Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет - Коллектив авторов
Шрифт:
Интервал:
Закладка:
Также ограничены сроки хранения – 6 месяцев для поисковых запросов[5] – и установлено требование об обеспечении самоуничтожения данных по прошествии определенного срока техническими средствами (privacy by design).
1.1.7. Правовое обеспечение защиты данных
Если обобщить положения нормативных правовых актов, то ими устанавливаются ограничения на сбор данных: ex ante и ex post.
Положения ex ante устанавливают необходимость уведомления о целях, для которых необходима передача данных, а также согласование любого дальнейшего использования данных (исключая случаи, когда оно осуществляется с согласия субъекта данных или иным образом в соответствии с действующим законодательством и соответствуют четким целям). Положения ex post нацелены на постоянный контроль обеспечения надежности данных (в том числе уведомление о факте обработки таких данных, о доступе к ним и о возможности внесения исправлений в поврежденные/неточные сведения личного характера). В эту же категорию следует отнести группу норм, устанавливающих порядок хранения и обработки данных, включая процедуры защиты от утери уничтожения и несанкционированного раскрытия. Любое использование или раскрытие должно быть зарегистрировано, а в случае любого несанкционированного использования или раскрытия субъект данных должен быть уведомлен об этом.
Итак, к превентивной мере можно отнести требование ст. 17 Директивы 95/46/ЕС к оператору по осуществлению надлежащих технических и организационных мер для защиты персональных данных от случайного или неправомерного разрушения либо от случайной потери, от изменения, несанкционированного раскрытия или доступа, в частности, когда обработка включает передачу данных по сети, и от всех иных неправомерных форм обработки.
Далее, превентивной мерой являются требования раздела IX Директивы 95/46/ЕС, касающиеся обязательств уведомить надзорный орган. Так, согласно ст. 18 оператор или его представитель, если таковой имеется, должен уведомить надзорный орган перед осуществлением любой полностью или частично автоматизированной операции по обработке или последовательности таких операций, предназначенных, чтобы служить одной цели или нескольким связанным целям (данное требование действует с исключениями).
К информации, которая предоставляется при уведомлении, относятся, как минимум:
1) наименование и адрес оператора и его представителя, если таковой имеется;
2) цель или цели обработки;
3) описание категории или категорий субъектов данных и данных или категорий данных, относящихся к ним;
4) информация о получателях или о категориях получателей, которым могут раскрываться данные;
5) информация о предполагаемой передаче данных в третьи страны;
6) общее описание, позволяющее осуществить предварительную оценку целесообразности мер, принятых для обеспечения безопасности обработки.
Статья 20 Директивы 95/46/ЕС также описывает такую меру, как предварительная проверка. Государства – члены ЕС определяют операции по обработке, которые могут создавать конкретные риски для прав и свобод субъектов данных, и проверяют контролируемость и прогнозируемость хода проведения таких операций. Такие предварительные проверки осуществляются надзорным органом вслед за получением уведомления от оператора или служащего, занимающегося защитой данных, который в случае сомнения должен проконсультироваться с надзорным органом.
Статьей 22 Директивы 95/46/ЕС оговариваются средства защиты прав. Так, без ущерба для какого-либо административного средства правовой защиты, которое может предусматриваться до обращения в судебный орган, inter alia, обеспечивается право любого лица на судебную защиту от любого нарушения прав, гарантированных ему национальным законодательством, применимым к осуществляемой обработке.
При этом устанавливается, что любое лицо, которое понесло ущерб в результате неправомерной операции по обработке или какого-либо иного действия, имеет право получить компенсацию от оператора за понесенный ущерб. Оператор может быть полностью или частично освобожден от такой ответственности, если он докажет, что не несет ответственности за событие, вызвавшее ущерб.
Кстати, новые правила позволят пользователям требовать компенсации, например, за незаконное предоставление или за потерю их данных (например, в результате несанкционированной их обработки). Более того, пострадавшие смогут выступать в группе и организовать коллективный иск.
