Иванский В.П. 1999 – Правовая защита информации о частной жизни граждан.
Опыт современного правового регулирования
Иванский В.П.. Правовая защита информации о частной жизни граждан. Опыт
современного правового регулирования: монография. М.: Издательство РУДН,
1999. – 276с.
Рассматриваются актуальные проблемы защиты информации приватного
характера. В доступной сравнительно-правовой форме исследуется
понятийный аппарат законодательства о защите персональных данных в
зарубежных государствах. Предназначено для студентов-юристов,
аспирантов, преподавателей, научных работников и государственных
служащих, а также для всех интересующихся вопросами; защиты частной
жизни при использовании современных телекоммуникационных технологий. Для
специалистов-правоведов будут полезны включенные в Приложение тексты
законов о защите персональных данных Великобритании, Германии и Франции,
регулирующие сбор, обработку и распространение личной информации.
ОГЛАВЛЕНИЕ
HYPERLINK “B1735Part1-3.html” ОТ АВТОРА HYPERLINK
“B1735Part1-3.html” 3
РАЗДЕЛ I. ИНФОРМАЦИОННЫЕ ОТНОШЕНИЯ В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ КАК
ПРЕДМЕТ ПРАВОВОГО РЕГУЛИРОВАНИЯ
Глава 1. Персональные данные как объект информационных отношений
HYPERLINK “B1735Part2-7.html” § 1. Понятие персональных данных
HYPERLINK “B1735Part2-7.html” 7
HYPERLINK “B1735Part3-13.html” § 2. Виды персональных данных
HYPERLINK “B1735Part3-13.html” 13
HYPERLINK “B1735Part4-16.html” § 3. Принципы защиты персональных
данных HYPERLINK “B1735Part4-16.html” 16
HYPERLINK “B1735Part5-22.html” § 4. Проблемы правовой защиты особо
опасных объектов HYPERLINK “B1735Part5-22.html” 22
Глава 2. Основные категории субъектов информационных правовых отношений
в сфере персональных данных
HYPERLINK “B1735Part6-27.html” § 1. Понятие субъекта данных
HYPERLINK “B1735Part6-27.html” 27
HYPERLINK “B1735Part7-28.html” § 2. Понятие субъекта обработанных
данных HYPERLINK “B1735Part7-28.html” 28
HYPERLINK “B1735Part8-29.html” § 3. Понятие держателя данных
HYPERLINK “B1735Part8-29.html” 29
HYPERLINK “B1735Part9-29.html” § 4. Понятие контролера файлов
HYPERLINK “B1735Part9-29.html” 29
HYPERLINK “B1735Part10-30.html” § 5. Понятие контролера данных
HYPERLINK “B1735Part10-30.html” 30
HYPERLINK “B1735Part11-31.html” § 6. Понятие пользователя данных
HYPERLINK “B1735Part11-31.html” 31
HYPERLINK “B1735Part12-32.html” § 7. Понятие компьютерного бюро
HYPERLINK “B1735Part12-32.html” 32
HYPERLINK “B1735Part13-33.html” § 8. Понятие обработчика данных
HYPERLINK “B1735Part13-33.html” 33
РАЗДЕЛ II. ПРАВОВОЕ РЕГУЛИРОВАНИЕ ЗАЩИТЫ ИНФОРМАЦИОННЫХ ОБЩЕСТВЕННЫХ
ОТНОШЕНИЙ В СФЕРЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Глава 3. Принципы построения национальных правовых систем защиты
персональных данных
HYPERLINK “B1735Part14-36.html” § 1. Генеральный принцип HYPERLINK
“B1735Part14-36.html” 36
HYPERLINK “B1735Part15-36.html” § 2. Секторный (отраслевой) принцип
HYPERLINK “B1735Part15-36.html” 36
HYPERLINK “B1735Part16-37.html” § 3. Смешанный принцип HYPERLINK
“B1735Part16-37.html” 37
Глава 4. Национально-правовые методы защиты персональных данных,
обрабатываемых субъектами информационных отношений
HYPERLINK “B1735Part17-38.html” § 1. Базовые (системообразующие)
национальные законы о защите персональных данных HYPERLINK
“B1735Part17-38.html” 38
HYPERLINK “B1735Part18-40.html” § 2. Отраслевые (секторные)
нормативные акты о защите персональных данных HYPERLINK
“B1735Part18-40.html” 40
HYPERLINK “B1735Part19-41.html” § 3. Национальный орган (или система
органов) по защите персональных данных HYPERLINK
“B1735Part19-41.html” 41
HYPERLINK “B1735Part20-44.html” § 4. Средства защиты персональных
данных в публичных и частных корпорациях HYPERLINK
“B1735Part20-44.html” 44
РАЗДЕЛ III. ОБЩАЯ ХАРАКТЕРИСТИКА ПРАВОВОГО РЕГУЛИРОВАНИЯ ЗАЩИТЫ
ПЕРСОНАЛЬНЫХ ДАННЫХ В ЗАРУБЕЖНЫХ СТРАНАХ
Глава 5. Правовая защита персональных данных в Австралии
HYPERLINK “B1735Part21-57.html” § 1. Базовый закон о защите данных:
законодательный акт 1988 г. о неприкосновенности частной жизни (Privacy
Act 1988) HYPERLINK “B1735Part21-57.html” 57
HYPERLINK “B1735Part22-58.html” § 2. Орган по защите данных:
Уполномоченный по защите прав граждан на неприкосновенность частной
жизни (Privacy Comissioner) HYPERLINK “B1735Part22-58.html” 58
Глава 6. Формы и методы защиты персональных данных в Австрии
HYPERLINK “B1735Part23-60.html” § 1. Предыстория принятия
законодательного акта о защите данных HYPERLINK “B1735Part23-60.html”
60
HYPERLINK “B1735Part24-60.html” § 2. Базовый закон 1978г. о защите
данных HYPERLINK “B1735Part24-60.html” 60
HYPERLINK “B1735Part25-61.html” § 3, Отраслевые нормативно-правовые
акты HYPERLINK “B1735Part25-61.html” 61
HYPERLINK “B1735Part26-61.html” § 4. Органы по защите данных: Совет и
Комиссия HYPERLINK “B1735Part26-61.html” 61
Глава 7. Система защиты персональных данных в Бельгии
HYPERLINK “B1735Part27-64.html” § 1. Предыстория принятия
законодательного акта о защите персональных данных HYPERLINK
“B1735Part27-64.html” 64
HYPERLINK “B1735Part28-64.html” § 2. Акт 1992 г. о защите данных как
основной национальный закон HYPERLINK “B1735Part28-64.html” 64
HYPERLINK “B1735Part29-65.html” § 3. Отраслевые нормативно-правовые
акты HYPERLINK “B1735Part29-65.html” 65
HYPERLINK “B1735Part30-66.html” § 4. Комиссия по защите
неприкосновенности частной жизни HYPERLINK “B1735Part30-66.html” 66
Глава 8. Институциональные формы защиты персональных данных в
Великобритании
HYPERLINK “B1735Part31-69.html” § 1. Законодательный акт 1984 г. о
защите персональных данных HYPERLINK “B1735Part31-69.html” 69
HYPERLINK “B1735Part32-70.html” § 2. Национальный регистратор и
Национальный суд по защите данных HYPERLINK “B1735Part32-70.html” 70
HYPERLINK “B1735Part33-74.html” § 3. Кодекс практики HYPERLINK
“B1735Part33-74.html” 74
Глава 9. Правовая защита персональных данных в Германии
HYPERLINK “B1735Part34-76.html” § 1. Проблемы принятия
законодательного акта о защите данных HYPERLINK “B1735Part34-76.html”
76
HYPERLINK “B1735Part35-79.html” § 2. Федеральный закон 1990 г. о
защите данных HYPERLINK “B1735Part35-79.html” 79
HYPERLINK “B1735Part36-80.html” § 3. Национальная система органов по
защите персональных данных HYPERLINK “B1735Part36-80.html” 80
HYPERLINK “B1735Part37-83.html” § 4. Отраслевые нормативно-правовые
акты HYPERLINK “B1735Part37-83.html” 83
Глава 10. Законодательное регулирование персональных данных в Дании
HYPERLINK “B1735Part38-85.html” § 1. Базовые законы о защите данных:
акт 1979 г. о регистрах публичных органов власти и акт 1979 г. о частных
регистрах HYPERLINK “B1735Part38-85.html” 85
HYPERLINK “B1735Part39-85.html” § 2. Отраслевые нормативно-правовые
акты HYPERLINK “B1735Part39-85.html” 85
HYPERLINK “B1735Part40-86.html” § 3. Органы по надзору за данными:
Совет и Секретариат HYPERLINK “B1735Part40-86.html” 86
Глава 11. Основные направления защиты персональных данных в Канаде
HYPERLINK “B1735Part41-87.html” § 1. Предпосылки появления
законодательных актов о защите персональных данных HYPERLINK
“B1735Part41-87.html” 87
HYPERLINK “B1735Part42-88.html” § 2. Базовые законы о защите данных
HYPERLINK “B1735Part42-88.html” 88
HYPERLINK “B1735Part43-89.html” § 3. Отраслевые нормативно-правовые
акты HYPERLINK “B1735Part43-89.html” 89
HYPERLINK “B1735Part44-90.html” § 4. Орган (или система органов) по
защите данных HYPERLINK “B1735Part44-90.html” 90
HYPERLINK “B1735Part45-91.html” § 5. Нестатутные (корпоративные)
средства защиты персональных данных HYPERLINK “B1735Part45-91.html”
91
Глава 12. Особенности правовой защиты персональных данных в Финляндии
HYPERLINK “B1735Part46-93.html” § 1. Законодательный акт о файлах
персональных данных HYPERLINK “B1735Part46-93.html” 93
HYPERLINK “B1735Part47-94.html” § 2. Отраслевые нормативно-правовые
акты HYPERLINK “B1735Part47-94.html” 94
HYPERLINK “B1735Part48-95.html” § 3. Органы по защите данных:
Омбудсмен и Коллегия HYPERLINK “B1735Part48-95.html” 95
Глава 13. Система правовых и организационных средств защиты персональных
данных во Франции
HYPERLINK “B1735Part49-98.html” § 1. Причины принятия
законодательного акта о защите персональных данных HYPERLINK
“B1735Part49-98.html” 98
HYPERLINK “B1735Part50-101.html” § 2. Базовый закон 1978 г. об
обработке данных, файлов данных и индивидуальных свободах HYPERLINK
“B1735Part50-101.html” 101
HYPERLINK “B1735Part51-101.html” § 3. Отраслевые нормативно-правовые
акты HYPERLINK “B1735Part51-101.html” 101
HYPERLINK “B1735Part52-102.html” § 4. Национальная комиссия по
обработке данных и гражданским свободам HYPERLINK
“B1735Part52-102.html” 102
HYPERLINK “B1735Part53-105.html” § 5. Средства защиты персональных
данных в публичных и частных корпорациях HYPERLINK
“B1735Part53-105.html” 105
Глава 14. Опыт правовой защиты персональных данных в Японии
HYPERLINK “B1735Part54-106.html” § 1. Закон 1989 г. об обрабатываемых
персональных данных, хранимых административными органами HYPERLINK
“B1735Part54-106.html” 106
HYPERLINK “B1735Part55-106.html” § 2. Региональный орган по защите
данных: местная комиссия по защите неприкосновенности частной жизни
HYPERLINK “B1735Part55-106.html” 106
HYPERLINK “B1735Part56-108.html” § 3. Кодексы практики и “отраслевые”
подзаконные акты HYPERLINK “B1735Part56-108.html” 108
РАЗДЕЛ IV. МЕЖДУНАРОДНО-ПРАВОВОЕ РЕГУЛИРОВАНИЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ
ДАННЫХ
HYPERLINK “B1735Part57-109.html” Глава 15. Экстерриториальность
персональных данных и проблемы их защиты HYPERLINK
“B1735Part57-109.html” 109
HYPERLINK “B1735Part58-112.html” § 1. Руководящие принципы по защите
частной жизни и трансграничных потоков персональных данных в документах
OECD HYPERLINK “B1735Part58-112.html” 112
HYPERLINK “B1735Part59-117.html” § 2. Вопросы защиты частной жизни и
персональных данных в деятельности Совета Европы HYPERLINK
“B1735Part59-117.html” 117
HYPERLINK “B1735Part60-124.html” § 3. Деятельность Евросоюза по
гармонизации законодательства о защите частной жизни и персональных
данных HYPERLINK “B1735Part60-124.html” 124
HYPERLINK “B1735Part61-127.html” § 4. Свобода трансграничных потоков
информации и позиция Международной торговой палаты в отношении защиты
“прайвеси” HYPERLINK “B1735Part61-127.html” 127
HYPERLINK “B1735Part62-131.html” § 5. Защита частной жизни и
персональных данных в сообществе стран Шенгенского соглашения
HYPERLINK “B1735Part62-131.html” 131
Глава 16. Перспективы развития международного регулирования обработки и
передачи персональных данных
HYPERLINK “B1735Part63-133.html” § 1. Обмен данными между странами с
эквивалентными национальными системами правовой защиты данных
HYPERLINK “B1735Part63-133.html” 133
HYPERLINK “B1735Part64-135.html” § 2. Обмен данными между странами с
разным уровнем правовой защиты персональных данных HYPERLINK
“B1735Part64-135.html” 135
ПРИЛОЖЕНИЯ
HYPERLINK “B1735Part65-141.html” Великобритания. Акт 1984 г. о защите
баз данных HYPERLINK “B1735Part65-141.html” 141
HYPERLINK “B1735Part66-209.html” Федеративная Республика Германии.
Федеральный закон об охране данных 1990 г HYPERLINK
“B1735Part66-209.html” 209
HYPERLINK “B1735Part67-252.html” Франция. Закон № 78-17 от 6 января
1978 г. об обработке данных, файлов данных и индивидуальных свободах
HYPERLINK “B1735Part67-252.html” 252
***********************************
HYPERLINK “” \l “3” 3 :: HYPERLINK “” \l “4” 4 :: HYPERLINK “”
\l “5” 5 :: HYPERLINK “” \l “6” 6 :: HYPERLINK
“B1735Content.html” Содержание
Посвящается
Любимой бабушке – А. Ломано,
Дорогому дяде – В. Иванскому,
Лучшему другу – М. Клевцову.
От автора
Возрастающие возможности вычислительной техники собирать и обрабатывать
данные, касающиеся личной жизни граждан, вызывают серьезную
озабоченность по поводу условий их хранения и возможностей
несанкционированного распространения содержащихся в них сведений
частного характера. Во многих странах уже приняты нормативно-правовые
акты, устанавливающие механизм защиты персональной информации, согласно
которому контроль за обработкой компьютерной информации возлагается
непосредственно на занятых в этом процессе лиц. Однако в России ни на
федеральном уровне, ни на уровне субъектов Федерации не создана правовая
база для аналогичного механизма, несмотря на обеспокоенность населения
сбором и обработкой компьютерной информации приватного характера.
Принятый в 1995 г. Федеральный закон “Об информации, информатизации и
защите информации” HYPERLINK “” \l “B1735Part1p3s1” 1 не содержит
механизма защиты права граждан на неприкосновенность частной жизни в
области обработки компьютерной информации. Поэтому российским
законодателям еще только предстоит законотворчество в правовом
регулировании хранения, обработки и использования персональных данных,
опираясь на опыт зарубежных государств, в которых внедрение компьютерных
и телекоммуникационных технологий произошло на 10-15 лет раньше, чем в
России.
С расширением спектра услуг, оказываемых публичным и частным секторами,
возросла автоматизированная обработка информации частного характера.
Несмотря на то. что компьютеризация несет с собой социальные и
экономические выгоды, она порождает и опасность появления
злоупотребления информацией, последствия которой могут нанести гораздо
более крупный ущерб индивиду и
3
государству в целом, чем при архивных методах “ручной” обработки
информации:
– во-первых, это связано со способностью средств вычислительной техники
накапливать, сопоставлять и перемещать огромные массивы информации
способами, которые недоступны для традиционных архивных методов
обработки;
– во-вторых, возросшая опасность несанкционированного разглашения
информации лицами, имеющими допуск к компьютерным базам данных,
вследствие относительной простоты поиска нужной информации и извлечений
из нее необходимых сведений;
– в-третьих, способность компьютерной техники хранить большие массивы
информации и возможность ее оперативного обновления, актуализации,
сопоставления и уничтожения ошибочно внесенных сведений;
– в-четвертых, участившимися попытками несанкционированного доступа к
электронной информации со стороны посторонних лиц из-за относительно
простой идентификации информации и извлечения из нее интересующих
сведений.
Итак, стержневым моментом правового регулирования персональной
информации является вопрос ее достоверности и защиты. Принимая во
внимание тот факт, что из процесса обработки и сопоставления отдельных
категорий данных исключается “человеческий фактор”, т. е. отключается
элемент контроля со стороны человека, как это имеет место при
традиционной “ручной” архивной обработке информации, резко возрастает
риск смысловых и контекстуальных ошибок, которые присущи машинной
обработке, и “передоверия” компьютеру принимать решения, которые
зачастую чреваты опасностью для судеб частных лиц. Очевидно, однако, что
вопросы защиты неприкосновенности частной жизни не могут быть решены
адекватно, не принимая во внимание право граждан быть осведомленными о
характере и достоверности собранных на них сведений. Поэтому решение
вопроса об адекватности правоохранительных мер по защите
неприкосновенности частной жизни неразрывно связано с решением вопроса о
пересмотре существующего законодательства о свободе информации и
принятие нормативных правовых актов по защите частной жизни.
4
В развитых демократических странах, начиная со второй половины XX века,
правовая защита сферы частной жизни в связи с применением информационных
технологий стала одним из приоритетных направлений в области охраны прав
человека. Ей посвящены многочисленные теоретические исследования
зарубежных ученых: Ч.Д. Рааб, У. Фридман, Л. Шойом, Р. Уэкс, У .Л.
Проссер. С. Стремхольм и др.
В отечественной юридической науке и практике вопросы правовой защиты
сферы частной жизни, в том числе и в связи с использованием
информационных технологий, до сих пор не нашли должного отражения, хотя
им немало уделялось внимания в научных работах Н.Н. Разумовича, М.Е.
Петросян, А.Б. Агапова, В. А. Копылова, Л.Б. Алексеевой, Л.А. Сергеенко,
Л.Д. Воеводина, В. П. Кашепова. А.П. Курило, Л.К. Терещенко, В. В.
Бойцовой и др. Между тем. эти вопросы представляются весьма актуальными
применительно к современным российским реалиям.
Конституция Российской Федерации 1993 г. HYPERLINK “” \l
“B1735Part1p5s1” 1 законодательно закрепила право на
неприкосновенность частной жизни (ст. 23) и недопустимость сбора,
хранения, использования и распространения информации о частной жизни
лица без его согласия (ст. 24). Однако эти конституционные нормы не
конкретизированы в специальных законах об охране неприкосновенности
частной жизни и о защите персональных данных. В российском
законодательстве средства правовой защиты сферы частной жизни и
персональных данных являются неудовлетворительными по сравнению с
соответствующими зарубежными и международными стандартами в этой
области.
На этом фоне четко проявляется необходимость разработки механизма
эффективной защиты компьютерных банков данных, т. е. правового
регулирования вопросов защиты информации, собираемой с помощью
вычислительной техники. Эта необходимость уже признана и закреплена в
законодательствах многих зарубежных государств. Без разработки и
принятия схемы эффективной защиты компьютерных банков данных как в
публичном, так и в частном секторах утечка информации из них будет
по-прежнему являться фактором, препятствующим полному осуществлению
права граждан на неприкосновенность частной жизни.
5
Автор считает приятным долгом выразить признательность друзьям и
коллегам. Хотелось бы поблагодарить профессорско-преподавательский
состав юридического факультета Российского университета дружбы народов:
академика МАН ВШ, доктора юридических наук, профессора кафедры теории и
истории государства и права О.А. Жидкова, доктора юридических наук,
профессора кафедры теории и истории государства и права Г.И. Муромцева,
кандидата юридических наук, доцента кафедры теории и истории государства
и права М.Г. Шарце; кандидата юридических наук, доцента кафедры
конституционного, административного и финансового права А.Б. Зеленцов а
и академика МАИ, доктора юридических наук, профессора А.С. Пиголкина, а
также кандидата юридических наук, доцента кафедры международного права
А.Я. Капустина за ценные советы и содействие в изучении проблем правовой
защиты частной жизни.
6
HYPERLINK “” \l “B1735Part1p3s1cr” 1 Принят 20 февраля 1995 г. №
24-ФЗ (Собрание законодательства РФ. 1995. № 8. Ст. 609).
HYPERLINK “” \l “B1735Part1p5s1cr” 1 См.: Конституция Российской
Федерации. – М.: ПРИОР, 1997. – С. 64.
HYPERLINK “” \l “3” 3 :: HYPERLINK “” \l “4” 4 :: HYPERLINK “”
\l “5” 5 :: HYPERLINK “” \l “6” 6 :: HYPERLINK
“B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “7” 7 :: HYPERLINK “” \l “8” 8 :: HYPERLINK “”
\l “9” 9 :: HYPERLINK “” \l “10” 10 :: HYPERLINK “” \l “11” 11
:: HYPERLINK “” \l “12” 12 :: HYPERLINK “” \l “13” 13 ::
HYPERLINK “B1735Content.html” Содержание
“Если личные права любого индивидуума нарушаются, манеры нации портятся,
подвергая опасности все общество в целом”.
Алексис де Токвиллъ
РАЗДЕЛ I
ИНФОРМАЦИОННЫЕ ОТНОШЕНИЯ
В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ КАК
ПРЕДМЕТ ПРАВОВОГО РЕГУЛИРОВАНИЯ
Глава 1. Персональные данные
как объект информационных отношений
§ 1. Понятие персональных данных
Бурное развитие компьютерных и телекоммуникационных технологий привело к
формированию принципиально новых факторов, таящих угрозу для права
граждан на невмешательство в частную жизнь:
1) возможность хранить и обрабатывать информацию, используемую для
управления государством и бизнесом, не в обезличенной, а в
персонифицированной форме;
2) скрытный (в восприятии человека) характер накопления, хранения,
обработки и передачи информации в компьютерах;
3) появление особо опасных информационных объектов со сверхвысокой
концентрацией персонифицированной информации (базы и банки данных,
пространственно-распределенные информационные системы).
В странах, находящихся на этапе компьютерного информационного общества
или в фазе перехода к такому обществу, основным объектом посягательств
на сферу частной жизни стала персонифицированная информация,
обрабатываемая автоматизированными электронными средствами
(компьютерными и телекоммуникационно-компьютерными информационными
системами). Такую информацию
7
стали называть “персональными данными”. Термином “машинные данные” или
просто “данные” в большинстве стран обозначают информацию, полученную в
результате обработки на ЭВМ или подготовленную в специальной форме для
такой обработки. Причины же специального выделения категории
“персональные данные” из общего понятия “данные” связаны с тем, что
такие данные являются потенциально уязвимыми атрибутами сферы частной
жизни человека.
Довольно быстро было обнаружено, что персонифицированную информацию в
компьютерах можно условно разделить на две категории:
(1) “нейтральные” персонифицированные данные, к раскрытию и
распространению которых субъект данных относится индифферентно;
(2) “чувствительные” персонифицированные данные, циркуляцию которых
субъект данных стремится ограничить. Именно эта категория получила
название “персональные данные” и была квалифицирована как информация,
несанкционированный доступ или ненадлежащее использование которой
приводит к посягательствам на права частной жизни субъекта данных.
Таким образом, персональные данные определяются по критерию
“чувствительности”.
Так как понятие “чувствительность” персональной информации достаточно
субъективно и зависит от восприятия субъекта данных, то на базе многих
прецедентов в гражданском судопроизводстве стран общего права был
выработан следующий принцип: публикация некоего факта частной жизни
(персональных данных) признавалась посягательством на сферу частной
жизни, если было доказано, “что публикация этого факта была высоко
предосудительной с точки зрения любого благоразумного человека,
наделенного обычной чувствительностью” HYPERLINK “” \l “B1735Part2p8s1”
1 . Смысл этого судебного критерия в том, “что закон не предназначен
для защиты сверхчувствительных людей, поскольку каждый человек должен до
некого обоснованного предела открывать свою жизнь для пристального
внимания общества” HYPERLINK “” \l “B1735Part2p8s2” 2 .
8
С точки зрения критерия “чувствительности”, определение оксфордского
правоведа Раймонда Уэкса представляется многим исследователям
каноническим:
“Персональная информация” могла бы определяться как те факты, сообщения
или мнения, которые связаны с данным индивидом и относительно которых
можно было бы ожидать, что он считает их интимными или конфиденциальными
и, следовательно, желает остановить или, по крайней мере, ограничить их
циркуляцию” HYPERLINK “” \l “B1735Part2p9s1” 1 .
В национальных законах о защите данных в определении понятия
“персональные данные” не применяется критерии “чувствительность”, но он
используется при делении персональных данных на “обычные” и
“чувствительные” (или “особо чувствительные”) в других статьях этих же
законов. Это связано с большим разнообразием персональных данных,
используемых в компьютерных информационных системах, с одной стороны, и
относительной субъективностью критерия “чувствительности”, с другой. В
самих же определениях понятия “персональные данные” используется, как
правило, другой критерий – критерий “идентифицируемости субъекта данных”
на основании этих данных.
Классический пример использования этого критерия дает определение из
Австрийского закона 1978 г. о защите данных:
“Данные – информация, хранимая на носителе данных и имеющая отношение к
некому идентифицированному или имеющему высокую вероятность
идентификации субъекту данных (персональные данные)” HYPERLINK “” \l
“B1735Part2p9s2” 2 .
Датские законодательные акты 1979 г. о регистрах публичных органов
власти и о частных регистрах определяют понятие “персональные данные”
следующим образом:
“Для целей настоящего законодательного акта термин “персональные данные”
должен пониматься как обозначение данных, которые могут быть отнесены к
идентифицируемым индивидуумам, даже если такое отнесение предполагает
знание персонального
9
регистрационного номера или любых подобных специальных средств
идентификации такого индивидуума” HYPERLINK “” \l “B1735Part2p10s1” 1
.
Значительно более сложным и интересным является британское определение
персональных данных. Законодательный акт 1984 г. о защите данных вводит
в определение дополнительные категории – “мнение” и “намерение”:
“Ст. 1(3). Термин “персональные данные” означает данные, состоящие из
информации, связанной с неким живым индивидом, который может быть
идентифицирован на основании этой информации (или с помощью этой и иной
информации, находящейся в распоряжении пользователя данных), включая
любое выражение мнения о данном лице, но без какого-либо указания о
намерениях пользователя данных в отношении этого лица” HYPERLINK “” \l
“B1735Part2p10s2” 2 .
Таким образом, любое выражение мнения об индивиде (субъекте данных)
включается в состав персональных данных, тогда как любое указание на
намерения пользователя данных в отношении субъекта данных однозначно
исключается из категории “персональные данные” (необходимо подчеркнуть,
что намерения третьей стороны, поскольку они в явной и недвусмысленной
форме не исключены законом, включаются в состав персональных данных).
Другой важной особенностью британского определения является оговорка:
“…или с помощью этой и иной информации, находящейся в распоряжении
пользователя данных”. Поскольку Великобритания разрабатывала свой закон
о защите персональных данных почти на десятилетие позже других
стран-участниц Конвенции 108 Совета Европы, то легислатура Соединенного
Королевства имела возможность учесть опыт применения аналогичных
зарубежных законов. Приведенная выше оговорка призвана предупредить
распространенную среди пользователей данных уловку: чтобы данные не
подпадали под юрисдикцию законодательства о защите персональных данных,
они хранят их в компьютере в псевдообезличенной форме – без упоминания
идентифицирующих сведений о субъекте данных, но с привязкой к
идентификационным кодам. Таблица же соответствия
10
кодов и субъектов данных хранится (в ручной форме или на магнитных
носителях) отдельно и при необходимости обеспечивает идентификацию
субъектов данных этой якобы обезличенной компьютерной информации.
Исландский законодательный акт 1989 г. о регистрации и обращении с
персональными данными распространяет понятие “персональные данные” и на
сведения о юридических лицах (т.е. признает так называемое
“корпоративное право на невмешательство в частную сферу”):
“…к персональным данным относятся данные, связанные с частными,
финансовыми или иными делами индивидов, институтов, компаний или иных
юридических лиц, которые эти лица обоснованно должны держать в секрете”
HYPERLINK “” \l “B1735Part2p11s1” 1 .
Определение из Французского закона 1978 г. об обработке данных, файлах
данных и индивидуальных свободах подчеркивает, что правовое
регулирование обработки персональных данных распространяется как на
публичный, так и на частный сектора:
“Ст. 4. …персональные данные – это данные, которые позволяют в любой
форме, прямо или косвенно, установить личность физического лица, в
отношении которого эти данные собраны, независимо от того, физическими
или юридическими лицами эти данные были обработаны” HYPERLINK “” \l
“B1735Part2p11s2” 2 .
Особо следует отметить тщательную проработку определений персональных
данных и смежных с ними понятий в Финском законодательном акте 1988 г. о
файлах персональных данных:
“1. Термин “персональные данные” означает любое описание любого
физического лица или характеристик физического лица, или жизненных
обстоятельств, которое может быть признано как описывающее определенное
частное физическое лицо или его семью или тех. кто живет с ним в одном и
том же жилище.
2. Термин “файл персональных данных” означает любой набор данных,
содержащий персональные данные, обработанные при
11
помощи компьютера, а также любой перечень, картотеку или иной набор
данных, содержащий персональные данные и организованный соответствующим
образом, благодаря которому данные о любом конкретном физическом лице
могут быть найдены легко и без чрезмерных затрат.
2а. Термин “файл редакционных данных” означает любой файл персональных
данных, предназначенный только для редакторских операций любого члена
редакции средств массовой информации и недоступный для посторонних.
6. Термин “персональные кредитные данные” означает персональные данные,
предназначенные для использования в оценке финансового статуса
физического лица, его способности соответствовать своим обязательствам
или степени оказываемого ему кредитного доверия.
7а. Термин “матрикула” означает любой файл персональных данных,
предназначенный для публикации, в который физические лица входят в
соединении со сведениями о конкретной профессии или образовании,
членстве в некой профессиональной организации или ином обществе, со
своим статусом или достижениями в области культуры, спорта,
экономической жизни или иной гражданской деятельности или в соединении с
другими сопоставимыми факторами” HYPERLINK “” \l “B1735Part2p12s1” 1 .
Этот законодательный акт, относящийся к так называемым “законам второго
поколения”, учитывает опыт применения предыдущих отечественных и
зарубежных законов и содержит ряд принципиально новых моментов. Пункт 1
распространяет понятие “персональные данные” на сведения о семье
субъекта данных и о тех, “кто живет с ним в одном и том же жилище”.
Пункт 2 выводит понятие “персональные данные” за пределы чисто
компьютерной информации, распространяя его на данные в информационных
системах иных технологий (ручных, механических и т.д.). Принципиальной
новинкой является определение “отраслевых” персональных данных в пунктах
2а, 6 и 7а (для кредитной отрасли и для средств массовой информации).
Особенно важным представляется появление в законе определений терминов
“файл редакционных данных” и “матрикула”, поскольку после внедрения
компьютерных технологий в
12
повседневную работу печатной и электронной прессы обработка персональных
данных в средствах массовой информации стала объектом правового
регулирования одновременно со стороны деликтных средств правовой защиты
сферы частной жизни от посягательств в форме несанкционированных
публикаций или публичной огласки, сформировавшихся в “докомпьютерную
эпоху”, и со стороны правовых институтов, регулирующих отношения в
информационной сфере. Проработка в законе таких определений способствует
тому, чтобы взаимоотношения деликтного и информационного права в этой
точке соприкосновения сфер их правового регулирования были не
конкурентными, а взаимно дополняющими.
Возвращаясь к критерию “чувствительность”, отметим, что он используется
в зарубежном законодательстве для отнесения некоторых видов персональных
данных к категориям данных, требующим при их обработке повышенных мер
защиты или вообще запрещенным для обработки. При этом национальный закон
о защите персональных данных либо содержит прямое указание на отнесение
данных к определенной категории, либо наделяет представителей
государственной власти (как правило, министра, курирующего национальный
орган по защите данных, иногда премьер-министра) полномочиями принятия
оперативных решений по данному вопросу.
13
HYPERLINK “” \l “B1735Part2p8s1cr” 1 Судебное определение из дела
“Диас против Окленд Трибюн, Инкорпорейтед” (139 Cal App3d 118, 1983).
Цит. по: Warren Freedinan, Right of Privacy in Age of Computer. – L. –
London, New York. 1986, p. 53.
HYPERLINK “” \l “B1735Part2p8s2cr” 2 Там же, с. 54.
HYPERLINK “” \l “B1735Part2p9s1cr” 1 См.: Raymond Wakes, Protection
of Privacy. – London; Sweet & Maxwell. 1980. – (Mod. legal studies). –
P. 31.
HYPERLINK “” \l “B1735Part2p9s2cr” 2 См.: Sec. 3(1) of Austrian Data
Protection Act (1978).
HYPERLINK “” \l “B1735Part2p10s1cr” 1 См.: Denmark Private Registers
Act (1979) and Public Authorities Registers Act (1979).
HYPERLINK “” \l “B1735Part2p10s2cr” 2 См.: Sec. 1(3) of UK Data
Protection Act 1984.
HYPERLINK “” \l “B1735Part2p11s1cr” 1 См.: Art. l of Act Concerning
the Registration and Handling of Personal Data (1989, Iceland).
HYPERLINK “” \l “B1735Part2p11s2cr” 2 См.: Sec.4 of Act on Data
Processing, Data Files and Individual Liberties (1978, France).
HYPERLINK “” \l “B1735Part2p12s1cr” 1 См.: Sec.2 of Personal Data
File Act (1988, Finland).
HYPERLINK “” \l “7” 7 :: HYPERLINK “” \l “8” 8 :: HYPERLINK “”
\l “9” 9 :: HYPERLINK “” \l “10” 10 :: HYPERLINK “” \l “11” 11
:: HYPERLINK “” \l “12” 12 :: HYPERLINK “” \l “13” 13 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “13” 13 :: HYPERLINK “” \l “14” 14 ::
HYPERLINK “” \l “15” 15 :: HYPERLINK “” \l “16” 16 :: HYPERLINK
“B1735Content.html” Содержание
§ 2. Виды персональных данных
Как показало исследование зарубежных законов о защите данных в ряде
стран, несмотря на некоторые исключения, большинство этих стран делит
персональные данные по критерию “чувствительности” на три категории:
1) “обычные” персональные данные – их сбор, обработка, использование и
передача возможны без специального разрешения в режиме, предписанном
национальными законами;
2) “чувствительные” персональные данные – их сбор, обработка,
использование и передача требуют особых мер защиты и безопасности,
специально установленных законом;
3) “особо чувствительные” персональные данные – их сбор, обработка,
использование и передача либо вообще запрещены
13
законом, либо разрешены только в исключительных случаях с использованием
специальных мер защиты и безопасности.
Общепризнанными видами “чувствительных” персональных данных являются
данные об арестах, банковские данные, данные кредитных отчетов и
кредитных историй, данные об образовании и трудовой деятельности (как
правило, только данные, содержащие оценку способностей и трудовых
качеств индивида), медицинские данные, налоговые данные.
Набор “особо чувствительных” персональных данных, подлежащих особо
тщательной защите, может варьироваться в различных странах в зависимости
от национального менталитета, но, как правило, к этой категории
относятся данные о расовом и этническом происхождении, религиозных
верованиях, политических убеждениях, членстве в профессиональных
ассоциациях, политических и общественных организациях, состоянии
здоровья, особенностях сексуального поведения, криминальном прошлом
(данные о вынесенных и исполненных обвинительных судебных приговорах по
уголовным делам).
В качестве примера, иллюстрирующего механизм применения критерия
“чувствительности”, приведем краткое описание его применения в
бельгийской национальной системе защиты персональных данных.
В Бельгии контролер (держатель) файлов должен соблюдать особо строгие
правила обработки и использования в отношении трех категорий
персональных данных: (1) “высокочувствительных” данных; (2) медицинских
данных; и (3) судебных данных (категории 2 и 3 считаются просто
“чувствительными” данными).
Что касается первой категории, то Бельгийский законодательный акт 1992
г. о защите данных (BDPA) предоставляет наивысшую степень защиты данным,
связанным с расой, этническим происхождением, сексуальным поведением,
политическими взглядами или действиями, религиозными или философскими
убеждениями, членством в любом профессиональном или трудовом союзе или
принадлежностью к государственной службе здравоохранения (все они далее
называются “высокочувствительными данными”). Любой контролер файлов
может обрабатывать эту категорию высокочувствительных данных только для
целей, разрешенных BDPA, или во исполнение этого законодательного акта.
Поскольку сам BDPA не
14
предусматривает никаких разрешенных целей для обработки
высокочувствительных данных, то эти цели в деталях устанавливаются
Королевскими Указами № 6 и 7, конкретизирующими и регламентирующими
исполнение вышеуказанного законодательного акта. BDPA допускает
исключения для юридических лиц и организаций де-факто (таких, как
профсоюзы, службы здоровья, политические партии), но только в отношении
данных, связанных с их собственными членами.
В отношении второй категории следует отметить, что контролер файлов
может обрабатывать медицинские данные только после получения заранее
письменного разрешения субъекта данных или, в качестве альтернативы, под
строгим надзором и при ответственности лечащего врача. В категорию
медицинских включаются все данные, раскрывающие информацию, связанную с
предыдущим, текущим или будущим состоянием физического или умственного
здоровья субъекта данных, за исключением данных явно административного
или оценочного характера, относящихся к способу лечения и
медобслуживания. Медицинские данные не могут передаваться третьим
сторонам, за исключением тех случаев, когда это делается во исполнение
закона, или. когда закон содержит явно выраженное и недвусмысленное
разрешение на такую передачу. Медицинские данные также могут
передаваться другим лечащим медработникам после получения заранее
специального письменного разрешения от заинтересованного лица (субъекта
данных) или для целей медицинской обработки в чрезвычайных ситуациях и в
случаях опасности (ст. 7 BDPA).
Отнесенные к третьей категории, криминальные и судебные персональные
данные могут обрабатываться только во исполнение закона или для целей,
определенных законом. Причем в эту категорию включается и обработка
данных об уголовных обвинительных приговорах и наказаниях из документов,
хранимых в национальных криминальных архивах, а также обработка данных
из криминальных документальных записей, хранимых муниципалитетами (ст.
8, § 4). Обработка таких данных адвокатами (ст. 8, § 6) и юридическими
лицами, уполномоченными на то королевским указом, – во всех этих случаях
обработчик данных обязан заранее посылать субъекту данных уведомление о
предстоящей обработке относящихся к нему криминальных данных.
15
И наконец, Бельгийский законодательный акт 1992 г. о защите данных в
явно выраженной и недвусмысленной форме запрещает любому контролеру
файлов сбор любых высокочувствительных, медицинских, криминальных или
судебных данных в Бельгии для передачи через границу с целью обработки
на иностранной территории по той причине, что их обработка в Бельгии
также запрещена (ст. 4, § 2).
16
HYPERLINK “” \l “13” 13 :: HYPERLINK “” \l “14” 14 ::
HYPERLINK “” \l “15” 15 :: HYPERLINK “” \l “16” 16 :: HYPERLINK
“B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “16” 16 :: HYPERLINK “” \l “17” 17 ::
HYPERLINK “” \l “18” 18 :: HYPERLINK “” \l “19” 19 :: HYPERLINK
“” \l “20” 20 :: HYPERLINK “” \l “21” 21 :: HYPERLINK “” \l “22”
22 :: HYPERLINK “B1735Content.html” Содержание
§ 3. Принципы защиты персональных данных
Широкое распространение компьютерных технологий привело к разработке и
применению базовых правовых принципов для защиты частной жизни и личных
свобод индивидуума в связи со сбором, обработкой и использованием
данных.
Во-первых, это было вызвано потенциальной опасностью последствий
использования по халатности или преднамеренно неточных (недостоверных),
устаревших данных, их искажения или уничтожения, что представляет собой
фактор качества используемых персональных данных.
Во-вторых, скрытным (с точки зрения человека) процессом
автоматизированной обработки и хранения персональных данных. Сбор многих
сведений о частной жизни можно вести без ведома субъекта данных, если
применять современные средства тайного наблюдения и методы
расследования. Поэтому, чтобы субъект данных мог знать о сборе и
хранении относящихся к нему данных, а также контролировать качество этих
данных, способы и адресность их использования, были сформулированы права
субъекта данных в связи со сбором, обработкой и использованием данных о
нем.
Принципы качества персональных данных и права субъекта данных в
совокупности получили название принципов защиты данных и явились основой
для построения национальных систем правовой защиты персональных данных.
В существующих национальных и международных понятиях принципов защиты
данных имеются незначительные различия, что является результатом
гармонизирующих инициатив международных организаций и указывает на
универсальную природу этих принципов. Общий перечень принципов защиты
данных соответствует формуле:
16
принципы защиты данных = принципы качества + права субъекта данных и
ограничивается 10 принципами, приведенными ниже:
А. Принципы качества. Персональные данные, проходящие автоматизированную
обработку:
1) должны быть получены на законных основаниях и обработаны
добросовестным и законным способом (принцип законности данных);
2) должны накапливаться для точно определенных и законных целей и не
использоваться каким-либо образом, несовместимым с этими целями (принцип
законности целей);
3) должны быть адекватными, имеющими прямое отношение к делу и не быть
избыточными применительно к целям, для которых они накапливаются
(принцип адекватности и релевантности данных);
4) должны быть точными и, в случае необходимости, своевременно
обновляемыми (принцип достоверности и актуальности данных);
5) должны храниться в форме, позволяющей идентифицировать субъектов
данных только в той мере, в какой этого требуют цели, для которых эти
данные накапливаются (принцип анонимности).
Б. Права субъекта данных
Любому человеку должно быть предоставлено право:
1) быть осведомленным о существовании автоматизированного файла
персональных данных, о его главных целях, а также о контролере этого
файла, его месте жительства, либо юридическом адресе (право на
информацию о наличии собранного на индивида файла персональных данных);
2) получать через разумные интервалы времени, без излишних затрат
времени и средств, как в ответ на свой запрос, так и без запроса,
сообщение о том, накапливаются ли персональные данные о нем в
автоматизированном файле данных (право на извещение о сборе данных);
3) получать доступ к личным персональным данным, хранимым держателем или
пользователем данных (право на доступ к личным персональным данным);
4) требовать исправления или уничтожения недостоверных персональных
данных, а также персональных данных, обработанных с
17
нарушением положений национального права, реализующих принципы защиты
данных (право на исправление или уничтожение недостоверных или незаконно
обработанных личных данных);
5) прибегать к судебной защите нарушенного права субъекта данных (право
судебной защиты).
Рассматривая принципы качества, нетрудно заметить, что принципы (1) и
(2) обеспечивают соответствие персональных данных критерию законности
данных и целей их обработки; принцип (3) -соответствие данных критерию
адекватности и релевантности; принцип (4) – соответствие данных критерию
достоверности и актуальности; принцип (5) – соответствие данных критерию
регулируемой анонимности. Если принципы качества (3) и (4) применимы к
любым данным, то принципы (1), (2) и (5) являются специфичными для
персональных данных и вытекают из их природы атрибутов частной сферы
человека, с присущим им особым свойством “чувствительности” для субъекта
данных HYPERLINK “” \l “B1735Part4p18s1” 1 .
Что касается прав субъекта данных, то они конкретизируют (применительно
к сфере автоматизированной обработки данных) право индивида
контролировать циркуляцию “чувствительной” информации о самом себе,
столь важное для правовой защиты сферы частной жизни, что оно вошло во
многие определения как “право на невмешательство в частную жизнь”.
Кроме того, необходимо отметить, что существует еще одно право субъекта
данных, которое признается и применяется далеко не во всех национальных
и международных системах защиты персональных данных, – принцип согласия
субъекта данных как критерия допустимости обработки и использования
данных. Этот принцип представляет собой право индивида контролировать
циркуляцию “чувствительной” информации о самом себе как права
самостоятельно решать, предоставлять или не предоставлять кому-либо
сведения о своей частной жизни (т.е. персональные данные).
Основной дилеммой “компьютерного информационного общества” стало
противоречие между стремлением как можно больше
18
использовать компьютерные персональные данные в интересах всего общества
и желанием максимально защитить право субъекта данных на невмешательство
в его частную жизнь. Отражением этой дилеммы является дуализм целей
правового регулирования обработки и использования персональных данных,
направленный на решение двойственной задачи сбалансированной защиты
сферы частной жизни субъекта данных, с одной стороны, и права других
индивидов и всего общества на свободу доступа к информации, с другой
стороны. Вышеназванное положение можно сформулировать в виде принципа
дуализма целей следующим образом: “Целью правового регулирования
обработки и использования персональных данных является обеспечение
сбалансированной защиты права субъекта данных на контроль за
относящимися к нему персональными данными и законных интересов общества
в осуществлении права свободного доступа к информации”.
Конвенция 108 Совета Европы прямо указывает на необходимость выделения
группы “высокочувствительных” данных (данные о расовом или национальном
происхождении, политических взглядах, религиозных или иных убеждениях, а
также данные, касающиеся здоровья, сексуальной жизни, судимости) в
особую категорию данных и создания для них особого режима правовой
защиты HYPERLINK “” \l “B1735Part4p19s1” 1 .
Ст. 7 Конвенции 108 Совета Европы обязывает стран-участниц принимать
надлежащие меры для обеспечения безопасности хранящихся персональных
данных от случайного или несанкционированного уничтожения или случайной
утраты, а равно и от несанкционированного доступа, изменения или
распространения HYPERLINK “” \l “B1735Part4p19s2” 2 . Во исполнение
этой статьи Конвенции большинство стран-участниц закрепило в своих
национальных законах о защите данных принцип ответственности держателя и
пользователя данных за принятие ненадлежащих мер обеспечения
безопасности персональных данных. В этом плане самого пристального
внимания заслуживает опыт Германии, где в ст. 9 специального Приложения
к Федеральному
19
закону 1990 г. о защите данных HYPERLINK “” \l “B1735Part4p20s1” 1 ,
закреплены основные организационно-технические меры обеспечения
безопасности персональных данных, тем самым унифицируя их для всех
субъектов федерации (федеральных земель), ведомств, отраслей и секторов
экономики. Принцип безопасности включает следующие формы защиты
персональных данных:
Если информация о личности (персональные данные) обрабатывается
автоматизированными средствами, то в обязательном порядке принимается
совокупность определенных ниже организационно-технических мер
обеспечения безопасности данных, зависящая от категории обрабатываемых
персональных данных (высокочувствительные, чувствительные, обычные) и
конкретных этапов обработки (сбор, хранение, централизованная машинная
обработка, децентрализованная обработка с применением удаленных
терминалов, передача на магнитных или иных носителях, передача по
телекоммуникационным линиям) – принцип дифференцированной защиты.
Ответственность за принятие ненадлежащих мер обеспечения безопасности
на каждом конкретном этапе обработки и/или использования персональных
данных возлагается на физическое или юридическое лицо, осуществляющее
данный этап обработки и/или использования – принцип адресной
ответственности.
Запрещается несанкционированный доступ посторонних лиц к устройствам,
обрабатывающим персональные данные – принцип контроля доступа к
устройствам обработки данных.
Ответственное лицо должно обеспечить необходимые и достаточные меры
безопасности, предотвращающие незаконное считывание, копирование,
изменение или удаление данных с их магнитных или иных носителей –
принцип контроля носителей данных.
Ответственное лицо должно обеспечить необходимые и достаточные меры
безопасности, предотвращающие незаконный ввод данных в накопитель
(устройства памяти ЭВМ), а также незаконное ознакомление, изменение или
уничтожение персональных данных -принцип контроля накопителя.
20
Ответственное лицо должно обеспечить необходимые и достаточные меры
безопасности, предотвращающие использование неправомочными лицами систем
по обработке данных с помощью устройств передачи данных – принцип
контроля пользователя.
Ответственное лицо должно обеспечить необходимые и достаточные меры
безопасности, гарантирующие, чтобы лицо, полномочное пользоваться
системой обработки данных, имело доступ только к тем данным, которые
подлежат его праву доступа – принцип контроля доступа к надлежащим
данным.
Ответственное лицо обязано при помощи соответствующих
программно-технических средств и организационных мероприятий обеспечить
возможность проверки и определения, каким адресатам передаются
конкретные персональные данные через устройства по передаче данных –
принцип контроля передачи.
Ответственное лицо обязано при помощи соответствующих
программно-технических средств и организационных мероприятий обеспечить
возможность проверки и установления того, какие персональные данные, в
какое время и кем были введены в систему обработки данных – принцип
контроля ввода.
Ответственное лицо должно обеспечить необходимые и достаточные меры
безопасности, гарантирующие, чтобы данные о личности, которые
обрабатываются по поручению, обрабатывались бы только по указанию
заказчика – принцип контроля поручения.
Ответственное лицо должно предпринимать надлежащие меры безопасности,
чтобы при телекоммуникационной передаче данных, а также при
транспортировке носителей данных, персональные данные не могли быть
незаконно прочитаны, скопированы, изменены или уничтожены – принцип
контроля транспортировки данных.
Внутренняя организация учреждения или предприятия, где осуществляется
обработка, передача или использование персональных данных, должна быть
устроена таким образом, чтобы соответствовать специальным требованиям
защиты данных – принцип организационного контроля.
Таким образом, формула состава принципов защиты данных подлежит
дальнейшему расширению: принципы защиты данных = принципы качества +
права субъекта данных + принцип дуализма
21
целей + особый режим защиты “высокочувствительных” данных + принципы
безопасности данных.
22
HYPERLINK “” \l “B1735Part4p18s1cr” 1 Подробнее о принципах защиты
данных см.: Совет Европы. Конвенция о защите личности в связи с
автоматической обработкой персональных данных. от 28 января 1981 – Спб.:
Манускрипт, 1995, с. 12-14.
HYPERLINK “” \l “B1735Part4p19s1cr” 1 См.: Совет Европы. Конвенция о
защите личности в связи с автоматической обработкой персональных данных,
от 28 января 1981. – Спб.: Манускрипт, 1995. С. 12.
HYPERLINK “” \l “B1735Part4p19s2cr” 2 Там же.
HYPERLINK “” \l “B1735Part4p20s1cr” 1 См.: Federal Data Protection
Act (1990), App. l for Art. 9.
