Охрана персональных данных: опыт международного регионального сотрудничества

Шебанова Надежда Александровна доктор юридических наук доцент, профессор кафедры интеллектуальных прав ФГБОУ ВО «Московский государственный юридический университет имени О.Е. Кутафина (МГЮА)» 125993, Россия, г. Москва, ул. Садовая-Кудринская, 9 Shebanova Nadezda Aleksandrovna Doctor of Law Docent, Professor, the department of Intellectual Rights, Kutafin Moscow State Law University 125993, Russia, g. Moscow, ul. Sadovaya-Kudrinskaya, 9 n.shebanova@mail.ru Другие публикации этого автора

Исследование выполнено при финансовой поддержке РФФИ в рамках научного проекта № 18-29-16169.

В 1948 году Генеральной Ассамблеей Организации Объединенных Наций была принята Всеобщая декларация прав человека. Согласно ст. 12 декларации «никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь произвольным посягательством на его честь и репутацию».

Понятие «личная жизнь» не имеет юридического определения, однако это не означает, что невозможно законодательно установить пределы ее неприкосновенности и допустимого вмешательства. В наши дни это право признано в качестве основного права человека, оно неразрывно связано с такими понятиями как честь и достоинство. Содержание этих понятий варьируется в разных странах и зависит преимущественно от культурных ориентиров того или иного государства ^[1]. Тем не менее, это не означает, что невозможно законодательно установить пределы неприкосновенности личной жизни и допустимого вмешательства в нее.

Это убедительно подтверждает практика Европейского суда по правам человека по применению статьи 8 Европейской конвенции о защите прав человека и основных свобод 1950 года, на основе обобщения которой стало возможным определить основополагающие характеристики «личной жизни», основанные на информации личного характера, полученной об индивиде.

Основная масса данных, характеризующих индивида, получила название «персональных данных».

Развитие новых компьютерных технологий позволяет собирать и заносить информацию личного характера в банки данных государственных и частных учреждений в несравнимо больших объемах, чем это было возможно в прошлом веке.

Речь идет о развитии технологий «больших данных» (Big Data). «Большие данные» – это современный термин, которым обозначают структурированные и неструктурированные данные объемом, превышающим возможности обычных программных обеспечений для сбора, управления и обработки данных в течение определенного времени.

Специалистами сформулированы некие определяющие характеристики больших данных. В качестве таких характеристик первоначально были выделены «три V»: объём ( volume -физический объём); скорость (velocity - скорость прироста и необходимость высокоскоростной обработки и получения результатов); многообразие (variety - возможность одновременной обработки различных типов структурированных и полуструктурированных данных).

Современные интерпретации характеристик стали значительно шире. К ранее перечисленным добавились новые «V»: достоверность (veracity), жизнеспособность (viability), ценность (value), переменчивость (variability), визуализация (visualization).

Понятно, что приведенный перечень не носит исчерпывающего характера, и с развитием и совершенствованием технологий «больших данных» список характеристик будет пополняться.

Традиционными источниками больших данных и, конкретно, их основной разновидности – персональных данных, считаются интернет вещей (технология, которая объединяет устройства в компьютерную сеть и позволяет им собирать, анализировать, обрабатывать и передавать данные другим объектам с помощью программного обеспечения, приложений или технических устройств) и социальные медиа (компьютерные технологии, которые облегчают создание и обмен информацией, идеями, карьерными интересами и другими формами выражения через виртуальные сообщества и сети). Однако, это не исчерпывающий перечень. Персональные данные могут быть сгенерированы практически из самой разнообразной информации, поступающей с разного рода измерительных устройств, установленных в так называемых информационных средах.

Пристальное внимание к проблеме регулирования вопросов сбора, обработки и анализа персональных данных в немалой степени обусловлено их спецификой как затрагивающих права личности. Свободное обращение этих данных может, с одной стороны, негативно сказываться на правах человека, рассматриваемых как основные ценности индивида в современном обществе, а с другой – при ограничении их обращения, может нарушить общественные интересы и серьезно препятствовать межгосударственному сотрудничеству.

Цели, стоящие перед современным законодателем – нахождение баланса интересов частного лица и публичной власти. Однако это не единственные задачи, от решения которых зависит информационное будущее. Действительность такова, что усилия государств должны быть скоординированы и нацелены на выработку единых подходов в их национальных законодательствах на обеспечение частных и публичных интересов в сфере информационного обмена, который в условиях всеобщей цифровизации вышел за пределы национальных границ. Более того, применение современных технологий больших данных при сборе, обработке и анализе персональных данных, которые рассматриваются в наши дни как один из наиболее перспективных и дорогостоящих товаров, ставит проблему обеспечения конфиденциальности этих данных на международном уровне.

Традиционным способом достижения законодательного единообразия является гармонизация. Учитывая, что субъектами гармонизации выступают государства, результатом их деятельности становятся международно-правовые акты, разрабатываемые совместными усилиями.

