Иванский В.П. 1999 – Правовая защита информации о частной жизни граждан.
Опыт современного правового регулирования
Рассматриваются актуальные проблемы защиты информации приватного
характера. В доступной сравнительно-правовой форме исследуется
понятийный аппарат законодательства о защите персональных данных в
зарубежных государствах. Предназначено для студентов-юристов,
аспирантов, преподавателей, научных работников и государственных
служащих, а также для всех интересующихся вопросами; защиты частной
жизни при использовании современных телекоммуникационных технологий. Для
специалистов-правоведов будут полезны включенные в Приложение тексты
законов о защите персональных данных Великобритании, Германии и Франции,
регулирующие сбор, обработку и распространение личной информации.
ОГЛАВЛЕНИЕ
HYPERLINK “B1735Part1-3.html” ОТ АВТОРА HYPERLINK
“B1735Part1-3.html” 3
РАЗДЕЛ I. ИНФОРМАЦИОННЫЕ ОТНОШЕНИЯ В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ КАК
ПРЕДМЕТ ПРАВОВОГО РЕГУЛИРОВАНИЯ
Глава 1. Персональные данные как объект информационных отношений
HYPERLINK “B1735Part2-7.html” § 1. Понятие персональных данных
HYPERLINK “B1735Part2-7.html” 7
HYPERLINK “B1735Part3-13.html” § 2. Виды персональных данных
HYPERLINK “B1735Part3-13.html” 13
HYPERLINK “B1735Part4-16.html” § 3. Принципы защиты персональных
данных HYPERLINK “B1735Part4-16.html” 16
HYPERLINK “B1735Part5-22.html” § 4. Проблемы правовой защиты особо
опасных объектов HYPERLINK “B1735Part5-22.html” 22
Глава 2. Основные категории субъектов информационных правовых отношений
в сфере персональных данных
HYPERLINK “B1735Part6-27.html” § 1. Понятие субъекта данных
HYPERLINK “B1735Part6-27.html” 27
HYPERLINK “B1735Part7-28.html” § 2. Понятие субъекта обработанных
данных HYPERLINK “B1735Part7-28.html” 28
HYPERLINK “B1735Part8-29.html” § 3. Понятие держателя данных
HYPERLINK “B1735Part8-29.html” 29
HYPERLINK “B1735Part9-29.html” § 4. Понятие контролера файлов
HYPERLINK “B1735Part9-29.html” 29
HYPERLINK “B1735Part10-30.html” § 5. Понятие контролера данных
HYPERLINK “B1735Part10-30.html” 30
HYPERLINK “B1735Part11-31.html” § 6. Понятие пользователя данных
HYPERLINK “B1735Part11-31.html” 31
HYPERLINK “B1735Part12-32.html” § 7. Понятие компьютерного бюро
HYPERLINK “B1735Part12-32.html” 32
HYPERLINK “B1735Part13-33.html” § 8. Понятие обработчика данных
HYPERLINK “B1735Part13-33.html” 33
РАЗДЕЛ II. ПРАВОВОЕ РЕГУЛИРОВАНИЕ ЗАЩИТЫ ИНФОРМАЦИОННЫХ ОБЩЕСТВЕННЫХ
ОТНОШЕНИЙ В СФЕРЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Глава 3. Принципы построения национальных правовых систем защиты
персональных данных
HYPERLINK “B1735Part14-36.html” § 1. Генеральный принцип HYPERLINK
“B1735Part14-36.html” 36
HYPERLINK “B1735Part15-36.html” § 2. Секторный (отраслевой) принцип
HYPERLINK “B1735Part15-36.html” 36
HYPERLINK “B1735Part16-37.html” § 3. Смешанный принцип HYPERLINK
“B1735Part16-37.html” 37
Глава 4. Национально-правовые методы защиты персональных данных,
обрабатываемых субъектами информационных отношений
HYPERLINK “B1735Part17-38.html” § 1. Базовые (системообразующие)
национальные законы о защите персональных данных HYPERLINK
“B1735Part17-38.html” 38
HYPERLINK “B1735Part18-40.html” § 2. Отраслевые (секторные)
нормативные акты о защите персональных данных HYPERLINK
“B1735Part18-40.html” 40
HYPERLINK “B1735Part19-41.html” § 3. Национальный орган (или система
органов) по защите персональных данных HYPERLINK
“B1735Part19-41.html” 41
HYPERLINK “B1735Part20-44.html” § 4. Средства защиты персональных
данных в публичных и частных корпорациях HYPERLINK
“B1735Part20-44.html” 44
РАЗДЕЛ III. ОБЩАЯ ХАРАКТЕРИСТИКА ПРАВОВОГО РЕГУЛИРОВАНИЯ ЗАЩИТЫ
ПЕРСОНАЛЬНЫХ ДАННЫХ В ЗАРУБЕЖНЫХ СТРАНАХ
Глава 5. Правовая защита персональных данных в Австралии
HYPERLINK “B1735Part21-57.html” § 1. Базовый закон о защите данных:
законодательный акт 1988 г. о неприкосновенности частной жизни (Privacy
Act 1988) HYPERLINK “B1735Part21-57.html” 57
HYPERLINK “B1735Part22-58.html” § 2. Орган по защите данных:
Уполномоченный по защите прав граждан на неприкосновенность частной
жизни (Privacy Comissioner) HYPERLINK “B1735Part22-58.html” 58
Глава 6. Формы и методы защиты персональных данных в Австрии
HYPERLINK “B1735Part23-60.html” § 1. Предыстория принятия
законодательного акта о защите данных HYPERLINK “B1735Part23-60.html”
60
HYPERLINK “B1735Part24-60.html” § 2. Базовый закон 1978г. о защите
данных HYPERLINK “B1735Part24-60.html” 60
HYPERLINK “B1735Part25-61.html” § 3, Отраслевые нормативно-правовые
акты HYPERLINK “B1735Part25-61.html” 61
HYPERLINK “B1735Part26-61.html” § 4. Органы по защите данных: Совет и
Комиссия HYPERLINK “B1735Part26-61.html” 61
Глава 7. Система защиты персональных данных в Бельгии
HYPERLINK “B1735Part27-64.html” § 1. Предыстория принятия
законодательного акта о защите персональных данных HYPERLINK
“B1735Part27-64.html” 64
HYPERLINK “B1735Part28-64.html” § 2. Акт 1992 г. о защите данных как
основной национальный закон HYPERLINK “B1735Part28-64.html” 64
HYPERLINK “B1735Part29-65.html” § 3. Отраслевые нормативно-правовые
акты HYPERLINK “B1735Part29-65.html” 65
HYPERLINK “B1735Part30-66.html” § 4. Комиссия по защите
неприкосновенности частной жизни HYPERLINK “B1735Part30-66.html” 66
Глава 8. Институциональные формы защиты персональных данных в
Великобритании
HYPERLINK “B1735Part31-69.html” § 1. Законодательный акт 1984 г. о
защите персональных данных HYPERLINK “B1735Part31-69.html” 69
HYPERLINK “B1735Part32-70.html” § 2. Национальный регистратор и
Национальный суд по защите данных HYPERLINK “B1735Part32-70.html” 70
HYPERLINK “B1735Part33-74.html” § 3. Кодекс практики HYPERLINK
“B1735Part33-74.html” 74
Глава 9. Правовая защита персональных данных в Германии
HYPERLINK “B1735Part34-76.html” § 1. Проблемы принятия
законодательного акта о защите данных HYPERLINK “B1735Part34-76.html”
76
HYPERLINK “B1735Part35-79.html” § 2. Федеральный закон 1990 г. о
защите данных HYPERLINK “B1735Part35-79.html” 79
HYPERLINK “B1735Part36-80.html” § 3. Национальная система органов по
защите персональных данных HYPERLINK “B1735Part36-80.html” 80
HYPERLINK “B1735Part37-83.html” § 4. Отраслевые нормативно-правовые
акты HYPERLINK “B1735Part37-83.html” 83
Глава 10. Законодательное регулирование персональных данных в Дании
HYPERLINK “B1735Part38-85.html” § 1. Базовые законы о защите данных:
акт 1979 г. о регистрах публичных органов власти и акт 1979 г. о частных
регистрах HYPERLINK “B1735Part38-85.html” 85
HYPERLINK “B1735Part39-85.html” § 2. Отраслевые нормативно-правовые
акты HYPERLINK “B1735Part39-85.html” 85
HYPERLINK “B1735Part40-86.html” § 3. Органы по надзору за данными:
Совет и Секретариат HYPERLINK “B1735Part40-86.html” 86
Глава 11. Основные направления защиты персональных данных в Канаде
HYPERLINK “B1735Part41-87.html” § 1. Предпосылки появления
законодательных актов о защите персональных данных HYPERLINK
“B1735Part41-87.html” 87
HYPERLINK “B1735Part42-88.html” § 2. Базовые законы о защите данных
HYPERLINK “B1735Part42-88.html” 88
HYPERLINK “B1735Part43-89.html” § 3. Отраслевые нормативно-правовые
акты HYPERLINK “B1735Part43-89.html” 89
HYPERLINK “B1735Part44-90.html” § 4. Орган (или система органов) по
защите данных HYPERLINK “B1735Part44-90.html” 90
HYPERLINK “B1735Part45-91.html” § 5. Нестатутные (корпоративные)
средства защиты персональных данных HYPERLINK “B1735Part45-91.html”
91
Глава 12. Особенности правовой защиты персональных данных в Финляндии
HYPERLINK “B1735Part46-93.html” § 1. Законодательный акт о файлах
персональных данных HYPERLINK “B1735Part46-93.html” 93
HYPERLINK “B1735Part47-94.html” § 2. Отраслевые нормативно-правовые
акты HYPERLINK “B1735Part47-94.html” 94
HYPERLINK “B1735Part48-95.html” § 3. Органы по защите данных:
Омбудсмен и Коллегия HYPERLINK “B1735Part48-95.html” 95
Глава 13. Система правовых и организационных средств защиты персональных
данных во Франции
HYPERLINK “B1735Part49-98.html” § 1. Причины принятия
законодательного акта о защите персональных данных HYPERLINK
“B1735Part49-98.html” 98
HYPERLINK “B1735Part50-101.html” § 2. Базовый закон 1978 г. об
обработке данных, файлов данных и индивидуальных свободах HYPERLINK
“B1735Part50-101.html” 101
HYPERLINK “B1735Part51-101.html” § 3. Отраслевые нормативно-правовые
акты HYPERLINK “B1735Part51-101.html” 101
HYPERLINK “B1735Part52-102.html” § 4. Национальная комиссия по
обработке данных и гражданским свободам HYPERLINK
“B1735Part52-102.html” 102
HYPERLINK “B1735Part53-105.html” § 5. Средства защиты персональных
данных в публичных и частных корпорациях HYPERLINK
“B1735Part53-105.html” 105
Глава 14. Опыт правовой защиты персональных данных в Японии
HYPERLINK “B1735Part54-106.html” § 1. Закон 1989 г. об обрабатываемых
персональных данных, хранимых административными органами HYPERLINK
“B1735Part54-106.html” 106
HYPERLINK “B1735Part55-106.html” § 2. Региональный орган по защите
данных: местная комиссия по защите неприкосновенности частной жизни
HYPERLINK “B1735Part55-106.html” 106
HYPERLINK “B1735Part56-108.html” § 3. Кодексы практики и “отраслевые”
подзаконные акты HYPERLINK “B1735Part56-108.html” 108
РАЗДЕЛ IV. МЕЖДУНАРОДНО-ПРАВОВОЕ РЕГУЛИРОВАНИЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ
ДАННЫХ
HYPERLINK “B1735Part57-109.html” Глава 15. Экстерриториальность
персональных данных и проблемы их защиты HYPERLINK
“B1735Part57-109.html” 109
HYPERLINK “B1735Part58-112.html” § 1. Руководящие принципы по защите
частной жизни и трансграничных потоков персональных данных в документах
OECD HYPERLINK “B1735Part58-112.html” 112
HYPERLINK “B1735Part59-117.html” § 2. Вопросы защиты частной жизни и
персональных данных в деятельности Совета Европы HYPERLINK
“B1735Part59-117.html” 117
HYPERLINK “B1735Part60-124.html” § 3. Деятельность Евросоюза по
гармонизации законодательства о защите частной жизни и персональных
данных HYPERLINK “B1735Part60-124.html” 124
HYPERLINK “B1735Part61-127.html” § 4. Свобода трансграничных потоков
информации и позиция Международной торговой палаты в отношении защиты
“прайвеси” HYPERLINK “B1735Part61-127.html” 127
HYPERLINK “B1735Part62-131.html” § 5. Защита частной жизни и
персональных данных в сообществе стран Шенгенского соглашения
HYPERLINK “B1735Part62-131.html” 131
Глава 16. Перспективы развития международного регулирования обработки и
передачи персональных данных
HYPERLINK “B1735Part63-133.html” § 1. Обмен данными между странами с
эквивалентными национальными системами правовой защиты данных
HYPERLINK “B1735Part63-133.html” 133
HYPERLINK “B1735Part64-135.html” § 2. Обмен данными между странами с
разным уровнем правовой защиты персональных данных HYPERLINK
“B1735Part64-135.html” 135
ПРИЛОЖЕНИЯ
HYPERLINK “B1735Part65-141.html” Великобритания. Акт 1984 г. о защите
баз данных HYPERLINK “B1735Part65-141.html” 141
HYPERLINK “B1735Part66-209.html” Федеративная Республика Германии.
Федеральный закон об охране данных 1990 г HYPERLINK
“B1735Part66-209.html” 209
HYPERLINK “B1735Part67-252.html” Франция. Закон № 78-17 от 6 января
1978 г. об обработке данных, файлов данных и индивидуальных свободах
HYPERLINK “B1735Part67-252.html” 252
***********************************
HYPERLINK “” \l “3” 3 :: HYPERLINK “” \l “4” 4 :: HYPERLINK “”
\l “5” 5 :: HYPERLINK “” \l “6” 6 :: HYPERLINK
“B1735Content.html” Содержание
Посвящается
Любимой бабушке – А. Ломано,
Дорогому дяде – В. Иванскому,
Лучшему другу – М. Клевцову.
От автора
Возрастающие возможности вычислительной техники собирать и обрабатывать
данные, касающиеся личной жизни граждан, вызывают серьезную
озабоченность по поводу условий их хранения и возможностей
несанкционированного распространения содержащихся в них сведений
частного характера. Во многих странах уже приняты нормативно-правовые
акты, устанавливающие механизм защиты персональной информации, согласно
которому контроль за обработкой компьютерной информации возлагается
непосредственно на занятых в этом процессе лиц. Однако в России ни на
федеральном уровне, ни на уровне субъектов Федерации не создана правовая
база для аналогичного механизма, несмотря на обеспокоенность населения
сбором и обработкой компьютерной информации приватного характера.
Принятый в 1995 г. Федеральный закон “Об информации, информатизации и
защите информации” HYPERLINK “” \l “B1735Part1p3s1” 1 не содержит
механизма защиты права граждан на неприкосновенность частной жизни в
области обработки компьютерной информации. Поэтому российским
законодателям еще только предстоит законотворчество в правовом
регулировании хранения, обработки и использования персональных данных,
опираясь на опыт зарубежных государств, в которых внедрение компьютерных
и телекоммуникационных технологий произошло на 10-15 лет раньше, чем в
России.
С расширением спектра услуг, оказываемых публичным и частным секторами,
возросла автоматизированная обработка информации частного характера.
Несмотря на то. что компьютеризация несет с собой социальные и
экономические выгоды, она порождает и опасность появления
злоупотребления информацией, последствия которой могут нанести гораздо
более крупный ущерб индивиду и
3
государству в целом, чем при архивных методах “ручной” обработки
информации:
– во-первых, это связано со способностью средств вычислительной техники
накапливать, сопоставлять и перемещать огромные массивы информации
способами, которые недоступны для традиционных архивных методов
обработки;
– во-вторых, возросшая опасность несанкционированного разглашения
информации лицами, имеющими допуск к компьютерным базам данных,
вследствие относительной простоты поиска нужной информации и извлечений
из нее необходимых сведений;
– в-третьих, способность компьютерной техники хранить большие массивы
информации и возможность ее оперативного обновления, актуализации,
сопоставления и уничтожения ошибочно внесенных сведений;
– в-четвертых, участившимися попытками несанкционированного доступа к
электронной информации со стороны посторонних лиц из-за относительно
простой идентификации информации и извлечения из нее интересующих
сведений.
Итак, стержневым моментом правового регулирования персональной
информации является вопрос ее достоверности и защиты. Принимая во
внимание тот факт, что из процесса обработки и сопоставления отдельных
категорий данных исключается “человеческий фактор”, т. е. отключается
элемент контроля со стороны человека, как это имеет место при
традиционной “ручной” архивной обработке информации, резко возрастает
риск смысловых и контекстуальных ошибок, которые присущи машинной
обработке, и “передоверия” компьютеру принимать решения, которые
зачастую чреваты опасностью для судеб частных лиц. Очевидно, однако, что
вопросы защиты неприкосновенности частной жизни не могут быть решены
адекватно, не принимая во внимание право граждан быть осведомленными о
характере и достоверности собранных на них сведений. Поэтому решение
вопроса об адекватности правоохранительных мер по защите
неприкосновенности частной жизни неразрывно связано с решением вопроса о
пересмотре существующего законодательства о свободе информации и
принятие нормативных правовых актов по защите частной жизни.
4
В развитых демократических странах, начиная со второй половины XX века,
правовая защита сферы частной жизни в связи с применением информационных
технологий стала одним из приоритетных направлений в области охраны прав
человека. Ей посвящены многочисленные теоретические исследования
зарубежных ученых: Ч.Д. Рааб, У. Фридман, Л. Шойом, Р. Уэкс, У .Л.
Проссер. С. Стремхольм и др.
В отечественной юридической науке и практике вопросы правовой защиты
сферы частной жизни, в том числе и в связи с использованием
информационных технологий, до сих пор не нашли должного отражения, хотя
им немало уделялось внимания в научных работах Н.Н. Разумовича, М.Е.
Петросян, А.Б. Агапова, В. А. Копылова, Л.Б. Алексеевой, Л.А. Сергеенко,
Л.Д. Воеводина, В. П. Кашепова. А.П. Курило, Л.К. Терещенко, В. В.
Бойцовой и др. Между тем. эти вопросы представляются весьма актуальными
применительно к современным российским реалиям.
Конституция Российской Федерации 1993 г. HYPERLINK “” \l
“B1735Part1p5s1” 1 законодательно закрепила право на
неприкосновенность частной жизни (ст. 23) и недопустимость сбора,
хранения, использования и распространения информации о частной жизни
лица без его согласия (ст. 24). Однако эти конституционные нормы не
конкретизированы в специальных законах об охране неприкосновенности
частной жизни и о защите персональных данных. В российском
законодательстве средства правовой защиты сферы частной жизни и
персональных данных являются неудовлетворительными по сравнению с
соответствующими зарубежными и международными стандартами в этой
области.
На этом фоне четко проявляется необходимость разработки механизма
эффективной защиты компьютерных банков данных, т. е. правового
регулирования вопросов защиты информации, собираемой с помощью
вычислительной техники. Эта необходимость уже признана и закреплена в
законодательствах многих зарубежных государств. Без разработки и
принятия схемы эффективной защиты компьютерных банков данных как в
публичном, так и в частном секторах утечка информации из них будет
по-прежнему являться фактором, препятствующим полному осуществлению
права граждан на неприкосновенность частной жизни.
5
Автор считает приятным долгом выразить признательность друзьям и
коллегам. Хотелось бы поблагодарить профессорско-преподавательский
состав юридического факультета Российского университета дружбы народов:
академика МАН ВШ, доктора юридических наук, профессора кафедры теории и
истории государства и права О.А. Жидкова, доктора юридических наук,
профессора кафедры теории и истории государства и права Г.И. Муромцева,
кандидата юридических наук, доцента кафедры теории и истории государства
и права М.Г. Шарце; кандидата юридических наук, доцента кафедры
конституционного, административного и финансового права А.Б. Зеленцов а
и академика МАИ, доктора юридических наук, профессора А.С. Пиголкина, а
также кандидата юридических наук, доцента кафедры международного права
А.Я. Капустина за ценные советы и содействие в изучении проблем правовой
защиты частной жизни.
6
HYPERLINK “” \l “B1735Part1p3s1cr” 1 Принят 20 февраля 1995 г. №
24-ФЗ (Собрание законодательства РФ. 1995. № 8. Ст. 609).
HYPERLINK “” \l “B1735Part1p5s1cr” 1 См.: Конституция Российской
Федерации. – М.: ПРИОР, 1997. – С. 64.
HYPERLINK “” \l “3” 3 :: HYPERLINK “” \l “4” 4 :: HYPERLINK “”
\l “5” 5 :: HYPERLINK “” \l “6” 6 :: HYPERLINK
“B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “7” 7 :: HYPERLINK “” \l “8” 8 :: HYPERLINK “”
\l “9” 9 :: HYPERLINK “” \l “10” 10 :: HYPERLINK “” \l “11” 11
:: HYPERLINK “” \l “12” 12 :: HYPERLINK “” \l “13” 13 ::
HYPERLINK “B1735Content.html” Содержание
“Если личные права любого индивидуума нарушаются, манеры нации портятся,
подвергая опасности все общество в целом”.
Алексис де Токвиллъ
РАЗДЕЛ I
ИНФОРМАЦИОННЫЕ ОТНОШЕНИЯ
В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ КАК
ПРЕДМЕТ ПРАВОВОГО РЕГУЛИРОВАНИЯ
Глава 1. Персональные данные
как объект информационных отношений
§ 1. Понятие персональных данных
Бурное развитие компьютерных и телекоммуникационных технологий привело к
формированию принципиально новых факторов, таящих угрозу для права
граждан на невмешательство в частную жизнь:
1) возможность хранить и обрабатывать информацию, используемую для
управления государством и бизнесом, не в обезличенной, а в
персонифицированной форме;
2) скрытный (в восприятии человека) характер накопления, хранения,
обработки и передачи информации в компьютерах;
3) появление особо опасных информационных объектов со сверхвысокой
концентрацией персонифицированной информации (базы и банки данных,
пространственно-распределенные информационные системы).
