Франция. В течение первых 4–5 лет после принятия законы о защите данных были приняты и вступили в силу лишь в 7 государствах Европы Австрия, Дания, Франция, ФРГ, Люксембург, Норвегия, Швеция. До 2000 года к ним присоединились еще 13 государств (Бельгия, Дания, Финляндия, Греция, Венгрия, Исландия, Ирландия, Италия, Нидерланды, Португалия, Словения, Швейцария, Великобритания. В целом на 2017 год из 47 государств-участников Конвенция была ратифицирована и имплементирована в той или иной степени во всех, теза последние 17 лет она была имплементирована еще в 27 государствах. В числе самых отстающих оказались Российская Федерация (2013), Сан-Марино (2015) и Турция (2016)
2
. Стоит отметить еще одну небольшую группу государств, в которых вопрос о защите персональных данных был закреплен и на конституционном уровне (ст. 35 Конституции Португалии 1976 года, ст. 18 Конституции Испании 1978 года, ст. 1 Закона о персональных данных Австрии 1978 года)
3
Однако принятием Конвенции деятельность Совета Европы в области правового регулирования персональных данных не ограничилась. Комитетом министров государств – членов Совета Европы были приняты также специальные Рекомендации, касающиеся использования и защиты
1
Explanatory Report to the Convention for the Protection of Individuals with regard to Automatic Processing of
Personal Data. – (https://rm.coe.int/16800ca434). – Дата обращения 02.05.2017.
2
Chart of signatures and ratifications of Treaty 108 “Convention for the Protection of Individuals with regard to
Automatic Processing of Personal Data» (Status as of 20.05.2017). – (http://www.coe.int/en/web/conventions/full- list/-/conventions/treaty/108/signatures?p_auth=I4WkWbbB). – Дата обращения 20.05.2017.
3
Explanatory Report to the Convention for the Protection of Individuals with regard to Automatic Processing of
Personal Data. – (https://rm.coe.int/16800ca434). – Дата обращения 02.05.2017. – § 5.
145 персональных данных в разных областях жизнедеятельности общества и государства медицины (1981); научных исследований и статистики (1983); маркетинга (1985); социального обеспечения (1986); в секторе полиции
(1987); занятости (1989); в отношениях, связанных с финансовыми выплатами и сделками (1990); в отношениях, связанных с передачей данных третьим лицам (1991); в сфере защиты персональных данных в области телесвязи, специфических телефонных услуг (1995); защиты медицинских и генетических данных (1997); защиты персональных данных при сборе и обработке в статистических целях (1997); о защите частной жизни при использовании сети Интернет (1999); о защите персональных данных при страховании индивидов (2002); о защите индивидов при автоматической обработке персональных данных при создании профайлов (2010); о защите прав личности при использовании социальных сетей (2012); о защите прав личности при использовании поисковых систем (2012); о принятии Руководства по защите прав личности для интернет-пользователей (2014); об обработке персональных данных при трудоустройстве (2015); об обеспечении свободы выражения мнений и защите прав на неприкосновенность частной жизни и сохранении сетевого нейтралитета
(2016)
1
. Очевидно, что работа в этом направлении активно продолжается, отвечая на актуальные вызовы современного информационного общества. Европейский союз
Комиссия Европейских сообществ озаботилась проблемой правового регулирования персональных данных, также в целях обеспечения гармонизации национальных законов государств-участников, практически одновременно с Советом Европы и даже на первых порах в тесном сотрудничестве
2
Однако процесс принятия мер по гармонизации национальных законов растянулся на длительное время, отчасти, по-видимому, из-за того, что
1
Legal Instruments for Data Protection, Council of Europe. – (http://www.coe.int/en/web/data-protection/legal- instruments). – Дата обращения 20.05.2017.
2
Braibant, G. Données personnelles et société de l’information / G. Braibant. – Paris, 2000. – P. 55–56.
146 многие государства-участники на тот момент уже приняли соответствующие законодательные меры, как участники Совета Европы, а отчасти и ввиду, того, что деятельность Сообществ в целом не была направлена на охрану прав и свобод человека. Процесс активизировался уже после принятия
Маастрихтского договора в 1992 году, а также ввиду расширения Европейского союза. Окончанием этого процесса стало принятие широко известной Директивы 95/46/ЕС Европейского парламента и Совета Европейского союза от 24 октября 1995 года о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных (далее по тексту – Директива. Она стала основным документом, который установил соответствующие стандарты в области правового регулирования персональных данных в ЕС, а также, по мнению многих авторов, одним из наиболее авторитетных нормативных источников в этой сфере. Первоначально в качестве основной цели и одновременно юридической основы для принятия Директивы стали не только необходимость гарантирования прав и свободно и во многом экономические причины, а именно – формирование единого рынка. Юридической основой для принятия стала ст. 7 Договора, о чем неоднократно делается ссылка в преамбуле Директивы, где говорится о необходимости обеспечения свободного движения данных с одновременным гарантированием фундаментальных прав и свобод индивида между государствами- участниками, без чего невозможно свободное передвижение товаров, людей, услуг, как основы единого рынка. В условиях возрастающих потоков данных между государствами, Европейский союз обоснованно посчитал различия в
1
Директива № 95/46/ЕС Европейского парламента и Совета Европейского союза О защите физических лиц при обработке персональных данных и о свободном обращении таких данных // Информационно-правовой портал «ГАРАНТ.РУ». – (http://base.garant.ru/2569783/). – Дата обращения 02.04.2017.
2
The First Report on the implementation of the Data Protection Directive (95/46/EC) (COM(2003) 265. – 2004. –
24 February. – (http://www.statewatch.org/news/2004/mar/data-prot-ep.pdf). – Дата обращения 20.05.2017.
3
Директива № 95/46/ЕС Европейского парламента и Совета Европейского союза О защите физических лиц при обработке персональных данных и о свободном обращении таких данных // Информационно-правовой портал «ГАРАНТ.РУ». – (http://base.garant.ru/2569783/). – Дата обращения 02.04.2017. – п. 27 Преамбулы.
147 правовом регулировании персональных данных на национальном уровне негативным фактором. Принятая Директива стала важным фактором гармонизации законодательства европейских стран в сфере защиты персональных данных, учитывая ее статус и юридическую силу. В рамках ЕС директивы имеют обязательную юридическую силу в отношении государств-участников при свободе выбора средств их реализации, но при этом могут иметь прямое действие на их территории в случае невыполнения государством своих обязательств в установленные сроки или противоречия внутренней практики директивам
1
В качестве сферы применения Директива указывает автоматизированную обработку персональных данных, а также неавтоматизированную обработку, в тех случаях, когда она осуществляется схожим образом, путем организации информации в виде файлов, папок, позволяющим быстрый доступ к необходимой информации. Директива не применяется к обработке данных
– осуществляемой физическим лицом в личных и бытовых целях
– осуществляемой в целях, которые выходят за рамки компетенции ЕС – обеспечение обороны и безопасности государства, иной публичный интерес. В сравнении с уже рассмотренными документами Директива содержит еще более подробный понятийный аппарат, что также конкретизирует сферу ее деятельности. Принципиальным отличием понятийного аппарата Директивы стало закрепление в ней терминов, файл персональных данных, лицо, которому поручена обработка персональных данных (обработчик, третье лицо, получатель, согласие субъекта персональных данных. Основу механизма правового регулирования составляет установление принципов обработки персональных данных, которые делятся на две
1
Халиев, КР. Нормативная сила директив ЕС / КР. Халиев // Актуальные проблемы экономики и права. – Казань Познание, 2008. – № 3 (7). – С. 163–166.
148 категории требования к качеству персональных данных и требования к их обработке. К первым отнесены принципы в ст. 6:
– законность и добросовестность обработки
– сбор данных только в установленных целях
– достаточность, относимость к делу, неизбыточность;
– точность и актуальность
– ограничение срока хранения целями обработки. Вторая группа требований относится к критериям законности обработки персональных данных в ст. 7, в число которых входят
– наличие согласия субъекта данных
– необходимость исполнение договора, стороной которого является субъект данных, а равно принятие необходимых мер до заключения договора, по просьбе субъекта
– необходимость исполнения лицом, ответственным за обработку персональных данных, своих законных обязательств
– необходимость защиты жизненных интересов субъекта данных
– необходимость обработки в связи с осуществлением публичных полномочий или в рамках исполнения полномочий публичным органом власти, которые поручены лицу, ответственному за обработку данных, или сообщены третьему лицу
– необходимость обработки в связи с защитой законных интересов лица, ответственного за обработку данных, или третьих лиц, которым они сообщены, при условии, что это не перевешивает интересы защиты основных прав и свобод, в том числе права на уважение частной жизни. Также, как и Конвенция Совета Европы № 108, Директива выделяет особую группу так называемых чувствительных данных (данные о расовой, этнической принадлежности, политических взглядах, философской и религиозной принадлежности, членстве в профсоюзах, здоровье и интимных сторонах жизни, к обработке которых предъявляет особые
149 требования, при этом раскрывая их. Такие данные запрещены к обработке за исключением случаев, если
– субъект выразил свое согласие, за исключением случаев, когда этого недостаточно в соответствии с законом государства
– обработка необходима для осуществления обязательств лица, ответственного за обработку данных, в сфере трудовых отношений, если это разрешено законодательством и при наличии соответствующих гарантий
– обработка необходима для защиты жизни и здоровья субъекта или другого лица, при условии невозможности, физической или юридической, получения согласия субъекта
– обработка осуществляется некоммерческими объединениями в отношении данных о своих членах в политических, религиозных, профсоюзных целях, при условии соответствующих гарантий
– обработка касается только явно общедоступных данных или является необходимой для защиты лицом своих прав в суде. Перечень в этом случае не является исчерпывающим (ст. 8, пи государства вправе устанавливать иные исключения при установлении соответствующих гарантий и извещения об этом Европейской комиссии ст. 8, п. 6). Директива позволяет также вести обработку рассматриваемой категории данных в целях осуществления превентивной медицины, медицинской диагностики, здравоохранения, при условии сохранения профессиональной тайны. Примерно схожее требование касается и данных о правонарушениях и привлечении к уголовной ответственности или о применении к лицу мер предварительного характера (мер пресечения, если только они не осуществляются специальным уполномоченным законом органом при наличии гарантий прав субъекта. Следует подчеркнуть еще две особенности этого документа. Во- первых, Директива фактически (ст. 8, п. 7) четко распространила свое действие на так называемые персональные идентификаторы, которые
150 также могут быть предметом обработки данных, те. быть включены в состав персональных данных. Во-вторых, Директива закрепила соотношение необходимости защиты персональных данных со свободой выражения мнения. В этой связи она допускает исключения и отступления от требований, предусмотренных в ней, в целях осуществления журналистской деятельности, художественного, литературного творчества при условии баланса между правом на частную жизнь и свободой выражения мнений в соответствии с национальным законодательством, к сожалению, не предлагая какого-либо конкретного варианта. Механизм Директивы содержит гарантии соблюдения прав субъекта, к которым можно отнести
– право на доступ к данным о себе
– на возражение против их обработки
– гарантии при автоматизированном принятии решений
– юридические гарантии защиты прав, нарушенных в связи с обработкой персональных данных, и возмещение вреда, ими причиненного. При обработке (сборе) данных Директива требует соответствующего информирования об этом субъекта, причем в достаточно подробной форме, с указанием информации о лице, ответственном за обработку данных, целях обработки, иную информацию (оправах субъекта данных на доступ ним, информацию о получателях данных и т.д.). Кроме этого, субъект и сам вправе получить подробную информацию об обработке по своему запросу, в частности подтверждение об обработке данных, информацию о получателях данных, алгоритм принятия решений на основании данных при их автоматизированной обработке, и требовать извещения третьих лиц, которым сообщены данные, обо всех изменениях, в них внесенных. В случае несогласия лица с обработкой его персональных данных он вправе возражать
1
Директива № 95/46/ЕС Европейского парламента и Совета Европейского союза О защите физических лиц при обработке персональных данных и о свободном обращении таких данных // Информационно-правовой портал «ГАРАНТ.РУ». – (http://base.garant.ru/2569783/). – Дата обращения 02.04.2017. – Ст. 12
151 противнее, прежде всего в случаях, если его согласие не было получено
1
Автоматическое принятие решений на основании персональных данных допускается только при условии надлежащих гарантий со стороны закона или в случае заключения/исполнения договора, если при этом существует возможность высказать свое мнение субъектом. Если права субъекта нарушены, то национальное законодательство должно предоставить субъекту надлежащие средства их защиты посредством обращения в судили уполномоченный орган по контролю обработки персональных данных и право требовать возмещения ущерба, а также установить надлежащие санкции за нарушения в сфере обработки персональных данных
5
Отдельное внимание Директива отводит вопросам защиты данных и контроля их обработки. Обработка персональных данных должна осуществляться только конфиденциально, по поручению или с согласия лица, ответственного за нее. Государства-участники при этом обязаны требовать от последнего принятия организационно-технических мер по защите данных от незаконных или случайных действий (доступа, уничтожения, распространения и т.д.)
