Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет - Коллектив авторов
Шрифт:
Интервал:
Закладка:
По общему правилу, обработка, в том числе передача, персональных данных требует согласия субъекта данных.
Во исполнение закона Нидерландов принят Указ об изъятиях, который устанавливает категории данных, в отношении которых при обработке не требуется предварительное уведомление. Например, обработка данных должников и кредиторов, клиентов не влечет обязательного уведомления. При этом изъятия не действуют, если при трансграничном перемещении данных в зарубежной стране за пределами ЕС не установлен адекватный уровень их защиты. В самом законе устанавливаются исключения, связанные с государственной безопасностью, расследованием уголовных преступлений, значительными экономическими или финансовыми интересами государства или защитой самого субъекта или других лиц (ст. 43).
Правила обработки данных также схожи с правилами Директивы 1995 г.: основным принципом остается законный интерес в качестве основания для обработки нечувствительных персональных данных.
Режим защиты персональных данных распространяется на любую обработку данных, в результате которой можно получить информацию о лице.
Например, запрет обработки чувствительных данных распространяется и на «непрямые чувствительные данные», т. е. на данные, из которых можно вывести прямые. Так, например, письмо из религиозной организации раскрывает данные о религиозной принадлежности адресата (ст. 17 закона). В отношении чувствительных данных действует общий запрет на их обработку с разумными исключениями (например, религиозные организации могут проводить обработку данных в целях, связанных с их деятельностью).
1.5.5. Регулирование порядка анализа результатов обработки данных (метаданных)
Анализ метаданных в Нидерландах регулируется не Законом о персональных данных, а Законом о сохранении данных о нагрузке линий связи (Telecommunications Data Retention Act) 2009 г.[85], принятым в рамках имплементации Директивы 2006/24/ЕС о сохранении данных. Принятие же Директивы было вызвано терактами, случившимися в Мадриде в 2004 г. и в Лондоне в 2005 г.
Закон о сохранении данных налагает обязательство на операторов и интернет-провайдеров удерживать данные о пользователях от шести (через Интернет) до двенадцати месяцев (через телефонные сети) с даты коммуникации в целях расследования, выявления и пресечения тяжких преступлений (поправка к ст. 13.2а Закона о телекоммуникациях). В Законе о телекоммуникациях нет термина «метаданные», однако к регулируемым им видом данных закон относит применительно к телефонным сетям: телефонный номер, имена и адреса абонентов, дату и время связи, используемый сервис и идентификаторы при мобильных звонках (IMSI, IMEI, геолокатор); к Интернету: данные о пользователе, время, место и длительность коммуникации и IP-адрес (Приложение к ст. 13.2а).
Однако в марте 2015 г. Окружной суд Гааги лишил силы этот закон, последовав в этом решению Суда ЕС в отношении Директивы и обосновав свое решение тем, что закон нарушает право на неприкосновенность частной жизни и право на защиту личных данных в нарушение Хартии основных свобод ЕС. Закон, как указывает Гаагский суд, не ограничивался минимально необходимым в преследовании своих целей и располагал недостаточно разработанными механизмами защиты неприкосновенности частной жизни. Правительство, по мнению суда, не руководствовалось целями ограниченного и таргетированного отбора данных. Подобное решение приняли суды Германии и Австрии, в Швеции же правительство отстаивает необходимость закона о сохранении телекоммуникационных данных[86].
Таким образом, в европейском регулировании можно отметить стремление найти баланс между частным интересом (неприкосновенность частной жизни) и общим (охрана публичного порядка) в рамках принципа соразмерности.
1.5.6. Правовое обеспечение защиты данных
Обработка данных требует согласия субъекта данных и уведомления специального органа. Одобрения Надзорного органа на дальнейшую обработку не требуется, достаточно только уведомления. Уведомление производится путем заполнения специальной формы на сайте Надзорного органа и ведет, таким образом, к регистрации конкретного случая. Закон распространяет свое действие и на неавтоматизированную обработку персональных данных при условии, что они содержатся в «файле», т. е. каким-либо образом структурированы.
Несоблюдение положения об уведомлении наказывается административным штрафом до 4500 евро. В ст. 75 закон также повышает ответственность нарушителей за умышленное нарушение его положений с административной до уголовной (незначительные и подсудные преступления).
Конец ознакомительного фрагмента.
Примечания
1
Доработанная редакция проекта Регламента была опубликована 30 июня 2014 г. в Интернете для публичного доступа по адресу: URL: http://register.consilium. europa.eu/doc/srv?l=EN&f=ST%2011028%202014%20INIT.
