Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет
Шрифт:
Статьей 22 Директивы 95/46/ЕС оговариваются средства защиты прав. Так, без ущерба для какого-либо административного средства правовой защиты, которое может предусматриваться до обращения в судебный орган, inter alia, обеспечивается право любого лица на судебную защиту от любого нарушения прав, гарантированных ему национальным законодательством, применимым к осуществляемой обработке.
При этом устанавливается, что любое лицо, которое понесло ущерб в результате неправомерной операции по обработке или какого-либо иного действия, имеет право получить компенсацию от оператора за понесенный ущерб. Оператор может быть полностью или частично освобожден от такой ответственности, если он докажет, что не несет ответственности за событие, вызвавшее ущерб.
Кстати, новые правила позволят пользователям требовать компенсации, например,
Более жесткие санкции – одно из самых важных изменений. По новым правилам штрафы могут достигать 100 млн евро или 5 % дохода (в зависимости от того, какая сумма будет выше), что значительно превышает текущие суммы (в Великобритании максимальное наказание в настоящее время составляет 500 тыс. фунтов).
При трансграничной передаче данных, выходящей за рамки стандартной процедуры, требуется получение прямого разрешения субъекта данных. Форма получения согласия не регламентируется, оно лишь должно быть однозначным. Кроме того, закрепление гарантий защиты данных в соглашении имеет место в рамках процедур трансграничной передачи данных Model Clauses, когда конкретные гарантии закреплены стандартными договорными условиями.
1.1.8. Регулирование вопроса о наследовании прав на персональные данные
На нормативно-правовом уровне данный вопрос не урегулирован. Между тем в ЕС развит рынок услуг, связанных с менеджментом персональных данных, в том числе в случае смерти субъекта данных. Так, под цифровым наследованием понимается процесс передачи персональных данных в цифровом виде, цифровых активов и прав бенефициарам [6] . Процесс состоит из составления перечня существующих цифровых активов и прав, включения их в наследственную массу (по желанию завещателя) и установления порядка реализации прав на них у будущих наследников. Такими активами могут быть аккаунты в Google, Apple, Microsoft и Facebook, на различных форумах, в блогах, на личных веб-сайтах и реквизиты для дистанционного банковского обслуживания. В отличие от физических активов, цифровые активы эфемерны и подвержены постоянному изменению. Цифровое наследование может представлять собой проблему для наследников данных в силу сложной структуры, даже запутанности, и может повлечь для них нежелательные правовые последствия. С учетом того что пользователи могут иметь в среднем около 25 аккаунтов, ситуация действительно сложна с точки зрения как составления перечня активов, так и дальнейшей реализации наследственных прав [7] . В данном случае имеет место нотариальный цифровой менеджмент. Существуют также различные опции, согласуемые оператором данных, провайдерами информационных ресурсов, субъектом данных, касательно порядка обращения с данными, порядка и условий их предоставления, направления иным лицам и иные действия, которые тоже условно относятся к менеджменту персональных данных, в сущности – к управлению правами на персональные данные (в ряде случаев осуществляемому доверенными лицами).
6
Niekerk A.J. van. The Strategic Management of Media Assets; A Methodological Approach. Allied Academies, New Orleans Congress, 2006.
7
Rosen R.J. The Government Would Like You to Write a 'Social Media Will' // The Atlantic. Retrieved 4 June 2013.
1.1.9. Уполномоченный орган по защите субъектов персональных данных и его функции
Статья 28 действующей Директивы 95/46/ЕС устанавливает, что каждое государство – член ЕС предусматривает, что один или несколько государственных органов ответственны за контроль применения на их территории норм, регулирующих порядок обработки персональных данных. Эти органы имеют полную независимость при осуществлении возложенных на них функций.
В каждой стране, входящей в состав Европейского союза,
В соответствии с и. 6 ст. 28 Директивы 95/46/ЕС независимо от национального права, применимого к соответствующей обработке, каждый надзорный орган должен иметь возможность осуществлять на территории своего государства – члена ЕС полномочия, предоставленные ему в соответствии с Директивой 95/46/ЕС. При этом каждому такому органу может быть предложено осуществлять свои полномочия органом другого государства – члена ЕС.
Независимые надзорные органы по защите данных в соответствии с проектом Регламента получают больше полномочий, чтобы иметь возможность лучше контролировать соблюдение правил Европейского союза внутри собственной страны.
Кроме контроля реализации проекта Регламента, к их задачам отнесены:
1) повышение осведомленности общественности о рисках, правилах, гарантиях и правах в отношении обработки персональных данных, при этом особое внимание должно уделяться обработке персональных данных детей;
2) разработка рекомендаций для национальных парламентов, правительств и других учреждений, органов по совершенствованию законодательных и административных мер, связанных с защитой прав граждан и их свобод в отношении обработки персональных данных;
3) работа с запросами субъектов персональных данных и при необходимости сотрудничество с надзорными органами других государств – членов Европейского союза в целях подготовки ответов на запросы;
4) расследования, инициированные жалобами субъектов персональных данных, органов власти, организаций, информирование заявителей о ходе такого расследования, а также самостоятельные расследования по вопросам защиты персональных данных;
5) сотрудничество, в том числе обмен информацией, и оказание взаимной помощи другим надзорным органам с целью обеспечения согласованности и применения Регламента;
6) мониторинг развития информационно-коммуникационных технологий, коммерческой практики и иных событий, оказывающих влияние на защиту персональных данных;
7) определение и утверждение требований к защите персональных данных;
8) содействие созданию механизмов сертификации защиты данных, пломб защиты данных и специальных знаков;
9) проведение регулярного мониторинга подтверждения проведенных сертификаций и др.
Одновременно каждое государство – член Европейского союза должно обеспечить ряд следственных полномочий собственного надзорного органа, необходимых для защиты персональных данных, полномочий по выдаче предписаний по устранению правонарушений, консультативных полномочий. Данные органы будут наделены правом наложения штрафов на компании, нарушающие законодательство Европейского союза по защите персональных данных. При принятии решения о размере административного штрафа в каждом конкретном случае необходимо учитывать сущность, тяжесть и продолжительность нарушения, умышленный или неосторожный характер правонарушения, число субъектов персональных данных, пострадавших от правонарушения, меры, принимаемые оператором или обработчиком персональных данных для уменьшения ущерба субъектов персональных данных, все предыдущие нарушения оператора персональных данных, любые другие отягчающие или смягчающие вину правонарушителя факторы.
Надзорные органы взаимодействуют друг с другом в режиме, необходимом для исполнения своих обязанностей, в частности, обмениваясь всей полезной информацией.
Кроме того, в ЕС можно выделить совещательный тип взаимодействия надзорных органов. Так, на основании ст. 29 Директивы 95/46/ЕС функционирует достаточно влиятельная Рабочая группа по защите физических лиц при обработке персональных данных. Рабочая группа состоит из представителя надзорного органа или органов, назначенного от каждого из государств – членов ЕС, и представителя органа или органов, созданных в интересах институций и органов ЕС, а также представителя Европейской комиссии.