HYPERLINK “” \l “16” 16 :: HYPERLINK “” \l “17” 17 ::
HYPERLINK “” \l “18” 18 :: HYPERLINK “” \l “19” 19 :: HYPERLINK
“” \l “20” 20 :: HYPERLINK “” \l “21” 21 :: HYPERLINK “” \l “22”
22 :: HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “22” 22 :: HYPERLINK “” \l “23” 23 ::
HYPERLINK “” \l “24” 24 :: HYPERLINK “” \l “25” 25 :: HYPERLINK
“” \l “26” 26 :: HYPERLINK “B1735Content.html” Содержание
§ 4. Проблемы правовой защиты особо опасных объектов
К разряду особо опасных информационных объектов в сфере правового
регулирования обработки и использования персональных данных принято
относить:
– общенациональные идентификационные коды личности;
– программные процедуры типа “data matching” (процедуры
сопоставления/состыковки файлов персональных данных).
Компьютеризация персональных данных дает потенциальную возможность
свести все персональные данные об индивидууме воедино. Необходимые
технологические предпосылки для создания такой всеобъемлющей
компьютерной системы слежения за частной жизнью каждого индивида были
достигнуты к середине 1970-х гг. Возможность тотального компьютерного
контроля государства за частной жизнью индивидов получила неофициальное,
но практически повсеместно распространенное в демократических странах
название “Проблемы Большого брата” HYPERLINK “” \l “B1735Part5p22s1” 1
. Появились не только необходимые компьютерно-телекоммуникационные сети,
но и соответствующая концепция “географически распределенных
информационных систем” (GIS), реализация которой применительно ко всем
базам и банкам персональных данных, имеющимся в стране, и означает
создание тотальной системы слежки за частной жизнью граждан (т. е.
“Большого брата”). С информационной точки зрения, суть функционирования
системы “Большого брата” сводится к процедуре поиска и выборки
персональных данных конкретного субъекта из различных файлов (которые
могут храниться в компьютерных банках данных, дислоцированных в разных
концах страны) и слияния этих персональных данных в единый файл,
содержащий исчерпывающие сведения о данном субъекте данных. Такая
процедура получила название “data
22
matching” HYPERLINK “” \l “B1735Part5p23s1” 1 . Задача правового
регулирования в данном случае сводится к тому, чтобы ограничить
применение процедур типа “data matching” пределами, не допускающими
создания системы тотальной компьютерной слежки за частной жизнью.
В ряде стран существуют еще более строгие ограничения, не допускающие
применения процедур типа “data matching” даже в рамках одной и той же
базы данных, за исключением случаев, прямо предусмотренных законом.
Создание системы “Большого брата” на базе применения процедур типа “data
matching” к существующим в стране банкам персональных данных возможно
только в том случае, если персональные данные конкретного индивидуума
хранятся в разных компьютерных информационных системах в привязке к
одному и тому же поисковому признаку, позволяющему однозначно
идентифицировать субъект этих данных. Только наличие такого единого
поискового признака, получившего название “универсального
идентификационного кода”, или “персонального идентификатора”, позволяет
проводить процедуры “согласования персональных данных” из разных файлов
и банков данных по отношению к конкретным субъектам данных.
Универсальный идентификационный код может вводиться в стране специально,
но чаще в качестве его используются уже существующие во многих странах
Единый код налогоплательщика или Единый номер социального обеспечения,
присваиваемые каждому гражданину страны. В данном случае меры защиты
состоят либо в законодательном запрете на введение в стране какого-либо
универсального идентификационного кода, либо в тщательном и жестком
правовом регулировании использования уже существующего в стране единого
персонального идентификатора.
Существуют различные национальные подходы к правовому регулированию
использования идентификационных кодов и процедур типа “data matching”.
Бельгия. Бельгийский закон 1992 г. о защите данных не содержит запрета,
ограничения или иной регламентации совмещения (объединения) персональных
данных из разных файлов (что принято называть автоматическим
“согласованием” персональных данных и
23
банков данных). Он оставляет детальную регламентацию на долю специальных
королевских указов, предусматривая в ст. 21 возможность наложения
запретов или ограничений (например, таких, как предварительное
санкционирование каждого случая “согласования данных”) на определенные
категории процедур типа “data matching” или установление иных
взаимосвязей между персональными данными. HYPERLINK “” \l
“B1735Part5p24s1” 1
Канада. Личный номер социального страхования (ЛНСС) был впервые введен в
Канаде в 1936 г, для использования при сборе налогов, выплате пенсий и
социальных пособий. Однако многие федеральные нормативные правовые акты
санкционируют использование ЛНСС в качестве Единого персонального
универсального идентификатора личности. Например:
1) Законодательный акт о сборе подоходных налогов.
2) Законодательный акт о проведении всеобщих выборов в Канаде.
3) Законодательный акт о социальном страховании по безработице.
4) Инструкции Канадского пенсионного фонда.
5) Инструкции о социальном страховании по старости.
6) Инструкции о социальном страховании по безработице.
7) Инструкции о выплате пособий ветеранам и т. д.
Для предотвращения посягательств на сферу частной жизни Канадское
федеральное правительство разработало план работы по контролю за
“согласованием данных” и ограничению использования личного номера
социального страхования в качестве персонального идентификатора. Этот
план требует, чтобы правительство информировало Федерального
специального уполномоченного по защите прав граждан на
неприкосновенность частной жизни о всех реализуемых программах по
“согласованию данных” и публиковало отчеты о них для обеспечения
контроля со стороны общества. Все собранные в рамках таких программ
данные должны подвергаться перепроверке с привлечением субъектов данных.
Граждане должны быть осведомлены о цели запроса их ЛНСС во время любой
процедуры сбора информации и, если это особо не оговорено законом,
правительственные учреждения не вправе отказывать в услугах из-за
нежелания граждан
24
предоставлять информацию о своих персональных идентификационных номерах.
Законоположения, регламентирующие использование процедуры “согласования
данных” и персонального идентификатора, имеются в законодательных актах
о защите прав граждан на неприкосновенность частной жизни ряда провинций
Канады, а контроль за их исполнением возлагается на Провинциальных
уполномоченных по защите прав граждан на неприкосновенность частной
жизни HYPERLINK “” \l “B1735Part5p25s1” 1 .
Дания. Датские органы законодательной власти, ввиду увеличения
использования персональных идентификационных номеров, в 1987 г. внесли
специальные поправки в Закон 1979 г. о частных регистрах, более детально
регламентирующие “регистрацию” (этим термином вышеупомянутый закон
определяет занесение данных в компьютерные файлы) той информации,
которая включает в себя персональные номера. В частности, “регистрация”
персональных номеров не может теперь осуществляться частными
предприятиями HYPERLINK “” \l “B1735Part5p25s2” 2 .
США. В США Национальные идентификационные номера социального обеспечения
(CCIN), присваиваемые почти каждому индивиду, давно уже обрели характер
универсального идентификатора, и в публичной сфере почти не осталось уже
ведомств и учреждений, которые не пользовались бы этим удобным (но, по
вышеизложенным причинам, опасным) инструментом для идентификации
граждан. Федеральное правительство пыталось ограничить чрезмерное
использование CCIN, требуя, чтобы федеральные, штатские и местные
учреждения извещали каждого индивида о правовом основании, которое
позволяет им при выполнении их функций, в числе прочей информации,
требовать от индивида указания его CCIN. a также устанавливает, какое
использование может быть придано этим номерам (ст. 552а (7) Свода
законов о гражданских правонарушениях). Однако законодательный Акт 1976
г. о налоговой реформе снял это ограничение с ведомств штатов, которые
занимаются вэлфером, налогами и автомобильным транспортом. Тем не менее,
согласно ст.
25
26 USC 408, существуют уголовные наказания за раскрытие или
использование CCIN любого человека вопреки федеральному закону.
Штат Вирджиния принял свой закон, согласно которому считается
незаконным: (1) требовать от человека сообщения его CCIN для совершения
любого юридического акта или сделки; (2) отказывать в услуге или
обслуживании, если CCIN не был сообщен, если только раскрытие
идентификационного номера не требуется федеральным законом или законом
штата (Кодекс штата Вирджиния, ст. 2. 1-385). Однако та же самая
Вирджиния требует указания CCIN на водительских лицензиях резидентов
штата Вирджиния (ст. 46.1-375); кроме того, избиратели в штате
Вирджиния, чтобы проголосовать, должны раскрывать свои CCIN (ст. 24.
1-72. 2) HYPERLINK “” \l “B1735Part5p26s1” 1 .
26
HYPERLINK “” \l “B1735Part5p22s1cr” 1 “Большим братом” называлась
компьютерная система тотального контроля за поведением граждан в
гипотетическом тоталитарном обществе, изображенном в фантастическом
романе-прогнозе Дж. Оруэлла “1984”, впервые опубликованном в 1949 г.
HYPERLINK “” \l “B1735Part5p23s1cr” 1 Переводится как “совмещение”,
“стыковка”, “согласование данных”.
HYPERLINK “” \l “B1735Part5p24s1cr” 1 См.: Art. 21 of Data
Protection Act (1992, Belgium).
HYPERLINK “” \l “B1735Part5p25s1cr” 1 См.: Williams, Amy-Lynne
Porter, Robert Wilkes and Michael Erdle, CANADA: Data Protection
Regulatory System, Blake, Cassels & Graydon, Toronto, Ontario. Canada,
1994.
HYPERLINK “” \l “B1735Part5p25s2cr” 2 См.: Private Registers Act
(1979, Denmark).
HYPERLINK “” \l “B1735Part5p26s1cr” 1 См.: Warren Freedman, Op.
cit., p. 107.
HYPERLINK “” \l “22” 22 :: HYPERLINK “” \l “23” 23 ::
HYPERLINK “” \l “24” 24 :: HYPERLINK “” \l “25” 25 :: HYPERLINK
“” \l “26” 26 :: HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “27” 27 :: HYPERLINK “” \l “28” 28 ::
HYPERLINK “B1735Content.html” Содержание
Глава 2. Основные категории субъектов
информационных правовых отношений
в сфере персональных данных
§ 1. Понятие субъекта данных
Субъектами информационных правовых отношений, возникающих в процессе
сбора, хранения, обработки, использования и передачи персональных
данных, являются:
а) лица, физические и юридические (как правило, физические), к которым
относятся собираемые, хранимые, обрабатываемые, используемые и
передаваемые данные. В информационном праве подавляющего большинства
стран для обозначения этих лиц применяется термин “субъект данных” (data
subject). Лишь весьма ограниченное число национальных законов использует
вместо него термин “заинтересованное лицо”, которое имеет более широкое
значение в сфере обработки и использования персональных данных;
б) лица, юридические и физические, осуществляющие действия по обработке
и/или использованию или передаче персональных данных.
Неправомерные действия по сбору, хранению, обработке, использованию или
передаче персональных данных составляют посягательство на право субъекта
этих данных на невмешательство в его сферу частной жизни.
Национальные законы дают сходные нормативные определения понятия
“субъект данных”, хотя встречаются некоторые отличия, не связанные с
действующей системой права или государственным устройством страны, и
зависят от национальных традиций и особенностей национального языка.
Финский закон 1988 г. о файлах персональных данных определяет “субъект
данных” таким образом: “…§ 4. Термин “субъект данных” означает любое
лицо, к которому относятся персональные данные” HYPERLINK “” \l
“B1735Part6p27s1” 1 .
Британский законодательный акт 1984 г. о защите данных определяет это
понятие так: “…4) Под “субъектом данных” понимается индивидуум,
являющийся субъектом персональных данных”. HYPERLINK “” \l
“B1735Part6p27s2” 2
27
Австрийский закон 1978 г. о защите данных распространяет понятие
“персональные данные” и на сведения об организациях (только частного
права), т.е. признает право на невмешательство в “корпоративную частную
сферу”:
“…§ 2. Субъект данных: любое физическое или юридическое лицо, или
ассоциация, отличные от контролера данных (§ 3), чьи данные используются
(§ 12); юридические лица публичного права и их органы не должны
рассматриваться как субъекты данных, поскольку они исполняют официальные
функции” HYPERLINK “” \l “B1735Part6p28s1” 1 .
28
HYPERLINK “” \l “B1735Part6p27s1cr” 1 См.: Sec.2 of Personal Data
File Act (1988, Finland).
HYPERLINK “” \l “B1735Part6p27s2cr” 2 См.: Sec. 1(4) of UK Data
Protection Act 1984.
HYPERLINK “” \l “B1735Part6p28s1cr” 1 См.: Sec. 3(2) of Austrian
Data Protection Act (1978).
HYPERLINK “” \l “27” 27 :: HYPERLINK “” \l “28” 28 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “28” 28 :: HYPERLINK “” \l “29” 29 ::
HYPERLINK “B1735Content.html” Содержание
§ 2. Понятие субъекта обработанных данных
Японский закон 1989 г. об обрабатываемых компьютерами персональных
данных, хранимых административными органами, вводит понятие “субъект
обработанных данных” (ст. 2), сопоставляя его не с любыми персональными
данными, а с данными, специально организованными в файл персональных
данных для определенной цели:
“4) Термин “файл персональных данных” означает любую группу персональных
данных, систематически собранных и организованных для достижения цели
(завершения выполнения) определенных функций, которые должны быть
записаны на магнитной ленте, магнитном диске или любом другом подобном
носителе, способном сохранять определенные вещи надежно зафиксированными
(далее имеются “магнитная лента и т. п. “) для целей компьютерной
обработки.
5) Термин “обработанные данные” означает персональные данные, записанные
в неком файле персональных данных.
6) Термин “субъект обработанных данных” означает любого индивидуума,
данные о личности которого могут быть воспроизведены и выделены в ходе
компьютерной обработки без ссылок на принадлежащие любому другому
индивидууму имя, дату рождения, иные описания или номера, символы, иные
признаки, присвоенные другому индивидууму среди индивидуумов,
идентифицируемых этими обработанными данными” HYPERLINK “” \l
“B1735Part7p28s2” 2 .
28
Вопросы регулирования деятельности юридических и физических лиц.
осуществляющие действия по обработке и/или использованию персональных
данных, составляют неоднородную группу и должны квалифицироваться в
зависимости от:
1) степени их контроля над персональными данными;
2) прав собственности по отношению к компьютеризованным (файлы,
регистры, базы и банки персональных данных) или ручным (досье, архивы,
картотеки) собраниям персональных данных;
3) вида осуществляемых ими действий по отношению к персональным данным.
29
HYPERLINK “” \l “B1735Part7p28s2cr” 2 См.: Art. 2(6) of The Act for
Protection of Computer-Processed Personal Data Held by Administrative
Organs (1989, Japan).
HYPERLINK “” \l “28” 28 :: HYPERLINK “” \l “29” 29 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “29” 29 :: HYPERLINK “B1735Content.html”
Содержание
§ 3. Понятие держателя данных
Практически повсеместно распространенным обозначением лица, обладающего
наибольшей степенью контроля над персональными (и иными) данными,
остается термин “держатель данных” (data holder). Как правило,
“держатель данных” определяется как лицо, имеющее право принимать любые
(в рамках закона) решения в отношении хранящихся у него данных.
Тождественный термин является базовым понятием и в российской
информатике.
29
HYPERLINK “” \l “29” 29 :: HYPERLINK “B1735Content.html”
Содержание
***********************************
HYPERLINK “” \l “29” 29 :: HYPERLINK “” \l “30” 30 ::
HYPERLINK “B1735Content.html” Содержание
§ 4. Понятие контролера файлов
Однако в 1981 г. Конвенция 108 Совета Европы с целью гармонизации
терминологии в области защиты персональных данных ввела новый термин
“контролер файлов” (file controller), определяемый следующим образом:
“ст. 2…d) под термином “контролер файлов” понимается физическое или
юридическое лицо, орган публичной власти, ведомство или любая другая
организация, которые в соответствии с национальным правом, наделены
полномочиями решать для какой цели создается файл данных, какие
категории персональных данных
29
будут в нем накапливаться и какие операции с ними будут осуществляться”
HYPERLINK “” \l “B1735Part9p30s1” 1 .
30
HYPERLINK “” \l “B1735Part9p30s1cr” 1 См.: Совет Европы. Конвенция о
защите личности в связи с автоматической обработкой персональных данных,
от 28 января 1981 г. (вступила в силу 1 октября 1985). – Спб.:
Манускрипт, 1995.
HYPERLINK “” \l “29” 29 :: HYPERLINK “” \l “30” 30 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “30” 30 :: HYPERLINK “” \l “31” 31 ::
HYPERLINK “B1735Content.html” Содержание
§ 5. Понятие контролера данных
Анализируя определение “контролера данных” (data controller)
Австрийского закона 1978 г., следует учитывать, что оно было
сформулировано до появления международного определения понятия
“контролер файлов”, данного Конвенцией 108, и никак не связано с ним.
Поэтому определение не содержит главного (“родового”) признака
контролера данных – права на принятие решений относительно персональных
данных – и определяет, в сущности, нечто среднее между категориями
“пользователь данных” и “обработчик данных”:
“§3. Контролер данных: любое лицо или орган юридического лица публичного
права, которые обрабатывают или, при помощи запроса справочных данных у
некоего обработчика данных (§ 4), получают данные, обработанные
автоматическими средствами” HYPERLINK “” \l “B1735Part10p30s2” 2 .
В определении Бельгийского закона 1992 г. о защите персональной
приватности по отношению к обработке персональных данных сказывается
гармонизирующее влияние Конвенции 108:
“Термин “контролер файла” означает любое физическое или юридическое лицо
или ассоциацию де-факто, наделенные правом принимать решения
относительно целей обработки и типа данных, которые должны быть
обработаны.
В случае, когда цели обработки и тип данных, которые должны быть
обработаны, установлены законом, контролер файла должен быть физическим
или юридическим лицом, назначенным этим законом для контроля
(управления) данного файла…” HYPERLINK “” \l “B1735Part10p30s3” 3 .
30
Аналогичным образом подходит к определению этого понятия и Финский закон
1988 г. о файлах персональных данных:
“…3. Термин “контролер файла” означает любое юридическое лицо,
ассоциацию или фонд, которые учреждены для использования файла
персональных данных и которое имеют право распоряжения над
использованием этого файла персональных данных” HYPERLINK “” \l
“B1735Part10p31s1” 1 .
Национальные законы по защите персональных данных не содержат положений,
устанавливающих права собственности держателей данных (контролеров
файлов) по отношению к компьютеризованным или ручным собраниям
персональных данных. Установление прав собственности на данные всех
видов (а не только персональные) и их собрания производится в других
разделах информационного права зарубежных стран.
31
HYPERLINK “” \l “B1735Part10p30s2cr” 2 См.: Sec. 3(3) of Austrian
Data Protection Act (1978).
HYPERLINK “” \l “B1735Part10p30s3cr” 3 См.: Art. 1(6) of Law
Concerning the Protection of Personal Privacy in Relation to the
Processing of Personal Data (1992, Belgium).
HYPERLINK “” \l “B1735Part10p31s1cr” 1 См.: Sec.2(3) of Personal
Data File Act 1988 (Finland).
HYPERLINK “” \l “30” 30 :: HYPERLINK “” \l “31” 31 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “31” 31 :: HYPERLINK “” \l “32” 32 ::
HYPERLINK “B1735Content.html” Содержание
§ 6. Понятие пользователя данных
Наиболее распространенной категорией субъектов информационных отношений,
чей статус и терминологическое обозначение определяются видом
осуществляемых ими действий по отношению к персональным данным, является
“пользователь данных” [data user]. В большинстве национальных правовых
системах “пользователь данных” определяется как физическое или
юридическое лицо, использующее собранные и обработанные данные, для
которых оно не является “держателем данных” (“контролером файлов”) или
“обработчиком данных”.
Принципиальным исключением является определение понятия “пользователь
данных” в ст. 1(5) Британского законодательного акта 1984 г. о защите
данных:
“ст. 1(5). Под термином “пользователь данных” понимается лицо, в
распоряжении которого находятся данные и которое “распоряжается” этими
данными, если:
(а) данные являются составной частью базы данных, обработанных или
предназначенных для обработки самим таким лицом или по его поручению…;
31
(b) это лицо (самостоятельно, совместно или по договоренности с другими
лицами) контролирует содержание данных и пользуется данными,
составляющими базу данных;
(c) данные собраны в форме, в которой они были обработаны, или в форме,
позволяющей их обрабатывать, как было указано в пункте (а), или (будучи
не в указанной выше форме) в форме, которую они приняли после их
обработки, и с учетом возможности их последующей обработки в будущем”
HYPERLINK “” \l “B1735Part11p32s1” 1 .
Из текста определения видно, что британский закон под термином
“пользователь данных” подразумевает категорию “держатель данных” (или
“контролер файла”). Экспортерам данных при заключении договоров об
обмене данными с британскими контрагентами необходимо учитывать
расхождение с общепринятой терминологией.
32
HYPERLINK “” \l “B1735Part11p32s1cr” 1 См.: Sec. 1(5) of UK Data
Protection Act 1984.
HYPERLINK “” \l “31” 31 :: HYPERLINK “” \l “32” 32 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “32” 32 :: HYPERLINK “” \l “33” 33 ::
HYPERLINK “B1735Content.html” Содержание
§ 7. Понятие компьютерного бюро
В британском информационном праве используется категория “компьютерное
бюро” [computer bureau], аналогов которой нет ни в какой другой
национальной системе права. Вышеупомянутый закон определяет ее следующим
образом:
“ст. 1(6). Под термином “компьютерное бюро” понимается лицо, оказывающее
услуги по сбору и обработке данных другим лицам, если:
(a) оно действует в качестве агента других лиц по обработке данных,
хранящихся у этих лиц;
(b) оно позволяет другим лицам использовать его оборудование в целях
обработки данных, хранящихся у этих лиц” HYPERLINK “” \l
“B1735Part12p32s2” 2 .
Из текста данного определения понятие “компьютерное бюро” аналогично
термину “обработчик данных”.
Большое значение придается в британском законе категориям “пользователь
данных” и “компьютерное бюро” – последнее обязано выполнять только один
(восьмой) из 8 фундаментальных “принципов защиты данных”, на которых
базируется законодательный акт 1984 г. о защите данных, в то время как
первый обязан соблюдать все 8
32
принципов. Существенно различаются и требования, предъявляемые при
регистрации обработки персональных данных “пользователями данных” и
“компьютерными бюро”: первые рассматриваются как “владельцы” или
“держатели” данных, а вторые – как “фирмы, работающие на давальческом
сырье”, где в качестве сырья выступает информация (данные).
33
HYPERLINK “” \l “B1735Part12p32s2cr” 2 См.: Sec. 1(6) of UK Data
Protection Act 1984.
HYPERLINK “” \l “32” 32 :: HYPERLINK “” \l “33” 33 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “33” 33 :: HYPERLINK “” \l “34” 34 ::
HYPERLINK “” \l “35” 35 :: HYPERLINK “B1735Content.html” Содержание
§ 8. Понятие обработчика данных
Несколько реже используется в зарубежном законодательстве категория
“обработчик данных” (data processor) или просто “обработчик”
(processor), определяемый обычно как физическое или юридическое лицо,
осуществляющее автоматизированную или ручную обработку данных, для
которых оно не является “держателем данных” (“контролером файлов”) или
“сборщиком данных”. На практике, это лица, располагающие компьютерными
или иными мощностями для требуемой обработки персональных данных,
которые они получают от коммерческого заказчика или вышестоящей
организации как своего рода “давальческое сырье”, в отношении которого
они не могут принимать никаких самостоятельных решений.
Разработанный одним из первых Австрийский закон 1978 г. о защите данных
использует термин “обслуживающий обработчик” [service processor]:
“ст. 3(4). Обслуживающий обработчик: любое лицо или орган юридического
лица публичного права, использующие данные на основе такого мандата от
контролера данных, который специально ориентирован на автоматизированную
обработку данных” HYPERLINK “” \l “B1735Part13p33s1” 1 .
Более традиционно определение из Бельгийского закона 1992 г. о защите
персональной приватности по отношению к обработке персональных данных:
“…(7) Термин “обработчик” означает любое физическое или юридическое
лицо, или ассоциацию де-факто, на которые возложены
33
обязанность и ответственность за организацию и выполнение обработки”
HYPERLINK “” \l “B1735Part13p34s1” 1 .
И совсем редко используется категория “сборщик данных” (data collector),
под которым подразумевается (судя по контексту использования этого
термина) либо лицо, осуществляющее первичный сбор персональных данных,
либо лицо, накапливающее персональные данные в своей информационной
системе. Этот термин эпизодически применяется в зарубежных законах о
защите персональных данных, но не имеет определения ни в одном из них.
Помимо перечисленных выше категорий информационного права, встречается
еще такая редкая категория, как “третья сторона” или “третье лицо” в
сфере обработки и использования персональных данных, определение которой
содержится в Германском федеральном законе 1977 г. о защите данных:
“ст. 3(9). Третьим лицом является любое лицо или учреждение вне
инстанции, накапливающей данные. Третьими лицами не могут быть сам
индивидуум, о котором собираются данные, а также лица и учреждения,
которые по поручению обрабатывают и используют данные о личности в
сфере, подпадающей под действие данного закона”.
Таким образом, основными категориями субъектов информационных отношений
в области обработки и использования персональных данных являются:
Субъект персональных данных – физическое лицо, идентифицируемое на
основании этих данных (или с помощью этих данных и иной информации,
находящейся в распоряжении пользователя данных), для которого упомянутые
данные могут с точки зрения человека средней чувствительности (или по
прямому указанию закона) обоснованно считаться интимными и
конфиденциальными.
Держатель персональных данных (контролер или распорядитель файлов) –
физическое или юридическое лицо, обладающее правом принимать любые (в
рамках закона) решения в отношении обработки, использования и передачи
компьютеризованного или основанного на иной технологии собрания
персональных данных в качестве: (1) зарегистрированного и
лицензированного собственника или владельца соответствующих
информационных ресурсов; (2) лица, специально уполномоченные
компетентными государственными органами.
34
Пользователь персональных данных – физическое или юридическое лицо, по
установленной законом процедуре, использующее собранные и обработанные
персональные данные, для которых оно не является “держателем данных”
(“контролером файлов”).
Обработчик персональных данных – физическое или юридическое лицо,
располагающее компьютерными или иными мощностями, лицензированными для
требуемой обработки персональных данных, и осуществляющее
автоматизированную или ручную обработку данных, для которых оно не
является “держателем данных” (“контролером файлов”) и которые он
получает от коммерческого заказчика или иного лица, обладающего правами
“держателя” этих данных.
Сборщик персональных данных – физическое или юридическое лицо,
осуществляющее первичный сбор персональных данных в соответствии с
собственными законными полномочиями или по поручению лица, обладающего
такими полномочиями.
35
HYPERLINK “” \l “B1735Part13p33s1cr” 1 См.: Sec. 3 of Austrian Data
Protection Act (1978).
HYPERLINK “” \l “B1735Part13p34s1cr” 1 См.: Art. 1(7) of Law
Concerning the Protection of Personal Privacy in Relation to the
Processing of Personal Data (1992, Belgium).
HYPERLINK “” \l “33” 33 :: HYPERLINK “” \l “34” 34 ::
HYPERLINK “” \l “35” 35 :: HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “36” 36 :: HYPERLINK “B1735Content.html”
Содержание
РАЗДЕЛ II
ПРАВОВОЕ РЕГУЛИРОВАНИЕ ЗАЩИТЫ
ИНФОРМАЦИОННЫХ ОБЩЕСТВЕННЫХ
ОТНОШЕНИЙ В СФЕРЕ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
Глава 3. Принципы построения национальных правовых
систем защиты персональных данных
§ 1. Генеральный принцип
В процессе формирования деликтных средств защиты сферы частной жизни в
различных правовых системах, несмотря на все национальные особенности,
использовались только два принципиально отличавшихся подхода.
Генеральный – заключался в стремлении к созданию единого и
всеобъемлющего закона о защите сферы частной жизни и был связан с
попытками теоретического обоснования некого “всеобщего и абсолютного
права на невмешательство в частную жизнь”.
36
HYPERLINK “” \l “36” 36 :: HYPERLINK “B1735Content.html”
Содержание
***********************************
HYPERLINK “” \l “36” 36 :: HYPERLINK “” \l “37” 37 ::
HYPERLINK “B1735Content.html” Содержание
§ 2. Секторный (отраслевой) принцип
Секторный (или отраслевой) – состоял в создании специализированных
законов либо для каждого типа посягательств на сферу частной жизни, либо
для каждой отрасли или сектора человеческой деятельности, являющейся
потенциальным источником угроз для права человека на невмешательство в
его частную жизнь (например, для почты и средств связи, для бюро
кредитной информации, для средств массовой информации и рекламной сферы,
для частных детективов, для компьютерных банков данных).
В чистом виде и тот, и другой подходы оказались непродуктивными.
“Секторный” (“отраслевой”) подход, при котором новые “отраслевые” законы
принимались по мере накопления прецедентной базы, указывающей на новый
источник угроз для сферы частной жизни, приводил к бессистемности,
дублированию и противоречивости законоположений. Примером является
“лоскутное”
36
законодательство США в области защиты права граждан на
неприкосновенность частной жизни. “Генеральный” подход приводил к
созданию “всеобъемлющих” законов о защите сферы частной жизни, которые
устаревали при появлении каждого нового типа угроз для права на
невмешательство в частную жизнь. В Великобритании, чья легислатура
наиболее упорно стремилась к созданию “всеобъемлющего” закона, до сих
пор нет закона о защите сферы частной жизни, и судебная практика
вынужденно породила необычные юридические химеры – так называемые
“паразитические ущербы” – в качестве средства правовой защиты частной
жизни.
37
HYPERLINK “” \l “36” 36 :: HYPERLINK “” \l “37” 37 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “37” 37 :: HYPERLINK “B1735Content.html”
Содержание
§ 3. Смешанный принцип
Представляется несомненным, что этот опыт был учтен при создании
национальных систем защиты персональных данных. В подавляющем
большинстве стран современные национальные системы правового
регулирования обработки и использования персональных данных применяют
так называемый “смешанный” принцип, объединяющий определенные аспекты
“генерального” и “отраслевого” подходов. Национальное законодательство в
сфере защиты данных, как правило, состоит:
– из базового или, как их еще называют, системообразующего закона типа
Data Protecton Act (своеобразного реликта “генерального” подхода);
– комплекса “секторных” (“отраслевых”) законов, обеспечивающих защиту
персональных данных в секторах (отраслях) человеческой деятельности,
несущих потенциальную угрозу для права субъекта персональных данных на.
невмешательство в его частную жизнь.
Активным регулирующим компонентом современных систем защиты персональных
данных является национальный орган (или система органов) по защите
данных.
И последним компонентом таких систем являются нестатутные
(корпоративные) средства защиты, которые часто называют также “средства
саморегулирования”.
Ниже каждому из вышеназванных компонентов дается краткая характеристика.
37
HYPERLINK “” \l “37” 37 :: HYPERLINK “B1735Content.html”
Содержание
***********************************
HYPERLINK “” \l “38” 38 :: HYPERLINK “” \l “39” 39 ::
HYPERLINK “” \l “40” 40 :: HYPERLINK “B1735Content.html” Содержание
Глава 4. Национально-правовые методы защиты
персональных данных, обрабатываемых субъектами
информационных отношений
§ 1. Базовые (системообразующие) национальные законы
о защите персональных данных
Законодательной базой любой национальной системы защиты персональных
данных служит закон типа Data Protection Act (Закон о защите данных).
Подобные законы принято называть “системообразующими”, поскольку, помимо
принятых в данной системе права принципов защиты данных, они
устанавливают цели и структуру национальной системы защиты данных,
учреждают национальный орган (или систему органов) по защите данных и
регламентируют механизм взаимодействия всех компонентов системы.
Исследование многих зарубежных систем защиты данных позволило построить
обобщенную структуру закона типа Data Protection Act, в которую в
качестве обязательных элементов входят:
1) принципы качества персональных данных;
2) права субъекта данных в связи с обработкой и использованием данных о
нем;
3) установленные законом правила доступа к чужим персональным данным, их
раскрытия и передачи;
4) изъятие из правового регулирования данных в интересах государственной
и общественной безопасности, в связи с расследованием преступлений и т.
п.;
5) установленные законом меры правового регулирования сбора, хранения,
обработки, передачи и использования персональных данных:
(a) учреждение национального органа власти (или системы органов власти)
по защите персональных данных,
(b) регистрация (или лицензирование) обработки персональных данных;
создание и ведение национальных регистров держателей и пользователей
персональных данных,
(c) лицензирование передачи персональных данных за пределы национальной
территории;
38
6) требования к организационно-техническим мерам по обеспечению
безопасности данных при их сборе, обработке, использовании, передаче и
хранении;
7) статьи, устанавливающие наказания за нарушения принципов защиты
данных и иных положений закона о защите данных.
Названия зарубежных системообразующих законов о защите данных – Data
Protecton Act приводят к терминологической путанице, поскольку термин
“защита данных” в информатике охватывает весь комплекс видов зашиты
данных. Поэтому под защитой данных может пониматься любая
(организационно-техническая, криптографическая, программная, правовая)
защита различных данных (персональных, об окружающей среде, составляющих
торговую или технологическую тайну и пр.). На самом же деле, законы с
таким названием обеспечивают только правовую защиту персональных данных,
которые составляют сферу частной жизни человека. Следует отметить, что
для обозначения понятия “комплексная защита данных” на международном
уровне пользуются термином “обеспечение безопасности данных” (data
security).
Чтобы избежать терминологической путаницы, следует однозначно
установить, что термин “защита данных” должен толковаться только в том
смысле, который устанавливает ст. 1 Конвенции 108 Совета Европы:
“Целью настоящей Конвенции является обеспечение на территории каждой
страны-участницы для каждого частного лица, независимо от его
национальности или места жительства, уважения его прав и основных свобод
и, в частности, его права на неприкосновенность частной жизни по
отношению к автоматической обработке данных, содержащих сведения
частного характера (“зашита данных”)”.
Иными словами “защита данных – это обеспечение для каждого частного лица
уважения его права на неприкосновенность частной жизни по отношению к
автоматической обработке данных, содержащих сведения частного
характера”.
Объектом защиты Закона о защите компьютерных банков (баз) данных (Data
Bank Protecton Act) являются не сами банки (базы) данных, а, как следует
из Директивы 96/9/ЕС Европейского Парламента и Совета Европы от И марта
1996 г. по правовой защите баз
39
данных, Директивы Совета Европы 91/250/ЕЕС от 14 мая 1991 г. о правовой
защите компьютерных программ:
– принцип подбора содержимого банка (базы) данных (но не само содержимое
и не данные как элементы этого содержимого);
– способ организации и систематизации (т.е. организационная структура)
содержимого банка (базы) данных;
– компьютерные программы, входящие в состав СУБД (системы управления
банка или базы данных).
Таким образом, понятие “защита банка (базы) данных” означает защиту этих
трех непременных атрибутов любого банка (базы) данных. Нетрудно
заметить, что данные в их число не входят. Отсюда следует, что
терминологически правильным было бы название “Закон о защите
персональных данных в составе компьютерных банков (баз) данных”.
В заключение следует отметить, что в некоторых национальных системах
защиты данных системообразующее законодательное ядро состоит не из
одного, а из двух взаимодополняющих законов – закона типа Data Protecton
Act и закона типа Information Freedom Act (Закон о свободе информации),
которые нередко даже разрабатываются и принимаются одновременно. В
других системах принцип свободы доступа к информации непосредственно
закладывается в положениях закона как Data Protecton Act.
40
HYPERLINK “” \l “38” 38 :: HYPERLINK “” \l “39” 39 ::
HYPERLINK “” \l “40” 40 :: HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “40” 40 :: HYPERLINK “” \l “41” 41 ::
HYPERLINK “B1735Content.html” Содержание
§ 2. Отраслевые (секторные) нормативные акты о защите
персональных данных
Отраслевые (секторные) законы представляют собой дополнительные (по
отношению к базовому закону о защите данных) положения, обеспечивающие
защиту персональных данных в отраслях человеческой деятельности, где
имеет место обработка, передача или использование таких данных.
Продолжающееся распространение и появление новых
компьютерно-телекоммуникационных технологий расширяет потенциальную
угрозу других посягательств на право неприкосновенности сферы частной
жизни. “Отраслевые” законы редко разрабатываются специально для
конкретного вида угроз сфере частной жизни. Чаще происходит так, что
дополнительные положения о защите персональных данных включаются в уже
существующие или
40
разрабатываемые законы, регламентирующие все аспекты деятельности в той
или иной отрасли по мере накопления прецедентной базы посягательств на
права субъектов персональных данных в конкретной отрасли. Основное
достоинство такой нежесткой иерархической системы “базовый закон –
отраслевые законы” состоит в том, что при появлении новых видов
неправомерных посягательств на персональные данные нет необходимости
переделывать всю систему защиты. Достаточно внести изменение в
соответствующий “отраслевой” закон или дополнить его новым “отраслевым”
законоположением.
41
HYPERLINK “” \l “40” 40 :: HYPERLINK “” \l “41” 41 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “41” 41 :: HYPERLINK “” \l “42” 42 ::
HYPERLINK “” \l “43” 43 :: HYPERLINK “B1735Content.html” Содержание
§ 3. Национальный орган (или система органов) по защите
персональных данных
Поскольку современные национальные системы защиты данных являются
системами государственно-правового регулирования обработки и
использования персональных данных, то практически все они содержат
активный регулирующий компонент – национальный орган (или систему
органов) по защите данных, наделяемый регистрационно-разрешительными,
контрольно-надзорными, а также арбитражными, экспертными и
методологическими функциями.
Основные требования, предъявляемые к национальному органу по защите
данных международными соглашениями о гармонизации систем защиты данных,
– компетентность и независимость.
Компетентность потребовалась потому, что национальные органы по защите
данных должны были взять на себя арбитражную (функцию, с которой, ввиду
быстрого усложнения компьютерно-информационных технологий, перестали
справляться суды общего назначения.
“Пришло время, когда те, кто используют компьютеры для обработки
персональной информации (независимо от того, насколько ответственными
они являются), не могут больше оставлять на произвольное усмотрение
одних лишь судей решение вопроса о том, адекватно ли защищают сферу
частной жизнь их собственные компьютерные информационные системы”
HYPERLINK “” \l “B1735Part19p41s1” 1 .
41
Независимость от государства была необходимой потому, что государство с
приходом компьютерных технологий оказалось одной из сторон,
заинтересованных в обработке и использовании персональных данных, и,
следовательно, ни один из государственных органов не в состоянии был
занимать позицию беспристрастного арбитра по отношению к коллизии прав
субъекта данных и интересов держателей/пользователей персональных
данных. Независимость органа по защите данных в различных национальных
правовых системах обеспечивается разнообразными средствами: статусом
органа, его местом в системе государственной власти, процедурой
совместного назначения руководителя этого органа несколькими ветвями
государственной власти, разделением административной подчиненности и
подотчетности органа защиты данных между исполнительной и
представительной ветвями власти, прямым указанием закона и многими
другими методами, среди которых встречаются порой и довольно редкие. К
последним можно отнести своеобразный двойной статус Британского
регистратора по защите данных и его персонала. Согласно ст. 17 (2)
Британского законодательного акта 1984 г. о защите данных, регистратор и
его сотрудники считаются государственными служащими в тех случаях, когда
такой статус необходим для предоставления Регистратору доступа к файлам
данных, содержащим государственные тайны. В остальных случаях, согласно
ст. 1(2) части 1 Приложения 1 к вышеупомянутому закону, для выполнения
международных требований, касающихся независимости национального органа
по защите данных: “…Регистратор, его должностные лица и служащие не
должны рассматриваться в качестве служащих или агентов Короны”
HYPERLINK “” \l “B1735Part19p42s1” 1 .
Не менее разнообразны организационные формы национальных органов по
защите данных. Наиболее распространено учреждение поста специального
должностного лица (с переданным ему соответствующим персоналом),
ответственного за защиту персональных данных в национальном масштабе. В
зависимости от национальных традиций и объема своих функций,
установленных законом, это
42
должностное лицо может носить название Национального уполномоченного по
правам граждан на невмешательство в частную жизнь или Прайвеси-Комиссара
(Privacy Commissioner), Уполномоченного или Комиссара по защите данных
(Data Protection Commissioner), Омбудсмена по неприкосновенности частной
жизни или по защите данных (по определению понятия “омбудсмен”, это
название применимо лишь в тех странах, где правовое регулирование
обработки и использования персональных данных производится только в
публичном секторе). Регистратора по защите данных и некоторые другие. В
ряде стран предпочитают коллегиальные органы по защите данных, носящие
названия Советов, Комитетов или Коллегий по защите данных.
Достаточно распространено использование не единственного органа, а
системы органов власти по защите данных. Так, например, в Австрии
законом установлена двойственная регулирующая структура, состоящая из
Совета по защите данных и Комиссии по защите данных. В Финляндии в
национальную систему органов по защите данных входят Омбудсмен по защите
данных и Коллегия по защите данных. В Великобритании полномочия
Регистратора по защите данных в известной мере уравновешиваются
полномочиями специализированного суда (трибунала) по защите данных,
служащего апелляционной инстанцией, где можно опротестовать решения
Регистратора. В свою очередь, на решения этого Суда по защите данных
могут быть поданы апелляции в Верховные Суды королевств и княжеств,
входящих в состав Соединенного Королевства Великобритании и Северной
Ирландии. Тем самым в национальную систему защиты данных вносится
элемент “судебной состязательности”.
Несмотря на существование в ряде национально-правовых систем
специализированных судов и трибуналов по защите данных, входящих в
национальные системы органов по защите данных в качестве полноправных
членов, суды общего назначения тоже сохраняют определенную роль в
правовом регулировании обработки и использования персональных данных,
входя практически во все национальные системы защиты данных в качестве
“неявных” членов.
43
HYPERLINK “” \l “B1735Part19p41s1cr” 1 Белая Книга за 1975 г., с
изложением позиции правительства Великобритании по проблеме защиты сферы
частной жизни в связи с автоматизированной обработкой персональных
данных. Цит. по: Raymond Wakes, Protection of Privacy. – London; Sweet &
Maxwell, 1980. – 185 p. (Mod. legal studies).
HYPERLINK “” \l “B1735Part19p42s1cr” 1 App. I, Part I, Sec. 1(2) of
UK Data Protection Act 1984.
HYPERLINK “” \l “41” 41 :: HYPERLINK “” \l “42” 42 ::
HYPERLINK “” \l “43” 43 :: HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “44” 44 :: HYPERLINK “” \l “45” 45 ::
HYPERLINK “” \l “46” 46 :: HYPERLINK “” \l “47” 47 :: HYPERLINK
“” \l “48” 48 :: HYPERLINK “” \l “49” 49 :: HYPERLINK “” \l “50”
50 :: HYPERLINK “” \l “51” 51 :: HYPERLINK “” \l “52” 52 ::
HYPERLINK “” \l “53” 53 :: HYPERLINK “” \l “54” 54 :: HYPERLINK
“” \l “55” 55 :: HYPERLINK “” \l “56” 56 :: HYPERLINK
“B1735Content.html” Содержание
§ 4. Средства защиты персональных данных в публичных
и частных корпорациях
Существуют различные пути принятия компаниями или отраслями мер
саморегулирования в области защиты персональных данных:
– введение внутренних руководящих указаний или принципов;
– принятие Кодексов практики или поведения;
– учреждение некой должности специального ответственного.
Эти меры защиты персональных данных могут составлять часть из целой
серии внутренних процедур, которая, в свою очередь, представляет собой
часть внутреннего менеджмента или руководящих принципов безопасности
некой корпорации или отрасли человеческой деятельности. Из всех
предпринимаемых мер все более и более популярными становятся Кодексы
поведения или практики. Помимо всего прочего, они могут предоставлять
полезные средства для обеспечения “прозрачности” отраслевой или
корпоративной политики. На практике разница между такими кодексами и
внутренними руководящими принципами (или иными отраслевыми или
корпоративными подзаконными актами) может быть совсем невелика.
В области защиты данных форма, содержание и основная направленность
усилий Кодексов практики/поведения не являются сколько-нибудь
единообразными, что сильно затрудняет их формальную оценку и сравнение.
Не существует никакого универсального определения Кодексов
практики/поведения. Например, Голландский законодательный акт 1988 г. о
защите данных определяет Кодексы поведения как “…некий набор правил
или рекомендаций по отношению к файлам персональных данных, принятый
одной или более организациями, являющимися репрезентативными для того
сектора (отрасли), который они охватывают в интересах защиты
неприкосновенности частной жизни” HYPERLINK “” \l “B1735Part20p44s1” 1
.
Понятие “кодекс” имеет несколько значений. С одной стороны, оно
предполагает, что эти нестатутные (корпоративные) инструменты формируют
всестороннее и исчерпывающее изложение принципов и
44
правил по тому предмету ведения, которому они посвящены. С другой
стороны, этот термин настолько прочно вошел в лексикон защиты данных,
что его стали использовать для описания любой попытки саморегулирования,
которая проявляется в письменной форме. Разумеется, это вовсе не
облегчает решения вопроса о том, как оценивать любой кодекс.
Разработанные Организацией экономического сотрудничества и развития
(ОЭСР) предложения по оценке Кодексов поведения/практики (они будут
приведены несколько ниже) в какой-то мере помогают решить эту непростую
проблему.
Одним из ключевых элементом любого Кодекса практики должен быть его
добровольный характер, поскольку любой такой кодекс является средством
саморегулирования, используемым некой отраслью, отдельной компанией,
корпорацией или профессиональной ассоциацией для достижения
определенного уровня защиты данных. Соответственно, любой кодекс не
предоставляет никаких законных прав другим сторонам, вовлеченным в
процесс обработки, передачи и использования персональных данных.
Например, субъекты данных или лицо, передающее данные, не обретают
никаких прав против того держателя данных, который создал данный
конкретный кодекс. Однако это не препятствует кодексу быть “обязательным
для исполнения” внутри данной отрасли или корпорации. Например,
нарушение отраслевых стандартов, содержащихся в кодексах, может привести
к прекращению членства их нарушителя в соответствующей отраслевой или
профессиональной ассоциации.
Одна из значимых сторон любого кодекса состоит в том, что члены отрасли,
корпорации или ассоциации могут самостоятельно определять, какие
принципы защиты данных им стоит переводить в работоспособные положения
своего Кодекса практики/поведения. Если кодекс просто, провозглашает
широкие принципы защиты данных, но затем не предлагает мер для
соблюдения этих принципов, то такой кодекс не является средством защиты
данных.
И, наконец, следует отметить, что Кодексы поведения/практики являются
обычно инструментами частного сектора. Этому способствуют несколько
причин. Во-первых, регулирование защиты данных публичного сектора обычно
осуществляется на основании правил, установленных внутренними
инструкциями. Другая причина состоит в том, что в большинстве стран
защита данных частного сектора
45
остается сравнительно нерегулируемая, что предоставляет отраслям и
корпорациям возможности для саморегулирования, являющиеся приемлемыми и
для международных отраслевых ассоциаций, таких, как Международная
ассоциация воздушного транспорта (IATA), находящаяся вне сферы правового
регулирования какой-либо одной из стран.
Однако существуют и некоторые кодексы публичного сектора, например,
Кодекс ассоциации начальников полиции в Великобритании или Кодекс
католических начальных школ в Голландии.
Ранние кодексы были обычно ориентированы на конкретное предприятие и
устанавливали внутренние принципы защиты данных на этом предприятии.
“Пионерами” здесь были корпорация ЮМ и компания American Express, они
приняли кодексы еще в 1970-х гг. Большое число компаний последовало их
примеру в 1980-х гг. (что в определенной мере является следствием
опубликования в 1980 г. Руководящих принципов ОЭСР, поощрявших Кодексы
практики /поведения). Некоторые кодексы пересматривались в попытках
найти адекватный ответ на изменяющиеся внешние условия и принципы защиты
данных.
Если провести аналогию между первым и вторым поколением Кодексов
практики по защите данных, то первое поколение кодексов обычно содержало
только некий широкий набор абстрактных принципов в пределах одной
компании. Второе поколение кодексов предлагает более искусный,
“прикладной” подход к защите данных в пределах уже одной отрасли
человеческой деятельности. Руководящие принципы ОЭСР явно способствовали
развитию и использованию Кодексов поведения в качестве опорного средства
саморегулирования. (Объяснительный меморандум, сопровождающий
Руководящие принципы ОЭСР, указывает, что его положения о Кодексах
практики/поведения были нацелены, в основном, на страны общего права,
хотя кодексы вполне совместимы и с развитием специального
законодательства по защите данных).
Кодексы отдельных компаний были первоначальной формой, использовавшейся
в 1970-е и 1980-е гг., но уже в 1980-е гг. общераспространенными стали
отраслевые или секторные Кодексы практики. Как правило, модель кодекса
предлагает некая ассоциация или отраслевая организация. Компании-члены
этой ассоциации поощряются к принятию этого кодекса или этот кодекс
становится
46
частью отраслевой политики, так что членство в ассоциации подразумевает
признание отраслевого Кодекса практики/поведения и соблюдение его
принципов. Кодексы упомянутых выше IATA и Ассоциации канадских банкиров
были приняты в соответствии с первым подходом, в то время как процесс
принятия Кодекса добросовестной банковской практики (Великобритания)
следовал второму подходу.
Кодексы могут принимать законодательную форму или иметь “за спиной” ту
или иную степень законодательной поддержки, как это имеет место в
Австралии, Ирландии, Нидерландах и Великобритании. Такая тенденция к
законодательной поддержке кодексов появилась в конце 1980-х гг. Она в
какой-то мере противоречит добровольной природе кодексов. Возможно, что
это использование законодательных инструментов отражает ту или иную
степень тревожной неуверенности законодателей в том, хорошо ли сработает
механизм добровольного признания и соблюдения Кодексов
поведения/практики, не потребуется ли поощрение и поддержка этого
механизма средствами закона.
Особо отметим Кодекс поведения, принятый в Гонконге. Он уникален тем,
что применяется к целой территории. Этот кодекс, который полностью
следует Руководящим принципам ОЭСР, введенный в действие в 1988 г.,
устанавливает некоторое число абстрактных принципов, которым надлежит
следовать, но никак не конкретизирует и не детализирует их применение.
В Германии Федеральный закон о защите данных требует от фирм и компаний
иметь Кодексы практики. Более того, когда некая компания использует
более 4 человек для автоматизированной обработки персональных данных
(или более 19 человек для обработки данных неэлектронными средствами),
эта компания должна назначить своего внутреннего Уполномоченного по
защите данных в качестве узаконенного средства саморегулирования.