На сегодняшний день достигнуть универсального международного консенсуса не представляется возможным ввиду различного представления государств о подходах к обеспечению конфиденциальности персональных данных. Поэтому первым реальным шагом на пути гармонизации законодательства становится региональная деятельность. Именно региональные интеграции, как наиболее экономически связанные и зависимые от межрегионального сотрудничества, становятся центрами, разрабатывающими документы по вопросам установления основополагающих принципов охраны персональных данных в современном информационном пространстве.

С этой точки зрения представляет несомненный интерес изучение регионального опыта регулирования означенных вопросов и определение возможных направлений его совершенствования.

Европейский опыт обеспечения конфиденциальности персональных данных.

ОЭСР.

Первым «европейским» шагом на пути установления контроля над сбором и обработкой данных частных лиц - персональных данных, стало принятие в 1980 году Советом ОЭСР «Рекомендаций в отношении Руководящих принципов по защите неприкосновенно­сти частной жизни и трансграничных потоков персональных данных» (далее по тексту – Руководящие принципы).

Сформулированные в преамбуле цели не утратили своей актуальности и в настоящее время. Это - достижение странами-участницами определенных минимальных стандартов защиты конфиденциальности и прав субъектов персональных данных; уменьшение различий между нормативными положениями стран-участниц; гарантии того, что защита персональных данных на национальном уров­не не должна игнорировать негативные последствия ненадлежащего вмешательства в процесс передачи персональных данных между государствами-членами ОЭСР; устранение причин и анализ возможных рисков, по которым государства могут ограничивать или запрещать трансграничные потоки персональных данных.

Несмотря на то, что данный документ был принят более сорока лет назад, закрепленные в нем принципы рассматриваются как основополагающие при разработке многих современных международных и региональных рекомендаций. Это - сбор данных с согласия субъектов; ограничение сбора данных определенной целью; передача данных третьим лицам с согласия субъектов данных; ограничение доступа и обеспечение безопасности раз­умными средствами от таких рисков, как потеря или несанкци­онированный доступ, уничтожение, использование, модификация или рас­крытие данных; открытость данных; право субъектов данных на доступ и исправление недостоверных данных; возможность оспаривания и требования удаления данных.

Сами персональные данные были определены в статье 1 в обобщенной форме: «Персональные данные» означают любую информацию, относящуюся к физическому лицу («субъекту данных»), чья личность либо известна, либо может быть установлена».

Также в документе были сформулированы не утратившие своей значимости и в наше время право на приватность для юридических лиц и соотношение регулирования автоматизированной и неавтоматизированной об­работки данных.

Если в отношении прав на приватность юридических лиц было принято решение об отнесении этого вопроса на усмотрение национального законодателя, то в отношении способов обработки данных было зафиксировано, что принципы защиты прав субъектов персональных данных распространяются на об­работку данных как таковой, без учета конкретной используемой технологии.

В 2013 году в документ были внесены некоторые поправки, которые, однако, не изменили радикальным образом его сущность и принципиальный характер. Экспертная группа, занимавшаяся модернизацией Руководящих принципов, разработала ряд новых концепций для рамочной политики ОЭСР, таких как программы управления безопасностью персональных данных, порядок уведомления о нарушении системы безопасности, национальные стратегии в области персональных данных, глобальное взаимодействие. Остальные положения Руководящих принципов 1980 года также подверглись развитию или модернизации. Это касается таких положений как подотчетность, трансграничный обмен данными и защита неприкосновенности частной жизни ^[2].

Совет Европы.

Практически одновременно с Советом ОЭСР Советом Европы в 1981 году принимается Конвенция о защите физических лиц при автоматизированной обработке персональных данных (далее по тексту - Конвенция) вместе с поправками к Конвенции о защите физических лиц при автоматизированной обработке персональных данных (СДСЕ N 108), позволяющими присоединение европейских сообществ, принятыми Комитетом Министров в Страсбурге 15.06.1999 ^[3].

Вводимое статьей 2 Конвенции определение персональных данных, так же как и определение, содержащееся в Руководящих принципах, носит обобщенный характер: «персональные данные» означают любую информацию об определенном или поддающемся определению физическом лице («субъект данных»).

В то же время в статье 6 Конвенции вводится понятие «специальные категории данных» (данные, касающиеся расовой принадлежности, политических взглядов или религиозных или других убеждений, а также персональные данные, касающиеся здоровья или половой жизни), не подлежащие автоматизированной обработке, если внутреннее законодательство не устанавливает соответствующих гарантий.

Основной заслугой Конвенции о защите физических лиц стало закрепление права индивида на информационную приватность – права на осуществление контроля над сбором и обработкой персональных данных. Индивид получил возможность контролировать как саму информацию, так и способы ее обработки и передачи.

Европейский союз.

Несколько позднее в рамках Европейского союза были приняты две директивы Европарламента и Совета Европейского союза, сыгравшие значительную роль в развитии принципов защиты прав субъектов на их персональные данные: Директива 95/46/ЕС от 24 октября 1995 г. о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных и Директива 97/66/ЕС от 15 декабря 1997 г., касающаяся использования персональных данных и защиты неприкосновенности частной жизни в сфере телекоммуникаций. Целью директив была защита «основных прав и свобод» физических лиц, и в частности их прав на неприкосновенность частной жизни в отношении обработки персональных данных», при том, что такая защита не ограничивала и не запрещала свободный поток персональных данных между государствами-членами» ^[4].

