Файл: Персональные данные в системе информации ограниченного доступа.pdf

186 несоответствующей действительности информации о нем из результатов поискав сети Интернет принятие новой редакции статьи
13.11
КоАП РФ, предусматривающей усиление административной ответственности в области нарушения законодательства о персональных данных, как в части увеличения размера штрафа, таки в части увеличения составов правонарушений
2
Все эти многочисленные изменения демонстрируют дальнейшее развитие идеи защиты персональных данных и были приняты в ответ на текущие угрозы правами законным интересам физических лиц при обработке персональных данных. В частности, требование локализации баз персональных данных о гражданах РФ и отдельных процессов их обработки было вызвано очевидным стремлением обеспечить защиту данных в условиях, когда с учетом существующих бизнес-моделей компаний, активно предлагающих услуги в сети Интернет, в том числе с помощью облачных сервисов, невозможно однозначно определить, где же в итоге осуществляется обработка данных и под юрисдикцией какого государства И, что немаловажно, гарантирует ли последнее должный уровень защиты персональных данных Во втором случае проблема еще интереснее и глубже. Впервые оправе на забвение было заявлено в деле Google в 2014 году. Итогом его рассмотрения стало появление новой нормы, предусматривающей для индивида возможность требовать удаления из результатов поиска поисковой системы Google ссылки на информацию, которую он считает устаревшей или неактуальной. Такое требование Европейский суд ЕС обосновал в
1
О внесении изменений в Федеральный закон Об информации, информационных технологиях и о защите информации федер. закон от 13.07.2015 № 264-ФЗ и статьи 29 и 402 Гражданского процессуального кодекса Российской Федерации.
2
О внесении изменений в Кодекс Российской Федерации об административных правонарушениях федер. закон от 07.02.2017 № 13-ФЗ.
3
Judgment of the court (Grand Chamber) 13 May 2014. Google Spain SL, Google Inc. v Agencia Española de
Protección de Datos (AEPD), Mario Costeja González. – (http://curia.europa.eu/juris/document/document.jsf? docid=152065&doclang=EN)/ – Дата обращения 20.05.2017.

187 положениях Директивы № 95/46/ЕС, признав фактически поисковую систему оператором персональных данных и, как следствие, право лица требовать прекращения обработки персональных данных. Российское законодательство, несмотря на порой резкую критику со стороны интернет-сообщества
1
и некоторых ученых, на удивление быстро приняла аналогичные положения, которые вступили в силу с 1 января 2016 года. В 2016 году одна из крупнейших российских интернет-компаний
«Яндекс» опубликовала первые результаты применения закона оправе на забвение, заявив, что только вначале года поисковая система получила более 3600 обращений, удовлетворив только 27% из них. Компания Google, которая уже давно принимает аналогичные обращения, по состоянию на 2017 год получила уже более 730000 запросов об удалении информации из поиска, дав положительный ответ более чем в 40 случаях. В целом полемика о природе и сущности права на забвение, его влиянии на развитие Интернета, на обеспечение баланса между правом на уважение частной жизни и свободой выражения мнений еще далека от завершения, о чем свидетельствуют периодически появляющиеся публикации на эту тему
5
Более того, соответствующие положения оправе на забвение были включены в абсолютно новый документ – General Data Protection Regulation Общие правила регулирования защиты данных далее – Общие правила, который в самое ближайшее время должен прийти на смену Директиве
№ 95/46/ЕС.
1
Поисковики отреагировали на законопроект Оправе на забвение в интернете // Информационный портал
«Лента.ру». – (https://lenta.ru/news/2015/05/29/searchanswer/). – Дата обращения 20.05.2017.
2
Разина, Е. Свобода слова, или право на забвение / Е. Разина // Справочно-правовой портал «Гарант.ру». –
(http://www.garant.ru/ia/opinion/author/razina/637159/). – Дата обращения 20.05.2017.
3
О применении закона Оправе на забвение Блог «Яндекса». – (https://yandex.ru/blog/company/o- primenenii-zakona-o-prave-na-zabvenie). – Дата обращения 20.05.2017.
4
Удаление результатов поиска поличным запросам от граждан ЕС // Поисковая система «Googleh». –
(https://www.google.com/transparencyreport/removals/europeprivacy/). – Дата обращения 20.05.2017.
5
Byrum, K. The European right to be forgotten: A challenge to the United States Constitution's First Amendment and to professional public relations ethics / K. Byrum / Public Relations Review. – 2017. – Vol. 43. – No. 1. –
P. 102–111.
6
General Data Protection Regulation (GDPR) 2012. – (http://ec.europa.eu/transparency/regdoc/rep/1/2012/EN/1-
2012-11-EN-F1-1.Pdf). – Дата обращения 20.05.2017.

