Защита персональных данных

24 октября 1995 года была принята международная Директива 95/46/EC Европейского парламента и Совета Европейского Союза о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных, которая является законодательной основой для реализации политики защиты персональных данных. Приняты национальные законы в Англии, Германии, Франции (UK Data Protection Act 1998, German Federal Data Protection Act 2002, Закон об информатике, картотеках и свободах N 78-17 1978 года, Франция).

Основным компонентом защиты информации персонального характера является обеспечение прав субъекта персональных данных и ответственности контролера (распорядителя) данных. В общем случае право субъекта заключается в возможности быть информированным о сделанных относительно него записях в массив баз данных, о целях подобных записей, а также в возможности уточнять, стирать или блокировать данные. Ответственные действия контролера баз персональных данных заключаются в соблюдении основных принципов накопления, хранения и использования персональной информации, а также в обеспечении безопасности информации техническими и организационными мерами и методами.

Таким образом, защита персональных данных – это в первую очередь защита права информационной приватности субъекта (data privacy), т. е. защита самого субъекта данных от вмешательства в его личную жизнь. Второй составляющей является обеспечение безопасности самих сведений (data security).

Конвенция Совета Европы о защите личности в связи с автоматической обработкой персональных данных (N 108) 28 января 1981 года регулирует работу с автоматическими и смешанными банками персональных данных, находящихся в публичном и частном ведении.

Конвенция N 108 была призвана охватить все последовательные этапы цикла работ с персональными данными от сбора данных и до их уничтожения при обеспечении максимально полного информирования, участия и контроля со стороны субъекта данных.

Во второй главе «Общие нормы о законности обработки персональных данных» указывается, что контролер персональных данных должен обеспечить такое положение, чтобы персональные данные, проходящие автоматическую обработку были получены и обработаны добросовестным и законным образом, - накапливались для точно определенных и законных целей и не использовались в противоречии этим целям, были адекватными, относящимися к делу и не избыточными применительно к целям, для которых они накапливаются, а также - точными и, в случае необходимости, обновлялись, хранились в такой форме, которая позволяет идентифицировать субъектов данных не дольше, чем этого требует цель накопления данных.

Персональные данные о национальной принадлежности, политических взглядах либо религиозных или иных убеждениях, а равно персональные данные, касающиеся здоровья, могут подвергаться автоматической обработке только в тех случаях, когда национальное право предусматривает надлежащие гарантии. Это же касается информации, относящейся к судимости.

Данная Конвенция обязывает стороны принимать надлежащие меры для охраны персональных данных, накопленных в автоматизированных базах, от случайного или несанкционированного разрушения или утраты, равно как от несанкционированного доступа, изменения или распространения.

Субъекту данных должно предоставляться право «быть осведомленным о существовании автоматизированной базы персональных данных, о ее главных целях, а также о контролере базы данных, его месте жительства либо юридическом адресе; периодически и без излишних затрат времени и средств обращаться с запросом о том, накапливается ли в автоматизированной базе данных касающаяся его персональная информация и получать ответ в доступной форме; требовать уточнения или уничтожения таких данных, если они были обработаны с нарушением положений национального права, реализующих основные принципы вышеизложенных положений; прибегнуть к судебной защите нарушенного права, если его запрос либо требование о предоставлении информации, уточнении или уничтожении данных не были удовлетворены».

Исключения из вышеуказанных положений допускаются, когда таковые предусмотрены законодательством стороны и представляют необходимую в демократическом обществе меру, установленную:

- для охраны государственной и общественной безопасности, денежных интересов государства или для пресечения преступлений;

- для защиты субъекта данных или прав и свобод других лиц.

Каждая сторона Конвенции N 108 обязуется установить надлежащие санкции и средства судебной защиты на случай нарушения положений национального права, реализующих основные принципы защиты данных.

Реализуя механизм защиты прав субъекта персональных данных, стороны создают соответствующие компетентные органы, призванные обрабатывать ходатайства субъектов данных относительно возникающих нарушений, а также обмениваться практической информацией по вопросам защиты прав субъекта.

По замыслу разработчиков Конвенции N 108 она должна была выполнить еще одну очень важную задачу – объединить, унифицировать национальные законодательства стран – членов ЕС.

Различия в национальных законодательствах относительно защиты статуса персональной информации, такие как масштаб действия законодательного акта, акцентирование различных элементов систем защиты, система контроля за соблюдением законодательства, различия в категоризации данных, в методах обеспечения открытости и индивидуального участия, а также традиционные различия юридических систем приводят к тому, что основные составляющие информационного обмена - непрерывность потоков, их безопасность, а также свобода циркуляции информации – и возникающие в связи с этим фундаментальные права индивидуума могут быть ограничены или не исполнены распорядителем или приемной стороной.

Для пользователей данных, так же как и для их субъектов, не должно быть разницы в том, осуществляются ли операции по обработке данных в одной или нескольких странах - должны применяться одни и те же фундаментальные правила, и субъектам данных должны быть предоставлены одни и те же гарантии защиты их прав и интересов, не наносящие ущерб свободному международному обмену информацией.