Указанные документы содержат перечень мер, которые должны применяться для охраны персональных данных, содержащихся в автоматизированных базах данных, от случайного или несанкционированного разрушения или случайной утраты, а также от несанкционированного доступа, изменения или распространения.

Обе директивы действовали достаточно долгое время, однако современные реалии требовали модернизации подходов к охране персональных данных, заложенных в прошедшем столетии.

27 апреля 2016 г. решением Европейского Парламента и Совета был принят новый закон о защите персональных данных - Общий/Генеральный регламент по защите персональных данных (GDPR - General Data Protection Regulation, далее по тексту – Регламент GDPR). По сути, он представляет собой два документа: Регламент (EU) 2016/679 Европейского Парламента и Совета «О защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмене Директивы 95/46/ EC (Общие правила защиты данных)» и Директиву (EU) 2016/680 Европейского Парламента и Совета «О защите физических лиц в отношении обработки персональных данных компетентными органами в целях предотвращения, расследования уголовных преступлений, ведения розыскных или судебных действий или исполнения уголовных наказаний, а также за свободное перемещение таких данных и отменяя Рамочное решение Совета 2008/977 / JHA» ^[5].

Как и во всех документах, принятых в рамках европейских интеграций, внимание акцентировано на том, что охрана физических лиц в отношении обработки принадлежащих им персональных данных должна рассматриваться в качестве их основного права. Положения аналогичного содержания содержатся в Конституциях всех государств - участниц ЕС, что обеспечивает двойной уровень защиты личных прав физических лиц: на внутреннем (национальном) и европейском (региональном).

Основной целью принятия Регламента GDPR считается предоставление гражданам контроля над собственными персональными данными, защита их прав и свобод применительно к использованию их персональных данных и введение контроля над перемещением персональных данных в рамках Евросоюза и в третьи страны. Регламент GDPR, в отличие от ранее принятых на европейском пространстве документов, вводит развернутое определение персональных данных. Под персональными данными понимаются «персональные данные» (personal data), которые означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу («субъект данных»); идентифицируемое физическое лицо является лицом, которое может быть идентифицировано прямо или косвенно, в частности, на основе идентификационной информации, такой как имя, идентификационный номер, данные о местоположении, идентификатор в интернете (онлайн-идентификатор) или посредством одного или нескольких показателей, характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности данного физического лица (пункт 1 статьи 4 Регламента GDPR).

Регламент GDPR, в статье 9, также вводит понятие особых категорий персональных данных. Это данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские воззрения, либо членство в профсоюзе, генетические данные, биометрические данных для однозначной идентификации физического лица, данные касающихся здоровья, половой жизни или сексуальной ориентации физического лица. Обработка этих данных по общему правилу запрещена, документ содержит исчерпывающий перечень исключения из этого правила, хотя и предусматривает право государств-членов Евросоюза устанавливать дополнительные случаи возможной обработки этих данных ^[6].

Следует обратить на две особенности этих определений: во-первых, они не носят исчерпывающего характера, и, во-вторых, в них появляется понятие неких персональных данных, которые характеризуют индивида косвенным способом. Имеется в виду, что некие характеристики вкупе с конкретными данными либо самостоятельно могут идентифицировать индивида. Эти характеристики рассматриваются как «вероятностные идентификаторы» или «квази персональные данные».

Для достижения поставленных целей Регламент GDPR предусматривает комплекс мероприятий, которые позволяют дать физическим лицам инструменты контроля над их персональными данными; внедрить современные стандарты защиты персональных данных; стимулировать развитие цифрового пространства ЕС по защите персональных данных; обеспечить строгое соблюдение правил всеми участниками, включая компетентные органы стран-участников ЕС; разработать правовое регулирование международной передачи персональных данных.

Несложно заметить, что принципиальные подходы к вопросам охраны персональных данных имеют, по сути, во всех европейских интеграциях общий характер. В то же время нельзя не заметить, что тенденциями последних лет стало ужесточение мер контроля и максимальное расширение сферы действия принимаемых документов.

Вступление в силу в мае 2018 года Регламента GDPR породило многочисленные комментарии в отношении его положений, и, пожалуй, самое пристальное внимание было уделено положениям, применение которых носит экстерриториальный характер. Не последнюю роль сыграло и то обстоятельство, что этот нормативно-правовой акт подлежит прямому применению в странах – участницах Евросоюза.

Сфера применения Регламента GDPR закреплена в статье 3. Территориально она ограничена пределами Евросоюза, однако документ подлежит применению и в отношении субъектов, расположенных вне Евросоюза, при условии, что имеет место: обработка персональных данных, полученных в результате деятельности компании, созданной в ЕС; обработка персональных данных, связанных с целевыми предложениями для людей в ЕС; обработка персональных данных, если компания предоставляет товары или услуги людям в ЕС; процессы, связанные с бизнесом, созданным в ЕС; обработка персональных данных, являющихся результатом целевых предложений, косвенно для лиц в ЕС; обработка персональных данных, которые косвенно связаны с товарами или услугами, предоставляемым и людям в ЕС; обработка данных, связанных с профилированием людей в ЕС, а иногда и людьми, не входящими в ЕС.