188 Появление последних можно назвать одной из самых серьезных и глобальных реформ европейской системы защиты персональных данных с
1995 года. Указанные Общие правила стали итогом длительной подготовки и согласования текста нового систематизирующего закона о персональных данных ЕС со странами-участниками. Самих текст был подготовлен еще в
2011 году и окончательно был принят лишь в апреле 2016 года. В настоящее время идет так называемый переходный период для адаптации и гармонизации текстов национальных законов о персональных данных с окончанием 25 мая 2018 года, когда Общие правила должны вступить в силу. Причины принятия Общих правил были объяснены и подробно изложены в пояснительной записке, предваряющей текст нормативного акта, среди них были названы две основные
– общее развитие информационного общества, с которым связано появление новых угроз правам индивида при обработке данных
– фрагментарность национального законодательства о персональных данных в странах-участницах ЕС. Среди наиболее существенных изменений, предлагаемых Общими правилами в сравнении с положениями Директивы 95/46/ЕС, можно назвать
1) совершенствование понятийного аппарата и появление новых терминов
2) введение новых принципов при обработке персональных данных – принципа прозрачности и принципа комплексной и адекватной ответственности оператора данных
3) закрепление права на забвение и права требования прекращения обработки и удаления данных
4) обязательное назначение ответственных лиц за обработку персональных данных для публичного сектора и крупного бизнеса и т.д.
1
General Data Protection Regulation (GDPR) 2012. – (http://ec.europa.eu/transparency/regdoc/rep/1/2012/EN/1-
2012-11-EN-F1-1.Pdf). – Дата обращения 20.05.2017.

189 В дополнение к Общим правилам реформа европейской модели защиты персональных данных затронула и сферу правоохранительной деятельности. В общем пакете изменений вместе с Правилами была принята специальная директива, регулирующая вопросы обработки персональных данных органами, компетентными проводить уголовное преследование и расследование, а также осуществлять исполнение уголовных наказаний
1
Само появление этого документа в некоторой степени является само по себе новинкой, учитывая, что ранее Директива 95/46/ЕС не распространяла действие своего механизма о защите данных на такой случай, называя его в числе исключений. Теперь же, наоборот, страны Европы получат единый документ, регламентирующий основные положения об обработке данных правоохранительными органами. Сам предлагаемый механизм и его ключевые принципы очень схож с положениями Директивы 95/46/ЕС и Общих правил, нов несколько усеченном виде и скорее направленна то, чтобы гарантировать соблюдение принципа законности при обработке персональных данных. Среди интересных новинок стоит отметить желание разделить персональные данные, обрабатываемые правоохранительными органами, наряд категорий, исходя из особенностей субъекта, к которому они относятся. В частности, новые положения предписывают национальным правоохранительным органами странам-участницам делать различие между персональными данными подозреваемых, потерпевших (жертв, обвиняемых и иных участников уголовного процесса, что не лишено смысла и требует дальнейшего изучения и осмысления. Если говорить о развитии и совершенствовании национального законодательства и практики в области защиты персональных данных в странах Европы, то можно отметить общую тенденцию на активное привлечение к разработке отраслевых норм о защите персональных данных
1
Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data. – (http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016L0680
&qid=1497555625791&from=en). – Дата обращения 20.05.2017.

