Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет
Шрифт:
Итак, что касается проектного внутреннего регулирования в ЕС, то регулированию особенностей передачи персональных данных странам, не входящим в Европейский союз, посвящена отдельная глава проекта Регламента. Передача персональных данных за пределы Европейского союза или в международную организацию может осуществляться в случае наличия решения Европейской комиссии о том, что страна или организация, получающая персональные данные, обеспечивает адекватный уровень защиты персональных данных. При оценке адекватности уровня защиты персональных данных Европейская комиссия принимает во внимание:
1) верховенство закона, уважение прав человека и основных свобод, соответствующего законодательства,
2) существование и эффективное функционирование одного или нескольких независимых надзорных органов в данной стране или в стране, в которой учреждена международная организация, ответственных за обеспечение соблюдения правил защиты данных, включая необходимые полномочия для оказания помощи и консультирования субъектов персональных данных при осуществлении их прав и сотрудничестве с надзорными органами Европейского союза и государств-членов;
3) международные обязательства стран, расположенных за пределами Европейского союза, или международных организаций, вытекающие из их участия в многосторонних или региональных системах, в частности, в отношении защиты персональных данных.
Европейский совет по защите данных может представлять Европейской комиссии мнение для оценки адекватности уровня защиты персональных данных в стране, расположенной за пределами Европейского союза, или в международной организации.
Решение Европейской комиссии может быть отозвано при изменении обстоятельств, влияющих на защиту персональных данных в стране, расположенной за пределами Европейского союза, или в международной организации.
Европейская комиссия должна опубликовать в официальном журнале Европейского союза список стран, территорий, секторов экономической деятельности и международных организаций, в отношении которых были приняты решения об адекватности защиты персональных данных.
В отсутствие решения Европейской комиссии об адекватности защиты данных передача персональных данных возможна при условии надлежащих гарантий оператора персональных данных и (или) обработчика персональных данных.
Во многом реформа сконцентрирована на предоставлении субъектам персональных данных инструментов контроля с одновременным упрощением передачи данных в пределах Европы.
В частности, предусмотрены гораздо более серьезные меры ответственности в случае незаконной передачи данных за пределы ЕС. Так, в случае получения организацией (к примеру, облачным провайдером, социальной сетью, поисковой системой) запроса от третьей страны о предоставлении обрабатываемых на территории ЕС персональных данных выдача таких данных допускается исключительно с разрешения национального органа по защите персональных данных и при условии обязательного информирования субъекта персональных данных о таком запросе.
Кроме того, предложено внедрить очень серьезные санкции в случае нарушения указанного порядка, а именно: штраф организациям, незаконно предоставляющим сведения, в размере до 100 млн евро или до 5 % их годового оборота в мировом масштабе, т. е. даже выше, чем было изначально предложено Европейской комиссией (в размере до 1 млн евро или до 2 % годового оборота в мировом масштабе).
В открытом доступе информация по вопросу регулирования персональных данных, отнесенных к государственной тайне, в ЕС не размещена.
1.2. Совет Европы
1.2.1.
Конвенцией Совета Европы «О защите прав человека и основных свобод» от 4 ноября 1950 г. закреплен принцип, согласно которому никто не может подвергаться произвольному вмешательству в личную и семейную жизнь человека, произвольным посягательствам на неприкосновенность жилища, тайну его корреспонденции или на его честь и репутацию.
В 1981 г. Совет Европы принял Конвенцию № 108 «О защите прав физических лиц в отношении автоматизированной обработки персональных данных» (заключена в Страсбурге 28 января 1981 г.) (далее – Конвенция СЕ № 108, Конвенция № 108), которая является впервые принятым международным договором, по сути, глобального значения, содержащим юридически обязывающие нормы в области защиты персональных данных. Конвенция СЕ № 108 обеспечивает правовые рамки для передачи персональных данных между странами, которые ее ратифицировали (была открыта для подписания в 1981 г.), и является платформой многостороннего сотрудничества государств-участников на основе равенства. К ней может присоединиться любая страна в мире, имеющая необходимое законодательство в области защиты данных.
Потребность в принятии Конвенции № 108 появилась в связи с расширяющимся использованием компьютеров для административных целей. По сравнению с ручной обработкой данных автоматизированная обработка предоставляет больше возможностей для хранения данных и намного более широкий круг каналов для запросов, которые могут обрабатываться с очень большой скоростью (п. 1 Пояснительного доклада к Конвенции № 108 «О защите прав физических лиц в отношении автоматизированной обработки персональных данных») [25] .
25
Пояснительный доклад к Конвенции № 108 «О защите прав физических лиц в отношении автоматизированной обработки персональных данных». URL: http://conventions.coe.int/Treaty/RUS/Reports/Html/108.htm.
Среди причин принятия Конвенции СЕ № 108 можно отметить следующие:
1) бурное развитие автоматизированной обработки персональных данных и необходимость их защиты в ходе такой обработки;
2) необходимость защиты прав при трансграничной передаче персональных данных;
3) необходимость упорядочивания европейского законодательства, а также законодательства других государств в сфере охраны персональных данных ввиду специфики оборота персональных данных и их трансграничности.
Предметно нормы данной Конвенции распространяются на отношения, формирующиеся при использовании автоматизированных баз персональных данных и автоматизированной обработке персональных данных в государственной и частной сферах (ст. 3). Регулирование данных отношений должно было отвечать основной задаче Конвенции СЕ № 108, которую можно свести к обеспечению реализации прав человека на уважение частной жизни и свободу информации, зафиксированных в ст. 8 и 10 Европейской конвенции о защите прав человека и основных свобод.
Другими словами, основной ценностью, которую защищает Конвенция, является прежде всего право на личное пространство, способом обеспечения которого выступает неприкосновенность частной информации, принадлежащей лицу, и частных данных, позволяющих достоверно установить лицо и, главное, связаться с ним.
В связи с изложенным Конвенция СЕ № 108 устанавливает перечень обязательств государств-участников, направленных на контроль и оптимизацию процессов обработки данных, среди которых можно отметить: