<<
>>

Современные тенденции развития законодательства о персональных данных в зарубежных странах

Проблема защиты персональных данных уже давно не является чем-то новым для большинства государств мира. Законодательная основа для правового регулирования персональных данных начала формироваться уже более 40 лет назад.

В Европе, равно как и в США, в конце 1960-х годов, как результат оценки рисков для прав и свобод в условиях развития новых информационных технологий обработки информации, появляются законы о защите персональных данных. Первый закон о персональных данных был принят в Германии в федеральной земле Гессен еще в 1970 году, и впоследствии лег в основу федерального закона, принятого в 1977 году. Первые законы о защите данных при их автоматической обработке на национальном уровне появились в 1973 в Швеции, и в 1974 году в США (Акт о защите частной жизни - Privacy Act)1.

В целом в мире, по данным организации Прайваси Интернэшенал, законодательство о защите персональной информации принято более чем в 100 странах, в число которых вошла и Россия . Законодательство о защите неприкосновенности частной жизни и защите персональных данных имеет схожие тенденции развития, что объясняется, в определенной степени, принятием на международном уровне соответствующих документов, направленных на гармонизацию национальных законов, а также общими целями защиты - защита прав и свобод субъекта (индивида) при обработке данных. [280] [281]

Нормативные и декларативные документы о защите данных приняты в рамках некоторых региональных и универсальных объединений государств. В то же время в связи с обилием этих документов целесообразным видится рассмотрение не всех их, а наиболее «авторитетных источников», которые оказали значительное влияние на формирование национальных систем защиты персональных данных, т.е. с анализа и правовой оценки источников международного права, которые могут дать общее представление о развитии законодательства в области защиты данных, являясь своего рода обобщением национального опыта и практики, отмечая при этом характерные особенности в правовом регулировании отдельных стран.

Международные источники рассмотрены далее преимущественно в хронологическом порядке их появления, их места в системе источников права соответствующих международных организаций, а также с точки зрения их влияния на национальное законодательство и практику.

Организация по экономическому развитию и сотрудничеству

Первым документом такого рода стали «Основные положения Организации по экономическому развитию и сотрудничеству (ОЭСР), о защите неприкосновенности частной жизни и международных обменов персональными данными» (далее по тексту - Основные положения), которые были приняты 23 сентября 1980 года[282]. Предпосылкой для создания документа стала необходимость объединения усилий государств в области защиты персональных данных при их трансграничной передаче, исходя из того, что различия в национальном законодательстве могут вызвать серьезные проблемы в важных секторах экономики (банковском деле, страховании и т.д.). Разработчиком выступила приглашенная группа экспертов во главе с судьей М.Д. Кирби, председателем австралийской комиссии по реформированию судебной системы, которая и подготовила текст Рекомендаций Совета ОЭСР в области защиты неприкосновенности частной жизни и международных обменов персональными данными1. Основной целью принятия рассматриваемого документа было скорее упрощение международного трансграничного обмена персональными данными между государствами-участниками при условии соблюдения необходимых гарантий неприкосновенности частной жизни, что должно было способствовать экономическому и социальному развитию государств[283] [284] [285].

В целом сферу действия Основных положений можно сформулировать как «автоматизированная обработка персональных данных в государственном и частном секторе экономики, которая может нести угрозу нарушения неприкосновенности частной жизни и других индивидуальных

свобод» . При этом упоминалась возможность распространения действия Основных положений не только на автоматизированную обработку персональных данных, но и возможность установления государствами- участниками ОЭСР в своем законодательстве дополнительных мер защиты неприкосновенности частной жизни и индивидуальных свобод.

В качестве исключений для применения Основных положений к обработке данных были названы суверенитет и безопасность государства и публичный порядок, с упоминанием того, что такие случаи должны быть «редкими» и обязательно известны общественности.

Основу правового механизма защиты прав индивида, предложенного Основными положениями, составляет ряд принципов, изложенных в части 2 документа, к которым были отнесены:

- ограничение объема данных;

- качество данных;

- конкретизация целей;

- ограничение на использование данных;

- обеспечение безопасности;

- открытость;

- индивидуальное участие (контроль субъекта данных);

- ответственность.

Именно эти 8 принципов стали в итоге основой для формирования национального законодательства в странах-участницах ОЭСР. В отношениях между собой государства-участники обязывались принимать разумные и должные меры к обеспечению непрерывного и безопасного международного обмена персональными данными, единственным исключением к созданию препятствий и ограничений рассматривалась невозможность обеспечения защиты персональных данных другим государством-участником.

В качестве механизма реализации обязательств, вытекающих из Основных положений, государствам предлагалось: принять соответствующее внутреннее законодательство, поощрять и поддерживать саморегулирование, обеспечить наличие разумных механизмов реализации прав субъекта, предусмотреть санкции и иные средства защиты прав субъекта, обеспечить недискриминационное отношение к субъектам данных.

Обязательства по реализации Основных положений взяли на себя 34 государства-участника ОЭСР: Австралия, Австрия, Бельгия, Канада, Чехия, Дания, Франция, Германия, Венгрия, Исландия, Италия, Япония, Корея, Нидерланды, Новая Зеландия, Норвегия, Польша, Испания, Швейцария, Великобритания, США, т.е. почти все ведущие страны Европы, а также страны с развитой экономикой по всему миру1. Кроме этого, по собственной инициативе присоединилось еще одно государство, не являющееся участником ОЭСР - Албания.

Обязательства по рассматриваемому документу были выполнены еще в 1998 году всеми государствами-

Л

участниками ОЭСР, как было заявлено на встрече министров в Оттаве .

В дальнейшем в рамках ОЭСР была создана система мониторинга реализации государствами Основных положений, а также, учитывая [286] [287]

масштабы глобализации электронной торговли, - специальная рабочая группа по информационной безопасности и защите частной жизни. Последняя совместно с Секретариатом ОЭСР регулярно, раз в 2 года, по итогам мониторинга подготавливает доклады о состоянии реализации участниками своих обязательств1. По оценкам специалистов рабочей группы, во всех государствах-участниках ОЭСР, несмотря на наличие иногда существенных отличий в подходах государств к регулированию обработки персональных данных, выполнены обязательства, указанные в Основных положениях.

Среди этих государств, особняком выделяются государства ЕС и Совета Европы, где помимо Основных положений фактором гармонизации можно назвать Конвенцию Совета Европы о защите личности в связи с автоматической обработкой персональных данных, а также Директиву ЕС

Л

95/46/ЕС . В этих государствах были приняты законодательные акты, в полной мере охватывающие все обязательства, вытекающие из Основных положений. Типичным органом защиты прав субъекта персональных данных в этих государствах стали комиссары, специальные уполномоченные по защите данных или специальные комиссии. Остальные государства ОЭСР также приняли специальное законодательство в области защиты персональных данных, возложив обязанности по контролю на уже существующие органы государственной власти. Канада, Австралия, Новая Зеландия выполнили все требования по принятию законодательства, учредив в качестве уполномоченного органа по защите данных специальных комиссаров по защите данных. Особый подход отмечен лишь у США, где наиболее сложная система уполномоченных органов, поскольку их четыре, и каждый отвечает за свой аспект.

Аналогичным образом устроено и законодательство, причем урегулирован на уровне федерального законодательства в целом лишь публичный сектор, тогда как частный в [288] [289] большей степени действует на основе принципа саморегулирования. Более подробно особенности правового регулирования персональных данных в США будут рассмотрены далее.

В 2013 году рабочая группа экспертов ОЭСР подготовила новую версию Основных положений, которая была утверждена Советом ОЭСР 11 июля 2013 года[290]. Основанием к подготовке обновленной версии Основных положений стало признание существенной роли, которую стали играть персональные данные в экономике, обществе и повседневной жизни. Причиной этого стали глубокие и значительные изменения в информационной среде и экономике, которые создают дополнительные угрозы правам человека. Согласно отчету экспертов рабочей группы, изменения коснулись трех концептуальных идей (концептов):

- формирование национальной стратегии защиты частной жизни (приватности), требующей координации на самом высоком правительственном уровне, при наличии эффективных национальных законов о персональных данных;

- формирование эффективных управленческих практик по защите частной жизни, которые могут стать ключевым звеном в фактическом или практическом обеспечении прав личности;

- извещение о нарушении безопасности (конфиденциальности) персональных данных, при этом информация о нарушении должна доводиться не только до сведения контролирующего органа, но и непосредственно до субъекта данных.

