Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет
Шрифт:
1.5.4. Ответственность за нарушения в области персональных данных и запрет на передачу данных третьим лицам
В связи с утечками данных и нарушениями Закона о персональных данных в 2014 г. Надзорный орган Нидерландов оштрафовал на 15 млн евро компанию Google за использование персональных данных пользователей в целях создания персонализированной рекламы [83] .
Поскольку передача третьим лицам персональных данных требует согласия субъекта, а сохранность данных обеспечивают оператор и обработчик, именно они несут первостепенную ответственность за нарушение режима обращения с данными. В случае любого его нарушения Надзорный орган по защите данных
83
СВР issues sanction to Google for infringements privacy policy. URL: https:// cbpweb.nl/en/news/cbp-issues-sanction-google-infringements-privacy-policy
26 мая 2015 г. был принят Закон о нарушении персональных данных, в соответствии с которым операторы данных (т. е. субъекты, определяющие цель и способы их обработки) должны уведомлять Надзорный орган по защите данных и затронутых лиц о произошедшем или потенциальном инциденте и его характере. Данный закон повышает штраф за нарушение Закона о нарушении персональных данных до 810 тыс. евро или до 10 % чистого годового оборота за прошедший год. Штрафу могут быть подвержены как оператор данных, так и обработчик [84] .
84
New Dutch Law Introduces General Data Breach Notification Obligation and
Higher Sanctions. URL:NETHERLANDS – Legislation on mandatory data breach notification adopted by the Dutch Senate. URL: http://blogs.dlapiper.com/privacymatters/netherlands-legislation-on-
mandatory-data-breach-notification-adopted-by-the-dutch-senate/
В российском законодательстве отсутствует прямой аналог нормы об обязательном информировании уполномоченного органа и субъекта данных об инциденте, что с учетом именно общей направленности на «обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных» (ст. 2) снижает возможность надлежащей обработки данных. Как указано выше, своевременное уведомление создает презумпцию того, что действия были совершены надлежащим образом, и уменьшает вину оператора или обработчика.
По общему правилу, обработка, в том числе передача, персональных данных требует согласия субъекта данных.
Во исполнение закона Нидерландов принят Указ об изъятиях, который устанавливает категории данных, в отношении которых при обработке не требуется предварительное уведомление. Например, обработка данных должников и кредиторов, клиентов не влечет обязательного уведомления. При этом изъятия не действуют, если при трансграничном перемещении данных в зарубежной стране за пределами ЕС не установлен адекватный уровень их защиты. В самом законе устанавливаются исключения, связанные с государственной безопасностью, расследованием уголовных преступлений, значительными экономическими или финансовыми интересами государства или защитой самого субъекта или других лиц (ст. 43).
Правила обработки данных также схожи с правилами Директивы 1995 г.: основным принципом остается законный интерес в качестве основания для обработки нечувствительных персональных данных.
Режим защиты персональных данных распространяется на любую обработку данных, в результате которой можно получить информацию о лице.
Например, запрет обработки чувствительных данных распространяется и на «непрямые чувствительные данные», т. е. на данные, из которых можно вывести прямые. Так, например, письмо из религиозной организации раскрывает данные о религиозной принадлежности адресата (ст. 17 закона). В отношении чувствительных данных действует общий запрет на их обработку с разумными исключениями (например, религиозные организации могут проводить обработку данных в целях, связанных с их деятельностью).
1.5.5.
Анализ метаданных в Нидерландах регулируется не Законом о персональных данных, а Законом о сохранении данных о нагрузке линий связи (Telecommunications Data Retention Act) 2009 г. [85] , принятым в рамках имплементации Директивы 2006/24/ЕС о сохранении данных. Принятие же Директивы было вызвано терактами, случившимися в Мадриде в 2004 г. и в Лондоне в 2005 г.
85
Wet bewaarplicht telecommunicatiegegevens (Telecommunications Data Retention Act, July 30, 2009). URL:15-02-2010
Закон о сохранении данных налагает обязательство на операторов и интернет-провайдеров удерживать данные о пользователях от шести (через Интернет) до двенадцати месяцев (через телефонные сети) с даты коммуникации в целях расследования, выявления и пресечения тяжких преступлений (поправка к ст. 13.2а Закона о телекоммуникациях). В Законе о телекоммуникациях нет термина «метаданные», однако к регулируемым им видом данных закон относит применительно к телефонным сетям: телефонный номер, имена и адреса абонентов, дату и время связи, используемый сервис и идентификаторы при мобильных звонках (IMSI, IMEI, геолокатор); к Интернету: данные о пользователе, время, место и длительность коммуникации и IP-адрес (Приложение к ст. 13.2а).
Однако в марте 2015 г. Окружной суд Гааги лишил силы этот закон, последовав в этом решению Суда ЕС в отношении Директивы и обосновав свое решение тем, что закон нарушает право на неприкосновенность частной жизни и право на защиту личных данных в нарушение Хартии основных свобод ЕС. Закон, как указывает Гаагский суд, не ограничивался минимально необходимым в преследовании своих целей и располагал недостаточно разработанными механизмами защиты неприкосновенности частной жизни. Правительство, по мнению суда, не руководствовалось целями ограниченного и таргетированного отбора данных. Подобное решение приняли суды Германии и Австрии, в Швеции же правительство отстаивает необходимость закона о сохранении телекоммуникационных данных [86] .
86
Dutch do a U-turn on metadata laws. URL:consumer-security/dutch-do-a-uturn-on-metadata-laws-20150311-141rkl.html; Netherlands: Court Strikes Down Data Retention Law. URL:servlet/lloc_news?disp3_1205404345_text; Dutch court scraps telecommunications data retention law. URL: http://www.pcworld.com/article/2895356/dutch-court-scraps-tele-communications-data-retention-law.html
Таким образом, в европейском регулировании можно отметить стремление найти баланс между частным интересом (неприкосновенность частной жизни) и общим (охрана публичного порядка) в рамках принципа соразмерности.
1.5.6. Правовое обеспечение защиты данных
Обработка данных требует согласия субъекта данных и уведомления специального органа. Одобрения Надзорного органа на дальнейшую обработку не требуется, достаточно только уведомления. Уведомление производится путем заполнения специальной формы на сайте Надзорного органа и ведет, таким образом, к регистрации конкретного случая. Закон распространяет свое действие и на неавтоматизированную обработку персональных данных при условии, что они содержатся в «файле», т. е. каким-либо образом структурированы.
Несоблюдение положения об уведомлении наказывается административным штрафом до 4500 евро. В ст. 75 закон также повышает ответственность нарушителей за умышленное нарушение его положений с административной до уголовной (незначительные и подсудные преступления).