Еще одним новшеством Регламента GDPR стало то, что в документе уделено внимание вопросам, которые ранее не были предметом регулирования подобных актов.

Так, по замыслу разработчиков Регламента GDPR его более эффективному применению могут способствовать разработанные организациями контроллеров или обработчиков кодексы поведения. Такие кодексы могут определять обязательства лиц, занимающихся сбором и обработкой персональных данных, регламентировать действия, направленные на соблюдение правил конфиденциальности. Регламент GDPR рекомендует разработчикам таких кодексов проводить консультации с субъектами данных и по возможности принимать во внимание полученные от них замечания и заключения.

Составленный кодекс поведения должен быть представлен в компетентный контрольный орган для утверждения, публикации и регистрации. Если кодекс поведения имеет международный характер, он должен быть представлен в Европейский комитет по защите данных для его оценки и регистрации в общедоступном реестре. Европейская комиссия может заявить, что кодекс поведения может применяться в пределах ЕС.

Соблюдение кодекса поведения подлежит надзору со стороны аккредитованных органов. В случае выявления нарушения организацией положений кодекса ее деятельность может быть приостановлена.

Помимо кодексов поведения компаниями или предприятиями, участвующими в совместной экономической деятельности, могут быть разработаны корпоративные правила поведения (обязательные корпоративные стандарты), которые используются для передачи своих данных из Евросоюза за границу организациям в рамках той же группы компаний или группы предприятий, участвующих в совместной экономической деятельности. Обязательным условием является то, что такие корпоративные правила должны включать в себя все ключевые принципы и права, обеспеченные исполнением для соблюдения соответствующей защиты передачи или категорий передачи персональных данных.

Особое внимание в Регламенте уделено международному сотрудничеству. И это неудивительно. В современном мире трансграничный обмен данными – обязательное условие осуществления международных политических, экономических, культурных связей. Однако увеличение потоков персональных данных вызывает новые проблемы в отношении защиты персональных данных. Анализ положений Регламента, касающихся передачи персональных данных из стран Евросоюза за рубеж, показывает, что этому процессу уделяется особо пристальное внимание, и он ставится под строгий и всесторонний контроль Европейской Комиссии.

Такое положение дел связано с соблюдением установленного Регламентом GDPR гарантированного уровня защиты персональных данных при их передаче третьим лицам. Регламент устанавливает жесткое требование относительно того, что передача может иметь место только, если в соответствии с положениями настоящего Регламента контролёр или обработчик соблюдает установленные условия передачи персональных данных третьим странам или международным организациям.

Положениями Регламента GDPR допускается, что государства-члены могут заключать международные соглашения, касающиеся передачи персональных данных третьим странам и международным организациям, но только в той части, в какой такие соглашения не влияют на настоящий Регламент либо на иные положения права Евросоюза, а также при условии обеспечения соответствующего уровня защиты основных прав субъектов данных.

Европейская комиссия, контролирующая процесс международной передачи персональных данных, имеет право принять решение, что третьим лицом (страна, территория или особый сектор, международная организация) обеспечивается адекватный уровень защиты данных, и в этом случае передача персональных данных этому лицу может осуществляться без необходимости получения какого-либо дополнительного разрешения.

Одновременно, если третье лицо не обеспечивает необходимого уровня защиты, Комиссия может отозвать разрешение, предоставив уведомление и полную информацию о причинах отмены третьей стране или международной организации. Оценка Комиссии, как предусмотрено Регламентом, должна основываться на том, каким образом третья страна соблюдает принципы правового государства, обеспечивает доступность правосудия, соблюдает нормы и станда­рты международного права и прав человека, равно как и его общего и отраслевого законодательства, включая законодательство, касающееся общественной безопасности, обороны и национальной безопасности, публичного порядка.

Еще одним нововведением стало то, что положениями Регламента устанавливается, что во внимание должны приниматься не только международные обязательства третьего государства, но и обязательства, имеющиеся у него вследствие участия в многосторонних или региональных системах, в частности, в отношении защиты персональных данных, а также исполнение таких обязательств. В частности, необходимо учесть присоединение третьей страны к Конвенции Совета Европы от 28 января 1981 г. о защите физических лиц при автоматизированной обработке персональных данных и к ее дополнительному протоколу. Европейская Комиссия должна проконсультироваться с Советом Европы при оценке уровня защиты в третьих странах или международных организациях.

Принятое Европейской комиссией решение о возможности передачи данных не является бессрочным. Она обязана проводить периодические проверки по согласованию с третьей страной или международной организацией и учитывать все соответствующие изменения в третьей стране или международной организации. В целях мониторинга и осуществления периодических проверок Европейская Комиссия должна учитывать мнения и замечания Европейского Парламента и Европейского Совета, а также всех других соответствующих органов и источников.

В случае если в результате проверки Европейская Комиссия придет к заключению, что третьим лицом не гарантируется более требуемый уровень защиты данных, на передачу данных накладывается запрет. Его снятие возможно после проведения консультаций с третьим лицом о возможных мерах по устранению возникших затруднений и их реализации.

Регламентом предусмотрен ряд исключений, предусматривающих возможность международной передачи персональных данных третьим лицам при отсутствии решения об адекватности или адекватных гарантий при наличии определенных условий. Таковыми признаются: явное согласие, предоставленное заинтересованной стороной после того, как заинтересованная сторона была проинформирована о возможных рисках такой передачи; передача необходима для заключения договора или для выполнения преддоговорных мер между ответственным лицом и заинтересованной стороной; передача необходима для договора, заключенного в интересах заинтересованного лица между ответственным лицом и другим юридическим лицом; передача необходима по важным причинам, представляющим общественный интерес; передача необходима для признания, исполнения или защиты претензий; передача необходима для защиты жизненно важных интересов заинтересованной стороны или других лиц, когда заинтересованная сторона физически или юридически не способна дать свое согласие; передача производится из публичного реестра.

И, наконец, нельзя проигнорировать еще одно важное условие, соблюдение которого необходимо при осуществлении международной передачи персональных данных. Такая передача, установлено в Регламенте GDPR, может иметь месть по просьбе административных органов третьих стран, которые признаны и подлежат исполнению только в том случае, если они основаны на международном соглашении, таком как договор о взаимной правовой помощи между запрашивающей третьей страной и Европейским союзом или государством-членом ЕС, без ущерба для упомянутых выше причин для передачи в соответствии с GDPR.

Латиноамериканские подходы к защите персональных данных.

Международное региональное сотрудничество латиноамериканских государств развивается в разных направлениях, охватывая различные сферы деятельности. Не стало исключением и регулирование деятельности, связанной со сбором и обработкой персональных данных.

Создание международной организации «Ибероамериканская сеть защиты данных (Red Iberoamericana de Protección de Datos - RIPD) ^[7] связано с соглашением, достигнутым на Иберо-американском совещании по защите данных, проходившем в Ла-Антигуа, Гватемала, с 1 по 6 июня 2003 г., при участии представителей 14 стран Центральной и Южной Америки и стран Карибского бассейна. Инициатива получила политическую поддержку, что было закреплено в Заключительной декларации XIII Саммита глав государств и правительств иберо-американских стран, проходившего в Санта-Крус-де-ла-Сьерра, Боливия, 14 и 15 ноября 2003 г., в которой персональные данные охарактеризованы в качестве основных прав, а также подчеркнута важность иберо-американских правовых начинаний для защиты неприкосновенности частной жизни граждан.

RIPD изначально была создана как организация, объединяющая государственные и частные структуры для разработки инициатив и проектов, связанных с защитой личных данных в странах Латинской Америки. Задачи организации определены как поощрение, поддержание и укрепление связей между государствами-участниками, содействие постоянному обмену информацией, опытом и знаниями между ними, а также содействие необходимым нормативным изменениям, гарантирующим прогрессивное регулирование права на защиту персональных данных в демократическом контексте, принимая во внимание необходимость постоянного обмена данными между ними. Отмечается, в частности, что защита персональных данных способствует экономическому росту этих стран, адаптации законов к таким операциям, как международная передача данных, которая имеет ключевое значение для развития коммерческих транзакций между Европой и Латинской Америкой. Все это способствует процессам интернационализации в этом регионе, а также укреплению управленческих учреждений, отвечающих за контроль над эффективным соблюдением основополагающего права на защиту персональных данных. Внедрение эффективных мер защиты способствует упрочению системы гарантий прав человека посредством вышеупомянутых основных прав и других, связанных с ними прав, таких как право на достоинство человека, честь, неприкосновенность частной жизни, правовая определенность, свобода ассоциации или свобода информации и выражения, и служит одним из основных показателей развития и консолидации демократических процессов в регионе ^[7].

На сегодняшний день RIPD позиционируется в качестве основного пропагандиста инициатив и политики информационной защиты в регионе.

«Стандарты защиты персональных данных для иберо-американских государств» ^[8].

Важной вехой в работе RIPD стало утверждение в июне 2017 года в рамках XVI Иберо-американского совещания в Сантьяго-де-Чили «Стандартов защиты персональных данных для ибероамериканских государств» (Estándares de Protección de Datos Personales para los Estados Iberoamericanos, далее по тексту – Стандарты). Проделанная по созданию фундаментального документа по защите персональных данных работа была охарактеризована в качестве связующего звена между странами региона для создания чувства единства в деятельности по разработке адекватных региональных критериев, необходимых в контексте глобализированного мира ^[9].