Как следствие в обновленной версии Основных положений появились положения, касающиеся обязанностей оператора, расширения прав субъектов персональных данных, а также положения о контролирующем органе, включая его понятие.

Примечательно, что Россия предприняла ряд усилий по вступлению в число стран ОЭСР, и в 2007 году Совет ОЭСР принял Дорожную карту по присоединению Российской Федерации к Конвенции об Учреждении ОЭСР1. В то же время среди указанных направлений сотрудничества на тот момент, как, впрочем, и в последующем, вопросы, касающиеся защиты персональных данных не были обозначены.

По сообщению сайта ОЭСР процесс вступления Российской Федерации официально временно приостановлен с 13 марта 2014 года[291] [292] [293].

Совет Европы

В рамках Совета Европы можно говорить о двух аспектах правового регулирования обработки персональных данных. Первый связан с существующим наднациональным механизмом защиты прав субъекта персональных данных через уже имеющийся и эффективно функционирующий механизм Конвенции о защите прав человека и его

основных свобод (далее по тексту - Конвенция) . Речь идет о деятельности Европейского суда по правам человека (далее по тексту - Суд) в рамках толкования и защиты права на уважение частной жизни, предусмотренного статьей 8 Конвенции. Данный документ, как и практика Суда, являются в соответствии с Протоколом № 11[294] обязательными для стран-участниц, а это 47 европейских государств, включая Россию[295].

Несмотря на то, что напрямую в Конвенции ничего не говориться о персональных данных и правовом регулировании их обработки и многих других подобных аспектах, действие ее распространяется на правовое регулирование персональных данных в той части, которая затрагивает нарушение прав и свобод, предусмотренных текстом Конвенции. В первую очередь это касается права на уважение частной жизни. За последние десятилетия в практике Суда накоплено значительное количество дел, прямо или косвенно затрагивающих те или иные аспекты защиты персональных данных. В некоторых случаях Суд прямо указывает на тесную связь персональных данных со смыслом и содержанием статьи 8 Конвенции. К примеру, в деле S. & Marper v. United Kingdom Судом было заявлено, что «само хранение персональных данных о частной жизни лица должно рассматриваться в качестве вторжения в частную жизнь в контексте статьи 8 Европейской конвенции о защите прав человека и его основных свобод. Последующее использование сохраненной информации не меняет этого вывода»1.

Общий анализ существующей судебной практики Европейского суда по правам человека позволяет выделить целый ряд проблемных аспектов, которые так или иначе были им исследованы или затронуты.

Сбор персональных данных

В практике Европейского суда по правам человека можно назвать ряд решений, в которых были затронуты отдельные аспекты, связанные с обработкой персональных данных, такие как: сбор, хранение, раскрытие, разглашение и доступ субъекта к информации (данным) о нем, а также необходимость гарантировать защиту, т.е. сохранять конфиденциальность данных в отдельных случаях. Одним из первых дел стало дело Гаскина против Соединенного Королевства, в котором «Суд постановил, что поскольку в личном деле заявителя содержатся сведения сугубо личного характера о его детстве, развитии и последующей жизни, получение такой информации необходимо для того, чтобы узнать и понять свое детство,

Л

ранние этапы развития» . Подобные «данные, таким образом, являются [296] [297] «главным источником информации о его прошлом и годах развития» и ограничение доступа к ним Суд посчитал нарушением ст. 8, а процедуры, существующие в Соединенном Королевстве, не обеспечивающими уважения права заявителя на частную и семейную жизнь»1. Другим примером, где было подчеркнута идея необходимости сохранения конфиденциальности персональной информации, может быть дело «Z против Финляндии», где Европейский суд по правам человека указал, что уважение тайны данных о здоровье человека является важнейшим принципом правовых систем всех участников Совета Европы. Поэтому внутреннее законодательство должно предоставлять гарантии для предотвращения распространения или разглашения сведений о здоровье человека, в особенности сведений о наличии у лица ВИЧ-инфекции. Исключение в этом случае возможно лишь в интересах расследования и наказания преступлений и обеспечения гласности судебного производства[298] [299] [300]. Также Суд исследовал вопрос о регулировании «использования имени и фамилии - вопрос о фамилии отдельного человека относится к его/ее личной и семейной жизни, поскольку он подразумевает вопрос персональной идентификации. Тот факт, что может существовать общественный интерес в вопросе о регламентировании использования фамилии, не является достаточным, чтобы вывести вопрос о фамилии отдельного лица из-под защиты положения об уважении личной и семейной жизни. Те же принципы применимы и к именам, которые тоже имеют отношение к личной и семейной жизни, поскольку этот вопрос относится к

проблеме идентификации личности в рамках своих семей и сообщества» .

Как нетрудно заметить, практика Суда лишь косвенным образом содержит регулирование - определенные казуальные нормы, которыми государства-участники должны руководствоваться, чтобы избежать нарушений статьи 8 Конвенции о защите прав человека и его основных свобод, в том числе и при обработке персональных данных.

В целом практика Суда становится все более разнообразной, что объяснимо как с позиции развития представлений о праве на уважение частной жизни и тех правомочий, которые теперь вкладываются в содержание этого понятия, так и с точки зрения развития современных информационных технологий, которые формируют новые виды угроз правам человека, в том числе и связанные с персональными данными. Так, в частности, за последние несколько лет можно назвать, по крайней мере, десяток достаточно известных дел, касающихся сбора, хранения и использования персональных данных спецслужбами и правоохранительными органами. Часть из этих дел напрямую касались России. В 2011 году Суд признал практику по созданию «базы данных наблюдения», используемой для сбора информации о передвижениях поездом, самолетом в пределах России, и о задержаниях лиц, занимающихся правозащитной деятельностью, противоречащей ст. 8 Конвенции1. В 2013 году в деле Avilkina and Others v. Russia[301] [302] требование следственного органа, в связи с расследованием уголовного дела в отношении Свидетелей Иеговы, к публичным клиникам сообщать о фактах отказа последователями секты от переливания крови было также признано противоречащим Конвенции, несмотря на то, что в целом жалоба заявителей была отклонена как неприемлемая. В одном из последних дел в отношении России в деле Roman Zakharov v. Russia, решение по которому было принято в 2015 году, Европейский суд по правам человека указал на нарушение требований государством статьи 8 Конвенции в части наличия законодательных норм, обязывающих операторов связи устанавливать оборудование для сбора данных о телефонных переговорах и управляемое непосредственно спецслужбами1.

Безусловно, Россия является далеко не единственной страной, практика защиты персональных данных которой была рассмотрена Европейским судом в последние годы. В частности, в 2009 году законодательство Франции, устанавливающее возможность формирования органами полиции базы данных о лицах, совершивших преступления сексуального характера, также была признана противоречащей статье 8 Конвенции. В сущности, таких примеров, когда в объектив Суда попадают законодательство и практика государств в области защиты персональных данных, становится все больше и что, вероятно, в дальнейшем потребует отдельного детального изучения.

Второй аспект напрямую связан со специальным регулированием обработки персональных данных и созданием наднациональных механизмов гармонизации законодательства стран-участниц Совета Европы. Проблема защиты прав и свобод личности при обработке данных начала обсуждаться в Европе еще в середине 70-х годов прошлого века. В 1973 и 1974 гг. Комитет министров Совета Европы принял две резолюции о защите неприкосновенности частной жизни в связи с созданием электронных банков

Л

данных - одну для частного, другую для государственного сектора . Обе эти резолюции содержат рекомендации правительствам стран - членов Совета Европы принять меры к обеспечению соблюдения базовых принципов защиты, относящихся к получению данных, качеству данных и праву частного лица на получение информации о своих персональных данных и способах их использования. Позднее Совет Европы, выполняя инструкции своего Комитета министров, начал подготовку международной Конвенции о защите неприкосновенности частной жизни в отношении зарубежной [303] [304] обработки персональных данных и передачи данных через государственные границы. С ноября 1976 года по май 1979 года Комитет по защите данных провел четыре заседания1. Рабочая группа, составленная из экспертов, представляющих Австрию, Бельгию, Францию, ФРГ, Италию, Нидерланды, Испанию, Швецию, Швейцарию и Великобританию, несколько раз собиралась между пленарными заседаниями Комитета, с тем чтобы разработать общую философию, а также уточнить детали проекта Конвенции. В апреле 1980 года другой комитет экспертов пересмотрел и доработал текст. Он был одобрен Европейским комитетом по правовому сотрудничеству и утвержден Комитетом министров 17 сентября 1980 г. Конвенция получила название - «О защите личности в связи с автоматизированной обработкой персональных данных», также известная,

Л

как Конвенция Совета Европы № 108 (далее по тексту - Конвенция) , вобравшая в себя весь предшествующий опыт и ставшая основным документом в этой области для стран-участниц Совета Европы.