В Швеции кодексы не упоминаются в законодательстве и не обеспечены
правовой санкцией. Шведская комиссия по данным пытается определить,
должна ли быть применена какая-либо юридическая процедура, чтобы
учредить систему .саморегулирования в рамках существующей структуры. С 1
апреля 1988 г. от всех пользователей и контролеров данных потребовали
назначать некое “лицо для
47
контакта”, которое отвечает за проведение расследования внутри
организации в тех случаях, когда подозревается ошибка в персональных
данных. По завершении расследования это “лицо для контакта” должно
докладывать о результатах субъекту данных и пользователю/контролеру
данных. Это чем-то напоминает германскую модель, хотя полномочия
функционера саморегулирования здесь, конечно, значительно уже. Несмотря
на неопределенность политики Комиссии по данным, несколько кодексов в
Швеции уже возникло на добровольной основе, например, в советах по
научным исследованиям, в средствах массовой информации, в агентствах
кредитной информации.
Итак, есть две категории кодексов – кодексы, которые не имеют никакой
законодательной поддержки, и кодексы, которые пользуются той или иной
формой законодательной поддержки. Большинство существующих кодексов
попадает в первую категорию, и лишь немногие (по крайней мере, на данной
стадии развития) – во вторую. Большинство “незаконодательных” кодексов
пришло из стран общего права, в которых (за исключением Великобритании)
отсутствует исчерпывающее общее законодательство о защите данных в
частном секторе.
Исторически сложилось так, что многие кодексы ограничиваются рамками
отдельных секторов бизнеса. Чаще всего, например, они встречаются в
банковской и страховой отраслях. В этом нет ничего удивительного, ведь
именно эти отрасли собирают громадные количества персональных данных и
располагают технологическими возможностями для их обработки. Кроме того,
эти отрасли могут быть внутренне взаимосвязаны через корпоративное право
собственности и могут иметь интересы в смежных областях бизнеса, таких,
как службы безопасности торговли и путешествий, тем самым потенциально
способствуя еще большей концентрации данных. Индустрия прямого
маркетинга тоже порождает значительное число кодексов. Кодексы разных
типов используются в банковском секторе Австралии, Канады, Японии и США.
Отраслевые кодексы в банковском секторе есть во всех этих странах, за
исключением США, однако в банковском секторе Соединенных Штатов имеется
несколько Кодексов практики отдельных компаний и некоторые другие
подзаконные акты саморегулирования. Австралийский кодекс не охватывает
целиком весь банковский сектор, скорее он специально адресован
электронному
48
банковскому делу, и защита данных – лишь один из многих вопросов,
охватываемых этим кодексом,
Модель Кодекса неприкосновенности частной жизни индивидуальных
потребителей, разработанная Ассоциацией канадских банкиров (КАБ),
представляет собой интересный объект для изучения. Этот кодекс
предлагается отраслевой ассоциацией для банков, которые, являясь членами
этой ассоциации, могут воспользоваться им как моделью для своих
собственных кодексов.
Эта модель кодекса является вторым расширенным и переработанным изданием
этого документа и представляет собой специализированное применение
Руководящих принципов ОЭСР в рамках банковской отрасли. Одним из важных
свойств этого кодекса является то, что он предусматривает назначение
внутри каждого банка некого должностного лица, ответственного за защиту
данных, хотя конечная ответственность все же остается возложенной на
высшее руководство банка. Следует отметить, что внесенные поправки к
Канадскому федеральному законодательному акту о банках предусматривают
специальную процедуру разрешения внешних жалоб. Более того. Федеральный
ревизор финансовых учреждений может вмешиваться в тех случаях, когда
внутренними мерами данное финансовое учреждение не смогло добиться
разрешения проблемы, затронутой в жалобе.
По сравнению с канадским подходом, в Японии национальные Руководящие
принципы защиты персональных данных для финансовых учреждений,
разработанные Японским Центром информационных систем для финансовой
отрасли (FISC), устанавливают отраслевые инструкции, а не модель кодекса
для принятия членами отрасли. Этот нестатутный (корпоративный)
инструмент саморегулирования тоже основан на Руководящих принципах ОЭСР.
Инструкции FISC устанавливают пять, принципов защиты данных и дают
развернутое толкование каждого из них. Поскольку эти инструкции не
обеспечивают такой же уровень детализации, как кодекс-модель КАБ, то
одновременно предпринимаются и некоторые другие меры саморегулирования
защиты данных. Например, дополнительно к вышеупомянутому используется
еще один набор инструкций, носящий название “Руководящие принципы
безопасности компьютерных систем для финансовых учреждений”.
49
Имеются примеры разработки межотраслевых кодексов. В Великобритании,
например, Национальный компьютерный центр разработал ряд кодексов,
относящихся к: (1) службам безопасности; (2) компьютерным бюро; (3)
данным о наемных служащих; (4) управлению собственностью; (5) информации
о потребителях и поставщиках.
Продолжается “наступление” кодексов, которые имеют ту или иную степень
законодательной поддержки. Британский законодательный акт 1984 г. о
защите данных предусматривает, что Регистратор по защите данных, когда
он находит это приемлемым, обязан “поощрять торговые и профессиональные
ассоциации или другие органы, представляющие пользователей данных,
разрабатывать и распространять среди своих членов Кодексы практики для
направления их деятельности в русло соблюдения принципов защиты данных”
HYPERLINK “” \l “B1735Part20p50s1” 1 .
Вполне очевидно, что кодексы разрабатывают не для того, чтобы они
заменяли и вытесняли положения Британского закона о защите данных, по
отношению к которому они выполняют подчиненную роль, а для наиболее
эффективного применения его положения для условий своей отрасли. При
любом нарушении закона соответствующие действия будут предприниматься
Регистратором по защите данных, но не соответствующей отраслевой
ассоциацией. Хотя закон не дает указаний относительно одобрения или
санкционирования кодексов Регистратором, но на практике Регистратор уже
разрабатывал предисловия к некоторым кодексам. Предисловия эти иногда
интерпретируются как одобрение Регистратором этих кодексов. На самом же
деле, на Регистратора не возлагается обязанность удостоверять качество
Кодексов практики/поведения.
В Ирландском законе 1988 г. о защите данных принят иной подход:
Уполномоченный по защите данных может поощрять профессиональные
ассоциации или другие представительные организации к принятию Кодексов
практики. Кроме того. Уполномоченный наделяется полномочиями давать
кодексам свое официальное одобрение, если у него сформировалась точка
зрения,
50
что данный кодекс предоставляет субъектам данных защиту, соответствующую
положениям вышеупомянутого закона. Исходя из этой точки зрения,
Уполномоченный может одобрить данный кодекс и представить его
парламенту, который своей санкцией волен придать кодексу силу
“отраслевого” закона:
“(а) в той мере, в какой он относится к обработке персональных данных
соответствующими категориями контролеров данных….
…(i) он должен иметь силу закона в соответствии с его условиями…”
HYPERLINK “” \l “B1735Part20p51s1” 1 .
В действии любой такой “санкционированный” кодекс подменяет
соответствующие положения Закона о защите данных. До настоящего временя
еще ни один кодекс не был “санкционирован” по вышеизложенной процедуре.
Тем не менее, в условиях этой системы будут параллельно развиваться два
набора кодексов: санкционированные кодексы, которые имеют силу закона, и
кодексы, которые такой силой не наделены. Кодексы, не прошедшие через
процесс санкционирования, не будут юридически обязывающими и не будут
иметь никакого официального признания в соответствии с Законом о защите
данных. Со временем накопившийся набор кодексов, наделенных правовой
санкцией, займет место соответствующих положений самого законодательного
акта.
Таким образом, в отличие от британской системы, в Ирландии судебные
преследования за нарушения принципов защиты данных будут происходить на
основании соответствующего отраслевого кодекса, если он, конечно,
существует в данной отрасли и обеспечен правовой санкцией. Разумеется,
что в тех отраслях, где не существует таких кодексов, будут применяться
положения Ирландского закона о защите данных.
В Нидерландах Закон 1988 г. о защите данных предлагает еще один вариант
регистрации кодекса. Он устанавливает процесс официальной регистрации,
согласно которому соответствующая торговая или профессиональная
ассоциации могут зарегистрировать
51
свой кодекс в Регистрационной палате. Не существует никакого принуждения
к регистрации кодексов, но достаточно очевидно, что эта система является
весьма настоятельно рекомендуемой, поскольку упомянутый закон
предусматривает возможность издания общих административных предписаний,
устанавливающих детализированные правила для любой конкретной отрасли
или сектора экономики. Ясно, что в таких условиях отраслевые ассоциации
предпочитают сами разрабатывать и регистрировать свои Кодексы практики.
В результате, уже к 1 июля 1991 г. были зарегистрированы четыре первых
Кодекса практики:
– Кодекс организации консультантов по отбору и рекрутированию персонала;
– Кодекс ассоциации компьютерных услуг и бюро программного обеспечения;
– Кодекс ассоциации научно-исследовательских институтов (в области
социальных наук и наук о человеческом поведении);
– Кодекс ассоциации по исследованиям рынка.
В стадии рассмотрения Регистрационной палатой находится значительное
число заявлений на регистрацию других кодексов, в том числе и для
банковской и страховой отраслей. Такая регистрационная система
разработана, чтобы обеспечить максимальное приближение требований закона
о защите данных к конкретным отраслевым реалиям. Чтобы способствовать
периодическим пересмотрам и обновлению кодексов, предусмотрено временное
ограничение: регистрация любого кодекса остается в силе максимум пять
лет.
В отличие от ирландского, голландское законодательство о защите данных
не предусматривает придания Кодексам практики силы закона. Хотя суды не
обязаны считать, что нарушение некого кодекса равносильно нарушению
Закона о защите данных, тем не менее нарушение Кодекса практики
свидетельствует о наличии достаточно серьезных доказательств по вопросу
ответственности перед законом. Следовательно, хотя и косвенно, кодексы
могут обладать некоторым критерием определения степени правовой защиты
данных, что побуждает очень серьезно относиться к разработке и
регистрации кодексов.
Директива ЕС от 24 октября 1995 о защите персональных данных выводит
Кодексы практики/поведения на международный уровень (разумеется, в
рамках Европейского Союза). В ст. 20 говорится:
52
“…страны-участницы должны поощрять заинтересованные деловые круги к
участию в разработке европейских Кодексов поведения или профессиональной
этики в отношении определенных отраслей деятельности на основе
принципов, установленных в настоящей Директиве” HYPERLINK “” \l
“B1735Part20p53s1” 1 .
Это положение следует рассматривать в сочетании со ст. 29.
предусматривающей учреждение Комиссии с полномочиями на создание правил
или “технических мер”, необходимых для применения принципов Директивы в
определенных отраслях человеческой деятельности. Для определения
необходимости создания таких правил Комиссия должна, помимо прочего,
принимать в расчет наличие Кодексов поведения. Предполагается, что
наличие соответствующего и эффективного кодекса может аннулировать
потребность в каких-либо “технических мерах” для данной отрасли. Это.
похоже, будет дополнительным стимулом для отраслевого саморегулирования
вопросов защиты данных.
Существует пример обратного использования кодексов в Австралии.
Регулирование справочных файлов потребительского кредита, которыми
пользуются провайдеры кредита и кредитные бюро, было объектом
специального детализированного законодательства, которое было заменено
статутным Кодексом поведения. Этот кодекс является обязательным для
исполнения и оказывает своим действием такой эффект, как если бы он был
специальным законом, исходящим от государства, а не добровольным
отраслевым кодексом. Проект данного кодекса был разработан ведомством
Прайвеси-Комиссара, проводившим консультации с заинтересованными
сторонами. Так что он вовсе не является продуктом отраслевого
саморегулирования. Тем не менее, этот кодекс весьма детализирован и в
этом отношении похож на любой другой Кодекс поведения.
Общепризнанно, что кодексы могут возникать в контексте следующих
разнообразных причин:
53
– саморегулирование с целью не принимать соответствующего
законодательства;
– саморегулирование с целью регулирования пробелов соответствующего
законодательства;
– саморегулирование с целью реализации норм соответствующего
законодательства;
– саморегулирование с целью дополнения соответствующего
законодательства” HYPERLINK “” \l “B1735Part20p54s1” 1 .
Мотивация разработки кодекса до определенной степени определяет его
форму и содержание. Кодексы, разработанные вне рамок законодательного
регулирования, имеют тенденцию быть общими по форме, в то время как
кодексы, которые способствуют осуществлению соответствующего
законодательства на практике или дополняют его, склонны быть более
детализированными инструментами, которые рассматривают конкретные
проблемы защиты данных в пределах своей отрасли. Однако эта ситуация в
наши дни претерпевает изменения благодаря появлению пересмотренных
версий кодексов, не имеющих законодательного статуса или законодательной
поддержки. Некоторые стали детализированными настолько, что имеет место
их конвергенция с кодексами другого типа.
Кодексы должны предлагать нечто большее, чем простое провозглашение
широких принципов защиты данных. Эти принципы уже были установлены в
Руководящих принципах ОЭСР и Конвенции 108 Совета Европы. В качестве
предварительного шага многие компании выразили поддержку Руководящим
принципам ОЭСР. Любая попытка создать кодекс требует конкретных
отраслевых мер регулирования по отношению к общим принципам защиты
данных. Без этого кодекс будет восприниматься как чисто формальный
документ данной корпорации или отрасли для демонстрации своей культуры в
области защиты данных.
Вполне понятно, что всеобщее внимание сейчас привлекают Ирландия и
Нидерланды, где отраслевые кодексы могут утверждаться и регистрироваться
органом по защите данных.
54
“Пока из этих стран в Секретариат ОЭСР поступает мало информации,
поскольку ни одного кодекса еще не было предложено для утверждения (и
последующего наделения правовой санкцией в парламенте) в Ирландии, и
только четыре кодекса были зарегистрированы в Нидерландах. Однако по
имеющимся сведениям. Регистрационная палата в Нидерландах ясно и
однозначно заявила, что она не будет регистрировать кодексы, которые
просто “пересказывают” закон; кодексы должны идти гораздо дальше этого”
HYPERLINK “” \l “B1735Part20p55s1” 1 .
Полезную оценку голландского опыта предоставил президент Регистрационной
палаты этой страны:
“Преимущества:
– кодексы поведения доказали, что они могут быть весьма гибкими
инструментами для внедрения закона в конкретные отрасли и сектора
экономики;
– релевантные процедуры обладают весьма позитивным воздействием на
взаимосвязь палаты с различными отраслями и секторами экономики;
– и те, и другие ведут к улучшенному осознанию и пониманию проблем и
вопросов “прайвеси”, которые являются специфическими для каждой отрасли
или сектора экономики;
– Кодексы поведения предоставляют определенным отраслям удобную
возможность продемонстрировать реальную заботу о вопросах защиты права
на невмешательство в частную жизнь;
– отрасли и сектора, подлежащие регулированию кодексом, наделенным
правовой санкцией, могут служить примером и посредником для других.
Некоторые негативные пункты:
– регулирование при помощи кодексов может быть ограничено условиями
конкуренции и другими аспектами некоего конкретного сектора или отрасли;
– Кодексы поведения могут усложнить или запутать правовые рамки, которые
применяются в неком конкретном секторе или отрасли;
55
– субъекты данных не всегда осведомлены о статусе конкретного Кодекса
поведения: наделен он правовой санкцией или нет;
– требование адекватных консультаций может создать проблемы с поиском
достаточно компетентного партнера;
– практический эффект любого кодекса может зависеть соответственно от
сферы его компетенции и статуса, а также иных специфических условий”
HYPERLINK “” \l “B1735Part20p56s1” 1 .
По мнению президента, опыт Нидерландов показал, что преимущества
перевешивают недостатки.
Как следует из вышеизложенного, наметилась важная тенденция
легитимизации корпоративных и профессиональных Кодексов
практики/поведения, возведения их в статус “отраслевых” законов при
помощи новой процедуры “санкционирования” (наделения правовой санкцией),
в которой участвуют национальный орган по защите данных и парламент
страны. Это существенно повышает роль Кодексов практики/поведения в
национальных системах защиты данных.
Другим фактором, повышающим роль Кодексов практики/поведения, стало
стремление международных организаций использовать такие кодексы в
совокупности с новым правовым средством – прямыми договорами между
экспортером и импортером данных с обусловленными стандартами защиты
передаваемых данных для преодоления трудностей при обмене данными между
странами с разными уровнями правовой защиты персональных данных.
56
HYPERLINK “” \l “B1735Part20p44s1cr” 1 Цит. по: Charles E.H.
Franclin (cd.), “Business guide to Privacy and Data Protection
Legislation”, Kluwer Law International and International Chamber of
Commerce. – Hague. – London Boston. – 1996 (2d edition). – P. 336.
HYPERLINK “” \l “B1735Part20p50s1cr” 1 Цит. по: OECD documents.
Privacy and data rotection: Issues and Challenges”,Information Computer
Communication Policy. Organisation for Economic Cooperation and
Development, Paris, 1966, p. 43.
HYPERLINK “” \l “B1735Part20p51s1cr” 1 Цит. по: OECD documents.
Privacy and data rotection: Issues and Challenges”, Information Computer
.Communication Policy. Organisation for Economic Cooperation and
Development, Paris, 1966, p. 43.
HYPERLINK “” \l “B1735Part20p53s1cr” 1 Цит. no: OECD documents.
Privacy and data rotection: Issues and Challenges”, Information Computer
Communication Policy. Organisation for Economic Cooperation and
Development, Paris, 1966, p. 45.
HYPERLINK “” \l “B1735Part20p54s1cr” 1 Цит. по: Hustinx P. “The Role
of Self-regulation in the Scheme of Data Protection”, paper delivered at
the XIIIth Conference of Data Protection Commissioner, Strasbourg, 2-4
October 1991, p. 1.
HYPERLINK “” \l “B1735Part20p55s1cr” 1 Цит. по: OECD documents.
Privacy and data protection: Issues and Challenges”, Information
Computer Communication Policy. Organisation tor Economic Cooperation and
Development, Paris, 1966, p. 46.
HYPERLINK “” \l “B1735Part20p56s1cr” 1 Цит. по: OECD documents.
Privacy and data rotection: Issues and Challenges”,Information Computer
Communication Policy. Organisation for Economic Cooperation and
Development, Paris, 1966, p. 46 -47.
HYPERLINK “” \l “44” 44 :: HYPERLINK “” \l “45” 45 ::
HYPERLINK “” \l “46” 46 :: HYPERLINK “” \l “47” 47 :: HYPERLINK
“” \l “48” 48 :: HYPERLINK “” \l “49” 49 :: HYPERLINK “” \l “50”
50 :: HYPERLINK “” \l “51” 51 :: HYPERLINK “” \l “52” 52 ::
HYPERLINK “” \l “53” 53 :: HYPERLINK “” \l “54” 54 :: HYPERLINK
“” \l “55” 55 :: HYPERLINK “” \l “56” 56 :: HYPERLINK
“B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “57” 57 :: HYPERLINK “” \l “58” 58 ::
HYPERLINK “B1735Content.html” Содержание
РАЗДЕЛ III
ОБЩАЯ ХАРАКТЕРИСТИКА ПРАВОВОГО
РЕГУЛИРОВАНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ
ДАННЫХ В ЗАРУБЕЖНЫХ СТРАНАХ
На основании вышеизложенного в современных национальных системах
правового регулирования обработки и использования персональных данных
существуют четыре основных компонента защиты персональных данных:
– базовый закон о защите данных;
– “отраслевые”законы;
– орган (или система органов) по защите данных;
– корпоративные (нестатутные) средства защиты.
Предыстория принятия законодательных актов о защите персональных данных
используется в тех случаях, когда это необходимо для лучшего понимания
особенностей конкретной национальной системы защиты данных.
Для стран с федеративным государственным устройством вводятся
подразделы:
– “На федеральном уровне”;
– “На региональном уровне “.
Глава 5. Правовая защита персональных данных
в Австралии
§ 1. Базовый закон о защите данных: законодательный акт
1988 г. о неприкосновенности частной жизни (Privacy Act 1988)
Федеральный уровень. Базовым законом по защите данных является
законодательный акт 1988 г. о неприкосновенности частной жизни (Privacy
Act 1988), предусматривающий схему регулирования защиты данных, которая
до недавнего времени применялась только к федеральному публичному
сектору. С принятием поправок к закону 1988 г. защита данных стала
распространяться и на частный сектор. Этот законодательный акт
устанавливает 11 принципов защиты
57
данных (по модели Руководящих принципов ОЭСР), которые обязательны для
соблюдения правительственными учреждениями и ведомствами.
Введено в действие детализированное законодательство, регулирующее
индустрию потребительского кредита. Субъектом этого законодательства
являются как кредитодатели, так и агентства кредитных справок.
Установлены комплексные стандарты для деятельности по формированию
кредитных отчетов и справок. Нарушения законодательства в сфере
персональных данных караются значительными штрафами.
58
HYPERLINK “” \l “57” 57 :: HYPERLINK “” \l “58” 58 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “58” 58 :: HYPERLINK “” \l “59” 59 ::
HYPERLINK “B1735Content.html” Содержание
§ 2. Орган по защите дачных: Уполномоченный по защите прав
граждан на неприкосновенность частной жизни (Privacy Comissioner)
Должность Privacy Comissioner (Уполномоченный по защите прав граждан на
неприкосновенность частной жизни) учреждена во исполнение положений
федерального “базового” закона (Privacy Act 1988). В функции
федерального Прайвеси-Комиссара входит:
– прием жалоб и исков, связанных с предполагаемыми нарушениями
упомянутых 11 принципов защиты;
– проведение расследований, вызванных такими жалобами или основанных на
собственной инициативе Комиссара).
На случай возникновения споров предусмотрена согласительная процедура,
однако, если она оказывается безуспешной, Комиссар может принять решение
в пользу той или иной стороны. Возможен пересмотр этих решений перед
Трибуналом административных апелляций.
Комиссар также наделен полномочиями на проведение аудита, и это является
важным инструментом в национальной системе, где отсутствует какая-либо
нотификация или регистрация.
Одной из обязанностей Комиссара является обеспечение того, чтобы
ограниченный персональный идентификатор, называемый “номером налогового
файла”, не использовался ненадлежащим образом теми, кому требуется
обрабатывать его. Этот индивидуальный номер присваивается
налогоплательщикам, от которых требуется, чтобы они сообщали его при
любых действиях и процедурах, связанных с налогами и с социальным
обеспечением.
58
Важные поправки к законодательному акту 1988 г. о неприкосновенности
частной жизни (Privacy Act 1988) распространяют сферу компетенции
Комиссара на частный сектор (в частности, на индустрию потребительского
кредита).
Еще одна поправка к “базовому” закону наделяет Комиссара полномочиями на
слежение за определенными действиями по комплектации определенных данных
и полномочиями на принудительное исполнение держателями данных решений
Комиссара в этой области. В частности, были установлены стандарты для
процедур типа “data matching”, реализующих взаимосвязи публичного
сектора между федеральным налоговым департаментом и департаментом
социальной помощи, которые были разработаны для обнаружения лишних или
избыточных платежей в этой системе.
Региональный уровень. Штат Новый Южный Уэльс имеет “базовый” закон о
защите “privacy” с 1975 г., и в настоящее время рассматривает
предложения по реформе этого закона. Предложенная схема предполагает
создание некой системы, поощряющей принятие “отраслевых” Кодексов
поведения в контексте принципов защиты данных, подобных тем, что
изложены в федеральном “базовом” законе Privacy Act 1988 г.
Штаты Квинсленд и Западная Австралия также рассматривают предложения о
внесении изменений и дополнений в законы о защите “privacy”.
В штате Южная Австралия правительственный законопроект (Privacy Bill
1991) устанавливает статутную категорию гражданского правонарушения,
состоящего в посягательстве на право на невмешательство в частную жизнь
и обладающего исковой силой в суде. Никакая регулирующая структура не
предусматривается.
59
HYPERLINK “” \l “58” 58 :: HYPERLINK “” \l “59” 59 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “60” 60 :: HYPERLINK “B1735Content.html”
Содержание
Глава 6. Формы и методы защиты персональных
данных в Австрии
§ 1. Предыстория принятия законодательного акта
о защите данных
Приступая в 1971 г. к разработке национального закона о защите данных,
Австрия взяла на себя обязательство следовать ст. 8 Европейской
конвенции о правах человека, посвященной защите частной жизни и
корреспонденции частных лиц, стремясь обрести в этом международном
документе опору для своей отечественной законодательной инициативы.
Иными словами, создатели австрийского закона изначально рассматривали
защиту персональных данных как защиту одного из фундаментальных прав
человека.
Для разработки закона была создана рабочая группа под эгидой
Координационного комитета по электронной обработке данных на федеральном
уровне. Служба конституционного законодательства из состава Федеральной
канцелярии главенствовала в рабочей группе и несла ответственность за
эту законодательную инициативу на всех стадиях ее разработки и развития,
поскольку предполагалось, что этот законодательный акт станет частью
Федеральной конституции.
Результатом усердных трудов австрийской легислатуры стал всесторонний и
исчерпывающий закон о неприкосновенности частной жизни в сфере
персональной информации, получивший название закона 1978 г. о защите
данных. Особое его значение состоит в том. что он создает
фундаментальное право на защиту данных в соответствии с австрийским
конституционным правом (гл. 1 этого закона содержит соответствующие
конституционные положения).
60
HYPERLINK “” \l “60” 60 :: HYPERLINK “B1735Content.html”
Содержание
***********************************
HYPERLINK “” \l “60” 60 :: HYPERLINK “” \l “61” 61 ::
HYPERLINK “B1735Content.html” Содержание
§ 2. Базовый закон 1978 г. о защите данных
Базовым законом о защите данных является закон 1978 г. о защите данных.
Правовое регулирование его распространяется на публичный и частный
сектора. В 1987 г. в этот закон вносились дополнения и изменения,
регламентирующие процедуры получения санкций на экспорт данных.
60
В законе 1978 г. о защите данных предусматриваются два уголовных
преступления (оба наказываются лишением свободы на срок максимум до 1
года тюремного заключения):
– “нарушение конфиденциальности” (ст. 48);
– “несанкционированное вмешательство в обработку данных” (ст. 49).
Определенные нарушения правовых положений этого закона, таких, как
положения о нотификации регистра для субъектов данных или о
международных потоках данных, влекут за собой максимальный штраф в 150
000 австрийских шиллингов. Данные, программы и средства хранения данных,
являющиеся предметом таких правонарушений, могут быть конфискованы.
61
HYPERLINK “” \l “60” 60 :: HYPERLINK “” \l “61” 61 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “61” 61 :: HYPERLINK “B1735Content.html”
Содержание
§ 3. Отраслевые нормативно-правовые акты
Закон 1973 г. о свободе информации регламентирует процедуру раскрытия
информации федеральными министерствами. Закон 1979 г. о кредите
запрещает наемным сотрудникам и пайщикам всех банков и сберегательных
институтов использование или публикацию любой информации, полученной
исключительно через деловые связи с клиентами. Закон 1993 г. об
информации об окружающей среде устанавливает и регламентирует доступ
общественных институтов к правительственной информации о состоянии
окружающей среды.
61
HYPERLINK “” \l “61” 61 :: HYPERLINK “B1735Content.html”
Содержание
***********************************
HYPERLINK “” \l “61” 61 :: HYPERLINK “” \l “62” 62 ::
HYPERLINK “” \l “63” 63 :: HYPERLINK “B1735Content.html” Содержание
§ 4. Органы по защите данных: Совет и Комиссия
Сначала предполагалось учреждение должности Омбудсмена по
неприкосновенности частной жизни, однако после пятилетних дебатов. Закон
1978 г. о защите данных установил двойственную регулирующую структуру,
состоящую из Совета по защите данных и Комиссии по защите данных.
Комиссия состоит из четырех членов под председательством судьи. Ее
главная задача в том. чтобы осуществлять надзор и принуждать к
исполнению закона 1978 г. о защите данных в публичном секторе. Комиссия
является полностью независимой организацией и обязанности ее, по сути
дела, те же самые, что и обязанности любого государственного суда, но в
тех случаях, когда она имеетполномочия
61
санкционировать международную передачу данных, комиссия явно выходит за
рамки сферы судебной власти в традиционной доктрине “разделения
властей”. Четыре главные функции Комиссии:
Функция административного суда: чтобы проводить слушания исков,
связанных с нарушением прав частного лица неким органом публичной
власти.
Следственная функция: чтобы проводить расследования действий по
обработке данных в публичном секторе.
Функция “прозрачности” (transparency) и информации: чтобы публиковать
отчет для правительства, составляемый раз в 2 года Комиссией на
основании ее расследований.
Надзор над частным сектором, включающий в себя: выдачу лицензий (или
наоборот, отказ в их предоставлении) на международную передачу данных,
рассмотрение заявлений на регистрацию деятельности по обработке данных,
выступление в определенных гражданских тяжбах в качестве экспертов или
(по просьбе субъекта данных, либо в случаях, определенных законом)
участие в процессуальных действиях.
Совет по защите данных состоит из 15 членов и призван играть роль своего
рода политического наблюдателя. В Совет входят представители от
австрийских политических партий, от федерального и земельных
правительств, от муниципалитетов, от организаций работодателей и наемных
работников. Главной его функцией является подготовка проектов правовых
актов для законодательных организаций, чтобы вносить поправки в Закон о
защите данных или чтобы принимать меры, которые кажутся необходимыми для
защиты неприкосновенности частной жизни. В число обязанностей,
возложенных законом на этот Совет, входят следующие:
Затребование информации и отчетов по вопросам обработки данных от
компетентных организаций публичного сектора, имеющих отношение к
обработке данных.
Мониторинг (отслеживание) ущерба, который обработка данных наносит
интересам субъектов данных.
Подготовка предложений для федерального и земельных правительств по
улучшению этих законов. На случай нарушения законов в предложениях могут
предусматриваться гражданские и уголовные меры наказания.
62
Роль судов общего назначения в этой национальной системе состоит в том,
что они выполняют функцию принуждения к исполнению положений закона 1978
г. б защите данных. Существует определенная форма для исков, вносимых в
соответствии с указанным законом против контролеров файлов из частного
сектора, а также для уголовных преследований, возникающих на основании
двух уголовных положений этого закона. Субъекты данных могут подавать
иски о нарушениях их права доступа к своим персональным данным, их прав
на исправление или уничтожение этих данных или оспаривать незаконное
хранение или распространение персональных данных в суде первой
инстанции. Именно на этой стадии закон 1978 г. о защите данных может
защищать интересы субъектов данных. Возможна также защита интересов и в
уголовных судебных процессах. К Верховному Суду можно обращаться как к
конечному арбитру, чтобы решить вопрос о законности электронной
обработки данных в частном секторе.
63
HYPERLINK “” \l “61” 61 :: HYPERLINK “” \l “62” 62 ::
HYPERLINK “” \l “63” 63 :: HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “64” 64 :: HYPERLINK “B1735Content.html”
Содержание
Глава 7. Система защиты персональных данных
в Бельгии
§ 1. Предыстория принятия законодательного акта о защите
персональных данных
Хотя Бельгия подписала Конвенцию 108 Совета Европы еще 7 мая 1982 г.,
она не ратифицировала ее и не предпринимала никаких практических мер по
ее реализации в отечественном законодательстве до тех пор, пока в конце
1992 г. не приняла свой новый законодательный акт о защите, данных.
Более ранние попытки, разработать и принять некий “генеральный”
(всеобъемлющий) закон о защите данных затянулись на десять лет и создали
Бельгии репутацию страны, пренебрегающей защитой персональных данных.
Принятие вышеупомянутого законодательного акта 1992 г. о защите данных
стало результатом сильного международного давления, поскольку дальнейшее
неисполнение Бельгией своих международных обязательств в этом отношении
привело бы к изоляции Бельгии от ее главных политических и экономических
партнеров, чье законодательство запрещало им передачу данных к любую
страну, которая не обеспечивает должной защиты персональных данных.
64
HYPERLINK “” \l “64” 64 :: HYPERLINK “B1735Content.html”
Содержание
***********************************
HYPERLINK “” \l “64” 64 :: HYPERLINK “” \l “65” 65 ::
HYPERLINK “B1735Content.html” Содержание
§ 2. Акт 1992 г. о защите данных как основной
национальный закон
Базовым законом о защите данных является законодательный акт 1992 г. о
защите данных, который изначально разрабатывался в соответствии с
принципами защиты данных, предусмотренными в Конвенции 108 Совета
Европы. Этот закон указывает только основные принципы защиты данных; все
детали и подробности правового регулирования обработки и использования
персональных данных предполагается устанавливать специальными
королевскими указами. Часть таких указов уже издана:
– Королевские Указы № 1, 2 и 6 устанавливают льготный период для
приведения существующего положения дел в соответствие с положениями
законодательного акта 1992 г. о защите данных и детализируют
соответствующие процедуры и критерии;
64
– Королевские Указы № 3. 4 и 5 детализируют процедуры осуществления
права субъекта данных на доступ к собственным персональным данным и их
исправление;
– Королевские Указы № 7 и 8 определяют цели, критерии и условия
обработки чувствительных, криминальных и судебных данных;
– Королевский Указ № 9 устанавливает процедуру коллективной нотификации
для определенных типов данных и оговаривает изъятия из-под требования
обязательной нотификации;
– Королевский Указ № 12 определяет размеры платежей за регистрацию
файлов данных Комиссией по защите прав граждан на неприкосновенность
частной жизни.
Законодательный акт 1992 г. о защите данных регламентирует обработку
персональных данных, относящихся к физическим лицам как в ручных, так и
в автоматизированных (электронных) файлах.
Кроме того, к правонарушениям, за которые применяются взыскания в виде
денежного штрафа до 100 000 бельгийских франков (в настоящее время сумма
штрафа умножается на коэффициент 200). законодательный акт 1992 г. о
защите данных устанавливает дополнительные санкции, которые, возможно,
смогут уменьшить количество правонарушителей. В число этих санкций
входят:
– публикация судебного решения в одной или нескольких газетах (ст. 40);
– конфискация файлов данных, магнитных дисков или магнитных лент;
– стирание файлов (ст. 41, § 1);
– запрет на хранение файлов данных в течение максимального периода до
двух лет (ст. 41. § 2).
Нарушение такого запрета может иметь своим результатом тюремное
заключение от 3 месяцев до 2 лет (ст. 41, § 3).
65
HYPERLINK “” \l “64” 64 :: HYPERLINK “” \l “65” 65 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “65” 65 :: HYPERLINK “” \l “66” 66 ::
HYPERLINK “B1735Content.html” Содержание
§ 3. Отраслевые нормативно-правовые акты
Королевский Указ № 141 от 30 декаб.ря 1982 г., учреждающий и
регламентирующий функционирование базы данных, содержащей определенные
данные о служащих публичного сектора.
65
Закон 1983 г. о национальном регистре частных лиц. учреждающий и
регламентирующий функционирование национального идентификационного
регистра граждан Бельгии и иностранных резидентов.
Закон от 15 января 1990 г., учреждающий так называемый “Банк
пересекающихся данных” для целей социального обеспечения -сетевую
систему обмена электронными данными между различными частными и
публичными организациями социального обеспечения.
Бельгийский закон 1991 г. о потребительском кредите и два Указа 1992
г., конкретизирующих его применение, содержат определенные
законоположения о защите данных в рамках этой специализированной сферы
деятельности.
66
HYPERLINK “” \l “65” 65 :: HYPERLINK “” \l “66” 66 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “66” 66 :: HYPERLINK “” \l “67” 67 ::
HYPERLINK “” \l “68” 68 :: HYPERLINK “B1735Content.html” Содержание
§ 4. Комиссия по защите неприкосновенности частной жизни
Законодательный акт 1992 г. о защите данных учреждает специальный
независимый орган власти – Комиссию по защите неприкосновенности частной
жизни при Министерстве юстиции. -ответственный за обеспечение
“добросовестной практики в отношении файлов данных” HYPERLINK “” \l
“B1735Part30p66s1” 1 .
Комиссия по защите неприкосновенности частной жизни состоит из членов
“по должности” из существующих комиссий надзора за защитой данных и
восьми действительных членов, избираемых через шестилетний период
обновления состава, попеременно Палатой представителей и Сенатом,
включая и Председателя комиссии, который должен быть судьей (ст. 24).
Чтобы обеспечить традиционный бельгийский баланс между языковыми
общинами. Комиссия должна состоять из равного числа фламандцев и
франкоговорящих членов (ст. 24, § 2). Чтобы представлять различные
социально-экономические классы общества, состав членов Комиссии должен
включать (помимо Председателя), по крайней мере, одного юриста,
специалиста по компьютерным и информационным услугам, члена Комиссии с
профессиональным опытом в области менеджмента
66
файлов данных частного сектора и одного члена Комиссии с аналогичным
опытом в отношении файлов данных публичного сектора (ст. 25 (3),
последний абзац).
Комиссия по защите неприкосновенности частной жизни предназначена для
двоякой роли: у нее есть контрольная и надзорная задачи в отношении всех
существующих случаев обработки данных и всех существующих файлов данных,
и в то же время она играет важную консультативную роль перед
национальным и региональными правительствами. Что касается общей
надзорной роли Комиссии, то в нее входят следующие задачи:
– учреждение регистра файлов данных, который позволил бы субъектам
данных осуществлять права, предоставляемые им Актом 1992 г. о защите
данных (ст. 18);
– управление регистрацией обработки данных по сведениям, получаемым от
контролеров файлов (ст. 18):
– выступление в качестве представителей субъектов данных при
осуществлении последними их прав на доступ или исправление данных,
хранимых определенными государственными организациями во исполнение ими
обязанностей административной или судебной полиции, или директоратами
безопасности, разведки министерств юстиции и обороны (ст. 13):
– обработка жалоб и исковых заявлений, получаемых от субъектов данных
(ст. 13. § 1). и доклад о нарушениях закона в ведомство общественного
обвинителя (государственного прокурора, ст. 32. § 2).
Роль Комиссии, в первую очередь, состоит в том, чтобы выступать
посредником в случаях, связанных с жалобами и исками, помогая сгоронам
достичь мирового соглашения. Если достичь мирового соглашения не
удается, то Комиссия должна принять решение относительно юридической
силы поданного иска и может сформулировать рекомендации для держателя
данных. Комиссия должна информировать истца о юридической силе его
искового заявления в течение 2 месяцев с даты получения искового
заявления (ст. 31. § 3).
При исполнении роли советника Комиссия может обмениваться консультациями
с национальными и региональными законодательными органами,
правительствами и министрами. Она может по собственной инициативе давать
советы, связанные с защитой данных, вышеназванными органами власти и.
если потребуется, давать свои
67
рекомендации до проектам всех указов, конкретизирующих и уточняющих
применение акта 1992 г. о защите данных. В тех случаях, когда любой
орган государственной власти затребует у Комиссии некий совет, этот
совет публикуется в официальном бельгийском законодательном вестнике
“Moniteur beige” (ст. 29 (5). последний абзац). От Комиссии также
требуется ежег.ное представление Парламенту отчета о своих действиях
(ст. 32. § 2).
Роль судов в этой системе. Несмотря на создание нового специального
органа власти с задачей надзора за соблюдением исполнения
законодательного акта 1992 г. о защите данных, в компетенции судов
остается принятие и разрешение в порядке обычного судопроизводства
исков, связанных с применением законодательного акта 1992 г. о защите
данных. Этот акт устанавливает особое право председателя суда первой
инстанции заслушивать все иски, связанные с правами субъекта данных на
информирование, доступ и исправление данных (ст. 14).
68
HYPERLINK “” \l “B1735Part30p66s1cr” 1 Цит. по: Charles E.H.
Franclin (ed.), “Business guide to Privasy and Data Protection
Legislation”, Kluwer Law International and International Chamber of
Commerce – Hague – London – Boston. – 1996 (2d edition).
HYPERLINK “” \l “66” 66 :: HYPERLINK “” \l “67” 67 ::
HYPERLINK “” \l “68” 68 :: HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “69” 69 :: HYPERLINK “” \l “70” 70 ::
HYPERLINK “B1735Content.html” Содержание
Глава 8. Институциональные формы защиты
персональных данных в Великобритании
§ 1. Законодательный акт 1984 г. о защите персональных
данных
В основе законодательного акта 1984 г. о защите данных лежат
декларируемые 8 принципов защиты данных. Принятый довольно поздно по
сравнению с аналогичными законами других стран (из-за 15 лет
парламентских дебатов), он относится к так называемым “законам второго
поколения”. Регулирует автоматизированную обработку персональных данных
как в публичном, так и в частном секторах. Ручные данные не охватывает.
Основной упор в правовом регулировании делает на тщательно проработанную
процедуру регистрации обработки персональных данных, на надзор и
административные предписания Национального регистратора по защите
данных. Квалифицирует в качестве правонарушений:
– хранение персональных данных без регистрации или без подачи заявления
на регистрацию (правонарушение, влекущее за собой весьма суровую
ответственность);
– преднамеренное или неосторожное хранение, использование, раскрытие или
передача персональных данных, иных, чем описано в регистрационной
записи;
– неисполнение предписаний регистратора по защите данных (к ним
относятся предупреждение о принятии принудительных мер и уведомление о
наложении запрета на передачу данных).
По решению Магистратского суда правонарушитель может быть приговорен к
штрафу, не превышающему 5000 фунтов стерлингов. По решению Коронного
суда (для более серьезных правонарушений) правонарушитель может быть
приговорен к неограниченному штрафу. Любой из этих судов может
предписать, чтобы любые данные, явно связанные с конкретным
правонарушением, были конфискованы или уничтожены. Если директор,
менеджер или иное должностное лицо некой компании совершает уголовное
правонарушение на основании положений законодательного акта 1984 г, о
защите данных, то оно признается персонально виновным в уголовном
преступлении, если разрешило или потворствовало данному правонарушению
или если
69
это правонарушение может быть квалифицировано как преступная халатность
этого должностного лица.
Ст. 161 законодательного акта 1994 г. об уголовном правосудии и
общественном порядке внесла поправки в акт 1984 г. о защите данных и
создала две новых категории правонарушений:
– преднамеренный сбор или приобретение персональных данных в нарушение
регистрационной записи в регистре защиты данных:
– продажа таких персональных данных, которые были или будут незаконно
собраны или приобретены.
70
HYPERLINK “” \l “69” 69 :: HYPERLINK “” \l “70” 70 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “70” 70 :: HYPERLINK “” \l “71” 71 ::
HYPERLINK “” \l “72” 72 :: HYPERLINK “” \l “73” 73 :: HYPERLINK
“” \l “74” 74 :: HYPERLINK “B1735Content.html” Содержание
§ 2. Национальный регистратор и Национальный суд по защите данных
Британская система органов по государственно-правовому регулированию
автоматической обработки и использования персональных данных включает в
себя следующие инстанции общенационального уровня:
– независимого Национального регистратора по защите данных (в качестве
основного национального органа по защите данных и защите права
индивидуума на невмешательство в его частную жизнь в связи с
автоматизированной обработкой персональных данных);
– общенациональный суд (трибунал) по защите данных (в качестве
специальной судебной инстанции, рассматривающей апелляции пользователей
данных и компьютерных бюро на решения Регистратора по защите данных).
Кроме того, в систему правового регулирования автоматизированной
обработки персональных данных входят высшие судебные инстанции
исторически сложившихся королевств и территорий, входящих в состав
Соединенного Королевства Великобритании и Северной Ирландии, куда могут
обращаться с апелляцией любые стороны, несогласные с решением
специализированного Суда по защите данных. Административные или судебные
органы по защите данных территориального и низового уровня законом не
предусмотрены.
Сфера полномочий Британского регистратора по защите данных
распространяется по всей территорию Соединенного Королевства на любых
физических или юридических лиц (любую форму
70
собственности и ведомственную подчиненность), занятых сбором, хранением,
обработкой и/или использованием персональных данных, подпадающих под
требование обязательной регистрации, предусмотренное законодательным
актом 1984 г. о защите данных.
Для исполнения своих функций регистратор наделен:
– административно-властными полномочиями (разрешительный характер
проводимой им регистрации лиц, занятых сбором. обработкой и/или
использованием персональных данных; полномочия на направление указанным
лицам административных предписаний, обязательных для исполнения);
– следственными полномочиями (включая полномочия на доступ в помещение
для инспекции информационных систем и на конфискацию имущества или
документов, служащих доказательством нарушения законодательства о защите
данных); HYPERLINK “” \l “B1735Part32p71s1” 1
– полномочиями на возбуждение уголовного преследования нарушителей
законодательства о защите данных (через Главного государственного
обвинителя или по согласованию с ним).
Сфера полномочий суда (трибунала) по защите данных ограничивается
рассмотрением апелляций на решения, принятые регистратором по защите
данных. Суд по защите данных не является конечной судебной инстанцией,
поскольку и регистратор, и другие стороны, в случае несогласия с
решением этого суда, наделены правом апеллировать к высшим судебным
инстанциям исторически сложившихся королевств, княжеств и территорий,
входящих в состав Великобритании:
“Ст. 14(5). Каждая сторона по апелляции, рассматриваемой судом, может
ссылаться на решение суда, опираясь на право соответствующих судов; и
такими судами будут:
(a) Высокий суд юстиции Англии, когда адрес апеллянта в суде находится в
Англии или Уэльсе;
(b) Сессионный суд, если адрес апеллянта находится в Шотландии.
Следственные функции регистратора предусмотрены для случаев:
– проведения проверки сведений, поданных для регистрации пользователем
данных или компьютерным бюро, если эти сведения вызывают сомнение;
71
(с) Высокий суд юстиции Северной Ирландии, если адрес апеллянта
находится в Северной Ирландии”. HYPERLINK “” \l “B1735Part32p72s1” 1
– проведения расследования по поводу жалобы или иного сигнала о
нарушении (неким пользователем или компьютерным бюро) принципов защиты
данных или иных положений законодательного акта 1984 г. о защите данных.
Административно-властные функции регистратора заключаются в том, что по
результатам исполнения своих контрольно-надзорных и следственных функций
он может, в качестве мер административного воздействия, направлять
нарушителям принципов защиты данных и иных положений акта 1984 г. о
защите данных следующие свои предписания, обязательные для исполнения:
– предупреждение о принятии принудительных мер;
– извещение об аннулировании регистрации:
– уведомление о наложении запрета на передачу данных.
Злостное неисполнение требований регистратора, изложенных в
предписаниях, может привести к уголовному судебному преследованию.
Регистрационные функции регистратора определяются ст. 4(1):
“…Регистратор обязан вести учет пользователей данных и компьютерных
бюро, владеющих данными и оказывающих услуги в сфере сбора и обработки
персональных данных, и делать соответствующие записи в регистре о
выданных им разрешениях на осуществление такой деятельности…”
HYPERLINK “” \l “B1735Part32p72s2” 2
Помимо вышеизложенных функций, регистратор выполняет то, что может быть
названо информационно-консультативными функциями:
“Ст. 36(3). Регистратор должен подготавливать для распространения
информацию в той форме и тем способом, которые он посчитает
целесообразными для общества в соответствии с настоящим актом, и мерами,
принимаемыми им для реализации оного акта в рамках
72
отведенных ему полномочий, и может давать советы любому лицу по существу
вопросов, регулируемых актом”. HYPERLINK “” \l “B1735Part32p73s1” 1
Регистратор по защите данных является независимым должностным лицом. Он
независим в исполнении своих обязанностей, но административно подчинен
одному из министров. Ведомственная принадлежность этого министра законом
не устанавливается, но в литературе чаще всего упоминаются либо, министр
иностранных дел (государственный секретарь), либо министр внутренних
дел.
С другой стороны, Регистратор в совокупности со своим персоналом
составляет независимый орган власти по защите данных. При этом носителем
полномочий, предоставленных законом, является сам Регистратор. Часть
полномочий он может делегировать своему персоналу в той мере, в какой он
находит это нужным.
Чтобы примирить эту двойственность статуса Регистратора, ст. 1 (1) в
прил. 2 гласит: “Регистратор – это единоличная корпорация под названием
“Регистратор по защите данных”. HYPERLINK “” \l “B1735Part32p73s2” 2
Независимость Регистратора в исполнении своих функций обеспечивается:
a) назначением на должность от имени Королевы:
“Ст. 3 (2): “Регистратор назначается Ее Величеством при помощи
письменного патента”. HYPERLINK “” \l “B1735Part32p73s3” 3
(По британской традиции, держатель королевского патента в течение срока
действия патента считается владельцем данной должности.);
b) распределением административной подчиненности (государственному
министру) и подотчетности (Парламенту);
c) процедурой отрешения от должности до истечения срока его полномочий:
“Прил. 2. ст. 2 (3). Регистратор может быть освобожден от занимаемой
должности Ее Величеством в ответ на обращение к ней обеих палат
Парламента”. HYPERLINK “” \l “B1735Part32p73s4” 4
73
В ст. 3(1)(а) устанавливается, что должностное лицо, известное как
регистратор по защите данных (именуемый далее в этом акте как
“регистратор”) наделяется статусом государственного служащего (а также
его сотрудники и члены суда по защите данных) только в тех случаях,
когда такой статус необходим для предоставления регистратору доступа к
файлам данных, содержащим государственные тайны. HYPERLINK “” \l
“B1735Part32p74s1” 1
Во всех остальных случаях регистратор, а также его сотрудники и члены
суда по защите данных не должны считаться государственными служащими.
“Ст. 17 (2):
В соответствии со ст. 2 законодательного акта 1981 г. об официальных
секретах в случае неправомерного сообщения информации:
(a) Регистратор, его должностные лица и сотрудники;
(b) члены суда по защите данных;
(c) должностные лица или сотрудники суда, не находящиеся на службе
Короны, должны рассматриваться как находящиеся на службе Ее Величества”.
HYPERLINK “” \l “B1735Part32p74s2” 2
“Прил. 2, ч. 1, ст. 1(2):
за исключением положений ст. 17(2) настоящего акта, регистратор, его
должностные лица и служащие не должны рассматриваться в качестве
служащих или агентов Короны”. HYPERLINK “” \l “B1735Part32p74s3” 3
74
HYPERLINK “” \l “B1735Part32p71s1cr” 1 Это полномочия непрямого
действия и в каждом конкретном случае должны быть подтверждены ордером
суда.
HYPERLINK “” \l “B1735Part32p72s1cr” 1 Цит. по: Charles E.H.
Franclin (ed). “Business guide to Privacy and Data Protection
Legislation”, Kluwer Law International and International Chamber of
Commerce – Hague – London – Boston – 1996 (2d edition). – P. 447.
HYPERLINK “” \l “B1735Part32p72s2cr” 2 Op. cit, p. 439.
HYPERLINK “” \l “B1735Part32p73s1cr” 1 Цит. по: Charles E.H.
Franclin (ed). “Business guide to Privacy and Data Protection
Legislation”, Kluwer Law International and International Chamber of
Commerce – Hague – London – Boston – 1996 (2d edition). – P. 460.
HYPERLINK “” \l “B1735Part32p73s2cr” 2 Op. cit, p. 466.
HYPERLINK “” \l “B1735Part32p73s3cr” 3 Op. cit., p. 439.
HYPERLINK “” \l “B1735Part32p73s4cr” 4 Op. cit, p. 466.