Стандарты расцениваются как эталонная модель для будущего регулирования в области законодательства о защите данных, а также для пересмотра существующих норм с целью их обновления в соответствии с унифицированными в стандартах параметрами. Это закреплено во вступительной части Стандартов, устанавливающей, что иберо-американские стандарты представляют собой набор руководящих указаний, которые способствуют принятию нормативных инициатив по защите персональных данных в иберо-американском регионе теми странами, которые еще не имеют этих норм. Они призваны, в случае необходимости, служить ориентиром для модернизации и обновления существующего законодательства.

По оценке юристов, занимающихся проблемами персональных данных, «Стандарты представляют собой объединяющий шаг в обработке персональных данных иберо-американских государств, которые на сегодняшний день имеют разные законы» ^[10].

Сформулированные в преамбуле Стандартов цели отличаются четкостью и определенностью: установить набор принципов и общих прав для защиты персональных данных, которые иберо-американские государства могут принять и разработать в своем национальном законодательстве, чтобы иметь единые правила в регионе; гарантировать эффективное осуществление и защиту права на защиту личных данных любого физического лица в иберо-американских государствах путем установления общих правил, обеспечивающих надлежащее обращение с их личными данными; содействовать потоку персональных данных между иберо-американскими государствами и за их пределами, чтобы способствовать экономическому и социальному росту региона; содействовать международному сотрудничеству между контрольными органами иберо-американских государств с другими контрольными органами, не принадлежащими к региону, и международными властями и организациями по этому вопросу.

При разработке Стандартов были приняты во внимание уже существовавшие на тот период и положительно зарекомендовавшие себя документы европейских интеграций. Это, в первую очередь, Руководящие принципы защиты конфиденциальности и трансграничного перемещения персональных данных Организации экономического сотрудничества и развития (ОЭСР); Конвенция № 108 Совета Европы о защите лиц в отношении автоматической обработки персональных данных, Директива 95/46/ЕС от 24 октября 1995 г. о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных и Директива 97/66/ЕС от 15 декабря 1997 г., касающаяся использования персональных данных и защиты неприкосновенности частной жизни в сфере телекоммуникаций).

Но, конечно же, основным документом, послужившим базовой моделью для Стандартов, является Регламент GDPR. В пункте 8 преамбулы прямо закреплено, что новое законодательство Евросоюза позиционируется как обязательный ориентир и определяющий фактор для разработки национального законодательства о защите данных в Латинской Америке.

Стандарты представляют собой модельный акт, предлагающий ряд достаточно гибких нормативных положений, которые могут быть приняты латиноамериканскими государствами без ущерба и нарушения целостности их внутреннего законодательства. В то же время, предлагаемое нормативное регулирование должно, с одной стороны, обеспечить определенный уровень защиты отдельных лиц в отношении обработки их персональных данных, с другой – гарантировать коммерческое и экономическое развитие региона ^[11].

Стандарты распространяются на сбор и обработку данных, осуществляемых с помощью новых информационных и коммуникационных технологий, в том числе, и в сети Интернет (п.п.21, 22 преамбулы).

Как и в законодательстве Евросоюза, Стандарты разделяют обычные персональные данные, к которым отнесена любая информация, касающаяся идентифицируемой личности, и представленная в цифровом, алфавитном, графическом, фотографическом, буквенно-цифровом, акустическом или любом ином виде; и конфиденциальные личные данные – данные, неправомерное использование которых может привести к дискриминации их владельца. К таким данным, в частности, относятся, личные данные, которые касаются вопросов расового или этнического происхождения; религиозных, философских и моральных убеждений; членства в профсоюзе; политических убеждений; информации о здоровье, жизни, сексуальных предпочтениях или ориентации; информации о биометрических данных, предназначенных для однозначной идентификации личности.

Стандарты применяются к физическим или юридическим лицам, органам власти и государственным органам, которые обрабатывают персональные данные в ходе своей деятельности и функций.

Как и законодательство Европейского Союза, Стандарты устанавливают область своего применения, которая носит экстерриториальный характер.

В пункте 5 подпункте 5.1. закреплено, что Стандарты применяются к обработке персональных данных, если такая обработка осуществляется: ответственным лицом, учрежденным на территории Иберо-Америки; ответственным лицом, не учрежденным на территории Иберо- Америки, если осуществляемые им мероприятия связаны с предложением товаров или услуг жителям иберо-американских государств или контролем их поведения, и преимущественно осуществляются на территории Иберо-Америки; ответственным лицом, не учрежденным на территории иберо-американского государства, но к которому применяется национальное законодательство такого государства в результате выполнения международного соглашения или в соответствии с публичным международным правом; ответственным лицом, не учрежденным в иберо-американском государстве, которое использует автоматизированные и неавтоматизированные средства для обработки персональных данных, расположенные на территории иберо-американского государства, за исключением случаев, когда такая обработка производится только в транзитных целях.

Еще одним заимствованием из европейского законодательства стало требование о явно выраженном согласии на обработку персональных данных. Если обработке подлежат персональные данные несовершеннолетних, то такое согласие должно исходить от родителей или опекунов.