Конвенция оказалась более объёмным документом по сравнению с Основными положениями ОЭСР и, как следствие, более проработанным. Несмотря на схожесть отдельных положений, в качестве принципиальных отличий можно указать упоминание в Конвенции в качестве одной из основных целей - не только гарантировать защиту прав и свобод личности при трансграничной передаче информации, но и поставить проблему защиты личности при принятии решений, затрагивающих его права и свободы, на основании персональных данных, подвергающихся автоматизированной обработке как государственными, так и частными структурами. Кроме этого, следует отметить расширение и более качественную проработку понятийного аппарата Конвенции, в особенности появление определений: «автоматизированная база данных», «автоматическая обработка», «контролер [305] [306] базы данных», что существенным образом конкретизировало сферу ее применения в этой части. Как и Основные положения ОЭСР, Конвенция в качестве основной области применения оговаривала именно автоматизированную обработку персональных данных в частном и публичном секторах, при этом предлагая государствам определенную гибкость в сфере установления определенных категорий персональных данных под особой защитой, а также распространения действия положений Конвенции на данные, не подвергающиеся автоматической обработке, о чем сторона должна была сделать соответствующее одностороннее заявление, без права требовать от другой стороны подобных же действий[307].

Самым главным отличием Конвенции стал сам характер документа, как международного договора, который имеет обязательную силу для его участников, т.е. государства обязались реализовать его положения - имплементировать их во внутреннее законодательство, о чем следует из положений ст. 4 и ст. 7, тогда как Основные положения имели рекомендательных характер и предусматривали обязательства как добровольное волеизъявление сторон. Ключевой в определении механизма регулирования обработки персональных данных, предложенного Конвенцией, следует назвать главу 2 «Основные принципы защиты данных». Механизм защиты описан через установление основных требований, предъявляемых к обработке данных, как то: законность и добросовестность получения и обработки (ст. 5 п. а); законность целей обработки (ст. 5 п. b); соответствие объема персональных данных целям обработки (ст. 5 п. с); точность (ст. 5 п. d); ограниченность времени хранения персональных данных, позволяющих идентификацию, целями обработки (ст. 5 п. e). Также упоминается об особых категориях персональных данных - о национальной принадлежности, политических взглядах, религиозных и иных убеждениях и т.д., при обработке, которых должны быть предусмотрены специальные гарантии. Существенную часть в описании механизма регулирования обработки данных занимают права (гарантии) субъекту, которые заключаются в предоставлении прав по контролю обработки персональных данных о себе через возможность:

• доступа к ним и к информации о контролере;

• требовать их уточнения, уничтожения, в случае нарушений правил обработки;

• обращения за судебной защитой, которые должны быть гарантированы субъекту, при этом каждая сторона вправе установить дополнительные меры защиты1.

Одновременно Конвенция с достаточной точностью сформулировала допустимые исключения и ограничения из установленных требований к обработке персональных данных. Исключения допускаются лишь на основании закона в целях охраны государственной и общественной безопасности, денежных интересов государства, пресечения преступлений, для защиты прав субъекта данных, прав и свобод других лиц. Ограничения могли быть установлены только в исследовательских и статистических целях, при условии гарантирования прав и свобод субъекта[308] [309].

Остальные главы Конвенции, за исключением, пожалуй, главы 3, где описывается общее обязательство государств-участников не препятствовать трансграничному обмену данных, иначе как при отсутствии надлежащей защиты данных с другой стороны, носят скорее процедурный характер и посвящены взаимодействию участников Конвенции между собой посредством оказания взаимной помощи, через взаимодействие уполномоченных органов по защите данных, через создание специального Консультативного комитета, а также процедуре вступления Конвенции в силу и порядка внесения поправок, односторонних заявлений сторон, оговорок, касательно исполнения ею отдельных положений.

Касательно реализации Конвенции и ее имплементации во внутренние законодательные системы государств-участников, надо сказать, что этот процесс еще не завершен. Почти все государства в качестве средства имплементации выбрали принятие национального закона о защите данных или же внесения соответствующих поправок в уже существующие законы (Франция). В течение первых 4-5 лет после принятия законы о защите данных были приняты и вступили в силу лишь в 7 государствах Европы (Австрия, Дания, Франция, ФРГ, Люксембург, Норвегия, Швеция)1. До 2000 года к ним присоединились еще 13 государств (Бельгия, Дания, Финляндия, Греция, Венгрия, Исландия, Ирландия, Италия, Нидерланды, Португалия, Словения, Швейцария, Великобритания). В целом на 2017 год из 47 государств-участников Конвенция была ратифицирована и имплементирована в той или иной степени во всех, т.е. за последние 17 лет она была имплементирована еще в 27 государствах. В числе самых отстающих оказались: Российская Федерация (2013), Сан-Марино (2015) и Турция (2016)[310] [311] [312]. Стоит отметить еще одну небольшую группу государств, в которых вопрос о защите персональных данных был закреплен и на конституционном уровне (ст. 35 Конституции Португалии 1976 года, ст. 18 Конституции Испании 1978 года, ст. 1 Закона о персональных данных

Австрии 1978 года) .

Однако принятием Конвенции деятельность Совета Европы в области правового регулирования персональных данных не ограничилась. Комитетом министров государств - членов Совета Европы были приняты также специальные Рекомендации, касающиеся использования и защиты персональных данных в разных областях жизнедеятельности общества и государства: медицины (1981); научных исследований и статистики (1983); маркетинга (1985); социального обеспечения (1986); в секторе полиции (1987); занятости (1989); в отношениях, связанных с финансовыми выплатами и сделками (1990); в отношениях, связанных с передачей данных третьим лицам (1991); в сфере защиты персональных данных в области телесвязи, специфических телефонных услуг (1995); защиты медицинских и генетических данных (1997); защиты персональных данных при сборе и обработке в статистических целях (1997); о защите частной жизни при использовании сети Интернет (1999); о защите персональных данных при страховании индивидов (2002); о защите индивидов при автоматической обработке персональных данных при создании профайлов (2010); о защите прав личности при использовании социальных сетей (2012); о защите прав личности при использовании поисковых систем (2012); о принятии Руководства по защите прав личности для интернет-пользователей (2014); об обработке персональных данных при трудоустройстве (2015); об обеспечении свободы выражения мнений и защите прав на неприкосновенность частной жизни и сохранении «сетевого нейтралитета» (2016)1. Очевидно, что работа в этом направлении активно продолжается, отвечая на актуальные вызовы современного информационного общества.

Европейский союз

Комиссия Европейских сообществ озаботилась проблемой правового регулирования персональных данных, также в целях обеспечения гармонизации национальных законов государств-участников, практически одновременно с Советом Европы и даже на первых порах в тесном сотрудничестве[313] [314].

Однако процесс принятия мер по гармонизации национальных законов растянулся на длительное время, отчасти, по-видимому, из-за того, что многие государства-участники на тот момент уже приняли соответствующие законодательные меры, как участники Совета Европы, а отчасти и ввиду, того, что деятельность Сообществ в целом не была направлена на охрану прав и свобод человека. Процесс активизировался уже после принятия Маастрихтского договора в 1992 году, а также ввиду расширения Европейского союза. Окончанием этого процесса стало принятие широко известной Директивы 95/46/ЕС Европейского парламента и Совета Европейского союза от 24 октября 1995 года о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных1 (далее по тексту - Директива). Она стала основным документом, который установил соответствующие стандарты в области правового регулирования персональных данных в ЕС, а также, по мнению многих авторов, одним из наиболее авторитетных нормативных источников в этой сфере.

Первоначально в качестве основной цели и одновременно юридической основы для принятия Директивы стали не только необходимость гарантирования прав и свобод, но и во многом экономические

л

причины, а именно - формирование единого рынка . Юридической основой для принятия стала ст. 7 Договора, о чем неоднократно делается ссылка в

преамбуле Директивы , где говорится о необходимости обеспечения свободного движения данных с одновременным гарантированием фундаментальных прав и свобод индивида между государствами- участниками, без чего невозможно свободное передвижение товаров, людей, услуг, как основы единого рынка. В условиях возрастающих потоков данных между государствами, Европейский союз обоснованно посчитал различия в [315] [316] [317] правовом регулировании персональных данных на национальном уровне негативным фактором.