Более жесткие санкции – одно из самых важных изменений. По новым правилам штрафы могут достигать 100 млн евро или 5 % дохода (в зависимости от того, какая сумма будет выше), что значительно превышает текущие суммы (в Великобритании максимальное наказание в настоящее время составляет 500 тыс. фунтов).
При трансграничной передаче данных, выходящей за рамки стандартной процедуры, требуется получение прямого разрешения субъекта данных. Форма получения согласия не регламентируется, оно лишь должно быть однозначным. Кроме того, закрепление гарантий защиты данных в соглашении имеет место в рамках процедур трансграничной передачи данных Model Clauses, когда конкретные гарантии закреплены стандартными договорными условиями.
1.1.8. Регулирование вопроса о наследовании прав на персональные данные
На нормативно-правовом уровне данный вопрос не урегулирован. Между тем в ЕС развит рынок услуг, связанных с менеджментом персональных данных, в том числе в случае смерти субъекта данных. Так, под цифровым наследованием понимается процесс передачи персональных данных в цифровом виде, цифровых активов и прав бенефициарам[6]. Процесс состоит из составления перечня существующих цифровых активов и прав, включения их в наследственную массу (по желанию завещателя) и установления порядка реализации прав на них у будущих наследников. Такими активами могут быть аккаунты в Google, Apple, Microsoft и Facebook, на различных форумах, в блогах, на личных веб-сайтах и реквизиты для дистанционного банковского обслуживания. В отличие от физических активов, цифровые активы эфемерны и подвержены постоянному изменению. Цифровое наследование может представлять собой проблему для наследников данных в силу сложной структуры, даже запутанности, и может повлечь для них нежелательные правовые последствия. С учетом того что пользователи могут иметь в среднем около 25 аккаунтов, ситуация действительно сложна с точки зрения как составления перечня активов, так и дальнейшей реализации наследственных прав[7]. В данном случае имеет место нотариальный цифровой менеджмент. Существуют также различные опции, согласуемые оператором данных, провайдерами информационных ресурсов, субъектом данных, касательно порядка обращения с данными, порядка и условий их предоставления, направления иным лицам и иные действия, которые тоже условно относятся к менеджменту персональных данных, в сущности – к управлению правами на персональные данные (в ряде случаев осуществляемому доверенными лицами).
1.1.9. Уполномоченный орган по защите субъектов персональных данных и его функции
Статья 28 действующей Директивы 95/46/ЕС устанавливает, что каждое государство – член ЕС предусматривает, что один или несколько государственных органов ответственны за контроль применения на их территории норм, регулирующих порядок обработки персональных данных. Эти органы имеют полную независимость при осуществлении возложенных на них функций.
В каждой стране, входящей в состав Европейского союза, должно быть не менее одного независимого надзорного органа по защите данных. Предполагается, что эти органы будут сотрудничать между собой и с Европейской комиссией в целях реализации Регламента. Данные органы обеспечиваются соответствующими государствами кадровыми, техническими и финансовыми ресурсами, помещениями и инфраструктурой, необходимой для эффективного выполнения своих обязанностей, за счет государственного бюджета, однако такое обеспечение не должно влиять на самостоятельность принимаемых решений и независимость надзорного органа по защите.
В соответствии с и. 6 ст. 28 Директивы 95/46/ЕС независимо от национального права, применимого к соответствующей обработке, каждый надзорный орган должен иметь возможность осуществлять на территории своего государства – члена ЕС полномочия, предоставленные ему в соответствии с Директивой 95/46/ЕС. При этом каждому такому органу может быть предложено осуществлять свои полномочия органом другого государства – члена ЕС.
Независимые надзорные органы по защите данных в соответствии с проектом Регламента получают больше полномочий, чтобы иметь возможность лучше контролировать соблюдение правил Европейского союза внутри собственной страны.
Кроме контроля реализации проекта Регламента, к их задачам отнесены: