Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет
Шрифт:
Суд занял принципиальную позицию, сделав вывод, что договор о трансатлантической передаче данных нарушает право европейцев жаловаться на использование их личных данных в коммерческих целях различными мультинациональными компаниями. Защита права на неприкосновенность личной жизни в США во многом отличается от защиты этого права в Европе.
Таким образом, ответ на жалобу Шремса касается не только Facebook, он затрагивает тысячи других компаний, деятельность которых осуществляется в рамках Соглашения Safe Harbour как инструмента передачи данных на законной основе [22] .
22
Европейский
Также большие ставки делались на реформирование правозащитных процедур и мер обеспечения гарантий. В частности, планировалось развитие и усиленное использование уже сформированных инструментов взаимной правовой помощи (Mutual Legal Assistance) и отраслевых соглашений по вопросам обмена данными.
Особо рассматривались вопросы Рамочного соглашения 1Р/10/ 1661 «О защите информации в области полицейского и судебного сотрудничества» [23] . С 18 ноября 2013 г. США реализуются меры по предоставлению гражданам ЕС права на судебную защиту.
23
Рамочное соглашение IP/10/1661 «О защите информации в области полицейского и судебного сотрудничества».
Завершается работа над зонтичным соглашением США и ЕС о защите персональных данных для совместной борьбы с терроризмом от 8 сентября 2015 г. Документ позволит защитить персональные данные, которыми обмениваются полиция, судебные органы и частные компании в ходе расследований.
Зонтичное соглашение в качестве основы полагает всестороннюю структурную высокоуровневую защиту при взаимодействии США и ЕС в сфере правоохранения. Соглашение касается всех персональных данных (например, имена, адреса, досье), которые подвергаются трансграничной передаче между ЕС и США в целях предотвращения, обнаружения, расследования и судебного преследования уголовных преступлений, включая терроризм. Текст соглашения полностью разработан, однако требуется провести ряд процедур для вступления его в силу. В частности, должен быть принят американский закон о компенсациях, затем американские власти публикуют соответствующее решение касательно зонтичного соглашения, которое в итоге утверждается властью ЕС.
Основной целью документа является создание одинакового режима: граждане ЕС будут иметь те же самые судебные права, как и американские граждане, в случае правонарушений в сфере персональных данных. В настоящий момент если данные граждан ЕС переданы американским правоохранительным органам и если эти данные неправильно или незаконно обработаны, граждане ЕС – нерезиденты США не могут получить компенсацию в американских судах (в отличие от американских граждан, которые имеют право требовать компенсацию в европейских судах).
На практике этот инструмент может работать следующим образом. Например, имя гражданина ЕС попадает в базу данных как лица, подозреваемого в совершении преступления. В дальнейшем лицо оправдано. Между тем его данные могут находиться в своего рода «черном списке», что препятствует, к примеру, получению визы. Если соглашение будет принято, то гражданин ЕС сможет обратиться с требованием удалить сведения о себе из баз данных и получить компенсацию.
Это соглашение дополняет существующее регулирование правоотношений ЕС и США в сфере персональных данных, создавая четкие, согласованные правила защиты данных и устанавливая высокий уровень защиты, в частности:
1) ограничение на использование данных – персональные данные не могут обрабатываться вне согласованных с субъектом данных целей;
2) любая передача данных за пределы США, в не входящую в ЕС страну или международную организацию должна быть подвергнута предварительному согласованию с компетентным органом страны, которая первоначально
3) личные данные не могут храниться дольше, чем необходимо;
4) субъект данных должен быть наделен правом получения доступа к своим данным, возможностью инициировать их исправление;
5) в случае нарушения условий защиты информации должно быть направлено уведомление о нарушении компетентному органу и в соответствующих случаях субъекту данных.
В случае если органам власти США необходимо передать данные третьей стране или международной организации, следует получить предварительное согласие правоохранительных органов ЕС, изначально передавших данные.
Также относительно трансграничной передачи данных в ЕС функционирует такой инструмент, как стандартные договорные условия (Model Clauses). Гарантии, требуемые ч. 2 ст. 26 Директивы, в частности, могут вытекать из соответствующих договорных условий.
В рамках данного положения Европейской комиссией было принято Решение от 15 июня 2001 г. № 2001/497/ЕС «О стандартных договорных условиях относительно передачи персональных данных третьим странам согласно Директиве 95/46/ЕС». Этот документ адресован государствам – членам ЕС и в отличие от принятых ранее непосредственно устанавливает несколько стандартных вариантов-наборов условий для обеспечения адекватного уровня защиты данных. Операторы данных могут выбрать любой из вариантов, но при этом они не имеют права изменять условия или комбинировать отдельные условия либо комплекты.
Стандартные договорные условия становятся действительными для конкретных субъектов с момента их согласования сторонами. При этом они будут обязательными для исполнения не только организациями, являющимися сторонами договора, но и субъектами данных, в частности, в случаях, когда субъекты данных несут ущерб вследствие нарушения положений договора. Условия своим предметом имеют только вопросы защиты данных. Субъекты отношений могут дополнить соглашения иными положениями, в частности, условиями о взаимной помощи в случаях споров с субъектом данных или с контролирующим органом, которые они считают имеющими прямое отношение к договору. Правом, подлежащим к применению (по общему правилу), является законодательство государства – члена ЕС, в котором учрежден экспортер данных (лицо, осуществляющее передачу данных).
Согласно ст. 1 Решения стандартные договорные условия (в случае их согласования сторонами) расцениваются как достаточные гарантии в отношении защиты неприкосновенности частной жизни и основных прав и свобод физических лиц и в отношении осуществления соответствующих прав согласно требованиям, предусмотренным в ст. 26 (2) Директивы.
Резолюции Европейского парламента 2011/2025 (INI) от 6 июля 2011 г. о комплексном подходе к защите персональных данных в Европейском союзе провозгласили преемственность основных принципов Директивы 95/46/ЕС, но при этом – необходимость значительной доработки отдельных норм касательно трансграничной передачи данных [24] .
24
См.: Personal data protection in the European. Union European Parliament resolution of 6 July 2011 on a comprehensive approach on personal data protection in the European Union (2011/2025 (INI)) // Official Journal С 033 E. 05.02.2013. P. 0101–0110; Directive of the European Parliament and of the Council 2012/0010 (COD) on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data. Brussels, 25.01.2012 (проект); Resolution of the 85th Conference of the Data Protection Commissioners of the Federal Government and the Bremerhaven on 13–14 March 2013 «Europe must strengthen data protection».