Принятая Директива стала важным фактором гармонизации законодательства европейских стран в сфере защиты персональных данных, учитывая ее статус и юридическую силу. В рамках ЕС директивы имеют обязательную юридическую силу в отношении государств-участников при свободе выбора средств их реализации, но при этом могут иметь прямое действие на их территории в случае невыполнения государством своих обязательств в установленные сроки или противоречия внутренней практики директивам[318].

В качестве сферы применения Директива указывает автоматизированную обработку персональных данных, а также неавтоматизированную обработку, в тех случаях, когда она осуществляется схожим образом, путем организации информации в виде файлов, папок, позволяющим быстрый доступ к необходимой информации. Директива не применяется к обработке данных:

- осуществляемой физическим лицом в личных и бытовых целях;

- осуществляемой в целях, которые выходят за рамки компетенции ЕС - обеспечение обороны и безопасности государства, иной публичный интерес.

В сравнении с уже рассмотренными документами Директива содержит еще более подробный понятийный аппарат, что также конкретизирует сферу ее деятельности. Принципиальным отличием понятийного аппарата Директивы стало закрепление в ней терминов, «файл персональных данных», «лицо, которому поручена обработка персональных данных (обработчик)», «третье лицо», «получатель», «согласие субъекта персональных данных».

Основу механизма правового регулирования составляет установление принципов обработки персональных данных, которые делятся на две категории: требования к качеству персональных данных и требования к их обработке. К первым отнесены принципы в ст. 6:

- законность и добросовестность обработки;

- сбор данных только в установленных целях;

- достаточность, относимость к делу, неизбыточность;

- точность и актуальность;

- ограничение срока хранения целями обработки.

Вторая группа требований относится к критериям законности обработки персональных данных в ст. 7, в число которых входят:

- наличие согласия субъекта данных;

- необходимость исполнение договора, стороной которого является субъект данных, а равно принятие необходимых мер до заключения договора, по просьбе субъекта;

- необходимость исполнения лицом, ответственным за обработку персональных данных, своих законных обязательств;

- необходимость защиты жизненных интересов субъекта данных;

- необходимость обработки в связи с осуществлением публичных полномочий или в рамках исполнения полномочий публичным органом власти, которые поручены лицу, ответственному за обработку данных, или сообщены третьему лицу;

- необходимость обработки в связи с защитой законных интересов лица, ответственного за обработку данных, или третьих лиц, которым они сообщены, при условии, что это не перевешивает интересы защиты основных прав и свобод, в том числе права на уважение частной жизни.

Так же, как и Конвенция Совета Европы № 108, Директива выделяет особую группу так называемых «чувствительных» данных (данные о расовой, этнической принадлежности, политических взглядах, философской и религиозной принадлежности, членстве в профсоюзах, здоровье и интимных сторонах жизни), к обработке которых предъявляет особые требования, при этом раскрывая их. Такие данные запрещены к обработке за исключением случаев, если:

- субъект выразил свое согласие, за исключением случаев, когда этого недостаточно в соответствии с законом государства;

- обработка необходима для осуществления обязательств лица, ответственного за обработку данных, в сфере трудовых отношений, если это разрешено законодательством и при наличии соответствующих гарантий;

- обработка необходима для защиты жизни и здоровья субъекта или другого лица, при условии невозможности, физической или юридической, получения согласия субъекта;

- обработка осуществляется некоммерческими объединениями в отношении данных о своих членах в политических, религиозных, профсоюзных целях, при условии соответствующих гарантий;

- обработка касается только явно общедоступных данных или является необходимой для защиты лицом своих прав в суде.

Перечень в этом случае не является исчерпывающим (ст. 8, п. 4), и государства вправе устанавливать иные исключения при установлении соответствующих гарантий и извещения об этом Европейской комиссии (ст. 8, п. 6). Директива позволяет также вести обработку рассматриваемой категории данных в целях осуществления превентивной медицины, медицинской диагностики, здравоохранения, при условии сохранения «профессиональной тайны». Примерно схожее требование касается и данных о правонарушениях и привлечении к уголовной ответственности или о применении к лицу мер предварительного характера (мер пресечения), если только они не осуществляются специальным уполномоченным законом органом при наличии гарантий прав субъекта.

Следует подчеркнуть еще две особенности этого документа. Во- первых, Директива фактически (ст. 8, п. 7) четко распространила свое действие на так называемые «персональные идентификаторы», которые также могут быть предметом обработки данных, т.е. быть включены в состав персональных данных. Во-вторых, Директива закрепила соотношение необходимости защиты персональных данных со свободой выражения мнения. В этой связи она допускает исключения и отступления от требований, предусмотренных в ней, в целях осуществления журналистской деятельности, художественного, литературного творчества при условии баланса между правом на частную жизнь и свободой выражения мнений в соответствии с национальным законодательством, к сожалению, не предлагая какого-либо конкретного варианта.

Механизм Директивы содержит гарантии соблюдения прав субъекта, к которым можно отнести:

- право на доступ к данным о себе;

- на возражение против их обработки;

- гарантии при автоматизированном принятии решений;

- юридические гарантии защиты прав, нарушенных в связи с обработкой персональных данных, и возмещение вреда, ими причиненного.

При обработке (сборе) данных Директива требует соответствующего информирования об этом субъекта, причем в достаточно подробной форме, с указанием информации о лице, ответственном за обработку данных, целях обработки, иную информацию (о правах субъекта данных на доступ ним, информацию о получателях данных и т.д.). Кроме этого, субъект и сам вправе получить подробную информацию об обработке по своему запросу, в частности подтверждение об обработке данных, информацию о получателях данных, алгоритм принятия решений на основании данных при их автоматизированной обработке, и требовать извещения третьих лиц, которым сообщены данные, обо всех изменениях, в них внесенных[319]. В случае несогласия лица с обработкой его персональных данных он вправе возражать против нее, прежде всего в случаях, если его согласие не было получено1. Автоматическое принятие решений на основании персональных данных допускается только при условии надлежащих гарантий со стороны закона или в случае заключения/исполнения договора, если при этом существует возможность высказать свое мнение субъектом[320] [321] [322]. Если права субъекта нарушены, то национальное законодательство должно предоставить субъекту надлежащие средства их защиты посредством обращения в суд или

уполномоченный орган по контролю обработки персональных данных и право требовать возмещения ущерба[323], а также установить надлежащие санкции за нарушения в сфере обработки персональных данных[324].

Отдельное внимание Директива отводит вопросам защиты данных и контроля их обработки. Обработка персональных данных должна осуществляться только конфиденциально, по поручению или с согласия лица, ответственного за нее[325] [326] [327]. Государства-участники при этом обязаны требовать от последнего принятия организационно-технических мер по защите данных от незаконных или случайных действий (доступа,

п

уничтожения, распространения и т.д.) . О любом случае обработки персональных данных должно быть предварительно сообщено лицом,

о

ответственным за нее уполномоченному органу по контролю , который определяется государством самостоятельно, с указанием полной информации об обработке (информация об ответственном лице, характере, объеме данных, целях обработки, информация о получателях и т.д.), за исключением обработки данных о свих членах некоммерческими объединениями и других случаев. установленных национальным законодательством[328]. Сведения, указанные в извещении об обработке данных, должны быть общедоступными и уполномоченный орган по контролю в сфере персональных данных ведет соответствующий их реестр1.

Исключения из представленного механизма правового регулирования Директива допускает на основании национального законодательства лишь в целях защиты превалирующего публичного интереса, как то: защита и безопасность государства, общественная безопасность, предотвращение, пресечение правонарушений, существенный экономический или финансовый интерес, защита прав других лиц, а также в случаях, когда невозможно нанести ущерб правам субъекта данных (обезличивания данных) в статистических, научно-исследовательских целях[329] [330] [331] [332].

В отношении трансграничной передачи данных положения Директивы принципиально схожи с другими международными документами, но более подробны и касаются третьих стран, не участников ЕС. Передача данных возможна лишь при наличии определенных гарантий защиты прав субъекта получателем, за исключением случаев получения согласия субъекта, необходимости исполнения соглашения, защиты жизни и здоровья субъекта

3

и других случаев .

