Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет
Шрифт:
Понятие «персональные данные» в Великобритании имеет абстрактный характер, будучи конкретизированным только в части чувствительных (sensitive) данных.
1.3.3. Субъекты отношений в области обеспечения конфиденциальности персональных данных
Основным субъектом обеспечения конфиденциальности персональных данных в Великобритании является контролер данных – лицо, которое (самостоятельно или совместно с другими лицами) определяет цели и средства обработки персональных данных. Вместе с тем если контролер данных привлекает для обработки третье лицо – обработчика данных (любое лицо, не являющееся субъектом персональных данных, которое обрабатывает персональные
Субъект данных имеет право самостоятельно определять, как, кому и на каких условиях предоставлять данные. Соответственно, нормативно установленных обязанностей по обеспечению конфиденциальности персональных данных у субъекта данных нет.
Департамент правительства Великобритании по делам культуры, СМИ и спорта (DCMS) взял на себя ответственность за формирование политики защиты данных Великобритании [52] .
1.3.4. Ответственность за нарушения в области персональных данных и запрет на передачу данных третьим лицам
52
DCMS takes on responsibility for UK data protection policy and sponsorship of the ICO. От 18 сентября 2015 г. URL: http://www.out-law.com/en/articles/2015/sep-tember/dcms-takes-on-responsibility-for-uk-data-protection-policy-and-sponsorship-of-the-ico/
В Великобритании установлена серьезная административная и уголовная ответственность за указанные нарушения.
Совершение данных нарушений наказывается в Великобритании штрафом до 500 тысяч фунтов. Также предусматриваются административные санкции за несвоевременное устранение нарушений и повторное нарушение, а при преднамеренном характере нарушений, которые привели к серьезным последствиям, установлена уголовная ответственность в виде лишения свободы. Аналогичный подход применяется и в России [53] .
53
Елин B.M., Жарова A.K. О выделении информационных объектов в самостоятельную категорию объекта преступления // Труды Института государства и права Российской академии наук. 2009. № 5. С. 205–229; Елин В.М. Мошенничество в сфере компьютерной информации как новый состав преступления // Бизнес-информатика. 2013. № 2 (24). С. 70–76.
Кроме того, существует требование к интернет-провайдерам об уведомлении комиссара по персональным данным без неоправданной задержки, а в некоторых случаях и абонентов о случаях любых инцидентов с их персональными данными. Неуведомление может привести к штрафу в размере 1000 фунтов стерлингов.
В соответствии с законодательством Великобритании данные могут быть обработаны с помощью третьей стороны, если третья сторона предоставит достаточные гарантии относительно технической и организационной безопасности.
Передача данных возможна, если контролер данных принимает разумные меры для обеспечения соблюдения «Акта о защите данных».
Обработка осуществляется на основании письменного договора только по поручению контролера или в рамках выполнения обязательств, эквивалентных тем, которые накладываются на контролера данных в соответствии с «Актом о защите данных».
Законом определены следующие требования об условиях собирания и обработки данных контролером [54] :
54
Register (notify) under the Data Protection Act. URL: https://ico.org.uk/for-organisations/register/
а)
б) обработка данных соответствует обязательствам контролера обработки данных;
в) обработка направлена на защиту жизненно важных интересов субъекта данных;
г) обработка требуется в связи с целями «Акта о защите данных».
Данные могут быть собраны и обработаны правительством Великобритании при выполнении следующих условий:
а) обработка требуется для обеспечения безопасности общества, осуществления правосудия; или
б) имеются законные основания для обработки данных;
в) обработка не нарушает права и свободы субъекта данных или другого законного представителя.
Чувствительные персональные данные могут быть собраны и обработаны в случае выполнения следующих условий:
а) получение явного согласия субъекта данных;
б) обработка необходима для целей осуществления или выполнения каких-либо прав или обязательств, предусмотренных или налагаемых законом на контролера данных;
в) обработка необходима для того, чтобы защитить жизненно важные интересы субъекта персональных данных или другого человека;
г) обработка осуществляется любым судебным органом в его законной деятельности;
д) информация была обнародована самим субъектом персональных данных в результате его деятельности;
е) обработка необходима для целей или в связи с осуществлением судопроизводства, с получением юридической консультации либо защитой законных прав субъекта;
ж) обработка необходима для отправления правосудия или для осуществления функций определенных государственных органов, за некоторыми исключениями;
з) обработка необходима для целей предотвращения мошенничества;
и) обработка необходима для медицинских целей и связана с конкретными лицами.
1.3.5. Регулирование порядка анализа результатов обработки данных (метаданных)
Общее регулирование порядка анализа результатов обработки данных в Великобритании отсутствует. Однако в настоящее время активно обсуждается вопрос о возможности анализа результатов обработки данных, полученных интернет-провайдерами при выполнении их обязательств в рамках Директивы по хранению данных (Data Retention Directive [55] ), которая были принята в период после террористических актов в Мадриде в 2004 г. и в Лондоне в 2005 г., в целях согласования усилий ЕС в расследовании и уголовном преследовании самых серьезных преступлений, таких как организованная преступность и терроризм.
55
URL:L:2006:105:0 054:0063:EN: PDF
Директива по хранению данных требует от операторов сохранять определенные категории данных о трафике и местоположении физических лиц (за исключением содержания этих сообщений) в период от шести месяцев до двух лет и делать их доступными в случае запроса в правоохранительные органы для целей расследования, выявления и преследования серьезных преступлений и терроризма.
Сохраненные данные являются ценной информацией и доказательствами, на основании которых вынесены обвинительные приговоры за уголовные преступления, а также оправдательные приговоры, которые никогда бы не были сделаны, если бы не обязанность сохранять эти данные.