HYPERLINK “” \l “B1735Part32p74s1cr” 1 Цит. по: Charles E.H.
Franclin (ed). “Business guide to Privacy and Data Protection
Legislation”, Kluwer Law International and International Chamber of
Commerce – Hague – London – Boston – 1996 (2d edition). – P. 439.
HYPERLINK “” \l “B1735Part32p74s2cr” 2 Op. cit., p. 448.
HYPERLINK “” \l “B1735Part32p74s3cr” 3 Op. cit., p. 466.
HYPERLINK “” \l “70” 70 :: HYPERLINK “” \l “71” 71 ::
HYPERLINK “” \l “72” 72 :: HYPERLINK “” \l “73” 73 :: HYPERLINK
“” \l “74” 74 :: HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “74” 74 :: HYPERLINK “” \l “75” 75 ::
HYPERLINK “B1735Content.html” Содержание
§ 3. Кодекс практики
Ст. 36 (4) возлагает на Британского национального регистратора по защите
данных обязанность:
“…в тех случаях, когда он сочтет целесообразным делать это. поощрять
торговые и профессиональные ассоциации или другие органы, представляющие
пользователей данных, разрабатывать и
74
распространять среди своих членов Кодексы практики для направления их
деятельности в русло соблюдения принципов защиты данных”. HYPERLINK “”
\l “B1735Part33p75s1” 1
Кодексы разрабатывают, следуя детальным инструкциям Регистратора, однако
разработчики при этом пользуются достаточной свободой (например, Кодекс
рекламной ассоциации, регламентирующий использование персональных данных
для целей рекламы и прямого маркетинга).
Институт кадрового менеджмента и Национальный вычислительный центр в
сотрудничестве с Конфедерацией британской промышленности и
индустриальным обществом подготовили специальный Кодекс практики для
тех, кто работает с персональными данными наемных служащих (этот кодекс
детально дает рекомендации о том, каким образом должны храниться
персональные данные о наемных служащих и запрещает использование этих
данных для целей маркетинга и торговли без уведомления и согласия
субъектов данных).
Существуют также Кодексы практики для фармацевтов (и коммунальных и
больничных), для менеджеров по недвижимости, для сотрудников
администрации по работе с потребителями и поставщиками и многие другие.
75
HYPERLINK “” \l “B1735Part33p75s1cr” 1 Цит. по: Charles E.H.
Franclin (ed). “Business guide to Privacy and Data Protection
Legislation”, Kluwer Law International and International Chamber of
Commerce – Hague – London – Boston – 1996 (2d edition). – P. 4, p. 460.
HYPERLINK “” \l “74” 74 :: HYPERLINK “” \l “75” 75 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “76” 76 :: HYPERLINK “” \l “77” 77 ::
HYPERLINK “” \l “78” 78 :: HYPERLINK “” \l “79” 79 :: HYPERLINK
“B1735Content.html” Содержание
Глава 9. Правовая защита персональных данных
в Германии
§ 1. Проблемы принятия законодательного акта о защите данных
Германский федеральный парламент впервые обратился к идее принятия
федерального закона о защите данных в 1969 г., однако до 1975 г.
включительно Федеральное правительство под различными предлогами
отказывалось от разработки соответствующего законопроекта. Изучение этой
проблемы было инициировано на следующий год федеральным министром
внутренних дел. После расширенного рассмотрения предложенной
законодательной инициативы парламентскими группами, министрами и
Кабинетом, с привлечением представителей частного сектора, первый
Федеральный закон о защите данных был принят 21 января 1977 г.
Хотя проблема защиты данных тесно связана с электронной обработкой
информации, весьма малая часть германской критики избрала своей мишенью
компьютеры как таковые. Ранние дискуссии по этому вопросу в
парламентских рабочих группах всех партий и на Конференции германских
юристов были сфокусированы на вопросах общей неприкосновенности частной
жизни, правах человека, информационного баланса в обществе и на
теоретических концепциях правовой информатики. Исследования,
проводившиеся по поручению министра внутренних дел, были связаны с
фундаментальными проблемами защиты данных, такими, как поиск рабочего
определения “сферы частной жизни индивидуума” при обработке информации.
Главной причиной столь интенсивного интереса федерального министра
внутренних дел к разработке закона о защите данных был тот факт, что
федеральное правительство намеревалось внести в этот закон существенную
поправку, согласно которой резиденты Германии должны были
регистрироваться в местной администрации и информировать о любом
изменении адреса. Основной план состоял в том. чтобы увеличить
количество информации, предоставляемой частным лицом в административные
банки персональных данных и ввести в стране персональный идентификатор,
чтобы полностью использовать все преимущества электронной обработки
данных. Рациональная идея
76
состояла в том, что внесение законопроекта о защите: данных было самым
удобным и политически “гладким” моментом для одновременного
“проталкивания” такого чрезмерного для общества закона о регистрации
германских и иностранных резидентов. По иронии судьбы, однако,
законопроект о реформе персональной регистрации и введении личного
идентификатора был отвергнут Комитетом парламента по законодательным
делам как неконституционный, и парламент принял только закон о защите
данных.
Новый Федеральный закон 1990 г. о защите данных был введен в действие 1
июня 1991 г. взамен старого закона 1978 г., который являлся одним из
первых в мире законов о защите данных. Новый закон учитывает
практический опыт, полученный от применения на практике своего
предшественника, более свежие технические достижения в области обработки
и защиты данных и, что самое главное, судебные решения, принятые
Федеральным Конституционным судом по вопросам защиты данных.
Именно эти судебные решения и инициировали движение за пересмотр
Федерального закона 1978 г. о защите данных. “Последней каплей”,
оказались судебные решения фундаментальной важности по вопросу защиты
данных в связи с переписью населения 1983 г. Согласно этим решениям
Конституционного суда, необходимость защиты данных вытекает из
фундаментального права индивидуума на свободное развитие своей личности,
установленного в параграфе 1 ст. 2 Конституции Германии. Суд
интерпретировал это фундаментальное право как наделяющее любого
индивидуума так называемым “informationelles Selbstimmungsrecht”, т.е.
базовым правом принимать решения относительно сообщения, передачи и
использования своих персональных данных. Конституционный суд, однако,
признал, что это право самоопределения должно иметь определенные
пределы. Преобладающие интересы общества в целом должны иметь
возможность допускать ограничения этой персональной свободы. Такие
изъятия, однако, должны содержаться в законе, удовлетворяющем
конституционным требованиям (принципам ясности и обоснованности). Кроме
того, суд решил, что законодательные органы должны внести в закон
административные и процедурные, положения, гарантирующие, что защита
данных будет функционировать на практике.
77
Объединение бывших ГДР и ФРГ в единую федерацию, произошедшее 3 октября
1990 г., создало специфические проблемы для защиты данных. В
соответствии с духом и буквой Договора об объединении, законы о защите
данных бывшей ФРГ должны быть распространены на пять новых Земель,
которые были созданы на территории бывшей ГДР. С 3 октября 1990 г.
Федеральный закон 1990 г. о защите данных применим к новым Землям в
специальных переходных Положениях. На Федерального уполномоченного по
защите данных возложены обязанности по внесению предложений об изменении
законодательства этих Земель о защите данных На всех уровнях до тех пор,
пока не будут назначены Земельные уполномоченные. Одна из новых Земель –
Тюрингия – в октябре 1991 г. приняла свое собственное законодательство о
защите данных, в основном повторяющее положения федерального закона.
Все данные, которые больше не требуются или которые не разрешено хранить
по закону ФРГ, должны быть уничтожены, если только такие действия не
нарушают права субъектов данных. Широко распространенное использование
персональных идентификационных номеров в старой системе ГДР привело к
необходимости как можно быстрее уничтожить эти номера и
переконфигурировать информацию таким образом, чтобы эти номера не были
более необходимы.
И, наконец, в 1991 г. германский Бундестаг принял закон, устанавливающий
специальные организационные меры для обращения с поистине взрывоопасной
персональной информацией, содержащейся в машинных данных и
документальных архивах службы госбезопасности бывшей ГДР (так называемой
“Штази”). Основные положения этого необычного (для сферы защиты данных)
закона таковы:
– граждане имеют право на информацию, если документальные записи и
данные Штази содержат любые сведения, относящиеся к ним:
– субъекты данных, т.е. жертвы Штази. наделяются неограниченным правом
на информацию и консультации относительно файлов данных, относящихся к
ним. В качестве незыблемого принципа законом установлено, что эти файлы
данных не могут быть использованы во вред субъектам данных;
– штатные сотрудники службы госбезопасности должны наделяться только
ограниченным правом доступа к этим файлам;
78
– публичным и иным организациям предоставляется доступ к этим файлам
только для целей, специально определенных законом с запретом
использовать эту информацию для каких-либо иных целей;
– на все учреждения, так же как и на всех частных лиц, законом
возлагается обязанность сообщать специальному Федеральному
уполномоченному по файлам данных и архивам Штази о любых данных и
документальных записях Штази, хранимых ими;
– средствам массовой информации дается санкция на публикацию
содержащейся в файлах и архивах Штази информации о тех лицах:
– кто дал свое согласие:
– кто был политическим функционером или должностным лицом, из числа ныне
живущих современников, за исключением тех случаев, которые относятся к
жертвам Штази;
– которые являются бывшими штатными сотрудниками Штази, за исключением
тех, кто был моложе 18 лет, когда работал на Штази;
– кто пользовался покровительством Штази (например, экономическими
выгодами или освобождением от преследования и наказания за уголовные
преступления).
Во всех этих случаях права личности на защиту персональной информации
могут быть преодолены правом на публикацию.
79
HYPERLINK “” \l “76” 76 :: HYPERLINK “” \l “77” 77 ::
HYPERLINK “” \l “78” 78 :: HYPERLINK “” \l “79” 79 :: HYPERLINK
“B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “79” 79 :: HYPERLINK “” \l “80” 80 ::
HYPERLINK “B1735Content.html” Содержание
§ 2. Федеральный закон 1990 г. о защите данных
Федеральный уровень. Федеральный закон 1990 г. о защите данных
регулирует вопросы сбора, обработки и использования персональной
информации:
1) органами власти федерального правительства;
2) органами власти правительств земель, исполняющими Федеральный закон
или действующими в качестве органов правосудия;
3) негосударственными структурами (физическими и юридическими лицами),
занимающимися обработкой или использованием данных, полученных из
коммерческих баз данных, в профессиональных или коммерческих целях.
Региональный уровень. Земельные законы о защите данных (в основном
аналогичные федеральному) регулируют те же действия, совершаемые:
1) земельными органами власти;
79
2) местными органами власти;
3) землячествами;
4) другими легальными общественными организациями под наблюдением
правительств земель и их подразделений.
80
HYPERLINK “” \l “79” 79 :: HYPERLINK “” \l “80” 80 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “80” 80 :: HYPERLINK “” \l “81” 81 ::
HYPERLINK “” \l “82” 82 :: HYPERLINK “” \l “83” 83 :: HYPERLINK
“B1735Content.html” Содержание
§ 3. Национальная система органов по защите персональных данных
Федеральный уровень. Федеральный уполномоченный по защите данных
организует контроль за деятельностью всех федеральных органов управления
и подчиненных им структур, занятых сбором и обработкой персональных
данных, за соблюдением ими требований Федерального закона 1990 г. о
защите данных.
Существуют некоторые изъятия. Так, например, федеральные суды подлежат
контролю Федерального уполномоченного только в той мере, в какой они
занимаются административными делами (ст. 24 (3)).
Федеральный уполномоченный по защите данных осуществляет следующие
функции:
1) контрольно-надзорные;
2) регистрационные;
3) экспертно-консультационные. Властными функциями не наделен.
Федеральный уполномоченный по защите данных является независимым
административным должностным лицом федерального уровня “, в совокупности
со своим персоналом, составляет независимый орган федеральной власти.
При этом, носителем полномочий, предоставленных законом, является сам
Федеральный уполномоченный. Часть полномочий он может делегировать
своему персоналу в той степени, в которой он находит это нужным.
Федеральный уполномоченный независим в рамках исполнения своих
должностных обязанностей. Эта независимость обеспечивается:
a) прямым указанием закона (ст. 22 (4));
b) процедурой совместного назначения Бундестагом, правительством и
федеральным президентом;
c) распределением административной подчиненности (федеральному министру
внутренних дел) и подотчетности (Бундестагу):
80
г) приданием статуса “привилегированной” той информации, которую
Федеральный уполномоченный получает при исполнении своих должностных
обязанностей.
“Ст. 23(4). Федеральный уполномоченный по защите данных вправе
отказаться давать свидетельские показания о лицах, которые ему. в
качестве Федерального уполномоченного, доверили какие-либо факты, а
также о самих этих фактах. Это же действительно в отношении сотрудников
Федерального уполномоченного по защите данных в той мере, в какой
Федеральный уполномоченный определяет границы этого права. Насколько
распространяется право Федерального уполномоченного по защите данных на
отказ о даче показаний, настолько нельзя от него требовать предъявления
или выдачи документов или других официальных бумаг”. HYPERLINK “” \l
“B1735Part36p81s1” 1
Региональный уровень. Правительства земель (субъектов федерации в ФРГ)
назначают Земельных уполномоченных по защите данных для контроля за
соблюдением всеми земельными органами управления и подчиненными им
структурами, занятыми сбором и обработкой персональных данных,
требований земельного закона о защите персональных данных.
“Лишь в девяти из шестнадцати субъектов Германской федерации:
Баден-Вюртемберге, Бранденбурге, Бремене, Мекленбурге-Верхней Померании,
Северном Рейн-Вестфалии. Рейнланд-Пфальце. Сааре, Саксонии-Ангальт и
Тюрингии – должностные лица носят официальное наименование
Уполномоченного по защите данных.
Статус остальных должностных лиц во многом определяется местными
особенностями и существующей в ФРГ практикой разделения компетенции
федерации и земель в ее составе”. HYPERLINK “” \l “B1735Part36p81s2” 2
Именно поэтому Федеральный закон 1990 г. о защите данных не
конкретизирует их наименование, объем полномочий и функций,
ограничиваясь общими положениями о деятельности земельных “органов
надзора” (Oberste Aufsiclitsbehorde).
81
Сфера полномочий Земельных уполномоченных по защите данных определяется
сферой правового регулирования соответствующих земельных законов о
защите данных. Земельные уполномоченные по защите данных осуществляют
следующие функции:
(1) контрольно-надзорные;
(2) регистрационные. Властными функциями не наделены.
Низовой уровень. Любое юридическое лицо, представляющее собой
негосударственное предприятие или организацию, которое:
– занято автоматизированной обработкой персональных данных и имеет не
менее 5 постоянных сотрудников;
– занято обработкой персональных данных другим способом и имеет не менее
20 постоянных сотрудников, назначает Уполномоченного по защите данных в
соответствии со ст. 36(1) Федерального закона 1990 г. о защите данных.
С целью обеспечения исполнения законодательства по защите данных Низовой
уполномоченный должен в рамках своего предприятия или организации
исполнять следующие функции: контрольно-надзорные и кадрово-надзорные.
Отраслевой уровень. Несколько особняком в этой системе контроля за
компьютерной обработкой персональных данных стоят Уполномоченные по
защите данных в учреждениях радиовещания федерального подчинения,
назначаемые в соответствии со ст. 42(1).
Появление в Федеральном законе 1990 г. о защите данных ст. 42. равно как
и ст. 41 “Обработка и использование данных о личности в средствах
массовой информации”, было вызвано двумя факторами:
– практически повсеместным переходом СМИ (как печатных, так и эфирных)
от картотечно-архивной системы накопления и хранения информации к
созданию и ведению собственных компьютерных банков данных, сопряженной с
компьютерными, издательскими или аудио-видео монтажными системами;
– тем фактом, что пресса (как печатная, так и эфирная) по-прежнему
остается основным источником таких правонарушений по отношению к
персональным данным, как “несанкционированное раскрытие фактов частной
жизни”, “диффамация” и пр.
Статус этих Уполномоченных по защите данных на радиовещании,
“действующих как лицо, замещающее Федерального уполномоченного
82
по защите данных…”, HYPERLINK “” \l “B1735Part36p83s1” 1 и их
обязанность направлять свои отчеты Федеральному уполномоченному являются
единственным свидетельством какой-либо вертикальной взаимосвязи между
Уполномоченными разных уровней. Уполномоченные разных уровней не
образуют из себя иерархическую систему с вертикальной подчиненностью, а
действуют независимо в рамках своей компетенции.
Сфера компетенций Уполномоченных по защите данных в учреждениях
радиовещания федерального подчинения достаточно очевидна из названия их
должности и определяется ст. 42 Федерального закона. Деятельность их
ограничена исключительно контрольно-надзорными функциями.
83
HYPERLINK “” \l “B1735Part36p81s1cr” 1 Gesetz zur Fortentwicklung
der Datenverarbeitung und des Datenschutzes // Bimdesgesetzblatt, 1990.
Teil IS. 2954.
HYPERLINK “” \l “B1735Part36p81s2cr” 2 Цит. по: Агапов А.Б. Основы
федерального информационного права России. – М., 1995. – С. 211.
HYPERLINK “” \l “B1735Part36p83s1cr” 1 Gesetz zur Fortentwickkmg der
Datenverarbeitung und des Datenschutzes // Bundesgesetzblatt, 1990. Teil
I. S. 2954.
HYPERLINK “” \l “80” 80 :: HYPERLINK “” \l “81” 81 ::
HYPERLINK “” \l “82” 82 :: HYPERLINK “” \l “83” 83 :: HYPERLINK
“B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “83” 83 :: HYPERLINK “” \l “84” 84 ::
HYPERLINK “B1735Content.html” Содержание
§ 4. Отраслевые нормативно-правовые акты
Защита права человека на невмешательство в частную жизнь отнесена в
Германии к области административного права. Нормы административного
права дополняются положениями уголовного законодательства,
предусматривающими уголрвное наказание за нарушение прав граждан на
тайну частной жизни.
К “отраслевым” нормам административного права отнесены:
– нормы, регулирующие защиту сферы частной жизни граждан от возможных
посягательств в области социального страхования (Закон о социальном
кодексе, ч. X);
– правовые положения о защите прав частной жизни в Федеральном законе о
регистрации (ст. 6);
– правовые положения о защите прав частной жизни в Федеральном законе об
удостоверениях личности (ст. 3);
– правовые положения, защищающие право на невмешательство в частную
жизнь в связи с разведывательной деятельностью государства (Закон о
сотрудничестве Федерального правительства с Земельными правительствами в
области разведывательной деятельности для защиты германской Конституции;
Федеральный закон о военной разведывательной службе; Закон о Федеральной
разведывательной службе);
83
– постановления германского Федерального министерства почт и
телекоммуникаций, регулирующие вопросы защиты тайны частной жизни в
связи с передачей информации, содержащей сведения частного характера
почтовыми, банковскими и телекоммуникационными службами;
– земельные законы, предусматривающие специальные меры защиты -прав
частной жизни, в том числе и от неправомерных действий органов
управления, а также о регулировании персональной информации, защищенной
профессиональными привилегиями (медицинской, юридической и пр.);
– постановления федерального и земельных правительств, изданных во
исполнение вышеперечисленных законов.
К “отраслевым” нормам уголовного права отнесены следующие:
Лицо, нарушившее тайну запечатанных почтовых отправлений. в
соответствии со ст. 202 УК наказывается денежным штрафом или лишением
свободы сроком до 1 года. То же деяние, совершенное служащим Германского
федерального почтового ведомства, наказывается (согласно ст. 203 УК)
крупным денежным штрафом и лишением свободы на срок до 5 лет.
Охрана конфиденциальных сведений, ставших известными в результате
профессиональной деятельности врачей, дантистов, фармацевтов, психологов
и психиатров, адвокатов, служащих органов патентной регистрации,
нотариусов, аудиторов, налоговых и иных консультантов, осуществляется
ст. 203 УК, согласно которой лицо, разгласившее сведения, доверенные ему
при осуществлении им профессиональной деятельности, наказывается штрафом
или лишением свободы на срок до 1 года.
Предприятия и организации, особенно частного сектора, всемерно
поощряются к саморегулированию в области защиты данных. Низовые
Уполномоченные по защите данных на предприятиях, по сути дела, тоже
являются инструментами саморегулирования.
84
HYPERLINK “” \l “83” 83 :: HYPERLINK “” \l “84” 84 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “85” 85 :: HYPERLINK “B1735Content.html”
Содержание
Глава 10. Законодательное регулирование
персональных данных в Дании
§ 1. Базовые законы о защите данных: акт 1979 г. о регистрах
публичных органов власти и акт 1979 г. о частных регистрах
В Дании два отдельных закона примерно одинаковой структуры
регламентируют обработку данных в общественном и в частном секторах:
законодательный акт 1979 г. о регистрах публичных органов власти и
законодательный акт 1979 г. о частных регистрах. Оба закона введены в
действие одновременно (1 января 1979 г.) и оба они применимы только к
регистрам (собраниям данных), содержащим персональные данные.
Законодательный акт о частных регистрах применим не только к регистрам,
основанным на электронной обработке данных, но и к любым формам
систематической регистрации данных о частных лицах, организациях или
деловых предприятиях частного или финансового характера. Законодательный
акт о регистрах публичных органов власти применим только к электронным
регистрам данных, хранимым для нужд государственной гражданской службы.
85
HYPERLINK “” \l “85” 85 :: HYPERLINK “B1735Content.html”
Содержание
***********************************
HYPERLINK “” \l “85” 85 :: HYPERLINK “” \l “86” 86 ::
HYPERLINK “B1735Content.html” Содержание
§ 2. Отраслевые нормативно-правовые акты
Законоположения уголовного права, запрещающие государственным служащим
передавать информацию о частных лицах. полученную в результате их
работы.
Законодательный акт о практике маркетинга, налагающий аналогичный
запрет на наемных служащих или лиц, находящихся в контрактных отношениях
с любой компанией.
Наличие только двух “отраслевых” законоположений определяется
особенностью датской системы правового регулирования обработки и
использования персональных данных, при которой в базовом законе о защите
данных (точнее, в двух взаимодополняющих актах 1979 г. о регистрах)
содержатся положения, определяющие статус и регламентирующие
деятельность тех “отраслей” (в их число попадают агентства по
расследованию, агентства почтовых адресов, любые действия по
85
автоматической записи и регистрации телефонных номеров, регистры
новостей для прессы, агентства по электронной обработке данных), которые
представляют собой источники потенциальных угроз для сферы частной
жизни.
86
HYPERLINK “” \l “85” 85 :: HYPERLINK “” \l “86” 86 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “86” 86 :: HYPERLINK “B1735Content.html”
Содержание
§ 3. Органы по надзору за данными: Совет и Секретариат
Учрежденный для защиты персональных данных, орган по надзору за данными
(DPА) состоит из Совета и Секретариата. Совет, осуществляющий надзор над
любыми регистрами (файлами или банками данных), к которым применимы
вышеупомянутые законодательные акты о регистрах, состоит из семи членов,
один из которых должен быть судьей. Члены Совета назначаются на срок в 4
года.
Законодательный акт о регистрах публичных органов власти оговаривает
следующее:
“Орган власти по надзору за данными (DPА) должен по своей собственной
инициативе или на основании жалобы, поданной некой стороной, данные о
которой содержатся в неком регистре, обеспечить, чтобы любой регистр,
подпадающий под юрисдикцию данного законодательного акта, был учрежден и
функционировал в соответствии с его положениями и с директивами, во
исполнение настоящего законодательного акта”.
Закон дает детальные директивы относительно тех данных, которые могут
быть затребованы DPА из индивидуальных регистров. DPA должен давать
Фолкетингу (датскому парламенту) ежегодный отчет о своих действиях. Этот
отчет должен затем публиковаться.
86
HYPERLINK “” \l “86” 86 :: HYPERLINK “B1735Content.html”
Содержание
***********************************
HYPERLINK “” \l “87” 87 :: HYPERLINK “” \l “88” 88 ::
HYPERLINK “B1735Content.html” Содержание
Глава 11. Основные направления защиты
персональных данных в Канаде
§ 1. Предпосылки появления законодательных актов о защите
персональных данных
Структура канадского законодательства о защите персональных данных носит
несколько парадоксальный характер: законодательство многих провинций
является гораздо более развитым, чем федеральное, которое сосредоточило
свое внимание почти исключительно на публичном секторе.
Причина тут в том, что по своему государственному устройству Канада
является федеративным государством с непростым распределением властных и
юридических полномочий. И федеральное правительство, и правительства
десяти провинций, из которых состоит Канада, распространяют свою
юрисдикцию на вопросы обработки/передачи персональных данных. Однако
федеральное правительство, помимо полного контроля над учреждениями и
ведомствами федеральной администрации, обладает конституционными
полномочиями по надзору за деятельностью кредитно-финансовых учреждений
и по всем вопросам, связанным с привлечением к уголовной
ответственности. Администрации провинций контролируют деятельность
торговли и промышленности, а также курируют деятельность, связанную с
правом собственности и осуществлением гражданских прав. Кроме того, в
Канаде действуют континентальное и общее право одновременно. Провинция
Квебек имеет свой собственный Гражданский Кодекс, в то время как
федеральное правительство и остальные провинции и территории страны
следуют модели общего права.
Наличие двух систем права – англо-саксонской и континентальной –
является основным фактором, препятствующим развитию единообразной и
всеобъемлющей национальной системы защиты данных в Канаде. Это привело к
тому, что ни одно из правительств не обладает полномочиями на
всеобъемлющую законодательную инициативу в области правовой защиты
персональных данных.
Из вышеизложенного становится достаточно очевидным:
– почему федеральное законодательство охватывает защиту персональных
данных только в публичном секторе;
87
– почему федеральное и провинциальные правительства “поделили” между
собой “отраслевые” законы о защите данных (федеральные “отраслевые”
законы регламентируют обработку персональных данных в
кредитно-финансовых сферах деятельности, а провинциальные – в торговых и
промышленных отраслях);
– почему в Канаде столь большой упор делается на нестатутные
(корпоративные) средства защиты (саморегулирование отраслевой
деятельности через Кодексы практики и отраслевые подзаконные акты).
88
HYPERLINK “” \l “87” 87 :: HYPERLINK “” \l “88” 88 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “88” 88 :: HYPERLINK “” \l “89” 89 ::
HYPERLINK “B1735Content.html” Содержание
§ 2. Вазовые законы о защите данных
Федеральный уровень. Отражая дуализм правового регулирования обработки и
использования персональных данных, законодательное ядро федеральной
канадской системы защиты данных состоит из двух взаимодополняющих
законов:
1) Федеральный законодательный акт 1983 г. о доступе к информации
гарантирует гражданам право доступа к данным, хранящимся в архивах
федеральных правительственных учреждений в соответствии со следующими
принципами:
– правительственные данные должны быть доступны обществу;
– число необходимых ограничений этого права доступа должно быть четко
определено,
– решения по раскрытию архивных материалов правительства должны
рассматриваться независимыми от правительства органами.
2) Вводящее в заблуждение название “Законодательный акт 1983 г. о
неприкосновенности частной жизни” (Privacy Act 1983) является всего лишь
узаконенным кратким названием федерального закона о защите данных,
полное название которого звучит так: “Законодательный акт, расширяющий
действующие законы Канады, которые защищают неприкосновенность частной
жизни индивидуумов и обеспечивают право частных лиц на доступ к
персональной информации о самих себе”. Этот закон устанавливает, в каких
случаях федеральные учреждения могут вести сбор персональных данных
граждан, предписывает режим контроля за их использованием,
перераспределением среди федеральных правительственных органов для
совместного использования и распространения.
88
Региональный уровень. Все провинции Канады, за исключением провинции
Остров Принца Эдуарда и провинции Альберта, приняли свое
законодательство о защите персональных данных. Как правило, такое
провинциальное законодательство представляет собой:
– либо близкий к оригиналу “слепок” с двух федеральных законов,
указанных выше (и состоит тогда из провинциального законодательного акта
о доступе к информации и провинциального законодательного акта о
неприкосновенности частной жизни);
– либо своеобразный “симбиоз” вышеуказанных законодательных актов (и
носит тогда название провинциального законодательного акта о свободе
информации и защите прав граждан на неприкосновенность частной жизни).
Правовое регулирование этих провинциальных законов распространяется на
учреждения провинциальных правительств (и иногда на муниципальные органы
и учреждения).
89
HYPERLINK “” \l “88” 88 :: HYPERLINK “” \l “89” 89 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “89” 89 :: HYPERLINK “” \l “90” 90 ::
HYPERLINK “B1735Content.html” Содержание
§ 3. Отраслевые нормативно-правовые акты.
Федеральный уровень.
Законодательный акт о деятельности банковских учреждений. Положения
этого акта регулируют на федеральном уровне защиту данных, хранящихся в
банковских учреждениях, и налагают ограничения на деятельность этих
финансовых институтов по передаче или обработке данных за пределами
национальной территории Канады.
Законодательный акт о статистике регулирует сбор, обработку, передачу и
использование персональных данных федеральными учреждениями (или иными
организациями, но в интересах федерального правительства), проводимые в
статистических целях.
Положения Уголовного кодекса, защищающие право на неприкосновенность
частной жизни и сохранность компьютерных информационных систем и баз
данных. Отдельные статьи УК квалифицируют перехват данных, передаваемых
по компьютерной сети, “взлом” последней, а также раскрытие перехваченных
персональных данных как уголовные правонарушения. Два важных положения
УК относит к таким уголовным преступлениям, как несанкционированное
изменение функций компьютерной системы и
изменение/повреждение данных (что покрывает целый спектр посягательств
на сферу частной жизни).
89
Региональный уровень. Практически во всех провинциях (кроме
Нью-Брунсвика и Альберты) имеются законы об “отчетах о потребительском
кредите”, регламентирующие деятельность физических и юридических лиц,
занимающихся сбором персональной кредитной информации, составлением и
продажей третьим лицам кредитных историй и кредитных отчетов.
Законодательный акт о частных детективах и частных службах безопасности
(провинция Онтарио) предписывает обязательное лицензирование этого вида
деятельности и запрещает раскрытие любой информации, собранной при ее
осуществлении, за исключением случаев, оговоренных законом.
В провинциях Онтарио, Новая Шотландия, Остров Принца Эдуарда и
Саскачеван действуют провинциальные законодательные акты об агентствах
по сбору информации о должниках.
90
HYPERLINK “” \l “89” 89 :: HYPERLINK “” \l “90” 90 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “90” 90 :: HYPERLINK “” \l “91” 91 ::
HYPERLINK “B1735Content.html” Содержание
§ 4. Орган (или система органов) по защите данных
Федеральный уровень. Отличительной особенностью канадской системы
является наличие своего рода “отраслевых” Федеральных уполномоченных по
защите данных:
1. Специальный Федеральный уполномоченный по защите прав граждан на
неприкосновенность частной жизни назначается для контроля за исполнением
положений Федерального законодательного акта 1983 г. о
неприкосновенности частной жизни (Privacy Act 1983).
Он наделяется полномочиями на рассмотрение жалоб граждан о том. что
собранные на них персональные данные хранятся или используются
ненадлежащим образом или что им было отказано в доступе к своим
персональным данным или в их праве на внесение исправлений в неточные
данные, и полномочиями на самостоятельные действия по контролю за
исполнением вышеуказанного закона. Таким образом, несмотря на название
должности (Privacy Commissioner), это должностное лицо исполняет функции
Уполномоченного по защите данных в своей “отрасли” (в федеральных
учреждениях и ведомствах).
2. Федеральный законодательный акт 1983 г. о доступе к информации
предусматривает назначение специального Федерального
90
уполномоченного по информации для контроля за исполнением своих решений.
Объем полномочий у него такой же, как у Федерального уполномоченного по
защите прав граждан на неприкосновенность частной жизни. Практически, на
должности Федерального уполномоченного по информации и Федерального
уполномоченного по защите прав граждан на неприкосновенность частной
жизни может быть назначено одно и то же лицо. В этом случае оно носит
титул Федерального уполномоченного по информации и защите прав граждан
на неприкосновенность частной жизни.
3. Защита персональных данных в банковско-кредитной сфере и контроль за
соблюдением положении Федерального законодательного акта о деятельности
банковских учреждений возлагается (помимо прочих функций) на
Федерального ревизора финансовых учреждений. Это должностное лицо
исполняет функции Уполномоченного по защите данных в своей “отрасли” (в
банковских и кредитно-финансовых организациях, включая трастовые и
страховые компании).
Региональный уровень. По аналогии, с федеральным уровнем, в большинстве
провинций имеются соответствующие должностные лица, носящие титул
Провинциального уполномоченного по защите прав граждан на
неприкосновенность частной жизни или Провинциального уполномоченного по
информации и защите прав граждан на неприкосновенность частной жизни. В
основном их функции сводятся к защите персональных данных и контролю за
соблюдением положений соответствующего Провинциального законодательного
акта о свободе информации и защите прав граждан на неприкосновенность
частной жизни, т. е. они сейчас являются, по сути дела. Провинциальными
уполномоченными по защите данных. Это происходит и на федеральном
уровне.
91
HYPERLINK “” \l “90” 90 :: HYPERLINK “” \l “91” 91 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “91” 91 :: HYPERLINK “” \l “92” 92 ::
HYPERLINK “B1735Content.html” Содержание
§ 5. Нестатутные (корпоративные) средства защиты
персональных данных
Являются отраслевые Кодексы практики, корпоративные Принципы поведения,
ведомственные подзаконные акты:
– Модель Кодекса о защите прав граждан на неприкосновенность частной
жизни Канадской ассоциации банкиров (построена на основе Руководящих
принципов ОЭСР);
91
– Кодекс деятельности служб потребительских дебетовых карточек (к маю
1992 г. действие этого кодекса распространили на свою практику следующие
организации: (1) Канадская ассоциация платежей; (2) Канадская ассоциация
банкиров; (3) Ассоциация трастовых компаний Канады; (4) Центральный союз
кредитных учреждений Канады; (5) Квебекская потребительская
экономическая конфедерация; (6) Совет розничных торговцев Канады; (7)
Канадская федерация независимого бизнеса; (8) Ассоциация потребителей
Канады; (9) Департамент потребительских и корпоративных дел Канады; (10)
Департамент финансов Канады; (11) Канцелярия ревизора финансовых
учреждений; (12) все министерства потребительских дел провинций и
территорий;
– Кодекс профессиональной этики и практических стандартов Канадской
ассоциации прямого маркетинга;
– Руководящие принципы Канадской ассоциации страхования здоровья и
жизни.
Кроме того, Кодексы практики существуют на авиатранспорте.
92
HYPERLINK “” \l “91” 91 :: HYPERLINK “” \l “92” 92 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “93” 93 :: HYPERLINK “” \l “94” 94 ::
HYPERLINK “B1735Content.html” Содержание
Глава 12. Особенности правовой защиты
персональных данных в Финляндии
§ 1. Законодательный акт о файлах персональных данных
Существуют законодательный акт 1988 г. о файлах персональных данных
(PDFА), а также дополняющий его Указ № 476 о файлах персональных данных.
Сердцевиной и основой PDFA являются устанавливаемые им 11 принципов
защиты данных. Правовое регулирование PDF А охватывает только
персональные данные о частных лицах и исключает данные об юридических
лицах. Этот закон имеет очень широкий диапазон применения, охватывая
действия с файлами персональных данных, производимые:
– публичными властями (государственными, местными и церковными);
– частными организациями;
– частными лицами (за исключением обработки и использования данных для
некоммерческих, личных целей).
PDFA применяется и к данным, обработанным электронными средствами, и к
архивам ручных документов. Финское право относит PDFA к категории так
называемого “вторичного закона” – это означает, что его положения
применяются только тогда, когда они не вторгаются в сферу действия
некого законодательного акта, при введении в действие которого был
оговорен его приоритет перед PDFA. Существует некоторое число таких
приоритетных законов, которые регламентируют действия в отношении файлов
специфических персональных данных, контролируемых публичными властями
(примером может быть налоговое законодательство).
Ст. 43 – 46 этого закона предусматривают четыре вида наказуемых
действий:
– преступления в отношении любого файла персональных данных, для которых
шкала наказаний простирается в диапазоне от штрафа до 1 года тюрьмы;
– правонарушения в отношении любого файла персональных данных, для
которых наказанием может быть штраф;
93
– любой несанкционированный доступ к файлу персональных данных, для
которого шкала наказаний простирается в диапазоне от штрафа до 6 месяцев
тюрьмы:
– любое нарушение обязательств секретности, которое может быть наказано
штрафом или, в чрезвычайных случаях, 6 месяцами тюремного заключения.
94
HYPERLINK “” \l “93” 93 :: HYPERLINK “” \l “94” 94 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “94” 94 :: HYPERLINK “” \l “95” 95 ::
HYPERLINK “B1735Content.html” Содержание
§ 2. Отраслевые нормативно-правовые акты
После ввода в действие законодательного акта 1988 г. о файлах
персональных данных (PDFA) и модернизации финского законодательства о
свободе информации, соответствующие поправки были внесены в ряд финских
законов, создав в них “отраслевые” законоположения о защите персональных
данных.
Так, например, Законодательный акт 1951 г. о гласности официальных
документов теперь содержит специальные положения о порядке сообщения и
передачи персональных данных из файлов данных, хранимых публичными
властями. Кроме того, в него внесены поправки, обеспечивающие
секретность документов и файлов данных, хранимых публичными властями,
которые, в противном случае, были бы открыты для общества.
Помимо специальных положений PDFA об архивах, имеется также специальный
законодательный акт об архивах, применяемый к файлам, держателями
которых являются публичные власти.
В законодательный акт об административной процедуре внесена специальная
поправка, согласно которой любой административный орган власти,
использующий сведения из файла персональных данных, которые могут
повлиять на принятие некого административного решения, обязан указывать
этот файл в каждом документе.
Правовыми положениями о защите данных изобилуют и другие области
финского законодательства. Наиболее важными из них являются законы,
которые регламентируют действия определенных публичных организаций,
таких, как фискальные власти, Центр регистрации населения и Центральный
регистр транспортных средств. Специальный закон о файлах данных,
хранимых полицией, был принят недавно вместо старого специального указа
по тому же самому вопросу.
94
В частном секторе недавно было пересмотрено, в соответствии с новыми
требованиями по защите персональных данных, законодательство о
банковских, страховых и пенсионных компаниях и фондах.
Омбудсмен по защите данных также публикует руководящие указания,
призванные содействовать соблюдению законодательства о защите данных в
различных секторах и отраслях деятельности.
95
HYPERLINK “” \l “94” 94 :: HYPERLINK “” \l “95” 95 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “95” 95 :: HYPERLINK “” \l “96” 96 ::
HYPERLINK “” \l “97” 97 :: HYPERLINK “B1735Content.html” Содержание
§ 3. Органы по защите данных: Омбудсмен и Коллегия
Основной целью законодательного акта 1988 г. о файлах персональных
данных (PDFА) является высокая степень эффективности его применения на
практике по отношению к файлам данных, и уже на стадии разработки его
законопроекта было решено, что лучше всего эта цель была бы достигнута
посредством учреждения специальных органов по защите данных. В стране
существует два отдельных органа по защите данных (функционирование обоих
связано с Министерством юстиции) – это Омбудсмен по защите данных и
Коллегия по защите данных.
Омбудсмен по защите данных. Омбудсменом (от шведского слова “ombudsmen”)
в ряде западных стран называют должностное лицо, на которое возлагаются
функции контроля за деятельностью правительственных учреждений. Финский
Омбудсмен по защите данных назначается на пятилетний срок президентом
Республики и осуществляет надзор за сбором, обработкой, использованием и
передачей третьим лицам персональных данных. Это делается возможным
благодаря процедуре нотификации, которая, однако, довольно ограничена.
Любой контролер файлов извещает Омбудсмена о том. что определенные файлы
использовались для целей прямого маркетинга (например, через файлы
потребителей). Все контролеры файлов данных обязаны предоставлять
Омбудсмену любую информацию, которую тот может затребовать для
расследования действий с конкретными файлами персональных данных.
Омбудсмен также имеет право инспектировать файлы и во время проведения
такой инспекции может назначать экспертов, одобренных Коллегией по
защите данных.
Главная функция Омбудсмена состоит в том. чтобы консультировать и
инструктировать контролеров файлов персональных
95
данных. Омбудсмен может выдавать общие инструкции, которые касаются
передачи данных третьим лицам и объединения файлов (процедуры типа “data
matching”), о том, каким образом файлы должны быть защищены от
несанкционированного доступа. Омбудсмен может выдать конкретное
руководящее указание по любому конкретному файлу. Это означает, что если
Омбудсмен замечает, что действия с данным файлом нарушают закон, то он
вправе потребовать, чтобы контролер файла привел этот файл в
соответствие с положениями закона. Если это требование не выполняется,
то Омбудсмен может вынести эту проблему на рассмотрение Коллегии по
защите данных или сообщить о нем в прокуратуру на предмет пресечения
нарушений закона. Омбудсмен может направлять контролеру любого файла
предписание об осуществлении определенных прав, которые он защищает в
пользу и от имени субъекта данных. Эти предписания не являются
обязательными к исполнению и могут прекращать свое действие, если
контролер файла информирует Омбудсмена о своих возражениях в пределах
отведенного лимита времени. Омбудсмен может использовать такой вид
взыскания как штраф, чтобы принудить к исполнению обязательства
нотификации или любого своего предписания, однако принятие решения об
уплате штрафа относится к компетенции Коллегии по защите данных.
Омбудсмен готовит ежегодный отчет для Министерства юстиции о действиях
Омбудсмена и его аппарата, а также о действиях Коллегии по защите
данных. Этот отчет может также включать контроль в отношении соблюдения
законодательства о защите данных и необходимости в реформировании
последнего. Омбудсмен совместно с Коллегией по защите данных издает
журнал “Защита данных”, чтобы донести до общества детали текущих проблем
и достичь лучшего уровня общественного понимания прав субъекта данных.
Коллегия по защите данных является не судебным, а административным
органом, назначаемым Государственным Советом на трехлетний срок. Она
состоит из Председателя, вице-председателя (оба они должны быть
юристами) и пяти остальных членов Коллегии, один из которых тоже должен
быть юристом. В Коллегии также должны быть представлены эксперты в
области обработки данных.
96
Коллегия решает вопросы в рамках своих полномочий, установленных
законодательным актом 1988 г. о файлах персональных данных (PDFА), а
также занимается любыми вопросами, которые имеют отношение к соблюдению
PDFA. В сущности, она действует, главным образом, как санкционирующая
организация.
Коллегия имеет полномочия предписать внесение исправлений в любой файл,
где обнаружены ошибочные персональные данные, возникшие по небрежности
или из-за обработки, не соответствующей требованиям закона. Коллегия
может, в качестве чрезвычайной меры, даже приказать, чтобы
функционирование некого конкретного файла было прекращено, если
убедится, что нет никаких законных оснований для его существования.
Коллегия может использовать угрозу штрафа для принуждения к выполнению
некой обязанности или некого запрета, а также обладает полномочиями
принимать решение о принуждении к выплате этого штрафа.
Роль судов в этой системе. На любое решение, принятое Коллегией по
защите данных, может быть подана апелляция в Верховный административный
суд. Омбудсмен по защите данных тоже обладает правом апелляции. Коллегия
может приказать, чтобы ее решение было осуществлено, несмотря на
апелляцию, однако апелляционная инстанция имеет право отменить этот
приказ. На любого контролера файлов возлагается обязанность возмещения
ущербов, вызываемых любыми незаконными действиями. Судебные тяжбы о
возмещении ущербов, так же как и уголовное судебное преследование за
правонарушения, связанные с файлами персональных данных, подпадают под
юрисдикцию судов общего назначения.
97
HYPERLINK “” \l “95” 95 :: HYPERLINK “” \l “96” 96 ::
HYPERLINK “” \l “97” 97 :: HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “98” 98 :: HYPERLINK “” \l “99” 99 ::
HYPERLINK “” \l “100” 100 :: HYPERLINK “” \l “101” 101 ::
HYPERLINK “B1735Content.html” Содержание
Глава 13. Система правовых и организационных средств
защиты персональных данных во Франции
§ 1. Причины принятия законодательного акта о защите
персональных данных
В конце 60-х – начале 70-х гг. в центре внимания французского общества и
правительства оказалась “l’informatique” (т.е. “информатика”,
компьютерно-информационная технология). На всех уровнях власти и
общества царила уверенность, что эта новая отрасль станет важнейшим
элементом национальной экономики. Национальный информационный план 1971
г. (Plan Calcul) продемонстрировал стремление французов к сильной
компьютерной индустрии, автоматизации публичного сектора и проникновению
компьютерной обработки данных на все уровни экономики и общества. Одним
из главных приоритетов Уполномоченного по информатике (Delegue a
1’Informatique, введенная в тот период должность при премьер-министре
Франции) было ускорение создания, координация и организация взаимосвязей
банков данных в публичной администрации.
Знаменательно, что уже в 1970 г. необходимость защиты прав частной жизни
была официально признана во Франции. Одна из высших судебных инстанций
страны, Conseil d’Etat. по своей инициативе провела в 1969-70 гг.
исследование взаимосвязи компьютеризованной информации и гражданских
свобод и обнародовала свои открытия, рекомендовав следующее:
“Ни одна из автоматизированных систем не может содержать информацию о
религиозных, расовых, политических или иных вопросах интимного
характера, и все такие системы должны соответствовать требованиям закона
по вопросам амнистии и реабилитации.
Персональные данные не могут быть разглашены без предварительного
санкционирования, а субъект данных имеет право заранее знать все детали
такого санкционирования, так же как и право доступа ко всем файлам,
имеющим к нему отношение.
Те, кто берут на себя ответственность создания и технического
обслуживания файлов персональных данных, несут также ответственность за
то, чтобы сделать публичное заявление о хранимых ими файлах и данных,
получить специальную санкцию на распространение
98
их файлов и предпринять необходимые технические меры предосторожности
для защиты их файлов от несанкционированного посягательства”. HYPERLINK
“” \l “B1735Part49p99s1” 1
Таким образом, французское общество не только не впало в безоглядную
эйфорию от перспектив информатики, но и старалось осознать те опасности
для гражданских свобод, которые несет с собой эта новая отрасль.
Национальный информационный план (Plan Calcul) был сконцентрирован на
построении экономичных банков данных. Первыми должны были быть
автоматизированы системы персональных данных правительственных
департаментов, ответственных за финансы, общественную безопасность,
персонал гражданской государственной службы, национальной системы
регистрации водительских лицензий, системы хранения архивных документов,
системы здравоохранения и госпиталей. Проблемы стоимости и
стандартизации были главным вызовом этой программе. Чтобы избежать
дублирования однородной информации в разных информационных системах (что
многократно повышает стоимость информатизации), необходимо было
обеспечить возможность совмещения данных из пространственно и
ведомственно распределенных банков данных, т.е. возможность проведения
процедур типа “data matching” (“согласование данных”), которые, как
известно, неосуществимы без привязки всех данных по конкретному субъекту
данных к единому идентификационному коду, присвоенному этому субъекту
данных. Планировалось присвоить идентификационные коды всем
бизнес-предприятиям (проект SIRENE) и всем физическим лицам (проект
SAFARI, предусматривавший использование номеров социального страхования
граждан) и использовать эти коды в качестве связующего элемента между
различными базами и банками данных.
Французское общество быстро поняло, что осуществление проекта SAFARI
создает предпосылки для создания “Большого брата” -национальной системы
тотальной компьютерной слежки за частной жизнью граждан. Газета “Монд”г
например, в 1974 г. предпослала
99
тревожной статье об этой опасности характерный заголовок “Сафари, или
охота на француза”. Взрыв общественного возмущения был настолько силен,
что премьер-министр запретил установление любой новой взаимосвязи между
файлами персональных данных без его санкции и предписал министру юстиции
учредить комиссию для разработки исчерпывающих правил по обращению с
персональной информацией. Так, на волне общественного протеста против
использования универсальных персональных идентификаторов, родилась
знаменитая Французская национальная комиссия по обработке данных
(информатике) и гражданским свободам. Официальный статус этой комиссии
(ее принято называть аббревиатурой CNIL от французского названия
Commission National de I’lnformatique et des Libertes) был придан
Президентским Указом от 8 ноября 1974 г., в котором цель создания
комиссии определялась следующим образом:
“… в течение шести месяцев предложить Правительству меры. нацеленные
на гарантию развития обработки данных в публичном, смешанном и частном
секторах, при полном уважении к неприкосновенности частной жизни, к
индивидуальным и общественным гражданским свободам”. HYPERLINK “” \l
“B1735Part49p100s1” 1
В отчете, представленном 27 июня 1975 г.. Комиссия, помимо конкретных
предложений, изложила свою позицию по отношению к стоящим перед ней
проблемам:
“В настоящее время посягательства на гражданские свободы во Франции,
проистекающие от использования компьютеров, являются ограниченными.
Однако использование компьютеров находится лишь на ранней стадии. Оно
содержит в себе определенные риски, которые, хотя и не фатальны, но
защититься от них можно только, если предпринять соответствующие меры.
Поскольку большинство этих мер сможет дать эффект только постепенно, то
мы уверены, что время для действий пришло”.
На основании предложений CNIL Министерство юстиции разработало
законопроект, после полугодового обсуждения которого Сенатом и
Национальной Ассамблеей был принят базовый
100
французский закон в области защиты персональных данных – закон 1978 г.
об обработке данных, файлах данных и индивидуальных свободах.
101
HYPERLINK “” \l “B1735Part49p99s1cr” 1 Цит. по: Charles E.H.
Franclin (ed.). “Business guide to Privacy and Data Protection
Legislation”, Kluwer Law International and International Chamber of
Commerce – Hague – London – Boston -1996 (2d edition). – P. 194.
HYPERLINK “” \l “B1735Part49p100s1cr” 1 Цит. по: Charles E.H.
Franclin (ed.). “Business guide to Privacy and Data Protection
Legislation”, Kluwer Law International and International Chamber of
Commerce – Hague – London – Boston – 1996 (2d edition). – P. 195.
HYPERLINK “” \l “98” 98 :: HYPERLINK “” \l “99” 99 ::
HYPERLINK “” \l “100” 100 :: HYPERLINK “” \l “101” 101 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “101” 101 :: HYPERLINK “B1735Content.html”
Содержание
§ 2. Базовый закон 1978 г. об обработке данных, файлов данных
и индивидуальных свободах
Закон 1978 г. об обработке данных, файлах данных и индивидуальных
свободах (или. как его еще называют, закон № 78-17 от 6 января 1978 г.)
– центральный элемент в системе правового регулирования компьютерной
обработки и использования персональных данных.