В странах, находящихся на этапе компьютерного информационного общества
или в фазе перехода к такому обществу, основным объектом посягательств
на сферу частной жизни стала персонифицированная информация,
обрабатываемая автоматизированными электронными средствами
(компьютерными и телекоммуникационно-компьютерными информационными
системами). Такую информацию
7
стали называть “персональными данными”. Термином “машинные данные” или
просто “данные” в большинстве стран обозначают информацию, полученную в
результате обработки на ЭВМ или подготовленную в специальной форме для
такой обработки. Причины же специального выделения категории
“персональные данные” из общего понятия “данные” связаны с тем, что
такие данные являются потенциально уязвимыми атрибутами сферы частной
жизни человека.
Довольно быстро было обнаружено, что персонифицированную информацию в
компьютерах можно условно разделить на две категории:
(1) “нейтральные” персонифицированные данные, к раскрытию и
распространению которых субъект данных относится индифферентно;
(2) “чувствительные” персонифицированные данные, циркуляцию которых
субъект данных стремится ограничить. Именно эта категория получила
название “персональные данные” и была квалифицирована как информация,
несанкционированный доступ или ненадлежащее использование которой
приводит к посягательствам на права частной жизни субъекта данных.
Таким образом, персональные данные определяются по критерию
“чувствительности”.
Так как понятие “чувствительность” персональной информации достаточно
субъективно и зависит от восприятия субъекта данных, то на базе многих
прецедентов в гражданском судопроизводстве стран общего права был
выработан следующий принцип: публикация некоего факта частной жизни
(персональных данных) признавалась посягательством на сферу частной
жизни, если было доказано, “что публикация этого факта была высоко
предосудительной с точки зрения любого благоразумного человека,
наделенного обычной чувствительностью” HYPERLINK “” \l “B1735Part2p8s1”
1 . Смысл этого судебного критерия в том, “что закон не предназначен
для защиты сверхчувствительных людей, поскольку каждый человек должен до
некого обоснованного предела открывать свою жизнь для пристального
внимания общества” HYPERLINK “” \l “B1735Part2p8s2” 2 .
8
С точки зрения критерия “чувствительности”, определение оксфордского
правоведа Раймонда Уэкса представляется многим исследователям
каноническим:
“Персональная информация” могла бы определяться как те факты, сообщения
или мнения, которые связаны с данным индивидом и относительно которых
можно было бы ожидать, что он считает их интимными или конфиденциальными
и, следовательно, желает остановить или, по крайней мере, ограничить их
циркуляцию” HYPERLINK “” \l “B1735Part2p9s1” 1 .
В национальных законах о защите данных в определении понятия
“персональные данные” не применяется критерии “чувствительность”, но он
используется при делении персональных данных на “обычные” и
“чувствительные” (или “особо чувствительные”) в других статьях этих же
законов. Это связано с большим разнообразием персональных данных,
используемых в компьютерных информационных системах, с одной стороны, и
относительной субъективностью критерия “чувствительности”, с другой. В
самих же определениях понятия “персональные данные” используется, как
правило, другой критерий – критерий “идентифицируемости субъекта данных”
на основании этих данных.
Классический пример использования этого критерия дает определение из
Австрийского закона 1978 г. о защите данных:
“Данные – информация, хранимая на носителе данных и имеющая отношение к
некому идентифицированному или имеющему высокую вероятность
идентификации субъекту данных (персональные данные)” HYPERLINK “” \l
“B1735Part2p9s2” 2 .
Датские законодательные акты 1979 г. о регистрах публичных органов
власти и о частных регистрах определяют понятие “персональные данные”
следующим образом:
“Для целей настоящего законодательного акта термин “персональные данные”
должен пониматься как обозначение данных, которые могут быть отнесены к
идентифицируемым индивидуумам, даже если такое отнесение предполагает
знание персонального
9
регистрационного номера или любых подобных специальных средств
идентификации такого индивидуума” HYPERLINK “” \l “B1735Part2p10s1” 1
.
Значительно более сложным и интересным является британское определение
персональных данных. Законодательный акт 1984 г. о защите данных вводит
в определение дополнительные категории – “мнение” и “намерение”:
“Ст. 1(3). Термин “персональные данные” означает данные, состоящие из
информации, связанной с неким живым индивидом, который может быть
идентифицирован на основании этой информации (или с помощью этой и иной
информации, находящейся в распоряжении пользователя данных), включая
любое выражение мнения о данном лице, но без какого-либо указания о
намерениях пользователя данных в отношении этого лица” HYPERLINK “” \l
“B1735Part2p10s2” 2 .
Таким образом, любое выражение мнения об индивиде (субъекте данных)
включается в состав персональных данных, тогда как любое указание на
намерения пользователя данных в отношении субъекта данных однозначно
исключается из категории “персональные данные” (необходимо подчеркнуть,
что намерения третьей стороны, поскольку они в явной и недвусмысленной
форме не исключены законом, включаются в состав персональных данных).
Другой важной особенностью британского определения является оговорка:
“…или с помощью этой и иной информации, находящейся в распоряжении
пользователя данных”. Поскольку Великобритания разрабатывала свой закон
о защите персональных данных почти на десятилетие позже других
стран-участниц Конвенции 108 Совета Европы, то легислатура Соединенного
Королевства имела возможность учесть опыт применения аналогичных
зарубежных законов. Приведенная выше оговорка призвана предупредить
распространенную среди пользователей данных уловку: чтобы данные не
подпадали под юрисдикцию законодательства о защите персональных данных,
они хранят их в компьютере в псевдообезличенной форме – без упоминания
идентифицирующих сведений о субъекте данных, но с привязкой к
идентификационным кодам. Таблица же соответствия
10
кодов и субъектов данных хранится (в ручной форме или на магнитных
носителях) отдельно и при необходимости обеспечивает идентификацию
субъектов данных этой якобы обезличенной компьютерной информации.
Исландский законодательный акт 1989 г. о регистрации и обращении с
персональными данными распространяет понятие “персональные данные” и на
сведения о юридических лицах (т.е. признает так называемое
“корпоративное право на невмешательство в частную сферу”):
“…к персональным данным относятся данные, связанные с частными,
финансовыми или иными делами индивидов, институтов, компаний или иных
юридических лиц, которые эти лица обоснованно должны держать в секрете”
HYPERLINK “” \l “B1735Part2p11s1” 1 .
Определение из Французского закона 1978 г. об обработке данных, файлах
данных и индивидуальных свободах подчеркивает, что правовое
регулирование обработки персональных данных распространяется как на
публичный, так и на частный сектора:
“Ст. 4. …персональные данные – это данные, которые позволяют в любой
форме, прямо или косвенно, установить личность физического лица, в
отношении которого эти данные собраны, независимо от того, физическими
или юридическими лицами эти данные были обработаны” HYPERLINK “” \l
“B1735Part2p11s2” 2 .
Особо следует отметить тщательную проработку определений персональных
данных и смежных с ними понятий в Финском законодательном акте 1988 г. о
файлах персональных данных:
“1. Термин “персональные данные” означает любое описание любого
физического лица или характеристик физического лица, или жизненных
обстоятельств, которое может быть признано как описывающее определенное
частное физическое лицо или его семью или тех. кто живет с ним в одном и
том же жилище.
2. Термин “файл персональных данных” означает любой набор данных,
содержащий персональные данные, обработанные при
11
помощи компьютера, а также любой перечень, картотеку или иной набор
данных, содержащий персональные данные и организованный соответствующим
образом, благодаря которому данные о любом конкретном физическом лице
могут быть найдены легко и без чрезмерных затрат.
2а. Термин “файл редакционных данных” означает любой файл персональных
данных, предназначенный только для редакторских операций любого члена
редакции средств массовой информации и недоступный для посторонних.
6. Термин “персональные кредитные данные” означает персональные данные,
предназначенные для использования в оценке финансового статуса
физического лица, его способности соответствовать своим обязательствам
или степени оказываемого ему кредитного доверия.
7а. Термин “матрикула” означает любой файл персональных данных,
предназначенный для публикации, в который физические лица входят в
соединении со сведениями о конкретной профессии или образовании,
членстве в некой профессиональной организации или ином обществе, со
своим статусом или достижениями в области культуры, спорта,
экономической жизни или иной гражданской деятельности или в соединении с
другими сопоставимыми факторами” HYPERLINK “” \l “B1735Part2p12s1” 1 .
Этот законодательный акт, относящийся к так называемым “законам второго
поколения”, учитывает опыт применения предыдущих отечественных и
зарубежных законов и содержит ряд принципиально новых моментов. Пункт 1
распространяет понятие “персональные данные” на сведения о семье
субъекта данных и о тех, “кто живет с ним в одном и том же жилище”.
Пункт 2 выводит понятие “персональные данные” за пределы чисто
компьютерной информации, распространяя его на данные в информационных
системах иных технологий (ручных, механических и т.д.). Принципиальной
новинкой является определение “отраслевых” персональных данных в пунктах
2а, 6 и 7а (для кредитной отрасли и для средств массовой информации).
Особенно важным представляется появление в законе определений терминов
“файл редакционных данных” и “матрикула”, поскольку после внедрения
компьютерных технологий в
12
повседневную работу печатной и электронной прессы обработка персональных
данных в средствах массовой информации стала объектом правового
регулирования одновременно со стороны деликтных средств правовой защиты
сферы частной жизни от посягательств в форме несанкционированных
публикаций или публичной огласки, сформировавшихся в “докомпьютерную
эпоху”, и со стороны правовых институтов, регулирующих отношения в
информационной сфере. Проработка в законе таких определений способствует
тому, чтобы взаимоотношения деликтного и информационного права в этой
точке соприкосновения сфер их правового регулирования были не
конкурентными, а взаимно дополняющими.
Возвращаясь к критерию “чувствительность”, отметим, что он используется
в зарубежном законодательстве для отнесения некоторых видов персональных
данных к категориям данных, требующим при их обработке повышенных мер
защиты или вообще запрещенным для обработки. При этом национальный закон
о защите персональных данных либо содержит прямое указание на отнесение
данных к определенной категории, либо наделяет представителей
государственной власти (как правило, министра, курирующего национальный
орган по защите данных, иногда премьер-министра) полномочиями принятия
оперативных решений по данному вопросу.
13
HYPERLINK “” \l “B1735Part2p8s1cr” 1 Судебное определение из дела
“Диас против Окленд Трибюн, Инкорпорейтед” (139 Cal App3d 118, 1983).
Цит. по: Warren Freedinan, Right of Privacy in Age of Computer. – L. –
London, New York. 1986, p. 53.
HYPERLINK “” \l “B1735Part2p8s2cr” 2 Там же, с. 54.
HYPERLINK “” \l “B1735Part2p9s1cr” 1 См.: Raymond Wakes, Protection
of Privacy. – London; Sweet & Maxwell. 1980. – (Mod. legal studies). –
P. 31.
HYPERLINK “” \l “B1735Part2p9s2cr” 2 См.: Sec. 3(1) of Austrian Data
Protection Act (1978).
HYPERLINK “” \l “B1735Part2p10s1cr” 1 См.: Denmark Private Registers
Act (1979) and Public Authorities Registers Act (1979).
HYPERLINK “” \l “B1735Part2p10s2cr” 2 См.: Sec. 1(3) of UK Data
Protection Act 1984.
HYPERLINK “” \l “B1735Part2p11s1cr” 1 См.: Art. l of Act Concerning
the Registration and Handling of Personal Data (1989, Iceland).
HYPERLINK “” \l “B1735Part2p11s2cr” 2 См.: Sec.4 of Act on Data
Processing, Data Files and Individual Liberties (1978, France).
HYPERLINK “” \l “B1735Part2p12s1cr” 1 См.: Sec.2 of Personal Data
File Act (1988, Finland).
HYPERLINK “” \l “7” 7 :: HYPERLINK “” \l “8” 8 :: HYPERLINK “”
\l “9” 9 :: HYPERLINK “” \l “10” 10 :: HYPERLINK “” \l “11” 11
:: HYPERLINK “” \l “12” 12 :: HYPERLINK “” \l “13” 13 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “13” 13 :: HYPERLINK “” \l “14” 14 ::
HYPERLINK “” \l “15” 15 :: HYPERLINK “” \l “16” 16 :: HYPERLINK
“B1735Content.html” Содержание
§ 2. Виды персональных данных
Как показало исследование зарубежных законов о защите данных в ряде
стран, несмотря на некоторые исключения, большинство этих стран делит
персональные данные по критерию “чувствительности” на три категории:
1) “обычные” персональные данные – их сбор, обработка, использование и
передача возможны без специального разрешения в режиме, предписанном
национальными законами;
2) “чувствительные” персональные данные – их сбор, обработка,
использование и передача требуют особых мер защиты и безопасности,
специально установленных законом;
3) “особо чувствительные” персональные данные – их сбор, обработка,
использование и передача либо вообще запрещены
13
законом, либо разрешены только в исключительных случаях с использованием
специальных мер защиты и безопасности.
Общепризнанными видами “чувствительных” персональных данных являются
данные об арестах, банковские данные, данные кредитных отчетов и
кредитных историй, данные об образовании и трудовой деятельности (как
правило, только данные, содержащие оценку способностей и трудовых
качеств индивида), медицинские данные, налоговые данные.
Набор “особо чувствительных” персональных данных, подлежащих особо
тщательной защите, может варьироваться в различных странах в зависимости
от национального менталитета, но, как правило, к этой категории
относятся данные о расовом и этническом происхождении, религиозных
верованиях, политических убеждениях, членстве в профессиональных
ассоциациях, политических и общественных организациях, состоянии
здоровья, особенностях сексуального поведения, криминальном прошлом
(данные о вынесенных и исполненных обвинительных судебных приговорах по
уголовным делам).
В качестве примера, иллюстрирующего механизм применения критерия
“чувствительности”, приведем краткое описание его применения в
бельгийской национальной системе защиты персональных данных.
В Бельгии контролер (держатель) файлов должен соблюдать особо строгие
правила обработки и использования в отношении трех категорий
персональных данных: (1) “высокочувствительных” данных; (2) медицинских
данных; и (3) судебных данных (категории 2 и 3 считаются просто
“чувствительными” данными).
Что касается первой категории, то Бельгийский законодательный акт 1992
г. о защите данных (BDPA) предоставляет наивысшую степень защиты данным,
связанным с расой, этническим происхождением, сексуальным поведением,
политическими взглядами или действиями, религиозными или философскими
убеждениями, членством в любом профессиональном или трудовом союзе или
принадлежностью к государственной службе здравоохранения (все они далее
называются “высокочувствительными данными”). Любой контролер файлов
может обрабатывать эту категорию высокочувствительных данных только для
целей, разрешенных BDPA, или во исполнение этого законодательного акта.
Поскольку сам BDPA не
14
предусматривает никаких разрешенных целей для обработки
высокочувствительных данных, то эти цели в деталях устанавливаются
Королевскими Указами № 6 и 7, конкретизирующими и регламентирующими
исполнение вышеуказанного законодательного акта. BDPA допускает
исключения для юридических лиц и организаций де-факто (таких, как
профсоюзы, службы здоровья, политические партии), но только в отношении
данных, связанных с их собственными членами.
В отношении второй категории следует отметить, что контролер файлов
может обрабатывать медицинские данные только после получения заранее
письменного разрешения субъекта данных или, в качестве альтернативы, под
строгим надзором и при ответственности лечащего врача. В категорию
медицинских включаются все данные, раскрывающие информацию, связанную с
предыдущим, текущим или будущим состоянием физического или умственного
здоровья субъекта данных, за исключением данных явно административного
или оценочного характера, относящихся к способу лечения и
медобслуживания. Медицинские данные не могут передаваться третьим
сторонам, за исключением тех случаев, когда это делается во исполнение
закона, или. когда закон содержит явно выраженное и недвусмысленное
разрешение на такую передачу. Медицинские данные также могут
передаваться другим лечащим медработникам после получения заранее
специального письменного разрешения от заинтересованного лица (субъекта
данных) или для целей медицинской обработки в чрезвычайных ситуациях и в
случаях опасности (ст. 7 BDPA).
Отнесенные к третьей категории, криминальные и судебные персональные
данные могут обрабатываться только во исполнение закона или для целей,
определенных законом. Причем в эту категорию включается и обработка
данных об уголовных обвинительных приговорах и наказаниях из документов,
хранимых в национальных криминальных архивах, а также обработка данных
из криминальных документальных записей, хранимых муниципалитетами (ст.
8, § 4). Обработка таких данных адвокатами (ст. 8, § 6) и юридическими
лицами, уполномоченными на то королевским указом, – во всех этих случаях
обработчик данных обязан заранее посылать субъекту данных уведомление о
предстоящей обработке относящихся к нему криминальных данных.
15
И наконец, Бельгийский законодательный акт 1992 г. о защите данных в
явно выраженной и недвусмысленной форме запрещает любому контролеру
файлов сбор любых высокочувствительных, медицинских, криминальных или
судебных данных в Бельгии для передачи через границу с целью обработки
на иностранной территории по той причине, что их обработка в Бельгии
также запрещена (ст. 4, § 2).
16
HYPERLINK “” \l “13” 13 :: HYPERLINK “” \l “14” 14 ::
HYPERLINK “” \l “15” 15 :: HYPERLINK “” \l “16” 16 :: HYPERLINK
“B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “16” 16 :: HYPERLINK “” \l “17” 17 ::
HYPERLINK “” \l “18” 18 :: HYPERLINK “” \l “19” 19 :: HYPERLINK
“” \l “20” 20 :: HYPERLINK “” \l “21” 21 :: HYPERLINK “” \l “22”
22 :: HYPERLINK “B1735Content.html” Содержание
§ 3. Принципы защиты персональных данных
Широкое распространение компьютерных технологий привело к разработке и
применению базовых правовых принципов для защиты частной жизни и личных
свобод индивидуума в связи со сбором, обработкой и использованием
данных.
Во-первых, это было вызвано потенциальной опасностью последствий
использования по халатности или преднамеренно неточных (недостоверных),
устаревших данных, их искажения или уничтожения, что представляет собой
фактор качества используемых персональных данных.
Во-вторых, скрытным (с точки зрения человека) процессом
автоматизированной обработки и хранения персональных данных. Сбор многих
сведений о частной жизни можно вести без ведома субъекта данных, если
применять современные средства тайного наблюдения и методы
расследования. Поэтому, чтобы субъект данных мог знать о сборе и
хранении относящихся к нему данных, а также контролировать качество этих
данных, способы и адресность их использования, были сформулированы права
субъекта данных в связи со сбором, обработкой и использованием данных о
нем.
Принципы качества персональных данных и права субъекта данных в
совокупности получили название принципов защиты данных и явились основой
для построения национальных систем правовой защиты персональных данных.
В существующих национальных и международных понятиях принципов защиты
данных имеются незначительные различия, что является результатом
гармонизирующих инициатив международных организаций и указывает на
универсальную природу этих принципов. Общий перечень принципов защиты
данных соответствует формуле:
16
принципы защиты данных = принципы качества + права субъекта данных и
ограничивается 10 принципами, приведенными ниже:
А. Принципы качества. Персональные данные, проходящие автоматизированную
обработку:
1) должны быть получены на законных основаниях и обработаны
добросовестным и законным способом (принцип законности данных);
2) должны накапливаться для точно определенных и законных целей и не
использоваться каким-либо образом, несовместимым с этими целями (принцип
законности целей);
3) должны быть адекватными, имеющими прямое отношение к делу и не быть
избыточными применительно к целям, для которых они накапливаются
(принцип адекватности и релевантности данных);
4) должны быть точными и, в случае необходимости, своевременно
обновляемыми (принцип достоверности и актуальности данных);
5) должны храниться в форме, позволяющей идентифицировать субъектов
данных только в той мере, в какой этого требуют цели, для которых эти
данные накапливаются (принцип анонимности).
Б. Права субъекта данных
Любому человеку должно быть предоставлено право:
1) быть осведомленным о существовании автоматизированного файла
персональных данных, о его главных целях, а также о контролере этого
файла, его месте жительства, либо юридическом адресе (право на
информацию о наличии собранного на индивида файла персональных данных);
2) получать через разумные интервалы времени, без излишних затрат
времени и средств, как в ответ на свой запрос, так и без запроса,
сообщение о том, накапливаются ли персональные данные о нем в
автоматизированном файле данных (право на извещение о сборе данных);
3) получать доступ к личным персональным данным, хранимым держателем или
пользователем данных (право на доступ к личным персональным данным);
4) требовать исправления или уничтожения недостоверных персональных
данных, а также персональных данных, обработанных с
17
нарушением положений национального права, реализующих принципы защиты
данных (право на исправление или уничтожение недостоверных или незаконно
обработанных личных данных);
5) прибегать к судебной защите нарушенного права субъекта данных (право
судебной защиты).
Рассматривая принципы качества, нетрудно заметить, что принципы (1) и
(2) обеспечивают соответствие персональных данных критерию законности
данных и целей их обработки; принцип (3) -соответствие данных критерию
адекватности и релевантности; принцип (4) – соответствие данных критерию
достоверности и актуальности; принцип (5) – соответствие данных критерию
регулируемой анонимности. Если принципы качества (3) и (4) применимы к
любым данным, то принципы (1), (2) и (5) являются специфичными для
персональных данных и вытекают из их природы атрибутов частной сферы
человека, с присущим им особым свойством “чувствительности” для субъекта
данных HYPERLINK “” \l “B1735Part4p18s1” 1 .
Что касается прав субъекта данных, то они конкретизируют (применительно
к сфере автоматизированной обработки данных) право индивида
контролировать циркуляцию “чувствительной” информации о самом себе,
столь важное для правовой защиты сферы частной жизни, что оно вошло во
многие определения как “право на невмешательство в частную жизнь”.
Кроме того, необходимо отметить, что существует еще одно право субъекта
данных, которое признается и применяется далеко не во всех национальных
и международных системах защиты персональных данных, – принцип согласия
субъекта данных как критерия допустимости обработки и использования
данных. Этот принцип представляет собой право индивида контролировать
циркуляцию “чувствительной” информации о самом себе как права
самостоятельно решать, предоставлять или не предоставлять кому-либо
сведения о своей частной жизни (т.е. персональные данные).
