Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет
Шрифт:
В соответствии с положениями ст. 8а необходимо, чтобы всегда было возможно установить лицо, являющееся контролером данных.
CAHDATA под контролером данных понимает физическое или юридическое лицо, государственный орган, службу, агентство или любой другой орган, который – один или совместно с другими – имеет власть принятия решения относительно обработки данных.
Согласно п. «с» ст. 2 Конвенции СЕ № 108 под автоматизированной обработкой понимаются следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение. Однако понятие обработчика
Предлагаемый модернизированный вариант Конвенции № 108 под обработкой персональных данных понимает операцию или набор операций, которые выполняются с персональными данными: сбор, хранение, изменение, поиск, раскрытие, стирание или уничтожение данных, логические и/или арифметические операции.
1.2.4. Ответственность за нарушения в области персональных данных и запрет на передачу данных третьим лицам
Сама Конвенция СЕ № 108 не содержит санкций за предоставление неправомерного доступа к персональным данным неограниченного круга лиц. Однако ст. 10 Конвенции установлено, что каждая сторона обязуется предусмотреть надлежащие санкции и средства правовой защиты на случай нарушения норм внутреннего законодательства, воплощающих основополагающие принципы защиты данных.
Конвенция предполагает закрепление норм, запрещающих несанкционированный доступ третьих лиц к персональным данным, в национальном законодательстве стран-участниц.
В российском законодательстве последствия предоставления доступа неограниченному кругу третьих лиц или ограниченному кругу являются одинаковыми.
Модернизированный вариант Конвенции № 108 предлагает установить на национальном уровне обязанность оператора незамедлительно уведомить контролирующий орган по защите персональных данных обо всех случаях нарушения безопасности персональных данных, если это может повлечь нарушение прав субъектов персональных данных.
Положениями Конвенции ответственность за непринятие мер по защите персональных данных не установлена, но предусмотрена возможность принятия таких мер на национальном уровне (ст. 10).
Рекомендация Комитета министров Совета Европы № R(87) 15 государствам-участникам об использовании персональных данных в деятельности полиции предусматривает возможность передачи персональных данных третьим лицам только в оговоренных случаях.
Другим публичным учреждениям (кроме органов полиции) передача персональных данных разрешается только в особых случаях, если существует четкое правовое обязательство или разрешение субъекта данных, или разрешение надзорного органа, или если эти данные необходимы получателю для выполнения его собственных законных обязанностей. Кроме того, передача информации другим публичным учреждениям разрешается, если:
а) передача информации, несомненно, осуществляется в интересах субъекта данных, или субъект данных согласился, или обстоятельства таковы, что позволяют очевидно предположить возможность такого согласия;
б) передача информации является необходимой для предотвращения серьезной и неизбежной опасности.
Передача данных частным лицам разрешается в особых случаях, только если существуют четкие правовые обязательства или разрешения субъекта данных, или разрешения надзорного органа.
1.2.5. Режим защиты персональных данных при обработке больших данных, позволяющих при сопоставлении получать персональные данные
Рекомендация CM/Rec(2010)13 Комитета министров странам-членам по
43
Recommendation CM/Rec(2010)13 of the Committee of Ministers to member states on the protection of individuals with regard to automatic processing of personal data in the context of profiling (Adopted by the Committee of Ministers on 23 November 2010 at the 1099th meeting of the Ministers’ Deputies). URL:jsp?id=1710949&Site=CM#P5_189.
Рекомендация CM/Rec(2010)13 вводит понятие «профилирование» как деятельность, в ходе которой большие данные, собранные автоматически, обрабатываются на основе соответствующих расчетов, сравнений и программ статистической корреляции с целью подготовки «профилей» граждан, которые могут быть использованы многочисленными и разнообразными способами, в том числе путем сопоставления данных, предоставленных несколькими лицами.
То есть под профилированием понимаются методы и приемы автоматизированной обработки данных, состоящие из применения профиля к какому-либо лицу с целью анализа или прогноза его личных предпочтений, поведения и позиций (Рекомендация СМ/ Rec(2010)13).
С учетом того что методы профилирования, выявляя взаимосвязи между конфиденциальными данными в смысле ст. 6 Конвенции СЕ № 108 и другими данными, могут привести к созданию новых «чувствительных данных», касающихся идентифицированного или неидентифицируемого лица, а также с учетом того что такое профилирование может подвергнуть людей весьма значительным рискам дискриминации и посягательствам на их личные права и достоинство, Рекомендация советует правительствам государств – членов Совета Европы принять и применять меры по охране персональных данных в контексте профилирования.
1.2.6. Регулирование порядка анализа результатов обработки данных (метаданных)
Рекомендация CM/Rec(2010)13 устанавливает, что сбор и обработка персональных данных в контексте профилирования лиц (сбор и обработка метаданных), которые не в состоянии от себя лично выразить свое свободное, конкретное и информированное согласие, воспрещаются, за исключением тех случаев, когда это делается в законных интересах субъекта данных или если имеется высший общественный интерес, при условии обеспечения надлежащих гарантий на основании закона.
Кроме того, и. 3.6 Рекомендации CM/Rec(2010)13 установлено, что, когда требуется такое согласие, контролеру данных вменяется в обязанность представить доказательства того, что субъект данных согласен – после получения соответствующей информации – на профилирование. Контролер данных (оператор) должен уведомить субъекта данных о проводимом профилировании.
Сбор и обработка персональных данных в контексте профилирования могут осуществляться только в случаях, если:
1) это специально предусмотрено законом;