Особенностью этого закона являются предусмотренные в нем весьма суровые
наказания (ст. 41-44). Штрафы за нарушения закона варьируются от 2000 до
20 000 франков. Приговоры к тюремному заключению, по выбору суда, могут
варьировать от 2 месяцев до 5 лет. Раскрытие персональных данных
несанкционированным третьим сторонам может повлечь за собой штраф от
2000 до 20 000 франков, тюремное заключение сроком от 2 до 6 месяцев или
и то, и другое. Любое нарушение правил сбора и хранения данных
рассматривается как наиболее опасное правонарушение. Здесь сроки
тюремного заключения возрастают до 5 лет, а штрафы – до 2 000 000
франков. Уклонение от регистрации обработки персональных данных в CNIL
карается штрафом от 2000 до 200 000 франков или тюремным заключением
сроком до 3 лет или и тем, и другим.
Порядок сбора, обработки и использования персональных данных без
использования компьютерной техники (вручную) устанавливает закон №
78-753 от 17 июля 1978 г., который предоставляет гражданам право доступа
к их персональным данным, хранящимся в ручных архивах правительственных
органов.
101
HYPERLINK “” \l “101” 101 :: HYPERLINK “B1735Content.html”
Содержание
***********************************
HYPERLINK “” \l “101” 101 :: HYPERLINK “” \l “102” 102 ::
HYPERLINK “B1735Content.html” Содержание
§, 3. Отраслевые нормативно-правовые акты
Закон 1978 г. о потребительском кредите в ст. 27 регламентирует сбор
персональных данных о потребителях кредита. Другие законы предоставляют
потребителям право ограничивать использование третьей стороной их номера
телефона или факса при проведении маркетинговых мероприятий (нарушение
этих законоположений
101
преследуется по закону как уголовно наказуемое деяние). Ст. 777-3 УПК
запрещает сбор персональных данных о лицах, отбывающих тюремное
заключение.
Конфиденциальность частной корреспонденции в почтовой системе или в
области телекоммуникаций является фундаментальным правилом,
гарантируемым Почтовым кодексом и Кодексом наказаний. Закон от 29 июля
1982 г. об аудио-визуальных коммуникациях и закон от 30 сентября 1986 г.
о свободе коммуникаций налагают на контролеров файлов обязательство
применять положения базового закона о защите данных (закона № 78-17 от 6
января 1978 г.).
102
HYPERLINK “” \l “101” 101 :: HYPERLINK “” \l “102” 102 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “102” 102 :: HYPERLINK “” \l “103” 103 ::
HYPERLINK “” \l “104” 104 :: HYPERLINK “” \l “105” 105 ::
HYPERLINK “B1735Content.html” Содержание
§ 4. Национальная комиссия по обработке данных и гражданским свободам
Закон № 78-17 сделал Национальную комиссию по обработке данных
(информатике) и гражданским свободам (CNIL) действующей на постоянной
основе. Комиссия наделена полномочиями для обеспечения соблюдения
вышеупомянутого закона, “помимо всего прочего, путем информирования всех
заинтересованных лиц о имеющихся у них правах и обязанностях, а также
путем сотрудничества с ними и контроля за применением методов и средств
обработки персональных данных. В этих целях Комиссия должна быть
наделена полномочиями издавать обязательные для исполнения документы в
случаях, имеющих прямое отношение к настоящему закону” (ст. б).
HYPERLINK “” \l “B1735Part52p102s1” 1
Несмотря на то, что CNIL является органом национальной администрации,
закон гарантирует ей полную свободу действий. Независимость Комиссии
обеспечивается, в частности, составом ее членов;
“Ст. 8. Национальная комиссия по обработке данных (информатике) и
гражданским свободам создается как независимый орган правительства.
102
Она должна состоять из 17 членов, назначаемых сроком на пять лет или на
срок пребывания в занимаемой должности:
– двух депутатов и двух сенаторов, избираемых, соответственно,
Национальной Ассамблеей и Сенатом;
– двух членов экономического и социального Советов, избираемых оным
Советом;
– двух действительных или бывших членов Государственного Совета, один из
которых в ранге “советника” или выше, избираемых общим собранием
Государственного Совета:
– двух действительных или бывших членов Кассационного суда, один из
которых в ранге “советника” или выше, избираемых общим собранием членов
Кассационного суда;
– двух действительных или бывших членов суда графств, один из которых в
ранге “советника” или выше, избираемых общим собранием членов суда
графств;
– двух известных специалистов в области обработки данных, назначаемых
указом по рекомендации, соответственно, спикера Национальной Ассамблеи и
спикера Сената;
– трех других лиц-экспертов, назначаемых постановлением Совета
Министров, исходя из их служебного положения и компетенции…”.
HYPERLINK “” \l “B1735Part52p103s1” 1
Личная независимость, свобода действий и беспристрастность в решениях
членов CNIL обеспечиваются тем. что. с одной стороны, члены Комиссии не
могут быть отстранены от своих должностей распоряжением правительства, а
с другой стороны, их членство в Комиссии налагает определенные
ограничения на занятие ими должностей в общественных и частных
организациях.
Комиссия сама разрабатывает регламент своей работы и избирает из своего
состава Председателя и двух его заместителей. Председатель наделяется
правом решающего голоса.
На заседаниях Комиссии может присутствовать представитель правительства,
назначаемый премьер-министром и не участвующий в голосовании. Он может в
течение десяти дней с момента обсуждения некого вопроса призвать
Комиссию к повторному обсуждению этого
103
вопроса с целью пересмотра принятого решения. Решения Комиссии не могут
быть отменены правительством. Члены CNIL “при исполнении ими своих
служебных обязанностей не должны подчиняться приказам какого-либо иного
органа власти” (ст. 13). HYPERLINK “” \l “B1735Part52p104s1” 1
Общий мандат CNIL состоит в том, что она должна “гарантировать обработку
персональных данных как частными, так и публичными организациями с
соблюдением требований настоящего закона” (ст. 14). HYPERLINK “” \l
“B1735Part52p104s2” 2
Любые лица, стремящиеся к автоматизированной обработке персональных
данных, должны подать комиссии заявление с приложением подробнейших
сведений о характере персональных данных, целях их обработки и
использования, всех участниках информационных отношений в связи с этой
обработкой персональных данных, мерах по защите данных и т.п. При
получении любого заявления Комиссия обязана направить заявителю
подтверждение, на основании которого заявитель уже может приступать к
обработке данных. Официальное же решения Комиссии (оно должно быть
направлено заявителю в течение 2 месяцев, хотя Председатель CNIL имеет
полномочия на продление этого срока) может содержать некие условия или
ограничения, налагаемые на действия заявителя по обработке данных.
Помимо этой разрешительно-регистрационной функции, CNIL выполняет
контрольно-надзорную функцию (ее обширные полномочия в этом отношении
подробно указаны в ст. 21). Информационная функция CNIL определена ст.
22:
“Комиссия должна регулярно составлять и публиковать списки организаций,
осуществляющих обработку персональных данных, включая в них следующие
сведения:
– закон или официальное решение, санкционирующее эту организацию или
дату подачи заявления;
– название и цель данной организации;
104
104
– название департамента, который обязан предоставлять гражданам доступ к
их персональным данным, предусмотренный гл. V настоящего закона;
– хранящиеся категории персональных данных и адреса или категории
адресатов, имеющих санкцию на получение таких данных”.
Комиссия обязана подавать Президенту Республики и Парламенту ежегодный
отчет об исполнении ею своих обязанностей. Этот отчет тоже подлежит
публикации.
Поскольку правовое регулирование CNIL распространяется только на
компьютерную обработку данных, защита персональных данных и права
граждан на доступ к информации в сфере ручных документов и архивов
осуществляется специальным административным, но тем не менее независимым
органом (Комиссией по доступу к административным документам),
учрежденным во исполнение вышеупомянутого закона № 78-753 от 17 июля
1978 г.
105
HYPERLINK “” \l “B1735Part52p102s1cr” 1 Цит. по: Charles E.H.
Franclin (ed). “Business guide to Privacy and Data Protection
Legislation”. Kluwer Law International and International Chamber of
Commerce – Hague – London – Boston – 1996 (2d edition). – P. 211.
HYPERLINK “” \l “B1735Part52p103s1cr” 1 Цит. по: Charles E.H.
Franclin (ed.). “Business guide to Privacy and Data Protection
Legislation”, Kluwer Law International and International Chamber of
Commerce – Hague – London – Boston – 1996 (2d edition). – P. 211.
HYPERLINK “” \l “B1735Part52p104s1cr” 1 Цит. по: Charles E.H.
Franclin (ed.). “Business guide to Privacy and Data Protection
Legislation”, Kluwer Law International and International Chamber of
Commerce – Hague – London – Boston – 1996 (2d edition). – P. 212.
HYPERLINK “” \l “B1735Part52p104s2cr” 2 Op. cit.
HYPERLINK “” \l “102” 102 :: HYPERLINK “” \l “103” 103 ::
HYPERLINK “” \l “104” 104 :: HYPERLINK “” \l “105” 105 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “105” 105 :: HYPERLINK “B1735Content.html”
Содержание
§ 5. Средства защиты персональных данных в публичных
и частных корпорациях
До недавнего времени во Франции не применялись корпоративные меры защиты
и считалось, что в них нет нужды, так как закон детально регламентирует
обработку и использование персональных данных. Однако положение
меняется: ежегодный Отчет CNIL за 1993 г. приветствовал появление
Кодекса поведения, опубликованного Французским союзом прямого
маркетинга.
105
HYPERLINK “” \l “105” 105 :: HYPERLINK “B1735Content.html”
Содержание
***********************************
HYPERLINK “” \l “106” 106 :: HYPERLINK “B1735Content.html”
Содержание
Глава 14. Опыт правовой защиты
персональных данных в Японии
§ 1. Закон 1989 г. об обрабатываемых персональных данных,
хранимых административными органами
Закон 1989 г. об обрабатываемых компьютерами персональных данных,
хранимых административными органами, изначально разрабатывался в
соответствии с Руководящими принципами ОЭСР и предусматривает защиту
персональных данных, которые обрабатываются с использованием
компьютеров, принадлежащих административным органам правительства
страны. Вне сферы действия закона остались:
– персональные данные в публичном секторе, используемые для
статистических целей (статистические данные защищаются отдельным
законом);
– персональные данные в публичном секторе, принадлежащие местным
административным органам (многие местные органы власти имеют свои
нормативные положения в сфере персональных данных):
– данные, обрабатываемые вручную;
– персональные данные, хранимые любой общественной корпорацией;
– персональные данные, хранимые в частном секторе.
106
HYPERLINK “” \l “106” 106 :: HYPERLINK “B1735Content.html”
Содержание
***********************************
HYPERLINK “” \l “106” 106 :: HYPERLINK “” \l “107” 107 ::
HYPERLINK “B1735Content.html” Содержание
§ 2. Региональный орган по защите данных: местная комиссия
по защите неприкосновенности частной жизни
Так как вышеупомянутый закон 1989 г. охватывает только органы
центрального правительства, меры административного регулирования
ограничиваются тем, что любой правительственный орган, желающий хранить,
модифицировать или уничтожить некий файл персональных данных, должен
предварительно известить об этом Генерального директора Национального
агентства по управлению и координации.
Региональные системы защиты данных. Особенностью японской системы
является то, что на региональном уровне существуют более развитые
системы защиты данных, чем на национальном. В настоящее время около 1000
органов местного самоуправления (более
106
30% общего числа местных правительств) имеют свое собственное
законодательство о защите персональных данных, обрабатываемых местными
административными органами. Большинство этих местных законов содержит
положения, подобные положениям национального закона. Однако имеется
около 100 местных правительств, которые приняли более современное и
развитое, чем на национальном уровне, законодательство о защите данных,
основанное на Руководящих принципах ОЭСР. Принципиальные положения этих
местных законов следующие:
А. Сфера действия:
– персональные данные в публичном секторе, хранимые местными
административными органами;
– вручную обрабатываемые данные, хранимые местными административными
органами.
Б. Предварительное заявление.
Любой местный административный орган, желающий хранить, модифицировать,
передать третьим лицам или уничтожить файл персональных данных, должен
предварительно подать специальное заявление об этом главе местного
органа власти (губернатору или мэру).
В. Защита персональных данных.
Персональные данные должны, как правило, собираться от самого субъекта
данных. Сбор чувствительных данных строго ограничен.
Г. Местный орган по защите данных.
Органом защиты данных, как правило, является местная Комиссия по защите
неприкосновенности частной жизни, состоящая из людей, располагающих
знаниями и опытом в области защиты данных. Эта Комиссия может проверить
заявление любого гражданина, связанное с персональными данными, и
направить результаты своего расследования губернатору или мэру.
Д. Права субъекта данных.
1) Любое физическое лицо может потребовать раскрытия ему любых данных,
относящихся к нему.
2) Если персональные данные содержат неправильную информацию, то субъект
данных может потребовать от соответствующего административного органа
исправить или уничтожить эти данные.
107
HYPERLINK “” \l “106” 106 :: HYPERLINK “” \l “107” 107 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “108” 108 :: HYPERLINK “B1735Content.html”
Содержание
§ 3. Кодексы практики и “отраслевые” подзаконные акты
Законодательство о защите данных в частном секторе никогда не
планировалось к разработке на основании аргумента, что в Японии не
сложился идеальный баланс между защитой права граждан на невмешательство
в их частную жизнь и эффективным свободным течением информации. Так как
основная ставка делается на Кодексы практики и “отраслевые” подзаконные
акты, то не было необходимости принятия законов по защите данных для
частного сектора.
Имеется целый ряд Кодексов практики, в том числе в банковской отрасли.
Кроме того, в 1986 г. Министерство финансов и Министерство международной
торговли и промышленности выпустили совместный циркуляр относительно
обработки данных потребительского кредита. В 1987 г. Национальный центр
информационных систем финансовой индустрии разработал для финансовых
учреждений набор руководящих принципов по защите персональных данных. В
марте 1988 г. Японский центр развития обработки информации ввел
руководящие принципы для защиты персональных данных в частном секторе.
Министерство международной торговли и промышленности в последнее время
демонстративно поощряет создание отраслевых Кодексов практики и
руководящих принципов по защите данных. Многие компании добровольно
подготовили свои внутренние инструкции по защите данных в соответствии с
Руководящими принципами ОЭСР.
108
HYPERLINK “” \l “108” 108 :: HYPERLINK “B1735Content.html”
Содержание
***********************************
HYPERLINK “” \l “109” 109 :: HYPERLINK “” \l “110” 110 ::
HYPERLINK “” \l “111” 111 :: HYPERLINK “B1735Content.html”
Содержание
РАЗДЕЛ IV
МЕЖДУНАРОДНО-ПРАВОВОЕ РЕГУЛИРОВАНИЕ
ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Глава 15. Экстерриториальность персональных данных
и проблемы их защиты
Технический прогресс в области компьютерно-телекоммуникационных
технологий привел к увеличению потоков информации, текущих через
национальные границы, и создание международных банков данных. Это
создало серьезную проблему защиты права граждан на невмешательство в
частную жизнь при обработке и передаче персональных данных. Попытки
правового регулирования трансграничных потоков информации средствами
национальных систем защиты данных были либо неэффективны, либо резко
ограничивали экспорт данных. Поэтому появилась необходимость
согласованных действий национальных правительств в достижении
оптимального баланса между режимом наибольшего благоприятствования
свободным потокам информации и требованиями защиты данных.
Для международного правового регулирования обработки и передачи
персональных данных необходимо было разработать фундаментальные
принципы, на которых должна основываться защита данных. Это
способствовало бы принятию более детализированных и обязывающих
международных соглашений в области защиты персональных данных и. таким
образом, разрешению коллизии законов разных стран при трансграничной
передаче информации и решению вопроса экспорта данных на национальном
уровне.
Поскольку не существовало никакой всемирной организации, которая могла
бы установить единые “правила игры” в мировом информационном
пространстве, инициативу взяли на себя международные организации,
представляющие политико-экономические союзы и сообщества государств. К
этой категории прежде всего следует отнести:
– Организацию по Экономическому Сотрудничеству и Развитию (OECD), Совет
Европы, Европейское Сообщество (Евросоюз). Организацию Американских
Государств (ОАГ);
109
– Сообщество стран Шенгенского соглашения, которое созданием так
называемого “Шенгенского информационного пространства” поставило на
повестку дня новые и весьма непростые правовые проблемы
экстерриториальной защиты персональных данных, тесно переплетенные с не
менее сложными проблемами национального информационного суверенитета и
национальной информационной безопасности;
– Международная торговая палата [International Chamber of Commerce].
Очень внимательно наблюдая за инициативами вышеназванных международных
организаций в области защиты “прайвеси” и персональных данных, она
активно лоббирует включение в состав этих инициатив целого ряда
требований, выдвинутых мировыми деловыми кругами.
Разумеется, состав членов и цели каждой из вышеупомянутых международных
организаций накладывают свой отпечаток на содержание выдвигаемых ею
инициатив в сфере защиты персональных данных. Тем не менее, в
инициативах международных организаций можно выделить ряд общих моментов,
в совокупности составляющих общую стратегию экстерриториальной защиты
персональных данных. Для того чтобы установить единообразный режим
правового регулирования обработки и передачи персональных данных в
рамках союза или сообщества стран, представляющая его международная
организация, как правило, последовательно выполняет следующее:
Добивается консенсуса стран-участниц данного сообщества относительно
тех принципов защиты данных, которые должны применяться в рамках
сообщества.
Легитимизирует эти принципы при помощи подписания странами-участницами
соответствующего международного соглашения, предусматривающего
обязанность стран-участниц гармонизировать свое национальное
законодательство в соответствии с вышеуказанными принципами зашиты
данных.
Устанавливает для стран-участниц, ратифицировавших вышеупомянутое
международное соглашение и гармонизировавших национальное
законодательство, режим наибольшего благоприятствования в сфере обмена
персональными данными.
110
Запрещает (или, по крайней мере, строго ограничивает) обмен
персональными данными со странами, не являющимися участницами данного
международного соглашения о защите данных как напрямую, так и через
третьи страны.
Оставаясь, в целом, в русле этой стратегической линии, инициативы
конкретных международных организаций могут значительно отличаться,
несмотря на стремление их к согласованным действиям. Так. например,
Экспертная группа по разработке Руководящих принципов OECD поддерживала
тесные контакты с соответствующими органами Совета Европы, занятыми
аналогичной работой. Были предприняты все необходимые усилия для того,
чтобы избежать нежелательных различий между текстами, создаваемыми этими
двумя организациями; именно поэтому наборы базовых принципов защиты
данных обеих организаций во многих аспектах являются подобными. Тем не
менее, существуют определенные различия. И начинаются они с того, что
Руководящие принципы OECD не являются юридически обязывающими, в то
время как Совет Европы по аналогичному вопросу разработал Конвенцию 108,
которая налагает юридические обязательства на страны, ратифицировавшие
ее. Видимо, поэтому в документе Совета Европы более детально проработан
вопрос об изъятиях определенных случаев обработки персональных данных
из-под юрисдикции этой Конвенции.
Что касается сферы применения, то Конвенция Совета Европы имеет дело,
главным образом, с автоматизированной обработкой персональных данных,
тогда как Руководящие принципы OECD применяются к персональным данным,
сопряженным с угрозами для “прайвеси” и индивидуальных свобод,
независимо от методов и оборудования, используемых для их обработки. Но
базовые принципы защиты данных, предлагаемые этими двумя организациями,
не являются полностью идентичными. Например, в ряде аспектов отличается
используемая терминология. Институционные положения, определяющие
механизм дальнейшей кооперации стран-участниц в деле экстерриториальной
защиты персональных данных, также проработаны более детально в Конвенции
108 Совета Европы, чем в Руководящих принципах OECD.
111
HYPERLINK “” \l “109” 109 :: HYPERLINK “” \l “110” 110 ::
HYPERLINK “” \l “111” 111 :: HYPERLINK “B1735Content.html”
Содержание
***********************************
HYPERLINK “” \l “112” 112 :: HYPERLINK “” \l “113” 113 ::
HYPERLINK “” \l “114” 114 :: HYPERLINK “” \l “115” 115 ::
HYPERLINK “” \l “116” 116 :: HYPERLINK “” \l “117” 117 ::
HYPERLINK “B1735Content.html” Содержание
§ 1. Руководящие принципы по защите частной жизни
и трансграничных потоков персональных данных в документах OECD
В 1970-х гг. одной из характерных черт законодательных программ
стран-членов Организации по экономическому сотрудничеству и развитию
(OECD) была разработка законов о защите “прайвеси” и персональной
информации. В силу различия законодательных систем и особенностей
национального менталитета, эти законы в разных странах имели тенденцию
быть различными по форме и содержанию.
Поскольку национальные системы правовой защиты данных не смогли
обеспечить экстерриториальность персональных данных, а существующая
“разноголосица законов” препятствовала созданию международной системы
правового регулирования обработки персональных данных, то в 1978 г. OECD
решила обратиться к проблеме дивергенции национальных законов в этой
области. Была учреждена Экспертная группа “ad hoc” с задачей разработать
набор базовых руководящих принципов защиты “прайвеси” в связи с
обработкой персональных данных и в связи с трансграничными потоками
данных. Эти принципы должны были послужить основой для гармонизации
соответствующих национальных законов.
Разработка таких руководящих принципов и достижение консенсуса
стран-участниц оказались непростой задачей, поскольку весьма
неоднородный состав OECD предопределил не менее неоднородный набор
национальных подходов к правовой защите персональных данных. Так,
например, некоторые (но далеко не все) национальные законы защищали
данные, относящиеся к юридическим лицам, аналогичным образом, как и
данные, относящиеся к физическим лицам. Часть стран придерживалась
защиты только компьютерных персональных данных, в то время как остальные
распространяли ее также на ручные и печатные данные. Среди
стран-участниц были сторонницы всех трех возможных подходов к построению
национальной системы правовой защиты “прайвеси” и персональных данных:
генерального, секторного (отраслевого) и смешанного.
По итогам двухлетней работы Экспертной группы, включая процесс
согласования разрабатываемых принципов со всеми
112
странами-участницами, Совет OECD принял Рекомендации в отношении
Руководящих принципов по защите неприкосновенности частной жизни и
трансграничных потоков персональных данных. Сами Руководящие принципы
OECD были оформлены как приложение к этим Рекомендациям Совета и
сопровождались специальным Пояснительным меморандумом, разъяснявшим
причины, лежащие в основе их формулировок. HYPERLINK “” \l
“B1735Part58p113s1” 1
Руководящие принципы OECD состоят из пяти частей. Часть первая содержит
дефиниции и определяет сферу действия данных Руководящих принципов.
Часть вторая устанавливает (§ 7-14) восемь базовых принципов защиты
“прайвеси” и индивидуальных свобод в связи с обработкой персональных
данных на национальном .уровне. Часть третья посвящена принципам
международного применения, которые относятся, главным образом, к
взаимодействию между странами-участницами. Часть четвертая определяет
меры по осуществлению на практике вышеупомянутых базовых принципов и, в
частности, устанавливает, что они должны применяться в некой
“недискриминационной манере”. Часть пятая посвящена организации
взаимного содействия и сотрудничества стран-участниц (главным образом,
посредством обмена информации и избежания несовместимых национальных
процедур для защиты персональных данных).
Положения Руководящих принципов разработаны с целью:
а) достижения странами-участницами определенных минимальных стандартов
защиты, “прайвеси” и индивидуальных свобод по отношению к персональным
данным;
б) уменьшения различий между релевантными отечественными нормативными
положениями конкретной страны и практикой других стран-участниц;
в) гарантии того, что при защите персональных данных на национальном
уровне будут приниматься во внимание интересы других стран-участниц, а
также будут, избегать ненадлежащего вмешательства в потоки персональных
данных между странами-участницами;
113
г) устранения как можно больше причин, которые могли бы побудить
страны-участницы ограничить или запретить трансграничные потоки
персональных данных из-за возможных рисков, ассоциируемых с такими
потоками.
Как установлено в преамбуле к Рекомендациям Совета OECD. предметом забот
являются два важных положения демократического мира: защита “прайвеси” и
индивидуальных свобод, с одной стороны, и содействие развитию свободных
потоков персональных данных, с другой стороны. Руководящие принципы OECD
пытаются сбалансировать их друг с другом. Принимая определенные
ограничения для свободных трансграничных потоков персональных данных,
они стараются уменьшить необходимость в таких ограничениях.
Представляется важным отметить позицию Руководящих принципов OECD по
отношению к двум принципиальным проблемам:
– проблеме так называемого корпоративного “прайвеси” (признаваемого в
ряде стран права ассоциаций, корпораций, частных фирм и общественных
организаций на неприкосновенность их “частной сферы”);
– дилемме автоматизированных и/или неавтоматизированных (ручных)
персональных данных.
Проблема корпоративного “прайвеси”. рассматриваемая Руководящими
принципами применительно к данным, сводилась к вопросу: распространять
ли декларируемые принципы защиты персональных данных на информацию,
относящуюся к юридическим лицам. Итоговый текст Руководящих принципов
OECD отражает ту точку зрения, что неприкосновенность личности и частной
сферы индивидуума является во многих аспектах особенной и не должна
трактоваться тем же самым образом, что и неприкосновенность некой группы
физических лиц или корпоративная безопасность и конфиденциальность.
Потребности в защите у этих двух категорий совершенно различны.
Некоторые члены Экспертной группы предполагали, что должна быть
предусмотрена возможность распространения Руководящих принципов на
юридических лиц (корпорации, ассоциации и т.п.). Однако это предложение
не обеспечило себе консенсуса. Поэтому сфера действия Руководящих
принципов ограничена данными, относящимися к индивидуумам, а на долю
стран-участниц оставлена задача провести соответствующие разделительные
линии и принять
114
решение относительно их собственной политики по отношении к “частной
сфере” корпораций, групп, партий и иных подобных организаций.
Что касается второй проблемы, то Экспертная группа уделила особое
внимание вопросу о том. должны ли Руководящие принципы ограничиваться
только персональными данными, автоматически обрабатываемыми при помощи
компьютеров. В пользу такого подхода можно было бы привести целый ряд
оснований, например, особая опасность угроз для права индивидуума на
невмешательство в его частную жизнь, возникающих из-за автоматизации и
существования банков компьютеризованных персональных данных, или все
увеличивающееся доминирование автоматизированных методов обработки
данных, особенно в сфере трансграничных потоков данных.
Однако Экспертная группа пришла к заключению, что ограничение
Руководящих принципов только областью автоматизированной обработки
персональных данных было бы существенным недостатком этой инициативы
OECD. Начать хотя бы с того, что в терминах определений очень трудно
провести различие между автоматизированной и неавтоматизированной
обработкой данных. Существуют, например, “смешанные” системы обработки
данных и существуют такие стадии в обработке данных, которые могут
привести к автоматизированной обработке, а могут и не привести. И эти
трудности имели тенденцию к дальнейшему усложнению, благодаря
непрекращающемуся развитию технологий. Кроме того, концентрация
Руководящих принципов исключительно на компьютерной обработке данных
могла привести к их непоследовательности и лакунам, предоставить
контролерам данных удобную возможность для обхода общих правил и
национальных законов, реализующих на практике эти Руководящие принципы
при помощи использования неавтоматических средств для определенных
целей. Именно в силу вышеуказанных трудностей. Руководящие принципы не
устанавливают какого-либо определения “автоматизированной обработки
данных”, хотя само это понятие упоминается в преамбуле и в § 3
Руководящих принципов OECD.
Принципы защиты “прайвеси” и индивидуальных свобод, выраженные в
Руководящих принципах, распространяются на обработку данных вообще,
безотносительно к конкретной используемой
115
технологии. Следовательно. Руководящие принципы OECD применяются к
персональным данным вообще или, что более точно, применяются к
персональным данным, обработанным таким способом, который представляет
собой опасность для “прайвеси” и индивидуальных свобод в силу характера
или контекста этих данных.
Следует заметить, однако, что Руководящие принципы OECD не представляют
собой некий набор принципов всеобъемлющей защиты “прайвеси”. Такие
посягательства на сферу частной жизни как. например, несанкционированная
фотосъемка, тайное наблюдение или диффамация, находятся вне сферы их
действия, если только такие деяния не ассоциируются с обработкой
персональных данных. Таким образом, Руководящие принципы посвящены
исключительно вопросам создания и использования агрегатов данных (т.е.
файлов, банков данных, досье, публикаций, документов и т.п.), которые
специально организованы для хранения и последующего воспроизведения,
публикации, принятия решений, проведения исследований и других подобных
целей.
Необходимо подчеркнуть, что Руководящие принципы OECD нейтральны по
отношению к используемой технологии обработки данных; автоматизированные
методы являются лишь только одной из проблем, поднятых в Руководящих
принципах, хотя, особенно в контексте транснациональных потоков данных,
очевидно, что эта проблема – важнейшая.
Несмотря на свой юридически не обязательный характер. Руководящие
принципы оказали большое влияние на становление современных национальных
систем правовой защиты “прайвеси” и персональных данных в таких странах,
как Австрия, Канада. Финляндия. Особо ревностным приверженцем этих
Руководящих принципов является Япония.
Говоря о значении Руководящих принципов OECD, нельзя не отметить, что их
создатели уже в начале 1970-х гг. предугадали большое будущее
корпоративных (нестатутных) средств саморегулирования, и, в частности,
отраслевых и корпоративных кодексов практики/поведения.
В настоящее время кодексы практики/поведения стали общепризнанным
инструментом нестатутной защиты персональных данных, а их легитимизация,
как показывает опыт Ирландии и
116
Нидерландов, представляет собой весьма перспективный метод системного и
последовательного создания “отраслевых” законов для защиты “прайвеси” и
персональных данных.
117
HYPERLINK “” \l “B1735Part58p113s1cr” 1 См.: OECD documents. Privacy
and data protection: Issues and Challenges, Information Computer
Communication Policy. OECD Paris, 1966.
HYPERLINK “” \l “112” 112 :: HYPERLINK “” \l “113” 113 ::
HYPERLINK “” \l “114” 114 :: HYPERLINK “” \l “115” 115 ::
HYPERLINK “” \l “116” 116 :: HYPERLINK “” \l “117” 117 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “117” 117 :: HYPERLINK “” \l “118” 118 ::
HYPERLINK “” \l “119” 119 :: HYPERLINK “” \l “120” 120 ::
HYPERLINK “” \l “121” 121 :: HYPERLINK “” \l “122” 122 ::
HYPERLINK “” \l “123” 123 :: HYPERLINK “” \l “124” 124 ::
HYPERLINK “B1735Content.html” Содержание
§ 2. Вопросы защиты частной жизни и персональных данных
в деятельности Совета Европы
Совет Европы посредством договорных обязательств, связывающих
страны-участницы, и своих необязательных, но влиятельных рекомендаций,
играет важную роль в формировании европейского законодательства и
международных норм, относящихся к “прайвеси” и защите данных. Эта
международная организация традиционно придерживается хорошо
сбалансированного подхода к защите персональных данных, учитывая и
интересы защиты “прайвеси”, и необходимость поощрять свободные потоки
информации, текущие через национальные границы. Этот тщательно
выверенный баланс нашел свое очевидное доказательство в многочисленных
Рекомендациях Совета Европы по вопросам “отраслевого” применения
принципов защиты данных.
Совет Европы всегда был особенно активен в области прав человека,
включая и право человека на невмешательство в сферу его частной жизни
(“прайвеси”). Вскоре после своего создания, он учредил постоянно
действующую Комиссию по правам человека и Суд по правам человека, к
которым напрямую может обращаться любой индивидуум в связи с нарушением
его прав государствами, ратифицировавшимим Европейскую Конвенцию по
правам человека.
Европейская Конвенция о защите прав человека, принятая Советом Европы в
1950 г., HYPERLINK “” \l “B1735Part59p117s1” 1 содержит две ключевые
статьи, устанавливающие баланс между интересами защиты “прайвеси”
индивидуума и интересами максимальной свободы трансграничных потоков
данных. Ст. 8 Конвенции фокусируется на защите “прайвеси”: “…каждый
человек имеет право на уважение к его частной и семейной жизни, его дому
и его корреспонденции”. С другой стороны, ст. 10 предоставляет
117
свободу трансграничным потокам информации, излагая принцип
невмешательства публичной власти независимо от границ.
В 1973-1974 гг. Комитет Министров Совета Европы принял резолюции,
призывающие правительства стран-участниц предпринять меры по защите
приватности и конфиденциальности персональных данных как в публичном,
так и в частном секторах. Вскоре, однако, стало очевидно, что ввиду
различного понимания концепции “прайвеси” в разных странах и
разноголосицы национальных законодательств в этой сфере,
экстерриториальная защита персональных данных практически невозможна.
Необходимо было международное соглашение относительно общих принципов
защиты данных, которые позволили бы гармонизировать национальные законы
стран-участниц.
После четырех лет переговоров, страны-члены Совета Европы в 1981 г.
приняли Конвенцию № 108 Совета Европы о защите индивидуумов (частных
лиц) по отношению к автоматизированной обработке персональных данных.
HYPERLINK “” \l “B1735Part59p118s1” 1 Как установлено в ее преамбуле,
главная цель Конвенции 108 состоит в том. чтобы примирить между собой
фундаментальные ценности в отношении “прайвеси” и свободного течения
информации между народами. По условиям Конвенции 108, подписавшие и
ратифицировавшие ее стороны обязывались принять (или скорректировать)
национальные законы таким образом, чтобы они обеспечивали соблюдение на
практике изложенных в этой Конвенции базовых принципов в отношении
персональных данных каждого индивидуума на их территории. Эти базовые
принципы предназначались для честного и добросовестного сбора данных,
определения цели сбора и обработки персональных данных,
пропорциональности и качества данных, конфиденциальности
“чувствительных” данных, права субъекта данных на информирование о
сборе, хранении и использовании данных о нем, на доступ к своим данным и
исправление их.
Следует отметить, что само понятие “персональные данные” определено в
ст. 2 Конвенции 108 очень широко: “понятие
118
“персональные данные” означает любую информацию, относящуюся к некоему
идентифицированному или доступному для идентификации индивидууму
(“субъекту данных”)”. Однако ничто не препятствует странам-участницам в
своем отечественном законодательстве конкретизировать это определение
применительно к национальным реалиям.
Как следует уже из самого названия Конвенции 108, ее принципы
распространяются только на персональные данные, предназначенные для
автоматизированной обработки электронными средствами. Тем не менее,
страны, ратифицировавшие Конвенцию, могут распространять ее положения и
на персональные данные, которые не подлежат автоматизированной обработке
(их часто называют “ручными данными”). Франция, например, так и сделала.
Главными элементами Конвенции 108 являются:
1) набор базовых принципов защиты данных (гл. II);
2) положения, относящиеся к транснациональным потокам данных (гл. III):
3) соглашения о сотрудничестве стран-участниц, включая и соглашение о
содействии субъектам данных, живущим за границей (гл. IV);
4) статьи об учреждении постоянного Консультативного комитета (гл. V).
В соответствии с современной международной терминологией, защита данных
включает: (а) принципы качества данных; (б) права субъекта данных. Они
устанавливаются соответственно в ст. 5 и 8. Все персональные данные,
подлежащие обработке, должны быть защищены соответствующими мерами
безопасности (ст. 7). Особенно строги предписания Конвенции в отношении
так называемых “чувствительных” данных. Допускается расширение перечня
“особо чувствительных” персональных данных в национальных
законодательствах стран-участниц Конвенции, но не обратное.
Конвенция 108 предусматривает свободное течение персональных данных
между странами-участницами Конвенции. Это свободное течение не может
быть ограничено по причинам защиты данных. Исключения допускаются только
в двух случаях:
1) если защита персональных данных в стране-контрагенте не является
эквивалентной (ст. 12);
119
2) если данные, передаваемые на территорию страны-контрагента,
предназначены для передачи транзитом в некую третью страну, не
являющуюся участницей Конвенции.
Для обеспечения взаимного сотрудничества и содействия, страны-участницы
Конвенции обязаны учредить национальный орган (или органы) по защите
данных, к которому можно было бы обращаться за помощью и содействием
(ст. 13). В большинстве стран, ратифицировавших Конвенцию 108,
посредством национального закона о защите данных был учрежден некий
центральный орган по защите данных, наделенный надзорными и
регулирующими полномочиями, а также функцией осуществления международных
связей в сфере защиты данных.
Консультативный комитет, состоящий из делегатов от стран-участниц,
отвечает за интерпретацию положений Конвенции и за содействие и
улучшение их применения на практике (ст. 18-20).
Конвенция 108 является основой для принятия национальных законов о
защите данных во многих европейских странах. Она предусматривает, что
страны, не являющиеся членами Совета Европы, могут, с санкции Комитета
Министров Совета Европы, присоединиться к ней (ст. 23). Однако
предварительным условием ратификации Конвенции (ст. 4) является принятие
соответствующего национального законодательства о защите данных. В 1990
г. Комиссия Европейского Сообщества согласилась с предложением, чтобы
Совет ЕС принял решение о присоединении ЕС. как единого целого, к
Конвенции 108.
Как и предполагалось в самой Конвенции 108. .институты Совета Европы
продолжают разрабатывать концепции защиты “прайвеси” в рамках,
очерченных Конвенцией. Их усилия сфокусированы на разработке
рекомендаций для правительств, стран – членов Совета Европы.
Рекомендации имеют то преимущество, что их легче тщательно проработать в
деталях, а вместо длительного процесса подписания и ратификации каждой
страной – членом Совета Европы они требуют для своего введения в
действие лишь единогласного принятия Комитетом Министров. Поэтому
процедура принятия рекомендаций является более легкой и удобной формой
реагирования на изменяющиеся обстоятельства, чем внесение изменений в
саму Конвенцию. И, кроме того, хотя эти рекомендации не являются
120
юридически обязывающими, они адресуются ко всем странам-членам Совета
Европы (независимо от того, является ли данная страна участницей
Конвенции 108 или нет), которые наделены моральным обязательством
добросовестно принимать во внимание эти рекомендации.
Рекомендации Совета Европы не ревизуют основополагающие принципы
Конвенции 108, они лишь конкретизируют их для различных отраслей
человеческой деятельности и для изменяющихся технологических и
социальных условий. Таким образом строится иерархическая система
инициатив Совета Европы в области защиты “прайвеси” и персональных
данных, где главенствующее положение занимает “базовая” инициатива –
Конвенция 108, а подчиненное положение отводится “отраслевым”
(секторным) инициативам -Рекомендациям Совета Европы. Мы можем
констатировать полную структурную аналогию этой системы инициатив Совета
Европы с применяемым большинством стран так называемым “смешанным”
подходом к построению национальных систем правовой защиты частной жизни
и персональных данных, где “отраслевые” (секторные) законы также
группируются вокруг “базового” закона типа Privacy Act или Data
Protection Act.
Механизм разработки и принятия Рекомендаций следующий. Комитет Министров
в 1976 г. учредил специальную проектную группу по защите данных, которая
состоит из высокопоставленных должностных лиц от всех стран – членов
Совета Европы, ответственных за защиту персональных данных в своих
странах. Для разработки специфических отраслевых (секторных)
рекомендаций эти официальные лица часто имеют советников из
соответствующих отраслей и секторов национальной экономики. Проектная
группа контролирует инициативы в области защиты данных и часто просит
Консультативный комитет, действующий согласно положениям Конвенции 108.
исследовать конкретные темы, вызывающие озабоченность в связи с защитой
персональных данных.
Работа проектной группы по большей части выполняется в
специализированных рабочих подгруппах, сложившихся за последнее
десятилетие. Охват широкого спектра мнений обеспечивается тем. что в
общих собраниях проектной группы (они проводятся каждые полгода) и в
деятельности Консультативного комитета могут
121
участвовать (разумеется, без права участия в голосовании) представители
Европейского Союза (ЕС), Международной торговой палаты. Международных
профессиональных и потребительских организаций и наблюдатели от стран,
не ратифицировавших Конвенцию 108. Предложения проектной группы часто
рассматриваются Европейским Комитетом по законодательному сотрудничеству
прежде, чем Комитет Министров вотирует их. Иногда эти предложения также
подлежат рассмотрению Руководящей комиссией по правам человека, которая
несет общую ответственность за координацию работы Совета Европы,
связанной с Европейской Конвенцией о правах человека. Эта комиссия,
например, рассматривала проект рекомендаций по защите данных в области
телекоммуникационных услуг.
К настоящему времени Комитет Министров принял следующие Рекомендации в
рамках реализации Конвенции 108:
– Рекомендация № R(81) 1 (от 23 января 1981 г.) об общих правилах для
автоматизированных банков медицинских данных (в настоящее время
пересматривается);
– Рекомендация № R(83) 10 (от 23 сентября 1983 г.) о персональных
данных, используемых для научных исследований и статистики (в настоящее
время пересматривается);
– Рекомендация № R(86) 1 (от 23 января 1986 г.) о персональных данных,
используемых для целей социального обеспечения:
– Рекомендация № R(87) 15 (от 17 сентября 1987 г.). регламентирующая
использование персональных данных полицейскими властями;
– Рекомендация № R(89) 2 (от 18 января 1989 г.) о защите персональных
данных, используемых в целях трудоустройства;
– Рекомендация № R(90) 19 (от 13 сентября 1990 г.) о защите персональных
данных, используемых для платежей и связанных с ними операций;
– Рекомендация № R(91) 10 (от 9 сентября 1991 г.) о сообщении третьим
сторонам персональных данных, хранимых общественными организациями;
– Рекомендация № R(95) 4 о защите персональных данных в области
телекоммуникационных услуг, с конкретными ссылками на телефонные услуги.
122
В стадии черновых разработок находятся подобные же рекомендации об
использовании персональных данных в областях медицинских данных
(пересмотр R(81) 1), статистики (пересмотр R(83) 10) и страхования
(новая разработка). HYPERLINK “” \l “B1735Part59p123s1” 1
Следует отметить, что Совет Европы во все более возрастающей степени
работает в параллель с развитием международного законодательства
Европейского Союза, чтобы гарантировать, что страны-члены ЕС примут
значительную часть его основополагающих принципов и рекомендаций в
области защиты персональных данных.
Еще более отчетливо проявилось взаимодействие международных организаций
по отношению к недавней новации в области международной защиты
персональных данных – так называемым Типовым договорным положениям. В
1992 г. Консультативный комитет по Конвенции 108 принял некий набор
типовых договорных положений, которые должны обеспечить защиту
персональных данных, а также передаваться публичной или частной
организацией из страны, ратифицировавшей Конвенцию 108, в страны,
которые не приняли меры. обеспечивающие “эквивалентную защиту”
персональных данных. С тех пор Совет Европы, Комиссия ЕС и Международная
торговая палата проявили недюжинную активность, поддерживая
существование и использование этих Типовых договорных положений.
Специальное упоминание о них было даже включено в окончательный текст
Директивы ЕС о защите данных, принятой Советом Министров ЕС в июле 1995
г.а. У перечисленных выше международных организаций есть надежда, что
эти Типовые договорные положения будут применяться национальными
органами защиты данных в тех случаях, когда иным решением могло бы быть
запрещение или ограничение передачи данных.
Международная торговая палата в мае 1993 г. провела встречу с Советом
Европы и Комиссией ЕС, чтобы оценить практическую ценность этих Типовых
договорных положений. Стороны пришли к консенсусу относительно того, что
это по-настоящему ценный и полезный инструмент международной защиты
“прайвеси” и трансграничных потоков данных. На последующих встречах,
также организованных Международной торговой палатой, к упомянутым
организациям в
123
качестве четвертого спонсора Типовых договорных положений присоединилась
Организация экономического сотрудничества и развития.
124
HYPERLINK “” \l “B1735Part59p117s1cr” 1 См.: Herald D.J. Jongen and
Gerrit A. Vriezeu, Council of Europe and European Economy Union: Data
Protection Regulatory System. Loeff Claeys Verbeke, 1995.
HYPERLINK “” \l “B1735Part59p118s1cr” 1 См.: Charles D.Raab,
European Perspectives on Protection of Privacy. Department of Politics
University of Edinburgh, Edinburgh, Scotland. 1995.
HYPERLINK “” \l “B1735Part59p123s1cr” 1 См.: Herald D.J. Jongen and
Gerrit A. Vriezen. Op. cit.
HYPERLINK “” \l “117” 117 :: HYPERLINK “” \l “118” 118 ::
HYPERLINK “” \l “119” 119 :: HYPERLINK “” \l “120” 120 ::
HYPERLINK “” \l “121” 121 :: HYPERLINK “” \l “122” 122 ::
HYPERLINK “” \l “123” 123 :: HYPERLINK “” \l “124” 124 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “124” 124 :: HYPERLINK “” \l “125” 125 ::
HYPERLINK “” \l “126” 126 :: HYPERLINK “” \l “127” 127 ::
HYPERLINK “B1735Content.html” Содержание
§ 3. Деятельность Евросоюза по гармонизации законодательства
о защите частной жизни и персональных данных
Ст. 59 Договора ЕЭС устанавливает в качестве общего правила свободу
оказания услуг по передаче компьютерной информации по международным
телекоммуникационным каналам. Изъятия или ограничения, налагаемые
национальными законами на свободный обмен потоками компьютерных данных,
считаются правомерными, если они отвечают требованиям ст. 55 и 56
Договора ЕЭС или так называемому “правилу причины”, выработанному судом
ЕЭС.
Гармонизацию национальных законов о защите “privacy” и персональных
данных ЕЭС первоначально намеривалось производить на основе “чужой
инициативы” – Конвенции 108 Совета Европы, для чего Европарламент
рекомендовал странам-членам ЕС подписать и ратифицировать эту Конвенцию.
Однако, если Конвенция 108 окажется неэффективной. ЕС предусмотрел
разработку собственной директивы по данной проблеме.
В 1990 г., когда степень эффективности Конвенции 108 уже определилась,
Совет ЕЭС распорядился о разработке проектов двух директив:
– “базовой” (общей) директивы “о защите частных лиц по отношению к
обработке персональных данных”, предусматривающей общую регламентацию
защиты данных (на время ее обсуждения и согласования странами – членами
ЕЭС проект этой директивы получил код SYN 287);
– “отраслевой” директивы “о защите “privacy” и персональных данных при
передаче данных с использованием цифровых телекоммуникационных сетей
связи общего пользования”, в частности, работающих на базе протокола
связи ISDN, и по каналам цифровых сетей мобильной связи общественного
пользования (проект этой директивы был обозначен кодом SYN 288).
Окончание обсуждения и согласования этих проектов и подписание
результирующей Директивы ЕЭС планировалось как необходимая мера для
завершения формирования Общего Рынка и трансформации
124
Европейского Экономического Сообщества (ЕЭС) в Европейский Союз (ЕС),
намеченного на конец 1992 г.
$a$gd~1?
?1/43/44 ‚ „ l!??“ r Oeh n r B D F H n p r t 3/4 A A Ae u?e?u?uss?e?U?u?e?u?u??e?UEUEU?u?e?u?u??e?U?u?e?u?u?e?u?u??e?UEUU 0J 0J 0J 0J u?e?u?u?e?u?u?e?u?u?e?u?uss?e?UOIOUEUAUA?AUOU°U°U°U°U°U°U°U©U°U°UEU & ( ¶ * ¶ >
U
i
*
,
2
4
l
n
t
v
~
?
3/4
A
A
Oe
O
= ?= ?O ?O aeO aeO eO
oioeoioioeoioiTHoeoUoioeoioioeoioioeoioioeoioioeoioioeoioiIoeoUEAEU?U??
“ “
a
j
Aсерьезных разногласий между странами-членами ЕС. Среди наиболее спорных
моментов в проектах директивы можно было бы назвать строгость
устанавливаемых правил в отношении сбора, обработки и использования
персональных данных, которые могли осуществляться исключительно с
согласия субъекта данных, а также не менее жесткие условия передачи
персональных данных по телекоммуникационным линиям в третьи страны. Эти
положения вызвали острые, нападки тех стран-членов ЕС. чьи позиции на
мировом информационном рынке наиболее сильны. “Заметное усердие проявили
англичане, особенно их “группы давления”, связанные с такими отраслями
экономики, как, например, банковско-кредитная сфера или прямой
маркетинг, которые собирают, обрабатывают, сверяют и передают
значительные объемы персональных данных, имеющих высокую коммерческую
ценность, по мировым телекоммуникационным каналам не только в
государства-члены ЕС. Против столь строгого регулирования выступали и
представители транснациональных корпораций, и правительства ряда стран,
например. Соединенных Штатов, которые рассматривали предложенную
Директиву ЕС как часть нетарифного экономического протекционизма”.
HYPERLINK “” \l “B1735Part60p125s1” 1
Европейский Парламент предложил расширить понятие “персональные данные”
за счет включения в него “характеристик внешних признаков физического
лица и его голоса, а также сведений, имеющих прямое отношение к цели
использования данных, поскольку существует определенная связь между
целью такого использования и самим индивидуумом”. HYPERLINK “” \l
“B1735Part60p125s2” 2 Окончательная редакция Директивы включает в
состав персональных данных внешние признаки физического лица, образец
его голоса и отпечатки пальцев. Само же определение в Директиве ЕС
понятия “персональные данные” не претерпело никаких изменений по
сравнению с определением, заложенным в Конвенции 108 Совета Европы.
Практически идентичны в этих двух документах и принципы качества данных.
125
Первоначально предполагалось, что идентичными будут и перечни “особо
чувствительных” персональных данных, обработка которых запрещена
(отступление от этого запрета допускается только в исключительных
случаях). Однако Европарламент предложил включить в этот перечень
данные, имеющие отношение к социальным аспектам характеристики личности,
в том числе и данные об исполненной судебной (уголовной)
ответственности. Согласно этому предложению Европарламента, сбор и
обработка данных “чисто личного характера” (например, данных о семейном
положении, количестве детей и размерах личного состояния) являются
неправомерными. Предложение Комиссии ЕС об установлении в частном
секторе запрета на сбор и обработку данных о лицах, совершивших
уголовные преступления, не прошло, поскольку осложняло принятие
превентивных мер и обнаружение преступников частными службами
безопасности.
Права субъекта данных существенно расширены Директивой ЕС по сравнению с
Конвенцией 108 Совета Европы. Так, например, ст. 15 (1) предусматривает
право отказа от предоставления персональных данных. Вводится важное
уточнение, гласящее, что согласие субъекта данных имеет силу лишь в том
случае, если он информирован относительно целей и видов обработки
персональных данных, их получателя (пользователя), а также имени
(названия) и адреса контролера данных. Как устанавливает ст. 2(g).
согласие может быть отозвано в любое время.
Серьезное внимание было уделено новым типам угроз для сферы частной
жизни, возникших в результате проникновения цифровых технологий в сферу
связи. Автоматические определители телефонных номеров (АОНы) запрещены
во всех странах-членах ЕС. Согласно проекту Директивы SYN 288 сбор,
хранение и обработка персональных данных телекоммуникационными
компаниями допускается исключительно для целей телекоммуникации.