Основной дилеммой “компьютерного информационного общества” стало
противоречие между стремлением как можно больше
18
использовать компьютерные персональные данные в интересах всего общества
и желанием максимально защитить право субъекта данных на невмешательство
в его частную жизнь. Отражением этой дилеммы является дуализм целей
правового регулирования обработки и использования персональных данных,
направленный на решение двойственной задачи сбалансированной защиты
сферы частной жизни субъекта данных, с одной стороны, и права других
индивидов и всего общества на свободу доступа к информации, с другой
стороны. Вышеназванное положение можно сформулировать в виде принципа
дуализма целей следующим образом: “Целью правового регулирования
обработки и использования персональных данных является обеспечение
сбалансированной защиты права субъекта данных на контроль за
относящимися к нему персональными данными и законных интересов общества
в осуществлении права свободного доступа к информации”.
Конвенция 108 Совета Европы прямо указывает на необходимость выделения
группы “высокочувствительных” данных (данные о расовом или национальном
происхождении, политических взглядах, религиозных или иных убеждениях, а
также данные, касающиеся здоровья, сексуальной жизни, судимости) в
особую категорию данных и создания для них особого режима правовой
защиты HYPERLINK “” \l “B1735Part4p19s1” 1 .
Ст. 7 Конвенции 108 Совета Европы обязывает стран-участниц принимать
надлежащие меры для обеспечения безопасности хранящихся персональных
данных от случайного или несанкционированного уничтожения или случайной
утраты, а равно и от несанкционированного доступа, изменения или
распространения HYPERLINK “” \l “B1735Part4p19s2” 2 . Во исполнение
этой статьи Конвенции большинство стран-участниц закрепило в своих
национальных законах о защите данных принцип ответственности держателя и
пользователя данных за принятие ненадлежащих мер обеспечения
безопасности персональных данных. В этом плане самого пристального
внимания заслуживает опыт Германии, где в ст. 9 специального Приложения
к Федеральному
19
закону 1990 г. о защите данных HYPERLINK “” \l “B1735Part4p20s1” 1 ,
закреплены основные организационно-технические меры обеспечения
безопасности персональных данных, тем самым унифицируя их для всех
субъектов федерации (федеральных земель), ведомств, отраслей и секторов
экономики. Принцип безопасности включает следующие формы защиты
персональных данных:
Если информация о личности (персональные данные) обрабатывается
автоматизированными средствами, то в обязательном порядке принимается
совокупность определенных ниже организационно-технических мер
обеспечения безопасности данных, зависящая от категории обрабатываемых
персональных данных (высокочувствительные, чувствительные, обычные) и
конкретных этапов обработки (сбор, хранение, централизованная машинная
обработка, децентрализованная обработка с применением удаленных
терминалов, передача на магнитных или иных носителях, передача по
телекоммуникационным линиям) – принцип дифференцированной защиты.
Ответственность за принятие ненадлежащих мер обеспечения безопасности
на каждом конкретном этапе обработки и/или использования персональных
данных возлагается на физическое или юридическое лицо, осуществляющее
данный этап обработки и/или использования – принцип адресной
ответственности.
Запрещается несанкционированный доступ посторонних лиц к устройствам,
обрабатывающим персональные данные – принцип контроля доступа к
устройствам обработки данных.
Ответственное лицо должно обеспечить необходимые и достаточные меры
безопасности, предотвращающие незаконное считывание, копирование,
изменение или удаление данных с их магнитных или иных носителей –
принцип контроля носителей данных.
Ответственное лицо должно обеспечить необходимые и достаточные меры
безопасности, предотвращающие незаконный ввод данных в накопитель
(устройства памяти ЭВМ), а также незаконное ознакомление, изменение или
уничтожение персональных данных -принцип контроля накопителя.
20
Ответственное лицо должно обеспечить необходимые и достаточные меры
безопасности, предотвращающие использование неправомочными лицами систем
по обработке данных с помощью устройств передачи данных – принцип
контроля пользователя.
Ответственное лицо должно обеспечить необходимые и достаточные меры
безопасности, гарантирующие, чтобы лицо, полномочное пользоваться
системой обработки данных, имело доступ только к тем данным, которые
подлежат его праву доступа – принцип контроля доступа к надлежащим
данным.
Ответственное лицо обязано при помощи соответствующих
программно-технических средств и организационных мероприятий обеспечить
возможность проверки и определения, каким адресатам передаются
конкретные персональные данные через устройства по передаче данных –
принцип контроля передачи.
Ответственное лицо обязано при помощи соответствующих
программно-технических средств и организационных мероприятий обеспечить
возможность проверки и установления того, какие персональные данные, в
какое время и кем были введены в систему обработки данных – принцип
контроля ввода.
Ответственное лицо должно обеспечить необходимые и достаточные меры
безопасности, гарантирующие, чтобы данные о личности, которые
обрабатываются по поручению, обрабатывались бы только по указанию
заказчика – принцип контроля поручения.
Ответственное лицо должно предпринимать надлежащие меры безопасности,
чтобы при телекоммуникационной передаче данных, а также при
транспортировке носителей данных, персональные данные не могли быть
незаконно прочитаны, скопированы, изменены или уничтожены – принцип
контроля транспортировки данных.
Внутренняя организация учреждения или предприятия, где осуществляется
обработка, передача или использование персональных данных, должна быть
устроена таким образом, чтобы соответствовать специальным требованиям
защиты данных – принцип организационного контроля.
Таким образом, формула состава принципов защиты данных подлежит
дальнейшему расширению: принципы защиты данных = принципы качества +
права субъекта данных + принцип дуализма
21
целей + особый режим защиты “высокочувствительных” данных + принципы
безопасности данных.
22
HYPERLINK “” \l “B1735Part4p18s1cr” 1 Подробнее о принципах защиты
данных см.: Совет Европы. Конвенция о защите личности в связи с
автоматической обработкой персональных данных. от 28 января 1981 – Спб.:
Манускрипт, 1995, с. 12-14.
HYPERLINK “” \l “B1735Part4p19s1cr” 1 См.: Совет Европы. Конвенция о
защите личности в связи с автоматической обработкой персональных данных,
от 28 января 1981. – Спб.: Манускрипт, 1995. С. 12.
HYPERLINK “” \l “B1735Part4p19s2cr” 2 Там же.
HYPERLINK “” \l “B1735Part4p20s1cr” 1 См.: Federal Data Protection
Act (1990), App. l for Art. 9.
HYPERLINK “” \l “16” 16 :: HYPERLINK “” \l “17” 17 ::
HYPERLINK “” \l “18” 18 :: HYPERLINK “” \l “19” 19 :: HYPERLINK
“” \l “20” 20 :: HYPERLINK “” \l “21” 21 :: HYPERLINK “” \l “22”
22 :: HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “22” 22 :: HYPERLINK “” \l “23” 23 ::
HYPERLINK “” \l “24” 24 :: HYPERLINK “” \l “25” 25 :: HYPERLINK
“” \l “26” 26 :: HYPERLINK “B1735Content.html” Содержание
§ 4. Проблемы правовой защиты особо опасных объектов
К разряду особо опасных информационных объектов в сфере правового
регулирования обработки и использования персональных данных принято
относить:
– общенациональные идентификационные коды личности;
– программные процедуры типа “data matching” (процедуры
сопоставления/состыковки файлов персональных данных).
Компьютеризация персональных данных дает потенциальную возможность
свести все персональные данные об индивидууме воедино. Необходимые
технологические предпосылки для создания такой всеобъемлющей
компьютерной системы слежения за частной жизнью каждого индивида были
достигнуты к середине 1970-х гг. Возможность тотального компьютерного
контроля государства за частной жизнью индивидов получила неофициальное,
но практически повсеместно распространенное в демократических странах
название “Проблемы Большого брата” HYPERLINK “” \l “B1735Part5p22s1” 1
. Появились не только необходимые компьютерно-телекоммуникационные сети,
но и соответствующая концепция “географически распределенных
информационных систем” (GIS), реализация которой применительно ко всем
базам и банкам персональных данных, имеющимся в стране, и означает
создание тотальной системы слежки за частной жизнью граждан (т. е.
“Большого брата”). С информационной точки зрения, суть функционирования
системы “Большого брата” сводится к процедуре поиска и выборки
персональных данных конкретного субъекта из различных файлов (которые
могут храниться в компьютерных банках данных, дислоцированных в разных
концах страны) и слияния этих персональных данных в единый файл,
содержащий исчерпывающие сведения о данном субъекте данных. Такая
процедура получила название “data
22
matching” HYPERLINK “” \l “B1735Part5p23s1” 1 . Задача правового
регулирования в данном случае сводится к тому, чтобы ограничить
применение процедур типа “data matching” пределами, не допускающими
создания системы тотальной компьютерной слежки за частной жизнью.
В ряде стран существуют еще более строгие ограничения, не допускающие
применения процедур типа “data matching” даже в рамках одной и той же
базы данных, за исключением случаев, прямо предусмотренных законом.
Создание системы “Большого брата” на базе применения процедур типа “data
matching” к существующим в стране банкам персональных данных возможно
только в том случае, если персональные данные конкретного индивидуума
хранятся в разных компьютерных информационных системах в привязке к
одному и тому же поисковому признаку, позволяющему однозначно
идентифицировать субъект этих данных. Только наличие такого единого
поискового признака, получившего название “универсального
идентификационного кода”, или “персонального идентификатора”, позволяет
проводить процедуры “согласования персональных данных” из разных файлов
и банков данных по отношению к конкретным субъектам данных.
Универсальный идентификационный код может вводиться в стране специально,
но чаще в качестве его используются уже существующие во многих странах
Единый код налогоплательщика или Единый номер социального обеспечения,
присваиваемые каждому гражданину страны. В данном случае меры защиты
состоят либо в законодательном запрете на введение в стране какого-либо
универсального идентификационного кода, либо в тщательном и жестком
правовом регулировании использования уже существующего в стране единого
персонального идентификатора.
Существуют различные национальные подходы к правовому регулированию
использования идентификационных кодов и процедур типа “data matching”.
Бельгия. Бельгийский закон 1992 г. о защите данных не содержит запрета,
ограничения или иной регламентации совмещения (объединения) персональных
данных из разных файлов (что принято называть автоматическим
“согласованием” персональных данных и
23
банков данных). Он оставляет детальную регламентацию на долю специальных
королевских указов, предусматривая в ст. 21 возможность наложения
запретов или ограничений (например, таких, как предварительное
санкционирование каждого случая “согласования данных”) на определенные
категории процедур типа “data matching” или установление иных
взаимосвязей между персональными данными. HYPERLINK “” \l
“B1735Part5p24s1” 1
Канада. Личный номер социального страхования (ЛНСС) был впервые введен в
Канаде в 1936 г, для использования при сборе налогов, выплате пенсий и
социальных пособий. Однако многие федеральные нормативные правовые акты
санкционируют использование ЛНСС в качестве Единого персонального
универсального идентификатора личности. Например:
1) Законодательный акт о сборе подоходных налогов.
2) Законодательный акт о проведении всеобщих выборов в Канаде.
3) Законодательный акт о социальном страховании по безработице.
4) Инструкции Канадского пенсионного фонда.
5) Инструкции о социальном страховании по старости.
6) Инструкции о социальном страховании по безработице.
7) Инструкции о выплате пособий ветеранам и т. д.
Для предотвращения посягательств на сферу частной жизни Канадское
федеральное правительство разработало план работы по контролю за
“согласованием данных” и ограничению использования личного номера
социального страхования в качестве персонального идентификатора. Этот
план требует, чтобы правительство информировало Федерального
специального уполномоченного по защите прав граждан на
неприкосновенность частной жизни о всех реализуемых программах по
“согласованию данных” и публиковало отчеты о них для обеспечения
контроля со стороны общества. Все собранные в рамках таких программ
данные должны подвергаться перепроверке с привлечением субъектов данных.
Граждане должны быть осведомлены о цели запроса их ЛНСС во время любой
процедуры сбора информации и, если это особо не оговорено законом,
правительственные учреждения не вправе отказывать в услугах из-за
нежелания граждан
24
предоставлять информацию о своих персональных идентификационных номерах.
Законоположения, регламентирующие использование процедуры “согласования
данных” и персонального идентификатора, имеются в законодательных актах
о защите прав граждан на неприкосновенность частной жизни ряда провинций
Канады, а контроль за их исполнением возлагается на Провинциальных
уполномоченных по защите прав граждан на неприкосновенность частной
жизни HYPERLINK “” \l “B1735Part5p25s1” 1 .
Дания. Датские органы законодательной власти, ввиду увеличения
использования персональных идентификационных номеров, в 1987 г. внесли
специальные поправки в Закон 1979 г. о частных регистрах, более детально
регламентирующие “регистрацию” (этим термином вышеупомянутый закон
определяет занесение данных в компьютерные файлы) той информации,
которая включает в себя персональные номера. В частности, “регистрация”
персональных номеров не может теперь осуществляться частными
предприятиями HYPERLINK “” \l “B1735Part5p25s2” 2 .
США. В США Национальные идентификационные номера социального обеспечения
(CCIN), присваиваемые почти каждому индивиду, давно уже обрели характер
универсального идентификатора, и в публичной сфере почти не осталось уже
ведомств и учреждений, которые не пользовались бы этим удобным (но, по
вышеизложенным причинам, опасным) инструментом для идентификации
граждан. Федеральное правительство пыталось ограничить чрезмерное
использование CCIN, требуя, чтобы федеральные, штатские и местные
учреждения извещали каждого индивида о правовом основании, которое
позволяет им при выполнении их функций, в числе прочей информации,
требовать от индивида указания его CCIN. a также устанавливает, какое
использование может быть придано этим номерам (ст. 552а (7) Свода
законов о гражданских правонарушениях). Однако законодательный Акт 1976
г. о налоговой реформе снял это ограничение с ведомств штатов, которые
занимаются вэлфером, налогами и автомобильным транспортом. Тем не менее,
согласно ст.
25
26 USC 408, существуют уголовные наказания за раскрытие или
использование CCIN любого человека вопреки федеральному закону.
Штат Вирджиния принял свой закон, согласно которому считается
незаконным: (1) требовать от человека сообщения его CCIN для совершения
любого юридического акта или сделки; (2) отказывать в услуге или
обслуживании, если CCIN не был сообщен, если только раскрытие
идентификационного номера не требуется федеральным законом или законом
штата (Кодекс штата Вирджиния, ст. 2. 1-385). Однако та же самая
Вирджиния требует указания CCIN на водительских лицензиях резидентов
штата Вирджиния (ст. 46.1-375); кроме того, избиратели в штате
Вирджиния, чтобы проголосовать, должны раскрывать свои CCIN (ст. 24.
1-72. 2) HYPERLINK “” \l “B1735Part5p26s1” 1 .
26
HYPERLINK “” \l “B1735Part5p22s1cr” 1 “Большим братом” называлась
компьютерная система тотального контроля за поведением граждан в
гипотетическом тоталитарном обществе, изображенном в фантастическом
романе-прогнозе Дж. Оруэлла “1984”, впервые опубликованном в 1949 г.
HYPERLINK “” \l “B1735Part5p23s1cr” 1 Переводится как “совмещение”,
“стыковка”, “согласование данных”.
HYPERLINK “” \l “B1735Part5p24s1cr” 1 См.: Art. 21 of Data
Protection Act (1992, Belgium).
HYPERLINK “” \l “B1735Part5p25s1cr” 1 См.: Williams, Amy-Lynne
Porter, Robert Wilkes and Michael Erdle, CANADA: Data Protection
Regulatory System, Blake, Cassels & Graydon, Toronto, Ontario. Canada,
1994.
HYPERLINK “” \l “B1735Part5p25s2cr” 2 См.: Private Registers Act
(1979, Denmark).
HYPERLINK “” \l “B1735Part5p26s1cr” 1 См.: Warren Freedman, Op.
cit., p. 107.
HYPERLINK “” \l “22” 22 :: HYPERLINK “” \l “23” 23 ::
HYPERLINK “” \l “24” 24 :: HYPERLINK “” \l “25” 25 :: HYPERLINK
“” \l “26” 26 :: HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “27” 27 :: HYPERLINK “” \l “28” 28 ::
HYPERLINK “B1735Content.html” Содержание
Глава 2. Основные категории субъектов
информационных правовых отношений
в сфере персональных данных
§ 1. Понятие субъекта данных
Субъектами информационных правовых отношений, возникающих в процессе
сбора, хранения, обработки, использования и передачи персональных
данных, являются:
а) лица, физические и юридические (как правило, физические), к которым
относятся собираемые, хранимые, обрабатываемые, используемые и
передаваемые данные. В информационном праве подавляющего большинства
стран для обозначения этих лиц применяется термин “субъект данных” (data
subject). Лишь весьма ограниченное число национальных законов использует
вместо него термин “заинтересованное лицо”, которое имеет более широкое
значение в сфере обработки и использования персональных данных;
б) лица, юридические и физические, осуществляющие действия по обработке
и/или использованию или передаче персональных данных.
Неправомерные действия по сбору, хранению, обработке, использованию или
передаче персональных данных составляют посягательство на право субъекта
этих данных на невмешательство в его сферу частной жизни.
Национальные законы дают сходные нормативные определения понятия
“субъект данных”, хотя встречаются некоторые отличия, не связанные с
действующей системой права или государственным устройством страны, и
зависят от национальных традиций и особенностей национального языка.
Финский закон 1988 г. о файлах персональных данных определяет “субъект
данных” таким образом: “…§ 4. Термин “субъект данных” означает любое
лицо, к которому относятся персональные данные” HYPERLINK “” \l
“B1735Part6p27s1” 1 .
Британский законодательный акт 1984 г. о защите данных определяет это
понятие так: “…4) Под “субъектом данных” понимается индивидуум,
являющийся субъектом персональных данных”. HYPERLINK “” \l
“B1735Part6p27s2” 2
27
Австрийский закон 1978 г. о защите данных распространяет понятие
“персональные данные” и на сведения об организациях (только частного
права), т.е. признает право на невмешательство в “корпоративную частную
сферу”:
“…§ 2. Субъект данных: любое физическое или юридическое лицо, или
ассоциация, отличные от контролера данных (§ 3), чьи данные используются
(§ 12); юридические лица публичного права и их органы не должны
рассматриваться как субъекты данных, поскольку они исполняют официальные
функции” HYPERLINK “” \l “B1735Part6p28s1” 1 .
28
HYPERLINK “” \l “B1735Part6p27s1cr” 1 См.: Sec.2 of Personal Data
File Act (1988, Finland).
HYPERLINK “” \l “B1735Part6p27s2cr” 2 См.: Sec. 1(4) of UK Data
Protection Act 1984.
HYPERLINK “” \l “B1735Part6p28s1cr” 1 См.: Sec. 3(2) of Austrian
Data Protection Act (1978).
HYPERLINK “” \l “27” 27 :: HYPERLINK “” \l “28” 28 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “28” 28 :: HYPERLINK “” \l “29” 29 ::
HYPERLINK “B1735Content.html” Содержание
§ 2. Понятие субъекта обработанных данных
Японский закон 1989 г. об обрабатываемых компьютерами персональных
данных, хранимых административными органами, вводит понятие “субъект
обработанных данных” (ст. 2), сопоставляя его не с любыми персональными
данными, а с данными, специально организованными в файл персональных
данных для определенной цели:
“4) Термин “файл персональных данных” означает любую группу персональных
данных, систематически собранных и организованных для достижения цели
(завершения выполнения) определенных функций, которые должны быть
записаны на магнитной ленте, магнитном диске или любом другом подобном
носителе, способном сохранять определенные вещи надежно зафиксированными
(далее имеются “магнитная лента и т. п. “) для целей компьютерной
обработки.
5) Термин “обработанные данные” означает персональные данные, записанные
в неком файле персональных данных.
6) Термин “субъект обработанных данных” означает любого индивидуума,
данные о личности которого могут быть воспроизведены и выделены в ходе
компьютерной обработки без ссылок на принадлежащие любому другому
индивидууму имя, дату рождения, иные описания или номера, символы, иные
признаки, присвоенные другому индивидууму среди индивидуумов,
идентифицируемых этими обработанными данными” HYPERLINK “” \l
“B1735Part7p28s2” 2 .
28
Вопросы регулирования деятельности юридических и физических лиц.
осуществляющие действия по обработке и/или использованию персональных
данных, составляют неоднородную группу и должны квалифицироваться в
зависимости от:
1) степени их контроля над персональными данными;
2) прав собственности по отношению к компьютеризованным (файлы,
регистры, базы и банки персональных данных) или ручным (досье, архивы,
картотеки) собраниям персональных данных;
3) вида осуществляемых ими действий по отношению к персональным данным.
29
HYPERLINK “” \l “B1735Part7p28s2cr” 2 См.: Art. 2(6) of The Act for
Protection of Computer-Processed Personal Data Held by Administrative
Organs (1989, Japan).
HYPERLINK “” \l “28” 28 :: HYPERLINK “” \l “29” 29 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “29” 29 :: HYPERLINK “B1735Content.html”
Содержание
§ 3. Понятие держателя данных
Практически повсеместно распространенным обозначением лица, обладающего
наибольшей степенью контроля над персональными (и иными) данными,
остается термин “держатель данных” (data holder). Как правило,
“держатель данных” определяется как лицо, имеющее право принимать любые
(в рамках закона) решения в отношении хранящихся у него данных.
Тождественный термин является базовым понятием и в российской
информатике.
29
HYPERLINK “” \l “29” 29 :: HYPERLINK “B1735Content.html”
Содержание
***********************************
HYPERLINK “” \l “29” 29 :: HYPERLINK “” \l “30” 30 ::
HYPERLINK “B1735Content.html” Содержание
§ 4. Понятие контролера файлов
Однако в 1981 г. Конвенция 108 Совета Европы с целью гармонизации
терминологии в области защиты персональных данных ввела новый термин
“контролер файлов” (file controller), определяемый следующим образом:
“ст. 2…d) под термином “контролер файлов” понимается физическое или
юридическое лицо, орган публичной власти, ведомство или любая другая
организация, которые в соответствии с национальным правом, наделены
полномочиями решать для какой цели создается файл данных, какие
категории персональных данных
29
будут в нем накапливаться и какие операции с ними будут осуществляться”
HYPERLINK “” \l “B1735Part9p30s1” 1 .