7
. О любом случае обработки персональных данных должно быть предварительно сообщено лицом, ответственным за нее уполномоченному органу по контролю, который определяется государством самостоятельно, с указанием полной информации об обработке (информация об ответственном лице, характере, объеме данных, целях обработки, информация о получателях и т.д.), за исключением обработки данных о свих членах некоммерческими объединениями и других случаев. установленных национальным законодательством. Сведения,
1
Директива № 95/46/ЕС Европейского парламента и Совета Европейского союза О защите физических лиц при обработке персональных данных и о свободном обращении таких данных // Информационно-правовой портал «ГАРАНТ.РУ». – (http://base.garant.ru/2569783/). – Дата обращения 02.04.2017. – Ст. 14.
2
Там же. – Ст. 19.
3
Там же. – Ст. 22.
4
Там же. – Ст. 23.
5
Там же. – Ст. 24.
6
Там же. – Ст. 16.
7
Там же. – Ст. 17.
8
Там же. – Ст. 29.
9
Там же. – Ст. 19.
152 указанные в извещении об обработке данных, должны быть общедоступными и уполномоченный орган по контролю в сфере персональных данных ведет соответствующий их реестр
1
Исключения из представленного механизма правового регулирования Директива допускает на основании национального законодательства лишь в целях защиты превалирующего публичного интереса, как то защита и безопасность государства, общественная безопасность, предотвращение, пресечение правонарушений, существенный экономический или финансовый интерес, защита прав других лица также в случаях, когда невозможно нанести ущерб правам субъекта данных (обезличивания данных) в статистических, научно-исследовательских целях
2
В отношении трансграничной передачи данных положения Директивы принципиально схожи с другими международными документами, но более подробны и касаются третьих стран, не участников ЕС. Передача данных возможна лишь при наличии определенных гарантий защиты прав субъекта получателем, за исключением случаев получения согласия субъекта, необходимости исполнения соглашения, защиты жизни и здоровья субъекта и других случаев
3
Как и рассмотренные ранее Основные положения ОЭСР, Директива уделяет внимание и существованию дополнительного механизма регулирования отношений в сфере обработки персональных данных, как то поощрение государствами-участниками
ЕС разработки кодексов поведения различного рода профессиональными ассоциациями лиц, ответственных за обработку данных, которые бы способствовали реализации национального законодательства о персональных данных 1
Директива № 95/46/ЕС Европейского парламента и Совета Европейского союза О защите физических лиц при обработке персональных данных и о свободном обращении таких данных // Информационно-правовой портал «ГАРАНТ.РУ». – (http://base.garant.ru/2569783/). – Дата обращения 02.04.2017. – Ст. 21.
2
Там же. – Ст. 13.
3
Там же. – Ст. 25–26.
4
Там же. – Ст. 27.
153 В заключении Директива сосредотачивается на уполномоченном органе (органах) по контролю за исполнением законодательства о персональных данных, который должен быть предусмотрен каждым государством-участником. В полномочия такого органа в обязательном порядке должны входить полномочия по расследованию, с правом доступа к данными получения иной необходимой информации для осуществления надзора полномочия по вмешательству в процесс обработки данных приостанавливать и запрещать обработку полномочия обращаться в правоохранительные органы и суд в случае обнаружения нарушений, а также самостоятельно рассматривать обращения (заявления) физических лиц
1
Для координации усилий государств-участников, в соответствии с Директивой создается Группа по защите лиц в связи с обработкой персональных данных, в состав которой входят представители уполномоченных органов по контролю за исполнением законодательства о персональных данных государств-участников. Она исполняет консультативные функции, связанные с реализацией Директивы в национальном законодательстве, а также консультирует Еврокомиссию по проектам ее изменений и других решений в сфере персональных данных. Для реализации Директивы и контроля ее реализации со стороны ЕС был также создан Комитет, состоящий из представителей государств-участников, основной функцией которого была помощь Еврокомиссии при принятии решений, касающихся персональных данных
2
В соответствии с заключительными положениями по истечении трех лет Еврокомиссия должна была сделать первый доклад о ходе реализации Директивы, те. в 1998 году. Однако не все государства-участники на тот момент имплементировали ее и приняли специальные законодательные акты или внесли изменения в уже имеющиеся, поскольку на момент принятия
1
Директива № 95/46/ЕС Европейского парламента и Совета Европейского союза О защите физических лиц при обработке персональных данных и о свободном обращении таких данных // Информационно-правовой портал «ГАРАНТ.РУ». – (http://base.garant.ru/2569783/). – Дата обращения 02.04.2017. – Ст. 29.
2
Там же. – Ст. 32.
154 Директивы виз государств-участников уже имелись общие законодательные акты о защите данных. В этой связи объемный доклад был сделан Еврокомиссией лишь в 2004 году. В докладе в первую очередь было указано, что, несмотря на задержки в реализации директивы государствами- участниками, основные цели ее принятия были достигнуты и препятствия свободному обращению данных были устранены, одновременно при высокой степени защиты прав субъекта, поскольку механизм регулирования обработки персональных данных содержит одни из наиболее строгих требований в мире по защите прав личности. В тоже время было отмечено, что иногда значительная разница в законодательстве стран-участников по- прежнему представляет трудности для определения общеевропейской политики в области персональных данных. Одновременно в Докладе содержалось детальное научное, в том числе и социологическое, исследование последствий введения Директивы в национальное законодательство, а также отношение к проблемам обработки персональных данных со стороны граждан, организаций, органов государственной власти, при этом в разных секторах общественной жизни и экономики во всех странах ЕС
3
. На основании этих исследований было выявлено, что к 2003 году порядка 60% опрошенных граждан в ЕС обеспокоены (из них 25% крайне обеспокоены) проблемой защиты своих прав при обработке персональных данных. В тоже время только 10,4% опрошенных высказались зато, что уровень защиты их данных является достаточным, большая часть
(81%) посчитали его недостаточным, плохим ли очень плохими лишь 3,46% нашли его хорошим или очень хорошим. Опубликованные позднее результаты опросов среди лиц, ответственных за обработку данных, показал, что они нашли уровень защиты данных, обусловленный национальным
1
Braibant, G. Données personnelles et société de l’information / G. Braibant. – Paris, 2000. – P. 64 2
The First Report on the implementation of the Data Protection Directive (95/46/EC) (COM(2003) 265. 24
February 2004. – (http://www.statewatch.org/news/2004/mar/data-prot-ep.pdf). – Дата обращения 20.05.2017.
3
Там же.
155 законодательством, средним (54%) или высокими лишь 10% заявили, что он низкий
1
На основании столь всеобъемлющего исследования были выявлены проблемы, как то отсутствие необходимых ресурсов для выполнения Директивы, небрежное отношение к обработке данных со стороны ответственных за нее лиц, низкий уровень информированности субъектов данных о своих правах. В качестве возможных путей решения были предложены не только обсуждение мер по повышению эффективности реализации Директивы в национальное законодательство и меры по гармонизации последнего, нов частности, и консультации, рекомендации для государств, вступающих в ЕС, которые должны были также принять меры к ее реализации, а также призвать все государства способствовать развитию технологий защиты данных и саморегулирования на основе добровольных кодексов поведения, предусмотренных главой 5
Директивы
3
На сегодняшний момент во всех 28 государствах ЕС приняты базовые законы о защите данных, часть из них была принята еще до официального вступления, в рамках так называемого переходного периода. Одними из последних законы приняли Эстония (2003), Кипр (2003), Литва (2004), Польша (2004). В основном наиболее явным отличием являются различия в органах по контролю в сфере персональных данных. В основном были избраны несколько вариантов комиссар единоличный орган) по защите данных (омбудсмен, регистратор, например в Ирландии, Великобритании, Люксембурге
1
Директива № 95/46/ЕС Европейского парламента и Совета Европейского союза О защите физических лиц при обработке персональных данных и о свободном обращении таких данных // Информационно-правовой портал «ГАРАНТ.РУ». – (http://base.garant.ru/2569783/). – Дата обращения 02.04.2017.
2
Там же. – С. 15 3
Там же.
4
Data protection bodies. – (http://ec.europa.eu/justice/data-protection/bodies/index_en.htm). – Дата обращения
20.05.2017.
