Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет
Шрифт:
Передача данных возможна, если контролер данных принимает разумные меры для обеспечения соблюдения «Акта о защите данных».
Обработка осуществляется на основании письменного договора только по поручению контролера или в рамках выполнения обязательств, эквивалентных тем, которые накладываются на контролера данных в соответствии с «Актом о защите данных».
Законом определены следующие требования об условиях собирания и обработки данных контролером [54] :
54
Register (notify) under the Data Protection Act. URL: https://ico.org.uk/for-organisations/register/
а)
б) обработка данных соответствует обязательствам контролера обработки данных;
в) обработка направлена на защиту жизненно важных интересов субъекта данных;
г) обработка требуется в связи с целями «Акта о защите данных».
Данные могут быть собраны и обработаны правительством Великобритании при выполнении следующих условий:
а) обработка требуется для обеспечения безопасности общества, осуществления правосудия; или
б) имеются законные основания для обработки данных;
в) обработка не нарушает права и свободы субъекта данных или другого законного представителя.
Чувствительные персональные данные могут быть собраны и обработаны в случае выполнения следующих условий:
а) получение явного согласия субъекта данных;
б) обработка необходима для целей осуществления или выполнения каких-либо прав или обязательств, предусмотренных или налагаемых законом на контролера данных;
в) обработка необходима для того, чтобы защитить жизненно важные интересы субъекта персональных данных или другого человека;
г) обработка осуществляется любым судебным органом в его законной деятельности;
д) информация была обнародована самим субъектом персональных данных в результате его деятельности;
е) обработка необходима для целей или в связи с осуществлением судопроизводства, с получением юридической консультации либо защитой законных прав субъекта;
ж) обработка необходима для отправления правосудия или для осуществления функций определенных государственных органов, за некоторыми исключениями;
з) обработка необходима для целей предотвращения мошенничества;
и) обработка необходима для медицинских целей и связана с конкретными лицами.
1.3.5. Регулирование порядка анализа результатов обработки данных (метаданных)
Общее регулирование порядка анализа результатов обработки данных в Великобритании отсутствует. Однако в настоящее время активно обсуждается вопрос о возможности анализа результатов обработки данных, полученных интернет-провайдерами при выполнении их обязательств в рамках Директивы по хранению данных (Data Retention Directive [55] ), которая были принята в период после террористических актов в Мадриде в 2004 г. и в Лондоне в 2005 г., в целях согласования усилий ЕС в расследовании и уголовном преследовании самых серьезных преступлений, таких как организованная преступность и терроризм.
55
URL:L:2006:105:0 054:0063:EN: PDF
Директива по хранению данных требует от операторов сохранять определенные категории данных о трафике и местоположении физических лиц (за исключением содержания этих сообщений) в период от шести месяцев до двух лет и делать их доступными в случае запроса в правоохранительные органы для целей расследования, выявления и преследования серьезных преступлений и терроризма.
Сохраненные данные являются ценной информацией и доказательствами, на основании которых вынесены обвинительные приговоры за уголовные преступления, а также оправдательные приговоры, которые никогда бы не были сделаны, если бы не обязанность сохранять эти данные.
Несмотря на это, в настоящее время в Великобритании обсуждается вопрос о том, что провайдеров могут признать нарушителями законодательства о персональных данных, если они по-прежнему будут сохранять информацию,
полученную в результате обработки данных пользователей в соответствии с Директивой по хранению данных. В частности, «Акт о защите данных» позволяет ограниченное хранение и обработку персональных данных. Если следовать «Акту о защите данных», то интернет-провайдеры могут хранить персональные данные только в случаях, определенных данным законом или соглашением с пользователем.В России требование о сохранении персональных данных, кроме Федерального закона «О персональных данных», регулируется следующими нормативными правовыми актами: Федеральным законом «Об информации, информационных технологиях и о защите информации» (ст. 10.1 «Обязанности организатора распространения информации в сети Интернет»); постановлением Правительства РФ от 31 июля 2014 г. № 758 «О внесении изменений в некоторые акты Правительства Российской Федерации в связи с принятием Федерального закона “О внесении изменений в Федеральный закон “Об информации, информационных технологиях и о защите информации” и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей» [56] , в том числе законодательством о проведении оперативно-розыскных мероприятий.
56
Официальный интернет-портал правовой информации. URL: www.pravo. gov.ru от 5 августа 2014 г.
8 апреля 2014 г. Суд Европейского союза признал Директиву по хранению данных недействительной.
Суд посчитал, что Директива по хранению данных не удовлетворяет принципу соразмерности и должна определять большие гарантии для защиты фундаментальных прав на уважение частной жизни и защиты персональных данных.
В связи с указанными причинами в Великобритании высказывается мнение о том, что провайдеры обязаны прекратить сохранять данные и должны уничтожать все данные, сохраненные в силу ныне недействительных нормативных актов. Если компании будут продолжать сохранять данные, то существует риск, что их собственные клиенты могут подать претензии за нарушение «Акта о защите данных» [57] .
57
Directive 2006/24/ЕС of the European Parliament and of the Council of 15 March 2006 on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks and amending Directive 2002/58/EC. URL:articles/2012/may/survey-reveals-nearly-half-of-web-users-happy-with-behavioural-advertising-/
1.3.6. Правовое обеспечение защиты данных
«Акт о защите данных» 1998 г. предусматривает создание правового института комиссаров персональных данных.
Функции комиссара можно кратко представить следующим образом. Если у комиссара есть основания предполагать, что действия контролера данных противоречат или нарушают какие-либо принципы защиты данных, то комиссар может обратиться с уведомлением к контролеру (это называют принудительным уведомлением) с требованием о соблюдении принципа или принципов защиты данных и сделать одно или оба предписания, в которых:
а) определить временной период, в который должны быть устранены нарушения;
б) указать на необходимость прекращения обработки персональных данных или каких-либо иных данных, указанных в уведомлении.
При принятии решения о направлении уведомления комиссар исследует, причинило ли нарушение ущерб или страдания человеку.
В случае нарушения принципа защиты данных, требующего от контролера данных исправления, блокирования, удаления или уничтожения любых неточных данных, комиссар может потребовать от контролера данных исправить, блокировать, удалить или уничтожить такую информацию о субъекте персональных данных или о третьей стороне.