30
HYPERLINK “” \l “B1735Part9p30s1cr” 1 См.: Совет Европы. Конвенция о
защите личности в связи с автоматической обработкой персональных данных,
от 28 января 1981 г. (вступила в силу 1 октября 1985). – Спб.:
Манускрипт, 1995.
HYPERLINK “” \l “29” 29 :: HYPERLINK “” \l “30” 30 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “30” 30 :: HYPERLINK “” \l “31” 31 ::
HYPERLINK “B1735Content.html” Содержание
§ 5. Понятие контролера данных
Анализируя определение “контролера данных” (data controller)
Австрийского закона 1978 г., следует учитывать, что оно было
сформулировано до появления международного определения понятия
“контролер файлов”, данного Конвенцией 108, и никак не связано с ним.
Поэтому определение не содержит главного (“родового”) признака
контролера данных – права на принятие решений относительно персональных
данных – и определяет, в сущности, нечто среднее между категориями
“пользователь данных” и “обработчик данных”:
“§3. Контролер данных: любое лицо или орган юридического лица публичного
права, которые обрабатывают или, при помощи запроса справочных данных у
некоего обработчика данных (§ 4), получают данные, обработанные
автоматическими средствами” HYPERLINK “” \l “B1735Part10p30s2” 2 .
В определении Бельгийского закона 1992 г. о защите персональной
приватности по отношению к обработке персональных данных сказывается
гармонизирующее влияние Конвенции 108:
“Термин “контролер файла” означает любое физическое или юридическое лицо
или ассоциацию де-факто, наделенные правом принимать решения
относительно целей обработки и типа данных, которые должны быть
обработаны.
В случае, когда цели обработки и тип данных, которые должны быть
обработаны, установлены законом, контролер файла должен быть физическим
или юридическим лицом, назначенным этим законом для контроля
(управления) данного файла…” HYPERLINK “” \l “B1735Part10p30s3” 3 .
30
Аналогичным образом подходит к определению этого понятия и Финский закон
1988 г. о файлах персональных данных:
“…3. Термин “контролер файла” означает любое юридическое лицо,
ассоциацию или фонд, которые учреждены для использования файла
персональных данных и которое имеют право распоряжения над
использованием этого файла персональных данных” HYPERLINK “” \l
“B1735Part10p31s1” 1 .
Национальные законы по защите персональных данных не содержат положений,
устанавливающих права собственности держателей данных (контролеров
файлов) по отношению к компьютеризованным или ручным собраниям
персональных данных. Установление прав собственности на данные всех
видов (а не только персональные) и их собрания производится в других
разделах информационного права зарубежных стран.
31
HYPERLINK “” \l “B1735Part10p30s2cr” 2 См.: Sec. 3(3) of Austrian
Data Protection Act (1978).
HYPERLINK “” \l “B1735Part10p30s3cr” 3 См.: Art. 1(6) of Law
Concerning the Protection of Personal Privacy in Relation to the
Processing of Personal Data (1992, Belgium).
HYPERLINK “” \l “B1735Part10p31s1cr” 1 См.: Sec.2(3) of Personal
Data File Act 1988 (Finland).
HYPERLINK “” \l “30” 30 :: HYPERLINK “” \l “31” 31 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “31” 31 :: HYPERLINK “” \l “32” 32 ::
HYPERLINK “B1735Content.html” Содержание
§ 6. Понятие пользователя данных
Наиболее распространенной категорией субъектов информационных отношений,
чей статус и терминологическое обозначение определяются видом
осуществляемых ими действий по отношению к персональным данным, является
“пользователь данных” [data user]. В большинстве национальных правовых
системах “пользователь данных” определяется как физическое или
юридическое лицо, использующее собранные и обработанные данные, для
которых оно не является “держателем данных” (“контролером файлов”) или
“обработчиком данных”.
Принципиальным исключением является определение понятия “пользователь
данных” в ст. 1(5) Британского законодательного акта 1984 г. о защите
данных:
“ст. 1(5). Под термином “пользователь данных” понимается лицо, в
распоряжении которого находятся данные и которое “распоряжается” этими
данными, если:
(а) данные являются составной частью базы данных, обработанных или
предназначенных для обработки самим таким лицом или по его поручению…;
31
(b) это лицо (самостоятельно, совместно или по договоренности с другими
лицами) контролирует содержание данных и пользуется данными,
составляющими базу данных;
(c) данные собраны в форме, в которой они были обработаны, или в форме,
позволяющей их обрабатывать, как было указано в пункте (а), или (будучи
не в указанной выше форме) в форме, которую они приняли после их
обработки, и с учетом возможности их последующей обработки в будущем”
HYPERLINK “” \l “B1735Part11p32s1” 1 .
Из текста определения видно, что британский закон под термином
“пользователь данных” подразумевает категорию “держатель данных” (или
“контролер файла”). Экспортерам данных при заключении договоров об
обмене данными с британскими контрагентами необходимо учитывать
расхождение с общепринятой терминологией.
32
HYPERLINK “” \l “B1735Part11p32s1cr” 1 См.: Sec. 1(5) of UK Data
Protection Act 1984.
HYPERLINK “” \l “31” 31 :: HYPERLINK “” \l “32” 32 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “32” 32 :: HYPERLINK “” \l “33” 33 ::
HYPERLINK “B1735Content.html” Содержание
§ 7. Понятие компьютерного бюро
В британском информационном праве используется категория “компьютерное
бюро” [computer bureau], аналогов которой нет ни в какой другой
национальной системе права. Вышеупомянутый закон определяет ее следующим
образом:
“ст. 1(6). Под термином “компьютерное бюро” понимается лицо, оказывающее
услуги по сбору и обработке данных другим лицам, если:
(a) оно действует в качестве агента других лиц по обработке данных,
хранящихся у этих лиц;
(b) оно позволяет другим лицам использовать его оборудование в целях
обработки данных, хранящихся у этих лиц” HYPERLINK “” \l
“B1735Part12p32s2” 2 .
Из текста данного определения понятие “компьютерное бюро” аналогично
термину “обработчик данных”.
Большое значение придается в британском законе категориям “пользователь
данных” и “компьютерное бюро” – последнее обязано выполнять только один
(восьмой) из 8 фундаментальных “принципов защиты данных”, на которых
базируется законодательный акт 1984 г. о защите данных, в то время как
первый обязан соблюдать все 8
32
принципов. Существенно различаются и требования, предъявляемые при
регистрации обработки персональных данных “пользователями данных” и
“компьютерными бюро”: первые рассматриваются как “владельцы” или
“держатели” данных, а вторые – как “фирмы, работающие на давальческом
сырье”, где в качестве сырья выступает информация (данные).
33
HYPERLINK “” \l “B1735Part12p32s2cr” 2 См.: Sec. 1(6) of UK Data
Protection Act 1984.
HYPERLINK “” \l “32” 32 :: HYPERLINK “” \l “33” 33 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “33” 33 :: HYPERLINK “” \l “34” 34 ::
HYPERLINK “” \l “35” 35 :: HYPERLINK “B1735Content.html” Содержание
§ 8. Понятие обработчика данных
Несколько реже используется в зарубежном законодательстве категория
“обработчик данных” (data processor) или просто “обработчик”
(processor), определяемый обычно как физическое или юридическое лицо,
осуществляющее автоматизированную или ручную обработку данных, для
которых оно не является “держателем данных” (“контролером файлов”) или
“сборщиком данных”. На практике, это лица, располагающие компьютерными
или иными мощностями для требуемой обработки персональных данных,
которые они получают от коммерческого заказчика или вышестоящей
организации как своего рода “давальческое сырье”, в отношении которого
они не могут принимать никаких самостоятельных решений.
Разработанный одним из первых Австрийский закон 1978 г. о защите данных
использует термин “обслуживающий обработчик” [service processor]:
“ст. 3(4). Обслуживающий обработчик: любое лицо или орган юридического
лица публичного права, использующие данные на основе такого мандата от
контролера данных, который специально ориентирован на автоматизированную
обработку данных” HYPERLINK “” \l “B1735Part13p33s1” 1 .
Более традиционно определение из Бельгийского закона 1992 г. о защите
персональной приватности по отношению к обработке персональных данных:
“…(7) Термин “обработчик” означает любое физическое или юридическое
лицо, или ассоциацию де-факто, на которые возложены
33
обязанность и ответственность за организацию и выполнение обработки”
HYPERLINK “” \l “B1735Part13p34s1” 1 .
И совсем редко используется категория “сборщик данных” (data collector),
под которым подразумевается (судя по контексту использования этого
термина) либо лицо, осуществляющее первичный сбор персональных данных,
либо лицо, накапливающее персональные данные в своей информационной
системе. Этот термин эпизодически применяется в зарубежных законах о
защите персональных данных, но не имеет определения ни в одном из них.
Помимо перечисленных выше категорий информационного права, встречается
еще такая редкая категория, как “третья сторона” или “третье лицо” в
сфере обработки и использования персональных данных, определение которой
содержится в Германском федеральном законе 1977 г. о защите данных:
“ст. 3(9). Третьим лицом является любое лицо или учреждение вне
инстанции, накапливающей данные. Третьими лицами не могут быть сам
индивидуум, о котором собираются данные, а также лица и учреждения,
которые по поручению обрабатывают и используют данные о личности в
сфере, подпадающей под действие данного закона”.
Таким образом, основными категориями субъектов информационных отношений
в области обработки и использования персональных данных являются:
Субъект персональных данных – физическое лицо, идентифицируемое на
основании этих данных (или с помощью этих данных и иной информации,
находящейся в распоряжении пользователя данных), для которого упомянутые
данные могут с точки зрения человека средней чувствительности (или по
прямому указанию закона) обоснованно считаться интимными и
конфиденциальными.
Держатель персональных данных (контролер или распорядитель файлов) –
физическое или юридическое лицо, обладающее правом принимать любые (в
рамках закона) решения в отношении обработки, использования и передачи
компьютеризованного или основанного на иной технологии собрания
персональных данных в качестве: (1) зарегистрированного и
лицензированного собственника или владельца соответствующих
информационных ресурсов; (2) лица, специально уполномоченные
компетентными государственными органами.
34
Пользователь персональных данных – физическое или юридическое лицо, по
установленной законом процедуре, использующее собранные и обработанные
персональные данные, для которых оно не является “держателем данных”
(“контролером файлов”).
Обработчик персональных данных – физическое или юридическое лицо,
располагающее компьютерными или иными мощностями, лицензированными для
требуемой обработки персональных данных, и осуществляющее
автоматизированную или ручную обработку данных, для которых оно не
является “держателем данных” (“контролером файлов”) и которые он
получает от коммерческого заказчика или иного лица, обладающего правами
“держателя” этих данных.
Сборщик персональных данных – физическое или юридическое лицо,
осуществляющее первичный сбор персональных данных в соответствии с
собственными законными полномочиями или по поручению лица, обладающего
такими полномочиями.
35
HYPERLINK “” \l “B1735Part13p33s1cr” 1 См.: Sec. 3 of Austrian Data
Protection Act (1978).
HYPERLINK “” \l “B1735Part13p34s1cr” 1 См.: Art. 1(7) of Law
Concerning the Protection of Personal Privacy in Relation to the
Processing of Personal Data (1992, Belgium).
HYPERLINK “” \l “33” 33 :: HYPERLINK “” \l “34” 34 ::
HYPERLINK “” \l “35” 35 :: HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “36” 36 :: HYPERLINK “B1735Content.html”
Содержание
РАЗДЕЛ II
ПРАВОВОЕ РЕГУЛИРОВАНИЕ ЗАЩИТЫ
ИНФОРМАЦИОННЫХ ОБЩЕСТВЕННЫХ
ОТНОШЕНИЙ В СФЕРЕ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
Глава 3. Принципы построения национальных правовых
систем защиты персональных данных
§ 1. Генеральный принцип
В процессе формирования деликтных средств защиты сферы частной жизни в
различных правовых системах, несмотря на все национальные особенности,
использовались только два принципиально отличавшихся подхода.
Генеральный – заключался в стремлении к созданию единого и
всеобъемлющего закона о защите сферы частной жизни и был связан с
попытками теоретического обоснования некого “всеобщего и абсолютного
права на невмешательство в частную жизнь”.
36
HYPERLINK “” \l “36” 36 :: HYPERLINK “B1735Content.html”
Содержание
***********************************
HYPERLINK “” \l “36” 36 :: HYPERLINK “” \l “37” 37 ::
HYPERLINK “B1735Content.html” Содержание
§ 2. Секторный (отраслевой) принцип
Секторный (или отраслевой) – состоял в создании специализированных
законов либо для каждого типа посягательств на сферу частной жизни, либо
для каждой отрасли или сектора человеческой деятельности, являющейся
потенциальным источником угроз для права человека на невмешательство в
его частную жизнь (например, для почты и средств связи, для бюро
кредитной информации, для средств массовой информации и рекламной сферы,
для частных детективов, для компьютерных банков данных).
В чистом виде и тот, и другой подходы оказались непродуктивными.
“Секторный” (“отраслевой”) подход, при котором новые “отраслевые” законы
принимались по мере накопления прецедентной базы, указывающей на новый
источник угроз для сферы частной жизни, приводил к бессистемности,
дублированию и противоречивости законоположений. Примером является
“лоскутное”
36
законодательство США в области защиты права граждан на
неприкосновенность частной жизни. “Генеральный” подход приводил к
созданию “всеобъемлющих” законов о защите сферы частной жизни, которые
устаревали при появлении каждого нового типа угроз для права на
невмешательство в частную жизнь. В Великобритании, чья легислатура
наиболее упорно стремилась к созданию “всеобъемлющего” закона, до сих
пор нет закона о защите сферы частной жизни, и судебная практика
вынужденно породила необычные юридические химеры – так называемые
“паразитические ущербы” – в качестве средства правовой защиты частной
жизни.
37
HYPERLINK “” \l “36” 36 :: HYPERLINK “” \l “37” 37 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “37” 37 :: HYPERLINK “B1735Content.html”
Содержание
§ 3. Смешанный принцип
Представляется несомненным, что этот опыт был учтен при создании
национальных систем защиты персональных данных. В подавляющем
большинстве стран современные национальные системы правового
регулирования обработки и использования персональных данных применяют
так называемый “смешанный” принцип, объединяющий определенные аспекты
“генерального” и “отраслевого” подходов. Национальное законодательство в
сфере защиты данных, как правило, состоит:
– из базового или, как их еще называют, системообразующего закона типа
Data Protecton Act (своеобразного реликта “генерального” подхода);
– комплекса “секторных” (“отраслевых”) законов, обеспечивающих защиту
персональных данных в секторах (отраслях) человеческой деятельности,
несущих потенциальную угрозу для права субъекта персональных данных на.
невмешательство в его частную жизнь.
Активным регулирующим компонентом современных систем защиты персональных
данных является национальный орган (или система органов) по защите
данных.
И последним компонентом таких систем являются нестатутные
(корпоративные) средства защиты, которые часто называют также “средства
саморегулирования”.
Ниже каждому из вышеназванных компонентов дается краткая характеристика.
37
HYPERLINK “” \l “37” 37 :: HYPERLINK “B1735Content.html”
Содержание
***********************************
HYPERLINK “” \l “38” 38 :: HYPERLINK “” \l “39” 39 ::
HYPERLINK “” \l “40” 40 :: HYPERLINK “B1735Content.html” Содержание
Глава 4. Национально-правовые методы защиты
персональных данных, обрабатываемых субъектами
информационных отношений
§ 1. Базовые (системообразующие) национальные законы
о защите персональных данных
Законодательной базой любой национальной системы защиты персональных
данных служит закон типа Data Protection Act (Закон о защите данных).
Подобные законы принято называть “системообразующими”, поскольку, помимо
принятых в данной системе права принципов защиты данных, они
устанавливают цели и структуру национальной системы защиты данных,
учреждают национальный орган (или систему органов) по защите данных и
регламентируют механизм взаимодействия всех компонентов системы.
Исследование многих зарубежных систем защиты данных позволило построить
обобщенную структуру закона типа Data Protection Act, в которую в
качестве обязательных элементов входят:
1) принципы качества персональных данных;
2) права субъекта данных в связи с обработкой и использованием данных о
нем;
3) установленные законом правила доступа к чужим персональным данным, их
раскрытия и передачи;
4) изъятие из правового регулирования данных в интересах государственной
и общественной безопасности, в связи с расследованием преступлений и т.
п.;
5) установленные законом меры правового регулирования сбора, хранения,
обработки, передачи и использования персональных данных:
(a) учреждение национального органа власти (или системы органов власти)
по защите персональных данных,
(b) регистрация (или лицензирование) обработки персональных данных;
создание и ведение национальных регистров держателей и пользователей
персональных данных,
(c) лицензирование передачи персональных данных за пределы национальной
территории;
38
6) требования к организационно-техническим мерам по обеспечению
безопасности данных при их сборе, обработке, использовании, передаче и
хранении;
7) статьи, устанавливающие наказания за нарушения принципов защиты
данных и иных положений закона о защите данных.
Названия зарубежных системообразующих законов о защите данных – Data
Protecton Act приводят к терминологической путанице, поскольку термин
“защита данных” в информатике охватывает весь комплекс видов зашиты
данных. Поэтому под защитой данных может пониматься любая
(организационно-техническая, криптографическая, программная, правовая)
защита различных данных (персональных, об окружающей среде, составляющих
торговую или технологическую тайну и пр.). На самом же деле, законы с
таким названием обеспечивают только правовую защиту персональных данных,
которые составляют сферу частной жизни человека. Следует отметить, что
для обозначения понятия “комплексная защита данных” на международном
уровне пользуются термином “обеспечение безопасности данных” (data
security).
Чтобы избежать терминологической путаницы, следует однозначно
установить, что термин “защита данных” должен толковаться только в том
смысле, который устанавливает ст. 1 Конвенции 108 Совета Европы:
“Целью настоящей Конвенции является обеспечение на территории каждой
страны-участницы для каждого частного лица, независимо от его
национальности или места жительства, уважения его прав и основных свобод
и, в частности, его права на неприкосновенность частной жизни по
отношению к автоматической обработке данных, содержащих сведения
частного характера (“зашита данных”)”.
Иными словами “защита данных – это обеспечение для каждого частного лица
уважения его права на неприкосновенность частной жизни по отношению к
автоматической обработке данных, содержащих сведения частного
характера”.
Объектом защиты Закона о защите компьютерных банков (баз) данных (Data
Bank Protecton Act) являются не сами банки (базы) данных, а, как следует
из Директивы 96/9/ЕС Европейского Парламента и Совета Европы от И марта
1996 г. по правовой защите баз
39
данных, Директивы Совета Европы 91/250/ЕЕС от 14 мая 1991 г. о правовой
защите компьютерных программ:
– принцип подбора содержимого банка (базы) данных (но не само содержимое
и не данные как элементы этого содержимого);
– способ организации и систематизации (т.е. организационная структура)
содержимого банка (базы) данных;
– компьютерные программы, входящие в состав СУБД (системы управления
банка или базы данных).
Таким образом, понятие “защита банка (базы) данных” означает защиту этих
трех непременных атрибутов любого банка (базы) данных. Нетрудно
заметить, что данные в их число не входят. Отсюда следует, что
терминологически правильным было бы название “Закон о защите
персональных данных в составе компьютерных банков (баз) данных”.
В заключение следует отметить, что в некоторых национальных системах
защиты данных системообразующее законодательное ядро состоит не из
одного, а из двух взаимодополняющих законов – закона типа Data Protecton
Act и закона типа Information Freedom Act (Закон о свободе информации),
которые нередко даже разрабатываются и принимаются одновременно. В
других системах принцип свободы доступа к информации непосредственно
закладывается в положениях закона как Data Protecton Act.
40
HYPERLINK “” \l “38” 38 :: HYPERLINK “” \l “39” 39 ::
HYPERLINK “” \l “40” 40 :: HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “40” 40 :: HYPERLINK “” \l “41” 41 ::
HYPERLINK “B1735Content.html” Содержание
§ 2. Отраслевые (секторные) нормативные акты о защите
персональных данных
Отраслевые (секторные) законы представляют собой дополнительные (по
отношению к базовому закону о защите данных) положения, обеспечивающие
защиту персональных данных в отраслях человеческой деятельности, где
имеет место обработка, передача или использование таких данных.
Продолжающееся распространение и появление новых
компьютерно-телекоммуникационных технологий расширяет потенциальную
угрозу других посягательств на право неприкосновенности сферы частной
жизни. “Отраслевые” законы редко разрабатываются специально для
конкретного вида угроз сфере частной жизни. Чаще происходит так, что
дополнительные положения о защите персональных данных включаются в уже
существующие или
40
разрабатываемые законы, регламентирующие все аспекты деятельности в той
или иной отрасли по мере накопления прецедентной базы посягательств на
права субъектов персональных данных в конкретной отрасли. Основное
достоинство такой нежесткой иерархической системы “базовый закон –
отраслевые законы” состоит в том, что при появлении новых видов
неправомерных посягательств на персональные данные нет необходимости
переделывать всю систему защиты. Достаточно внести изменение в
соответствующий “отраслевой” закон или дополнить его новым “отраслевым”
законоположением.
41
HYPERLINK “” \l “40” 40 :: HYPERLINK “” \l “41” 41 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “41” 41 :: HYPERLINK “” \l “42” 42 ::
HYPERLINK “” \l “43” 43 :: HYPERLINK “B1735Content.html” Содержание
§ 3. Национальный орган (или система органов) по защите
персональных данных
Поскольку современные национальные системы защиты данных являются
системами государственно-правового регулирования обработки и
использования персональных данных, то практически все они содержат
активный регулирующий компонент – национальный орган (или систему
органов) по защите данных, наделяемый регистрационно-разрешительными,
контрольно-надзорными, а также арбитражными, экспертными и
методологическими функциями.
Основные требования, предъявляемые к национальному органу по защите
данных международными соглашениями о гармонизации систем защиты данных,
– компетентность и независимость.