Также, в Стандартах закреплены основные принципы, обеспечивающие конфиденциальность персональных данных:

- принцип прозрачности (статья 16). Это требование об установлении формы, механизма или процедуры, посредством которых может быть осуществлено право доступа, исправления, отмены, возражения и переносимости, если неизвестно происхождение личных данных и они не получены непосредственно от владельца.

- принцип пропорциональности (статья 18). Это означает, что обработке подлежат только те персональные данные и только в том минимальном количестве, которые необходимы для конкретной цели. После завершения обработки данные должны быть удалены из архивов, записей, баз данных, файлов, информационных систем и т.д. или же подвергнуты процедуре псевдономизации.

- принцип ответственности (статья 20). Ответственное лицо должно обеспечить необходимые механизмы защиты данных на всех стадиях их использования, а также контроль над действием лиц, причастных к этому использованию.

- принцип безопасности (статья 21). Ответственное лицо должно установить и поддерживать, достаточные административные, физические и технические меры, чтобы гарантировать конфиденциальность, целостность и доступность персональных данных.

У лица, чьи данные собираются и обрабатываются, имеется право на доступ, на исправление, на отмену или удаление, право на возражение против обработки своих персональных данных, право на переносимость данных (если данные были получены в результате телефонного опроса или автоматических средств, владелец данных имеет право на получение их копии в структурированном электронном формате, который позволит использовать их и передавать, в случае необходимости, другому лицу); право на ограничение обработки персональных данных.

Несмотря на то, что утвержденные в 2017 году Стандарты носят рекомендательный характер, они расцениваются как набор руководящих принципов, призванных способствовать реализации нормативных инициатив по защите персональных данных в иберо-американском регионе. Для тех стран, которые еще не имеют такого законодательства, он служит ориентиром для разработки национального законодательства. Для тех стран, где эти нормативные инициативы уже реализованы, он рассматривается в качестве эталона для модернизации и обновления действующего законодательства.

Непродолжительный на сегодняшний день срок действия Стандартов защиты персональных данных для иберо-американских государств уже имеет свои результаты: Аргентина и Уругвай, модернизировавшие свое национальное законодательство, получили признание Европейской комиссии как страны с достаточным уровнем защиты для целей обмена персональными данными между этими странами и Европейским союзом.

Вопросы охраны персональных данных в АТЭС.

Азиатско-Тихоокеанское экономическое сотрудничество (АТЭС) представляет собой не международную организацию, а свободный консультативный форум, не имеющий жёсткой организационной структуры и административного аппарата. Объединение действует как международный консультативный орган, разрабатывающий программные документы, определяющие перспективы дальнейшего экономического сотрудничества. В настоящее время в форуме принимают участие экономики 21 страны,

В 1998 году странами АТЭС была одобрена Программа действий по электронной торговле (Blueprint for Action on Electronic Commerce), в которой, в частности, было отмечено, что потенциал электронной коммерции не может быть реализован без сотрудничества правительства и бизнеса, ориентированного на развитие и внедрение технологий и политик, которые обеспечивают доверие и конфиденциальность, безопасность систем связи, сохранность передаваемой информации.

Ключевым элементом в сфере электронной коммерции должно было стать сотрудничество по продвижению эффективной защиты конфиденциальной информации и ее свободному потоку в Азиатско-тихоокеанском регионе.

Необходимость формирования единых подходов в вопросах обеспечения конфиденциальности персональных данных и безопасных способов их передачи стала стимулом для разработки и утверждения АТЭС ряда документов, среди которых Рамочное соглашение по защите конфиденциальности персональных данных ^[12]; Система трансграничных правил конфиденциальности данных ^[13]; Система требований к политике в отношении информационной безопасности для обработчиков информации^[14]; Соглашение АТЭС по трансграничному контролю за соблюдением мер по защите конфиденциальности данных ^[15].

Для настоящего исследования наибольший интерес представляет Рамочное соглашение по защите конфиденциальности персональных данных.

Эталоном для разработки Рамочного соглашения о конфиденциальности АТЭС (APEC Privacy Framework) 2005 года (далее –Рамочное соглашение) стали Руководящие принципы защиты конфиденциальности и трансграничного перемещения персональных данных Организации экономического сотрудничества и развития (ОЭСР 23 сентября 1980 года), которые, как отмечено в преамбуле Рамочного соглашения, представляют собой во многих отношениях международный консенсус относительно того, что представляет собой честное и заслуживающее доверия обращение с личной информацией.

Рамочное соглашение предназначено для защиты персональной информации физических лиц, которая, по определению разработчиков, может быть использована для идентификации личности, а также той информации, которая не соответствует критериям персональной информации в самостоятельном виде, но вкупе с другими критериями может быть использована для идентификации индивида.

Принципы конфиденциальности, закрепленные в Рамочном соглашении, должны рассматриваться и применяться в совокупности, а не по отдельности. В преамбуле закреплено, что, признавая важность государственного уважения к частной жизни, установленные принципы не должны препятствовать государственной деятельности, разрешенной законом и осуществляемой в целях защиты национальной безопасности, общественных интересов, национального суверенитета. В то же время эта деятельность, в свою очередь, должна быть ограничена и пропорциональна достижению тех целей, которые поставлены перед обществом.