156 коллегиальный орган (комиссия) по защите данных – Франция, Финляндия, Греция, Португалия, Австрия
представительный коллегиальный орган, включающий в себя представителей работодателей, предпринимателей, профсоюзов, общественных организаций и т.д.) – Швеция, Испания
1
Принятием Директивы
95/46/ЕС нормативное регулирование обработки данных со стороны ЕС не ограничилось, хотя она и явилась основой для последующих действий и решений. Далее действия и решения органов ЕС касались уже отдельных сфер защиты персональных данных. Среди этих документов следует отметить еще одну основополагающую Директиву – Директиву 2002/58/ЕС Европейского парламента и Совета Европейского союза от 12 июля 2002 года о конфиденциальности и электронных средствах связи, касающуюся обработки персональных данных и защиты частной жизни в сфере электронных коммуникаций, с изменениями, внесенными Директивой 2006/24/ЕС, и заменившую ранее принятую Директиву 97/66/ЕС Европейского парламента и Совета Европейского союза от 15 декабря 1997 года касательно использования персональных данных и защиты неприкосновенности частной жизни в сфере телекоммуникаций. Названная Директива посвящена регулированию вопросов хранения данных о соединении в интересах оперативной деятельности правоохранительных органов, рассылке нежелательных сообщений, использованию файлов с информацией о соединениях (т.н. cookies), а также включению персональных данных в публичные справочники. В целом Директивой были установлены категории
1
Data protection bodies. – (http://ec.europa.eu/justice/data-protection/bodies/index_en.htm). – Дата обращения
20.05.2017.
2
Директива Европейского Парламента и Совета Европейского союза 2002/58/ЕС от 12 июля 2002 г. в отношении обработки персональных данных и защиты конфиденциальности в секторе электронных средств связи (Директива о конфиденциальности и электронных средствах связи) (Текст в редакции Директивы
2006/24/ЕС Европейского парламента и Совета ЕС от 15 марта 2006 г, Директивы 2009/136/ЕС Европейского парламента и Совета ЕС от 25 ноября 2009 г. – (http://isafety.ru/wp- Директива. – Дата обращения 20.05.2017.
157 сохраняемых данных, сроки хранения, условия просмотра данных о соединении, принципы защиты данных в сфере электронных коммуникаций. Часть актов в рамках ЕС, например, Решения Еврокомиссии
2001/497/ЕС, 2004/535/ЕС, 2004/915/ЕС, касались такого важного вопроса, как заключение межгосударственных соглашений с третьими государствами о передаче данных и предлагали типовые варианты таких соглашений, в том числе ив отношении конкретных стран (США. Отдельно можно упомянуть и еще один показательный документ – это Регламент 45/2001/ЕС Европейского парламента и Совета Европейского союза от 18 декабря 2000 года, касающийся защиты частных лиц при обработке персональных данных институтами и органами ЕС и свободы обращения данных. На основании Регламента был гарантирован физическим лицам повышенный уровень защиты данных, также был создан специальный орган по контролю в сфере персональных данных и реализации положений данного документа органами и институтами ЕС
1
В одном из сообщений Еврокомиссии Европейскому парламенту и Совету была отмечена в целом успешная реализация Директивы 95/46/ЕС
2
, хотя при этом по-прежнему были названы некоторые проблемы независимость органов по контролю в сфере персональных данных, существенные различия национального законодательства. Более того,
Еврокомиссия особо высказала надежду на усиление работы в указанном направлении в свете процесса принятия государствами ЕС нового конституционного договора ЕС, который в ст. II-68 содержит положение оправе на защиту персональных данных, как части права на частную жизнь, и сверх этого ст. I-51 содержит юридическую основу для принятия ЕС
1
Regulation (EC) № 45/2001 of the European Parliament and of the Council of 18 December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data. – (http://data.europa.eu/eli/reg/2001/45/oj). – Дата обращения 20.05.2017.
2
Communication from the commission to the European Parliament, the Council, the European Economic and Social
Committee and the Committee of the Regions Safeguarding Privacy in a Connected World. A European Data
Protection Framework for the 21st Century. – (http://eur-lex.europa.eu/legal-content/en/ALL/?uri=CELEX:
52012DC0009). – Дата обращения 20.05.2017.
158 положений, регулирующих обработку персональных данных в других сферах экономики, помимо теле- и электронных коммуникаций.
1 2 3 4 5 6 7 8 9 10 11
Другие международные организации
Другие международные организации также последовали примеру
ОЭСР, Совета Европы и Европейского союза. Однако их документы, в отличие от ранее упомянутых, в основном были рекомендательного характера и не оказали такого эффекта на национальное законодательство. В частности, среди таких международных организаций можно назвать ООН, МОТ,
ВТО, Организацию стран по азиатско-тихоокеанскому экономическому сотрудничеству (ОАТС), СНГ. В ООН первый документ такого рода был принят Генеральной ассамблеей в 1990 году (Резолюция № 45/95 от 14 декабря 1990 года. В этой резолюции также были установлены общие положения касательно минимальных гарантий защиты прав личности при обработке персональных данных. Их отличие от Основных положений ОЭСР принципиально заключается в установлении более подробного описания гарантий при обработке чувствительных персональных данных, переносе акцента на защиту прав субъекта, в том числе в рамках международных организаций, а также впервые в закреплении положений о необходимости существования уполномоченного органа по контролю в сфере обработки персональных данных, чего не было сделано в Конвенции Совета Европы № 108. МОТ приняла соответствующий ряд решений рекомендательного характера, которые могут быть использованы при разработке национального законодательства о труде и заключении коллективных соглашений. Страны азиатско-тихоокеанского сотрудничества озаботились проблемой обработки персональных данных скорее ввиду экономических
1
Резолюция Генеральной Ассамблеи ООН Руководящие принципы регламентации компьютеризованных картотек, содержащих данные личного характера от 14 декабря 1990 г. № 45/95 // Система ГАРАНТ. –
(http://base.garant.ru/2565319/#ixzz4hcq10mD5). – Дата обращения 20.05.2017.
2
Protection of workers’ personal data. ILO code of practice. – (http://www.ilo.org/public/ libdoc/ilo/1997/97B09_118_engl.pdf). – Дата обращения 20.05.2017.
159 причинив целях поддержания экономических связей со странами Европы, где действующее законодательство области персональных данных может создать препятствия экономическим отношениям. В этой связи разработка рекомендаций была поручена Группе по развитию электронной торговли, которая и сосредоточила на этом внимание, взяв за основу все те же Основные положения ОЭСР
1
В рамках СНГ для гармонизации законодательства стран-участниц Межпарламентской ассамблеей был разработан и принят Модельный закон О персональных данных (Постановление № 14-19 от 16 октября 1999 года. Отличительными особенностями его стали более расширенный понятийный аппарат, введения положений о лицензировании деятельности в области обработки данных, а также описание действий по обработке персональных данных и требований к ним. В тоже время документ, безусловно, имел рекомендательный характер и не имел положений об обязательствах государств по его реализации. Во многом сложно говорить о том, какое влияние он оказал на национальные правовые системы стран- участников, поскольку те государства, которые приняли соответствующие законы о защите данных или высказались за его принятие, являются одновременно участниками Конвенции Совета Европы № 108 (Молдова, Украина, Россия, Грузия. Зарубежная практика (США – Европа)
После рассмотрения вопроса об инструментах гармонизации национального законодательства и предложенных механизмах правового регулирования обработки персональных данных в рамках международных
1
APEC Privacy Framework. – (http://www.apec.org/Groups/Committee-on-Trade-and-Investment//media/Files
/Groups/ECSG/05_ecsg_privacyframewk.ashx). – Дата обращения 20.05.2017.
2
Модельный закон О персональных данных принят нам пленарном заседании Межпарламентской ассамблеи государств-участников СНГ (Постановление № 14-19 от 16 октября 1999 года) // Межпарламентская Ассамблея государств-участников Содружества Независимых Государств Информационный бюллетень. – 2000. – № 23. – С. 315–326.
160 организаций возможно говорить о некоторых общих тенденциях в зарубежной практике. В этой связи, естественно, выделяются страны европейского континента, где степень гармонизации законодательства достигла наибольшего уровня. В настоящий момент законодательство о защите персональных данных принято более чем в 100 странах, и 28 из них – это страны ЕС, к которым можно прибавить еще 22 государства-члена Совета Европы. Таким образом, получается, что практически половина государств, в которых существует специальное законодательство о персональных данных и которые включились в процесс гармонизации своих норм с законодательством других стран, расположены на европейском континенте. В основном их законодательство строится на основе общих принципов обработки данных, установлении гарантий прав субъекту при обработке его данных, а также при их трансграничной передаче. Различия касаются лишь некоторых положений в допускаемых рамках, установленных актами о гармонизации (Директивой и Конвенцией Совета Европы № 108), о чем уже шла речь выше – вопрос об уполномоченном органе по контролю обработки данных, установление различного рода исключений, в случае где присутствует превалирующий публичный интерес, установление положений при обработке особых категорий данных и т.д. За пределами Европы находится сравнительно небольшое количество стран, которые также озаботились проблемами защиты прав индивида при обработке персональных данных (большая часть из них входит в ОЭСР: Австралия, Канада, Япония, Южная Корея, Новая Зеландия, США) и, как уже было сказано, также приняли ряд законодательных мер для защиты данных. Среди этих государств немногие смогли достичь уровня защиты персональных данных, который существует в странах Европейского союза. В частности, Европейская комиссия назвала лишь 12 стран вне рамок ЕС, в которых, по ее мнению, существует адекватный уровень защиты персональных данных Андорра, Аргентина, Канада, Швейцария, Фарерские
161 острова, Гернси, Израиль, Мэн, Джерси, Новая Зеландия, США, Уругвай. В отношении других стран, при трансграничной передаче данных требуется предоставление соответствующего уровня защиты данных, как правило, путем заключения соответствующего соглашения. Одним из самых известных таких соглашений можно назвать Соглашение между ЕС и США о передаче персональных данных об авиапассажирах, после заключения которого уровень защиты данных об авиапассажирах из стран ЕС был признан соответствующим
2
Пожалуй, по-прежнему достаточным своеобразием и серьезными отличительными чертами обладает механизм защиты персональных данных, предусмотренный законодательством США, причем настолько, что вполне можно говорить о другом подходе к правовому регулированию персональных данных, чем тот, который распространен в большинстве европейских государств и который заслуживает отдельного упоминания. США уже давно известны как страна, где право на уважение частной жизни получило широкое признание и уважение, учитывая, что и сами термины частная жизнь или право на частную жизнь во многом появляются как интерпретация термина “right of privacy”, введенного в употребление американскими юристами, о чем уже ранее говорилось. В течение долгого периода американской истории, именно понятие
“privacy” (прайваси) – становится ключевым словом-концепцией для всей американской системы права. Первоначально данная концепция описывала лишь достаточно ограниченные аспекты частной жизни, подлежащие защите на основании текста й поправки к Конституции США, однако, благодаря гибкости и адаптивности конституционного права количество правомочий постоянно возрастало.