Компетентность потребовалась потому, что национальные органы по защите
данных должны были взять на себя арбитражную (функцию, с которой, ввиду
быстрого усложнения компьютерно-информационных технологий, перестали
справляться суды общего назначения.
“Пришло время, когда те, кто используют компьютеры для обработки
персональной информации (независимо от того, насколько ответственными
они являются), не могут больше оставлять на произвольное усмотрение
одних лишь судей решение вопроса о том, адекватно ли защищают сферу
частной жизнь их собственные компьютерные информационные системы”
HYPERLINK “” \l “B1735Part19p41s1” 1 .
41
Независимость от государства была необходимой потому, что государство с
приходом компьютерных технологий оказалось одной из сторон,
заинтересованных в обработке и использовании персональных данных, и,
следовательно, ни один из государственных органов не в состоянии был
занимать позицию беспристрастного арбитра по отношению к коллизии прав
субъекта данных и интересов держателей/пользователей персональных
данных. Независимость органа по защите данных в различных национальных
правовых системах обеспечивается разнообразными средствами: статусом
органа, его местом в системе государственной власти, процедурой
совместного назначения руководителя этого органа несколькими ветвями
государственной власти, разделением административной подчиненности и
подотчетности органа защиты данных между исполнительной и
представительной ветвями власти, прямым указанием закона и многими
другими методами, среди которых встречаются порой и довольно редкие. К
последним можно отнести своеобразный двойной статус Британского
регистратора по защите данных и его персонала. Согласно ст. 17 (2)
Британского законодательного акта 1984 г. о защите данных, регистратор и
его сотрудники считаются государственными служащими в тех случаях, когда
такой статус необходим для предоставления Регистратору доступа к файлам
данных, содержащим государственные тайны. В остальных случаях, согласно
ст. 1(2) части 1 Приложения 1 к вышеупомянутому закону, для выполнения
международных требований, касающихся независимости национального органа
по защите данных: “…Регистратор, его должностные лица и служащие не
должны рассматриваться в качестве служащих или агентов Короны”
HYPERLINK “” \l “B1735Part19p42s1” 1 .
Не менее разнообразны организационные формы национальных органов по
защите данных. Наиболее распространено учреждение поста специального
должностного лица (с переданным ему соответствующим персоналом),
ответственного за защиту персональных данных в национальном масштабе. В
зависимости от национальных традиций и объема своих функций,
установленных законом, это
42
должностное лицо может носить название Национального уполномоченного по
правам граждан на невмешательство в частную жизнь или Прайвеси-Комиссара
(Privacy Commissioner), Уполномоченного или Комиссара по защите данных
(Data Protection Commissioner), Омбудсмена по неприкосновенности частной
жизни или по защите данных (по определению понятия “омбудсмен”, это
название применимо лишь в тех странах, где правовое регулирование
обработки и использования персональных данных производится только в
публичном секторе). Регистратора по защите данных и некоторые другие. В
ряде стран предпочитают коллегиальные органы по защите данных, носящие
названия Советов, Комитетов или Коллегий по защите данных.
Достаточно распространено использование не единственного органа, а
системы органов власти по защите данных. Так, например, в Австрии
законом установлена двойственная регулирующая структура, состоящая из
Совета по защите данных и Комиссии по защите данных. В Финляндии в
национальную систему органов по защите данных входят Омбудсмен по защите
данных и Коллегия по защите данных. В Великобритании полномочия
Регистратора по защите данных в известной мере уравновешиваются
полномочиями специализированного суда (трибунала) по защите данных,
служащего апелляционной инстанцией, где можно опротестовать решения
Регистратора. В свою очередь, на решения этого Суда по защите данных
могут быть поданы апелляции в Верховные Суды королевств и княжеств,
входящих в состав Соединенного Королевства Великобритании и Северной
Ирландии. Тем самым в национальную систему защиты данных вносится
элемент “судебной состязательности”.
Несмотря на существование в ряде национально-правовых систем
специализированных судов и трибуналов по защите данных, входящих в
национальные системы органов по защите данных в качестве полноправных
членов, суды общего назначения тоже сохраняют определенную роль в
правовом регулировании обработки и использования персональных данных,
входя практически во все национальные системы защиты данных в качестве
“неявных” членов.
43
HYPERLINK “” \l “B1735Part19p41s1cr” 1 Белая Книга за 1975 г., с
изложением позиции правительства Великобритании по проблеме защиты сферы
частной жизни в связи с автоматизированной обработкой персональных
данных. Цит. по: Raymond Wakes, Protection of Privacy. – London; Sweet &
Maxwell, 1980. – 185 p. (Mod. legal studies).
HYPERLINK “” \l “B1735Part19p42s1cr” 1 App. I, Part I, Sec. 1(2) of
UK Data Protection Act 1984.
HYPERLINK “” \l “41” 41 :: HYPERLINK “” \l “42” 42 ::
HYPERLINK “” \l “43” 43 :: HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “44” 44 :: HYPERLINK “” \l “45” 45 ::
HYPERLINK “” \l “46” 46 :: HYPERLINK “” \l “47” 47 :: HYPERLINK
“” \l “48” 48 :: HYPERLINK “” \l “49” 49 :: HYPERLINK “” \l “50”
50 :: HYPERLINK “” \l “51” 51 :: HYPERLINK “” \l “52” 52 ::
HYPERLINK “” \l “53” 53 :: HYPERLINK “” \l “54” 54 :: HYPERLINK
“” \l “55” 55 :: HYPERLINK “” \l “56” 56 :: HYPERLINK
“B1735Content.html” Содержание
§ 4. Средства защиты персональных данных в публичных
и частных корпорациях
Существуют различные пути принятия компаниями или отраслями мер
саморегулирования в области защиты персональных данных:
– введение внутренних руководящих указаний или принципов;
– принятие Кодексов практики или поведения;
– учреждение некой должности специального ответственного.
Эти меры защиты персональных данных могут составлять часть из целой
серии внутренних процедур, которая, в свою очередь, представляет собой
часть внутреннего менеджмента или руководящих принципов безопасности
некой корпорации или отрасли человеческой деятельности. Из всех
предпринимаемых мер все более и более популярными становятся Кодексы
поведения или практики. Помимо всего прочего, они могут предоставлять
полезные средства для обеспечения “прозрачности” отраслевой или
корпоративной политики. На практике разница между такими кодексами и
внутренними руководящими принципами (или иными отраслевыми или
корпоративными подзаконными актами) может быть совсем невелика.
В области защиты данных форма, содержание и основная направленность
усилий Кодексов практики/поведения не являются сколько-нибудь
единообразными, что сильно затрудняет их формальную оценку и сравнение.
Не существует никакого универсального определения Кодексов
практики/поведения. Например, Голландский законодательный акт 1988 г. о
защите данных определяет Кодексы поведения как “…некий набор правил
или рекомендаций по отношению к файлам персональных данных, принятый
одной или более организациями, являющимися репрезентативными для того
сектора (отрасли), который они охватывают в интересах защиты
неприкосновенности частной жизни” HYPERLINK “” \l “B1735Part20p44s1” 1
.
Понятие “кодекс” имеет несколько значений. С одной стороны, оно
предполагает, что эти нестатутные (корпоративные) инструменты формируют
всестороннее и исчерпывающее изложение принципов и
44
правил по тому предмету ведения, которому они посвящены. С другой
стороны, этот термин настолько прочно вошел в лексикон защиты данных,
что его стали использовать для описания любой попытки саморегулирования,
которая проявляется в письменной форме. Разумеется, это вовсе не
облегчает решения вопроса о том, как оценивать любой кодекс.
Разработанные Организацией экономического сотрудничества и развития
(ОЭСР) предложения по оценке Кодексов поведения/практики (они будут
приведены несколько ниже) в какой-то мере помогают решить эту непростую
проблему.
Одним из ключевых элементом любого Кодекса практики должен быть его
добровольный характер, поскольку любой такой кодекс является средством
саморегулирования, используемым некой отраслью, отдельной компанией,
корпорацией или профессиональной ассоциацией для достижения
определенного уровня защиты данных. Соответственно, любой кодекс не
предоставляет никаких законных прав другим сторонам, вовлеченным в
процесс обработки, передачи и использования персональных данных.
Например, субъекты данных или лицо, передающее данные, не обретают
никаких прав против того держателя данных, который создал данный
конкретный кодекс. Однако это не препятствует кодексу быть “обязательным
для исполнения” внутри данной отрасли или корпорации. Например,
нарушение отраслевых стандартов, содержащихся в кодексах, может привести
к прекращению членства их нарушителя в соответствующей отраслевой или
профессиональной ассоциации.
Одна из значимых сторон любого кодекса состоит в том, что члены отрасли,
корпорации или ассоциации могут самостоятельно определять, какие
принципы защиты данных им стоит переводить в работоспособные положения
своего Кодекса практики/поведения. Если кодекс просто, провозглашает
широкие принципы защиты данных, но затем не предлагает мер для
соблюдения этих принципов, то такой кодекс не является средством защиты
данных.
И, наконец, следует отметить, что Кодексы поведения/практики являются
обычно инструментами частного сектора. Этому способствуют несколько
причин. Во-первых, регулирование защиты данных публичного сектора обычно
осуществляется на основании правил, установленных внутренними
инструкциями. Другая причина состоит в том, что в большинстве стран
защита данных частного сектора
45
остается сравнительно нерегулируемая, что предоставляет отраслям и
корпорациям возможности для саморегулирования, являющиеся приемлемыми и
для международных отраслевых ассоциаций, таких, как Международная
ассоциация воздушного транспорта (IATA), находящаяся вне сферы правового
регулирования какой-либо одной из стран.
Однако существуют и некоторые кодексы публичного сектора, например,
Кодекс ассоциации начальников полиции в Великобритании или Кодекс
католических начальных школ в Голландии.
Ранние кодексы были обычно ориентированы на конкретное предприятие и
устанавливали внутренние принципы защиты данных на этом предприятии.
“Пионерами” здесь были корпорация ЮМ и компания American Express, они
приняли кодексы еще в 1970-х гг. Большое число компаний последовало их
примеру в 1980-х гг. (что в определенной мере является следствием
опубликования в 1980 г. Руководящих принципов ОЭСР, поощрявших Кодексы
практики /поведения). Некоторые кодексы пересматривались в попытках
найти адекватный ответ на изменяющиеся внешние условия и принципы защиты
данных.
Если провести аналогию между первым и вторым поколением Кодексов
практики по защите данных, то первое поколение кодексов обычно содержало
только некий широкий набор абстрактных принципов в пределах одной
компании. Второе поколение кодексов предлагает более искусный,
“прикладной” подход к защите данных в пределах уже одной отрасли
человеческой деятельности. Руководящие принципы ОЭСР явно способствовали
развитию и использованию Кодексов поведения в качестве опорного средства
саморегулирования. (Объяснительный меморандум, сопровождающий
Руководящие принципы ОЭСР, указывает, что его положения о Кодексах
практики/поведения были нацелены, в основном, на страны общего права,
хотя кодексы вполне совместимы и с развитием специального
законодательства по защите данных).
Кодексы отдельных компаний были первоначальной формой, использовавшейся
в 1970-е и 1980-е гг., но уже в 1980-е гг. общераспространенными стали
отраслевые или секторные Кодексы практики. Как правило, модель кодекса
предлагает некая ассоциация или отраслевая организация. Компании-члены
этой ассоциации поощряются к принятию этого кодекса или этот кодекс
становится
46
частью отраслевой политики, так что членство в ассоциации подразумевает
признание отраслевого Кодекса практики/поведения и соблюдение его
принципов. Кодексы упомянутых выше IATA и Ассоциации канадских банкиров
были приняты в соответствии с первым подходом, в то время как процесс
принятия Кодекса добросовестной банковской практики (Великобритания)
следовал второму подходу.
Кодексы могут принимать законодательную форму или иметь “за спиной” ту
или иную степень законодательной поддержки, как это имеет место в
Австралии, Ирландии, Нидерландах и Великобритании. Такая тенденция к
законодательной поддержке кодексов появилась в конце 1980-х гг. Она в
какой-то мере противоречит добровольной природе кодексов. Возможно, что
это использование законодательных инструментов отражает ту или иную
степень тревожной неуверенности законодателей в том, хорошо ли сработает
механизм добровольного признания и соблюдения Кодексов
поведения/практики, не потребуется ли поощрение и поддержка этого
механизма средствами закона.
Особо отметим Кодекс поведения, принятый в Гонконге. Он уникален тем,
что применяется к целой территории. Этот кодекс, который полностью
следует Руководящим принципам ОЭСР, введенный в действие в 1988 г.,
устанавливает некоторое число абстрактных принципов, которым надлежит
следовать, но никак не конкретизирует и не детализирует их применение.
В Германии Федеральный закон о защите данных требует от фирм и компаний
иметь Кодексы практики. Более того, когда некая компания использует
более 4 человек для автоматизированной обработки персональных данных
(или более 19 человек для обработки данных неэлектронными средствами),
эта компания должна назначить своего внутреннего Уполномоченного по
защите данных в качестве узаконенного средства саморегулирования.
В Швеции кодексы не упоминаются в законодательстве и не обеспечены
правовой санкцией. Шведская комиссия по данным пытается определить,
должна ли быть применена какая-либо юридическая процедура, чтобы
учредить систему .саморегулирования в рамках существующей структуры. С 1
апреля 1988 г. от всех пользователей и контролеров данных потребовали
назначать некое “лицо для
47
контакта”, которое отвечает за проведение расследования внутри
организации в тех случаях, когда подозревается ошибка в персональных
данных. По завершении расследования это “лицо для контакта” должно
докладывать о результатах субъекту данных и пользователю/контролеру
данных. Это чем-то напоминает германскую модель, хотя полномочия
функционера саморегулирования здесь, конечно, значительно уже. Несмотря
на неопределенность политики Комиссии по данным, несколько кодексов в
Швеции уже возникло на добровольной основе, например, в советах по
научным исследованиям, в средствах массовой информации, в агентствах
кредитной информации.
Итак, есть две категории кодексов – кодексы, которые не имеют никакой
законодательной поддержки, и кодексы, которые пользуются той или иной
формой законодательной поддержки. Большинство существующих кодексов
попадает в первую категорию, и лишь немногие (по крайней мере, на данной
стадии развития) – во вторую. Большинство “незаконодательных” кодексов
пришло из стран общего права, в которых (за исключением Великобритании)
отсутствует исчерпывающее общее законодательство о защите данных в
частном секторе.
Исторически сложилось так, что многие кодексы ограничиваются рамками
отдельных секторов бизнеса. Чаще всего, например, они встречаются в
банковской и страховой отраслях. В этом нет ничего удивительного, ведь
именно эти отрасли собирают громадные количества персональных данных и
располагают технологическими возможностями для их обработки. Кроме того,
эти отрасли могут быть внутренне взаимосвязаны через корпоративное право
собственности и могут иметь интересы в смежных областях бизнеса, таких,
как службы безопасности торговли и путешествий, тем самым потенциально
способствуя еще большей концентрации данных. Индустрия прямого
маркетинга тоже порождает значительное число кодексов. Кодексы разных
типов используются в банковском секторе Австралии, Канады, Японии и США.
Отраслевые кодексы в банковском секторе есть во всех этих странах, за
исключением США, однако в банковском секторе Соединенных Штатов имеется
несколько Кодексов практики отдельных компаний и некоторые другие
подзаконные акты саморегулирования. Австралийский кодекс не охватывает
целиком весь банковский сектор, скорее он специально адресован
электронному
48
банковскому делу, и защита данных – лишь один из многих вопросов,
охватываемых этим кодексом,
Модель Кодекса неприкосновенности частной жизни индивидуальных
потребителей, разработанная Ассоциацией канадских банкиров (КАБ),
представляет собой интересный объект для изучения. Этот кодекс
предлагается отраслевой ассоциацией для банков, которые, являясь членами
этой ассоциации, могут воспользоваться им как моделью для своих
собственных кодексов.
Эта модель кодекса является вторым расширенным и переработанным изданием
этого документа и представляет собой специализированное применение
Руководящих принципов ОЭСР в рамках банковской отрасли. Одним из важных
свойств этого кодекса является то, что он предусматривает назначение
внутри каждого банка некого должностного лица, ответственного за защиту
данных, хотя конечная ответственность все же остается возложенной на
высшее руководство банка. Следует отметить, что внесенные поправки к
Канадскому федеральному законодательному акту о банках предусматривают
специальную процедуру разрешения внешних жалоб. Более того. Федеральный
ревизор финансовых учреждений может вмешиваться в тех случаях, когда
внутренними мерами данное финансовое учреждение не смогло добиться
разрешения проблемы, затронутой в жалобе.
По сравнению с канадским подходом, в Японии национальные Руководящие
принципы защиты персональных данных для финансовых учреждений,
разработанные Японским Центром информационных систем для финансовой
отрасли (FISC), устанавливают отраслевые инструкции, а не модель кодекса
для принятия членами отрасли. Этот нестатутный (корпоративный)
инструмент саморегулирования тоже основан на Руководящих принципах ОЭСР.
Инструкции FISC устанавливают пять, принципов защиты данных и дают
развернутое толкование каждого из них. Поскольку эти инструкции не
обеспечивают такой же уровень детализации, как кодекс-модель КАБ, то
одновременно предпринимаются и некоторые другие меры саморегулирования
защиты данных. Например, дополнительно к вышеупомянутому используется
еще один набор инструкций, носящий название “Руководящие принципы
безопасности компьютерных систем для финансовых учреждений”.
49
Имеются примеры разработки межотраслевых кодексов. В Великобритании,
например, Национальный компьютерный центр разработал ряд кодексов,
относящихся к: (1) службам безопасности; (2) компьютерным бюро; (3)
данным о наемных служащих; (4) управлению собственностью; (5) информации
о потребителях и поставщиках.
Продолжается “наступление” кодексов, которые имеют ту или иную степень
законодательной поддержки. Британский законодательный акт 1984 г. о
защите данных предусматривает, что Регистратор по защите данных, когда
он находит это приемлемым, обязан “поощрять торговые и профессиональные
ассоциации или другие органы, представляющие пользователей данных,
разрабатывать и распространять среди своих членов Кодексы практики для
направления их деятельности в русло соблюдения принципов защиты данных”
HYPERLINK “” \l “B1735Part20p50s1” 1 .
Вполне очевидно, что кодексы разрабатывают не для того, чтобы они
заменяли и вытесняли положения Британского закона о защите данных, по
отношению к которому они выполняют подчиненную роль, а для наиболее
эффективного применения его положения для условий своей отрасли. При
любом нарушении закона соответствующие действия будут предприниматься
Регистратором по защите данных, но не соответствующей отраслевой
ассоциацией. Хотя закон не дает указаний относительно одобрения или
санкционирования кодексов Регистратором, но на практике Регистратор уже
разрабатывал предисловия к некоторым кодексам. Предисловия эти иногда
интерпретируются как одобрение Регистратором этих кодексов. На самом же
деле, на Регистратора не возлагается обязанность удостоверять качество
Кодексов практики/поведения.
В Ирландском законе 1988 г. о защите данных принят иной подход:
Уполномоченный по защите данных может поощрять профессиональные
ассоциации или другие представительные организации к принятию Кодексов
практики. Кроме того. Уполномоченный наделяется полномочиями давать
кодексам свое официальное одобрение, если у него сформировалась точка
зрения,
50
что данный кодекс предоставляет субъектам данных защиту, соответствующую
положениям вышеупомянутого закона. Исходя из этой точки зрения,
Уполномоченный может одобрить данный кодекс и представить его
парламенту, который своей санкцией волен придать кодексу силу
“отраслевого” закона:
“(а) в той мере, в какой он относится к обработке персональных данных
соответствующими категориями контролеров данных….
…(i) он должен иметь силу закона в соответствии с его условиями…”
HYPERLINK “” \l “B1735Part20p51s1” 1 .
В действии любой такой “санкционированный” кодекс подменяет
соответствующие положения Закона о защите данных. До настоящего временя
еще ни один кодекс не был “санкционирован” по вышеизложенной процедуре.
Тем не менее, в условиях этой системы будут параллельно развиваться два
набора кодексов: санкционированные кодексы, которые имеют силу закона, и
кодексы, которые такой силой не наделены. Кодексы, не прошедшие через
процесс санкционирования, не будут юридически обязывающими и не будут
иметь никакого официального признания в соответствии с Законом о защите
данных. Со временем накопившийся набор кодексов, наделенных правовой
санкцией, займет место соответствующих положений самого законодательного
акта.
Таким образом, в отличие от британской системы, в Ирландии судебные
преследования за нарушения принципов защиты данных будут происходить на
основании соответствующего отраслевого кодекса, если он, конечно,
существует в данной отрасли и обеспечен правовой санкцией. Разумеется,
что в тех отраслях, где не существует таких кодексов, будут применяться
положения Ирландского закона о защите данных.
В Нидерландах Закон 1988 г. о защите данных предлагает еще один вариант
регистрации кодекса. Он устанавливает процесс официальной регистрации,
согласно которому соответствующая торговая или профессиональная
ассоциации могут зарегистрировать
51
свой кодекс в Регистрационной палате. Не существует никакого принуждения
к регистрации кодексов, но достаточно очевидно, что эта система является
весьма настоятельно рекомендуемой, поскольку упомянутый закон
предусматривает возможность издания общих административных предписаний,
устанавливающих детализированные правила для любой конкретной отрасли
или сектора экономики. Ясно, что в таких условиях отраслевые ассоциации
предпочитают сами разрабатывать и регистрировать свои Кодексы практики.
В результате, уже к 1 июля 1991 г. были зарегистрированы четыре первых
Кодекса практики:
– Кодекс организации консультантов по отбору и рекрутированию персонала;
– Кодекс ассоциации компьютерных услуг и бюро программного обеспечения;
– Кодекс ассоциации научно-исследовательских институтов (в области
социальных наук и наук о человеческом поведении);
– Кодекс ассоциации по исследованиям рынка.
В стадии рассмотрения Регистрационной палатой находится значительное
число заявлений на регистрацию других кодексов, в том числе и для
банковской и страховой отраслей. Такая регистрационная система
разработана, чтобы обеспечить максимальное приближение требований закона
о защите данных к конкретным отраслевым реалиям. Чтобы способствовать
периодическим пересмотрам и обновлению кодексов, предусмотрено временное
ограничение: регистрация любого кодекса остается в силе максимум пять
лет.