190 саморегулирующих организаций и объединений предпринимателей для конкретных секторов экономики. Примером этого может служить информация, размещенная на сайте Информационного комиссара Великобритании, где приведены подробные инструкции и руководства по организации системы защиты персональных данных в различных секторах экономики, чтобы организация могла грамотно и правильно организовать свои бизнес-процессы в соответствии с европейскими и национальными нормами о защите данных. Аналогичные разделы сайта и направления деятельности есть у многих уполномоченных органов по защите прав субъектов персональных данных в европейских странах Комиссия по защите частной жизни Бельгии, Национальная комиссия по информатике и свободам во Франции, Комиссар по защите данных в Ирландии, Национальный комиссар по защите данных Португалии и т.д. Существенным отличием в текущей деятельности, деятельности по защите прав субъектов персональных данных и деятельности по контролю и надзору за соблюдением законодательства о персональных данных у этих органов как раз считается взаимодействие с операторами и субъектами персональных данных по предоставлению консультаций о применении законодательства о персональных данных. Примером может служить достаточно свежая статистика Национальной комиссии по информатике и свободам, где ключевым показателем является не количество проверок, или количество составленных протоколов и поступлений в бюджет государства, что характерно для ее российского аналога, а в большей степени количество консультаций, оказанных гражданами организациям, количество выданных
1
Information Commissioner’s Office. – (https://ico.org.uk/for-organisations/). – Дата обращения 20.05.2017.
2
Commission de la protection de la vie privée. – (https://www.privacycommission.be/fr/legislation-comites- sectoriels). – Дата обращения 20.05.2017.
3
Commission Nationale de l'Informatique et des Libertés (CNIL). – (https://www.cnil.fr/fr/). – Дата обращения
20.05.2017.
4
Data Protection Commissioner. – (https://www.dataprotection.ie/docs/Guidance-Material-Menu-Page/m/219.htm).
– Дата обращения 20.05.2017.
5
Comissão Nacional de Protecção de Dados. – (https://www.cnpd.pt/bin/orientacoes/orientacoes.htm). – Дата обращения 20.05.2017.
6
Отчет о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2015 год. – (https://rkn.gov.ru/docs/Otchet_ZPD_rus2015.pdf htm). – Дата обращения 20.05.2017.

191 разрешений и количество заключений на проекты нормативных актов различного уровня
1
Еще одним крайне интересным направлением деятельности Национальной комиссии по информатике и свободам является организация добровольной аккредитации бизнес-процессов компаний-операторов сточки зрения их соответствия законодательству о персональных данных и выдача им особого знака соответствия (Label CNIL)
2
, что повышает степень доверия к ней со стороны потребителей услуги проверяющего органа. Так в частности за 2016 год Комиссией было выдано 92 таких знака соответствия, которые могут быть использованы компаниями при предоставлении своих услуги размещаться на их сайтах. Помимо возможности получить такой знак соответствия заинтересованные организации, а чаще всего их объединения, могут обратить в Комиссию для получения одобрения своих внутренних корпоративных правил обработки персональных данных. Такая процедура обеспечивает большую прозрачность деятельности ассоциаций предпринимателей и их участников для органа контроля и надзора и позволяет им привести свои бизнес-процессы в соответствие с законодательством о персональных данных. Безусловно, это далеко не все происходящие изменения в зарубежном законодательстве и практике, нос учетом российского опыта они были бы, на взгляд автора, наиболее полезными и актуальными для дальнейшего изучения и возможной адаптации к российским реалиям.
1
Commission
Nationale de l'Informatique et des
Libertés.
Rapport d’Activites
2016.
–
(https://www.cnil.fr/sites/default/files/atoms/files/cnil-37e_rapport_annuel_2016.pdf htm). – Дата обращения
20.05.2017.
2
Les labels CNIL. – (https://www.cnil.fr/fr/les-labels-cnil htm). – Дата обращения 20.05.2017.
3
Commission
Nationale de l'Informatique et des
Libertés.
Rapport d’Activites
2016.
–
(https://www.cnil.fr/sites/default/files/atoms/files/cnil-37e_rapport_annuel_2016.pdf htm). – Дата обращения
20.05.2017.
4
Les BCR (règles internes d'entreprise). – (https://www.cnil.fr/fr/les-bcr-regles-internes-dentreprise htm). – Дата обращения 20.05.2017.

192 ЗАКЛЮЧЕНИЕ Очевидно, что стремительное распространение новых информационных технологий и поразительная быстрота, с которой они внедряются в жизнедеятельность общества, государства, бизнеса, личности, требует нового адекватного современным реалиям правового регулирования, позволяющего учесть баланс интересов между правами и свободами личности, общественными и государственными интересами. Совершенно естественно, что такие изменяющиеся реалии требуют осмысления их каждый раз по-новому в попытке найти новую точку баланса этих интересов. Как уже было заявлено в исследовании, идея защиты частной жизни при автоматизированной обработке данных, появившаяся на рубеже х годов XX века в значительной степени эволюционировала за прошедшие 40 лет. Появились новые реалии и новые технологии, новые возможности для обработки данных о физических лицах. В действительности, современный мир информационных технологий, активно использующий сейчас технологии больших данных, интернета вещей, умных домов, облачных вычислений, «Интернет-технологии web 2.0» и т.п., сделал жизнь человека более комфортной и удобной, нов тоже время и более уязвимой для внешнего вмешательства. Информационный след, оставляемый индивидом повсюду, непросто хранится, но подвергается глубокому и всестороннему анализу. В противовес этому эволюционирует и идея личной свободы, которая теперь позволяет не только свободно располагать собой, но и информацией об индивиде, ив первую очередь – путем определения круга субъектов, допущенных к ее обработке. Именно возможность контролировать и определять параметры правового режима персональных данных, как информации ограниченного доступа, лежит в основе построения системы защиты персональных данных. Итогом исследования, проведённого автором при решении поставленных задач, является предлагаемая автором концепция соотнесения

193 режима персональных данных, установленного специальным Федеральным законом О персональных данных, с существующими правовыми режимами информации ограниченного доступа и сделаны следующие выводы. Правовой режим персональных данных как информации имеет сложную структуру. Персональные данные могут быть как общедоступной информацией, в тех случаях, когда того требует норма закона или субъект сам дал на то свое согласие, либо, наоборот, находится в условиях режима информации ограниченного доступа. При этом в рамках последнего следует выделить особо правовой режим конфиденциальности персональных данных, который устанавливается специальным федеральным законом и включает в себя отдельно режим особых категорий персональных данных, режим биометрических персональных данных. При этом наиболее сложным вопросом по-прежнему остается вопрос о соотнесении режима конфиденциальности персональных данных с другими режимами информации ограниченного доступа, ив частности режимами различного рода тайн. Фактически в большинстве случаев, когда речь идет о профессиональных тайнах, чаще всего информацией, охраняемой на условиях таких режимов, оказываются именно персональные данные врачебная тайна, тайна ЗАГС, нотариальная тайна, тайна исповеди, тайна связи и т.д.) Более того, персональные данные, как оказывается, могут находиться ив условиях иных режимов информации ограниченного доступа, включая государственную и служебную тайну. В связи с этими учитывая общие конституционные принципы, устанавливающие приоритет прав и свобод личности, следует рассматривать режимные требования специального закона о персональных данных как приоритетные, за исключение отдельных случаев, когда уже действующие режимные требования гарантируют более высокую степень защиты информации (государственная тайна. При этом автором полагает целесообразным установление еще одного принципа регулирования обработки персональных данных – презумпции

194 конфиденциальности персональных данных, в том числе путем включения его в специальный закон о персональных данных. Автором также отмечается, что неразрешенность множества проблем, связанных с определением содержания режима конфиденциальности персональных данных, объясняется общими теоретическими проблемами информационного права. Среди российских ученых по-прежнему нет единого мнения о понятии и содержании термина тайна и системе информации ограниченного доступа. В целом представленное диссертационное исследование позволило уточнить понятие и содержание персональных данных и их режима, а также обосновать и сформулировать предложения по дальнейшему совершенствованию российского законодательства в этой сфере. Настоящее исследование, безусловно, не исчерпывает всего перечня и содержания затрагиваемой проблематики в области персональных данных. К примеру, за пределами исследования остались вопросы об обеспечении защиты персональных данных и прав личности в условиях развития технологий больших данных, умных вещей, Интернета вещей, которое вполне могут стать предметом самостоятельного исследования в этих областях.

195 БИБЛИОГРАФИЧЕСКИЙ СПИСОК