1
Commission decisions on the adequacy of the protection of personal data in third countries. –
(http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm). – Дата обращения
20.05.2017.
2
The EU-U.S. Privacy Shield. – (http://ec.europa.eu/justice/data-protection/international-transfers/eu-us-privacy- shield/index_en.htm). – Дата обращения 20.05.2017.
162 В частности, «прайваси» в первую очередь затрагивала такие аспекты, как право на жилище, на тайну переписки, а затем и телефонных переговоров, электронных и иных сообщений, те. так называемых privacy rights. Развитие компьютерных технологий обработки информации, в которых США является одним из бесспорных лидеров ив настоящее время, привело к неизбежному вопросу защиты «прайваси» (частной жизни, в первую очередь – в условиях автоматизированной обработки информации о физических лицах в электронных базах данных. Для изучения вопроса Департаментом здравоохранения, образования и социальной защиты (Department of Health, Education and Welfare) была создана специальная комиссия по изучению вопроса, которая еще в 1973 году в своем докладе обратилась с рекомендациями к Конгрессу по принятию специального законодательства – Кодекса честной информационной практики (Code of Fair Information Practice
1
), основанного наследующих принципиальных положениях отсутствие баз персональных данных, существование которых скрывается или является секретным предоставление индивиду права знать, какая информация содержится о нем в базе данных и как она используется предоставление права индивиду воспрепятствовать использованию информации, полученной с определенной целью, в других целях или передаче другим лицам без его согласия индивид должен иметь право требовать внесения изменений, исправлений или дополнения информации о нем, в случае ее недостоверности организация, осуществляющая создание, поддержание, использование и распространение персональных данных, должна
1
FTC Fair information practice principles. – (http://inflection.com/privacy/frameworks-were-watching/ftc-fair- information-practice-principles). – Дата обращения 20.05.2017.
163 обеспечить достоверность персональных данных, а также принять меры к предотвращению их ненадлежащего использования. Кроме этого, специальный доклад содержал рекомендации для организаций, ведущих обработку персональной информации о необходимости защиты последней, а также о необходимости ежегодного опубликования сведений о базах данных и содержащейся в них информации. Большая часть положений доклада легла в основу принятого год спустя Акта о защите частной жизни 1974 года (The Privacy Act of 1974 1
, далее – Акт. История принятия этого документа стала компромиссом между двумя законопроектами, которые появились одновременно, один в Палате представителей, а другой – в Сенате. Отличались они в основном порядком возмещения вреда, причиненного субъекту данных. Законопроект Сената в этом отношении был более суров, и для возмещения вреда было достаточно лишь установления факта нарушения, тогда как законопроект Палаты представителей предусматривал возможность возмещения лишь в том случае, если будет доказано, что нарушения были умышленными и грубыми. В итоге смешанная комиссия пришла к общему мнению, согласовав общий текст будущего закона, который предусматривал, что для отдельных нарушений требовалось доказывать их преднамеренный характер для получения возмещения. В остальном – положения двух законопроектов были практически идентичны и легли в основу принятого Акта. Сам Акт является интересным документом для изучения ив полной мере характеризует своеобразность американского подхода к правовому регулированию обработки персональной информации, в связи с чем автору видится логичным рассмотреть его положения более детально. Первое, что стоит упоминания, – это сфера действия Акта, которую можно назвать достаточно ограниченной. Акт, в частности, предоставлял
1
The Privacy Act of 1974 (Pub. L. 93–579, 88 Stat. 1896, enacted December 31, 1974, 5 U.S.C. § 552a). –
(https://www.gpo.gov/fdsys/pkg/STATUTE-88/pdf/STATUTE-88-Pg1896.pdf). – Дата обращения 20.05.2017.
164 права в сфере обработки персональной информации, включая право на судебную защиту, исключительно гражданами постоянным резидентам. Однако положения Акта применялись исключительно в отношении федеральных правительственных агентств, за исключением го раздела касательно номера социальной защиты (Social Security Number – SSN), применяемого в отношении федеральных, местных органов власти и органов власти штатов. Номер социальной защиты может быть предоставлен исключительно на основании федерального закона, в котором в обязательном порядке указывается, является ли такое сообщение SSN добровольным или обязательным. Впрочем, это никак не мешало штатам принимать специальное законодательство, которое бы предусматривало правила обработки персональной информации органами штатов и местными органами власти, помимо положений го раздела Акта. Таким образом, различные федеральные агентства, подчиняющиеся федеральному правительству, в полной мере попали под действие положений Акта, среди них стоит назвать почта США, департамент образования, Федеральное бюро расследований и многие другие. Еще одним ограничением стало упоминание в тексте рассматриваемого закона понятия “system of records” – система записей/файлов», которая определялась как любая совокупность записей/файлов, где информацию об индивиде можно было получить по его имени или индивидуальному идентификатору, что исключало применение закона к базам данных, устроенным по иным принципам доступа, но которые также могли содержать информацию персонального характера. В Акте прямо была закреплена обязанность федеральных агентств ежегодно публиковать сведения о своих базах данных в Федеральном регистре. В рамках такой публикации в обязательном порядке было необходимо указать цель использования базы данных и порядок обращения в агентство заинтересованных лиц в целях предоставления письменных данных, заключений или обоснований. Кроме этого, любые значительные изменения в порядке ведения базы данных должны быть заблаговременно
165 рассмотрены Комитетом по государственным операциям Палаты представителей, Комитетом по государственным делам Сената, а также Кабинетом по управлению и бюджету, которые проводят оценку сточки зрения возможного или предполагаемого ущерба правам индивида предлагаемых изменений. Права субъекта данных (любого физического лица) предусматривали право на доступ к информации о нем. Субъекту при этом предоставляется право знакомиться и делать копии информации о себе, а также требовать внесения изменений в случае неточности или ошибок. Основное требование к операторам данных (федеральных агентств) на основании Акта можно изложить как запрет их раскрытия (disclosure) – передачи третьим лицам или неопределенному кругу лиц, те. сохранения их конфиденциальности, за исключением прямо предусмотренных 12 случаев- условий, к которым подразделом b было отнесено
1) раскрытие данных служащему агентства, который ведет их обработку и которые ему необходимы для реализации его должностных обязанностей
2) раскрытие в соответствии с требованиями Акта о свободе информации (Freedom Information Act
1
);
3) раскрытие в соответствии с обычной практикой (routine use);
4) раскрытие для Бюро переписи населения США (US Census Bureau
2
) для осуществления переписи населения
5) раскрытие по заранее полученному запросу в целях статистических исследований, при условии передачи обезличенных данных (без идентифицирующей личность информации
6) передача записей (данных) в администрации национальных архивов и записей в качестве записи/файла, имеющей историческую ценность
1
The Freedom of Information Act (FOIA) (5 U.S.C. § 552). – (https://www.gpo.gov/fdsys/pkg/STATUTE-
80/pdf/STATUTE-80-Pg250.pdf). – Дата обращения 20.05.2017.
2
US Census Bureau. – (https://www.census.gov/).
166 7) передача записей в целях осуществления уголовного и гражданского правосудия
8) раскрытие в целях защиты жизни и здоровья лица, при условии сообщения ему о факте раскрытия его данных
9) раскрытие информации Конгрессу или его комитетам, подкомитетам
10) раскрытие Генеральному аудитору (Comptroller General
1
) для осуществления деятельности Генерального счетного комитета (the
General Accounting Office);
11) раскрытие на основании решения суда (судебного приказа
12) раскрытие информации о потребителе в соответствии с требованием специального закона. При раскрытии персональной информации агентства должны вести ее учет, те. хранить в течение не менее 5 лет информацию о времени запроса субъекте, который ее запросил, включая его контактную информацию описание переданной информации. Субъект данных вправе ознакомиться с такой учетной записью, за исключением информации по запросам, связанным с осуществлением правосудия. Качество и объем информации, содержащейся у агентства (оператора, регулировались путем установления принципов достоверности информации, а также принципа минимального объема информации, который необходим для реализации законной деятельности агентства, те. только необходимая и относящаяся к делу информация (relevant and necessary). Сверх этого было разрешено осуществлять сбор информации только в том случае, если недостаточность информации может негативно отразиться для индивида (по ограничению прав, интересов, преимуществ. В таких случаях агентства вправе собирать всю доступную информацию непосредственно от индивида. Положения Акта также предусматривали возможность сопоставления,
1
The Comptroller General of the United States. – (http://www.gao.gov/cghome/index.html). – Дата обращения
20.05.2017.
167 объединения данных агентствами при условии письменного соглашения, которое должно быть сообщено Комитету по государственным делам Сената и Комитету по государственным операциям Палаты представителей, а также находиться в публичном доступе. В соглашении в обязательном порядке предусматриваются цель и орган, который будет ответственен за объединение данных ожидаемые результаты и обоснование необходимости объединения баз данных описание данных, которые будут объединяться. В каждом агентстве, которое собирается участвовать в программе сопоставления и объединения данных, Акт требовал создания специального органа (Data Integrity Board), который бы следил за исполнением соглашений об обмене и сопоставлении данных, их соответствием законодательству. Для защиты прав индивида Актом установлена гражданская и уголовная ответственность за нарушения отдельных его положений. В частности, гражданская ответственность предусмотрена за необоснованный отказ индивиду в доступе к файлу/записи или во внесении в него изменений ив некоторых иных случаях. Уголовная ответственность предусмотрена за умышленные раскрытие персональной информации, несообщение о создании баз данных с персональной информацией, необоснованный запрос персональной информации по ложному основанию и т.д. Как видно из анализа рассматриваемого документа, становится очевидным, что он распространяется на достаточно узкий круг отношений, связанных с обработкой персональной информации, к тому же содержит некоторые положения, которые не всегда гарантируют адекватную защиту прав индивида. В частности, вызывает опасения применение Акта исключительно к базам данных, организованным по имени индивида, особому номеру, фотографии, что на момент его принятия в 1974 году могло гарантировать адекватную защиту. Тогда как сейчас, в условиях формирования информационных систем с самыми различными вариантами их организации и поискав них персональной информации, такое положение
168 можно охарактеризовать как не совсем удачное и ограничивающее сферу его действия. По мнению части авторов, особую озабоченность вызывает присутствие в числе исключений возможности раскрытия данных в рамках обычной практики (routine use disclosure), которая часто очень широко трактуется правительственными агентствами. Сам Акт определяет это как возможность раскрытия данных в целях, сопоставимых/схожих с целями, определенными при их сборе. Такое положение дел ведет к указанию федеральными агентствами самых общих целей при сборе информации о гражданах и оставляет им значительное пространство для возможных злоупотреблений. На основании изложенного нетрудно сделать вывод о том, что
Прайваси Акт регулирует только отношения по обработке данных правительственными агентствами, те. органами государственной власти, однако это не означает, что в США отсутствуют нормы, которые регулируют вопросы защиты прав индивида при обработке его данных в частном секторе экономики. В этом заключается еще одно существенное отличие американского подхода к регулированию обработки персональных данных. Все дело в том, что в остальных случаях в США доминирует так называемый отраслевой подход к правовому регулированию обработки данных, а некоторые авторы даже называют его скорее практикой ad hoc
2
. Неслучайно, что в своем отчете о принятых мерах на национальном уровне в рамках ОЭСР Соединенные Штаты заявили сразу четыре органа, уполномоченных в сфере контроля реализации законодательства о защите данных
– Департамент юстиции – в сфере осуществления правосудия
1
Коровяковский, Д.Г. Российский и зарубежный опыт в области защиты персональных данных /
Д.Г. Коровяковский // Национальные интересы приоритеты и безопасность. – 2009. – № 5. – С. 49–50.
