Основные направления международно-правового регулирования отношений в сфере персональных данных

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

58 Издательство «Грамота» www.gramota.net

Национальный исследовательский ядерный университет «МИФИ»

Основные направления международно-правового регулирования отношений в сфере персональных данных

Гиляров Евгений Михайлович, к.ю.н., профессор

Воронина Анна Алексеевна

В условиях технического прогресса происходит развитие и увеличение потоков информации. Создаются международные банки данных, в связи с чем персональные данные граждан, а также их право на невмешательство в частную жизнь оказываются под угрозой. Практика показывает, что урегулирование таких вопросов, как, например, трансграничная передача персональных данных, только на национальном уровне не может быть эффективным, именно поэтому на международном уровне происходит правовое закрепление общих принципов защиты персональных данных. Международно-правовые нормы в сфере персональных данных условно можно разделить на три группы [8, с. 162]:

документы международных организаций, регламентирующие общегуманитарные права и свободы человека;

документы региональных международных организаций, таких как ЕС, СНГ, Совет Европы; 3) международные договоры, содержащие нормы о защите конфиденциальной информации.

Первая группа актов регламентирует основные права и свободы человека, в том числе информационные, на уровне международных организаций.

Одним из наиболее авторитетных документов такого типа является Всеобщая декларация прав человека, принятая 10 декабря 1948 года Генеральной Ассамблеей Организации Объединённых Наций [2] (далее - Декларация).

В статье 12 Декларации закрепляется право человека на невмешательство в частную жизнь: «Никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию.

Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств».

Статья 19 Декларации гласит, что «каждый человек имеет право на… свободу искать, получать и распространять информацию и идеи любыми средствами и независимо от государственных границ».

Таким образом, Декларация устанавливает основные информационные права человека, право на поиск, получение и распространение информации и право на частную жизнь с точки зрения охраны информации о ней. Конвенция Совета Европы о защите прав человека и основных свобод, принятая 4 ноября 1950 года [13] (далее - Конвенция), развивает положения, закрепляющие информационные права и свободы:

«1. Каждый человек имеет право на свободу выражать свое мнение. Это право включает свободу придерживаться своего мнения и свободу получать и распространять информацию и идеи без какого-либо вмешательства со стороны государственных органов и независимо от государственных границ. <…> 2. Осуществление этих свобод, налагающее обязанности и ответственность, может быть сопряжено с формальностями, условиями, ограничениями или санкциями, которые установлены законом и которые необходимы в демократическом обществе в интересах государственной безопасности, территориальной целостности или общественного спокойствия, в целях предотвращения беспорядков и преступлений, для охраны здоровья и нравственности, защиты репутации или прав других лиц, предотвращения разглашения информации, полученной конфиденциально, или обеспечения авторитета и беспристрастности правосудия» [Там же, ст. 10.1].

Здесь следует отметить более детализированный подход Конвенции к праву на поиск, получение и распространение информации. Конвенция напрямую защищает его от вмешательства государства, но в то же время устанавливает возможность ограничения данного права в интересах безопасности государства, общества или прав других лиц.

Данные ограничения находят своё продолжение в Международном пакте о гражданских и политических правах 1966 года [11] (далее - Пакт).

Пакт в статьях 17 и 19 повторяет положения Декларации, уточняя случаи ограничения информационных прав: «Пользование данными правами сопряжено с некоторыми ограничениями, которые, однако, должны быть установлены законом и являться необходимыми: а) для уважения прав и репутации других лиц, б) для охраны государственной безопасности, общественного порядка, здоровья или нравственности населения». Обратим внимание, что в качестве причины для этого подчеркивается уважение прав и репутации других лиц. В данном случае речь идет не только о безопасности государства, но и о безопасности персональных данных конкретного лица.

Вторая группа документов - это нормативные акты региональных международных организаций.