В отличие от ирландского, голландское законодательство о защите данных
не предусматривает придания Кодексам практики силы закона. Хотя суды не
обязаны считать, что нарушение некого кодекса равносильно нарушению
Закона о защите данных, тем не менее нарушение Кодекса практики
свидетельствует о наличии достаточно серьезных доказательств по вопросу
ответственности перед законом. Следовательно, хотя и косвенно, кодексы
могут обладать некоторым критерием определения степени правовой защиты
данных, что побуждает очень серьезно относиться к разработке и
регистрации кодексов.
Директива ЕС от 24 октября 1995 о защите персональных данных выводит
Кодексы практики/поведения на международный уровень (разумеется, в
рамках Европейского Союза). В ст. 20 говорится:
52
“…страны-участницы должны поощрять заинтересованные деловые круги к
участию в разработке европейских Кодексов поведения или профессиональной
этики в отношении определенных отраслей деятельности на основе
принципов, установленных в настоящей Директиве” HYPERLINK “” \l
“B1735Part20p53s1” 1 .
Это положение следует рассматривать в сочетании со ст. 29.
предусматривающей учреждение Комиссии с полномочиями на создание правил
или “технических мер”, необходимых для применения принципов Директивы в
определенных отраслях человеческой деятельности. Для определения
необходимости создания таких правил Комиссия должна, помимо прочего,
принимать в расчет наличие Кодексов поведения. Предполагается, что
наличие соответствующего и эффективного кодекса может аннулировать
потребность в каких-либо “технических мерах” для данной отрасли. Это.
похоже, будет дополнительным стимулом для отраслевого саморегулирования
вопросов защиты данных.
Существует пример обратного использования кодексов в Австралии.
Регулирование справочных файлов потребительского кредита, которыми
пользуются провайдеры кредита и кредитные бюро, было объектом
специального детализированного законодательства, которое было заменено
статутным Кодексом поведения. Этот кодекс является обязательным для
исполнения и оказывает своим действием такой эффект, как если бы он был
специальным законом, исходящим от государства, а не добровольным
отраслевым кодексом. Проект данного кодекса был разработан ведомством
Прайвеси-Комиссара, проводившим консультации с заинтересованными
сторонами. Так что он вовсе не является продуктом отраслевого
саморегулирования. Тем не менее, этот кодекс весьма детализирован и в
этом отношении похож на любой другой Кодекс поведения.
Общепризнанно, что кодексы могут возникать в контексте следующих
разнообразных причин:
53
– саморегулирование с целью не принимать соответствующего
законодательства;
– саморегулирование с целью регулирования пробелов соответствующего
законодательства;
– саморегулирование с целью реализации норм соответствующего
законодательства;
– саморегулирование с целью дополнения соответствующего
законодательства” HYPERLINK “” \l “B1735Part20p54s1” 1 .
Мотивация разработки кодекса до определенной степени определяет его
форму и содержание. Кодексы, разработанные вне рамок законодательного
регулирования, имеют тенденцию быть общими по форме, в то время как
кодексы, которые способствуют осуществлению соответствующего
законодательства на практике или дополняют его, склонны быть более
детализированными инструментами, которые рассматривают конкретные
проблемы защиты данных в пределах своей отрасли. Однако эта ситуация в
наши дни претерпевает изменения благодаря появлению пересмотренных
версий кодексов, не имеющих законодательного статуса или законодательной
поддержки. Некоторые стали детализированными настолько, что имеет место
их конвергенция с кодексами другого типа.
Кодексы должны предлагать нечто большее, чем простое провозглашение
широких принципов защиты данных. Эти принципы уже были установлены в
Руководящих принципах ОЭСР и Конвенции 108 Совета Европы. В качестве
предварительного шага многие компании выразили поддержку Руководящим
принципам ОЭСР. Любая попытка создать кодекс требует конкретных
отраслевых мер регулирования по отношению к общим принципам защиты
данных. Без этого кодекс будет восприниматься как чисто формальный
документ данной корпорации или отрасли для демонстрации своей культуры в
области защиты данных.
Вполне понятно, что всеобщее внимание сейчас привлекают Ирландия и
Нидерланды, где отраслевые кодексы могут утверждаться и регистрироваться
органом по защите данных.
54
“Пока из этих стран в Секретариат ОЭСР поступает мало информации,
поскольку ни одного кодекса еще не было предложено для утверждения (и
последующего наделения правовой санкцией в парламенте) в Ирландии, и
только четыре кодекса были зарегистрированы в Нидерландах. Однако по
имеющимся сведениям. Регистрационная палата в Нидерландах ясно и
однозначно заявила, что она не будет регистрировать кодексы, которые
просто “пересказывают” закон; кодексы должны идти гораздо дальше этого”
HYPERLINK “” \l “B1735Part20p55s1” 1 .
Полезную оценку голландского опыта предоставил президент Регистрационной
палаты этой страны:
“Преимущества:
– кодексы поведения доказали, что они могут быть весьма гибкими
инструментами для внедрения закона в конкретные отрасли и сектора
экономики;
– релевантные процедуры обладают весьма позитивным воздействием на
взаимосвязь палаты с различными отраслями и секторами экономики;
– и те, и другие ведут к улучшенному осознанию и пониманию проблем и
вопросов “прайвеси”, которые являются специфическими для каждой отрасли
или сектора экономики;
– Кодексы поведения предоставляют определенным отраслям удобную
возможность продемонстрировать реальную заботу о вопросах защиты права
на невмешательство в частную жизнь;
– отрасли и сектора, подлежащие регулированию кодексом, наделенным
правовой санкцией, могут служить примером и посредником для других.
Некоторые негативные пункты:
– регулирование при помощи кодексов может быть ограничено условиями
конкуренции и другими аспектами некоего конкретного сектора или отрасли;
– Кодексы поведения могут усложнить или запутать правовые рамки, которые
применяются в неком конкретном секторе или отрасли;
55
– субъекты данных не всегда осведомлены о статусе конкретного Кодекса
поведения: наделен он правовой санкцией или нет;
– требование адекватных консультаций может создать проблемы с поиском
достаточно компетентного партнера;
– практический эффект любого кодекса может зависеть соответственно от
сферы его компетенции и статуса, а также иных специфических условий”
HYPERLINK “” \l “B1735Part20p56s1” 1 .
По мнению президента, опыт Нидерландов показал, что преимущества
перевешивают недостатки.
Как следует из вышеизложенного, наметилась важная тенденция
легитимизации корпоративных и профессиональных Кодексов
практики/поведения, возведения их в статус “отраслевых” законов при
помощи новой процедуры “санкционирования” (наделения правовой санкцией),
в которой участвуют национальный орган по защите данных и парламент
страны. Это существенно повышает роль Кодексов практики/поведения в
национальных системах защиты данных.
Другим фактором, повышающим роль Кодексов практики/поведения, стало
стремление международных организаций использовать такие кодексы в
совокупности с новым правовым средством – прямыми договорами между
экспортером и импортером данных с обусловленными стандартами защиты
передаваемых данных для преодоления трудностей при обмене данными между
странами с разными уровнями правовой защиты персональных данных.
56
HYPERLINK “” \l “B1735Part20p44s1cr” 1 Цит. по: Charles E.H.
Franclin (cd.), “Business guide to Privacy and Data Protection
Legislation”, Kluwer Law International and International Chamber of
Commerce. – Hague. – London Boston. – 1996 (2d edition). – P. 336.
HYPERLINK “” \l “B1735Part20p50s1cr” 1 Цит. по: OECD documents.
Privacy and data rotection: Issues and Challenges”,Information Computer
Communication Policy. Organisation for Economic Cooperation and
Development, Paris, 1966, p. 43.
HYPERLINK “” \l “B1735Part20p51s1cr” 1 Цит. по: OECD documents.
Privacy and data rotection: Issues and Challenges”, Information Computer
.Communication Policy. Organisation for Economic Cooperation and
Development, Paris, 1966, p. 43.
HYPERLINK “” \l “B1735Part20p53s1cr” 1 Цит. no: OECD documents.
Privacy and data rotection: Issues and Challenges”, Information Computer
Communication Policy. Organisation for Economic Cooperation and
Development, Paris, 1966, p. 45.
HYPERLINK “” \l “B1735Part20p54s1cr” 1 Цит. по: Hustinx P. “The Role
of Self-regulation in the Scheme of Data Protection”, paper delivered at
the XIIIth Conference of Data Protection Commissioner, Strasbourg, 2-4
October 1991, p. 1.
HYPERLINK “” \l “B1735Part20p55s1cr” 1 Цит. по: OECD documents.
Privacy and data protection: Issues and Challenges”, Information
Computer Communication Policy. Organisation tor Economic Cooperation and
Development, Paris, 1966, p. 46.
HYPERLINK “” \l “B1735Part20p56s1cr” 1 Цит. по: OECD documents.
Privacy and data rotection: Issues and Challenges”,Information Computer
Communication Policy. Organisation for Economic Cooperation and
Development, Paris, 1966, p. 46 -47.
HYPERLINK “” \l “44” 44 :: HYPERLINK “” \l “45” 45 ::
HYPERLINK “” \l “46” 46 :: HYPERLINK “” \l “47” 47 :: HYPERLINK
“” \l “48” 48 :: HYPERLINK “” \l “49” 49 :: HYPERLINK “” \l “50”
50 :: HYPERLINK “” \l “51” 51 :: HYPERLINK “” \l “52” 52 ::
HYPERLINK “” \l “53” 53 :: HYPERLINK “” \l “54” 54 :: HYPERLINK
“” \l “55” 55 :: HYPERLINK “” \l “56” 56 :: HYPERLINK
“B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “57” 57 :: HYPERLINK “” \l “58” 58 ::
HYPERLINK “B1735Content.html” Содержание
РАЗДЕЛ III
ОБЩАЯ ХАРАКТЕРИСТИКА ПРАВОВОГО
РЕГУЛИРОВАНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ
ДАННЫХ В ЗАРУБЕЖНЫХ СТРАНАХ
На основании вышеизложенного в современных национальных системах
правового регулирования обработки и использования персональных данных
существуют четыре основных компонента защиты персональных данных:
– базовый закон о защите данных;
– “отраслевые”законы;
– орган (или система органов) по защите данных;
– корпоративные (нестатутные) средства защиты.
Предыстория принятия законодательных актов о защите персональных данных
используется в тех случаях, когда это необходимо для лучшего понимания
особенностей конкретной национальной системы защиты данных.
Для стран с федеративным государственным устройством вводятся
подразделы:
– “На федеральном уровне”;
– “На региональном уровне “.
Глава 5. Правовая защита персональных данных
в Австралии
§ 1. Базовый закон о защите данных: законодательный акт
1988 г. о неприкосновенности частной жизни (Privacy Act 1988)
Федеральный уровень. Базовым законом по защите данных является
законодательный акт 1988 г. о неприкосновенности частной жизни (Privacy
Act 1988), предусматривающий схему регулирования защиты данных, которая
до недавнего времени применялась только к федеральному публичному
сектору. С принятием поправок к закону 1988 г. защита данных стала
распространяться и на частный сектор. Этот законодательный акт
устанавливает 11 принципов защиты
57
данных (по модели Руководящих принципов ОЭСР), которые обязательны для
соблюдения правительственными учреждениями и ведомствами.
Введено в действие детализированное законодательство, регулирующее
индустрию потребительского кредита. Субъектом этого законодательства
являются как кредитодатели, так и агентства кредитных справок.
Установлены комплексные стандарты для деятельности по формированию
кредитных отчетов и справок. Нарушения законодательства в сфере
персональных данных караются значительными штрафами.
58
HYPERLINK “” \l “57” 57 :: HYPERLINK “” \l “58” 58 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “58” 58 :: HYPERLINK “” \l “59” 59 ::
HYPERLINK “B1735Content.html” Содержание
§ 2. Орган по защите дачных: Уполномоченный по защите прав
граждан на неприкосновенность частной жизни (Privacy Comissioner)
Должность Privacy Comissioner (Уполномоченный по защите прав граждан на
неприкосновенность частной жизни) учреждена во исполнение положений
федерального “базового” закона (Privacy Act 1988). В функции
федерального Прайвеси-Комиссара входит:
– прием жалоб и исков, связанных с предполагаемыми нарушениями
упомянутых 11 принципов защиты;
– проведение расследований, вызванных такими жалобами или основанных на
собственной инициативе Комиссара).
На случай возникновения споров предусмотрена согласительная процедура,
однако, если она оказывается безуспешной, Комиссар может принять решение
в пользу той или иной стороны. Возможен пересмотр этих решений перед
Трибуналом административных апелляций.
Комиссар также наделен полномочиями на проведение аудита, и это является
важным инструментом в национальной системе, где отсутствует какая-либо
нотификация или регистрация.
Одной из обязанностей Комиссара является обеспечение того, чтобы
ограниченный персональный идентификатор, называемый “номером налогового
файла”, не использовался ненадлежащим образом теми, кому требуется
обрабатывать его. Этот индивидуальный номер присваивается
налогоплательщикам, от которых требуется, чтобы они сообщали его при
любых действиях и процедурах, связанных с налогами и с социальным
обеспечением.
58
Важные поправки к законодательному акту 1988 г. о неприкосновенности
частной жизни (Privacy Act 1988) распространяют сферу компетенции
Комиссара на частный сектор (в частности, на индустрию потребительского
кредита).
Еще одна поправка к “базовому” закону наделяет Комиссара полномочиями на
слежение за определенными действиями по комплектации определенных данных
и полномочиями на принудительное исполнение держателями данных решений
Комиссара в этой области. В частности, были установлены стандарты для
процедур типа “data matching”, реализующих взаимосвязи публичного
сектора между федеральным налоговым департаментом и департаментом
социальной помощи, которые были разработаны для обнаружения лишних или
избыточных платежей в этой системе.
Региональный уровень. Штат Новый Южный Уэльс имеет “базовый” закон о
защите “privacy” с 1975 г., и в настоящее время рассматривает
предложения по реформе этого закона. Предложенная схема предполагает
создание некой системы, поощряющей принятие “отраслевых” Кодексов
поведения в контексте принципов защиты данных, подобных тем, что
изложены в федеральном “базовом” законе Privacy Act 1988 г.
Штаты Квинсленд и Западная Австралия также рассматривают предложения о
внесении изменений и дополнений в законы о защите “privacy”.
В штате Южная Австралия правительственный законопроект (Privacy Bill
1991) устанавливает статутную категорию гражданского правонарушения,
состоящего в посягательстве на право на невмешательство в частную жизнь
и обладающего исковой силой в суде. Никакая регулирующая структура не
предусматривается.
59
HYPERLINK “” \l “58” 58 :: HYPERLINK “” \l “59” 59 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “60” 60 :: HYPERLINK “B1735Content.html”
Содержание
Глава 6. Формы и методы защиты персональных
данных в Австрии
§ 1. Предыстория принятия законодательного акта
о защите данных
Приступая в 1971 г. к разработке национального закона о защите данных,
Австрия взяла на себя обязательство следовать ст. 8 Европейской
конвенции о правах человека, посвященной защите частной жизни и
корреспонденции частных лиц, стремясь обрести в этом международном
документе опору для своей отечественной законодательной инициативы.
Иными словами, создатели австрийского закона изначально рассматривали
защиту персональных данных как защиту одного из фундаментальных прав
человека.
Для разработки закона была создана рабочая группа под эгидой
Координационного комитета по электронной обработке данных на федеральном
уровне. Служба конституционного законодательства из состава Федеральной
канцелярии главенствовала в рабочей группе и несла ответственность за
эту законодательную инициативу на всех стадиях ее разработки и развития,
поскольку предполагалось, что этот законодательный акт станет частью
Федеральной конституции.
Результатом усердных трудов австрийской легислатуры стал всесторонний и
исчерпывающий закон о неприкосновенности частной жизни в сфере
персональной информации, получивший название закона 1978 г. о защите
данных. Особое его значение состоит в том. что он создает
фундаментальное право на защиту данных в соответствии с австрийским
конституционным правом (гл. 1 этого закона содержит соответствующие
конституционные положения).
60
HYPERLINK “” \l “60” 60 :: HYPERLINK “B1735Content.html”
Содержание
***********************************
HYPERLINK “” \l “60” 60 :: HYPERLINK “” \l “61” 61 ::
HYPERLINK “B1735Content.html” Содержание
§ 2. Базовый закон 1978 г. о защите данных
Базовым законом о защите данных является закон 1978 г. о защите данных.
Правовое регулирование его распространяется на публичный и частный
сектора. В 1987 г. в этот закон вносились дополнения и изменения,
регламентирующие процедуры получения санкций на экспорт данных.
60
В законе 1978 г. о защите данных предусматриваются два уголовных
преступления (оба наказываются лишением свободы на срок максимум до 1
года тюремного заключения):
– “нарушение конфиденциальности” (ст. 48);
– “несанкционированное вмешательство в обработку данных” (ст. 49).
Определенные нарушения правовых положений этого закона, таких, как
положения о нотификации регистра для субъектов данных или о
международных потоках данных, влекут за собой максимальный штраф в 150
000 австрийских шиллингов. Данные, программы и средства хранения данных,
являющиеся предметом таких правонарушений, могут быть конфискованы.
61
HYPERLINK “” \l “60” 60 :: HYPERLINK “” \l “61” 61 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “61” 61 :: HYPERLINK “B1735Content.html”
Содержание
§ 3. Отраслевые нормативно-правовые акты
Закон 1973 г. о свободе информации регламентирует процедуру раскрытия
информации федеральными министерствами. Закон 1979 г. о кредите
запрещает наемным сотрудникам и пайщикам всех банков и сберегательных
институтов использование или публикацию любой информации, полученной
исключительно через деловые связи с клиентами. Закон 1993 г. об
информации об окружающей среде устанавливает и регламентирует доступ
общественных институтов к правительственной информации о состоянии
окружающей среды.
61
HYPERLINK “” \l “61” 61 :: HYPERLINK “B1735Content.html”
Содержание
***********************************
HYPERLINK “” \l “61” 61 :: HYPERLINK “” \l “62” 62 ::
HYPERLINK “” \l “63” 63 :: HYPERLINK “B1735Content.html” Содержание
§ 4. Органы по защите данных: Совет и Комиссия
Сначала предполагалось учреждение должности Омбудсмена по
неприкосновенности частной жизни, однако после пятилетних дебатов. Закон
1978 г. о защите данных установил двойственную регулирующую структуру,
состоящую из Совета по защите данных и Комиссии по защите данных.
Комиссия состоит из четырех членов под председательством судьи. Ее
главная задача в том. чтобы осуществлять надзор и принуждать к
исполнению закона 1978 г. о защите данных в публичном секторе. Комиссия
является полностью независимой организацией и обязанности ее, по сути
дела, те же самые, что и обязанности любого государственного суда, но в
тех случаях, когда она имеетполномочия
61
санкционировать международную передачу данных, комиссия явно выходит за
рамки сферы судебной власти в традиционной доктрине “разделения
властей”. Четыре главные функции Комиссии:
Функция административного суда: чтобы проводить слушания исков,
связанных с нарушением прав частного лица неким органом публичной
власти.
Следственная функция: чтобы проводить расследования действий по
обработке данных в публичном секторе.
Функция “прозрачности” (transparency) и информации: чтобы публиковать
отчет для правительства, составляемый раз в 2 года Комиссией на
основании ее расследований.
Надзор над частным сектором, включающий в себя: выдачу лицензий (или
наоборот, отказ в их предоставлении) на международную передачу данных,
рассмотрение заявлений на регистрацию деятельности по обработке данных,
выступление в определенных гражданских тяжбах в качестве экспертов или
(по просьбе субъекта данных, либо в случаях, определенных законом)
участие в процессуальных действиях.
Совет по защите данных состоит из 15 членов и призван играть роль своего
рода политического наблюдателя. В Совет входят представители от
австрийских политических партий, от федерального и земельных
правительств, от муниципалитетов, от организаций работодателей и наемных
работников. Главной его функцией является подготовка проектов правовых
актов для законодательных организаций, чтобы вносить поправки в Закон о
защите данных или чтобы принимать меры, которые кажутся необходимыми для
защиты неприкосновенности частной жизни. В число обязанностей,
возложенных законом на этот Совет, входят следующие:
Затребование информации и отчетов по вопросам обработки данных от
компетентных организаций публичного сектора, имеющих отношение к
обработке данных.
Мониторинг (отслеживание) ущерба, который обработка данных наносит
интересам субъектов данных.
Подготовка предложений для федерального и земельных правительств по
улучшению этих законов. На случай нарушения законов в предложениях могут
предусматриваться гражданские и уголовные меры наказания.
62
Роль судов общего назначения в этой национальной системе состоит в том,
что они выполняют функцию принуждения к исполнению положений закона 1978
г. б защите данных. Существует определенная форма для исков, вносимых в
соответствии с указанным законом против контролеров файлов из частного
сектора, а также для уголовных преследований, возникающих на основании
двух уголовных положений этого закона. Субъекты данных могут подавать
иски о нарушениях их права доступа к своим персональным данным, их прав
на исправление или уничтожение этих данных или оспаривать незаконное
хранение или распространение персональных данных в суде первой
инстанции. Именно на этой стадии закон 1978 г. о защите данных может
защищать интересы субъектов данных. Возможна также защита интересов и в
уголовных судебных процессах. К Верховному Суду можно обращаться как к
конечному арбитру, чтобы решить вопрос о законности электронной
обработки данных в частном секторе.
63
HYPERLINK “” \l “61” 61 :: HYPERLINK “” \l “62” 62 ::
HYPERLINK “” \l “63” 63 :: HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “64” 64 :: HYPERLINK “B1735Content.html”
Содержание
Глава 7. Система защиты персональных данных
в Бельгии
§ 1. Предыстория принятия законодательного акта о защите
персональных данных
Хотя Бельгия подписала Конвенцию 108 Совета Европы еще 7 мая 1982 г.,
она не ратифицировала ее и не предпринимала никаких практических мер по
ее реализации в отечественном законодательстве до тех пор, пока в конце
1992 г. не приняла свой новый законодательный акт о защите, данных.