В качестве основных принципов в рамочном соглашении закреплены: принцип предотвращения вреда, причиненного неправомерным сбором и незаконным использованием личной информации; принцип ограничения сбора целью обработки при том, что информация получена законными и справедливыми способами и, если это необходимо, с согласия заинтересованного лица; принцип уведомления индивидов о собранной информации и цели ее использования; принцип ограничения сбора личной информации поставленной целью и получение такой информации законным и справедливым способом, и, при необходимости, с уведомления или согласия заинтересованного лица; принцип целостности личной информации как точной, полной и актуальной совокупности данных в объеме, необходимом для целей использования; принцип сохранности информации и ее защиты от возможного незаконного доступа или раскрытия; принцип доступа к информации и ее оспаривания с целью исправления, дополнения или удаления данных; принцип ответственности контроллера за соблюдение установленных правил. В случае если персональные данные должны быть переданы третьему лицу или организации, контроллер должен получить согласие обладателя персональных данных, а также проявить должную осмотрительность и принять разумные меры для обеспечения того, чтобы лицо или организация получателя обеспечили защиту информации в соответствии с установленными принципами.

Свободный доступ и распоряжение персональными данными трактуется в документе как основополагающее право индивида, но в то же время, по примеру европейского законодательства не признается его абсолютный характер.

Доступ предоставляется при наличии конкретных условий для признания такого доступа разумным. Более того, доступ обусловлен требованиями безопасности, которые исключают предоставление прямого доступа к информации, если это повлечет нарушение законодательства или раскрытие коммерческой тайны, что, в свою очередь, может стать причиной значительных финансовых потерь.

Важным элементом Рамочного соглашения является установление в странах – участницах системы защиты конфиденциальности персональных данных, соразмерной степени фактического или потенциального вреда, причиненного физическим лицам в результате допущенных нарушений.

Принимая во внимание, что документ носит рекомендательный характер, в него включены положения, которые могут быть имплементированы в национальное законодательство стран – участниц, что позволит на законодательном уровне обеспечить конфиденциальность персональных данных. В их числе законодательные инициативы в пределах национальной юрисдикции, административные меры, отраслевая саморегуляция или же сочетание всех этих мер. Способы реализации установленных принципов могут отличаться в странах – участницах, однако, какой бы подход ни был ими избран, общая цель должна заключаться в разработке совместимости подходов к защите конфиденциальности в регионе АТЭС, и учете интересов отдельных экономик.

Разрабатываемые трансграничные правила конфиденциальности, которые, как отмечено в документе, призваны облегчить передачу данных и обеспечить эффективную защиту конфиденциальности без создания ненужных барьеров для трансграничных информационных потоков, включая ненужные административные и бюрократические препоны для бизнеса и потребителей, должны придерживаться принципов конфиденциальности АТЭС. Страны-члены будут стремиться работать с соответствующими заинтересованными сторонами для разработки рамок или механизмов для взаимного признания или принятия таких трансграничных правил конфиденциальности.

Некоторые выводы.

Нельзя не признать, что на сегодняшний день самым совершенным и наиболее разработанным документом, регламентирующим все аспекты, связанные со сбором, обработкой, анализом и передачей, в том числе и международной, персональных данных считается Общий/Генеральный регламент по защите персональных данных (GDPR). Именно он определяет современный вектор развития законодательства о защите персональных данных и рассматривается во многих странах как эталон. Не в последнюю очередь это предопределено достижениями европейских стран в развитии технологий больших данных и осознанием тех серьезных последствий, которые влекут применение этих технологий без введения жесткого и всеобъемлющего контроля над деятельностью лиц, занятых сбором и обработкой данных, представляющих собой персональную информацию.

Современному регулированию свойственна всеобъемлющая детализация понятия «персональные данные», которая, вероятно, будет только расширяться. Это наглядно демонстрируется на примере наполнения понятия «персональные данные»; расширения его перечня; отнесения к данной категории факторов, которые позволяют идентифицировать лиц не только по прямым, но и косвенным признакам («вероятностные идентификаторы» или «квази персональные данные»).

Наметившаяся в конце прошлого столетия тенденция ужесточения мер контроля над нарушениями при сборе, анализе, обработке и передачи персональных данных сохраняется и усиливается. Во многом это обусловлено заявлением о необходимости неукоснительного соблюдения продекларированных в действующих документах фундаментальных принципов, обеспечивающих гарантии прав индивидов.

В качестве меры, способствующей более эффективному соблюдению требований, предусмотренных региональным регулированием, вводится право лиц на установление внутрикорпоративных правил и кодексов поведения. При этом контроль над соблюдением этих документов носит не только внутренний, но и внешний характер.

На сегодня регулирование вопросов, связанных с конфиденциальностью персональных данных, может приобретать экстерриториальный характер, однако, возможно, в качестве более приемлемой альтернативы будет рассматриваться установление более жесткого контроля над межгосударственным обменом персональными данными.

Просто выделите и скопируйте ссылку на эту статью в буфер обмена. Вы можете также попробовать найти похожие статьи