2
Reidenberg, J.R. Privacy Protection and the Interdependence of Law Technology and Self-Regulation /
J.R. Reidenberg // Variations sur le Droit de la Société de l’Information. – Bruxelles: Bruylant, 2001. – C. 128.
169
– Департамент здравоохранения и социальной защиты – в сфере здравоохранения и социальной защиты
– Федеральное банковское агентство – в банковской и финансовой сфере
– Федеральная торговая комиссия – в сфере торговли. При этом такой перечень нельзя назвать исчерпывающим, учитывая, что существует специальное регулирование для некоторых других отраслей, равно как и наличие в каждом таком случае специально уполномоченного органа по контролю, а равно учитывая, что штаты также вправе принимать собственные законы о защите данных и учреждать контролирующие органы
1
Особым образом законодательство и практика в США подходит в целом к регулированию обработки персональных данных в частном секторе, рассматривая в основном ее с позиции защиты конкуренции и прав потребителей, неслучайно употребляя вместо термина субъект персональных данных или индивид, понятие потребитель (consumer). В качестве примера можно привести Акт о прайваси в финансовой сфере (The
Right to Financial Privacy Act 1978 2
) и Акт о защите прайваси в электронных коммуникациях (The Electronic Communication Privacy Act 1986 3
), где намеренно используется именно указанный термин применительно к обозначению индивидов, и это не является исключением
4
В целом американское законодательство в области защиты прав потребителей при обработке их персональной информации достаточно избирательно.
1
Report on the Cross-Boarder Enforcement of the Privacy Laws / OECD. – 2006. – P. 13–14.
2
The Right to Financial Privacy Act of 1978 (RFPA; codified at 12 U.S.C. ch. 35, § 3401 et seq.). –
(https://www.gpo.gov/fdsys/pkg/STATUTE-92/pdf/STATUTE-92-Pg3641.pdf). – Дата обращения 20.05.2017.
3
The Electronic Communications Privacy Act of 1986 (ECPA) (18 U.S.C. § 2510 et seq.). –
(https://www.gpo.gov/fdsys/pkg/STATUTE-100/pdf/STATUTE-100-Pg1848.pdf). – Дата обращения 20.05.2017.
4
Автор намеренно использует термин «прайваси» в обоих случаях, так как само содержание указанных актов не позволяет использование другого термина, поскольку названные документы в большей степени посвящены ограничению вмешательства государства в указанные сферы, нежели обеспечению неприкосновенности частной жизни в целом.
170 В качестве наиболее урегулированных сфер можно назвать финансовую сферу, медицинские услуги, услуги по кредитованию, услуги видеопроката
4
, кабельное телевидение, «онлайн» деятельность детей до 13 лет, образовательные услуги, регистрация транспортных средств, телемаркетинг
9
Значительную роль в регулировании вопросов защиты частной жизни в США, включая защиту персональных данных, играют решения Верховного суда, основанные на толковании й поправки Конституции. Такие решения принимаются достаточно часто и, как правило, носят казуальный характер. В частности, Верховный суд рассматривал вопрос о данных владельцев транспортных средств, признав их коммерческий характер и возможность регулировать их обработку федеральным правительством. В 2001 году Верховный суд признал отсутствие нарушений Акта о семейных образовательных правах и частной жизни и й поправки Конституции в случае выставления рейтинга учащихся и его оглашения вслух
11
Многие вопросы в области регулирования обработки данных разрешаются на основе саморегулирования, те. на основе внутренних
1
The Right to Financial Privacy Act of 1978 (RFPA; codified at 12 U.S.C. ch. 35, § 3401 et seq.). –
(https://www.gpo.gov/fdsys/pkg/STATUTE-92/pdf/STATUTE-92-Pg3641.pdf). – Дата обращения 20.05.2017.
2
The Health Insurance Portability and Accountability Act of 1996 (Pub. L. No. 104–191). – (https://www.gpo.gov
/fdsys/pkg/PLAW-104publ191/html/PLAW-104publ191.htm). – Дата обращения 20.05.2017.
3
The Fair Credit Reporting Act of 1970 (Pub. L. No. No. 91-508 (1970)). – (https://www.gpo.gov/fdsys/pkg/
STATUTE-84/pdf/STATUTE-84-Pg1114-2.pdf). – Дата обращения 20.05.2017.
4
The Video Privacy Protection Act (Pub. L. No. 100-618 (1988)). – (https://www.gpo.gov/fdsys/pkg/STATUTE-
102/pdf/STATUTE-102-Pg3195.pdf). – (дата обращения 20.05.2017).
5
The Cable Communications Policy Act of 1984 (Pub. L. No. 98-549 (1984)). – (https://www.gpo.gov/fdsys/pkg/
STATUTE-98/pdf/STATUTE-98-Pg2779.pdf). – Дата обращения 20.05.2017.
6
The Children's Online Privacy Protection Act of 1998 (COPPA) (Pub. L. No. 105-277 (1998)). –
(https://www.gpo.gov/fdsys/pkg/PLAW-105publ277/html/PLAW-105publ277.htm).
– Дата обращения
20.05.2017.
7
The Family Educational Rights and Privacy Act of 1974 (FERPA or the Buckley Amendment) (Pub. L. No. 93-
380 (1974)). – (http://www.legisworks.org/GPO/STATUTE-88-Pg484.pdf). – Дата обращения 20.05.2017.
8
The Driver's Privacy Protection Act of 1994 (Pub. L. No. 103-322 (1994)). – (https://www.gpo.gov/fdsys/pkg
/USCODE-2011-title18/pdf/USCODE-2011-title18-partI-chap123-sec2721.pdf). – Дата обращения 20.05.2017.
9
The Telephone Consumer Protection Act of 1991 (Pub. L. No. 102-243 (1991)). – (https://www.gpo.gov/fdsys/pkg
/USCODE-2011-title47/pdf/USCODE-2011-title47-chap5-subchapII-partI-sec227.pdf).
– Дата обращения
20.05.2017.
10
Reno v. Condon, 528 U.S. 141 (2000). – (https://supreme.justia.com/cases/federal/us/528/141/case.html). – Дата обращения 20.05.2017.
11
Owasso Independent School District v. Falvo, 534 U.S. 426 (2001). – (https://supreme.justia.com/cases/federal
/us/534/426/case.html). – Дата обращения 20.05.2017.).
171 корпоративных норм и рыночной целесообразности, что существенным образом сказывается на уровне защиты данных и сохранения их конфиденциальности и приводит к существованию своего рода рынка данных об индивиде, о котором он может и не знать. В качестве одного из ярких примеров можно назвать наличие самостоятельного и весьма прибыльного рынка информации о гражданах-потребителях, о чем можно судить на основании ставшего широко известным дела Lotus, когда информация (СD-диск) об образе жизни около 20 миллионов американских семей стала предметом продажи и распространения и была впоследствии изъята из оборота под давлением потребителей
2
Подводя итог анализу зарубежной и международной практики, можно условно выделить два основных подхода (модели) правового регулирования персональных данных – европейский и американский. Основными и наиболее характерными чертами первой модели следует признать
1) признание за индивидом неотъемлемого права контролировать обработку информации о себе, как части информационной самоидентификации личности в демократическом обществе
2) наличие специального закона, устанавливающего общие требования к обработке персональных данных в частной и публичной сфере, те. установление общего режима конфиденциальности, заключающегося в особом режиме доступа к ними их распространения, преимущественно с согласия индивида
3) наличие единого, независимого уполномоченного органа по контролю над соблюдением законодательства о персональных данных специальная комиссия или омбудсмен), который полномочен самостоятельно рассматривать жалобы граждан
1
Reidenberg, J.R. Privacy Protection and the Interdependence of Law Technology and Self-Regulation /
J.R. Reidenberg // Variations sur le Droit de la Société de l’Information. – Bruxelles: Bruylant, 2001. – P. 131.
2
Cadoux, L. La Vie Privée: un Avenir sous Haute Surveillance / L. Cadoux // Liberté d’Expression et Nouvelles
Technologies. – Paris: IQ Collectif, 1998. – P. 121
172 4) использование механизмов саморегулирования в частной сфере в качестве дополнительного (субсидиарного. В качестве несомненных положительных черт такого подхода следует признать ориентацию на приоритет прав личности, признание защиты персональных данных в качестве одной из сторон прав и свобод человека, в связи с чем он более ориентированна государственное регулирование обработки персональных данных, независимо от сферы ее осуществления и установление гарантий прав субъекта. Отрицательными чертами в таком случае стоит признать тот факт, что часто гармонизация законодательства о персональных данных оставляет существенное поле для маневра для государств-участников ЕС, что иногда приводит к существенным расхождениям в его содержании. Для американского похода, напротив, характерно
1) использование категории «прайваси» для частной и публичной сферы для ограничения вмешательства государства и его органов в частную жизнь индивида
2) отраслевой подход к правовому регулированию вопросов защиты данных о физических лицах, где наиболее урегулированной сферой на уровне законодательства является публичная сфера (сфера государственного управления и отсутствует единый документ, устанавливающего единые принципы защиты данных для частной и публичной сфер экономики
3) преобладание в частном секторе (в экономике) рыночных механизмов регулирования в вопросах защиты прав индивида, а также рассмотрение в целом проблемы регулирования обработки данных частными компаниями с позиций добросовестной конкуренции и защиты прав потребителя
4) отсутствие единого уполномоченного органа по контролю за соблюдением законодательства в сфере персональных данных и
173 распределение этих функций между различными органами, в соответствии сих компетенцией и отраслевой направленностью. Существенный недостаток данного подхода во многом очевиден – это ориентация на рыночные механизмы регулирование в частной сфере, что не лучшим образом гарантирует защиту прав субъекта данных, поскольку, вне всякого сомнения, в случае противоречий индивиду будет гораздо сложнее противостоять частным компаниям, а также требовать от них информирования об использовании данных о себе в отсутствие законодательно закрепленной обязанности. К примеру, деятельности специализированных агентств, предоставляющих информацию о кредитных историях, урегулирована, тогда как компании, занимающиеся адресным прямым) маркетингом, не связаны в аналогичном случае какими-либо правилами. Положительной чертой в этом походе является как раз специальный, или даже в некоторой степени адресный, подход к регулированию защиты прав субъекта, учитывающий специфику той или иной отрасли экономики, государственного управления, в том числе и при установлении средств судебной защиты, поскольку в каждом случае обычно упоминается размер или порядок определения размера возмещения в гражданском судопроизводстве и размеры уголовного наказания за возможные нарушения. Говоря о распространенности названных выше подходов среди государств мира, можно сказать, что европейский получил более широкое распространение ив настоящий момент это порядка 50 государств Совета Европы, расположенных на европейском континенте, а также Канада, Аргентина, Австралия, Новая Зеландия, Южная Корея, Буркина Фасо. Американский подход менее распространен и помимо самих Соединенных Штатов Америки аналогичным образом отраслевое
174 регулирование обработки персональных данных характерно для Японии, Парагвая, Тайваня, Тайланда
1 1
Параскевов, А.В. Сравнительный анализ правового регулирования защиты персональных данных в России и за рубежом / А.В. Параскевов, А.В. Левченко, Ю.А. Кухоль // Политематический сетевой электронный научный журнал Кубанского государственного аграрного университета. – Краснодар КубГУ, 2015. –
№ 110. – С. 866–894.