Телекоммуникационные компании не вправе использовать передаваемые им или
получаемые при помощи технических средств данные для определения вида
деятельности абонентов или классификации индивидуальных абонентов по
категориям (ст. 4). Дополнительные сведения об абонентах могут быть
собраны и обработаны в целях заключения, осуществления, исправления,
дополнения или прекращения договорных обязательств с
телекоммуникационной компанией. После прекращения
126
договорных обязательств эти данные должны быть уничтожены (ст. 5).
Что касается институционных мер защиты, то ст. 26 Директивы ЕС
устанавливает, что государства-члены ЕС должны поручить надзор за
защитой персональных данных “независимому компетентному органу”. Этот
надзорный орган должен иметь полномочия, позволяющие ему расследовать
любые случаи нарушения национального законодательства о защите
персональных данных, включая право доступа к компьютерных базам данных.
Кроме того, этот надзорный орган должен иметь полномочия рассматривать
любые индивидуальные жалобы по вопросам, входящим в его компетенцию.
Представители этих надзорных органов от всех государств-членов ЕС под
председательством представителя Комиссии ЕС формируют рабочую группу по
защите прав граждан в вопросах обработки персональных данных (ст. 27).
Рабочая группа наделена только консультативными полномочиями.
Несмотря на затянувшиеся дебаты и трудности с достижением консенсуса,
Европейским Сообществом 24 октября 1995 г. была принята результирующая
Директива о защите персональных данных Предполагается, что в силу
обязательности ее исполнения странами членами ЕС, она окажет большее
гармонизирующее влияние на национальные законодательства о защите
“privacy” и персональных данных, чем Конвенция 108 Совета Европы.
127
HYPERLINK “” \l “B1735Part60p125s1cr” 1 Charles D.Raab. Op. pit., p.
6-7.
HYPERLINK “” \l “B1735Part60p125s2cr” 2 Herald D.J. Jongen and
Gerrit A. Vriezen. Op. cit., p. 10.
HYPERLINK “” \l “124” 124 :: HYPERLINK “” \l “125” 125 ::
HYPERLINK “” \l “126” 126 :: HYPERLINK “” \l “127” 127 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “127” 127 :: HYPERLINK “” \l “128” 128 ::
HYPERLINK “” \l “129” 129 :: HYPERLINK “” \l “130” 130 ::
HYPERLINK “” \l “131” 131 :: HYPERLINK “B1735Content.html”
Содержание
§ 4. Свобода трансграничных потоков информации и позиция
Международной торговой палаты в отношении защиты “прайвеси”
Оценив важность свободного движения информационных потоков через
национальные границы для бизнеса, с одной стороны, и решимость
демократических стран и международных организаций в защите персональных
данных как непременного атрибута сферы частной жизни граждан, с другой
стороны, Международная торговая палата уже в 1981 г. учредила Комиссию
по политике в области компьютеризации, телекоммуникаций и информации, а
также рабочую группу по “прайвеси” и защите данных. На протяжении
полутора десятилетий своей деятельности эта рабочая группа занималась (и
127
занимается поныне) управленческими, торговыми и предпринимательскими
проблемами, связанными с международно-правовым регулированием
информационных потоков, и разрабатывала рекомендации для Международной
торговой палаты по решению этих проблем.
Международная торговая палата внимательно следит за инициативами
международных организаций в области правового регулирования
трансграничных потоков персональных данных и защиты “прайвеси”. Она
уполномочена международными деловыми кругами на координацию лоббирования
этих международных инициатив в нужном для бизнеса направлении.
Для пропаганды позиции международного бизнеса Международная торговая
палата предпринимает выпуски своих концептуальных документов. Одним из
таких документов было эссе “Защита персональных данных. Точка зрения
международного бизнеса”. HYPERLINK “” \l “B1735Part61p128s1” 1 В этом
эссе анализируются три главные на тот момент международные инициативы в
области защиты “privacy” и персональных данных: Руководящие принципы
OECD, Директива 108 Совета Европы и проект Директивы ЕС о защите
персональных данных.
Официальное отношение международного бизнес-сообщества к
сбалансированной защите сферы частной жизни и персональных данных
индивидуума, с одной стороны, и свободы трансграничных потоков данных, с
другой стороны, можно обобщить в 5 базовых принципах:
“1) важность защиты “privacy” частного гражданина, включая защиту против
ненадлежащего использования информации, связанной с ним;
2) важность эффективного обмена информацией в развитии современной
международной торговли и коммерции;
3) право любого бизнеса на свободное общение (свободные коммуникации)
как внутри, так и вне его корпоративной структуры;
4) необходимость признания всемирной зависимости современных
бизнес-коммуникаций от трансграничных потоков данных;
5) необходимость (в тех случаях, когда это приемлемо) гармонизировать
средства и меры правовой защиты “privacy” на
128
международной основе, причем провести эту гармонизацию таким образом,
чтобы избежать создания барьеров для международных информационных
потоков”. HYPERLINK “” \l “B1735Part61p129s1” 1
Разумеется, главным для мирового бизнес-сообщества (и для Международной
торговой палаты как его рупора) является максимальная свобода
трансграничных потоков персональных данных, без которой современная
торговля и предпринимательство, носящие отчетливо выраженный кредитный
характер, практически невозможны.
Казалось бы, деловые круги (и на национальном, и на международном
уровне) должны быть принципиальными противниками концепции “прайвеси”,
которая в форме защиты персональных данных является основным
препятствием для свободы информационных потоков. Однако как ни
парадоксально, бизнес-сообщество заинтересовано в поддержке концепции
“прайвеси”. Правда, интересует его не индивидуальная, а так называемая
корпоративная “прайвеси”. Суть этой, достаточно искусственной, концепции
корпоративной “прайвеси” состоит в следующем: если закон признает, что
любой индивидуум наделен некой “сферой частной жизни” (“прайвеси”),
неприкосновенной для постороннего посягательства, то он должен признать,
что и любая группа индивидуумов (ассоциация, корпорация или иная
организация) тоже обладает некой “частной сферой”, которая тоже должна
быть защищена от постороннего посягательства. Применительно к сфере
информации, это означает, что на информацию о корпорациях должны быть
распространены статус и все процедуры правовой защиты персональных
данных.
Причины такого стремления деловых кругов достаточно очевидны.
Разумеется, в любом государстве информация о предприятиях и фирмах в
сфере частного бизнеса защищается законами о коммерческой тайне, о
доверительной (конфиденциальной) информации и т.п. В случае утечки или
разглашения такой информации пострадавшее юридическое лицо может
прибегнуть к помощи подобных законов в порядке гражданского
судопроизводства. Однако такая система защиты корпоративной информации
обладает двумя недостатками.
129
Во-первых, к помощи вышеупомянутых законов фирма может прибегнуть только
в том случае, если лицо, разгласившее информацию о данной организации,
связано с ней либо трудовыми отношениями, либо заключенным в явной форме
или вытекающим из обстоятельств соглашением о конфиденциальности
сообщаемой информации. Любые третьи стороны, не попадающие в эти две
категории (например, представители прессы), не обязаны по закону
сохранять в тайне попавшую к ним информацию о некой организации.
Во-вторых, сам характер гражданского судопроизводства таков, что
судебное преследование может быть предпринято только по уже
свершившемуся и установленному факту утечки или разглашения информации.
Латентные утечки информации вообще остаются вне поля зрения закона.
Иными словами, деликтная система правовой защиты корпоративной
информации не может предотвратить утечку или разглашение этой
информации. Именно поэтому деловые круги привлекает отработанная система
защиты персональной информации, которая распространяет свое действие на
любое лицо, собирающее, обрабатывающее или использующее персональные
данные независимо от наличия договорных или иных отношений с субъектом
этих данных, и которая направлена на предотвращение разглашения
персональных данных.
Помимо деловых кругов, концепция корпоративной “прайвеси” по тем же
причинам весьма привлекательна для многих общественных организаций,
таких, как политические партии, религиозные организации,
профессиональные ассоциации и т.п. Именно поэтому она встретила полную
поддержку и, как следствие, законодательное признание в парламентах
целого ряда стран. Приведем несколько примеров.
Австрийский закон 1978 г. о защите данных HYPERLINK “” \l
“B1735Part61p130s1” 1 определяет понятия “персональные данные” и
“субъект данных” таким образом, что распространяет эти понятия как на
физических, так и на юридических лиц, а также на ассоциации физических и
юридических лиц. подпадающих под регулирование торгового права.
Правительственная объяснительная записка к этому закону аргументирует
это следующим образом: “…большинство данных о юридических лицах может
быть сведено к информации о физических лицах; а, с другой стороны.
130
обработка данных порождает угрозы и для коллективных интересов”.
HYPERLINK “” \l “B1735Part61p131s1” 1 Статус персональных данных
распространяется на информацию о юридических лицах законами Дании,
Исландии, Люксембурга, Норвегии. Швейцарии, заложен в проект
итальянского закона о защите индивидуумов в связи с автоматической
обработкой персональных данных.
Итак, несмотря на то, что на международном уровне при разработке
Руководящих принципов OECD не были закреплены положения,
распространяющие статус персональных данных на информацию о юридических
лицах (во Франции, например, данное положение не прошло даже стадии
первого чтения), на национальном уровне концепция корпоративной
“прайвеси” стала доминирующей при разработке и принятии законов о защите
данных. Тем не менее, деловые круги продолжают деятельность за
международное признание концепции корпоративной “прайвеси”, выдвигая в
качестве основного аргумента утверждение, что введение понятия
корпоративной “прайвеси” необходимо для повышения уровня доверия в сфере
бизнеса.
131
HYPERLINK “” \l “B1735Part61p128s1cr” 1 См.: Protection of Personal
Data: An International Business View, Document ICC, No. 373/128, 4
October 1991.
HYPERLINK “” \l “B1735Part61p129s1cr” 1 Charles E.H. Franclin, Op.
cit, p. XVI-XVII.
HYPERLINK “” \l “B1735Part61p130s1cr” 1 См.: Sec. 3(1,2) of Austrian
Data Protection Act (1978).
HYPERLINK “” \l “B1735Part61p131s1cr” 1 См.: Federal Law. Gazette
Nr. 565/1978.
HYPERLINK “” \l “127” 127 :: HYPERLINK “” \l “128” 128 ::
HYPERLINK “” \l “129” 129 :: HYPERLINK “” \l “130” 130 ::
HYPERLINK “” \l “131” 131 :: HYPERLINK “B1735Content.html”
Содержание
***********************************
HYPERLINK “” \l “131” 131 :: HYPERLINK “” \l “132” 132 ::
HYPERLINK “B1735Content.html” Содержание
§ 5. Защита частной жизни и персональных данных
в сообществе стран Шенгенского соглашения
Подписание Францией, Германией, Бельгией, Люксембургом и Нидерландами
HYPERLINK “” \l “B1735Part62p131s2” 2 международного Шенгенского
соглашения (14 июня 1985 г.) и Конвенции о введении в действие и
применении Шенгенского соглашения (19 июня 1990 г.) создало так
называемую Шенгенскую информационную систему. HYPERLINK “” \l
“B1735Part62p131s3” 3 Последним термином принято называть
образовавшуюся на совокупной территории стран-участниц зону, внутри
которой полицейские данные (в силу своей специфики они являются в
подавляющем большинстве случаев персональными) могут передаваться без
учета национальных границ. Шенгенская информационная система породила
ряд новых (для международного и
131
национального права) проблем, связанных с защитой персональных данных,
информационным суверенитетом и информационной национальной
безопасностью.
Основные положения Шенгенского соглашения, касающиеся защиты
персональных данных, базируются на соответствующих положениях Конвенции
108 Совета Европы, наиболее авторитетного международного соглашения на
момент принятия Шенгенской конвенции 1985 г.
Однако поскольку теперь зона Шенгенской информационной системы
расширилась почти на всю территорию Евросоюза, то возникли новые
факторы, которые привели к более жестким принципам защиты данных,
установленным Директивой ЕС о защите персональных данных.
Первым таким фактором является само принятие вышеупомянутой Директивы ЕС
24 октября 1995 г., вторым – инициатива 1993 г. о создании Европола
(специальной европейской полицейской структуры по борьбе с наркотиками),
которая предполагает обмен персональными данными на лиц, подозреваемых в
контрабанде наркотиков. Третьим – предложение принять Конвенцию о
внешних границах в рамках Маастрихтского договора ЕС, которая также
предусматривает согласованное наблюдение за преступными элементами,
обмен персональными данными о них и скоординированные аресты
подозреваемых в организации нелегальных каналов сбыта наркотиков через
государственные границы стран – членов ЕС. Все мероприятия по созданию,
управлению и использованию такой общеевропейской полицейской базы данных
будут регулироваться положениями Директивы ЕС 1995 г. о защите
персональных данных.
132
HYPERLINK “” \l “B1735Part62p131s2cr” 2 Далее к Шенгенскому
соглашению присоединились все страны-члены ЕС, кроме Ирландии, Дании и
Великобритании.
HYPERLINK “” \l “B1735Part62p131s3cr” 3 OECD documents. Op. cit, p.
24.
HYPERLINK “” \l “131” 131 :: HYPERLINK “” \l “132” 132 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “133” 133 :: HYPERLINK “” \l “134” 134 ::
HYPERLINK “B1735Content.html” Содержание
Глава 16. Перспективы развития
международного регулирования обработки
и передачи персональных данных
Основной задачей международных организаций на ближайшие годы остается
совершенствование организации и регулирования транснациональных потоков
данных. Основной целью – обеспечение максимальной свободы международного
обмена персональными данными при одновременном повышении правовой защиты
субъектов данных. При этом совершенно различные подходы предполагаются
для двух следующих вариантов международного обмена данными.
§ 1. Обмен данными между странами с эквивалентными
национальными системами правовой защиты данных
Единственным средством достижения гармонизации национальных
законодательств о защите данных является их унификация в рамках
международных организаций с переходом в перспективе к единому
международному законодательству в области защиты данных Косвенным
подтверждением тенденции к формированию единого международного
законодательства является конвергенция позиций ведущих международных
организаций – ООН. OECD, Совета Европы. ЕС – и их стремление к
скоординированным действиям в сфере защиты персональных данных. Наиболее
интересны действия и планы Евросоюза как международного сообщества,
дальше других продвинувшегося в этом направлении.
Уже само принятие Директивы ЕС 1995 г. о защите персональных данных
свидетельствует о постепенном переходе от добровольно-рекомендательных и
договорно-правовых мер международной регламентации обработки и
использования персональных данных к мерам обязательным (директивным).
Еще более впечатляющими являются планы Евросоюза перейти от простого
регулирования сложившихся трансграничных потоков данных к направленной
организации информационного пространства в рамках своего сообщества
государств на базе единых и обязательных для всех “правил движения”
информационных потоков. Мы имеем в виду выдвинутое в 1993 г. Специальной
комиссией ЕС по
133
информационной инфраструктуре предложение о создании европейской версии
Американской национальной информационной инфраструктуры, ориентированной
на эффективное использование пространственно-распределенных
информационных систем.
В США такая система организации информационной инфраструктуры получила
название “информационных хайвеев” (от английского слова “highway” –
“скоростное шоссе” или “магистраль”). Это название, мгновенно
завоевавшее международное признание, несет двойную смысловую нагрузку.
Во-первых, оно подчеркивает, что в информационной инфраструктуре
многочисленным потокам данных обеспечена возможность быстрого и
беспрепятственного движения, как автомобилям на скоростном шоссе.
Во-вторых, как и на скоростном шоссе, эта возможность обеспечивается, в
первую очередь, за счет подчинения всех участников движения единым
“правилам дорожного движения”.
Упомянутое предложение Специальной комиссии ЕС было основано на отчете,
подготовленном группой специалистов под руководством Европейского
специального уполномоченного (по защите данных) Мартина Бенджамена и
одобрено в июне 1994 г.. во время встречи на высшем уровне в Корфу,
проводившейся под эгидой ЕС. HYPERLINK “” \l “B1735Part63p134s1” 1 В
том же 1994 г. Комиссия ЕС приняла план действий ЕС (основанный на том
же отчете Бенджамена), который ставит своей целью развитие Европейской
информационной инфраструктуры, обеспечивающей не только
беспрепятственное и гибкое движение информации внутри ЕС. но и
информационные взаимосвязи со странами за пределами расширяющегося
Европейского Союза на базе совместного использования
пространственно-распределенных информационных систем. В этой сфере
циркулирует огромное и практически неучтенное количество персональных
данных, поэтому принципы защиты данных (за основу, разумеется, будет
принята Директива ЕС 1995 г. о защите персональных данных) составят
важнейшую часть “правил дорожного движения”, разрабатываемых для
будущего Европейского “скоростного информационного шоссе”.
134
HYPERLINK “” \l “B1735Part63p134s1cr” 1 См.; CORDIS, 1994.
HYPERLINK “” \l “133” 133 :: HYPERLINK “” \l “134” 134 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “135” 135 :: HYPERLINK “” \l “136” 136 ::
HYPERLINK “” \l “137” 137 :: HYPERLINK “” \l “138” 138 ::
HYPERLINK “” \l “139” 139 :: HYPERLINK “” \l “140” 140 ::
HYPERLINK “B1735Content.html” Содержание
§ 2. Обмен данными между странами с разным уровнем
правовой защиты персональных данных
Серьезные юридические проблемы возникают в случаях обмена персональными
данными:
– между страной, гармонизировавшей свое законодательство о защите данных
в системе одной международной организации и страной, гармонизировавшей
свое законодательство в системе другой международной организации;
– между страной с гармонизированным законодательством и страной, где
правовая защита персональных данных находится на недостаточном уровне
или отсутствует вообще.
Любая международная инициатива в области защиты данных -будь то
Руководящие принципы OECD. Конвенция 108 Совета Европы или Директива ЕС
– допускает для своих стран-участниц передачу персональных данных только
в страны с сопоставимым уровнем правовой защиты данных. Вот как
трактуется этот вопрос в ст. 24(1) Директивы ЕС 1995 г. о защите
персональных данных: “Страны -члены ЕС должны предусмотреть в своем
законодательстве то. что передача в некую третью страну, как на
временной, так и на постоянной основе, персональных данных, которые
подвергаются обработке или были собраны с целью обработки, может иметь
место. только если эта страна обеспечивает адекватный уровень защиты”.
HYPERLINK “” \l “B1735Part64p135s1” 1
Это положение Директивы порождает всеобщие и непрестанные проблемы,
каким образом сравнивать (если это вообще возможно) несоизмеримые
системы защиты с точки зрения их оценки перед отправкой данных в эту
страну. Если передача персональных данных происходит между публичными
секторами обеих стран, то тогда оценить законы страны-реципиента вполне
возможно, поскольку в подавляющем большинстве стран “базовый” закон о
защите данных (если он существует) распространяется именно на публичный
сектор и имеет, как правило, довольно стандартную структуру и
содержание. Трудности могут иметь место только в некоторых федеральных
странах, поскольку, хотя на федеральном уровне и принято
135
законодательство о защите данных, некоторые штаты или территории могут
его не иметь.
Гораздо сложнее принять решение о трансграничной передаче данных между
компаниями частного сектора, поскольку в большинстве неевропейских (и в
некоторых европейских) стран законодательство о защите данных в частном
секторе отсутствует или находится на явно недостаточном уровне.
Требуется детальное изучение местных законов в таких странах, чтобы
адекватно оценить принятые в них стандарты защиты персональных данных.
Дело это нелегкое, поскольку во многих странах законы не являются легко
доступными, ясными и очевидными. Такие оценки уровня правовой защиты
данных на отраслевом уровне или даже на уровне компаний должны время от
времени пересматриваться для того, чтобы оценить происходящие перемены,
которые могут иметь место.
Трудности подобных оценок уровня защиты данных в частном секторе
страны-реципиента можно привести на примере некой частной компании по
страхованию жизни: из страны, гармонизировавшей свое законодательство в
соответствии с Конвенцией 108 Совета Европы, необходимо передать
персональные данные аналогичной компании в США, где Федеральный, базовый
закон о защите данных гармонизирован в соответствии с Руководящими
принципами OECD. Но помимо него существует негармонизированная и
неорганизованная огромная масса (около 600 единиц) отраслевых законов и
законов штата. Для принятия решения о допустимости и правомерности
передачи этих персональных данных придется установить существование
(разыскать, получить и проанализировать как минимум) следуюших законов:
– законы о медицинской конфиденциальности тех штатов, где ведет свою
деятельность компания-реципиент;
– законы соответствующих штатов о страховании жизни с использованием
страховки, предусматривающей соизмеримость ущерба с возмещением, а также
их соответствие типовому закону, разработанному Национальной ассоциацией
страховых комиссионеров;
– федеральные законы, связанные с конфиденциальностью архивных данных о
злоупотреблении наркотиками и алкоголем:
– Федеральный законодательный акт 1970 г. о добросовестном составлении
кредитных отчетов;
136
– законы о невмешательстве в финансовую частную сферу как федеральный,
так и штатские;
– федеральные и штатские законы об ограничениях конфиденциальности,
налагаемых на бюро медицинской информации;
– законодательство об информации по СПИДу.
Такой внушительный список релевантных законов в этом секторе экономики в
достаточной мере иллюстрирует те трудности, которые предстоят в случае
попыток сравнения уровней защиты данных между странами с
законодательством о защите данных, содержащим ограничения на
трансграничные потоки данных, и странами, относящимися к другой системе
гармонизации или с недостаточным уровнем правовой защиты данных.
Для преодоления трудностей обмена персональными данными со странами с
неэквивалентным или недостаточным уровнем правовой защиты данных
международные организации (OECD, Совет Европы и ЕС) предлагают
комплексное использование двух нестатутных средств: (1) Кодексов
практики/поведения; (2) прямых договоров между экспортером и импортером
данных с обусловленными стандартами защиты передаваемых данных
HYPERLINK “” \l “B1735Part64p137s1” 1 . При этом предполагается, что
Кодексы практики могут использоваться для оценки уровня защиты данных у
непосредственного реципиента данных (отрасли, корпорации, компании и
т.д.), а контракты на обмен и защиту данных послужат договорно-правовыми
инструментами защиты персональных данных.
Это порождает возможность использования Кодексов практики и контрактов
как средств для обеспечения защиты данных в частном секторе. В случае
недостаточности или отсутствия в данной стране соответствующего
законодательства, они являются -главными механизмами, доступными для
пользователей или собирателей данных, чтобы показать, что
соответствующий уровень защиты данных существует. Контракты могут быть
использованы для формирования своего рода мостика или связи между
экспортером данных в стране, которая располагает исчерпывающими и
137
всесторонними законами о защите данных, и импортером в стране, которой
таких законов недостает. Эти контракты устанавливают, что импортер
персональных данных должен соблюдать определенные стандарты в связи с
использованием, хранением или раскрытием данных. Бенефициариями этих
контрактов должны быть субъекты данных и орган власти по защите данных.
Если в странах континентального права это вполне возможно по закону, то
в странах общего права это может оказаться более проблематичным. В
странах общего права доктрина договорных отношений препятствует тому,
чтобы на основании контракта третьи стороны обретали прямые средства
правовой защиты против сторон контракта. Однако можно прибегнуть к
другим техническим приемам, чтобы обойти эти трудности. Например,
создание взаимосвязи типа “доверитель – агент” между субъектом данных и
экспортером данных так. чтобы экспортер являлся действующим от имени и в
интересах субъекта данных. Или альтернативный вариант: обязательства
импортера данных могут быть подписаны экспортером, который должен
предоставить некие гарантии в пользу субъекта данных на тот случая, если
импортер нарушит свои обязательства и откажется соблюдать условия
данного соглашения. Это может неплохо сработать в случае компенсируемых-
ущербов, однако в большинстве случаев субъекты данных хотят гарантии
того, что злоупотребления данными будут пресечены. Такие гарантии здесь,
разумеется, недостижимы. HYPERLINK “” \l “B1735Part64p138s1” 1
Контрактное решение может хорошо работать в тех случаях, когда импортер
данных неким образом связан с экспортером, например, один из них
является дочерней компанией другого. Оно также может удовлетворительно
действовать в тех случаях, когда импортер располагает неким агентом,
работающим в стране экспортера данных, тогда это лицо может нести
ответственность за действия импортера по контракту. Несмотря на все эти
ограничения в применении контрактов, они использовались и продолжают
использоваться органами по защите данных в таких странах, как Австрия,
Франция, Германия и Норвегия. Именно поэтому Совет Европы и Комиссия ЕС
поддержали инициативу OECD по разработке типовых договорных положений.
138
Как отмечается в аналитическом обзоре OECD, органы по защите данных
испытывают постоянную нужду в правовых “точках опоры” для принуждения к
соблюдению законов своей страны, и одной из таких “точек опоры” могут
быть вышеупомянутые прямые контракты на обмен и защиту данных.
Контрактное решение предусматривает, как правило, что контракт является
объектом права экспортирующей страны. Следовательно, законы
экспортирующей страны о защите данных являются применимыми к нему и,
таким образом, при соответствующих обстоятельствах орган власти по
защите данных может использовать свои полномочия для преследования
экспортера за их нарушение.
Кодексы практики могут использоваться не только для оценки уровня защиты
данных у корпорации-реципиента, как указывалось выше, но и в качестве
вполне жизнеспособной и плодотворной альтернативы для контрактного
решения. Во-первых, любой отраслевой (секторный) кодекс, если он имеет
надлежащую форму и содержание, может аннулировать для транснациональных
компаний, действующих в этой отрасли (секторе экономики), необходимость
заключения контрактов, упомянутых выше. Во-вторых, некоторые
транснациональные компании имеют так много дочерних компаний, что было
бы ненужной и обременительной формальностью требовать, чтобы все они
имели прямые контракты на передачу и защиту данных, если существует
надлежащий Кодекс практики для всей этой корпоративной группы. Такой
подход уже был использован Австрийской комиссией по защите данных,
которая разрешила корпорации IBM экспортировать данные из этой страны на
определенных условиях. Это разрешение основывалось на тексте внутренних
инструкций IBM и процедурах обеспечения защиты и безопасности данных
внутри этой корпорации. HYPERLINK “” \l “B1735Part64p139s1” 1
Подводя итоги, следует отметить следующее. Любое решение на передачу
персональных данных за границу основывается на доверии к реципиенту и к
правовым положениям о защите данных, существующим в стране-импортере.
Существование конкретных законов и органа власти по защите данных дает
определенную степень уверенности субъекту данных и импортеру данных.
Однако бывают
139
случаи, когда оценить уровень защиты данных в стране-импортере весьма
трудно или уровень этот оценивается как неудовлетворительный, в то время
как непосредственный реципиент данных заслуживает доверия своей
практикой обработки данных и внутренними мерами по обеспечению защиты и
безопасности данных. В таких случаях органы власти по защите данных в
странах-экспортерах, как правило, ограничивают или запрещают передачу
данных за границу. Совет Европы, OECD и Комиссия ЕС едины во мнении, что
во многих подобных случаях может быть достигнут компромисс при помощи
использования прямых договоров о передаче и защите (хотя их применение
ограничено), а также отраслевых или корпоративных Кодексов практики.
Однако все эти меры “ad hoc”, рекомендуемые на ближайшее будущее, могут
рассматриваться только как временное решение. Решение этих проблем на
постоянной основе еще только предстоит найти.
140
HYPERLINK “” \l “B1735Part64p135s1cr” 1 OECD documents. Op. cit., p.
59.
HYPERLINK “” \l “B1735Part64p137s1cr” 1 См.: Herald D.J. Jongen and
Gerrit A. Vriezen, Council of Europe and European Economy Union: Data
Protection Regulatory System, Loeff Claeys Verbeke -1995; а также OECD
documents. Op. cit, p. 61.
HYPERLINK “” \l “B1735Part64p138s1cr” 1 OECD documents. Op. cit., p.
60-61.
HYPERLINK “” \l “B1735Part64p139s1cr” 1 OECD documents. Op. cit., p.
60-61.
HYPERLINK “” \l “135” 135 :: HYPERLINK “” \l “136” 136 ::
HYPERLINK “” \l “137” 137 :: HYPERLINK “” \l “138” 138 ::
HYPERLINK “” \l “139” 139 :: HYPERLINK “” \l “140” 140 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “141” 141 :: HYPERLINK “” \l “142” 142 ::
HYPERLINK “” \l “143” 143 :: HYPERLINK “” \l “144” 144 ::
HYPERLINK “” \l “145” 145 :: HYPERLINK “” \l “146” 146 ::
HYPERLINK “” \l “147” 147 :: HYPERLINK “” \l “148” 148 ::
HYPERLINK “” \l “149” 149 :: HYPERLINK “” \l “150” 150 ::
HYPERLINK “” \l “151” 151 :: HYPERLINK “” \l “152” 152 ::
HYPERLINK “” \l “153” 153 :: HYPERLINK “” \l “154” 154 ::
HYPERLINK “” \l “155” 155 :: HYPERLINK “” \l “156” 156 ::
HYPERLINK “” \l “157” 157 :: HYPERLINK “” \l “158” 158 ::
HYPERLINK “” \l “159” 159 :: HYPERLINK “” \l “160” 160 ::
HYPERLINK “” \l “161” 161 :: HYPERLINK “” \l “162” 162 ::
HYPERLINK “” \l “163” 163 :: HYPERLINK “” \l “164” 164 ::
HYPERLINK “” \l “165” 165 :: HYPERLINK “” \l “166” 166 ::
HYPERLINK “” \l “167” 167 :: HYPERLINK “” \l “168” 168 ::
HYPERLINK “” \l “169” 169 :: HYPERLINK “” \l “170” 170 ::
HYPERLINK “” \l “171” 171 :: HYPERLINK “” \l “172” 172 ::
HYPERLINK “” \l “173” 173 :: HYPERLINK “” \l “174” 174 ::
HYPERLINK “” \l “175” 175 :: HYPERLINK “” \l “176” 176 ::
HYPERLINK “” \l “177” 177 :: HYPERLINK “” \l “178” 178 ::
HYPERLINK “” \l “179” 179 :: HYPERLINK “” \l “180” 180 ::
HYPERLINK “” \l “181” 181 :: HYPERLINK “” \l “182” 182 ::
HYPERLINK “” \l “183” 183 :: HYPERLINK “” \l “184” 184 ::
HYPERLINK “” \l “185” 185 :: HYPERLINK “” \l “186” 186 ::
HYPERLINK “” \l “187” 187 :: HYPERLINK “” \l “188” 188 ::
HYPERLINK “” \l “189” 189 :: HYPERLINK “” \l “190” 190 ::
HYPERLINK “” \l “191” 191 :: HYPERLINK “” \l “192” 192 ::
HYPERLINK “” \l “193” 193 :: HYPERLINK “” \l “194” 194 ::
HYPERLINK “” \l “195” 195 :: HYPERLINK “” \l “196” 196 ::
HYPERLINK “” \l “197” 197 :: HYPERLINK “” \l “198” 198 ::
HYPERLINK “” \l “199” 199 :: HYPERLINK “” \l “200” 200 ::
HYPERLINK “” \l “201” 201 :: HYPERLINK “” \l “202” 202 ::
HYPERLINK “” \l “203” 203 :: HYPERLINK “” \l “204” 204 ::
HYPERLINK “” \l “205” 205 :: HYPERLINK “” \l “206” 206 ::
HYPERLINK “” \l “207” 207 :: HYPERLINK “” \l “208” 208 ::
HYPERLINK “B1735Content.html” Содержание
ПРИЛОЖЕНИЯ
ВЕЛИКОБРИТАНИЯ
АКТ 1984 г. О ЗАЩИТЕ БАЗ ДАННЫХ
Восемь принципов
Информация, которая будет содержаться в персональных данных, и сами
персональные данные должны быть собраны и обработаны честно и в строгом
соответствии с законом.
Персональные данные должны собираться только для одной или более
конкретных целей, которые не противоречат действующему законодательству.
Персональные данные, собранные для какой-либо цели или для каких-либо
целей, не могут быть использованы или раскрыты в какой-либо форме, не
совместимой с этой целью или с этими целями.
Персональные данные, собранные для какой-либо цели или для каких-либо
целей, должны быть достаточными, уместными и не чрезмерными относительно
той цели или тех целей, для которых они собирались.
Персональные данные должны быть достоверными и, когда это необходимо,
актуальными.
Персональные данные, собранные для какой-либо цели или для каких-либо
целей, не могут храниться дольше, чем того требуют цель или цели сбора
данных.
Лицо вправе:
(a) быть осведомленным пользователем данных относительно наличия у него
персональных данных на такое лицо;
(b) иметь доступ к любым своим данным, хранящимся у пользователя данных;
(c) в случае необходимости требовать внесения исправлений в неточные
данные или их уничтожения.
При этом, с одной стороны, лицо не должно слишком часто настаивать на
доступе к своим персональным данным, а с другой стороны, пользователь
данных должен предоставить ему доступ в
141
разумные сроки и без неоправданного завышения стоимости такого доступа.
Пользователь данных обязан принять все необходимые меры против
несанкционированного доступа к персональным данным, изменения их
содержания, разглашения или уничтожения, а также против случайной утраты
или уничтожения персональных данных.
Акт, регулирующий использование автоматически обрабатываемой информации,
касающейся индивидуумов, и оказание услуг по поводу такой информации (12
июля 1984 г.).
Часть I
Содержание
Определение понятия “данные” и близких ему по значению терминов.
Принципы защиты данных.
Регистратор и суд.
Часть II
Регистрация и контроль за деятельностью пользователей данных и лиц,
руководящих деятельностью фирм, занимающихся обработкой компьютерных
данных.
Регистрация
Регистрация пользователей данных и компьютерных бюро.
Запрет на нелицензированное хранение данных.
Порядок подачи заявлений для -регистрации и внесения дополнений в
регистрационные документы.
Одобрение и отказ в регистрации.
Срок действия лицензии и порядок ее продления.
Проверка и т.д. регистрационных документов.
Надзор за исполнением
Предупреждение о принятии принудительных мер.
Уведомление об аннулировании регистрации.
142
Порядок направления извещения о наложении запрета на передачу данных.
Апелляция решений
Порядок подачи и рассмотрения апелляции.
Вынесение решения по апелляции.
Другие вопросы и приложения
Несанкционированное раскрытие данных фирмой, специализирующейся на
обработке компьютерной информации.
Полномочия на вход и досмотр помещения и документов.
Разглашение информации.
Процедура оповещения.
Судебное преследование и наказание.
Ответственность директоров и других лиц.
Часть III
Права субъектов данных
Право доступа к персональным данным.
Возмещение ущерба, причиненного неточными персональными данными.
Возмещение ущерба за утрату или несанкционированное разглашение
персональных данных.
Внесение изменений в персональные данные или их уничтожение.
Юрисдикция и судебный процесс.
Часть IV
Исключения
Предварительные сведения.
Национальная безопасность.
Преступления и налоги.
Состояние здоровья и выполнение правительственных заданий.
143
Регулирование деятельности финансовых и прочих служб.
Юридические назначения и установление законных профессиональных
привилегий.
Платежные ведомости и счета.
Национальные ограничения.
Другие ограничения.
Замечания по поводу изучения.
Часть V
Общие вопросы
Общие полномочия Регистратора.
Сотрудничество стран-участниц в деле реализации Конвенции.
Применение ее правительственными учреждениями и полицейскими властями.
Хранение персональных данных и оказание услуг, связанных с
персональными данными, за пределами национальной территории
Великобритании.
Положения, правила и ордера.
Общее толкование.
Начальные и переходные положения.
Одноразовые разрешения и продление разрешений.
Приложения
Приложение 1. Принципы защиты персональных данных.
Приложение 2. Положения о Регистраторе защиты баз данных и о Суде по
защите баз данных.
Приложение 3. Порядок подачи апелляций.
Приложение 4. Полномочия на доступ в помещение и инспекцию баз данных.
144
Часть I
Содержание
Определение понятия “данные”
и близких ему по значению терминов
1. – (1). При толковании положений, содержащихся в настоящем акте,
следующие термины будут иметь силу:
(2). Под “данными” понимается информация, записанная в форме,
позволяющей ее обрабатывать с помощью оборудования, работающего в
автоматическом режиме по заданной для этой цели программе.
(3). Под “персональными данными” понимается информация о физическом
лице, которое может быть идентифицировано с помощью такой информации
(или с помощью этой или иной информации, находящейся в распоряжении
пользователя данных), включая любое выраженное мнение о данном лице, но
без указания о намерениях пользователя данных в отношении этого лица.
(4). Под “субъектом данных” понимается индивидуум, являющийся субъектом
персональных данных.
(5). Под “пользователем данных” понимается лицо, в распоряжении которого
находятся данные, и это лицо “распоряжается” этими данными, если:
(a) данные являются составной частью базы обработанных или
предназначенных для обработки данных таким лицом или по его поручению,
как об этом упоминалось в части (2);
(b) это лицо (самостоятельно, совместно или по договоренности с другими
лицами) контролирует содержание данных и пользуется данными,
составляющими базу данных;
(c) данные собраны в форме, в которой они были обработаны или в форме,
позволяющей их обрабатывать способом, указанным в пункте (а), или (хотя
в настоящий момент они не находятся в такой форме) в форме, которую окй
приняли после их обработки и с учетом возможности их последующей
обработки в будущем.
145
(6). Под термином “лицо, руководящее деятельностью фирмы, занимающейся
обработкой компьютерных данных”, понимается лицо, оказывающее услуги по
сбору и обработке данных другим лицам и:
(a) действующее в качестве агента других лиц по обработке данных,
хранящихся у этих лиц, как об этом говорится в части (2);
(b) если оно позволяет другим лицам использовать его оборудование в
целях обработки данных, хранящихся у этих лиц, как это указывается в
настоящем пункте.
(7). Под термином “обработка”, применительно к понятию “данные”,
понимается дополнение, наращивание, уничтожение или структурное
изменение данных или вычленение информации, содержащейся в данных, что
касается персональных данных -осуществление операций с данными,
касающихся непосредственно какого-то конкретного субъекта данных.
(8). Положения части (7) не будут распространяться на какую-либо
операцию, осуществляемую исключительно в целях подготовки текста
документов.
(9). Под термином “раскрытие” применительно к понятию “данные”
понимается разглашение информации, содержащейся в данных; в случае,
когда идентификация индивидуума, информация о котором разглашается
частично, зависят от информации, содержащейся в данных и частично от
другой информации, находящейся в распоряжении пользователя данных, то
такие данные не считаются разглашенными или переданными до тех пор, пока
другая информация также не будет разглашена или передана.
Принципы защиты баз данных
2. – (1). С соблюдением или с учетом положений части (3) настоящей
статьи, ссылками в настоящем акте на принципы защиты баз данных являются
принципы, изложенные в том виде, в каком они представлены в части I
Приложения 1 к настоящему акту, и толковаться эти принципы должны в
точном соответствии с толкованием, приведенным в части II этого
Приложения.
146
(2). Первые семь принципов применяются в отношении персональных данных,
находящихся в распоряжении пользователя данных, а восьмой принцип
применяется как в отношении таких данных, так и персональных данных, в
отношении которых оказываются услуги лицами, руководящими деятельностью
фирм по обработке компьютерных данных.
(3). Министр вправе своим приказом изменить или дополнить эти принципы в
целях обеспечить большей защитой персональные данные, включающие в себя
информацию о:
(a) расовой принадлежности субъекта данных;
(b) его политических симпатиях или религиозных и других убеждениях;
(c) его физическом или психическом здоровье, половой жизни или о
(d) его привлечении к уголовной ответственности.
Ссылки в настоящем акте на принципы защиты данных включают, кроме
случаев, когда из контекста следует иное, ссылки на какой-либо
измененный или дополнительный принцип, вступивший в силу по приказу,
отданному на основании положений настоящего пункта.
(4). Приказ, отданный на основании положений вышеуказанного пункта (3),
может изменить принцип за счет внесения изменений в сам принцип или за
счет изменения его толкования; в случае, когда по приказу, отданному на
основании этого пункта, изменяется сам принцип или вводится
дополнительный принцип, то такой приказ может содержать толкование
измененного или вновь введенного принципа.
(5). Приказ, отданный на основании вышеуказанного пункта (3), изменяющий
третий принцип защиты данных, может (в объеме, в каком сочтет возможным
сам министр) исключить или изменить положения, касающиеся нераскрытия
данных, которые содержатся в Части IV настоящего акта. Исключения из
этих положений, содержащиеся в этой части, должны, соответственно,
вступить в силу по приказу, отданному на основании настоящего пункта.
147
(6). Приказ, отданный на основании вышеуказанного пункта (3), может
кардинально изменить положение, касающееся данных, состоящих из
информации различного содержания.
Регистратор и Суд
3. – (1). Для целей настоящего акта даются следующие определения:
(a) Регистратор (государственный служащий, именуемый в дальнейшем
“Регистратор”);
(b) Суд по вопросам защиты данных (судебный орган, именуемый в
дальнейшем “Суд”).
(2). Регистратор назначается приказом Ее Величества с вручением ему
соответствующего патента.
(3). Суд будет состоять из:
(a) Председателя, назначаемого Лордом Канцлером после согласования
кандидатуры с Лордом Адвокатом;
(b) нескольких заместителей председателя, назначаемых Председателем суда
в количестве, устанавливаемом Лордом Канцлером;
(c) нескольких членов Суда, назначаемых министром (количество членов
устанавливается им же).
(4). Члены Суда, назначенные на основании положений пункта (3) (а) и
(b). должны быть барристерами или адвокатами и в любом случае
назначаются на срок не менее семи лет.
(5). Члены Суда, назначенные на основании положений пункта (3) (с),
должны быть:
(a) лицами, представляющими интересы пользователей данных: и
(b) лицами, представляющими интересы субъектов данных.
(6). Приложение 2 к настоящему акту будет иметь отношение только к
Регистратору и Суду.
148
Часть II
Порядок регистрации и контроля
за деятельностью пользователей данных и лиц,
руководящих деятельностью фирм,
занимающихся обработкой компьютерных данных
Порядок регистрации пользователей данных и лиц,
руководящих деятельностью фирм, занимающихся
обработкой компьютерных данных
4. – (1). Регистратор обязан вести учет пользователей данных и лиц,
руководящих деятельностью фирм, занимающихся обработкой компьютерных
данных, владеющих данными и оказывающих услуги в сфере сбора и обработки
персональных данных, и делать соответствующие записи в реестре о
выданных им разрешениях на осуществление такой деятельности в
соответствии с требованиями этой части настоящего акта.
(2). Каждая запись Регистратора должна сообщать, в чью пользу она
сделана – в отношении пользователя данных, лиц, руководящих
деятельностью фирм, занимающихся обработкой компьютерных данных или
пользователя данных, являющегося одновременно и лицом, руководящим
деятельностью фирмы, занимающейся обработкой компьютерных данных.
(3). С соблюдением или с учетом положений настоящей статьи любая запись
в реестре должна отражать следующие сведения:
(a) имя и адрес пользователя данных;
(b) описание персональных данных, которые он собирается хранить, а также
цель или цели, для которых он собирается их хранить или использовать;
(c) указание источника или источников, из которых он намерен или
возможно захочет получить данные или информацию, которая составит
данные;
(d) имя лица или лиц, в пользу которых он намерен или, возможно, захочет
раскрыть такие данные;
149
(e) название или описание страны или территории, находящейся за
пределами национальной территории Великобритании, в адрес которых он
намерен или, возможно, захочет прямо или косвенно передать данные;
(f) один или несколько адресов для обращений субъектов данных с
просьбами о допуске к персональным данным.
(4). С соблюдением или с учетом положений настоящей статьи, запись в
реестре в отношении лица, руководящего деятельностью фирмы, занимающейся
обработкой компьютерных данных, должна содержать сведения о его имени и
домашнем адресе.
(5). С соблюдением или с учетом положений настоящей статьи, запись в
реестре в отношении пользователя данных, являющегося одновременно лицом,
руководящим деятельностью фирмы, занимающейся обработкой компьютерных
данных, должна содержать сведения о его имени и адресе, а что касается
персональных данных, которые он намерен у себя хранить, подробные
сведения об этом перечислены в вышеуказанном пункте (3) с (b) no (f).
(6). В случае, когда речь идет о зарегистрированной компании, то ее
адрес должен быть указан в том виде, в каком он указывается для
обращений в ее постоянный офис, а что касается сведений, заносимых в
реестр, то они должны отражать номер компании в том виде, в каком он
указан в официальном регистре компаний.
(7). В случае, когда речь идет о физическом лице, занимающемся этим
видом коммерческой деятельности, то его адрес, речь о котором идет в
вышеназванных пунктах (3) (а), (4) и (5), должен быть указан по месту
его основной деятельности.
(8). Министр своим приказом может изменить порядок и характер собираемых
в реестр сведений.
Запрет на несанкционированное хранение и т.д.
персональных данных
5. – (1). Лицо не вправе хранить у себя персональные данные до тех пор,
пока сведения о нем, как о пользователе данных, являющемся
150
одновременно руководителем фирмы, занимающейся обработкой компьютерных
данных, не будут -занесены в установленном порядке в реестр.
(2). Лицо, подавшее свои сведения в реестр и зарегистрированное в нем,
не вправе:
(a) хранить у себя персональные данные иного характера, чем те, которые
указаны в реестре во время регистрации;
(b) хранить данные или использовать хранящиеся данные помимо цели или
целей, указанных при регистрации;
(c) получать данные или информацию, являющуюся частью данных, для
хранения от иного источника, чем тот, который был заявлен при
регистрации;
(d) раскрывать хранящиеся данные другому лицу или лицам, чем то или те,
которые были указаны при регистрации;
(e) прямо или косвенно передавать хранящиеся данные другому государству
или территории, находящейся за пределами национальной территории
Великобритании, чем та, которая была указана при регистрации.
(3). Служащий или агент лица, в отношении которого действуют положения,
изложенные в пункте (2), должны, когда речь идет о хранящихся у них
персональных данных, подчиняться тем же ограничениям на пользование,
разглашение или передачу данных, которые установлены в отношении этих
лиц в подпунктах (b), (d) и (е) этого пункта; что касается персональных
данных, хранящихся у этих лиц, то они должны подчиняться тем же
ограничениям, которые установлены в подпункте (с) этого пункта.
(4) Лицо, руководящее деятельностью фирмы, занимающейся обработкой
компьютерных данных, не должно оказывать свои услуги в том, что касается
персональных данных до тех пор, пока сведения о нем. как о лице,
руководящем деятельностью фирмы, занимающейся обработкой компьютерных
данных, или как о пользователе данных, который одновременно является и
руководителем фирмы, занимающейся обработкой компьютерных данных, не
будут занесены в реестр.
151
(5) Лицо, нарушающее требования пункта (1) или умышленно нарушающее
другие положения настоящей статьи подлежат судебной ответственности.
Порядок подачи заявлений о регистрации
или о внесении изменений в регистрационные записи
6. – (1). Лицо, подающее заявление о регистрации, должно сообщить,
желает ли оно быть зарегистрировано в качестве пользователя данных или в
качестве лица, руководящего деятельностью фирмы, занимающейся обработкой
компьютерных данных, или в качестве пользователя данных и, одновременно,
являющегося руководителем фирмы, занимающейся обработкой компьютерных
данных. Кроме того, оно должно представить Регистратору в том виде, в
каком требует сам Регистратор, необходимые о себе сведения для внесения
их в соответствующий реестр.
(2). В случае, когда лицо намерено держать у себя персональные данные
для двух и более целей, оно может направить отдельные заявления о
регистрации в отношении каждой из указанных в них таких целей.
(3). Лицо, прошедшее регистрацию, может в любое время обратиться к
Регистратору с заявлением о внесении изменений в представленные им ранее
сведения.
(4). В случае, когда такое изменение будет носить характер дополнения в
отношении цели, для которой хранятся персональные данные, лицо может,
вместо заявления (как это предусмотрено пунктом (3) настоящей статьи),
оформить новое заявление о регистрации в отношении новой цели.
(5). Лицо, прошедшее регистрацию, в случае необходимости может подать
заявление (на условиях пункта (3) для подтверждения точности указанного
им в реестре адреса. Лицо, уклоняющееся от исполнения этого требования,
может быть привлечено к судебной ответственности.
(6). Лицо, которое, подавая заявление о регистрации или о внесении
изменений в регистрационные данные, умышленно сообщило
152
Регистратору ложные о себе сведения или сведения, вводящие в
заблуждение, может быть привлечено к судебной ответственности.
(7). За каждое заявление о регистрации взимается установленная плата в
виде пошлины, за каждое заявление о внесении изменений в регистрационные
сведения также взимается установленная плата.
(8). Заявление о регистрации или о внесении изменений в регистрационные
сведения может быть в любое время отозвано путем направления
Регистратору письменного уведомления об отзыве, но не позже получения
заявителем извещения о регистрации на основании статьи 7 (1) настоящего
акта.
Принятие и отклонение заявления
7. – (1). С соблюдением или с учетом положений настоящей статьи.
Регистратор, по мере необходимости и в любом случае в течение шести
месяцев по получении заявления о регистрации или о внесении изменений в
регистрационные сведения, должен в письменной форме известить заявителя
о результатах рассмотрения его заявления; в случае, когда такое
извещение содержит положительный ответ, к нему должно быть приложено:
(a) сообщение обо всех сведениях, внесенных в реестр или о внесенных
изменениях согласно поданному заявлению;
(b) сообщение о дате внесения сведений в реестр или внесения изменений в
существующую регистрационную запись.
(2). Регистратор не вправе отказать в приеме заявления, поданного в
соответствии с требованиями статьи 6, за исключением случаев, когда:
(a) он сочтет, что сведения, представленные заявителем по вопросу о
регистрации или по поводу внесения изменений, не дают достаточно
информации по существу того вопроса, о котором в них идет речь; или
(b) он получил свидетельства, что заявитель намерен нарушить один из
принципов, стоящих на защите персональных данных; или
(c) он сочтет, что предоставленная ему информация является недостаточно
убедительной для заявителя, строго соблюдающего все принципы защиты
персональных данных.
153
(3). Пункт (2) (а) не должен рассматриваться, как препятствующий
одобрению Регистратором сведений, изложенных в общих чертах, (когда
такое изложение представляется уместным), и Регистратор обязан принять
изложенные таким образом сведения в любом случае, когда у него не будет
основании считать, что более подробная информация вряд ли приведет его к
заключению о злонамеренности цели или целей, для которых собирается
информация.
(4). В случае, когда Регистратор отклоняет просьбу о регистрации по
основаниям, перечисленным в настоящей статье, он должен изложить причину
своего отказа и сообщить заявителю о его праве на апелляцию на основании
статьи 13 настоящего акта.
(5). В любом случае, когда Регистратор посчитает, что заявление требует
более тщательного изучения, срок, обозначенный в вышеуказанном пункте
(1), может быть продлен, о чем он обязан поставить в известность
заявителя в письменной форме, но не позднее официально установленного
срока, отведенного для рассмотрения заявлений; в этом случае Регистратор
может не направлять извещение (в соответствии с требованиями этого
пункта) до истечения официально установленного срока для рассмотрения
заявлений.