2
Ashford W. EU Data Protection Regulation to be finalised by end of 2015. URL: http://www.computerweekly.com/news/4500248164/EU-Data-Protection-Regulation-to-be-finalised-by-end-of-2015
3
Эшфорд У. Закон Евросоюза о защите персональных данных будет окончательно готов к концу 2015 г. URL: http://www.computerweekly.com/news/4500248164/ EU-Data-Protection-Regulation-to-be-finalised-by-end-of-2015. Пер. Н. Храмцовской: URL: http://rusrim.blogspot.ru/2015/06/201519. html.
4
См. подробнее: Тарасов Д.А. Суд Евросоюза отменил обязанность провайдеров хранить сведения о коммуникациях клиентов. URL: http://lexdigital. ru/2014/ПО/.
5
Opinion 1/2008 on data protection issues related to search engines. EU Article 29 Data Protection Working Party, 00737/EN WP 148. April 2008.
6
Niekerk A.J. van. The Strategic Management of Media Assets; A Methodological Approach. Allied Academies, New Orleans Congress, 2006.
7
Rosen R.J. The Government Would Like You to Write a 'Social Media Will' // The Atlantic. Retrieved 4 June 2013.
8
Официальный сайт Европейского инспектора по защите данных (European Data Protection Supervisor). URL: https://secure.edps.europa.eu/EDPSWEB/edps/ EDPS/cache/offonce?lang=en.
9
The transfer of personal data to third countries and international organisations by EU institutions and bodies, 14 July 2014. URL: https://secure.edps.europa.eu/ EDPSWEB/edps/site/mySite/Papers
10
EDPS recommendations on the Directive for data protection in the police and justice sectors. URL: https://secure.edps.europa.eu/EDPSWEB/edps/site/mySite/
Opinions C
11
WP 4 (5020/97) «Рабочий документ, содержащий первые ориентиры относительно передачи персональных данных третьим странам – возможные пути продвижения в оценке соответствия» от 26 июня 1997 г.; WP 7 (5057/97) «Оценка саморегулирования отрасли: в каких случаях она вносит значимый вклад в уровень защиты данных в третьей стране?» от 14 января 1998 г.; WP 9 (3005/98) «Предварительные мнения относительно использования договорных положений в контексте передачи персональных данных третьим странам» от 22 апреля 1998 г.; WP 12 «Передачи персональных данных третьим странам: применение статей 25 и 26 Директивы ЕС о защите данных» от 24 июля 1998 г. // Интернет-источник: URL: europa. eu.int/comm/internal_markt/en/media.dataprot/wpdocs/wpl2/en.
12
Safe Harbor Privacy Principles. URL: http://www.export.gov/safeharbor/ SHPRIN CIPLESFINAL.htm
13
Международное и зарубежное финансовое регулирование: институты, сделки, инфраструктура. В 2 ч. / под ред. А.В. Шамраева. М.: КноРус; ЦИПСиР, 2014. 4.2.
14
Official Journal L 215. 25.08.2000. Р. 0007–0047.
15
URL: http://safeharbor.export.gov/list.aspx
16
ЕескеР. van. URL: http://www.jdsupra.com/legalnews/europe-eu-commissioner-reding-introduc-85150/; http://europa.eu/rapid/press-release_SPEECH-14-62_en.pdf (пер. Н. Храмцовской) // URL: http://rusrim.blogspot.ru/2013/ll/blog-post_15.html.
17
ЕП требует расторгнуть договоры ЕС с США об обмене данными. URL: http://www.warandpeace.ru/ru/news/view/87751/.
18
Мироненко В. FTC сообщила о санкциях для нарушителей законов ЕС о конфиденциальности // Daily digital digest. URL: http://www.3dnews.ru/797428.
19
Baker J. EU will not suspend safe harbor data privacy agreement with the US // PC World. 2013. No. 11.
20
European Commission calls on the U.S. to restore trust in EU-U.S. data flows // Пресс-релиз Европейской комиссии от 27 ноября 2013 г. URL: http://europa.eu/ rapid/press-release_IP- 13-1166_en.htm.
21
Rebuilding Trust in EU-US Data Flows. COM(2013) 846 final // Документ Европейской комиссии от 27 ноября 2013 г. URL: http://europa.eu/rapid/press-release_ IP- 13-1166_en.htm.
22
Европейский суд решил, что Facebook не защищает данные пользователей // Русская служба RFI. Франция. URL: http://informburo.dn.ua/cgi-bin/iburo/ start.cgi?info58=7431
23
Рамочное соглашение IP/10/1661 «О защите информации в области полицейского и судебного сотрудничества».