Более ранние попытки, разработать и принять некий “генеральный”
(всеобъемлющий) закон о защите данных затянулись на десять лет и создали
Бельгии репутацию страны, пренебрегающей защитой персональных данных.
Принятие вышеупомянутого законодательного акта 1992 г. о защите данных
стало результатом сильного международного давления, поскольку дальнейшее
неисполнение Бельгией своих международных обязательств в этом отношении
привело бы к изоляции Бельгии от ее главных политических и экономических
партнеров, чье законодательство запрещало им передачу данных к любую
страну, которая не обеспечивает должной защиты персональных данных.
64
HYPERLINK “” \l “64” 64 :: HYPERLINK “B1735Content.html”
Содержание
***********************************
HYPERLINK “” \l “64” 64 :: HYPERLINK “” \l “65” 65 ::
HYPERLINK “B1735Content.html” Содержание
§ 2. Акт 1992 г. о защите данных как основной
национальный закон
Базовым законом о защите данных является законодательный акт 1992 г. о
защите данных, который изначально разрабатывался в соответствии с
принципами защиты данных, предусмотренными в Конвенции 108 Совета
Европы. Этот закон указывает только основные принципы защиты данных; все
детали и подробности правового регулирования обработки и использования
персональных данных предполагается устанавливать специальными
королевскими указами. Часть таких указов уже издана:
– Королевские Указы № 1, 2 и 6 устанавливают льготный период для
приведения существующего положения дел в соответствие с положениями
законодательного акта 1992 г. о защите данных и детализируют
соответствующие процедуры и критерии;
64
– Королевские Указы № 3. 4 и 5 детализируют процедуры осуществления
права субъекта данных на доступ к собственным персональным данным и их
исправление;
– Королевские Указы № 7 и 8 определяют цели, критерии и условия
обработки чувствительных, криминальных и судебных данных;
– Королевский Указ № 9 устанавливает процедуру коллективной нотификации
для определенных типов данных и оговаривает изъятия из-под требования
обязательной нотификации;
– Королевский Указ № 12 определяет размеры платежей за регистрацию
файлов данных Комиссией по защите прав граждан на неприкосновенность
частной жизни.
Законодательный акт 1992 г. о защите данных регламентирует обработку
персональных данных, относящихся к физическим лицам как в ручных, так и
в автоматизированных (электронных) файлах.
Кроме того, к правонарушениям, за которые применяются взыскания в виде
денежного штрафа до 100 000 бельгийских франков (в настоящее время сумма
штрафа умножается на коэффициент 200). законодательный акт 1992 г. о
защите данных устанавливает дополнительные санкции, которые, возможно,
смогут уменьшить количество правонарушителей. В число этих санкций
входят:
– публикация судебного решения в одной или нескольких газетах (ст. 40);
– конфискация файлов данных, магнитных дисков или магнитных лент;
– стирание файлов (ст. 41, § 1);
– запрет на хранение файлов данных в течение максимального периода до
двух лет (ст. 41. § 2).
Нарушение такого запрета может иметь своим результатом тюремное
заключение от 3 месяцев до 2 лет (ст. 41, § 3).
65
HYPERLINK “” \l “64” 64 :: HYPERLINK “” \l “65” 65 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “65” 65 :: HYPERLINK “” \l “66” 66 ::
HYPERLINK “B1735Content.html” Содержание
§ 3. Отраслевые нормативно-правовые акты
Королевский Указ № 141 от 30 декаб.ря 1982 г., учреждающий и
регламентирующий функционирование базы данных, содержащей определенные
данные о служащих публичного сектора.
65
Закон 1983 г. о национальном регистре частных лиц. учреждающий и
регламентирующий функционирование национального идентификационного
регистра граждан Бельгии и иностранных резидентов.
Закон от 15 января 1990 г., учреждающий так называемый “Банк
пересекающихся данных” для целей социального обеспечения -сетевую
систему обмена электронными данными между различными частными и
публичными организациями социального обеспечения.
Бельгийский закон 1991 г. о потребительском кредите и два Указа 1992
г., конкретизирующих его применение, содержат определенные
законоположения о защите данных в рамках этой специализированной сферы
деятельности.
66
HYPERLINK “” \l “65” 65 :: HYPERLINK “” \l “66” 66 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “66” 66 :: HYPERLINK “” \l “67” 67 ::
HYPERLINK “” \l “68” 68 :: HYPERLINK “B1735Content.html” Содержание
§ 4. Комиссия по защите неприкосновенности частной жизни
Законодательный акт 1992 г. о защите данных учреждает специальный
независимый орган власти – Комиссию по защите неприкосновенности частной
жизни при Министерстве юстиции. -ответственный за обеспечение
“добросовестной практики в отношении файлов данных” HYPERLINK “” \l
“B1735Part30p66s1” 1 .
Комиссия по защите неприкосновенности частной жизни состоит из членов
“по должности” из существующих комиссий надзора за защитой данных и
восьми действительных членов, избираемых через шестилетний период
обновления состава, попеременно Палатой представителей и Сенатом,
включая и Председателя комиссии, который должен быть судьей (ст. 24).
Чтобы обеспечить традиционный бельгийский баланс между языковыми
общинами. Комиссия должна состоять из равного числа фламандцев и
франкоговорящих членов (ст. 24, § 2). Чтобы представлять различные
социально-экономические классы общества, состав членов Комиссии должен
включать (помимо Председателя), по крайней мере, одного юриста,
специалиста по компьютерным и информационным услугам, члена Комиссии с
профессиональным опытом в области менеджмента
66
файлов данных частного сектора и одного члена Комиссии с аналогичным
опытом в отношении файлов данных публичного сектора (ст. 25 (3),
последний абзац).
Комиссия по защите неприкосновенности частной жизни предназначена для
двоякой роли: у нее есть контрольная и надзорная задачи в отношении всех
существующих случаев обработки данных и всех существующих файлов данных,
и в то же время она играет важную консультативную роль перед
национальным и региональными правительствами. Что касается общей
надзорной роли Комиссии, то в нее входят следующие задачи:
– учреждение регистра файлов данных, который позволил бы субъектам
данных осуществлять права, предоставляемые им Актом 1992 г. о защите
данных (ст. 18);
– управление регистрацией обработки данных по сведениям, получаемым от
контролеров файлов (ст. 18):
– выступление в качестве представителей субъектов данных при
осуществлении последними их прав на доступ или исправление данных,
хранимых определенными государственными организациями во исполнение ими
обязанностей административной или судебной полиции, или директоратами
безопасности, разведки министерств юстиции и обороны (ст. 13):
– обработка жалоб и исковых заявлений, получаемых от субъектов данных
(ст. 13. § 1). и доклад о нарушениях закона в ведомство общественного
обвинителя (государственного прокурора, ст. 32. § 2).
Роль Комиссии, в первую очередь, состоит в том, чтобы выступать
посредником в случаях, связанных с жалобами и исками, помогая сгоронам
достичь мирового соглашения. Если достичь мирового соглашения не
удается, то Комиссия должна принять решение относительно юридической
силы поданного иска и может сформулировать рекомендации для держателя
данных. Комиссия должна информировать истца о юридической силе его
искового заявления в течение 2 месяцев с даты получения искового
заявления (ст. 31. § 3).
При исполнении роли советника Комиссия может обмениваться консультациями
с национальными и региональными законодательными органами,
правительствами и министрами. Она может по собственной инициативе давать
советы, связанные с защитой данных, вышеназванными органами власти и.
если потребуется, давать свои
67
рекомендации до проектам всех указов, конкретизирующих и уточняющих
применение акта 1992 г. о защите данных. В тех случаях, когда любой
орган государственной власти затребует у Комиссии некий совет, этот
совет публикуется в официальном бельгийском законодательном вестнике
“Moniteur beige” (ст. 29 (5). последний абзац). От Комиссии также
требуется ежег.ное представление Парламенту отчета о своих действиях
(ст. 32. § 2).
Роль судов в этой системе. Несмотря на создание нового специального
органа власти с задачей надзора за соблюдением исполнения
законодательного акта 1992 г. о защите данных, в компетенции судов
остается принятие и разрешение в порядке обычного судопроизводства
исков, связанных с применением законодательного акта 1992 г. о защите
данных. Этот акт устанавливает особое право председателя суда первой
инстанции заслушивать все иски, связанные с правами субъекта данных на
информирование, доступ и исправление данных (ст. 14).
68
HYPERLINK “” \l “B1735Part30p66s1cr” 1 Цит. по: Charles E.H.
Franclin (ed.), “Business guide to Privasy and Data Protection
Legislation”, Kluwer Law International and International Chamber of
Commerce – Hague – London – Boston. – 1996 (2d edition).
HYPERLINK “” \l “66” 66 :: HYPERLINK “” \l “67” 67 ::
HYPERLINK “” \l “68” 68 :: HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “69” 69 :: HYPERLINK “” \l “70” 70 ::
HYPERLINK “B1735Content.html” Содержание
Глава 8. Институциональные формы защиты
персональных данных в Великобритании
§ 1. Законодательный акт 1984 г. о защите персональных
данных
В основе законодательного акта 1984 г. о защите данных лежат
декларируемые 8 принципов защиты данных. Принятый довольно поздно по
сравнению с аналогичными законами других стран (из-за 15 лет
парламентских дебатов), он относится к так называемым “законам второго
поколения”. Регулирует автоматизированную обработку персональных данных
как в публичном, так и в частном секторах. Ручные данные не охватывает.
Основной упор в правовом регулировании делает на тщательно проработанную
процедуру регистрации обработки персональных данных, на надзор и
административные предписания Национального регистратора по защите
данных. Квалифицирует в качестве правонарушений:
– хранение персональных данных без регистрации или без подачи заявления
на регистрацию (правонарушение, влекущее за собой весьма суровую
ответственность);
– преднамеренное или неосторожное хранение, использование, раскрытие или
передача персональных данных, иных, чем описано в регистрационной
записи;
– неисполнение предписаний регистратора по защите данных (к ним
относятся предупреждение о принятии принудительных мер и уведомление о
наложении запрета на передачу данных).
По решению Магистратского суда правонарушитель может быть приговорен к
штрафу, не превышающему 5000 фунтов стерлингов. По решению Коронного
суда (для более серьезных правонарушений) правонарушитель может быть
приговорен к неограниченному штрафу. Любой из этих судов может
предписать, чтобы любые данные, явно связанные с конкретным
правонарушением, были конфискованы или уничтожены. Если директор,
менеджер или иное должностное лицо некой компании совершает уголовное
правонарушение на основании положений законодательного акта 1984 г, о
защите данных, то оно признается персонально виновным в уголовном
преступлении, если разрешило или потворствовало данному правонарушению
или если
69
это правонарушение может быть квалифицировано как преступная халатность
этого должностного лица.
Ст. 161 законодательного акта 1994 г. об уголовном правосудии и
общественном порядке внесла поправки в акт 1984 г. о защите данных и
создала две новых категории правонарушений:
– преднамеренный сбор или приобретение персональных данных в нарушение
регистрационной записи в регистре защиты данных:
– продажа таких персональных данных, которые были или будут незаконно
собраны или приобретены.
70
HYPERLINK “” \l “69” 69 :: HYPERLINK “” \l “70” 70 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “70” 70 :: HYPERLINK “” \l “71” 71 ::
HYPERLINK “” \l “72” 72 :: HYPERLINK “” \l “73” 73 :: HYPERLINK
“” \l “74” 74 :: HYPERLINK “B1735Content.html” Содержание
§ 2. Национальный регистратор и Национальный суд по защите данных
Британская система органов по государственно-правовому регулированию
автоматической обработки и использования персональных данных включает в
себя следующие инстанции общенационального уровня:
– независимого Национального регистратора по защите данных (в качестве
основного национального органа по защите данных и защите права
индивидуума на невмешательство в его частную жизнь в связи с
автоматизированной обработкой персональных данных);
– общенациональный суд (трибунал) по защите данных (в качестве
специальной судебной инстанции, рассматривающей апелляции пользователей
данных и компьютерных бюро на решения Регистратора по защите данных).
Кроме того, в систему правового регулирования автоматизированной
обработки персональных данных входят высшие судебные инстанции
исторически сложившихся королевств и территорий, входящих в состав
Соединенного Королевства Великобритании и Северной Ирландии, куда могут
обращаться с апелляцией любые стороны, несогласные с решением
специализированного Суда по защите данных. Административные или судебные
органы по защите данных территориального и низового уровня законом не
предусмотрены.
Сфера полномочий Британского регистратора по защите данных
распространяется по всей территорию Соединенного Королевства на любых
физических или юридических лиц (любую форму
70
собственности и ведомственную подчиненность), занятых сбором, хранением,
обработкой и/или использованием персональных данных, подпадающих под
требование обязательной регистрации, предусмотренное законодательным
актом 1984 г. о защите данных.
Для исполнения своих функций регистратор наделен:
– административно-властными полномочиями (разрешительный характер
проводимой им регистрации лиц, занятых сбором. обработкой и/или
использованием персональных данных; полномочия на направление указанным
лицам административных предписаний, обязательных для исполнения);
– следственными полномочиями (включая полномочия на доступ в помещение
для инспекции информационных систем и на конфискацию имущества или
документов, служащих доказательством нарушения законодательства о защите
данных); HYPERLINK “” \l “B1735Part32p71s1” 1
– полномочиями на возбуждение уголовного преследования нарушителей
законодательства о защите данных (через Главного государственного
обвинителя или по согласованию с ним).
Сфера полномочий суда (трибунала) по защите данных ограничивается
рассмотрением апелляций на решения, принятые регистратором по защите
данных. Суд по защите данных не является конечной судебной инстанцией,
поскольку и регистратор, и другие стороны, в случае несогласия с
решением этого суда, наделены правом апеллировать к высшим судебным
инстанциям исторически сложившихся королевств, княжеств и территорий,
входящих в состав Великобритании:
“Ст. 14(5). Каждая сторона по апелляции, рассматриваемой судом, может
ссылаться на решение суда, опираясь на право соответствующих судов; и
такими судами будут:
(a) Высокий суд юстиции Англии, когда адрес апеллянта в суде находится в
Англии или Уэльсе;
(b) Сессионный суд, если адрес апеллянта находится в Шотландии.
Следственные функции регистратора предусмотрены для случаев:
– проведения проверки сведений, поданных для регистрации пользователем
данных или компьютерным бюро, если эти сведения вызывают сомнение;
71
(с) Высокий суд юстиции Северной Ирландии, если адрес апеллянта
находится в Северной Ирландии”. HYPERLINK “” \l “B1735Part32p72s1” 1
– проведения расследования по поводу жалобы или иного сигнала о
нарушении (неким пользователем или компьютерным бюро) принципов защиты
данных или иных положений законодательного акта 1984 г. о защите данных.
Административно-властные функции регистратора заключаются в том, что по
результатам исполнения своих контрольно-надзорных и следственных функций
он может, в качестве мер административного воздействия, направлять
нарушителям принципов защиты данных и иных положений акта 1984 г. о
защите данных следующие свои предписания, обязательные для исполнения:
– предупреждение о принятии принудительных мер;
– извещение об аннулировании регистрации:
– уведомление о наложении запрета на передачу данных.
Злостное неисполнение требований регистратора, изложенных в
предписаниях, может привести к уголовному судебному преследованию.
Регистрационные функции регистратора определяются ст. 4(1):
“…Регистратор обязан вести учет пользователей данных и компьютерных
бюро, владеющих данными и оказывающих услуги в сфере сбора и обработки
персональных данных, и делать соответствующие записи в регистре о
выданных им разрешениях на осуществление такой деятельности…”
HYPERLINK “” \l “B1735Part32p72s2” 2
Помимо вышеизложенных функций, регистратор выполняет то, что может быть
названо информационно-консультативными функциями:
“Ст. 36(3). Регистратор должен подготавливать для распространения
информацию в той форме и тем способом, которые он посчитает
целесообразными для общества в соответствии с настоящим актом, и мерами,
принимаемыми им для реализации оного акта в рамках
72
отведенных ему полномочий, и может давать советы любому лицу по существу
вопросов, регулируемых актом”. HYPERLINK “” \l “B1735Part32p73s1” 1
Регистратор по защите данных является независимым должностным лицом. Он
независим в исполнении своих обязанностей, но административно подчинен
одному из министров. Ведомственная принадлежность этого министра законом
не устанавливается, но в литературе чаще всего упоминаются либо, министр
иностранных дел (государственный секретарь), либо министр внутренних
дел.
С другой стороны, Регистратор в совокупности со своим персоналом
составляет независимый орган власти по защите данных. При этом носителем
полномочий, предоставленных законом, является сам Регистратор. Часть
полномочий он может делегировать своему персоналу в той мере, в какой он
находит это нужным.
Чтобы примирить эту двойственность статуса Регистратора, ст. 1 (1) в
прил. 2 гласит: “Регистратор – это единоличная корпорация под названием
“Регистратор по защите данных”. HYPERLINK “” \l “B1735Part32p73s2” 2
Независимость Регистратора в исполнении своих функций обеспечивается:
a) назначением на должность от имени Королевы:
“Ст. 3 (2): “Регистратор назначается Ее Величеством при помощи
письменного патента”. HYPERLINK “” \l “B1735Part32p73s3” 3
(По британской традиции, держатель королевского патента в течение срока
действия патента считается владельцем данной должности.);
b) распределением административной подчиненности (государственному
министру) и подотчетности (Парламенту);
c) процедурой отрешения от должности до истечения срока его полномочий:
“Прил. 2. ст. 2 (3). Регистратор может быть освобожден от занимаемой
должности Ее Величеством в ответ на обращение к ней обеих палат
Парламента”. HYPERLINK “” \l “B1735Part32p73s4” 4
73
В ст. 3(1)(а) устанавливается, что должностное лицо, известное как
регистратор по защите данных (именуемый далее в этом акте как
“регистратор”) наделяется статусом государственного служащего (а также
его сотрудники и члены суда по защите данных) только в тех случаях,
когда такой статус необходим для предоставления регистратору доступа к
файлам данных, содержащим государственные тайны. HYPERLINK “” \l
“B1735Part32p74s1” 1
Во всех остальных случаях регистратор, а также его сотрудники и члены
суда по защите данных не должны считаться государственными служащими.
“Ст. 17 (2):
В соответствии со ст. 2 законодательного акта 1981 г. об официальных
секретах в случае неправомерного сообщения информации:
(a) Регистратор, его должностные лица и сотрудники;
(b) члены суда по защите данных;
(c) должностные лица или сотрудники суда, не находящиеся на службе
Короны, должны рассматриваться как находящиеся на службе Ее Величества”.
HYPERLINK “” \l “B1735Part32p74s2” 2
“Прил. 2, ч. 1, ст. 1(2):
за исключением положений ст. 17(2) настоящего акта, регистратор, его
должностные лица и служащие не должны рассматриваться в качестве
служащих или агентов Короны”. HYPERLINK “” \l “B1735Part32p74s3” 3
74
HYPERLINK “” \l “B1735Part32p71s1cr” 1 Это полномочия непрямого
действия и в каждом конкретном случае должны быть подтверждены ордером
суда.
HYPERLINK “” \l “B1735Part32p72s1cr” 1 Цит. по: Charles E.H.
Franclin (ed). “Business guide to Privacy and Data Protection
Legislation”, Kluwer Law International and International Chamber of
Commerce – Hague – London – Boston – 1996 (2d edition). – P. 447.
HYPERLINK “” \l “B1735Part32p72s2cr” 2 Op. cit, p. 439.
HYPERLINK “” \l “B1735Part32p73s1cr” 1 Цит. по: Charles E.H.
Franclin (ed). “Business guide to Privacy and Data Protection
Legislation”, Kluwer Law International and International Chamber of
Commerce – Hague – London – Boston – 1996 (2d edition). – P. 460.
HYPERLINK “” \l “B1735Part32p73s2cr” 2 Op. cit, p. 466.
HYPERLINK “” \l “B1735Part32p73s3cr” 3 Op. cit., p. 439.
HYPERLINK “” \l “B1735Part32p73s4cr” 4 Op. cit, p. 466.
HYPERLINK “” \l “B1735Part32p74s1cr” 1 Цит. по: Charles E.H.
Franclin (ed). “Business guide to Privacy and Data Protection
Legislation”, Kluwer Law International and International Chamber of
Commerce – Hague – London – Boston – 1996 (2d edition). – P. 439.
HYPERLINK “” \l “B1735Part32p74s2cr” 2 Op. cit., p. 448.
HYPERLINK “” \l “B1735Part32p74s3cr” 3 Op. cit., p. 466.
HYPERLINK “” \l “70” 70 :: HYPERLINK “” \l “71” 71 ::
HYPERLINK “” \l “72” 72 :: HYPERLINK “” \l “73” 73 :: HYPERLINK
“” \l “74” 74 :: HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “74” 74 :: HYPERLINK “” \l “75” 75 ::
HYPERLINK “B1735Content.html” Содержание
§ 3. Кодекс практики
Ст. 36 (4) возлагает на Британского национального регистратора по защите
данных обязанность:
“…в тех случаях, когда он сочтет целесообразным делать это. поощрять
торговые и профессиональные ассоциации или другие органы, представляющие
пользователей данных, разрабатывать и
74
распространять среди своих членов Кодексы практики для направления их
деятельности в русло соблюдения принципов защиты данных”. HYPERLINK “”
\l “B1735Part33p75s1” 1
Кодексы разрабатывают, следуя детальным инструкциям Регистратора, однако
разработчики при этом пользуются достаточной свободой (например, Кодекс
рекламной ассоциации, регламентирующий использование персональных данных
для целей рекламы и прямого маркетинга).
Институт кадрового менеджмента и Национальный вычислительный центр в
сотрудничестве с Конфедерацией британской промышленности и
индустриальным обществом подготовили специальный Кодекс практики для
тех, кто работает с персональными данными наемных служащих (этот кодекс
детально дает рекомендации о том, каким образом должны храниться
персональные данные о наемных служащих и запрещает использование этих
данных для целей маркетинга и торговли без уведомления и согласия
субъектов данных).