Как и рассмотренные ранее Основные положения ОЭСР, Директива уделяет внимание и существованию дополнительного механизма регулирования отношений в сфере обработки персональных данных, как то: поощрение государствами-участниками ЕС разработки «кодексов поведения» различного рода профессиональными ассоциациями лиц, ответственных за обработку данных, которые бы способствовали реализации

4

национального законодательства о персональных данных .

В заключении Директива сосредотачивается на уполномоченном органе (органах) по контролю за исполнением законодательства о персональных данных, который должен быть предусмотрен каждым государством-участником. В полномочия такого органа в обязательном порядке должны входить: полномочия по расследованию, с правом доступа к данным и получения иной необходимой информации для осуществления надзора; полномочия по вмешательству в процесс обработки данных (приостанавливать и запрещать обработку); полномочия обращаться в правоохранительные органы и суд в случае обнаружения нарушений, а также самостоятельно рассматривать обращения (заявления) физических лиц1.

Для координации усилий государств-участников, в соответствии с Директивой создается Группа по защите лиц в связи с обработкой персональных данных, в состав которой входят представители уполномоченных органов по контролю за исполнением законодательства о персональных данных государств-участников. Она исполняет консультативные функции, связанные с реализацией Директивы в национальном законодательстве, а также консультирует Еврокомиссию по проектам ее изменений и других решений в сфере персональных данных. Для реализации Директивы и контроля ее реализации со стороны ЕС был также создан Комитет, состоящий из представителей государств-участников, основной функцией которого была помощь Еврокомиссии при принятии решений, касающихся персональных данных[333] [334].

В соответствии с заключительными положениями по истечении трех лет Еврокомиссия должна была сделать первый доклад о ходе реализации Директивы, т.е. в 1998 году. Однако не все государства-участники на тот момент имплементировали ее и приняли специальные законодательные акты или внесли изменения в уже имеющиеся, поскольку на момент принятия

Директивы в 13 из 15 государств-участников уже имелись общие законодательные акты о защите данных1. В этой связи объемный доклад был сделан Еврокомиссией лишь в 2004 году[335] [336] [337]. В докладе в первую очередь было указано, что, несмотря на задержки в реализации директивы государствами- участниками, основные цели ее принятия были достигнуты и препятствия свободному обращению данных были устранены, одновременно при высокой степени защиты прав субъекта, поскольку механизм регулирования обработки персональных данных содержит одни из наиболее строгих требований в мире по защите прав личности. В то же время было отмечено, что иногда значительная разница в законодательстве стран-участников по- прежнему представляет трудности для определения общеевропейской политики в области персональных данных. Одновременно в Докладе содержалось детальное научное, в том числе и социологическое, исследование последствий введения Директивы в национальное законодательство, а также отношение к проблемам обработки персональных данных со стороны граждан, организаций, органов государственной власти, при этом в разных секторах общественной жизни и экономики во всех

странах ЕС . На основании этих исследований было выявлено, что к 2003 году порядка 60% опрошенных граждан в ЕС обеспокоены (из них 25% крайне обеспокоены) проблемой защиты своих прав при обработке персональных данных. В то же время только 10,4% опрошенных высказались за то, что уровень защиты их данных является достаточным, большая часть (81%) посчитали его недостаточным, плохим ли очень плохим, и лишь 3,46% нашли его хорошим или очень хорошим). Опубликованные позднее результаты опросов среди лиц, ответственных за обработку данных, показал, что они нашли уровень защиты данных, обусловленный национальным законодательством, средним (54%) или высоким (27%) и лишь 10% заявили, что он низкий1.

На основании столь всеобъемлющего исследования были выявлены проблемы, как то: отсутствие необходимых ресурсов для выполнения Директивы, небрежное отношение к обработке данных со стороны ответственных за нее лиц, низкий уровень информированности субъектов данных о своих правах[338] [339] [340]. В качестве возможных путей решения были предложены не только обсуждение мер по повышению эффективности реализации Директивы в национальное законодательство и меры по гармонизации последнего, но, в частности, и консультации, рекомендации для государств, вступающих в ЕС, которые должны были также принять меры к ее реализации, а также призвать все государства способствовать развитию технологий защиты данных и «саморегулирования» на основе добровольных «кодексов поведения», предусмотренных главой 5 Директивы .

На сегодняшний момент во всех 28 государствах ЕС приняты базовые законы о защите данных[341], часть из них была принята еще до официального вступления, в рамках так называемого переходного периода. Одними из последних законы приняли Эстония (2003), Кипр (2003), Литва (2004), Польша (2004). В основном наиболее явным отличием являются различия в органах по контролю в сфере персональных данных. В основном были избраны несколько вариантов:

- комиссар (единоличный орган) по защите данных (омбудсмен, регистратор), например: в Ирландии, Великобритании, Люксембурге;

- коллегиальный орган (комиссия) по защите данных - Франция, Финляндия, Г реция, Португалия, Австрия;

- представительный коллегиальный орган, включающий в себя представителей работодателей, предпринимателей, профсоюзов, общественных организаций и т.д.) - Швеция, Испания1.

Принятием Директивы 95/46/ЕС нормативное регулирование обработки данных со стороны ЕС не ограничилось, хотя она и явилась основой для последующих действий и решений. Далее действия и решения органов ЕС касались уже отдельных сфер защиты персональных данных. Среди этих документов следует отметить еще одну основополагающую Директиву - Директиву 2002/58/ЕС Европейского парламента и Совета Европейского союза от 12 июля 2002 года о конфиденциальности и электронных средствах связи, касающуюся обработки персональных данных и защиты частной жизни в сфере электронных коммуникаций[342] [343], с изменениями, внесенными Директивой 2006/24/ЕС, и заменившую ранее принятую Директиву 97/66/ЕС Европейского парламента и Совета Европейского союза от 15 декабря 1997 года касательно использования персональных данных и защиты неприкосновенности частной жизни в сфере телекоммуникаций. Названная Директива посвящена регулированию вопросов хранения данных о соединении в интересах оперативной деятельности правоохранительных органов, рассылке нежелательных сообщений, использованию файлов с информацией о соединениях (т.н. cookies), а также включению персональных данных в публичные справочники. В целом Директивой были установлены категории сохраняемых данных, сроки хранения, условия просмотра данных о соединении, принципы защиты данных в сфере электронных коммуникаций.

Часть актов в рамках ЕС, например, Решения Еврокомиссии 2001/497/ЕС, 2004/535/ЕС, 2004/915/ЕС, касались такого важного вопроса, как заключение межгосударственных соглашений с третьими государствами о передаче данных и предлагали типовые варианты таких соглашений, в том числе и в отношении конкретных стран (США).

Отдельно можно упомянуть и еще один показательный документ - это Регламент 45/2001/ЕС Европейского парламента и Совета Европейского союза от 18 декабря 2000 года, касающийся защиты частных лиц при обработке персональных данных институтами и органами ЕС и свободы обращения данных. На основании Регламента был гарантирован физическим лицам повышенный уровень защиты данных, также был создан специальный орган по контролю в сфере персональных данных и реализации положений данного документа органами и институтами ЕС1.

В одном из сообщений Еврокомиссии Европейскому парламенту и

Л

Совету была отмечена в целом успешная реализация Директивы 95/46/ЕС , хотя при этом по-прежнему были названы некоторые проблемы (независимость органов по контролю в сфере персональных данных, существенные различия национального законодательства). Более того, Еврокомиссия особо высказала надежду на усиление работы в указанном направлении в свете процесса принятия государствами ЕС нового конституционного договора ЕС, который в ст. II-68 содержит положение о праве на защиту персональных данных, как части права на частную жизнь, и сверх этого ст. I-51 содержит юридическую основу для принятия ЕС [344] [345] положений, регулирующих обработку персональных данных в других сферах экономики, помимо теле- и электронных коммуникаций.

Другие международные организации

Другие международные организации также последовали примеру ОЭСР, Совета Европы и Европейского союза. Однако их документы, в отличие от ранее упомянутых, в основном были рекомендательного характера и не оказали такого эффекта на национальное законодательство. В частности, среди таких международных организаций можно назвать: ООН, МОТ, ВТО, Организацию стран по азиатско-тихоокеанскому

экономическому сотрудничеству (ОАТС), СНГ.