(6). С учетом положений пункта (8) настоящей статьи, лицо, подавшее
заявление, о регистрации, при условии соблюдения положений вышеуказанной
статьи (6):
(a) до получения извещения о его регистрации на основании вышеуказанного
пункта (1) или до отзыва заявления: и
(b) если оно получит извещение с соблюдением положений настоящего пункта
об отказе в регистрации до конца срока, в течение которого у него есть
право на апелляцию, и если она подана до вынесения решения или до ее
отзыва,
то в целях соблюдения вышеуказанной статьи (5) его апелляционное
заявление будет рассмотрено положительно и сведения, содержащиеся в его
заявлении, будут включены в реестр или. возможно, запрашиваемые им в
заявлении изменения будут внесены в день подачи заявления.
(7). В особых случаях, когда Регистратор сочтет необходимым, что отказ в
регистрации, сообщенный им заявителю на основании
154
вышеуказанного пункта (1), должен иметь срочный характер, он может
сделать отметку на этот счет в извещении, направляемом им заявителю; и в
этом случае вышеуказанные пункты (а) и (b) будут иметь силу в том виде,
как будто часть текста, начиная со слов “до конца срока” и далее, была
заменена словами “в течение семи дней, начиная с даты получения
извещения”.
(8). Вышеуказанный пункт (6) не будет применяться в отношении заявления,
поданного лицом в случае, если в предыдущие два года:
(a) был получен отказ на аналогичное заявление на основании этой статьи;
(b) все регистрационные сведения о данном лице, хранящиеся в реестре,
или часть их были изъяты на основании извещения об аннулировании
регистрации.
Однако в любом из указанных случаев положения пункта (1) будут
применяться с заменой ссылки “на срок до шести месяцев” на ссылку
“сроком на два месяца”, а там, где речь идет о направлении Регистратором
извещения на основании положений вышеуказанного пункта (5) в отношении
такого заявления, вышеуказанный пункт (6) будет применяться с заменой
ссылки “на дату подачи заявления” ссылкой “на дату получения извещения”.
(9). Для целей вышеуказанного пункта (6) заявление будет рассматриваться
в качестве поданного или отозванного:
(a) если заявление или извещение об отзыве заявления послано заказным
письмом или с регистрацией о доставке – со дня, когда оно было принято к
отправке почтовым отделением:
(b) в любом другом случае – со дня получения заявления Регистратором.
Для целей вышеуказанного пункта (8) (а) заявление не будет
рассматриваться в качестве отклоненного до тех пор, пока апелляционная
жалоба заявителя находится на рассмотрении в суде и по ней не вынесено
окончательного решения.
155
Срок действия регистрации и возобновление регистрации
8. – (1). Регистрационная запись удаляется из реестра со дня истечения
срока первичной регистрации, если только Регистратор не получит
заявления о перерегистрации, сделанного на основании настоящей статьи.
(2). С соблюдением или с учетом положений пункта (3) настоящей статьи,
срок первичной регистрации и срок возобновления регистрации (“продленный
срок”) будет считаться сроком, который будет установлен (но не менее
трех лет), и его исчисление начинается со дня внесения, регистрационной
записи в реестр или со дня удаления регистрационной записи из реестра
после истечения срока первичной регистрации и отсутствия заявления о
возобновлении регистрации.
(3). Заявитель по поводу первичной регистрации или о возобновлении
регистрации может в своем заявлении указать более короткий срок
регистрации, чем тот, который устанавливается Регистратором, т. е. один
или два полных календарных года.
(4). В случае, когда Регистратор извещает о положительном рассмотрении
заявления о регистрации, он обязан в извещении указать день истечения
срока первичной регистрации.
(5). К каждому заявлению о возобновлении регистрации должна прилагаться
квитанция об оплате установленного сбора за перерегистрацию, и каждое
такое заявление должно быть сделано за шесть месяцев до истечения срока:
(a) первичной регистрации или
(b) возобновленной регистрации, если заявитель направлял заявления о
продлении срока действия такой регистрации.
(6). Заявление о возобновлении срока регистрации может быть послано по
почте, и Регистратор должен подтвердить получение заявления и известить
заявителя в письменной форме о дне. до которого регистрационная запись
будет сохраняться в реестре. согласно его заявлению.
156
(7). Не в ущерб последующим положениям настоящей статьи Регистратор
может в любое время аннулировать любую запись в реестре на основании
заявления лица, в отношении которого была сделана такая запись.
Проверка сведений, внесенных в реестр
Предупреждение о возможном принятии мер принуждения
9-10. – (1). В случае, когда у Регистратора есть основания считать, что
зарегистрированное лицо нарушило или нарушает принципы защиты данных, он
может направить ему предупреждение (“предупреждение о возможном принятии
мер принуждения”) о необходимости принятия в сроки, установленные в
таком предупреждении, мер, направленных на соблюдение требований
нарушенного им принципа или принципов.
(2). При принятии решения о целесообразности направления предупреждения
о возможных мерах принуждения Регистратор должен обратить внимание,
наносят ли или уже нанесли действия зарегистрированного у него лица
какой-либо ущерб иди неудобство другому лицу.
(3). В предупреждении о мерах принуждения в связи с нарушением пятого
принципа защиты данных может содержаться требование к пользователю
данных:
(a) исправить или уничтожить данные и любые другие материалы, хранящиеся
у него и содержащие мнение, которое, как полагает Регистратор, основано
на неточной информации; или
(b) в случае, когда речь идет о данных, о которых говорится в пункте (2)
статьи 22 настоящего акта, наряду с мерами, предусмотренными в пункте
(а), принять также меры, которые будут указаны в предупреждении о
необходимости обеспечения соблюдения мер. предусмотренных в этом пункте
и в случае, если Регистратор сочтет необходимым, добавить в данные такую
информацию по существу дела. которая; по мнению Регистратора, содержит
правдивые сведения.
(4). Регистратор не будет направлять предупреждения о мерах принуждения
лицу, которому было направлено извещение о
157
необходимости соблюдения требований пункта (а) седьмого принципа защиты
данных, нарушенных в отношении какого-либо субъекта данных до тех пор,
пока у него не будет оснований считать, что лицо нарушило требования
статьи 21 настоящего акта, не предоставив правдивую информацию о
субъекте данных, предоставить которую он был обязан в соответствии с
настоящей статьей.
(5). Предупреждение о мерах принуждения должно содержать:
(a) сообщение о принципе или принципах, которые, по мнению Регистратора,
были нарушены или нарушаются, и основания, которые позволяют
Регистратору утверждать это; и
(b) порядок подачи апелляции, содержащийся в статье 13 настоящего акта.
(6). С соблюдением или с учетом положений пункта (7) настоящей статьи,
указанный в предупреждении срок принятия мер, направленных на
исправление положения, не истекает перед окончанием срока, отведенного
для подачи апелляции на решение Регистратора о направлении
предупреждения, и в случае, если апелляция была подана, то такие меры не
будут приниматься до тех пор, пока не будет вынесено окончательное
решение по апелляции или заявление об апелляции не будет отозвано из
суда.
(7). Если, в силу сложившихся обстоятельств. Регистратор сочтет, что
меры, требуемые предупреждением, должны быть приняты незамедлительно, он
может включить это требование в текст предупреждения; и в этом случае
вышеуказанный пункт (6) не будет применяться, а предупреждение не будет
содержать требования о принятии мер в семидневный срок, исчисляемый с
даты отправления предупреждения.
(8). Регистратор может прекратить действие предупреждения, направив лицу
письменное извещение по этому поводу.
(9). Лицо, оказавшееся не в состоянии выполнить требования, изложенные в
предупреждении, может быть привлечено к судебной ответственности; однако
суд может принять во внимание утверждения лица, обвиняемого по
основаниям настоящей статьи, что оно приняло все необходимые меры, чтобы
выполнить требования, изложенные в таком предупреждении.
158
Извещение об аннулировании регистрации
11. – (1). Если у Регистратора имеются основания считать, что
зарегистрированное лицо нарушило или нарушает какой-либо принцип защиты
данных, он может:
(a) направить ему уведомление (“извещение об аннулировании регистрации”)
с предложением в срок, установленный в таком извещении, отозвать из
реестра все или часть сведений, составляющих регистрационные данные или
какие-либо регистрационные данные, хранящиеся в реестре и относящиеся к
данному лицу; и
(b) с соблюдением или с учетом положений настоящей статьи, отозвать все
свои сведения из реестра по истечении этого срока.
(2). При принятии решения о целесообразности направления извещения об
аннулировании регистрации Регистратор должен обратить внимание,
причинило ли или угрожает ли несоблюдение принципов защиты данных
нанесением ущерба или неудобства какому-либо лицу; в этом случае
Регистратор не будет направлять такое извещение до тех пор, пока у него
не появится достаточно оснований считать, что соблюдение упомянутого
принципа или принципов может быть обеспечено только направлением
извещения об аннулировании регистрации.
(3). Извещение об аннулировании регистрации должно содержать:
(a) указание на принцип или принципы, которые, по мнению Регистратора,
были нарушены или нарушаются, и причины, послужившие основанием такого
мнения, а также убеждения, что соблюдение принципов не может быть
обеспечено направлением предупреждения о мерах принуждения; и
(b) указание на право подать апелляцию в соответствии с положениями
статьи 13 настоящего акта.
(4). С соблюдением или с учетом положений пункта (5) настоящей статьи,
срок, установленный в извещении об аннулировании регистрации на
основании положений вышеуказанного пункта 1 (а), не прекращается с
истечением времени, отведенного на подачу апелляции, и если она будет
подана, то регистрационные сведения не могут быть
159
отозваны до вынесения судом решения по апелляции или отзыва заявления об
апелляции.
(5). Если, в силу сложившихся обстоятельств, Регистратор сочтет, что
содержащиеся в реестре регистрационные сведения должны быть отозваны в
неотложном порядке, он может включить это требование в текст извещения
об аннулировании регистрации, в этом случае положения вышеуказанного
пункта (4) не будут применяться, а сведения не должны отзываться до
истечения семидневного срока, начиная с даты отправления извещения.
(6). Регистратор может отозвать извещение об аннулировании регистрации,
письменно уведомив об этом лицо, в адрес которого оно было послано.
(7). Ссылки, содержащиеся в настоящей статье в отношении отзыва
регистрационных сведений, включают ссылки на ограничение любого
описания, которое является частью таких сведений.
Уведомление о наложении запрета на передачу данных
12. – (1). Если Регистратор будет иметь основания считать, что:
(a) лицо, зарегистрированное в качестве пользователя данных или
пользователя данных и одновременно руководителя фирмы, занимающейся
обработкой компьютерных данных; или
(b) лицо, зарегистрированное на условиях, устанавливаемых статьей 7 (6)
настоящего акта, имеет намерение осуществить передачу имеющихся у него
данных за пределы национальной территории Великобритании. Регистратор, в
случае, когда убедится, что вопрос подпадает под регулирование пунктов
(2) и (3) настоящей статьи, направит такому лицу уведомление
(“уведомление о наложении запрета на передачу данных”), содержащее
запрет на осуществление такой передачи. Такой запрет может быть либо
безоговорочным, либо содержащим указание на необходимость принятия мер,
изложенных в таком уведомлении, направленных на защиту интересов
субъектов данных.
(2). В случае, когда передача данных должна осуществиться в адрес
государства, не являющегося участником Европейской конвенции,
Регистратор обязан, в первую очередь, убедиться, что
160
такая передача не станет нарушением или, по крайней мере, не угрожает
нарушению какого-либо принципа защиты данных.
(3). В случае, когда передача данных должна осуществиться в адрес
государства являющегося участником Европейской конвенции, Регистратор
обязан убедиться:
(a) что:
(i) лицо, о котором идет речь, намерено дать инструкции для последующей
передачи данных в адрес, не находящийся на территории такого
государства; и
(ii) последующая передача, вероятней всего, приведет или ведет к
нарушению принципов защиты данных.
(b) что в случае, если в отношении данных применяются положения статьи 2
(3) настоящего акта, то такая передача, скорее всего, будет
противоречить или противоречит принципам защиты данных, поскольку они
имеют прямое отношение к передаваемым данным.
(4). При принятии решения о целесообразности направления уведомления о
наложении запрета на передачу данных, Регистратор должен убедиться,
является ли направление такого уведомления гарантией от причинения
ущерба иди неудобства какому-либо лицу и не станет ли оно фактором,
отрицательно влияющим на развитие свободного обмена данными между
Великобританией и другими государствами и территориями.
(5). В уведомлении о наложении запрета на передачу данных должно быть
указано время начала его действия и содержаться:
(a) указание на принцип или принципы, которые, по мнению Регистратора,
нарушены и причины, послужившие основанием такого заключения; и
(b) указание на право подать апелляцию на его решение в соответствии со
статьей 13 настоящего акта.
(6). С соблюдением или с учетом положений пункта (7) настоящей статьи,
срок, установленный в уведомлении о наложении запрета на передачу данных
на основании положений вышеуказанного пункта (5) настоящей статьи, не
прекращается с истечением времени, отведенного на подачу апелляции, и
если она будет подана, то уведомление не
161
вступит в силу до вынесения решения судом по апелляции или отзыва
заявления об апелляции.
(7). Если, в силу сложившихся обстоятельств, Регистратор сочтет, что
запрет на передачу данных должен вступить в силу незамедлительно, то он
может включить это требование в текст уведомления о наложении запрета на
передачу данных, и в этом случае положения пункта (6) настоящей статьи
не будут применяться до истечения семидневного срока, начиная с даты
отправки уведомления.
(8). Регистратор мржет отозвать извещение о наложении запрета на
передачу данных, письменно уведомив об этом лицо, в адрес которого оно
было послано.
(9). Уведомление о наложении запрета на передачу данных не может
воспрепятствовать, передаче каких-либо данных в случае, когда передача
информации, являющейся частью данных, необходима или санкционирована
каким-либо юридическим документом, или осуществляется на основании
какой-либо конвенции или другого международного соглашения, налагающего
международные обязательства на Великобританию.
(10). Лицо, нарушившее запрет на передачу данных, содержащийся в
уведомлении, может быть привлечено к судебной ответственности, однако
суд может принять во внимание утверждения лица, обвиняемого по
основаниям настоящего пункта, что оно приняло все необходимые меры,
чтобы избежать невыполнения наложенного запрета.
(11). Для целей настоящей статьи термин “адрес” означает место. которое
находится на территории государства – участника Европейской конвенции и
на которое распространяется юрисдикция этого государства.
Порядок подачи и рассмотрения апелляции
Право на апелляцию
13. – (1). Лицо может подать апелляцию в Суд на:
162
(a) отказ Регистратора принять к рассмотрению заявление данного лица о
регистрации или о внесении изменений в регистрационные данные;
(b) получение предупреждения о принятии принудительных мер, уведомления
об аннулировании регистрации или извещения о наложении запрета на
передачу данных.
(2). Если в извещении содержится сообщение об отрицательном решении
вопроса о регистрации, принятом Регистратором на основании статьи 7 (7),
то в этом случае, независимо от того, ссылается ли заявитель на параграф
(а) пункта (1) настоящей статьи или нет, он может подать апелляцию на
решение Регистратора включить сообщение об отказе в извещение.
(3). Когда в извещении, упомянутом в параграфе (а) пункта (1) настоящей
статьи, содержится сообщение Регистратора, принятое им на основании
статьи 10 (7), 11 (5) или 12 (7) настоящего акта, независимо от того,
ссылается заявитель в своей апелляции на этот параграф или нет, он может
апеллировать в суд на решение Регистратора включить это сообщение в
извещение или на результат включения такого сообщения в извещение в том,
что касается любой части этого извещения.
(4) Приложение 3 к настоящему акту будет применяться в отношении
апелляции, поданных на основании этой статьи и порядка принятия решений
судом по такого рода апелляциям.
Порядок принятия решений по апелляции
14. – (1). Если по апелляции, поданной на основании статьи 13 (1). Суд
придет к мнению, что:
(a) отказ в регистрации или извещение, против посылки которого заявитель
апеллирует в Суд, противоречат закону или более того, что
(b) отказ или извещение являются ошибочным решением Регистратора, то в
этом случае Суд согласится с апелляцией или отменит решение Регистратора
как в отношении регистрации, так и в отношении посылки извещения и
примет новое, такое, которое должен был принять Регистратор, но не
принял; в любом другом случае Суд отклонит апелляцию.
163
(2). Суд может пересмотреть причину, которая легла в основу решения об
отказе в регистрации или о направлении извещения.
(3). По апелляции, поданной на основании пункта (2) статьи 13 настоящего
Акта, Суд может указать, что извещение об отказе в регистрации должно
рассматриваться так, будто оно не содержит никакого решения, упомянутого
в этом пункте.
(4). По апелляции, поданной на основании пункта (3) статьи 13 настоящего
Акта, Суд может указать, что уведомление, о котором идет речь, должно
рассматриваться так, будто оно не содержит никакого сообщения,
упомянутого в этом пункте, или что включение этого сообщения не будет
иметь силы в отношении какой-либо части уведомления и может внести в
уведомления такие изменения, какие могут потребоваться для придания ему
соответствующей силы.
(5). Каждая Сторона по апелляции, рассматриваемой Судом, может
апеллировать на решение этого Суда, опираясь на закон соответствующих
судов, и такими судами будут:
(a) Высокий суд юстиции Англии, когда адрес апеллянта в Суде находится в
Англии или Уэльсе;
(b) Сессионный Суд, если адрес апеллянта находится в Шотландии: и
(с) Высокий Суд юстиции Северной Ирландии, если адрес апеллянта
находится в Северной Ирландии.
(6). В пункте (5) настоящей статьи ссылки на адрес апеллянта в Суде
необходимо рассматривать, как его адрес в том виде, в каком он включен
или предложен для включения в реестр.
Прочие вопросы и дополнения
Несанкционированное раскрытие данных руководителем фирмы,
занимающейся обработкой компьютерных данных
15. – (1). Персональные данные, в отношении которых оказывались услуги
руководителем фирмы, занимающейся обработкой компьютерных данных, не
могут быть им раскрыты без предварительного согласия лица, в пользу
которого оказывались такие услуги.
164
(2). Положения пункта (1) настоящей статьи распространяются также на
служащих или агентов лица, руководящего работой фирмы, занимающейся
обработкой компьютерных данных.
(3). Лица, умышленно нарушившие положение данной статьи, несут судебную
ответственность.
Полномочия на вход в помещение и на досмотр документов
16. – Приложение 4 к настоящему акту призвано выявлять нарушителей
настоящего акта и нарушения принципов защиты данных.
Раскрытие информации
17. – (1). Никакие документы юридического характера, регулирующие запрет
или налагающие ограничения на разглашение информации, не могут
препятствовать лицам представлять Регистратору или Суду информацию,
необходимую для исполнения ими функций, предписанных настоящим актом.
(2). Для целей статьи 2 Акта об официальных секретах 1911 г.
(несанкционированное разглашение информации) –
(a) Регистратор, его должностные лица и сотрудники;
(b) члены Суда и
(c) должностные лица или сотрудники Суда, не находящиеся на службе
Короны, будут рассматриваться, как находящиеся на службе Ее Величества.
(3). Положения вышеуказанной статьи 2 не будут рассматриваться как
препятствующие раскрытию информации лицами, упомянутыми в пункте 2 (а)
или (b) или должностными лицами или сотрудниками Суда, в случаях, когда
раскрытие информации осуществлено в целях исполнения ими своих служебных
обязанностей по настоящему акту или в целях осуществления действий,
вытекающих из положений настоящего акта, включая их выступления в ходе
судебного процесса.
165
Направление извещений и уведомлений
18. – Извещение или уведомление, направление которых санкционировано или
требуется настоящим актом, могут быть отправлены Регистратором:
(a) непосредственно лицу, когда речь идет о физических лицах:
(i) путем доставки ему или
(ii) путем отправки по почте в его обычный адрес, или по последнему
известному домашнему адресу, или адресу места работы, или
(iii) путем оставления извещения или уведомления в этом месте;
(b) когда речь идет о юридическом лице, то извещение или уведомление
может быть доставлено этому лицу:
(i) по почте, на имя должностного лица по официальному адресу
канцелярии; или
(ii) в адрес должностного лица компании с оставлением в канцелярии.
(2). В пункте (1) (b) под термином “канцелярия”, когда речь идет о
зарегистрированной компании, имеется в виду ее официальный офис, а под
термином “должностное лицо” понимается любое лицо -секретарь или другой
исполнитель, курирующий общие вопросы компании.
(3). Данная статья не отрицает другие законные способы доставки
адресатам извещений или уведомлений,
Судебное преследование и наказание нарушителей
19. – (1). Судебное преследование за нарушение настоящего акта
осуществляется:
(a) в Англии или Уэльсе – по указанию Регистратора или Директором
Публичного Обвинения или с его согласия;
(b) в Северной Ирландии – по указанию Регистратора или Директором
Публичного Обвинения Северной Ирландии или с его согласия.
166
(2). Лицо, виновное в нарушении положений настоящего акта, за
исключением случаев, указанных в параграфе 12 Приложения 4:
(a) и осужденное по обвинительному акту – приговаривается к штрафу;
(b) осужденное в порядке суммарного производства приговаривается к
штрафу, сумма которого не может превышать максимального размера,
установленного законом (см. статью 74 закона Criminal Justice Act 1982
(1982 с. 48).
(3). Лицо, обвиняемое по статье 6 или по упомянутому параграфу 12 и
осужденное в порядке суммарного производства, приговаривается к штрафу,
сумма которого не может превышать пятикратного размера стандартной шкалы
штрафных санкций (см. статью 75 упомянутого закона 1982 г.).
(4). С соблюдением или с учетом положений пункта (5) настоящей статьи.
Суд. рассматривающий дело данного лица по признакам нарушения статей 5,
10, 12 или 15 настоящего акта, может постановить представить ему любые
базы данных, которые имеют непосредственное отношение к обвинению, с
целью их дальнейшей конфискации, уничтожения или стирания.
(5). Суд не будет выносить постановления на основании положений пункта
(4) в отношении какого-либо информационного материала до тех пор, пока
лицо (помимо правонарушителя), заявляющее на этот материал право
собственности или выступающее в качестве лица заинтересованного в этом
материале, не выступит на суде и не представит основания, почему суду не
следует выносить такого постановления.
Ответственность директоров и прочих ответственных лиц
20. – (1). В случае, когда нарушение настоящего акта вменяется
юридическому лицу, а вина в небрежном обращении с данными установлена и
признана должностным лицом (директором, менеджером, секретарем или
другим должностным лицом компании) или другим лицом, назначенным
выполнять аналогичные обязанности, то такое лицо, а также сама компания
будут привлечены к судебной ответственности и понесут соответствующее
наказание.
167
(2). В случае, когда делами компании управляют ее члены, пункт 1
настоящей статьи будет применяться в отношении действий и упущений
конкретного члена в связи с выполняемыми им функциями менеджера так,
будто он являлся директором такой компании.
Часть III
Права субъекта данных
Право доступа к персональным данным
21. – (1). С соблюдением или с учетом положений настоящей статьи, лицо
имеет право:
(a) быть информированным пользователем данных относительно того,
содержат ли данные, хранящиеся у него, персональные данные, в отношении
которых это лицо является субъектом данных;
(b) получать от пользователя данных копию информации, составляющую такие
персональные данные, которые хранятся у него, и если информация,
упомянутая в параграфе (b) настоящей статьи, имеет терминологию, не
понятную для восприятия без специальных пояснений, то такая информация
должна сопровождаться пояснительным материалом, раскрывающим значение
специальных терминов.
(2). Пользователь данных не обязан предоставлять какую-либо информацию
на условиях пункта (1) настоящей статьи за исключением случаев, когда
такая просьба будет выполнена в письменной форме и за доступ к ней будет
выплачена сумма (не превышающая установленный максимальный размер),
которую он вправе потребовать, однако запрос информации по основаниям
предыдущих двух параграфов этого пункта статьи будет рассматриваться как
единичная просьба и запрос информации по основаниям предыдущего
параграфа (а), при отсутствии указаний об обратном, будет
рассматриваться как запрос дополнительной информации по основаниям
параграфа (b).
(3). В случае, когда пользователь данных имеет многократную регистрацию
в качестве пользователя данных, предназначенных для различных целей, то
запрос по каждому виду информации делается отдельно, как и плата за
каждый вид информации взимается отдельно.
168
в зависимости от того, к какой регистрации данная информация относится.
(4). Пользователь данных не обязан предоставлять информацию по
основаниям настоящей статьи:
(a) до тех пор, пока он не получит сведений, в достаточной степени
убедительно идентифицирующих лицо, запрашивающее информацию, и не
установит место, где хранится такая информация;
(b) и если удовлетворение просьбы связано с раскрытием информации,
касающейся другого лица, которое может быть идентифицировано посредством
такой информации, и до тех пор, пока у него не будет свидетельств
согласия такого лица на раскрытие информации лицу, обратившемуся с
запросом.
(5). В параграфе (b) пункта (4) настоящей статьи ссылка на информацию,
касающуюся другого лица, включает ссылку на информацию, идентифицирующую
такое лицо как источник запрашиваемой информации, и данный параграф не
может служить оправданием пользователю данных для предоставления
запрашиваемой информации, даже если она представлена без раскрытия
личности другого лица, упоминаемого в ней, или без указания его имени
или других идентифицирующих сведений, или как-либо иначе.
(6). Пользователь данных в соответствии с требованиями настоящей статьи
должен в течение сорока дней с момента получения запроса удовлетворить
просьбу или удовлетворить просьбу позже установленного срока, когда от
заявителя требуется направление дополнительной информации, речь о
которой идет в параграфе (а) пункта (4) настоящей статьи, или требуется
предоставление согласия другого лица, как это устанавливает параграф (b)
того же пункта.
(7). Запрашиваемая, на основании настоящей статьи, информация должна
быть предоставлена со ссылкой на данные, о которых идет речь на момент
получения запроса. Вместе с тем, необходимо учитывать возможность
дополнений и исправлений, которые могут быть внесены в данные с момента
получения запроса и до момента удовлетворения просьбы (т.е. выдачи
данных), причем эти дополнения и исправления не должны быть вызваны
самим фактом получения запроса и иметь к нему какие-либо отношения.
169
(8). Если Суд признает, на основании заявления лица, направившего с
соблюдением нижеизложенных требований запрос, что пользователь данных
отказывается выполнить его просьбу в нарушение требований настоящего
Акта, то Суд может принудить его удовлетворить просьбу заявителя: однако
Суд не будет выносить постановления о принуждении на основании этого
пункта, если сочтет это нецелесообразным, либо в силу частых и
неоднократных обращений в прошлом с подобными просьбами заявителя к
пользователю данных, либо по другим основаниям.
(9). Министр своим приказом может обеспечить выполнение просьбы на
основании положений настоящего пункта от имени лица, которое по причинам
психического свойства не в состоянии вести собственные дела.
Возмещение ущерба, причиненного неточными
персональными данными
22. – (1). Лицо, являющееся субъектом данных, хранящихся у пользователя
данных, и понесшее ущерб из-за ошибок, содержащихся в них, вправе
требовать от пользователя данных возмещения материального и морального
ущерба, причиненных ему в связи с такими ошибками.
(2). В случае, когда данные были точно записаны пользователем данных со
слов субъекта данных или были предоставлены им самим или третьей
стороной, пункт (1) настоящей статьи не будет применяться, если были
соблюдены следующие условия:
(a) данные указывают, что информация, содержащаяся в них, была получена
или приобретена на основаниях, указанных выше, или что информация была
вычленена из данных в том виде, в каком на этот счет была сделана особая
отметка;
(b) если субъект данных поставил в известность пользователя данных, что
он рассматривает имеющиеся у него данные как неточные или вводящие в
заблуждение, и отметка на этот счет была внесена в данные, или что
информация была вычленена из данных в том виде, в каком на этот счет
была сделана особая отметка.
170
(3). При рассмотрении дела в Суде по основаниям настоящего пункта, Суд
может учесть заявления лица о том, что оно приняло все необходимые меры,
какие требовали от него обстоятельства, чтобы гарантировать точность
собранных им данных на момент получения запроса.
(4). Для целей настоящей статьи данные признаются неточными, если в них
содержатся любые неточные или вводящие в заблуждение сведения.
Возмещение ущерба за потерю или несанкционированное
разглашение данных
23. – (1). Лицо, являющееся субъектом данных, хранящихся у пользователя
данных или в отношении которых оказывались услуги руководителем фирмы,
занимающейся обработкой компьютерных данных, и понесшее ущерб
вследствие:
(a) потери данных;
(b) несанкционированной пользователем данных или. возможно, лицом,
руководящим работой фирмы, занимающейся обработкой компьютерных данных,
порчи данных;
(c) или с соблюдением или с учетом положений пункта (2) настоящей
статьи, разглашения данных или предоставления доступа к ним лицам без
согласия субъекта данных, вправе требовать от пользователя данных или,
возможно, от лица, руководящего работой фирмы, занимающейся обработкой
компьютерных данных, возмещение материального и морального ущерба,
причиненных ему в связи с потерей, порчей, разглашением данных или
предоставлением доступа к ним лиц без согласия субъекта данных.
(2). В случае, когда речь идет о зарегистрированном пользователе данных,
пункт (1) (с) положения настоящей статьи не применяется в отношении
разглашения или предоставления доступа лицам, или создания условий,
позволяющих им осуществить такой доступ, если все эти лица удовлетворяют
описанию лиц, приведенному в статье 4 (3) (d) настоящего акта, и внесены
в регистрационные сведения пользователя данных.
171
(3). При рассмотрении дела в суде на основании настоящей статьи, суд
может учесть заявления лица о том, что оно приняло все необходимые меры,
какие требовали от него обстоятельства, чтобы избежать потери, порчи,
разглашения данных или предоставления доступа к ним лиц без согласия
субъекта данных.
Внесение исправлений и уничтожение данных
24. – (1). Если Суд признает на основании заявления субъекта данных, что
его персональные данные, хранящиеся у пользователя данных, являются
неточными в понимании статьи 22 настоящего акта, то Суд может
постановить внести в них соответствующие изменения и исправления или
уничтожить их, а также аналогичные меры принять в отношении данных,
хранящихся у пользователя данных и содержащих характеристику лица,
которая, как считает Суд, основана на недостоверной информации.
(2). Пункт (1) настоящей статьи применяется в любом случае, содержат
данные достоверную информацию, полученную непосредственно от субъекта
данных или третьей стороны, или нет. Однако если информация была точно
записана, то:
(a) требования, упомянутые в статье 22 (2) соблюдены, суд может вместо
вынесения постановления в соответствии с пунктом (1) настоящей статьи
вынести решение, требующее, чтобы в данные была внесена запись с точными
сведениями по поводу самих данных, содержание которой утвердит суд; и
(b) все или какие-либо из требований не были выполнены, суд может вместо
вынесения постановления в соответствии с этим пунктом статьи вынести
такое решение, которое, по его мнению, обеспечит соблюдение этих
требований с вынесением или без вынесения постановления, требующего,
чтобы данные были дополнены такой записью, которая упоминалась в
предыдущем параграфе (а).
(3). Если суд установит на основании заявления субъекта данных, что:
(а) он понес ущерб вследствие разглашения его персональных данных или
доступа к ним посторонних лиц, т.е. в силу обстоятельств,
172
нарушение которых дает ему возможность требовать возмещения причиненного
вреда на основании статьи 23 настоящего акта: и
(b) сохраняется риск дальнейшего разглашения персональных данных или
доступа к ним посторонних лиц без его согласия, как о том говорится в
настоящей статье, суд может вынести постановление об уничтожении
персональных данных.
Однако когда речь идет о данных, в отношении которых оказывались услуги
лицом, руководящим работой фирмы, занимающейся обработкой компьютерных
данных, суд не будет выносить такого постановления до тех пор, пока не
будут приняты разумные меры по уведомлению лица, в пользу которого такие
услуги оказывались, и приглашению его на судебное заседание.
Национальная юрисдикция и процесс
25. – (1). Юрисдикция, предоставленная статьей 21 и 24 настоящего акта,
будет осуществляться Высоким судом или судом графства, либо (в
Шотландии) Сессионным судом или шерифом.
(2). В целях установления вопроса, имеет ли заявитель, действующий на
основании пункта (8) статьи 21. право на информацию, которая ему
необходима (включая вопрос относительно того, не исключены ли какие-либо
важные данные из этой статьи на основании положений части IV настоящего
акта), суд может затребовать для проверки информацию, являющуюся частью
любых данных, хранящихся у пользователя данных, но не будет требовать
разглашения информации (запрашиваемой заявителем) самим заявителем или
его представителем после ее изучения.
Часть IV
Исключения
Предварительные
26. – (1). Ссылки, содержащиеся в любом из положений части II или III
настоящего акта, исключаются из этих положений.
(2). В этой части акта “положения, регулирующие доступ к данным субъекта
данных” имеют в виду:
173
(a) статью 21;
(b) любое положение части II этого акта, наделяющее Регистратора такими
полномочиями, которые ему даны в соответствии с параграфом (а) седьмого
принципа защиты данных.
(3). В этой части настоящего акта “положения о неразглашении данных”
имеют в виду:
(a) статью 5 (2) (d) и статью 15;
(b) любое положение части II этого акта, наделяющее Регистратора такими
полномочиями, которые ему даны в соответствии с любым принципом защиты
данных, несовместимым с разглашением данных.
(4). За исключением того, что предусмотрено этой частью настоящего акта,
положения, регулирующие доступ субъекта данных к персональным данным, не
будут применяться, несмотря на положения какого-либо юридического акта,
запрещающего или ограничивающего разглашение данных или санкционирующего
удержание информации.
Национальная безопасность
27. – (1). Персональные данные выводятся за рамки действия положений
части II настоящего акта и статей с 21 по 24 в случае, когда это
диктуется соображениями национальной безопасности.
(2). Любое исключение, которое упоминается в пункте (1) или которое
может быть введено в вышеуказанных целях в отношении персональных
данных, будет устанавливаться Министром Короны, и свидетельство,
подписанное Министром Короны, констатирующее введение такого исключения
или что такое исключение может быть введено в любое время, будет
считаться окончательным доказательством этого.
(3). Персональные данные, которые не исключаются из использования на
основании пункта (1), исключаются из положений о неразглашении данных в
любом случае, когда раскрытие данных осуществляется в целях обеспечения
национальной безопасности.
(4). Для целей пункта (3) настоящей статьи свидетельство, подписанное
Министром Короны, которое устанавливает, что персональные
174
данные раскрываются или раскрыты в целях, упомянутых в этом пункте,
является окончательным доказательством этого.
(5). Документ, оформленный в виде свидетельства, речь о котором шла в
этой статье, должен быть получен в подтверждение этого и будет
рассматриваться именно в этом качестве, если не будет доказано обратное.
(6). Полномочия, которыми наделяется на основании этой статьи Министр
Короны, не могут быть исполнены никем другим, за исключением Министра,
являющегося членом Кабинета министров. Генеральным атторнеем или
Генеральным прокурором.
Преступления и налогообложение
28. – (1). Персональные данные, хранящиеся для какой-либо из
нижеуказанных целей:
(a) предупреждения или раскрытия совершенного преступления;
(b) задержания или преследования правонарушителей;
(c) установления или сбора налогов или сборов, выводятся из обращения и
доступа к ним со стороны субъектов данных в любом случае, когда
применение положений настоящего Акта может привести к причинению ущерба
тем обстоятельствам, которые изложены выше в этой статье.
(2). Персональные данные, которые:
(a) хранятся для целей исполнения статутных функций и которые
(b) состоят из информации, полученной для этой цели от лица, владеющего
ею для какой-либо из целей, упомянутой в пункте (1). выводятся из
обращения и доступа к ним со стороны субъектов данных в том же объеме,
что и персональные данные, хранящиеся для какой-либо из целей,
упомянутой в пункте.
(3). Персональные данные исключаются из положений о неразглашении в
любом случае, когда:
(a) раскрытие осуществляется для любой из целей, упомянутых в пункте
(1), и
(b) применение этих положений в отношении раскрытия данных вряд ли
причинит ущерб какому-либо вопросу, упомянутому в этом
175
пункте; при рассмотрении дела в суде по поводу нарушения положений,
упомянутых в статье 26 (3) (а), суд может, учесть заявление обвиняемого,
что он имел разумные основания считать, что нераскрытие данных, о
которых шла речь выше, вряд ли причинит ущерб каким-либо вопросам,
обсуждающимся здесь.
(4). Персональные данные исключаются из положений части II настоящего
Акта, наделяющих полномочиями Регистратора в объеме, в котором они могут
быть использованы со ссылкой на первый принцип защиты данных, в любом
случае, когда, применение этих положений по отношению к персональным
данным вряд ли причинит ущерб какому-либо из вопросов, рассматриваемых в
пункте (1).
Здравоохранение и общественная работа
29. – (1). Министр может своим приказом исключить положения о доступе
субъекта данных или изменить эти положения в отношении персональных
данных, состоящих из информации, касающейся физического или психического
здоровья субъекта данных.
(2). Министр может своим приказом исключить положения о доступе субъекта
данных или изменить эти положения в отношении персональных данных,
содержащих другие подробности, которые могут быть указаны в приказе, и
составляющих информацию:
(a) хранящуюся в правительственных департаментах, органах местной
администрации, в добровольных организациях и в других органах, указанных
в приказе; или
(b) переданную ему на хранение или полученную в ходе исполнения им
общественной работы, касающуюся субъекта данных или других лиц, однако
Министр не будет на основании положений настоящего пункта вводить
какие-либо ограничения или вносить какие-либо изменения за исключением
случаев, когда он сочтет, что применение этих положений в отношении
данных (или этих положений без изменения) вряд ли причинит ущерб
осуществлению общественной работы.
176
(3). Приказ, отданный на основании этой статьи, может изменить положение
в отношении данных, состоящих из информации с различными сведениями.
Регулирование финансовых служб и т.д.
30. – (1). Персональные данные, хранящиеся для целей исполнения
статутных функций, в отношении которых применяются положения настоящей
статьи, исключаются из положений о доступе субъекта данных в любом
случае, когда применение этих положений в отношении данных вряд ли
причинит ущерб надлежащему осуществлению этих функций,
(2). Настоящая статья применяется в отношении должностных обязанностей,
разработанных для целей настоящей статьи по приказу Министра, причем эти
должностные обязанности разработаны для защиты членов общества от
финансовых убытков, причиненных недобросовестностью, некомпетентностью
или небрежностью служащих банковских учреждений, страховых,
инвестиционных компаний, других финансовых учреждений или в процессе
менеджмента компаний или проведения процедуры объявления банкротства.
Юридические назначения и законные профессиональные
привилегии
31. – (1). Персональные данные, находящиеся под контролем департаментов
правительства, исключаются из положений о доступе субъекта данных в
случае, если данные состоят из информации, полученной от третьей стороны
и хранятся как данные, содержащие важную информацию, необходимую при
рассмотрении вопросов о кадровых перемещениях.
(2). Персональные данные исключаются из положений о доступе субъекта
данных в случае, если данные состоят из информации, в отношении которой
требование о законной профессиональной привилегии (или, в Шотландии, о
соблюдении конфиденциальности между клиентом и юрисконсультом) может
поддерживаться во время судебного разбирательства.
177
Платежные ведомости и счета
32. – (1). Согласно пункту (2) настоящей статьи, персональные данные,
хранящиеся у пользователя данных для использования их только для одной
или нескольких нижеуказанных целей:
(a) суммы, предназначенные в качестве вознаграждения или пенсионных
пособий, выплачиваемые за оказанные услуги служащим, или выплат, или
вычетов из таких платежей за услуги и подлежащие к выплате служащим или
пенсионерам;
(b) счета по поводу торговых сделок или других операций, осуществляемых
пользователем данных, или записи о сделках купли-продажи или других
операциях в целях гарантирования того, что причитающиеся платежи
осуществлены пользователем данных или в его пользу другими лицами по
вышеуказанным операциям., или в целях финансовых или управленческих
прогнозов, необходимых ему для реализации таких операций, или
осуществления коммерческой деятельности, исключаются из положений части
II настоящего акта и статей с 21 по 24.
(2). Условием исключения любых данных по основаниям настоящей статьи
является отказ от использования данных в иных целях чем те, для которых
эти данные хранятся, и от раскрытия их, за исключением случаев,
предусмотренных положениями пункта (3) и (4) настоящей статьи; однако
исключение не будет считаться нарушенным вследствие использования данных
или разглашения их в нарушение этого условия, если пользователь данных
докажет, что им были приняты все необходимые меры, чтобы исключить
возможность такого использования или разглашения.
(3). Данные, хранящиеся для использования их для достижения одной или
более целей, упомянутых в пункте (1) (а), могут быть раскрыты:
(a) любому лицу, помимо пользователя данных, которому он выплачивает
заработную плату или пенсию;
(b) в целях получения.актуарного совета;
(c) в целях предоставления информации о должностных лицах или служащих
для медицинских исследований или о потерпевших в
178
результате действий лиц определенных профессий, работающих в
определенных местах или областях;
(d) в случае, если субъект данных (или лицо, действующее от его имени)
согласился раскрыть свои персональные данные в связи с выраженной
просьбой вообще или в обстоятельствах, в которых такое раскрытие было
сделано;
(e) если лицо при раскрытии данных имело веские основания полагать, что
такое раскрытие полностью отвечает требованиям параграфа (d).
(4). Данные, хранящиеся для достижения одной из упомянутых в пункте (1)
задач могут быть раскрыты:
(a) в целях финансового аудита или в случае, когда раскрытие делается с
целью предоставить информацию о финансовых делах пользователя данных;
или
(b) в любом случае, когда раскрытие данных может быть санкционировано
любым другим положением этой части настоящего Акта, если пункт (2)
числился среди положений, относящихся к положениям о неразглашении
данных.
(5). Для целей настоящей статьи термин “вознаграждение” подразумевает и
вознаграждение, выплачиваемое натурой, а термин “пенсии” включает в себя
и различного рода премиальные выплаты и им подобные бенефиции.
Национальные и другие ограниченные цели
33. – (1). Персональные данные, хранящиеся у лица и касающиеся его
личных финансовых расходов, семейных расходов или расходов, связанных с
ведением домашних дел или необходимые для отдыха и восстановления
здоровья, исключаются из положений части II настоящего акта и статей 21
– 24.
(2). В соответствии с пунктами (3) и (4) настоящей статьи:
(a) персональные данные, хранящиеся у неинкорпорированных членов клуба и
касающиеся исключительно членов этого клуба; и
(b) персональные данные, хранящиеся у пользователя данных для целей
распространения или содержащие записи распространения
179
статей или информации среди субъектов данных и состоящие исключительно
из сведений об их именах, адресах или других сведений, необходимых для
цели распространения данных, исключаются из положений части II
настоящего акта и статей с 21 по 24.
(3). Параграфы (а) и (b) пункта (2) настоящей статьи не применяются в
отношении персональных данных, касающихся какого-либо субъекта данных,
если только эти данные не были запрошены у него самим клубом или
пользователем данных, и он не высказал возражений против хранения его
персональных данных на условиях настоящего параграфа.
(4). Одним из условий исключения любых данных на базе требований
параграфа (b) пункта (2) является неиспользование данных в иных целях,
кроме тех, для которых они хранятся, а также условием исключения любых
данных на основе требований обоих параграфов является неразглашение
данных в ином виде, чем в том, о котором говорится в пункте (а), для
целей финансового аудита или в случае предоставления информации о
финансовых делах пользователя данных, или за исключением случаев,
оговоренных в пункте (5); однако исключение не будет считаться
нарушенным вследствие использования данных или разглашения их в
нарушение этого условия, если пользователь данных докажет, что им были
приняты все необходимые меры, чтобы исключить возможность такого
использования или разглашения.
(5). Персональные данные, на которые распространяются положения пункта
(4) могут быть раскрыты:
(a) если субъекта данных (или лицо, действующее от его имени) попросили
и он дал согласие на раскрытие персональных данных как на общих
условиях, так и на условиях, на которых раскрытие состоялось;
(b) если лицо, осуществившее раскрытие персональных данных имело все
основания считать, что такое раскрытие отвечает требованиям параграфа
(а); или
(c) в любом случае, когда раскрытие может быть разрешено на основании
любого положения этой части настоящего акта, если
180
требования пункта (4) были включены в положения о неразглашении
персональных данных.
(6). Персональные данные, хранящиеся исключительно для целей:
(a) подготовки статистических сведений или
(b) проведения научно-исследовательских работ исключаются из положений о
свободном допуске субъектов данных; однако условием такого исключения
является неиспользование данных или нераскрытие их в иных целях, а
результаты статистических данных или научных исследований не могут иметь
форму, способную идентифицировать субъектов данных или кого-либо из них.
Другие исключения
34. – (1). Персональные данные, хранящиеся у какого-либо лица
исключаются из положении части II настоящего акта и статей 21 – 24. если
такие данные включают сведения, которые запрашиваются у лица на
основании какого-либо законодательного акта для открытого публичного
доступа, либо для опубликования с целью инспекции или для других
законных целей бесплатно или за определенную плату.
(2). Министр может своим приказом исключить из положения о свободном
доступе субъектов данных к персональным данным сведения, разглашение
которых запрещено или ограничено каким-либо законодательным актом, в
случае, если он сочтет, что запрет или ограничение должны превалировать
над такими положениями в интересах субъекта данных или любого другого
лица.
(3). Если все персональные данные субъекта данных, хранящиеся у
пользователя данных (или все такие данные, в отношении которых
пользователь данных имеет отдельные регистрации в реестре), состоят из
сведений, в отношении которых субъект данных вправе делать запросы
пользователю данных на основании статьи 158 Акта о потребительском
кредите 1974 г. (1974, с. 39) (файлы кредитных агентств), то:
(а) такие данные исключаются из положений о свободном доступе субъектов
данных к своим персональным данным и
181
(b) любой запрос по поводу данных на основании статьи 21 должен
рассматриваться для всех целей так, будто речь идет о запросе, сделанном
на основании статьи 158.
(4). Персональные данные исключаются из положений о свободном доступе
субъектов данных к своим персональным данным, если такие данные хранятся
исключительно для целей замены других данных в случае потери,
уничтожения или несоответствия последних.
(5). Персональные данные исключаются из положений о неразглашении в
любом случае, когда такое разглашение:
(a) является необходимым в силу законодательного акта, закона или по
постановлению судебного органа или
(b) осуществляется с целью получения юридической консультации или в
целях либо в процессе судебного разбирательства, в ходе которого лицо,
осуществляющее раскрытие данных является стороной в деле или свидетелем.
(6). Персональные данные исключаются из положений о неразглашении в
любом случае, когда:
(а) такое разглашение осуществляет сам субъект данных или лицо,
действующее от его имени; или
(b) субъект данных или лицо, действующее от его имени, раскрывают
конкретные данные в силу обращенного к ним требования или их
добровольного согласия; или
(c) такое разглашение осуществляет пользователь данных или лицо,
руководящее работой фирмы, занимающейся обработкой компьютерных данных,
своему служащему или агенту в служебных целях; или
(d) лицо, раскрывающее персональные данные, имеет все основания считать,
что такое раскрытие полностью отвечает требованиям настоящего пункта.
(7). Положения статьи 4 (3) (d) не применяются в отношении раскрытия
данных, осуществленных в соответствии с требованиями параграфов (а), (b)
и (с) пункта (6) настоящей статьи; а положения этого пункта будут
применяться в отношении статьи 33 (6).
182
устанавливающей ограничения на раскрытие данных, содержащихся в том
виде, как они применяются в отношении требований о неразглашении данных.
(8). Персональные данные исключаются из положений о неразглашении в
любом случае, когда разглашение срочно требуется для предотвращения
причинения ущерба или другого вреда здоровью какого-либо лица или лиц;
при рассмотрении дела в суде по поводу нарушения положений, упомянутых в
статье 26 (3) (а), суд может учесть заявление обвиняемого о том, что он
имел разумные основания считать раскрытие таких данных срочным
характером обстоятельств, изложенных выше.
(9). Лицо вправе не отвечать на извещение, просьбу или постановление,
посланные ему в соответствии с требованиями положений о доступе к
персональным данным, если соблюдение таких положений может вызвать
нарушение другого, чем настоящий акт, закона, а разглашение информации
каким-либо лицом на основании такого извещения, просьбы или
постановления не может вменяться ему в вину.
Экзаменационные оценки
(35). – (1). Положения статьи 21 не будут применяться в случае
наступления обстоятельств, регулируемых положениями настоящего пункта, а
именно в случае, если персональные данные будут представлять собой
отметки или другие сведения, хранимые у пользователя данных:
(a) в целях определения результатов академических, профессиональных или
других экзаменов, а также в целях выявления результатов таких экзаменов;
или
(b) вследствие определения любого из этих результатов.
(2). В случае, когда исчисление срока, установленного в пункте (6)
статьи 21 начинается до объявления результатов экзаменационных
испытаний, то этот срок должен быть продлен:
(a) на пять месяцев с начала исчисления срока; ” или
(b) на сорок дней после объявления результатов экзаменов, независимо от
того, какое условие наступит раньше.
183
(3). В случае, когда в силу требований пункта (2) просьба
удовлетворяется через сорок дней после начала исчисления срока,
указанного в пункте (6) статьи 21, запрашиваемая информация должна быть
направлена со ссылкой как на данные, о которых идет речь, ко времени
получения просьбы, так и со ссылкой на данные, которые имелись в период
времени между получением просьбы и ее исполнением.
(4). Для целей настоящей статьи результаты экзаменов должны
рассматриваться как объявленные с момента их первого опубликования или
(если они не были опубликованы) с момента, когда они стали доступны или
сообщены кандидатам.
(5). В этой статье термин “экзамен” включает любое испытание в целях
выявления знаний, ума, профессиональных навыков или способности
кандидата занять какое-либо место или должность с помощью предложенного
теста, выполнения работы или иным образом.
Часть V
Общие понятия
Основные обязанности Регистратора
36. – (1). Обязанностью Регистратора является исполнение функций,
установленных настоящим актом, призванных обеспечить соблюдение
принципов защиты данных пользователями данных и лицами, руководящими
работой фирмы, занимающейся обработкой компьютерных данных.
(2). Регистратор может рассматривать любую жалобу на то, что какой-либо
принцип защиты данных или какое-либо положение настоящего акта нарушено
или нарушается, и будет делать это, если жалоба будет содержать
требование по существу вопроса о возбуждении судебного преследования
нарушителя и направлена в срочном порядке лицом, интересы которого
непосредственно затронуты таким нарушением; в случае, если Регистратор
принимает к рассмотрению такую жалобу, он обязан поставить заявителя в
184
известность о результатах его расследования и о действиях, которые он
предлагает осуществить.