175
1 2 3 4 5 6 7 8 9 10 11
159 причинив целях поддержания экономических связей со странами Европы, где действующее законодательство области персональных данных может создать препятствия экономическим отношениям. В этой связи разработка рекомендаций была поручена Группе по развитию электронной торговли, которая и сосредоточила на этом внимание, взяв за основу все те же Основные положения ОЭСР
1
В рамках СНГ для гармонизации законодательства стран-участниц Межпарламентской ассамблеей был разработан и принят Модельный закон О персональных данных (Постановление № 14-19 от 16 октября 1999 года. Отличительными особенностями его стали более расширенный понятийный аппарат, введения положений о лицензировании деятельности в области обработки данных, а также описание действий по обработке персональных данных и требований к ним. В тоже время документ, безусловно, имел рекомендательный характер и не имел положений об обязательствах государств по его реализации. Во многом сложно говорить о том, какое влияние он оказал на национальные правовые системы стран- участников, поскольку те государства, которые приняли соответствующие законы о защите данных или высказались за его принятие, являются одновременно участниками Конвенции Совета Европы № 108 (Молдова, Украина, Россия, Грузия. Зарубежная практика (США – Европа)
После рассмотрения вопроса об инструментах гармонизации национального законодательства и предложенных механизмах правового регулирования обработки персональных данных в рамках международных
1
APEC Privacy Framework. – (http://www.apec.org/Groups/Committee-on-Trade-and-Investment//media/Files
/Groups/ECSG/05_ecsg_privacyframewk.ashx). – Дата обращения 20.05.2017.
2
Модельный закон О персональных данных принят нам пленарном заседании Межпарламентской ассамблеи государств-участников СНГ (Постановление № 14-19 от 16 октября 1999 года) // Межпарламентская Ассамблея государств-участников Содружества Независимых Государств Информационный бюллетень. – 2000. – № 23. – С. 315–326.
160 организаций возможно говорить о некоторых общих тенденциях в зарубежной практике. В этой связи, естественно, выделяются страны европейского континента, где степень гармонизации законодательства достигла наибольшего уровня. В настоящий момент законодательство о защите персональных данных принято более чем в 100 странах, и 28 из них – это страны ЕС, к которым можно прибавить еще 22 государства-члена Совета Европы. Таким образом, получается, что практически половина государств, в которых существует специальное законодательство о персональных данных и которые включились в процесс гармонизации своих норм с законодательством других стран, расположены на европейском континенте. В основном их законодательство строится на основе общих принципов обработки данных, установлении гарантий прав субъекту при обработке его данных, а также при их трансграничной передаче. Различия касаются лишь некоторых положений в допускаемых рамках, установленных актами о гармонизации (Директивой и Конвенцией Совета Европы № 108), о чем уже шла речь выше – вопрос об уполномоченном органе по контролю обработки данных, установление различного рода исключений, в случае где присутствует превалирующий публичный интерес, установление положений при обработке особых категорий данных и т.д. За пределами Европы находится сравнительно небольшое количество стран, которые также озаботились проблемами защиты прав индивида при обработке персональных данных (большая часть из них входит в ОЭСР: Австралия, Канада, Япония, Южная Корея, Новая Зеландия, США) и, как уже было сказано, также приняли ряд законодательных мер для защиты данных. Среди этих государств немногие смогли достичь уровня защиты персональных данных, который существует в странах Европейского союза. В частности, Европейская комиссия назвала лишь 12 стран вне рамок ЕС, в которых, по ее мнению, существует адекватный уровень защиты персональных данных Андорра, Аргентина, Канада, Швейцария, Фарерские
161 острова, Гернси, Израиль, Мэн, Джерси, Новая Зеландия, США, Уругвай. В отношении других стран, при трансграничной передаче данных требуется предоставление соответствующего уровня защиты данных, как правило, путем заключения соответствующего соглашения. Одним из самых известных таких соглашений можно назвать Соглашение между ЕС и США о передаче персональных данных об авиапассажирах, после заключения которого уровень защиты данных об авиапассажирах из стран ЕС был признан соответствующим
2
Пожалуй, по-прежнему достаточным своеобразием и серьезными отличительными чертами обладает механизм защиты персональных данных, предусмотренный законодательством США, причем настолько, что вполне можно говорить о другом подходе к правовому регулированию персональных данных, чем тот, который распространен в большинстве европейских государств и который заслуживает отдельного упоминания. США уже давно известны как страна, где право на уважение частной жизни получило широкое признание и уважение, учитывая, что и сами термины частная жизнь или право на частную жизнь во многом появляются как интерпретация термина “right of privacy”, введенного в употребление американскими юристами, о чем уже ранее говорилось. В течение долгого периода американской истории, именно понятие
“privacy” (прайваси) – становится ключевым словом-концепцией для всей американской системы права. Первоначально данная концепция описывала лишь достаточно ограниченные аспекты частной жизни, подлежащие защите на основании текста й поправки к Конституции США, однако, благодаря гибкости и адаптивности конституционного права количество правомочий постоянно возрастало.
1
Commission decisions on the adequacy of the protection of personal data in third countries. –
(http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm). – Дата обращения
20.05.2017.
2
The EU-U.S. Privacy Shield. – (http://ec.europa.eu/justice/data-protection/international-transfers/eu-us-privacy- shield/index_en.htm). – Дата обращения 20.05.2017.
162 В частности, «прайваси» в первую очередь затрагивала такие аспекты, как право на жилище, на тайну переписки, а затем и телефонных переговоров, электронных и иных сообщений, те. так называемых privacy rights. Развитие компьютерных технологий обработки информации, в которых США является одним из бесспорных лидеров ив настоящее время, привело к неизбежному вопросу защиты «прайваси» (частной жизни, в первую очередь – в условиях автоматизированной обработки информации о физических лицах в электронных базах данных. Для изучения вопроса Департаментом здравоохранения, образования и социальной защиты (Department of Health, Education and Welfare) была создана специальная комиссия по изучению вопроса, которая еще в 1973 году в своем докладе обратилась с рекомендациями к Конгрессу по принятию специального законодательства – Кодекса честной информационной практики (Code of Fair Information Practice
1
), основанного наследующих принципиальных положениях отсутствие баз персональных данных, существование которых скрывается или является секретным предоставление индивиду права знать, какая информация содержится о нем в базе данных и как она используется предоставление права индивиду воспрепятствовать использованию информации, полученной с определенной целью, в других целях или передаче другим лицам без его согласия индивид должен иметь право требовать внесения изменений, исправлений или дополнения информации о нем, в случае ее недостоверности организация, осуществляющая создание, поддержание, использование и распространение персональных данных, должна
1
FTC Fair information practice principles. – (http://inflection.com/privacy/frameworks-were-watching/ftc-fair- information-practice-principles). – Дата обращения 20.05.2017.
163 обеспечить достоверность персональных данных, а также принять меры к предотвращению их ненадлежащего использования. Кроме этого, специальный доклад содержал рекомендации для организаций, ведущих обработку персональной информации о необходимости защиты последней, а также о необходимости ежегодного опубликования сведений о базах данных и содержащейся в них информации. Большая часть положений доклада легла в основу принятого год спустя Акта о защите частной жизни 1974 года (The Privacy Act of 1974 1
, далее – Акт. История принятия этого документа стала компромиссом между двумя законопроектами, которые появились одновременно, один в Палате представителей, а другой – в Сенате. Отличались они в основном порядком возмещения вреда, причиненного субъекту данных. Законопроект Сената в этом отношении был более суров, и для возмещения вреда было достаточно лишь установления факта нарушения, тогда как законопроект Палаты представителей предусматривал возможность возмещения лишь в том случае, если будет доказано, что нарушения были умышленными и грубыми. В итоге смешанная комиссия пришла к общему мнению, согласовав общий текст будущего закона, который предусматривал, что для отдельных нарушений требовалось доказывать их преднамеренный характер для получения возмещения. В остальном – положения двух законопроектов были практически идентичны и легли в основу принятого Акта. Сам Акт является интересным документом для изучения ив полной мере характеризует своеобразность американского подхода к правовому регулированию обработки персональной информации, в связи с чем автору видится логичным рассмотреть его положения более детально. Первое, что стоит упоминания, – это сфера действия Акта, которую можно назвать достаточно ограниченной. Акт, в частности, предоставлял
1
The Privacy Act of 1974 (Pub. L. 93–579, 88 Stat. 1896, enacted December 31, 1974, 5 U.S.C. § 552a). –
(https://www.gpo.gov/fdsys/pkg/STATUTE-88/pdf/STATUTE-88-Pg1896.pdf). – Дата обращения 20.05.2017.