В ООН первый документ такого рода был принят Генеральной ассамблеей в 1990 году (Резолюция № 45/95 от 14 декабря 1990 года1). В этой резолюции также были установлены общие положения касательно минимальных гарантий защиты прав личности при обработке персональных данных. Их отличие от Основных положений ОЭСР принципиально заключается в установлении более подробного описания гарантий при обработке «чувствительных» персональных данных, переносе акцента на защиту прав субъекта, в том числе в рамках международных организаций, а также впервые в закреплении положений о необходимости существования уполномоченного органа по контролю в сфере обработки персональных данных, чего не было сделано в Конвенции Совета Европы № 108.

МОТ приняла соответствующий ряд решений рекомендательного характера[346] [347], которые могут быть использованы при разработке национального законодательства о труде и заключении коллективных соглашений.

Страны азиатско-тихоокеанского сотрудничества озаботились проблемой обработки персональных данных скорее ввиду экономических

причин и в целях поддержания экономических связей со странами Европы, где действующее законодательство области персональных данных может создать препятствия экономическим отношениям. В этой связи разработка рекомендаций была поручена Группе по развитию электронной торговли, которая и сосредоточила на этом внимание, взяв за основу все те же Основные положения ОЭСР1.

В рамках СНГ для гармонизации законодательства стран-участниц Межпарламентской ассамблеей был разработан и принят Модельный закон «О персональных данных» (Постановление № 14-19 от 16 октября 1999

Л

года) . Отличительными особенностями его стали: более расширенный понятийный аппарат, введения положений о лицензировании деятельности в области обработки данных, а также описание действий по обработке персональных данных и требований к ним. В то же время документ, безусловно, имел рекомендательный характер и не имел положений об обязательствах государств по его реализации. Во многом сложно говорить о том, какое влияние он оказал на национальные правовые системы стран- участников, поскольку те государства, которые приняли соответствующие законы о защите данных или высказались за его принятие, являются одновременно участниками Конвенции Совета Европы № 108 (Молдова, Украина, Россия, Г рузия).

Зарубежная практика (США - Европа)

После рассмотрения вопроса об инструментах гармонизации национального законодательства и предложенных механизмах правового регулирования обработки персональных данных в рамках международных [348] [349] организаций возможно говорить о некоторых общих тенденциях в зарубежной практике.

В этой связи, естественно, выделяются страны европейского континента, где степень гармонизации законодательства достигла наибольшего уровня. В настоящий момент законодательство о защите персональных данных принято более чем в 100 странах, и 28 из них - это страны ЕС, к которым можно прибавить еще 22 государства-члена Совета Европы. Таким образом, получается, что практически половина государств, в которых существует специальное законодательство о персональных данных и которые включились в процесс гармонизации своих норм с законодательством других стран, расположены на европейском континенте.

В основном их законодательство строится на основе общих принципов обработки данных, установлении гарантий прав субъекту при обработке его данных, а также при их трансграничной передаче. Различия касаются лишь некоторых положений в допускаемых рамках, установленных актами о гармонизации (Директивой и Конвенцией Совета Европы № 108), о чем уже шла речь выше - вопрос об уполномоченном органе по контролю обработки данных, установление различного рода исключений, в случае где присутствует превалирующий публичный интерес, установление положений при обработке особых категорий данных и т.д.

За пределами Европы находится сравнительно небольшое количество стран, которые также озаботились проблемами защиты прав индивида при обработке персональных данных (большая часть из них входит в ОЭСР: Австралия, Канада, Япония, Южная Корея, Новая Зеландия, США) и, как уже было сказано, также приняли ряд законодательных мер для защиты данных. Среди этих государств немногие смогли достичь уровня защиты персональных данных, который существует в странах Европейского союза. В частности, Европейская комиссия назвала лишь 12 стран вне рамок ЕС, в которых, по ее мнению, существует адекватный уровень защиты персональных данных: Андорра, Аргентина, Канада, Швейцария, Фарерские

острова, Гернси, Израиль, Мэн, Джерси, Новая Зеландия, США, Уругвай1. В отношении других стран, при трансграничной передаче данных требуется предоставление соответствующего уровня защиты данных, как правило, путем заключения соответствующего соглашения. Одним из самых известных таких соглашений можно назвать Соглашение между ЕС и США о передаче персональных данных об авиапассажирах, после заключения которого уровень защиты данных об авиапассажирах из стран ЕС был признан соответствующим[350] [351].

Пожалуй, по-прежнему достаточным своеобразием и серьезными отличительными чертами обладает механизм защиты персональных данных, предусмотренный законодательством США, причем настолько, что вполне можно говорить о другом подходе к правовому регулированию персональных данных, чем тот, который распространен в большинстве европейских государств и который заслуживает отдельного упоминания.

США уже давно известны как страна, где право на уважение частной жизни получило широкое признание и уважение, учитывая, что и сами термины «частная жизнь» или «право на частную жизнь» во многом появляются как интерпретация термина “right of privacy”, введенного в употребление американскими юристами, о чем уже ранее говорилось.

В течение долгого периода американской истории, именно понятие “privacy” (прайваси) - становится ключевым словом-концепцией для всей американской системы права. Первоначально данная концепция описывала лишь достаточно ограниченные аспекты частной жизни, подлежащие защите на основании текста 4-й поправки к Конституции США, однако, благодаря гибкости и адаптивности конституционного права количество правомочий постоянно возрастало.

В частности, «прайваси» в первую очередь затрагивала такие аспекты, как право на жилище, на тайну переписки, а затем и телефонных переговоров, электронных и иных сообщений, т.е. так называемых privacy rights.

Развитие компьютерных технологий обработки информации, в которых США является одним из бесспорных лидеров и в настоящее время, привело к неизбежному вопросу защиты «прайваси» (частной жизни), в первую очередь - в условиях автоматизированной обработки информации о физических лицах в электронных базах данных.

Для изучения вопроса Департаментом здравоохранения, образования и социальной защиты (Department of Health, Education and Welfare) была создана специальная комиссия по изучению вопроса, которая еще в 1973 году в своем докладе обратилась с рекомендациями к Конгрессу по принятию специального законодательства - Кодекса честной информационной практики (Code of Fair Information Practice[352]), основанного на следующих принципиальных положениях:

- отсутствие баз персональных данных, существование которых скрывается или является секретным;

- предоставление индивиду права знать, какая информация содержится о нем в базе данных и как она используется;

- предоставление права индивиду воспрепятствовать использованию информации, полученной с определенной целью, в других целях или передаче другим лицам без его согласия;

- индивид должен иметь право требовать внесения изменений, исправлений или дополнения информации о нем, в случае ее недостоверности;

- организация, осуществляющая создание, поддержание, использование и распространение персональных данных, должна обеспечить достоверность персональных данных, а также принять меры к предотвращению их ненадлежащего использования.

Кроме этого, специальный доклад содержал рекомендации для организаций, ведущих обработку персональной информации о необходимости защиты последней, а также о необходимости ежегодного опубликования сведений о базах данных и содержащейся в них информации.

Большая часть положений доклада легла в основу принятого год спустя Акта о защите частной жизни 1974 года (The Privacy Act of 1974[353], далее - Акт).

История принятия этого документа стала компромиссом между двумя законопроектами, которые появились одновременно, один в Палате представителей, а другой - в Сенате. Отличались они в основном порядком возмещения вреда, причиненного субъекту данных. Законопроект Сената в этом отношении был более суров, и для возмещения вреда было достаточно лишь установления факта нарушения, тогда как законопроект Палаты представителей предусматривал возможность возмещения лишь в том случае, если будет доказано, что нарушения были умышленными и грубыми. В итоге смешанная комиссия пришла к общему мнению, согласовав общий текст будущего закона, который предусматривал, что для отдельных нарушений требовалось доказывать их преднамеренный характер для получения возмещения. В остальном - положения двух законопроектов были практически идентичны и легли в основу принятого Акта.

Сам Акт является интересным документом для изучения и в полной мере характеризует своеобразность американского подхода к правовому регулированию обработки персональной информации, в связи с чем автору видится логичным рассмотреть его положения более детально.

Первое, что стоит упоминания, - это сфера действия Акта, которую можно назвать достаточно ограниченной. Акт, в частности, предоставлял права в сфере обработки персональной информации, включая право на судебную защиту, исключительно гражданам и постоянным резидентам. Однако положения Акта применялись исключительно в отношении федеральных правительственных агентств, за исключением 7-го раздела касательно номера социальной защиты (Social Security Number - SSN), применяемого в отношении федеральных, местных органов власти и органов власти штатов. Номер социальной защиты может быть предоставлен исключительно на основании федерального закона, в котором в обязательном порядке указывается, является ли такое сообщение SSN добровольным или обязательным. Впрочем, это никак не мешало штатам принимать специальное законодательство, которое бы предусматривало правила обработки персональной информации органами штатов и местными органами власти, помимо положений 7-го раздела Акта. Таким образом, различные федеральные агентства, подчиняющиеся федеральному правительству, в полной мере попали под действие положений Акта, среди них стоит назвать: почта США, департамент образования, Федеральное бюро расследований и многие другие. Еще одним ограничением стало упоминание в тексте рассматриваемого закона понятия “system of records” - «система записей/файлов», которая определялась как любая совокупность записей/файлов, где информацию об индивиде можно было получить по его имени или индивидуальному идентификатору, что исключало применение закона к базам данных, устроенным по иным принципам доступа, но которые также могли содержать информацию персонального характера.

В Акте прямо была закреплена обязанность федеральных агентств ежегодно публиковать сведения о своих базах данных в Федеральном регистре. В рамках такой публикации в обязательном порядке было необходимо указать цель использования базы данных и порядок обращения в агентство заинтересованных лиц в целях предоставления письменных данных, заключений или обоснований. Кроме этого, любые значительные изменения в порядке ведения базы данных должны быть заблаговременно рассмотрены Комитетом по государственным операциям Палаты представителей, Комитетом по государственным делам Сената, а также Кабинетом по управлению и бюджету, которые проводят оценку с точки зрения возможного или предполагаемого ущерба правам индивида предлагаемых изменений.

Права субъекта данных (любого физического лица) предусматривали право на доступ к информации о нем. Субъекту при этом предоставляется право знакомиться и делать копии информации о себе, а также требовать внесения изменений в случае неточности или ошибок.

Основное требование к операторам данных (федеральных агентств) на основании Акта можно изложить как запрет их раскрытия (disclosure) - передачи третьим лицам или неопределенному кругу лиц, т.е. сохранения их конфиденциальности, за исключением прямо предусмотренных 12 случаев- условий, к которым подразделом b было отнесено:

1) раскрытие данных служащему агентства, который ведет их обработку и которые ему необходимы для реализации его должностных обязанностей;

2) раскрытие в соответствии с требованиями Акта о свободе информации (Freedom Information Act1);

3) раскрытие в соответствии с «обычной практикой» (routine use);

л

4) раскрытие для Бюро переписи населения США (US Census Bureau ) для осуществления переписи населения;

5) раскрытие по заранее полученному запросу в целях статистических исследований, при условии передачи обезличенных данных (без идентифицирующей личность информации);

6) передача записей (данных) в администрации национальных архивов и записей в качестве записи/файла, имеющей историческую ценность; [354] [355]

7) передача записей в целях осуществления уголовного и гражданского правосудия;

8) раскрытие в целях защиты жизни и здоровья лица, при условии сообщения ему о факте раскрытия его данных;

9) раскрытие информации Конгрессу или его комитетам, подкомитетам;

10) раскрытие Генеральному аудитору (Comptroller General[356]) для осуществления деятельности Генерального счетного комитета (the General Accounting Office);

11) раскрытие на основании решения суда (судебного приказа);

12) раскрытие информации о потребителе в соответствии с требованием специального закона.

При раскрытии персональной информации агентства должны вести ее учет, т.е. хранить в течение не менее 5 лет информацию: о времени запроса; субъекте, который ее запросил, включая его контактную информацию; описание переданной информации. Субъект данных вправе ознакомиться с такой учетной записью, за исключением информации по запросам, связанным с осуществлением правосудия.

Качество и объем информации, содержащейся у агентства (оператора), регулировались путем установления принципов достоверности информации, а также принципа минимального объема информации, который необходим для реализации законной деятельности агентства, т.е. только необходимая и относящаяся к делу информация (relevant and necessary). Сверх этого было разрешено осуществлять сбор информации только в том случае, если недостаточность информации может негативно отразиться для индивида (по ограничению прав, интересов, преимуществ). В таких случаях агентства вправе собирать всю доступную информацию непосредственно от индивида. Положения Акта также предусматривали возможность сопоставления, объединения данных агентствами при условии письменного соглашения, которое должно быть сообщено Комитету по государственным делам Сената и Комитету по государственным операциям Палаты представителей, а также находиться в публичном доступе. В соглашении в обязательном порядке предусматриваются: цель и орган, который будет ответственен за объединение данных; ожидаемые результаты и обоснование необходимости объединения баз данных; описание данных, которые будут объединяться. В каждом агентстве, которое собирается участвовать в программе сопоставления и объединения данных, Акт требовал создания специального органа (Data Integrity Board), который бы следил за исполнением соглашений об обмене и сопоставлении данных, их соответствием законодательству.

Для защиты прав индивида Актом установлена гражданская и уголовная ответственность за нарушения отдельных его положений. В частности, гражданская ответственность предусмотрена за необоснованный отказ индивиду в доступе к файлу/записи или во внесении в него изменений и в некоторых иных случаях. Уголовная ответственность предусмотрена за умышленные: раскрытие персональной информации, несообщение о создании баз данных с персональной информацией, необоснованный запрос персональной информации по ложному основанию и т.д.

Как видно из анализа рассматриваемого документа, становится очевидным, что он распространяется на достаточно узкий круг отношений, связанных с обработкой персональной информации, к тому же содержит некоторые положения, которые не всегда гарантируют адекватную защиту прав индивида. В частности, вызывает опасения применение Акта исключительно к базам данных, организованным по имени индивида, особому номеру, фотографии, что на момент его принятия в 1974 году могло гарантировать адекватную защиту. Тогда как сейчас, в условиях формирования информационных систем с самыми различными вариантами их организации и поиска в них персональной информации, такое положение можно охарактеризовать как не совсем удачное и ограничивающее сферу его действия.

По мнению части авторов1, особую озабоченность вызывает присутствие в числе исключений возможности раскрытия данных в рамках «обычной практики» (routine use disclosure), которая часто очень широко трактуется правительственными агентствами. Сам Акт определяет это как возможность раскрытия данных в целях, сопоставимых/схожих с целями, определенными при их сборе. Такое положение дел ведет к указанию федеральными агентствами самых общих целей при сборе информации о гражданах и оставляет им значительное пространство для возможных злоупотреблений.

На основании изложенного нетрудно сделать вывод о том, что Прайваси Акт регулирует только отношения по обработке данных правительственными агентствами, т.е. органами государственной власти, однако это не означает, что в США отсутствуют нормы, которые регулируют вопросы защиты прав индивида при обработке его данных в частном секторе экономики. В этом заключается еще одно существенное отличие американского подхода к регулированию обработки персональных данных.

Все дело в том, что в остальных случаях в США доминирует так называемый отраслевой подход к правовому регулированию обработки

Л

данных, а некоторые авторы даже называют его скорее практикой ad hoc . Не случайно, что в своем отчете о принятых мерах на национальном уровне в рамках ОЭСР Соединенные Штаты заявили сразу четыре органа, уполномоченных в сфере контроля реализации законодательства о защите данных:

- Департамент юстиции - в сфере осуществления правосудия; [357] [358]

- Департамент здравоохранения и социальной защиты - в сфере здравоохранения и социальной защиты;

- Федеральное банковское агентство - в банковской и финансовой сфере;

- Федеральная торговая комиссия - в сфере торговли.

При этом такой перечень нельзя назвать исчерпывающим, учитывая, что существует специальное регулирование для некоторых других отраслей, равно как и наличие в каждом таком случае специально уполномоченного органа по контролю, а равно учитывая, что штаты также вправе принимать собственные законы о защите данных и учреждать контролирующие органы1.

Особым образом законодательство и практика в США подходит в целом к регулированию обработки персональных данных в частном секторе, рассматривая в основном ее с позиции защиты конкуренции и прав потребителей, неслучайно употребляя вместо термина «субъект персональных данных» или «индивид», понятие «потребитель» (consumer). В качестве примера можно привести Акт о прайваси в финансовой сфере (The

л

Right to Financial Privacy Act 1978 ) и Акт о защите прайваси в электронных

Л

коммуникациях (The Electronic Communication Privacy Act 1986 ), где намеренно используется именно указанный термин применительно к обозначению индивидов, и это не является исключением[359] [360] [361] [362].

