Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет
Шрифт:
Несмотря на это, в настоящее время в Великобритании обсуждается вопрос о том, что провайдеров могут признать нарушителями законодательства о персональных данных, если они по-прежнему будут сохранять информацию, полученную в результате обработки данных пользователей в соответствии с Директивой по хранению данных. В частности, «Акт о защите данных» позволяет ограниченное хранение и обработку персональных данных. Если следовать «Акту о защите данных», то интернет-провайдеры могут хранить персональные данные только в случаях, определенных данным законом или соглашением с пользователем.
В России требование о сохранении персональных данных, кроме Федерального закона «О персональных данных», регулируется
56
Официальный интернет-портал правовой информации. URL: www.pravo. gov.ru от 5 августа 2014 г.
8 апреля 2014 г. Суд Европейского союза признал Директиву по хранению данных недействительной.
Суд посчитал, что Директива по хранению данных не удовлетворяет принципу соразмерности и должна определять большие гарантии для защиты фундаментальных прав на уважение частной жизни и защиты персональных данных.
В связи с указанными причинами в Великобритании высказывается мнение о том, что провайдеры обязаны прекратить сохранять данные и должны уничтожать все данные, сохраненные в силу ныне недействительных нормативных актов. Если компании будут продолжать сохранять данные, то существует риск, что их собственные клиенты могут подать претензии за нарушение «Акта о защите данных» [57] .
57
Directive 2006/24/ЕС of the European Parliament and of the Council of 15 March 2006 on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks and amending Directive 2002/58/EC. URL:articles/2012/may/survey-reveals-nearly-half-of-web-users-happy-with-behavioural-advertising-/
1.3.6. Правовое обеспечение защиты данных
«Акт о защите данных» 1998 г. предусматривает создание правового института комиссаров персональных данных.
Функции комиссара можно кратко представить следующим образом. Если у комиссара есть основания предполагать, что действия контролера данных противоречат или нарушают какие-либо принципы защиты данных, то комиссар может обратиться с уведомлением к контролеру (это называют принудительным уведомлением) с требованием о соблюдении принципа или принципов защиты данных и сделать одно или оба предписания, в которых:
а) определить временной период, в который должны быть устранены нарушения;
б) указать на необходимость прекращения обработки персональных данных или каких-либо иных данных, указанных в уведомлении.
При принятии решения о направлении уведомления комиссар исследует, причинило ли нарушение ущерб или страдания человеку.
В
В случае если данные точно записаны и переданы контролером данных от субъекта данных или от третьей стороны, комиссар может потребовать от контролера данных:
а) исправить, блокировать, удалить или уничтожить все неточные данные и любые другие данные, хранящиеся у контролера, или
б) принять меры, которые указаны в уведомлении для обеспечения соблюдения требований «Акта о защите данных», и, если комиссар посчитает необходимым, он может потребовать также совершения дополнительных действий.
Если предписание требует от контролера данных исправления, блокирования, удаления или уничтожения данных или комиссар убежден, что персональные данные, которые были устранены, заблокированы, стерты или уничтожены, были обработаны в нарушение любого из принципов защиты данных, то комиссар может потребовать от контролера данных определить перечень лиц, которые должны быть уведомлены о совершении соответствующих действий, и указать контролеру на необходимость их уведомления о соответствующих инцидентах.
Предписание должно содержать:
а) заявление о принципе (принципах) защиты данных, который (которые) комиссар считает нарушенным (нарушенными);
б) сведения о правах, подлежащих восстановлению.
Таким образом, в Великобритании принимаются все меры для превентивной защиты персональных данных (путем установления обязанностей контролера данных по обеспечению их защиты), однако в случае нарушений установлены серьезные штрафы, о чем было сказано в и. 1.3.5.
1.3.7. Системы удаленного распределенного управления данными и их регламентация в национальном законодательстве
Использование облачных вычислений в Великобритании не регулируется каким-либо специальным нормативно-правовым актом. Между тем данному вопросу уделяется значительное внимание регулирующих органов и организаций: нормы закона толкуются применительно к облачным сервисам, даются рекомендации, описывается специфика. Так, Уполномоченным органом по защите персональных данных (The Information Commissioner’s Office (ICO)) было принято руководство (Guidance on the use of cloud computing) по использованию облачных технологий [58] . Данное руководство призвано пояснить порядок применения «Акта о защите данных» 1998 г. и направлено на помощь вовлеченным субъектам в полной мере осознать свои права, обязанности и ответственность. Данным Руководством формируется так называемая лучшая практика.
58
Guidance on the use of cloud computing. URL:cloud_computing_guidance_for_organisations.pdf
В Руководстве определены следующие понятия.
Облачный поставщик — организация, которая владеет и управляет облачным сервисом.
Облачный клиент {заказчик) – организация, обеспечивающая выполнение цели, для которой облачный сервис создан.
Облачный пользователь — конечный пользователь облачного сервиса.
Модели развертывания — ряд различных моделей, с помощью которых могут быть развернуты облачные вычисления.