164 права в сфере обработки персональной информации, включая право на судебную защиту, исключительно гражданами постоянным резидентам. Однако положения Акта применялись исключительно в отношении федеральных правительственных агентств, за исключением го раздела касательно номера социальной защиты (Social Security Number – SSN), применяемого в отношении федеральных, местных органов власти и органов власти штатов. Номер социальной защиты может быть предоставлен исключительно на основании федерального закона, в котором в обязательном порядке указывается, является ли такое сообщение SSN добровольным или обязательным. Впрочем, это никак не мешало штатам принимать специальное законодательство, которое бы предусматривало правила обработки персональной информации органами штатов и местными органами власти, помимо положений го раздела Акта. Таким образом, различные федеральные агентства, подчиняющиеся федеральному правительству, в полной мере попали под действие положений Акта, среди них стоит назвать почта США, департамент образования, Федеральное бюро расследований и многие другие. Еще одним ограничением стало упоминание в тексте рассматриваемого закона понятия “system of records” – система записей/файлов», которая определялась как любая совокупность записей/файлов, где информацию об индивиде можно было получить по его имени или индивидуальному идентификатору, что исключало применение закона к базам данных, устроенным по иным принципам доступа, но которые также могли содержать информацию персонального характера. В Акте прямо была закреплена обязанность федеральных агентств ежегодно публиковать сведения о своих базах данных в Федеральном регистре. В рамках такой публикации в обязательном порядке было необходимо указать цель использования базы данных и порядок обращения в агентство заинтересованных лиц в целях предоставления письменных данных, заключений или обоснований. Кроме этого, любые значительные изменения в порядке ведения базы данных должны быть заблаговременно
165 рассмотрены Комитетом по государственным операциям Палаты представителей, Комитетом по государственным делам Сената, а также Кабинетом по управлению и бюджету, которые проводят оценку сточки зрения возможного или предполагаемого ущерба правам индивида предлагаемых изменений. Права субъекта данных (любого физического лица) предусматривали право на доступ к информации о нем. Субъекту при этом предоставляется право знакомиться и делать копии информации о себе, а также требовать внесения изменений в случае неточности или ошибок. Основное требование к операторам данных (федеральных агентств) на основании Акта можно изложить как запрет их раскрытия (disclosure) – передачи третьим лицам или неопределенному кругу лиц, те. сохранения их конфиденциальности, за исключением прямо предусмотренных 12 случаев- условий, к которым подразделом b было отнесено
1) раскрытие данных служащему агентства, который ведет их обработку и которые ему необходимы для реализации его должностных обязанностей
2) раскрытие в соответствии с требованиями Акта о свободе информации (Freedom Information Act
1
);
3) раскрытие в соответствии с обычной практикой (routine use);
4) раскрытие для Бюро переписи населения США (US Census Bureau
2
) для осуществления переписи населения
5) раскрытие по заранее полученному запросу в целях статистических исследований, при условии передачи обезличенных данных (без идентифицирующей личность информации
6) передача записей (данных) в администрации национальных архивов и записей в качестве записи/файла, имеющей историческую ценность
1
The Freedom of Information Act (FOIA) (5 U.S.C. § 552). – (https://www.gpo.gov/fdsys/pkg/STATUTE-
80/pdf/STATUTE-80-Pg250.pdf). – Дата обращения 20.05.2017.
2
US Census Bureau. – (https://www.census.gov/).
166 7) передача записей в целях осуществления уголовного и гражданского правосудия
8) раскрытие в целях защиты жизни и здоровья лица, при условии сообщения ему о факте раскрытия его данных
9) раскрытие информации Конгрессу или его комитетам, подкомитетам
10) раскрытие Генеральному аудитору (Comptroller General
1
) для осуществления деятельности Генерального счетного комитета (the
General Accounting Office);
11) раскрытие на основании решения суда (судебного приказа
12) раскрытие информации о потребителе в соответствии с требованием специального закона. При раскрытии персональной информации агентства должны вести ее учет, те. хранить в течение не менее 5 лет информацию о времени запроса субъекте, который ее запросил, включая его контактную информацию описание переданной информации. Субъект данных вправе ознакомиться с такой учетной записью, за исключением информации по запросам, связанным с осуществлением правосудия. Качество и объем информации, содержащейся у агентства (оператора, регулировались путем установления принципов достоверности информации, а также принципа минимального объема информации, который необходим для реализации законной деятельности агентства, те. только необходимая и относящаяся к делу информация (relevant and necessary). Сверх этого было разрешено осуществлять сбор информации только в том случае, если недостаточность информации может негативно отразиться для индивида (по ограничению прав, интересов, преимуществ. В таких случаях агентства вправе собирать всю доступную информацию непосредственно от индивида. Положения Акта также предусматривали возможность сопоставления,
1
The Comptroller General of the United States. – (http://www.gao.gov/cghome/index.html). – Дата обращения
20.05.2017.
167 объединения данных агентствами при условии письменного соглашения, которое должно быть сообщено Комитету по государственным делам Сената и Комитету по государственным операциям Палаты представителей, а также находиться в публичном доступе. В соглашении в обязательном порядке предусматриваются цель и орган, который будет ответственен за объединение данных ожидаемые результаты и обоснование необходимости объединения баз данных описание данных, которые будут объединяться. В каждом агентстве, которое собирается участвовать в программе сопоставления и объединения данных, Акт требовал создания специального органа (Data Integrity Board), который бы следил за исполнением соглашений об обмене и сопоставлении данных, их соответствием законодательству. Для защиты прав индивида Актом установлена гражданская и уголовная ответственность за нарушения отдельных его положений. В частности, гражданская ответственность предусмотрена за необоснованный отказ индивиду в доступе к файлу/записи или во внесении в него изменений ив некоторых иных случаях. Уголовная ответственность предусмотрена за умышленные раскрытие персональной информации, несообщение о создании баз данных с персональной информацией, необоснованный запрос персональной информации по ложному основанию и т.д. Как видно из анализа рассматриваемого документа, становится очевидным, что он распространяется на достаточно узкий круг отношений, связанных с обработкой персональной информации, к тому же содержит некоторые положения, которые не всегда гарантируют адекватную защиту прав индивида. В частности, вызывает опасения применение Акта исключительно к базам данных, организованным по имени индивида, особому номеру, фотографии, что на момент его принятия в 1974 году могло гарантировать адекватную защиту. Тогда как сейчас, в условиях формирования информационных систем с самыми различными вариантами их организации и поискав них персональной информации, такое положение
168 можно охарактеризовать как не совсем удачное и ограничивающее сферу его действия. По мнению части авторов, особую озабоченность вызывает присутствие в числе исключений возможности раскрытия данных в рамках обычной практики (routine use disclosure), которая часто очень широко трактуется правительственными агентствами. Сам Акт определяет это как возможность раскрытия данных в целях, сопоставимых/схожих с целями, определенными при их сборе. Такое положение дел ведет к указанию федеральными агентствами самых общих целей при сборе информации о гражданах и оставляет им значительное пространство для возможных злоупотреблений. На основании изложенного нетрудно сделать вывод о том, что
Прайваси Акт регулирует только отношения по обработке данных правительственными агентствами, те. органами государственной власти, однако это не означает, что в США отсутствуют нормы, которые регулируют вопросы защиты прав индивида при обработке его данных в частном секторе экономики. В этом заключается еще одно существенное отличие американского подхода к регулированию обработки персональных данных. Все дело в том, что в остальных случаях в США доминирует так называемый отраслевой подход к правовому регулированию обработки данных, а некоторые авторы даже называют его скорее практикой ad hoc
2
. Неслучайно, что в своем отчете о принятых мерах на национальном уровне в рамках ОЭСР Соединенные Штаты заявили сразу четыре органа, уполномоченных в сфере контроля реализации законодательства о защите данных
– Департамент юстиции – в сфере осуществления правосудия
1
Коровяковский, Д.Г. Российский и зарубежный опыт в области защиты персональных данных /
Д.Г. Коровяковский // Национальные интересы приоритеты и безопасность. – 2009. – № 5. – С. 49–50.
2
Reidenberg, J.R. Privacy Protection and the Interdependence of Law Technology and Self-Regulation /
J.R. Reidenberg // Variations sur le Droit de la Société de l’Information. – Bruxelles: Bruylant, 2001. – C. 128.
169
– Департамент здравоохранения и социальной защиты – в сфере здравоохранения и социальной защиты
– Федеральное банковское агентство – в банковской и финансовой сфере
– Федеральная торговая комиссия – в сфере торговли. При этом такой перечень нельзя назвать исчерпывающим, учитывая, что существует специальное регулирование для некоторых других отраслей, равно как и наличие в каждом таком случае специально уполномоченного органа по контролю, а равно учитывая, что штаты также вправе принимать собственные законы о защите данных и учреждать контролирующие органы
1
Особым образом законодательство и практика в США подходит в целом к регулированию обработки персональных данных в частном секторе, рассматривая в основном ее с позиции защиты конкуренции и прав потребителей, неслучайно употребляя вместо термина субъект персональных данных или индивид, понятие потребитель (consumer). В качестве примера можно привести Акт о прайваси в финансовой сфере (The
Right to Financial Privacy Act 1978 2
) и Акт о защите прайваси в электронных коммуникациях (The Electronic Communication Privacy Act 1986 3
), где намеренно используется именно указанный термин применительно к обозначению индивидов, и это не является исключением
4
В целом американское законодательство в области защиты прав потребителей при обработке их персональной информации достаточно избирательно.
1
Report on the Cross-Boarder Enforcement of the Privacy Laws / OECD. – 2006. – P. 13–14.
2
The Right to Financial Privacy Act of 1978 (RFPA; codified at 12 U.S.C. ch. 35, § 3401 et seq.). –
(https://www.gpo.gov/fdsys/pkg/STATUTE-92/pdf/STATUTE-92-Pg3641.pdf). – Дата обращения 20.05.2017.
3
The Electronic Communications Privacy Act of 1986 (ECPA) (18 U.S.C. § 2510 et seq.). –
(https://www.gpo.gov/fdsys/pkg/STATUTE-100/pdf/STATUTE-100-Pg1848.pdf). – Дата обращения 20.05.2017.
4
Автор намеренно использует термин «прайваси» в обоих случаях, так как само содержание указанных актов не позволяет использование другого термина, поскольку названные документы в большей степени посвящены ограничению вмешательства государства в указанные сферы, нежели обеспечению неприкосновенности частной жизни в целом.
170 В качестве наиболее урегулированных сфер можно назвать финансовую сферу, медицинские услуги, услуги по кредитованию, услуги видеопроката
4
, кабельное телевидение, «онлайн» деятельность детей до 13 лет, образовательные услуги, регистрация транспортных средств, телемаркетинг
9
Значительную роль в регулировании вопросов защиты частной жизни в США, включая защиту персональных данных, играют решения Верховного суда, основанные на толковании й поправки Конституции. Такие решения принимаются достаточно часто и, как правило, носят казуальный характер. В частности, Верховный суд рассматривал вопрос о данных владельцев транспортных средств, признав их коммерческий характер и возможность регулировать их обработку федеральным правительством. В 2001 году Верховный суд признал отсутствие нарушений Акта о семейных образовательных правах и частной жизни и й поправки Конституции в случае выставления рейтинга учащихся и его оглашения вслух
11
Многие вопросы в области регулирования обработки данных разрешаются на основе саморегулирования, те. на основе внутренних
1
The Right to Financial Privacy Act of 1978 (RFPA; codified at 12 U.S.C. ch. 35, § 3401 et seq.). –
(https://www.gpo.gov/fdsys/pkg/STATUTE-92/pdf/STATUTE-92-Pg3641.pdf). – Дата обращения 20.05.2017.
2
The Health Insurance Portability and Accountability Act of 1996 (Pub. L. No. 104–191). – (https://www.gpo.gov
/fdsys/pkg/PLAW-104publ191/html/PLAW-104publ191.htm). – Дата обращения 20.05.2017.
3
The Fair Credit Reporting Act of 1970 (Pub. L. No. No. 91-508 (1970)). – (https://www.gpo.gov/fdsys/pkg/
STATUTE-84/pdf/STATUTE-84-Pg1114-2.pdf). – Дата обращения 20.05.2017.
4
The Video Privacy Protection Act (Pub. L. No. 100-618 (1988)). – (https://www.gpo.gov/fdsys/pkg/STATUTE-
102/pdf/STATUTE-102-Pg3195.pdf). – (дата обращения 20.05.2017).
5
The Cable Communications Policy Act of 1984 (Pub. L. No. 98-549 (1984)). – (https://www.gpo.gov/fdsys/pkg/
STATUTE-98/pdf/STATUTE-98-Pg2779.pdf). – Дата обращения 20.05.2017.
6
The Children's Online Privacy Protection Act of 1998 (COPPA) (Pub. L. No. 105-277 (1998)). –
(https://www.gpo.gov/fdsys/pkg/PLAW-105publ277/html/PLAW-105publ277.htm).
– Дата обращения
20.05.2017.
7
The Family Educational Rights and Privacy Act of 1974 (FERPA or the Buckley Amendment) (Pub. L. No. 93-
380 (1974)). – (http://www.legisworks.org/GPO/STATUTE-88-Pg484.pdf). – Дата обращения 20.05.2017.
8
The Driver's Privacy Protection Act of 1994 (Pub. L. No. 103-322 (1994)). – (https://www.gpo.gov/fdsys/pkg
/USCODE-2011-title18/pdf/USCODE-2011-title18-partI-chap123-sec2721.pdf). – Дата обращения 20.05.2017.
9
The Telephone Consumer Protection Act of 1991 (Pub. L. No. 102-243 (1991)). – (https://www.gpo.gov/fdsys/pkg
/USCODE-2011-title47/pdf/USCODE-2011-title47-chap5-subchapII-partI-sec227.pdf).
– Дата обращения
20.05.2017.
10
Reno v. Condon, 528 U.S. 141 (2000). – (https://supreme.justia.com/cases/federal/us/528/141/case.html). – Дата обращения 20.05.2017.
11
Owasso Independent School District v. Falvo, 534 U.S. 426 (2001). – (https://supreme.justia.com/cases/federal
/us/534/426/case.html). – Дата обращения 20.05.2017.).
171 корпоративных норм и рыночной целесообразности, что существенным образом сказывается на уровне защиты данных и сохранения их конфиденциальности и приводит к существованию своего рода рынка данных об индивиде, о котором он может и не знать. В качестве одного из ярких примеров можно назвать наличие самостоятельного и весьма прибыльного рынка информации о гражданах-потребителях, о чем можно судить на основании ставшего широко известным дела Lotus, когда информация (СD-диск) об образе жизни около 20 миллионов американских семей стала предметом продажи и распространения и была впоследствии изъята из оборота под давлением потребителей
2
Подводя итог анализу зарубежной и международной практики, можно условно выделить два основных подхода (модели) правового регулирования персональных данных – европейский и американский. Основными и наиболее характерными чертами первой модели следует признать
1) признание за индивидом неотъемлемого права контролировать обработку информации о себе, как части информационной самоидентификации личности в демократическом обществе
2) наличие специального закона, устанавливающего общие требования к обработке персональных данных в частной и публичной сфере, те. установление общего режима конфиденциальности, заключающегося в особом режиме доступа к ними их распространения, преимущественно с согласия индивида
3) наличие единого, независимого уполномоченного органа по контролю над соблюдением законодательства о персональных данных специальная комиссия или омбудсмен), который полномочен самостоятельно рассматривать жалобы граждан
1
Reidenberg, J.R. Privacy Protection and the Interdependence of Law Technology and Self-Regulation /
J.R. Reidenberg // Variations sur le Droit de la Société de l’Information. – Bruxelles: Bruylant, 2001. – P. 131.
2
Cadoux, L. La Vie Privée: un Avenir sous Haute Surveillance / L. Cadoux // Liberté d’Expression et Nouvelles
Technologies. – Paris: IQ Collectif, 1998. – P. 121
172 4) использование механизмов саморегулирования в частной сфере в качестве дополнительного (субсидиарного. В качестве несомненных положительных черт такого подхода следует признать ориентацию на приоритет прав личности, признание защиты персональных данных в качестве одной из сторон прав и свобод человека, в связи с чем он более ориентированна государственное регулирование обработки персональных данных, независимо от сферы ее осуществления и установление гарантий прав субъекта. Отрицательными чертами в таком случае стоит признать тот факт, что часто гармонизация законодательства о персональных данных оставляет существенное поле для маневра для государств-участников ЕС, что иногда приводит к существенным расхождениям в его содержании. Для американского похода, напротив, характерно
1) использование категории «прайваси» для частной и публичной сферы для ограничения вмешательства государства и его органов в частную жизнь индивида
2) отраслевой подход к правовому регулированию вопросов защиты данных о физических лицах, где наиболее урегулированной сферой на уровне законодательства является публичная сфера (сфера государственного управления и отсутствует единый документ, устанавливающего единые принципы защиты данных для частной и публичной сфер экономики
3) преобладание в частном секторе (в экономике) рыночных механизмов регулирования в вопросах защиты прав индивида, а также рассмотрение в целом проблемы регулирования обработки данных частными компаниями с позиций добросовестной конкуренции и защиты прав потребителя
4) отсутствие единого уполномоченного органа по контролю за соблюдением законодательства в сфере персональных данных и
173 распределение этих функций между различными органами, в соответствии сих компетенцией и отраслевой направленностью. Существенный недостаток данного подхода во многом очевиден – это ориентация на рыночные механизмы регулирование в частной сфере, что не лучшим образом гарантирует защиту прав субъекта данных, поскольку, вне всякого сомнения, в случае противоречий индивиду будет гораздо сложнее противостоять частным компаниям, а также требовать от них информирования об использовании данных о себе в отсутствие законодательно закрепленной обязанности. К примеру, деятельности специализированных агентств, предоставляющих информацию о кредитных историях, урегулирована, тогда как компании, занимающиеся адресным прямым) маркетингом, не связаны в аналогичном случае какими-либо правилами. Положительной чертой в этом походе является как раз специальный, или даже в некоторой степени адресный, подход к регулированию защиты прав субъекта, учитывающий специфику той или иной отрасли экономики, государственного управления, в том числе и при установлении средств судебной защиты, поскольку в каждом случае обычно упоминается размер или порядок определения размера возмещения в гражданском судопроизводстве и размеры уголовного наказания за возможные нарушения. Говоря о распространенности названных выше подходов среди государств мира, можно сказать, что европейский получил более широкое распространение ив настоящий момент это порядка 50 государств Совета Европы, расположенных на европейском континенте, а также Канада, Аргентина, Австралия, Новая Зеландия, Южная Корея, Буркина Фасо. Американский подход менее распространен и помимо самих Соединенных Штатов Америки аналогичным образом отраслевое
174 регулирование обработки персональных данных характерно для Японии, Парагвая, Тайваня, Тайланда
1 1
Параскевов, А.В. Сравнительный анализ правового регулирования защиты персональных данных в России и за рубежом / А.В. Параскевов, А.В. Левченко, Ю.А. Кухоль // Политематический сетевой электронный научный журнал Кубанского государственного аграрного университета. – Краснодар КубГУ, 2015. –
№ 110. – С. 866–894.
175
1 2 3 4 5 6 7 8 9 10 11
3.2. Особенности формирования российского подхода к правовому регулированию персональных данных
В российском праве долгое время вопрос о правовом регулировании персональных данных оставался открытым, прежде всего в плане принятия специального закона в этой области. При этом невозможно говорить о том, что отдельные аспекты, связанные с обработкой персональных данных, небыли урегулированы. На конституционном уровне следует упомянуть статьи
23 и 24 Конституции РФ 1993 года, устанавливающие право индивида на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых телеграфных и иных сообщений, а также право индивида и на доступ к информации о себе и обязанность государственных органов и органов местного самоуправления обеспечить ему возможность последнего. Вне всякого сомнения, эти статьи, несмотря на то что в них содержатся лишь отдельные аспекты правового регулирования обработки данных о физических лицах, послужили своего рода отправной точкой для дальнейшего формирования законодательства о защите частной жизни при обработке персональных данных. Впервые термин персональные данные (информация о гражданах) был введен в законодательство с принятием Федерального закона Об информации, информатизации и о защите информации в 1995 году, где в статье 2 содержалось уже рассмотренное автором определение их как сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. Однако детального регулирования обработки данных в указанном законе, по понятным причинам, не содержалось, но предлагалась его общая концепция, а также содержалась отсылка к специальному законодательству, которое, как, по- видимому, предполагалось, должно быть принято. На основании анализа
1
Об информации, информатизации и защите информации федер. закон от 20.02.1995 № 24-ФЗ. (Утратил силу)
176 статьи 9 и 14, принципиально можно было прийти к следующим основным выводам о концептуальных положениях предполагаемого тогда специального закона персональные данные являются информацией ограниченного доступа и относятся к конфиденциальной информации перечень персональных данных должен быть установлен федеральным законом персональные данные напрямую связаны с защитой права на неприкосновенность частной жизни, личную и семейную тайну и права на тайну переписки, телефонных переговоров, телеграфных и иных сообщений сбор, хранение, использование и распространение персональных данных допускается лишь с согласия индивида или по решению суда персональные данные не могут быть использованы для причинения имущественного и морального вреда индивиду персональные данные о расовой, национальной, языковой, религиозной и партийной принадлежности не могут быть использованы для дискриминации (ограничения прав) физических лиц ответственность за нарушения порядка сбора, хранения, использования и распространения персональных данных несут владельцы информационных ресурсов, их содержащих субъект персональных данных (индивид) вправе знакомиться с содержанием персональных данных (иметь доступ к ним, требовать их уточнения, а также вправе знать, кто ив каких целях их использует, за исключением случаев, предусмотренных законом
1
В соответствии с положениями рассматриваемого закона информация ограниченного доступа подразделялась на две основные категории – государственная тайна и конфиденциальная информация.