Одним из таких документов является Конвенция № 108 Совета Европы «О защите индивидуумов (частных лиц) при автоматизированной обработке персональных данных» [12] (далее - Конвенция № 108). Целью данной Конвенции является правовая защита личности при автоматической обработке персональной информации. Статья 1 Конвенции № 108 содержит определение персональных данных: «персональные данные означают информацию, касающуюся конкретного или могущего быть идентифицированным лица (субъекта данных)». Оно достаточно широко и дает возможность странам, ратифицировавшим Конвенцию № 108, возможность для трактовки и трансформации его для применения в национальном законодательстве не только при автоматизированной обработке персональных данных.

Главными элементами Конвенции № 108 являются [1, с. 35]:

набор базовых принципов защиты данных (гл. II);

положения, относящиеся к транснациональным потокам данных (гл. III);

соглашения о сотрудничестве стран-участниц, включая и соглашение о содействии субъектам данных, живущим за границей (гл. IV);

статьи об учреждении постоянного Консультативного комитета (гл. V).

Консультативный комитет, состоящий из делегатов от стран-участниц, отвечает за интерпретацию положений Конвенции № 108 и за содействие и улучшение их применения на практике [12, ст. 18-20].

Кроме того, Конвенция № 108 устанавливает в статьях 5 и 8 принципы качества данных и права субъекта данных, а статья 7 - принцип защиты персональных данных соответствующими мерами. Она предусматривает свободный обмен персональными данными между странами-участницами Конвенции № 108. Это свободное перемещение не может быть ограничено по причинам защиты данных. Существуют только два исключения:

если защита персональных данных в стране-контрагенте не является эквивалентной;

если данные, передаваемые на территорию страны-контрагента, предназначены для передачи транзитом в некую третью страну, не являющуюся участницей Конвенции [Там же, ст. 12].

Конвенция № 108 обязывает операторов (контролеров файлов) принимать надлежащие меры безопасности, направленные на предотвращение их случайного или несанкционированного уничтожения или случайной потери персональных данных, а также на предотвращение несанкционированного доступа к ним, их изменения или распространения [Там же, ст. 7].

Человек вправе знать о существовании базы данных, содержащей сведения личного характера, и её целях, получить в разумные сроки и без чрезмерных расходов подтверждение о наличии в базе данных касающихся его данных личного характера, а также получить такие данные. Более того, Конвенция № 108 наделяет лицо правом добиваться в случае необходимости исправления или уничтожения касающихся его данных личного характера, если они подверглись обработке в нарушение норм внутреннего законодательства [Там же, ст. 8].

Кроме того, Конвенция № 108 содержит правовые гарантии обеспечения прав человека на подтверждение обработки его персональных данных, а также в случаях необходимости их предоставления, изменения или уничтожения [Там же].

Таким образом, Конвенция № 108 устанавливает базовые принципы обработки и защиты персональных данных. В частности, гарантирует соблюдение прав человека при сборе и обработке персональных данных, принципы хранения и доступа к этим данным, способы физической защиты данных, а также запрещает обработку данных о расе, политических взглядах, здоровье, религии без соответствующих юридических оснований.

С 1981 года по линии Комитета министров государств - членов Совета Европы принимаются специальные Рекомендации по вопросам использования и защиты персональной информации. Так, 24 октября 1995 года была принята Директива 95/46/EC о защите прав частных лиц применительно к обработке персональных данных и свободном движении таких данных [3] (далее - Директива 95/46/EC).

Настоящий документ закрепил несколько основных правовых понятий. Во-первых, «персональные данные» определены как любая информация, связанная с идентифицированным или идентифицируемым лицом (субъектом данных), и подразумевают информацию, зафиксированную на любом носителе. В эту категорию автоматически попадают имена, почтовые и электронные адреса физических лиц. Вводится понятие «контролеры персональных данных» - лица или организации, которые определяют цели и способы обработки персональных данных. Под «обработкой персональных данных» Директива 95/46/EC понимает любые операции с персональными данными или их совокупность, включая сбор, запись, систематизацию, хранение, изменение, передачу или раскрытие.