В связи с этим в текст документа вводятся положения о трансграничной передаче персональных данных и сопутствующее этим положениям понятие адекватности предоставляемой защиты. В соответствии с ними (статья 12), осуществляя практику свободных информационных обменов, сторона – участник Конвенции N 108 не будет запрещать или ставить под специальный контроль информационные потоки персональных данных, идущие на территорию другой стороны, исходя исключительно из соображений защиты неприкосновенности личной сферы.

Однако подобное ограничение может иметь место при следующих условиях: либо приемная сторона не обеспечивает равноценной защиты относительно оговоренных категорий данных (к примеру, передача осуществляется из Германии в Грецию, где законодательство имеет менее строгий характер), либо принимающая сторона не является членом Конвенции N 108.

В связи с этим, учрежденный 5 главой Конвенции N 108 Консультативный комитет, чья деятельность направлена на достижение адекватного понимания и совершенствование мер применения положений данного документа, совместно с международной Коммерческой палатой разработал модель соответствующего договора, способного обеспечить эквивалентную защиту потока персональных данных между сторонами с различающимся законодательством.

Центральным положением Директивы 95/46/EC является экспорт информации в третьи страны и страны Европейского Сообщества.

Она устанавливает рамочные условия относительно уровня доступа и возможности передачи информации, экспорт которой может быть запрещен, если не обеспечен определенный уровень ее защиты, именуемый адекватным. Адекватность уровня защиты, предоставляемого третьей страной, оценивается в свете всех обстоятельств, в которых производится операция или набор операций по передаче данных; особое внимание здесь следует уделять природе данных, целям и продолжительности предполагаемых операций, стране происхождения и стране окончательного назначения, действующим в соответствующей третьей стране положениям закона, как общим, так и частным, а также профессиональным нормам и мерам безопасности, соблюдаемым в такой стране или принимающей организации. Немаловажным также является то, насколько верно принимающая сторона соблюдает принципы прозрачности информационной практики, качества сведений, права субъекта на доступ и изменение данных.

На случай, если в третьей стране действует закон о защите персональных данных, либо существуют положения относительно конкретных областей (банковская деятельность, здравоохранение и проч.), Директива 95/46/EC устанавливает определенный механизм взаимодействия и признания соответствия уровня защиты через Европейскую комиссию (ст. 31(2)).

Если такое согласование невозможно, то каждый отдельный случай передачи информации будет требовать от сторон заключения договора (приложение), предусматривающего как им должно поступать в том или ином случае. В Директиве 95/46/EC указывается, что сторонам, вовлеченным в обмен персональными данными, следует уделять повышенное внимание осуществлению контроля за сбором, обработкой и использованием “чувствительной” информации – это данные о здоровье, политических убеждениях субъекта и др. Именно такая информация вследствие несоблюдения принципов ее накопления, обработки и использования может нанести серьезный ущерб интересам и правам гражданина. Поэтому требования к ее передаче должны быть особенно жесткими, если такая передача осуществляется.

В Директиве 95/46/EC также обращается внимание на существование такого риска, как принятие решения относительно индивидуума на основе автоматически обрабатываемой информации без привлечения «человеческого элемента». Право не оказаться в таком положении с некоторыми исключениями, вытекающими из национальных законодательств, гарантирует статья 15 Директивы 95/46/EC.

Директива 95/46/EC способствует развитию саморегулирования проблем защиты персональной информации, поощряя разработку норм и кодексов поведения, призванных содействовать реализации национальных положений, принятых во исполнение Директивы 95/46/EC.

Это указывает на необходимость разработки конкретной организацией соответствующей политики в области защиты данных и предполагает наличие специального внутреннего органа, который должен функционировать в тесной взаимосвязи с внешними контрольными и надзорными органами. Составленные кодексы передаются на рассмотрение в национальные органы власти и могут быть представлены для анализа в Рабочую группу.

Среди организационно - технических мер, построенных в соответствии с принципами Директивы 95/46/EC, можно выделить следующие:

- предотвращение доступа к обрабатывающей системе лиц, таким правом не обладающих;

- предотвращение использования ресурсов системы указанными лицами;

- обеспечение доступа авторизованных специалистов исключительно к данным, соответствующим их категории доступа; любые операции с данными должны быть санкционированы и подтверждены правом доступа специалиста;

- обеспечение контроля над передачей сведений по каналам связи;

- возможность быстро установить, какие персональные данные подверглись обработке и кем;

- обеспечение защиты данных от непреднамеренного разрушение и потери. Европейская модель устанавливает строгие стандарты защиты так называемой “чувствительной” информации – о расовом и этническом происхождении, политических и религиозных взглядах, философских и этических убеждениях, а также о здоровье индивидуума; по общему правилу, сбор такой информации запрещается, кроме того, она предусматривает создание независимого государственного органа, который осуществляет контроль над информационной практикой и действует как омбудсмен, рассматривая жалобы субъектов данных и других заинтересованных лиц на нарушение прав, установленных законом;

- обеспечение раздельной обработки данных, имеющих различное целевое назначение.