Существуют также Кодексы практики для фармацевтов (и коммунальных и
больничных), для менеджеров по недвижимости, для сотрудников
администрации по работе с потребителями и поставщиками и многие другие.
75
HYPERLINK “” \l “B1735Part33p75s1cr” 1 Цит. по: Charles E.H.
Franclin (ed). “Business guide to Privacy and Data Protection
Legislation”, Kluwer Law International and International Chamber of
Commerce – Hague – London – Boston – 1996 (2d edition). – P. 4, p. 460.
HYPERLINK “” \l “74” 74 :: HYPERLINK “” \l “75” 75 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “76” 76 :: HYPERLINK “” \l “77” 77 ::
HYPERLINK “” \l “78” 78 :: HYPERLINK “” \l “79” 79 :: HYPERLINK
“B1735Content.html” Содержание
Глава 9. Правовая защита персональных данных
в Германии
§ 1. Проблемы принятия законодательного акта о защите данных
Германский федеральный парламент впервые обратился к идее принятия
федерального закона о защите данных в 1969 г., однако до 1975 г.
включительно Федеральное правительство под различными предлогами
отказывалось от разработки соответствующего законопроекта. Изучение этой
проблемы было инициировано на следующий год федеральным министром
внутренних дел. После расширенного рассмотрения предложенной
законодательной инициативы парламентскими группами, министрами и
Кабинетом, с привлечением представителей частного сектора, первый
Федеральный закон о защите данных был принят 21 января 1977 г.
Хотя проблема защиты данных тесно связана с электронной обработкой
информации, весьма малая часть германской критики избрала своей мишенью
компьютеры как таковые. Ранние дискуссии по этому вопросу в
парламентских рабочих группах всех партий и на Конференции германских
юристов были сфокусированы на вопросах общей неприкосновенности частной
жизни, правах человека, информационного баланса в обществе и на
теоретических концепциях правовой информатики. Исследования,
проводившиеся по поручению министра внутренних дел, были связаны с
фундаментальными проблемами защиты данных, такими, как поиск рабочего
определения “сферы частной жизни индивидуума” при обработке информации.
Главной причиной столь интенсивного интереса федерального министра
внутренних дел к разработке закона о защите данных был тот факт, что
федеральное правительство намеревалось внести в этот закон существенную
поправку, согласно которой резиденты Германии должны были
регистрироваться в местной администрации и информировать о любом
изменении адреса. Основной план состоял в том. чтобы увеличить
количество информации, предоставляемой частным лицом в административные
банки персональных данных и ввести в стране персональный идентификатор,
чтобы полностью использовать все преимущества электронной обработки
данных. Рациональная идея
76
состояла в том, что внесение законопроекта о защите: данных было самым
удобным и политически “гладким” моментом для одновременного
“проталкивания” такого чрезмерного для общества закона о регистрации
германских и иностранных резидентов. По иронии судьбы, однако,
законопроект о реформе персональной регистрации и введении личного
идентификатора был отвергнут Комитетом парламента по законодательным
делам как неконституционный, и парламент принял только закон о защите
данных.
Новый Федеральный закон 1990 г. о защите данных был введен в действие 1
июня 1991 г. взамен старого закона 1978 г., который являлся одним из
первых в мире законов о защите данных. Новый закон учитывает
практический опыт, полученный от применения на практике своего
предшественника, более свежие технические достижения в области обработки
и защиты данных и, что самое главное, судебные решения, принятые
Федеральным Конституционным судом по вопросам защиты данных.
Именно эти судебные решения и инициировали движение за пересмотр
Федерального закона 1978 г. о защите данных. “Последней каплей”,
оказались судебные решения фундаментальной важности по вопросу защиты
данных в связи с переписью населения 1983 г. Согласно этим решениям
Конституционного суда, необходимость защиты данных вытекает из
фундаментального права индивидуума на свободное развитие своей личности,
установленного в параграфе 1 ст. 2 Конституции Германии. Суд
интерпретировал это фундаментальное право как наделяющее любого
индивидуума так называемым “informationelles Selbstimmungsrecht”, т.е.
базовым правом принимать решения относительно сообщения, передачи и
использования своих персональных данных. Конституционный суд, однако,
признал, что это право самоопределения должно иметь определенные
пределы. Преобладающие интересы общества в целом должны иметь
возможность допускать ограничения этой персональной свободы. Такие
изъятия, однако, должны содержаться в законе, удовлетворяющем
конституционным требованиям (принципам ясности и обоснованности). Кроме
того, суд решил, что законодательные органы должны внести в закон
административные и процедурные, положения, гарантирующие, что защита
данных будет функционировать на практике.
77
Объединение бывших ГДР и ФРГ в единую федерацию, произошедшее 3 октября
1990 г., создало специфические проблемы для защиты данных. В
соответствии с духом и буквой Договора об объединении, законы о защите
данных бывшей ФРГ должны быть распространены на пять новых Земель,
которые были созданы на территории бывшей ГДР. С 3 октября 1990 г.
Федеральный закон 1990 г. о защите данных применим к новым Землям в
специальных переходных Положениях. На Федерального уполномоченного по
защите данных возложены обязанности по внесению предложений об изменении
законодательства этих Земель о защите данных На всех уровнях до тех пор,
пока не будут назначены Земельные уполномоченные. Одна из новых Земель –
Тюрингия – в октябре 1991 г. приняла свое собственное законодательство о
защите данных, в основном повторяющее положения федерального закона.
Все данные, которые больше не требуются или которые не разрешено хранить
по закону ФРГ, должны быть уничтожены, если только такие действия не
нарушают права субъектов данных. Широко распространенное использование
персональных идентификационных номеров в старой системе ГДР привело к
необходимости как можно быстрее уничтожить эти номера и
переконфигурировать информацию таким образом, чтобы эти номера не были
более необходимы.
И, наконец, в 1991 г. германский Бундестаг принял закон, устанавливающий
специальные организационные меры для обращения с поистине взрывоопасной
персональной информацией, содержащейся в машинных данных и
документальных архивах службы госбезопасности бывшей ГДР (так называемой
“Штази”). Основные положения этого необычного (для сферы защиты данных)
закона таковы:
– граждане имеют право на информацию, если документальные записи и
данные Штази содержат любые сведения, относящиеся к ним:
– субъекты данных, т.е. жертвы Штази. наделяются неограниченным правом
на информацию и консультации относительно файлов данных, относящихся к
ним. В качестве незыблемого принципа законом установлено, что эти файлы
данных не могут быть использованы во вред субъектам данных;
– штатные сотрудники службы госбезопасности должны наделяться только
ограниченным правом доступа к этим файлам;
78
– публичным и иным организациям предоставляется доступ к этим файлам
только для целей, специально определенных законом с запретом
использовать эту информацию для каких-либо иных целей;
– на все учреждения, так же как и на всех частных лиц, законом
возлагается обязанность сообщать специальному Федеральному
уполномоченному по файлам данных и архивам Штази о любых данных и
документальных записях Штази, хранимых ими;
– средствам массовой информации дается санкция на публикацию
содержащейся в файлах и архивах Штази информации о тех лицах:
– кто дал свое согласие:
– кто был политическим функционером или должностным лицом, из числа ныне
живущих современников, за исключением тех случаев, которые относятся к
жертвам Штази;
– которые являются бывшими штатными сотрудниками Штази, за исключением
тех, кто был моложе 18 лет, когда работал на Штази;
– кто пользовался покровительством Штази (например, экономическими
выгодами или освобождением от преследования и наказания за уголовные
преступления).
Во всех этих случаях права личности на защиту персональной информации
могут быть преодолены правом на публикацию.
79
HYPERLINK “” \l “76” 76 :: HYPERLINK “” \l “77” 77 ::
HYPERLINK “” \l “78” 78 :: HYPERLINK “” \l “79” 79 :: HYPERLINK
“B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “79” 79 :: HYPERLINK “” \l “80” 80 ::
HYPERLINK “B1735Content.html” Содержание
§ 2. Федеральный закон 1990 г. о защите данных
Федеральный уровень. Федеральный закон 1990 г. о защите данных
регулирует вопросы сбора, обработки и использования персональной
информации:
1) органами власти федерального правительства;
2) органами власти правительств земель, исполняющими Федеральный закон
или действующими в качестве органов правосудия;
3) негосударственными структурами (физическими и юридическими лицами),
занимающимися обработкой или использованием данных, полученных из
коммерческих баз данных, в профессиональных или коммерческих целях.
Региональный уровень. Земельные законы о защите данных (в основном
аналогичные федеральному) регулируют те же действия, совершаемые:
1) земельными органами власти;
79
2) местными органами власти;
3) землячествами;
4) другими легальными общественными организациями под наблюдением
правительств земель и их подразделений.
80
HYPERLINK “” \l “79” 79 :: HYPERLINK “” \l “80” 80 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “80” 80 :: HYPERLINK “” \l “81” 81 ::
HYPERLINK “” \l “82” 82 :: HYPERLINK “” \l “83” 83 :: HYPERLINK
“B1735Content.html” Содержание
§ 3. Национальная система органов по защите персональных данных
Федеральный уровень. Федеральный уполномоченный по защите данных
организует контроль за деятельностью всех федеральных органов управления
и подчиненных им структур, занятых сбором и обработкой персональных
данных, за соблюдением ими требований Федерального закона 1990 г. о
защите данных.
Существуют некоторые изъятия. Так, например, федеральные суды подлежат
контролю Федерального уполномоченного только в той мере, в какой они
занимаются административными делами (ст. 24 (3)).
Федеральный уполномоченный по защите данных осуществляет следующие
функции:
1) контрольно-надзорные;
2) регистрационные;
3) экспертно-консультационные. Властными функциями не наделен.
Федеральный уполномоченный по защите данных является независимым
административным должностным лицом федерального уровня “, в совокупности
со своим персоналом, составляет независимый орган федеральной власти.
При этом, носителем полномочий, предоставленных законом, является сам
Федеральный уполномоченный. Часть полномочий он может делегировать
своему персоналу в той степени, в которой он находит это нужным.
Федеральный уполномоченный независим в рамках исполнения своих
должностных обязанностей. Эта независимость обеспечивается:
a) прямым указанием закона (ст. 22 (4));
b) процедурой совместного назначения Бундестагом, правительством и
федеральным президентом;
c) распределением административной подчиненности (федеральному министру
внутренних дел) и подотчетности (Бундестагу):
80
г) приданием статуса “привилегированной” той информации, которую
Федеральный уполномоченный получает при исполнении своих должностных
обязанностей.
“Ст. 23(4). Федеральный уполномоченный по защите данных вправе
отказаться давать свидетельские показания о лицах, которые ему. в
качестве Федерального уполномоченного, доверили какие-либо факты, а
также о самих этих фактах. Это же действительно в отношении сотрудников
Федерального уполномоченного по защите данных в той мере, в какой
Федеральный уполномоченный определяет границы этого права. Насколько
распространяется право Федерального уполномоченного по защите данных на
отказ о даче показаний, настолько нельзя от него требовать предъявления
или выдачи документов или других официальных бумаг”. HYPERLINK “” \l
“B1735Part36p81s1” 1
Региональный уровень. Правительства земель (субъектов федерации в ФРГ)
назначают Земельных уполномоченных по защите данных для контроля за
соблюдением всеми земельными органами управления и подчиненными им
структурами, занятыми сбором и обработкой персональных данных,
требований земельного закона о защите персональных данных.
“Лишь в девяти из шестнадцати субъектов Германской федерации:
Баден-Вюртемберге, Бранденбурге, Бремене, Мекленбурге-Верхней Померании,
Северном Рейн-Вестфалии. Рейнланд-Пфальце. Сааре, Саксонии-Ангальт и
Тюрингии – должностные лица носят официальное наименование
Уполномоченного по защите данных.
Статус остальных должностных лиц во многом определяется местными
особенностями и существующей в ФРГ практикой разделения компетенции
федерации и земель в ее составе”. HYPERLINK “” \l “B1735Part36p81s2” 2
Именно поэтому Федеральный закон 1990 г. о защите данных не
конкретизирует их наименование, объем полномочий и функций,
ограничиваясь общими положениями о деятельности земельных “органов
надзора” (Oberste Aufsiclitsbehorde).
81
Сфера полномочий Земельных уполномоченных по защите данных определяется
сферой правового регулирования соответствующих земельных законов о
защите данных. Земельные уполномоченные по защите данных осуществляют
следующие функции:
(1) контрольно-надзорные;
(2) регистрационные. Властными функциями не наделены.
Низовой уровень. Любое юридическое лицо, представляющее собой
негосударственное предприятие или организацию, которое:
– занято автоматизированной обработкой персональных данных и имеет не
менее 5 постоянных сотрудников;
– занято обработкой персональных данных другим способом и имеет не менее
20 постоянных сотрудников, назначает Уполномоченного по защите данных в
соответствии со ст. 36(1) Федерального закона 1990 г. о защите данных.
С целью обеспечения исполнения законодательства по защите данных Низовой
уполномоченный должен в рамках своего предприятия или организации
исполнять следующие функции: контрольно-надзорные и кадрово-надзорные.
Отраслевой уровень. Несколько особняком в этой системе контроля за
компьютерной обработкой персональных данных стоят Уполномоченные по
защите данных в учреждениях радиовещания федерального подчинения,
назначаемые в соответствии со ст. 42(1).
Появление в Федеральном законе 1990 г. о защите данных ст. 42. равно как
и ст. 41 “Обработка и использование данных о личности в средствах
массовой информации”, было вызвано двумя факторами:
– практически повсеместным переходом СМИ (как печатных, так и эфирных)
от картотечно-архивной системы накопления и хранения информации к
созданию и ведению собственных компьютерных банков данных, сопряженной с
компьютерными, издательскими или аудио-видео монтажными системами;
– тем фактом, что пресса (как печатная, так и эфирная) по-прежнему
остается основным источником таких правонарушений по отношению к
персональным данным, как “несанкционированное раскрытие фактов частной
жизни”, “диффамация” и пр.
Статус этих Уполномоченных по защите данных на радиовещании,
“действующих как лицо, замещающее Федерального уполномоченного
82
по защите данных…”, HYPERLINK “” \l “B1735Part36p83s1” 1 и их
обязанность направлять свои отчеты Федеральному уполномоченному являются
единственным свидетельством какой-либо вертикальной взаимосвязи между
Уполномоченными разных уровней. Уполномоченные разных уровней не
образуют из себя иерархическую систему с вертикальной подчиненностью, а
действуют независимо в рамках своей компетенции.
Сфера компетенций Уполномоченных по защите данных в учреждениях
радиовещания федерального подчинения достаточно очевидна из названия их
должности и определяется ст. 42 Федерального закона. Деятельность их
ограничена исключительно контрольно-надзорными функциями.
83
HYPERLINK “” \l “B1735Part36p81s1cr” 1 Gesetz zur Fortentwicklung
der Datenverarbeitung und des Datenschutzes // Bimdesgesetzblatt, 1990.
Teil IS. 2954.
HYPERLINK “” \l “B1735Part36p81s2cr” 2 Цит. по: Агапов А.Б. Основы
федерального информационного права России. – М., 1995. – С. 211.
HYPERLINK “” \l “B1735Part36p83s1cr” 1 Gesetz zur Fortentwickkmg der
Datenverarbeitung und des Datenschutzes // Bundesgesetzblatt, 1990. Teil
I. S. 2954.
HYPERLINK “” \l “80” 80 :: HYPERLINK “” \l “81” 81 ::
HYPERLINK “” \l “82” 82 :: HYPERLINK “” \l “83” 83 :: HYPERLINK
“B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “83” 83 :: HYPERLINK “” \l “84” 84 ::
HYPERLINK “B1735Content.html” Содержание
§ 4. Отраслевые нормативно-правовые акты
Защита права человека на невмешательство в частную жизнь отнесена в
Германии к области административного права. Нормы административного
права дополняются положениями уголовного законодательства,
предусматривающими уголрвное наказание за нарушение прав граждан на
тайну частной жизни.
К “отраслевым” нормам административного права отнесены:
– нормы, регулирующие защиту сферы частной жизни граждан от возможных
посягательств в области социального страхования (Закон о социальном
кодексе, ч. X);
– правовые положения о защите прав частной жизни в Федеральном законе о
регистрации (ст. 6);
– правовые положения о защите прав частной жизни в Федеральном законе об
удостоверениях личности (ст. 3);
– правовые положения, защищающие право на невмешательство в частную
жизнь в связи с разведывательной деятельностью государства (Закон о
сотрудничестве Федерального правительства с Земельными правительствами в
области разведывательной деятельности для защиты германской Конституции;
Федеральный закон о военной разведывательной службе; Закон о Федеральной
разведывательной службе);
83
– постановления германского Федерального министерства почт и
телекоммуникаций, регулирующие вопросы защиты тайны частной жизни в
связи с передачей информации, содержащей сведения частного характера
почтовыми, банковскими и телекоммуникационными службами;
– земельные законы, предусматривающие специальные меры защиты -прав
частной жизни, в том числе и от неправомерных действий органов
управления, а также о регулировании персональной информации, защищенной
профессиональными привилегиями (медицинской, юридической и пр.);
– постановления федерального и земельных правительств, изданных во
исполнение вышеперечисленных законов.
К “отраслевым” нормам уголовного права отнесены следующие:
Лицо, нарушившее тайну запечатанных почтовых отправлений. в
соответствии со ст. 202 УК наказывается денежным штрафом или лишением
свободы сроком до 1 года. То же деяние, совершенное служащим Германского
федерального почтового ведомства, наказывается (согласно ст. 203 УК)
крупным денежным штрафом и лишением свободы на срок до 5 лет.
Охрана конфиденциальных сведений, ставших известными в результате
профессиональной деятельности врачей, дантистов, фармацевтов, психологов
и психиатров, адвокатов, служащих органов патентной регистрации,
нотариусов, аудиторов, налоговых и иных консультантов, осуществляется
ст. 203 УК, согласно которой лицо, разгласившее сведения, доверенные ему
при осуществлении им профессиональной деятельности, наказывается штрафом
или лишением свободы на срок до 1 года.
Предприятия и организации, особенно частного сектора, всемерно
поощряются к саморегулированию в области защиты данных. Низовые
Уполномоченные по защите данных на предприятиях, по сути дела, тоже
являются инструментами саморегулирования.
84
HYPERLINK “” \l “83” 83 :: HYPERLINK “” \l “84” 84 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “85” 85 :: HYPERLINK “B1735Content.html”
Содержание
Глава 10. Законодательное регулирование
персональных данных в Дании
§ 1. Базовые законы о защите данных: акт 1979 г. о регистрах
публичных органов власти и акт 1979 г. о частных регистрах
В Дании два отдельных закона примерно одинаковой структуры
регламентируют обработку данных в общественном и в частном секторах:
законодательный акт 1979 г. о регистрах публичных органов власти и
законодательный акт 1979 г. о частных регистрах. Оба закона введены в
действие одновременно (1 января 1979 г.) и оба они применимы только к
регистрам (собраниям данных), содержащим персональные данные.
Законодательный акт о частных регистрах применим не только к регистрам,
основанным на электронной обработке данных, но и к любым формам
систематической регистрации данных о частных лицах, организациях или
деловых предприятиях частного или финансового характера. Законодательный
акт о регистрах публичных органов власти применим только к электронным
регистрам данных, хранимым для нужд государственной гражданской службы.
85
HYPERLINK “” \l “85” 85 :: HYPERLINK “B1735Content.html”
Содержание
***********************************
HYPERLINK “” \l “85” 85 :: HYPERLINK “” \l “86” 86 ::
HYPERLINK “B1735Content.html” Содержание
§ 2. Отраслевые нормативно-правовые акты
Законоположения уголовного права, запрещающие государственным служащим
передавать информацию о частных лицах. полученную в результате их
работы.
Законодательный акт о практике маркетинга, налагающий аналогичный
запрет на наемных служащих или лиц, находящихся в контрактных отношениях
с любой компанией.
Наличие только двух “отраслевых” законоположений определяется
особенностью датской системы правового регулирования обработки и
использования персональных данных, при которой в базовом законе о защите
данных (точнее, в двух взаимодополняющих актах 1979 г. о регистрах)
содержатся положения, определяющие статус и регламентирующие
деятельность тех “отраслей” (в их число попадают агентства по
расследованию, агентства почтовых адресов, любые действия по
85
автоматической записи и регистрации телефонных номеров, регистры
новостей для прессы, агентства по электронной обработке данных), которые
представляют собой источники потенциальных угроз для сферы частной
жизни.
86
HYPERLINK “” \l “85” 85 :: HYPERLINK “” \l “86” 86 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “86” 86 :: HYPERLINK “B1735Content.html”
Содержание
§ 3. Органы по надзору за данными: Совет и Секретариат
Учрежденный для защиты персональных данных, орган по надзору за данными
(DPА) состоит из Совета и Секретариата. Совет, осуществляющий надзор над
любыми регистрами (файлами или банками данных), к которым применимы
вышеупомянутые законодательные акты о регистрах, состоит из семи членов,
один из которых должен быть судьей. Члены Совета назначаются на срок в 4
года.
Законодательный акт о регистрах публичных органов власти оговаривает
следующее:
“Орган власти по надзору за данными (DPА) должен по своей собственной
инициативе или на основании жалобы, поданной некой стороной, данные о
которой содержатся в неком регистре, обеспечить, чтобы любой регистр,
подпадающий под юрисдикцию данного законодательного акта, был учрежден и
функционировал в соответствии с его положениями и с директивами, во
исполнение настоящего законодательного акта”.
Закон дает детальные директивы относительно тех данных, которые могут
быть затребованы DPА из индивидуальных регистров. DPA должен давать
Фолкетингу (датскому парламенту) ежегодный отчет о своих действиях. Этот
отчет должен затем публиковаться.
86
HYPERLINK “” \l “86” 86 :: HYPERLINK “B1735Content.html”
Содержание
***********************************
HYPERLINK “” \l “87” 87 :: HYPERLINK “” \l “88” 88 ::
HYPERLINK “B1735Content.html” Содержание
Глава 11. Основные направления защиты
персональных данных в Канаде
§ 1. Предпосылки появления законодательных актов о защите
персональных данных
Структура канадского законодательства о защите персональных данных носит
несколько парадоксальный характер: законодательство многих провинций
является го&