Директива 95/46/EC определяет восемь основных принципов защиты информации, в соответствии с которыми должны действовать «контролеры данных» - лица или организации, которые определяют цели и способы обработки персональных данных. Основным принципом признается справедливая обработка персональных данных, следуя которому субъект данных до их представления должен получить информацию о том, кто является контролером данных, каковы цели их обработки и использования, а также дать согласие на использование персональных данных. Предварительное уведомление может включать в себя любую информацию, необходимую в конкретных условиях, дабы сбор и обработка информации были бы справедливы. К другим принципам относятся четкость и законность целей для сбора и обработки персональных данных, точное соответствие объема запрашиваемых персональных данных целям их использования, хранение персональных данных не более срока, обусловленного целями их обработки, возможность доступа субъекта информации к своим персональным данным для их изменения, уточнения или удаления, создания необходимых технических и организационных мер для обеспечения защиты данных от незаконной или несанкционированной обработки, случайной утраты или разрушения. Согласно одному из ключевых принципов на контролеров данных и органы государственной власти возлагается ответственность за передачу данных за пределы Европейской экономической зоны в те страны, в которых не может быть обеспечен адекватный уровень защиты прав субъектов данных. Исключение из данного принципа возможно в том случае, если сам субъект данных представит на это свое согласие.

Предусматриваются меры надзорного характера перед осуществлением операций по автоматической обработке данных на основе уведомления специального надзорного органа в отношении общего описания мер, принятых для обеспечения безопасности обработки. Устанавливается предварительная проверка операций, которые могут представлять особый риск для прав и свобод субъектов, закрепляется принцип гласности операций по обработке данных на основе ведения в надзорном органе реестра операций по обработке информации персонального характера.

Важное место в нормах международного права о персональных данных занимает Директива 97/66/EC Европейского парламента и Совета ЕС от 15 декабря 1997 года [4] (далее - Директива 97/66/EC), она касается использования персональных данных и защиты неприкосновенности частной жизни в сфере телекоммуникаций. В ней особое внимание было уделено новым типам угроз для сферы частной жизни, возникшим в результате проникновения цифровых технологий в сферу связи [1, с. 125]. Согласно ей, провайдер обязан предпринимать соответствующие меры безопасности, организационные и технические, к защите персональных данных [4, ст. 5], налагается запрет на прослушивание, подслушивание, запись и иные виды перехватов или контроля над коммуникациями любыми иными лицами, кроме пользователей, без согласия последних [Там же], трафиковые данные о подписчиках и пользователях, используемые для осуществления телефонных соединений и сохраняемые провайдером общедоступной телекоммуникационной сети и/или общедоступных телекоммуникационных услуг, должны по завершении звонка быть стерты или сделаны анонимными [Там же, ст. 6], автоматизированные звонки запрещены без предварительного согласия абонента [Там же, ст. 12].

Важное место в данном акте занимает детальная проработка принципов и способов защиты персональных данных в телекоммуникационной сфере. В целом Директива 97/66/EC устанавливает базовые требования получения разрешения от субъекта на сбор, обработку и распространение информации о нем.

В декабре 2001 года увидели свет общеобязательные правила по защите физических лиц при автоматической обработке их персональных данных органами и учреждениями ЕС и их свободном перемещении - Regulation (ЕС) 45/2001 [15]. Настоящим документом учреждена должность Европейского уполномоченного по защите данных - EU Data Protection Supervisor - с широкими полномочиями: от проверки жалоб на нарушения права на консультирование органов ЕС по вопросам защиты информации до преследования нарушителей в Суде Европейских сообществ. Новые правила запрещают сбор и обработку персональных данных, касающихся расового или национального происхождения, политических взглядов, вероисповедования, а также здоровья или сексуальной жизни субъекта данных, кроме случая получения согласия самого субъекта данных на предоставление подобной информации либо раскрытия персональных данных в целях судебного разбирательства.