В целом американское законодательство в области защиты прав потребителей при обработке их персональной информации достаточно избирательно.

В качестве наиболее «урегулированных сфер» можно назвать:

12 3

финансовую сферу , медицинские услуги , услуги по кредитованию , услуги видеопроката4, кабельное телевидение5, «онлайн» деятельность детей до 13

6 7 8

лет, образовательные услуги , регистрация транспортных средств , телемаркетинг9.

Значительную роль в регулировании вопросов защиты частной жизни в США, включая защиту персональных данных, играют решения Верховного суда, основанные на толковании 4-й поправки Конституции. Такие решения принимаются достаточно часто и, как правило, носят казуальный характер. В частности, Верховный суд рассматривал вопрос о данных владельцев транспортных средств, признав их коммерческий характер и возможность регулировать их обработку федеральным правительством10. В 2001 году Верховный суд признал отсутствие нарушений Акта о семейных образовательных правах и частной жизни и 4-й поправки Конституции в случае выставления рейтинга учащихся и его оглашения вслух11.

Многие вопросы в области регулирования обработки данных разрешаются на основе саморегулирования, т.е. на основе внутренних [363] [364] [365] [366] [367] [368] [369] [370] [371] [372] [373]

корпоративных норм и рыночной целесообразности1, что существенным образом сказывается на уровне защиты данных и сохранения их конфиденциальности и приводит к существованию своего рода рынка данных об индивиде, о котором он может и не знать. В качестве одного из ярких примеров можно назвать наличие самостоятельного и весьма прибыльного рынка информации о гражданах-потребителях, о чем можно судить на основании ставшего широко известным дела Lotus, когда информация (CD-диск) об образе жизни около 20 миллионов американских семей стала предметом продажи и распространения и была впоследствии изъята из оборота под давлением потребителей[374] [375].

Подводя итог анализу зарубежной и международной практики, можно условно выделить два основных подхода (модели) правового регулирования персональных данных - европейский и американский.

Основными и наиболее характерными чертами первой модели следует признать:

1) признание за индивидом неотъемлемого права контролировать обработку информации о себе, как части «информационной самоидентификации» личности в демократическом обществе;

2) наличие специального закона, устанавливающего общие требования к обработке персональных данных в частной и публичной сфере, т.е. установление общего режима конфиденциальности, заключающегося в особом режиме доступа к ним и их распространения, преимущественно с согласия индивида;

3) наличие единого, независимого уполномоченного органа по контролю над соблюдением законодательства о персональных данных (специальная комиссия или омбудсмен), который полномочен самостоятельно рассматривать жалобы граждан;

4) использование механизмов саморегулирования в частной сфере в качестве дополнительного (субсидиарного).

В качестве несомненных положительных черт такого подхода следует признать ориентацию на приоритет прав личности, признание защиты персональных данных в качестве одной из сторон прав и свобод человека, в связи с чем он более ориентирован на государственное регулирование обработки персональных данных, независимо от сферы ее осуществления и установление гарантий прав субъекта.

Отрицательными чертами в таком случае стоит признать тот факт, что часто гармонизация законодательства о персональных данных оставляет существенное «поле для маневра» для государств-участников ЕС, что иногда приводит к существенным расхождениям в его содержании.

Для американского похода, напротив, характерно:

1) использование категории «прайваси» для частной и публичной сферы для ограничения вмешательства государства и его органов в частную жизнь индивида;

2) отраслевой подход к правовому регулированию вопросов защиты данных о физических лицах, где наиболее урегулированной сферой на уровне законодательства является «публичная сфера (сфера государственного управления)» и отсутствует единый документ, устанавливающего единые принципы защиты данных для частной и публичной сфер экономики;

3) преобладание в частном секторе (в экономике) рыночных механизмов регулирования в вопросах защиты прав индивида, а также рассмотрение в целом проблемы регулирования обработки данных частными компаниями с позиций «добросовестной конкуренции» и «защиты прав потребителя»;

4) отсутствие единого уполномоченного органа по контролю за соблюдением законодательства в сфере персональных данных и

распределение этих функций между различными органами, в соответствии с их компетенцией и отраслевой направленностью. Существенный недостаток данного подхода во многом очевиден - это ориентация на рыночные механизмы регулирование в частной сфере, что не лучшим образом гарантирует защиту прав субъекта данных, поскольку, вне всякого сомнения, в случае противоречий индивиду будет гораздо сложнее противостоять частным компаниям, а также требовать от них информирования об использовании данных о себе в отсутствие законодательно закрепленной обязанности. К примеру, деятельности специализированных агентств, предоставляющих информацию о кредитных историях, урегулирована, тогда как компании, занимающиеся адресным (прямым) маркетингом, не связаны в аналогичном случае какими-либо правилами. Положительной чертой в этом походе является как раз «специальный», или даже в некоторой степени «адресный», подход к регулированию защиты прав субъекта, учитывающий специфику той или иной отрасли экономики, государственного управления, в том числе и при установлении средств судебной защиты, поскольку в каждом случае обычно упоминается размер или порядок определения размера возмещения в гражданском судопроизводстве и размеры уголовного наказания за возможные нарушения.

Говоря о распространенности названных выше подходов среди государств мира, можно сказать, что европейский получил более широкое распространение и в настоящий момент это порядка 50 государств Совета Европы, расположенных на европейском континенте, а также Канада, Аргентина, Австралия, Новая Зеландия, Южная Корея, Буркина Фасо.

Американский подход менее распространен и помимо самих Соединенных Штатов Америки аналогичным образом «отраслевое» регулирование обработки персональных данных характерно для Японии, Парагвая, Тайваня, Тайланда[376].

3.2.

<< | >>
Источник: Бундин Михаил Вячеславович. ПЕРСОНАЛЬНЫЕ ДАННЫЕ В СИСТЕМЕ ИНФОРМАЦИИ ОГРАНИЧЕННОГО ДОСТУПА. ДИССЕРТАЦИЯ на соискание ученой степени кандидата юридических наук. Москва - 2017. 2017

Еще по теме Современные тенденции развития законодательства о персональных данных в зарубежных странах:

  1. Узловые аспекты учения о циклическом развитии рыночного общества и их отражение в системе социально-экономических знаний
  2. СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ И ЛИТЕРАТУРЫ
  3. Глобальное информационное общество: понятие и условия для развития личности и реализации ее интересов
  4. Сравнительно-правовое исследование международных стандартов и зарубежного опыта обеспечения информационной безопасности личности
  5. § 3. Основные этапы развития формы правления в Республике Казахстан
  6. Правовые проблемы борьбы с незаконными агапами против судоходства па современном этапе
  7. § 2. Персональные данные как предмет защиты конституционных прав в России
  8. 2.3. Правовое регулирование применения мер административного принуждения к юридическим лицам в связи с нарушениями лицензионных требований по законодательству государств ближнего зарубежья
  9. § 4. Основные направления правового обеспечения реформы государственной службы на современном этапе
  10. § 3. Субъекты предпринимательской деятельности в банковских системах зарубежных стран
- Авторское право - Аграрное право - Адвокатура - Административное право - Административный процесс - Антимонопольно-конкурентное право - Арбитражный (хозяйственный) процесс - Аудит - Банковская система - Банковское право - Бизнес - Бухгалтерский учет - Вещное право - Государственное право и управление - Гражданское право и процесс - Денежное обращение, финансы и кредит - Деньги - Дипломатическое и консульское право - Договорное право - Жилищное право - Земельное право - Избирательное право - Инвестиционное право - Информационное право - Исполнительное производство - История - История государства и права - История политических и правовых учений - Конкурсное право - Конституционное право - Корпоративное право - Криминалистика - Криминология - Маркетинг - Медицинское право - Международное право - Менеджмент - Муниципальное право - Налоговое право - Наследственное право - Нотариат - Обязательственное право - Оперативно-розыскная деятельность - Права человека - Право зарубежных стран - Право социального обеспечения - Правоведение - Правоохранительная деятельность - Предпринимательское право - Семейное право - Страховое право - Судопроизводство - Таможенное право - Теория государства и права - Трудовое право - Уголовно-исполнительное право - Уголовное право - Уголовный процесс - Философия - Финансовое право - Хозяйственное право - Хозяйственный процесс - Экологическое право - Экономика - Ювенальное право - Юридическая деятельность - Юридическая техника - Юридические лица -