В июне 2002 г. была принята еще одна Европейская Директива 2002/58/ЕС [14], касающаяся защиты персональных данных и защиты личных данных в электронном коммуникационном секторе, дополняющая Директиву 95/46/ЕС.

Основной целью нового документы являются обеспечение защиты прав и свобод пользователей средств электронной связи в отношении их персональных данных и защита права на личную тайну (Вводная статья 7), а также минимизация обработки персональных данных и стимулирование использования анонимных данных там, где это возможно (Вводная статья 9).

Согласие пользователя - любого лица, использующего в личных или деловых целях общедоступные средства электронных коммуникаций, - остается одним из основных требований при сборе и обработке данных. Пользователь должен выразить свое очевидное согласие на предоставление персональных данных любым доступным и свободным способом, позволяющим ему осведомленно выразить свои намерения, в том числе и путем проставления «галочки» при посещении интернет-страниц. Новая Директива дает юридическое определение «электронной почте»: любое текстовое, звуковое, голосовое сообщение или изображение, посланное посредством общедоступной сети, которое может быть сохранено в данной сети или на оборудовании пользователя до тех пор, пока не будет получено пользователем.

Реалии времени, стремительное развитие информационных технологий, активный сбор и обработка персональных данных как в сфере частной жизни, так и в публичных отношениях индивидов с организациями и властными структурами заметно меняют содержание правовой категории «персональные данные». Данная категория стремительно вырывается за пределы частной жизни. С учетом этого в европейском законодательстве начинается формирование самостоятельного института защиты персональных данных, основанного на праве на защиту персональных данных как одном из основных прав и свобод человека. Так, в главе «Свободы» Хартии Европейского Союза [16] об основных правах разделены правовые категории «уважения неприкосновенности частной и семейной жизни, жилища и коммуникаций» и «права на защиту персональных данных» как самостоятельные основные права, закрепленные в статьях II-67 и II-68.

Европейский подход к регулированию вопросов о праве на защиту персональных данных основывается на понимании данного права как одного из фундаментальных прав человека, живущего в информационном обществе, и несколько отличен от сложившегося понимания права на защиту неприкосновенности частной жизни. Каждое из указанных прав обладает рядом специфических свойств, совместное использование которых улучшает механизм защиты интересов индивида. Оба права основываются на необходимости правовой регламентации, на принципах легитимного целевого использования информации, наличия адекватных и эффективных способов правовой защиты нарушенных прав, различие заключается в том, что в случае защиты неприкосновенности частной жизни речь идет о предотвращении вторжения в частную сферу, а в другом случае следует иметь в виду обеспечение справедливой и законной обработки персональных данных вне зависимости от того, попадают ли они в сферу частной жизни или нет.

Третья группа документов включает в себя международные договоры между странами, в которые включаются нормы об обмене информацией.

В качестве примера можно привести статью 25 Договора между Российской Федерацией и США об избежании двойного налогообложения и предотвращении уклонения от налогообложения в отношении налогов на доходы и капитал [5], по которой государства обязаны предоставлять информацию, составляющую профессиональную тайну [8]. Международный договор Российской Федерации и Республики Индия о взаимной правовой помощи по уголовным делам [6] содержит статью 15 «Конфиденциальность», согласно которой запрашиваемая сторона может потребовать сохранения конфиденциальности переданной информации [8].

Договоры между многими государствами призваны защитить информацию определенной категории и используемую для определенной цели, например для расследования преступлений.

В этой связи важным является то, что в большинстве стран, в том числе и в Российской Федерации, конституционно закреплено положение [9, ст. 15] о том, что ратифицированные международные договоры обладают более высокой юридической силой, чем национальное законодательство.

Таким образом, даже такой небольшой анализ международно-правовых норм, регулирующих отношения, возникающие в сфере персональных данных, позволяет сделать вывод, что эти нормы закрепляют:

информационные права и свободы человека, в том числе право на поиск, получение и распространение информации и право на невмешательство в частную жизнь; а также случаи ограничения таких прав, например, в целях обеспечения безопасности государства или прав других лиц;

общее определение персональных данных;

базовые принципы обработки персональных данных, их хранения и доступа к ним; положения, регулирующие свободу трансграничной передачи данных, в том числе случаи её ограничения;

конкретные меры и способы защиты информации, предназначенной для исполнения международных договоров;

создание и деятельность международных органов по защите персональной информации, например Консультативный комитет по вопросам защиты персональных данных.

Список литературы

законодательство передача персональный информация

1. Волчинская Е.К. Защита персональных данных: опыт правового регулирования. М.: Галерия, 2001.

2. Всеобщая Декларация прав человека: принята Генеральной Ассамблеей Организации Объединенных Наций в 1948 году // Российская газета. 1995. 5 апреля.

3. Директива Европейского парламента и Совета Европейского Союза 95/46/EC от 24 октября 1995 года о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных [Электронный ресурс]. Доступ из справ.-правовой системы «КонсультантПлюс».

4. Директива Европейского парламента и Совета Европейского Союза 97/66/EC от 15 декабря 1997 года, касающаяся использования персональных данных и защиты неприкосновенности частной жизни в сфере телекоммуникаций [Электронный ресурс]. Доступ из справ.-правовой системы «КонсультантПлюс».

5. Договор об избежании двойного налогообложения и предотвращении уклонения от налогообложения в отношении налогов на доходы и капитал между Российской Федерацией и Соединенными Штатами Америки от 17 июня 1992 года [Электронный ресурс]. URL: http://www.referent.ru/1/1929 (дата обращения: 22.01.2013).

6. Договор Российской Федерации и Республики Индия о взаимной правовой помощи по уголовным делам [Электронный ресурс]: подписан в Дели 22.12.1998. Доступ из справ.-правовой системы «КонсультантПлюс».

7. Иванский В.П. Правовая защита информации о частной жизни граждан: опыт современного правового регулирования: монография. М.: Издательство РУДН, 1999.

8. Комментарий к Федеральному закону от 27 июля 2006 года № 152-ФЗ «О персональных данных» [Электронный ресурс] / А.Н. Кайль, Е.А. Новиков. Доступ из справ.-правовой системы «КонсультантПлюс».

9. Конституция Российской Федерации: принята на всенародном голосовании 12 декабря 1993 года // Собрание законодательства РФ (СЗРФ). 2009. № 4. Ст. 445.

10. Маланыч И.Н. Международные правовые нормы в сфере защиты персональных данных // Международноправовые чтения / отв. ред. П.Н. Бирюков. Воронеж: Воронежский государственный университет, 2003. Вып. 1.

11. Международный пакт о гражданских и политических правах 1966 года // Бюллетень Верховного Суда РФ. 1994. № 12.

12. О защите индивидуумов (частных лиц) при автоматизированной обработке персональных данных: Конвенция Совета Европы № 108 от 28 января 1981 года // Международная защита прав и свобод человека: сборник документов. М.: Юридическая литература, 1990.

13. О защите прав человека и основных свобод: Конвенция Совета Европы от 4 ноября 1950 года // Международная защита прав и свобод человека: сборник документов. М.: Юридическая литература, 1990.

14. О приватности и электронных коммуникациях [Электронный ресурс]: Директива Европейского Союза 2002/58/ЕС от 12 июля 2002 г. Доступ из справ.-правовой системы «КонсультантПлюс».

15. Регламент 45/2001/EC Европейского парламента и Совета, касающийся защиты персональных данных граждан и свободного движения таких данных [Электронный ресурс]: принят 18 декабря 2000 г. Доступ из справ.правовой системы «КонсультантПлюс».

16. Хартия Европейского Союза об основных правах 2007/С 303/01 [Электронный ресурс]: принята в г. Страсбурге 12.12.2007. Доступ из справ.-правовой системы «КонсультантПлюс».

Размещено на Allbest.ru