(3). Регистратор будет подготавливать для распространения в форме и
способом, которые он сочтет для себя приемлемыми, такую информацию,
какую он посчитает целесообразной для публики, о настоящем акте и о
мерах, принимаемых им, для его реализации в рамках отведенных ему
полномочий и может давать советы любому лицу по существу вопросов,
регулируемых актом.
(4). В обязанности Регистратора входит, если он сочтет целесообразным
сделать это, поощрять торговые ассоциации или другие органы,
представляющие пользователей данных разрабатывать и распространять среди
своих членов кодексы практики для направления их деятельности в русло
соблюдения принципов защиты данных.
(5). Регистратор будет представлять ежегодно обеим палатам парламента
общий отчет о проделанной работе по реализации положений настоящего акта
и будет, когда сочтет возможным, представлять обеим палатам парламента
предложения по совершенствованию данных ему полномочий.
Сотрудничество между сторонами но реализации Конвенции
37. Регистратор будет являться назначенным должностным лицом в
Соединенном Королевстве для целей реализации положений 13 статьи
Европейской Конвенции и Министр может своим приказом устанавливать
функциональные обязанности Регистратора.
Распространение положений акта на деятельность
правительственных департаментов и полиции
38. – (1). За исключением положений, предусмотренных пунктом (2)
настоящей статьи, правительственные департаменты будут нести равные
обязательства и равную меру ответственности по настоящему акту с
частными лицами; для целей настоящего акта каждый правительственный
департамент будет рассматриваться как самостоятельное от других
правительственных департаментов лицо, а лицо.
185
находящееся на публичной службе Короне, будет рассматриваться в качестве
служащего государственного департамента, к которому относятся его
служебные обязанности и ответственность.
(2). Правительственный департамент не освобождается от ответственности
по настоящему акту, однако:
(a) статьи 5 (3) и 15 (2) (в той мере, в которой это относится к
положениям статей 5 (5) и 15 (3), будут применяться к любому лицу,
которое, в силу настоящей статьи, рассматривается в качестве служащего
государственного департамента; и
(b) статья 6 (6) и параграф 12 Приложения 4 к настоящему акту будут
применяться по отношению к лицу, находящемуся на публичной службе Короны
в той мере, в какой они применяются к любому другому лицу.
(3). Для целей настоящего акта:
(a) полицейские констебли, находящиеся под руководством и в подчинении
ответственного полицейского чина, будут рассматриваться как его
служащие; и
(b) члены любого образования констебля, действующие независимо от
полицейских властей будут рассматриваться как служащие:
(i) полицейской власти или лица, учредившего это образование;
(ii) и в случае, когда речь идет о членах такого образования,
находящихся под управлением и контролем ответственного полицейского
чина, они будут рассматриваться как служащие такого полицейского чина.
(4). Если применяется вышеуказанный пункт (3) в Шотландии в отношении
ответственного полицейского чина, то ссылка на такой чин должна быть
заменена ссылкой на шефа констебля.
(5). Если применяется вышеуказанный пункт (3) в Северной Ирландии в
отношении ответственного полицейского чина, то ссылка на такой чин
должна быть заменена ссылкой на Шефа констебля Королевской ольстерской
службы констеблей, а ссылка на
186
полицейские власти должна быть заменена ссылкой на Полицейские Власти
Северной Ирландии.
Данные, хранящиеся за пределами Объединенного Королевства
и услуги, оказываемые за пределами Объединенного Королевства
(39). – (1). С соблюдением или с учетом следующих положений настоящей
статьи, данный Акт не применяется к пользователю данных в отношении
данных, которые хранятся у него или к лицу, руководящему деятельностью
фирмы, занимающейся компьютерной обработкой данных в отношении услуг,
оказываемых ею за пределами национальной территории Объединенного
Королевства.
(2). Для целей вышеуказанного пункта (1):
(a) данные будут рассматриваться как хранящиеся в месте, в котором
пользователь данных осуществляет контроль, речь о котором идет в пункте
(5) (b) статьи 1, над данными; и
(b) услуги будут рассматриваться как оказываемые в месте, в котором
лицо, руководящее деятельностью фирмы, занимающейся компьютерной
обработкой данных, осуществляет какую-либо деятельность, подпадающую под
положения пункта (6) (а) или (b) настоящей статьи.
(3). В случае, когда лицо, не являющееся резидентом Объединенного
Королевства:
(a) осуществляет контроль, упомянутый в параграфе (а) вышеуказанного
пункта (2);
(b) или вело какую-либо деятельность из той, которая указана в параграфе
(b) настоящего пункта, через посредство служащего или агента в
Объединенном Королевстве, настоящий акт будет применяться так, будто
такой контроль осуществлялся или. возможно, такая деятельность в
Объединенном Королевстве велась служащим или агентом, действующими за
его счет и не от имени лица, являвшегося его служащим или агентом.
(4). В случае, когда в силу пункта (3) служащий или агент
рассматриваются пользователями данных или лицами, руководящими
187
деятельностью фирмы, занимающейся компьютерной обработкой данных, они
могут рассматриваться для целей регистрации в соответствии с той
должностью, которую занимают или в соответствии с теми должностными
обязанностями, которые они выполняют; и любое такое описание их
должности и служебных обязанностей, занесенное в регистрационную
карточку, должно рассматриваться как применяемое в отношении лица,
исполняющего в тот момент указанную должность или служебные обязанности.
(5). Настоящий акт не применяется в отношении данных, полностью
обработанных за пределами территории Объединенного Королевства, если
только эти данные не используются и не предназначены для использования в
Объединенном Королевстве.
(6). Статья (4) (3) (е) и статья 5 (2) (е) и пункт (1) статьи 12
настоящего акта не применяются в отношении передачи данных, которые уже
находятся за пределами Объединенного Королевства; однако ссылки в
указанной статье 12 на несоблюдение принципов защиты данных не включают
ссылки на какие-либо обстоятельства, которые могут рассматриваться как
нарушение, если такое имело место в отношении данных, когда те
находились на территории Объединенного Королевства.
Правила, инструкции и приказы
40. – (1). Любые полномочия, предоставляемые настоящим актом, по изданию
правил, инструкций и приказов должны быть осуществлены на основании
законодательного акта.
(2). Без ущерба для статьи 2 (6) и статьи 29 (3) правила, инструкции или
приказы, издаваемые на основе настоящего акта могут содержать отличные
по содержанию положения в зависимости от случаев и обстоятельств.
(3). Перед изданием приказа на основании положений настоящего акта
Министр будет проводить консультации с Регистратором.
188
(4). Ни один приказ, издаваемый на основании положений статей 2 (3), 4
(8), 19, 30 или 34 (2). не должен быть издан прежде, чем его проект не
будет утвержден раздельным постановлением обеих палат парламента.
(5). Законодательный акт, содержащий приказ на основании статьи 21 (9)
или 37 или правило на основании параграфа 4 Приложения 3 к настоящему
акту, подлежит отмене в соответствии с постановлением обеих палат
парламента.
(6). Проекты инструкций, устанавливающие плату, предписываемую
каким-либо положением настоящего акта, или срок, предписываемый статьей
8 (2), должны подлежать утверждению парламентом.
(7). Проекты инструкций, на основании которых Регистратор будет взимать
сборы в соответствии с требованием настоящего акта или устанавливать
сроки, указанные в статье 8 (12). должны приниматься после консультаций
с Регистратором и утверждения их Казначейством; при подготовке таких
инструкций Министр должен принимать во внимание желательность
гарантирования того, что взимаемые сборы будут покрывать расходы,
осуществляемые Регистратором и Судом в ходе осуществления ими своих
функций в соответствии с настоящим актом, и любые расходы в отношении
Суда, понесенные Министром.
Интерпретация терминовo
41. В дополнение к положениям статьи 1 и 2 настоящего акта следующие
положения будут иметь силу при толковании терминов, встречающихся в
настоящем акте:
бизнес включает такие понятия, как торговля и род деятельности;
оборудование, предназначенное для обработки данных означает любое
оборудование для автоматизированной обработки данных или для записи
информации, которая в таком виде может подлежать дальнейшей обработке;
материал данных – любой документ или материал, используемый в связи с
оборудованием, предназначенным для обработки данных; уведомление о
досрочном прекращении регистрации – уведомление, оформленное в
соответствии с требованиями статьи 11 акта;
189
принятие включает принятие законодательных документов после вступления
в силу настоящего акта;
извещение о возможном принятии принудительных мер – уведомление,
оформленное в соответствии с требованиями статьи 10 акта; Европейская
Конвенция – Конвенция о защите граждан в связи с автоматизированной
обработкой персональных данных, которая была открыта для подписания 28
января 1981 г.;
правительственный департамент включает Департамент по Северной Ирландии
и любой орган или власть, осуществляющие статутные функции от имени
Короны;
предписанный означает предписанный на основании инструкций, изданных
Министром;
Регистратор означает Регистратор по защите данных; реестр – за
исключением случаев, когда речь идет о реестре торговых компаний,
означает реестр, учрежденный и действующий на основании статьи 4 акта и
(за исключением случаев, когда речь идет о зарегистрированной торговой
компании, зарегистрированном офисе компании или зарегистрированном
почтовом адресе) имеет отношение к толкованию понятия “регистрация”;
зарегистрированная компания – компания, зарегистрированная на основании
законодательных актов, относящихся к компаниям, действующим в настоящее
время на территории Объединенного Королевства;
уведомление о наложении запрета на передачу данных – уведомление,
оформленное в соответствии с требованиями статьи 12 акта; Суд означает
Суд по защите данных.
Положения об исчислении сроков
42. – (1). Срок рассмотрения заявлений о регистрации устанавливается
приказом Министра, и положения статей 5 и 15 акта не будут применяться
до истечения шестимесячного срока с указанного в них дня.
(2). До истечения двухлетнего периода, начиная с даты, установленной
пунктом (1) настоящей статьи, Регистратор не вправе:
190
(a) отказывать в рассмотрении регистрационного заявления, оформленного с
соблюдением требований статьи 6 акта, за исключением случаев, указанных
в статье 7 (2); или
(b) направлять уведомление о возможном принятии мер принуждения,
извещение о досрочном прекращении регистрации или уведомление о
наложении запрета на передачу данных до истечения этого срока.
(3). В случае, когда Регистратор намерен направить уведомление о
возможном принятии мер принуждения до истечения срока, установленного в
пункте (2) акта, он при определении срока исполнения нарушителем
требований, изложенных им в уведомлении и направленных на устранение
нарушений, должен учитывать возможные затраты нарушителя, которые тот
может понести, чтобы выполнить требования Регистратора.
(4). Положения статьи 21 и параграфа 1 (b) Приложения 4 к настоящему
акту не будут применяться до истечения срока, указанного в пункте (2)
акта.
(5). Положения статьи 22 не будут применяться в отношении ущерба,
понесенного до истечения срока, установленного в пункте (1). и при
вынесении решения по вопросу об отказе в рассмотрении заявления о
регистрации или направлении уведомления на основании положений части II
настоящего акта; Регистратор будет рассматривать положение о точности
содержания данных пятого принципа защиты данных как неприменимого до
конца истечения этого срока и неприменимого после этого по отношению к
данным, хранящимся у пользователя данных, до конца этого срока.
(6). Положения статей 23 и 24 (3) акта не будут применяться в отношении
понесенного ущерба до конца двухмесячного срока, начиная с даты принятия
настоящего акта.
(7). Положения статьи 24 (1) и (2) акта не будут применяться до
истечения срока, указанного в пункте (1).
191
Краткое название и распространение
43. – (1). Настоящий акт может именоваться как акт о защите данных 1984
г.
(2). Действие настоящего акта распространяется на Северную Ирландию.
(3). Ее Величество может своим Королевским указом в Совете
распространить действие настоящего акта на всю территорию королевства с
такими исключениями и поправками, какие будут установлены в таком указе.
192
ПРИЛОЖЕНИЯ
Приложение 1
Статья 2(1).
Принципы защиты данных
Часть I
Принципы
Персональные данные, хранящиеся у пользователя данных
Информация, которая составит содержание данных, должна быть получена, а
персональные данные должны быть обработаны честно и на законных
основаниях.
Персональные данные должны храниться для одной или нескольких
обусловленных и законных целей.
Персональные данные, хранящиеся для какой-либо цели или целей, не могут
быть использованы или раскрыты путем, несовместимым с этой целью или
этими целями.
Персональные данные, хранящиеся для какой-либо цели или целей, должны
быть достаточными, существенными и не чрезмерными в отношении этой цели
или этих целей.
Персональные данные должны быть точными и, когда это необходимо,
актуальными.
Персональные данные, хранящиеся для какой-либо цели или целей, не
должны храниться дольше, чем то необходимо для этой цели или этих целей.
Граждане имеют право:
193
(a) с одной стороны, лицо не должно слишком часто настаивать на доступе
к своим персональным данным, а с другой стороны, пользователь данных
должен предоставить ему доступ в разумные сроки и без неоправданного
завышения стоимости такого доступа:
(i) быть осведомленным пользователем данных относительно наличия у него
персональных данных на такое лицо;
(ii) иметь доступ к любым своим данным, хранящимся у пользователя
данных;
(b) в случае необходимости требовать внесения исправлений в неточные
данные или их уничтожения.
Пользователь данных обязан принять все необходимые меры против
несанкционированного доступа к персональным данным, изменения их
содержания, разглашения или уничтожения, а также против случайной утраты
или уничтожения персональных данных.
Часть II
Комментарии
К первому принципу.
1. – (1). С соблюдением или с учетом положений пункта (2) настоящей
статьи при установлении была ли информация получена честным путем,
необходимо обратить внимание на то, каким способом она была получена,
включая, в частности, была ли она получена обманным путем или путем
введения лица в заблуждение относительно цели или целей ее сбора,
хранения, использования или разглашения.
(2), Информация в любом случае должна рассматриваться как полученная
честным путем, если лицо:
(a) предоставляет информацию в соответствии с законодательным актом или
(b) в обязательном порядке предоставляет ее в соответствии с
законодательным актом, конвенцией или с другим документом, налагающим
обязательство на Великобританию, и при установлении была ли информация
получена честным путем, следует не обращать
194
внимания на какое-либо раскрытие информации, которая получена в
обязательном порядке на основании какого-либо законодательного акта или
требовалась в связи с вышеуказанной конвенцией или другим юридическим
документом.
Ко второму принципу.
2. Персональные данные не будут рассматриваться как хранящиеся для
заранее оговоренной цели до тех пор, пока эта цель не будет описана в
регистрационной карточке в соответствии с настоящим актом в отношении к
данным.
К третьему принципу.
3. Персональные данные не будут рассматриваться как используемые или
раскрываемые в нарушение положений этого принципа до тех пор. пока:
(a) они не используются иначе, чем для цели, описание которой содержится
в регистрационной карточке и относится к таким данным;
(b) или они не раскрываются иначе, чем лицу, .указанному в
регистрационной карточке.
К пятому принципу.
4. Любой вопрос относительно того, являются ли персональные данные
точными, должен рассматриваться с точки зрения целей статьи 22
настоящего акта, однако в случае, когда речь идет о таких категориях
данных, которые содержатся в пункте (2) настоящей статьи, этот принцип
не должен рассматриваться, как противоречащий из-за неточности
информации, о которой в нем упоминается, если требования оговоренные в
настоящем пункте соблюдены.
К седьмому принципу.
5. – (1). Параграф (а) этого принципа не должен рассматриваться как
предоставляющий какие-либо права, не совместимые с требованиями статьи
21 настоящего акта.
(2). При определении разумных интервалов между очередным допуском
субъекта данных к его персональным данным необходимо
195
учитывать характер данных, цель для которой эти данные хранятся и
частота, с которой в такие данные вносятся изменения.
(3). Внесение изменений в данные или их уничтожение является допустимым
только в том случае, когда необходимо гарантировать соблюдение других
принципов защиты данных.
К восьмому принципу.
6. Необходимо обратить внимание:
(a) на характер персональных данных и на вред, который может быть
причинен таким доступом, изменением, разглашением, утратой или
уничтожением, о которых говорится в этом принципе; и
(b) место, в котором персональные данные хранятся, на меры безопасности,
предусмотренные программными средствами для наиболее важного
оборудования и на меры безопасности, принятые для обеспечения надежности
обслуживающего персонала, имеющего доступ к персональным данным.
Использование данных в исторических, статистических и
научно-исследовательских целях.
7. В случае, когда персональные данные хранятся в исторических,
статистических или научно-исследовательских целях и не используются
таким образом, который может причинить субъекту данных материальный или
моральный вред:
(a) информация, содержащаяся в таких данных, не должна рассматриваться
для целей первого принципа как полученная нечестным путем только потому,
что цель ее использования не была объявлена во время сбора такой
информации;
(b) такие данные, несмотря на требования шестого принципа, могут
храниться бесконечно долго.
196
Приложение 2
Статья 3 (6).
Регистратор по защите данных и Суд по защите данных
Часть I
Регистратор
Общие положения.
1. – (1). Регистратор – это единоличная корпорация под названием
“Регистратор по защите данных”.
(2). За исключением положений статьи 17 (2) настоящего акта, Регистратор
и его должностные лица и служащие не должны рассматриваться в качестве
служащих или агентов Короны.
Пребывание в должности
2. – (1). С соблюдением или с учетом положений настоящего параграфа,
срок пребывания в должности Регистратора устанавливается в пять лет.
(2). Регистратор может быть освобожден от занимаемой должности по
собственному желанию распоряжением Ее Величества.
(3). Регистратор может быть освобожден от занимаемой должности на
основании указания Ее Величества в связи с обращением к ней обеих палат
парламента.
(4). Регистратор в любом случае должен оставить свою должность по
завершении календарного года, в котором он достиг шестидесятипятилетнего
возраста.
(5). С соблюдением или с учетом положений подпараграфа (4) настоящей
статьи, по истечении установленного срока полномочий мандат лица,
исполнявшего обязанности Регистратора, может быть продлен на следующий
срок.
197
Вопросы оплаты труда. Регистратора и прочее
3. – (1). Регистратору будет выплачиваться:
(a) жалование;
(b) пенсия в размере, установленном решением Палаты Общин.
(2). Решение в целях настоящего параграфа может также назначать
жалование или пенсионное обеспечение или оговаривать, что их размер
будет на уровне, установленном для или в отношении служащего, нанятого
на определенную должность, или для выполнения определенного задания в
качестве служащего Короны.
(3). Решение в целях настоящего параграфа может вступить в силу с даты
его принятия или с более ранней или поздней даты, установленной в таком
решении.
(4). Жалование и пенсионное пособие будут отнесены на счет и списываться
со счета Консолидационного фонда.
(5). Термин “пенсионное пособие”, употребляемый в настоящем параграфе,
включает в себя вознаграждение или надбавки, и любые ссылки, относящиеся
к выплате пенсии, включают ссылки на общие положения по выплатам
пенсионного обеспечения.
Должностные лица и служащие
4. – (1). Регистратор:
(a) назначает своего заместителя и
(b) вправе назначить такое количество других должностных лиц и служащих,
какое сочтет необходимым.
(2). Жалование и другие условия службы персонала, назначенного на
основании этого параграфа, будут устанавливаться Регистратором.
(3). Регистратор может выплачивать такие пенсии, вознаграждения или
надбавки к должностным окладам персоналу, назначенному на основании
этого параграфа, или устанавливать такой размер пенсий,
198
вознаграждений или надбавок к должностным окладам своих сотрудников,
какой сочтет возможным.
(4). Ссылки, содержащиеся в подпараграфе (3) настоящей статьи в
отношении пенсий, вознаграждений или надбавок к должностным окладам
принятых на работу на основании этого параграфа сотрудников, включают
ссылки на пенсии, вознаграждения или надбавки к должностным окладам,
выплачиваемые сотрудникам, потерявшим свои должности или работу.
(5). Любое решение, вынесенное на основании положений подпараграфов (1)
(b), (2) или (3) настоящей статьи требует утверждения Министром после
согласования этого вопроса с Казначейством.
5. – (1). Заместитель Регистратора будет исполнять обязанности, которыми
он наделяется на основании настоящего акта, в период объявления
вакантной должности Регистратора или в течение всего времени, когда
Регистратор по какой-либо причине не сможет исполнять свои служебные
обязанности.
(2). Не затрагивая положения подпараграфа (1) настоящей статьи,
исполнение любых функций Регистратора по настоящему акту, в объеме,
устанавливаемом Регистратором, может быть поручено одному из
ответственных сотрудников его аппарата.
Доходы и расходы
6. – (1). Сборы и другие платежи, полученные Регистратором при
исполнении им своих служебных обязанностей по настоящему акту,
перечисляются им в Консолидационный фонд.
(2). Министр может, помимо средств, выделяемых парламентом, выплачивать
Регистратору суммы на покрытие его текущих расходов, размер которых он
устанавливает по согласованию с Казначейством.
Счета
7. – (1). В обязанности Регистратора входит:
199
(a) ведение счетов и других записей в отношении таких счетов;
(b) подготовка в отношении каждого финансового года выписки из счета в
форме, которую может установить Министр по согласованию с Казначейством;
и
(c) направление копий таких выписок счетов Контролеру и Генеральному
Аудитору за прошедший финансовый год не позднее 31 августа или, по
усмотрению Казначейства, ранее этой даты после завершения финансового
года.
(2). Контролер и Генеральный Аудитор осуществляют проверку копий выписок
счетов, направленных ему в соответствии с требованиями настоящего
параграфа, и направляет их вместе со своим заключением в палаты
парламента.
(3). В настоящем параграфе под термином “финансовый год” понимается
период в двенадцать календарных месяцев, начинающийся с 1 апреля каждого
года.
Часть II
Суд
Пребывание в должности.
8. – (1). Член Суда пребывает в должности и освобождает ее в
соответствии с условиями его назначения; по истечении установленного
срока полномочий мандат лица, исполнявшего обязанности члена Суда, может
быть продлен на следующий срок.
(2). Любой член Суда может в любое время сложить с себя полномочия члена
Суда, подав письменное заявление об отставке Лорду Канцлеру (в случае,
когда речь идет о Председателе или заместителе Председателя Суда) или
Министру (когда речь идет о любом другом члене Суда).
Вопросы оплаты труда и прочее
9. Министр может выплачивать членам Суда, сверх сумм. установленных
парламентом, такое вознаграждение и надбавки к
200
должностным окладам, которые он определит по согласованию с
Казначейством.
Должностные лица и служащие
10. Министр может укомплектовать штаты Суда таким количеством
должностных лиц и служащих, какое сочтет необходимым для надлежащего
исполнения Судом своих функций.
Расходы
11. Министр по согласованию с Казначейством может направлять на покрытие
расходов Суда дополнительные суммы сверх тех. которые выделяются
парламентом.
Часть III
Общие положения
Отстранение от исполнения служебных обязанностей
по решению парламента.
12. – (1). Часть II Приложения 1 к Акту Палаты общин о дисквалификациях
1975 г. (1975. с. 24) (дисквалифицированные члены органов) должна быть
дополнена главой “Суд по защите данных”.
(2). Часть III настоящего Приложения (дисквалификация должностных лиц)
должна быть дополнена главой “Регистратор по защите данных”.
(3). Соответствующие дополнения должны быть внесены в Часть II и III
Приложения 1 к Акту Ассамблеи Северной Ирландии о дисквалификациях 1975
г. (1975, с. 25).
Надзор со стороны Совета судов
13. В Акт о судах и следственных органах 1971 г. (1971, с. 62) должны
быть внесены следующие дополнения:
(a) в статью 8 (2) после слова “параграф” – “5А”;
(b) в статью 19 (4) после цифры “46” – слова “или Регистратор по защите
данных, речь о котором идет в параграфе 5А”;
201
(с) в Приложение 1 после параграфа 5 должен быть внесен следующий текст:
“Защита данных. 5А. Регистратор по защите данных: (b) Суд по защите
данных”.
Общественные архивы
14. Часть II Таблицы параграфа 3 Приложения 1 к Акту об общественных
архивах 1958 г. (1958, с. 51) должна быть дополнена главой “Регистратор
по защите данных”, а после параграфа 4 (1) (п) этого Приложения должен
быть внесен следующий текст “(пп) архивы Суда по защите данных”.
Приложение 3
Статья 13 (4)
Порядок подачи апелляции:
Рассмотрение апелляции в ходе судебного разбирательства.
1. В целях рассмотрения заявлений об апелляции или любого вопроса,
связанного с апелляцией, судебное заседание может назначаться на такое
время и проводиться в таком месте, которое определит Председатель Суда
или его заместитель, и может состоять из двух или более апелляционных
присутствий отделений королевской скамьи.
2. – (1). С соблюдением или с учетом правил, принятых на основании
вышеуказанного параграфа 4, судебное заседание будет считаться
соответствующим образом созванным для рассмотрения апелляционной жалобы
на основании статьи 13 (I) настоящего акта, если в его состав войдут:
(a) Председатель или его заместитель (который будет вести заседание) и
(b) равное число членов, назначенных, соответственно, согласно
параграфам (а) и (b) статьи 3 (5) настоящего акта.
(2). Члены Суда, составляющие его заседание в соответствии с
подпараграфом (1) настоящей статьи, будут назначены председателем или,
если он по какой-либо причине не сможет руководить заседанием, его
заместителем.
202
(3). Вынесение решения по любому вопросу, рассматриваемому в судебном
заседании, будет осуществляться на основе мнения большинства членов,
присутствующих при рассмотрении апелляции.
3. С соблюдением или с учетом правил, принятых на основании параграфа
(4) настоящей статьи, отправление правосудия по апелляционному заявлению
на основании статьи 13 (2) или (3) настоящего акта будет осуществляться
ex parte (от имени) председателем или его заместителем в ходе отдельного
заседания.
Порядок проведения судебного заседания
4. – (1). Министр вправе издавать правила, регулирующие осуществление
прав граждан на апелляцию, предоставленных им в соответствии с
положениями статьи 13 настоящего Акта, практику и порядок проведения
судебного разбирательства.
(2). Без ущерба основному смыслу подпараграфа (1) настоящей статьи,
правила, принятые в соответствии с положениями настоящего параграфа,
могут, в частности, содержать следующие положения:
(a) о сроках предъявления апелляционного заявления в Суд и о
предъявлении доказательств по апелляции;
(b) о вызове свидетелей и порядке принесения ими присяги;
(c) об обеспечении необходимыми документами и данными;
(d) об инспекции, проверке, функционировании и тестировании оборудования
по обработке данных и проверке материала данных;
(e) о слушании дела по апелляции полностью или частично in camera (в
закрытом судебном заседании);
(f) о слушании дела в отсутствии заявителя или о вынесении решения по
апелляции без проведения судебного заседания;
(g) о включении председателем или его заместителем вопросов, прямо или
косвенно относящихся к теме судебного разбирательства;
(h) о возложении расходов по судебному разбирательству;
(i) о публикации постановлений суда;
(j) о наделении Суда такими дополнительными полномочиями, какие Министр
сочтет целесообразными для эффективного осуществления им своих функций.
203
Обструкция и другие вопросы
5. – (1). Если какому-либо лицу будет вменяться в вину совершение
правонарушения или упущение в процессуальном действии перед Судом,
который, если такие действия были предприняты в отношении Суда и были
расценены им как неуважение к Суду, Суд может возбудить перед Высшим
Судом или перед Сессионным Судом в Шотландии преследование такого лица
за оскорбление Суда.
(2). В случае, когда такое оскорбление подтверждено, Суд может начать
расследование этого дела и после заслушивания свидетелей, которые могут
выступить в защиту или с обвинениями против лица, нанесшего оскорбление
суду, и после заслушивания возражений этого лица Суд вынесет решение в
связи с таким правонарушением.
Приложение 4
Статья 16.
Полномочия по созданию архива и по инспекции.
Полномочия по выдаче ордера на инспекцию.
1. Если у окружного судьи из информации, полученной от Регистратора под
присягой, имеется достаточно разумных оснований для сомнения в том, что:
(a) произошло или происходит нарушение положений настоящего акта или что
(b) произошло или происходит нарушение принципов зашиты данных
зарегистрированным лицом и что доказательства правонарушения или
нарушения находятся в каком-то указанном в информации месте, он
(окружной судья) может с соблюдением или с учетом параграфа 2 настоящей
статьи выдать ордер, предоставляющий право Регистратору либо его
ответственным лицам или сотрудникам в любое время в течение семи дней с
даты выдачи ордера войти в помещение, произвести его досмотр,
исследовать, проверить работоспособность, протестировать любое
оборудование, используемое для обработки данных, находящееся в этом
помещении, изучить и конфисковать любые документы или другой материал,
находящиеся в
204
этом помещении, которые могут служить вещественными доказательствами
вышеуказанного правонарушения.
2. Судья не будет выдавать ордера на основании этого Приложения, если не
убедится, что:
(a) Регистратор в письменном виде потребовал от лица, занимающего это
помещение, предоставить ему возможность посетить его в течение семи
дней;
(b) доступ был затребован в разумное время и несмотря на это ему был дан
отказ;
(c) лицо, занимающее помещение, после данного им отказа было уведомлено
Регистратором, что у него (Регистратора) имеется ордер на вход в
помещение и несмотря на это такое лицо не обратилось в суд для выяснения
оснований выдачи Регистратору ордера на вход в помещение;
однако нижеследующие положения этого параграфа не будут применяться в
случае, когда у судьи будет достаточно оснований считать, что данное
дело не требует отлагательства или что соблюдение формальностей причинит
ущерб данным.
3. Судья, оформляющий ордер на основании этого Приложения, должен также
сделать два экземпляра копий и заверить их в качестве таковых.
Исполнение ордера.
4. Лицо, исполняющее ордер на основании этого Приложения, может в
разумных пределах и когда требуют обстоятельства применять силу.
5. Ордер, выданный на основании этого Приложения, должен быть исполнен в
разумный срок, если только у лица, исполняющего ордер, не будет
оснований сомневаться, что доказательства, о которых идет речь, можно
получить, если будут соблюдены формальности исполнения ордера.
6. Если лицо, занимающее помещение, в отношении которого выдан ордер на
основании этого Приложения, присутствует в нем во
205
время исполнения ордера, то исполнитель обязан предъявить ордер такому
лицу и оставить ему заверенную копию: однако если исполнение ордера
осуществляется в отсутствие лица, занимающего помещение, то копия ордера
должна быть оставлена на видном месте в таком помещении.
7. – (1). Лицо, исполняющее ордер, в случае какой-либо конфискации,
осуществленной на основании этого Приложения, должно оставить опись
конфискованного имущества, если такая опись будет от него потребована.
(2). Имущество, конфискованное таким образом, может удерживаться столько
времени, сколько потребуется для выяснения всех обстоятельств дела, а
лицу, занимающему данное помещение, должна быть выдана опись
конфискованного имущества, если оно потребует такой выдачи, а
исполнитель ордера должен выдать такую опись без промедления.
Вопросы, не включенные в производство досмотра
и конфискации имущества
8. Полномочия на производство досмотра и конфискации имущества,
предоставленные на основании настоящего Приложения, не будут
распространяться на персональные данные, исключенные из Части II
настоящего акта.
9. – (1). С соблюдением или с учетом положений настоящего параграфа
полномочия на производство досмотра и конфискации имущества,
предоставленные на основании настоящего Приложения, не будут
распространяться на:
(a) какую-либо переписку между профессиональным адвокатом и его
клиентом, содержащую юридическую консультацию в отношении обязанностей
клиента, его ответственности или прав в отношении настоящего акта; или
(b) какую-либо переписку между профессиональным адвокатом и его клиентом
или между таким профессиональным адвокатом или его клиентом и каким-либо
другим лицом, ведущуюся в связи или по
206
вопросам процессуального характера, возникшим в связи с настоящим актом
(включая вопросы судопроизводства) и в целях такого судопроизводства.
(2). Подпараграф (1) настоящей статьи применяется также и в отношении:
(a) какой-либо копии или записи отдельных моментов уже упомянутой
переписки; и
(b) какого-либо документа или статьи, являющихся частью или приложением
к вышеупомянутой переписке по поводу предоставления юридической
консультации или, возможно, в связи или в целях такого судопроизводства,
речь о котором шла выше.
(3). Положения настоящего параграфа не применяются в отношении
имущества, находящегося у какого-либо лица, кроме профессионального
адвоката или его клиента, либо имущества, хранящегося с намерением
дальнейшего использования в, противозаконных целях.
(4). Ссылки, содержащиеся в настоящем параграфе на клиента
профессионального адвоката, в равной степени относятся и к лицу,
представляющему интересы такого клиента.
10. В случае, когда лицо, занимающее помещение, в отношении которого
выписан ордер на досмотр, согласно настоящему Приложению, возражает
против досмотра или конфискации какого-либо материала, осуществляемых по
ордеру на том основании, что такой материал состоит частично из
документов, на которые не распространяются полномочия по ордеру, оно
вправе, если лицо, действующее на основании ордера, выразит просьбу,
предоставить такому лицу копию только того материала, который не
исключен из таких полномочий.
Возвращение ордера
11. Ордер, выданный на основании настоящего Приложения должен быть
возвращен в суд. который его выдал:
(а) после его исполнения или
207
(b) если не был исполнен в указанный в нем срок, а лицо, исполнившее
ордер, должно сделать на нем надпись об исполнении данным лицом
настоящего ордера.
Правонарушения
12. Лицо:
(a) умышленно препятствующее исполнению ордера, выписанного на основании
настоящего Приложения; или
(b) отказывающееся без видимых разумных причин оказывать исполнителю
ордера запрашиваемую им помощь в целях надлежащего исполнения такого
ордера, будет рассматриваться в качестве правонарушителя.
Суда, автотранспорт и прочее
13. Используемый в настоящем Приложении термин “помещение” включает
также различного типа суда, автотранспорт, самолеты или другие средства
передвижения, и любые ссылки на лицо, занимающее помещение, будут
подразумевать и ссылки на лицо, в распоряжении которого находится судно,
автотранспортное средство, самолет или другое средство передвижения.
Шотландия и Северная Ирландия
14. В случае применения настоящего Приложения на территории Шотландии,
любые ссылки на окружного судью должны заменяться ссылками на шерифа;
любые ссылки на информацию, полученную под присягой, должны заменяться
ссылками на свидетельские показания, полученные под присягой; любые
ссылки на суд, выдавший ордер, должны заменяться ссылками на служащего
шерифа.
15. В случае применения настоящего Приложения на территории Северной
Ирландии, любые ссылки на окружного судью должны заменяться ссылками на
судью суда графства; любые ссылки на информацию, полученную под
присягой, должны заменяться ссылками на жалобу под присягой.
208
HYPERLINK “” \l “141” 141 :: HYPERLINK “” \l “142” 142 ::
HYPERLINK “” \l “143” 143 :: HYPERLINK “” \l “144” 144 ::
HYPERLINK “” \l “145” 145 :: HYPERLINK “” \l “146” 146 ::
HYPERLINK “” \l “147” 147 :: HYPERLINK “” \l “148” 148 ::
HYPERLINK “” \l “149” 149 :: HYPERLINK “” \l “150” 150 ::
HYPERLINK “” \l “151” 151 :: HYPERLINK “” \l “152” 152 ::
HYPERLINK “” \l “153” 153 :: HYPERLINK “” \l “154” 154 ::
HYPERLINK “” \l “155” 155 :: HYPERLINK “” \l “156” 156 ::
HYPERLINK “” \l “157” 157 :: HYPERLINK “” \l “158” 158 ::
HYPERLINK “” \l “159” 159 :: HYPERLINK “” \l “160” 160 ::
HYPERLINK “” \l “161” 161 :: HYPERLINK “” \l “162” 162 ::
HYPERLINK “” \l “163” 163 :: HYPERLINK “” \l “164” 164 ::
HYPERLINK “” \l “165” 165 :: HYPERLINK “” \l “166” 166 ::
HYPERLINK “” \l “167” 167 :: HYPERLINK “” \l “168” 168 ::
HYPERLINK “” \l “169” 169 :: HYPERLINK “” \l “170” 170 ::
HYPERLINK “” \l “171” 171 :: HYPERLINK “” \l “172” 172 ::
HYPERLINK “” \l “173” 173 :: HYPERLINK “” \l “174” 174 ::
HYPERLINK “” \l “175” 175 :: HYPERLINK “” \l “176” 176 ::
HYPERLINK “” \l “177” 177 :: HYPERLINK “” \l “178” 178 ::
HYPERLINK “” \l “179” 179 :: HYPERLINK “” \l “180” 180 ::
HYPERLINK “” \l “181” 181 :: HYPERLINK “” \l “182” 182 ::
HYPERLINK “” \l “183” 183 :: HYPERLINK “” \l “184” 184 ::
HYPERLINK “” \l “185” 185 :: HYPERLINK “” \l “186” 186 ::
HYPERLINK “” \l “187” 187 :: HYPERLINK “” \l “188” 188 ::
HYPERLINK “” \l “189” 189 :: HYPERLINK “” \l “190” 190 ::
HYPERLINK “” \l “191” 191 :: HYPERLINK “” \l “192” 192 ::
HYPERLINK “” \l “193” 193 :: HYPERLINK “” \l “194” 194 ::
HYPERLINK “” \l “195” 195 :: HYPERLINK “” \l “196” 196 ::
HYPERLINK “” \l “197” 197 :: HYPERLINK “” \l “198” 198 ::
HYPERLINK “” \l “199” 199 :: HYPERLINK “” \l “200” 200 ::
HYPERLINK “” \l “201” 201 :: HYPERLINK “” \l “202” 202 ::
HYPERLINK “” \l “203” 203 :: HYPERLINK “” \l “204” 204 ::
HYPERLINK “” \l “205” 205 :: HYPERLINK “” \l “206” 206 ::
HYPERLINK “” \l “207” 207 :: HYPERLINK “” \l “208” 208 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
HYPERLINK “” \l “209” 209 :: HYPERLINK “” \l “210” 210 ::
HYPERLINK “” \l “211” 211 :: HYPERLINK “” \l “212” 212 ::
HYPERLINK “” \l “213” 213 :: HYPERLINK “” \l “214” 214 ::
HYPERLINK “” \l “215” 215 :: HYPERLINK “” \l “216” 216 ::
HYPERLINK “” \l “217” 217 :: HYPERLINK “” \l “218” 218 ::
HYPERLINK “” \l “219” 219 :: HYPERLINK “” \l “220” 220 ::
HYPERLINK “” \l “221” 221 :: HYPERLINK “” \l “222” 222 ::
HYPERLINK “” \l “223” 223 :: HYPERLINK “” \l “224” 224 ::
HYPERLINK “” \l “225” 225 :: HYPERLINK “” \l “226” 226 ::
HYPERLINK “” \l “227” 227 :: HYPERLINK “” \l “228” 228 ::
HYPERLINK “” \l “229” 229 :: HYPERLINK “” \l “230” 230 ::
HYPERLINK “” \l “231” 231 :: HYPERLINK “” \l “232” 232 ::
HYPERLINK “” \l “233” 233 :: HYPERLINK “” \l “234” 234 ::
HYPERLINK “” \l “235” 235 :: HYPERLINK “” \l “236” 236 ::
HYPERLINK “” \l “237” 237 :: HYPERLINK “” \l “238” 238 ::
HYPERLINK “” \l “239” 239 :: HYPERLINK “” \l “240” 240 ::
HYPERLINK “” \l “241” 241 :: HYPERLINK “” \l “242” 242 ::
HYPERLINK “” \l “243” 243 :: HYPERLINK “” \l “244” 244 ::
HYPERLINK “” \l “245” 245 :: HYPERLINK “” \l “246” 246 ::
HYPERLINK “” \l “247” 247 :: HYPERLINK “” \l “248” 248 ::
HYPERLINK “” \l “249” 249 :: HYPERLINK “” \l “250” 250 ::
HYPERLINK “” \l “251” 251 :: HYPERLINK “B1735Content.html”
Содержание
ФЕДЕРАТИВНАЯ РЕСПУБЛИКА ГЕРМАНИИ
Федеральный закон
ОБ ОХРАНЕ ДАННЫХ
от 20 декабря 1990 г.
РАЗДЕЛ I. ОБЩИЕ ПОЛОЖЕНИЯ
§ 1. ЦЕЛЬ И СФЕРА ПРИМЕНЕНИЯ ЗАКОНА
1. Целью настоящего закона является защита индивидуума (субъекта) от
того, чтобы не был причинен ущерб его правам личности путем
использования данных о личности (персональных данных).
2. Настоящий закон является действительным в сфере сбора, обработки и
использования персональных данных, если эти действия осуществляются:
1) государственными организациями Федерации (Бунда);
2) государственными организациями Земель – в той мере, в какой охрана
данных не регулируется земельным законом и в какой они:
а) исполняют федеральное право или
б) действуют как органы правосудия и речь не идет об административных
делах.
3) негосударственными организациями – в той мере, в какой они
обрабатывают или используют информацию баз данных в сфере деловой
деятельности, а также для профессиональных или предпринимательских
целей.
3. При применении настоящего закона действуют следующие ограничения:
1) для автоматизированных баз данных, которые создаются исключительно
для целей технической обработки данных и которые после их использования
для технической обработки автоматически отключаются, действительны
только §§ 5 и 9;
2) для неавтоматизированных баз данных, в которых данные предназначены
для передачи третьим лицам, действительны только §§5. 9, 39 и 40. Кроме
того, для баз данных государственных организаций действуют правила по
обработке и использованию персональных данных, содержащихся в
документах. Если в отдельном
209
случае персональные данные распространяются, то для такого случая
предписания настоящего закона действуют без ограничений.
4. В той степени, в какой другие федеральные правовые предписания
распространяются на персональные данные вплоть до их публичного
обнародования, они имеют преимущество перед предписаниями настоящего
закона. Обязанность соблюдения тайны в силу закона или профессиональных,
а также особых должностных тайн, которые не опираются на предписания
закона, остается неизменной.
5. Предписания настоящего закона имеют преимущественную силу перед
аналогичными (предписаниями) закона об административном процессе, если
при расследовании обстоятельств дела обрабатываются персональные данные.
§ 2. ГОСУДАРСТВЕННЫЕ И НЕГОСУДАРСТВЕННЫЕ ОРГАНИЗАЦИИ
1. Государственными организациями Федерации являются ведомства, органы
правосудия и другие публично-правовые учреждения Федерации, организации
непосредственного федерального подчинения, а также публично-правовые
заведения и фонды и их объединения независимо от их правовой формы.
2. Государственными организациями Земель являются их ведомства, органы
правосудия и другие учреждения Земли, общины, союза общин или иных
юридических лиц публичного права, находящихся в компетенции Земли, а
также их объединения независимо от их правовой формы.
3. Гражданско-правовые объединения при государственных органах Федерации
и Земель, выполняющие задачи публичного управления, считаются
(независимо от участия в них негосударственных организаций)
государственными организациями Федерации, если:
1) их деятельность выходит за рамки Земли или
2) Федерации принадлежит абсолютное большинство акций этого объединения
или абсолютное большинство голосов.
В остальных случаях они считаются государственными организациями земель.
4. Негосударственными организациями являются физические и юридические
лица, товарищества и другие гражданско-правовые объединения лиц в той
степени, в какой они не подпадают под пункты
210
с 1-го по 3-й. Если какая-либо негосударственная организация исполняет
суверенные задачи публичного управления, то тем самым она является
государственной организацией в смысле настоящего закона.
§ 3. ОПРЕДЕЛЕНИЕ ПОНЯТИЙ
1. Данными о личности (персональными данными) являются отдельные
сведения о личных или деловых отношениях какого-либо определенного или
поддающегося определению лица.
2. База данных есть:
1) собрание персональных данных, которое, посредством
автоматизированного процесса, обработано по определенным признакам
(автоматизированная база данных); или
2) любое иное собрание персональных данных, которое таким же образом
может быть выстроено по определенным признакам и систематизировано,
пересистематизировано и обработано (неавтоматизированная база данных).
Сюда же относятся документы или собрания документов, хотя они и могут
быть пересистематизированы и обработаны с помощью автоматизированного
процесса.
3. Документом является любая бумага, служащая должностным и служебным
целям; сюда причисляются также носители изображения и звука. Под это
определение не подпадают предварительные проекты и записи, которые не
являются составной частью служебного процесса.
4. Сбор (сведений) есть приобретение данных о каком-либо физическом
лице.
5. Обработка есть накопление, модификация, передача, блокирование и
аннулирование персональных данных. Не принимая во внимание применяемые
при этом процессы, в частности это:
1) накопление есть охват, запись или сохранение персональных данных на
каком-либо носителе данных в целях дальнейшей обработки или
использования;
2) модификация есть содержательное преобразование накопленных
персональных данных,
3) передача есть сообщение накопленных или, благодаря обработке,
полученных персональных данных третьему лицу (получателю) таким образом,
чтобы:
211
а) данные были бы переданы организацией, их накапливающей, получателю на
расстоянии или
б) получатель мог бы просмотреть или прослушать данные, подготовленные
организацией, их накапливающей, для просмотра или прослушивания;
4) блокирование есть нанесение пометки на накопленные персональные
данные, чтобы ограничить их дальнейшую обработку или использование;
5) аннулирование есть придание неузнаваемости накопленным персональным
данным.
6. Использование есть любое применение персональных данных, если только
речь не идет об обработке данных.
7. Анонимизирование есть модификация персональных данных таким образом,
чтобы отдельные сведения о личных или деловых отношениях не могли больше
– или только лишь с несоразмерно большими издержками времени, средств и
рабочей силы -идентифицироваться с определенным или поддающимся
определению физическим лицом.
8. Организацией, накапливающей данные, является любое лицо или
организация, которые собирают персональные данные для себя или поручают
это делать другим.
9. Третьим лицом является любое лицо или организация вне инстанции,
накапливающей данные. Третьими лицами не могут быть сам субъект, о
котором собираются данные, а также те лица и организации, которые по
поручению обрабатывают и используют персональные данные в сфере,
подпадающей под действие настоящего закона.
§ 4. ДОПУСТИМОСТЬ ОБРАБОТКИ
И ИСПОЛЬЗОВАНИЯ ДАННЫХ
1. Обработка персональных данных и их использование допустимы только
тогда, когда это разрешает или предписывает настоящий закон или
какой-либо другой правовой акт, а также с согласия лица, о котором
накоплены сведения.
2. Если получено согласие от этого лица, то ему, в целях накопления
данных и их предусмотренной передачи, а также по его просьбе,
указывается на последствия отказа от согласия. Согласие
212
требует письменной формы, если только из-за особых обстоятельств не
применяется иная форма. Если согласие письменно представлено вместе с
другими заявлениями, то заявление о согласии необходимо выделить по его
внешнему оформлению.
(3) В области научного исследования особые обстоятельства, в
соответствии с абз. (2), предложение 2, наступают тогда, когда
письменная форма наносит цели исследования существенный ущерб. В этом
случае должно быть письменно зафиксировано указание на абз. (2),
предложение 2 и основания, из которых следует, что определенным целям
исследования действительно будет нанесен существенный ущерб.
§5. ТАЙНА ДАННЫХ
Лицам, занимающимся обработкой данных, запрещается, не имея на то
полномочий, обрабатывать или использовать персональные данные (тайна
данных). Эти лица должны, если они работают в негосударственных
организациях, при вступлении в должность взять обязательство по
сохранению тайны данных. Тайна данных продолжает существовать и по
окончании их деятельности.
§ 6. НЕОТЪЕМЛЕМЫЕ ПРАВА ЛИЦА,
О КОТОРОМ СОБИРАЮТСЯ ДАННЫЕ
(1) Права лица, о котором собираются данные, на информацию (§§19, 34) и
на исправление, аннулирование или блокирование данных (§§ 20, 35), не
могут быть исключены или ограничены путем правовой сделки.
(2) Если данные об индивидууме (субъекте) накапливаются в базе данных,
на хранение которых имеют право несколько организаций, и он не в
состоянии определить, какая организация собирает его данные, то он может
обратиться в каждую из этих организаций. Они обязаны переправить запрос
данного лица в организацию, где хранятся его данные. Данное лицо должно
быть информировано о передаче запроса и об организации, собирающей его
сведения. Организации, названные в § 19 абз. 3, органы прокуратуры и
полиции, а также официальные финансовые органы, если они накапливают
данные в исполнение своих законных задач, применяя сбор данных для
надзора и контроля.
213
вместо соответствующего лица могут проинформировать Федерального
уполномоченного по охране данных. Дальнейшая процедура происходит в
соответствии с § 19 абз. 6.
§ 7. ВОЗМЕЩЕНИЕ ВРЕДА
ГОСУДАРСТВЕННЫМИ ОРГАНИЗАЦИЯМИ
Если государственная организация причиняет вред индивидууму (субъекту),
подвергая данные о его личности автоматизированной обработке,
запрещенной или неверно примененной, исходя из предписаний настоящего
закона или иных правовых актов, то она обязана, независимо от
собственной виновности, возместить возникший из этого вред.
При тяжком нарушении прав личности индивидууму возмещается ущерб,
который не является имущественным в соразмерном денежном выражении.
Претензии в соответствии с абз. 1 и 2 ограничиваются в совокупности
суммой в размере 250 000 нем. марок. Если же на основании такого же
эксцесса нескольким лицам следует возмещение вреда, которое в
совокупности превышает наибольшую сумму в 250 000 нем. марок, то
отдельные выплаты возмещения вреда уменьшаются пропорционально
соотношению общей выплаты и наибольшей (по закону) суммы.
Если несколько организаций имеют право на хранение данных в какой-либо
базе данных и пострадавший не в состоянии определить, какая из них
собирает его данные, то ответственность несет каждая из этих
организаций.
Несколько лиц, обязанных к возмещению вреда, отвечают как солидарный
должник.
При совместной вине лица, о котором собираются данные и в случае
наступления срока давности применяются соответственно §§ 254 и 852
Гражданского кодекса.
Предписания, по которым лицо, обязанное к возмещению вреда, несет
дальнейшую ответственность, исходя как из предписаний настоящего закона,
так и из каких-либо иных, остаются неизменными.
Право обратиться в надлежащий суд остается открытым.
214
§ 8. ВОЗМЕЩЕНИЕ ВРЕДА
НЕГОСУДАРСТВЕННЫМИ ОРГАНИЗАЦИЯМИ
Если лицо, о котором собираются данные, предъявит негосударственной
организации претензию по возмещению вреда, причиненного
автоматизированной обработкой данных, запрещенной или неверно
примененной, исходя из предписаний настоящего закона или иных
предписаний, и является спорным, возник ли вред вследствие
обстоятельств, порожденных организацией, накапливающей данные, то бремя
доказывания ложится на организацию, накапливающую данные.
§ 9. ТЕХНИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ МЕРОПРИЯТИЯ
(см. также приложение)
Государственные и негосударственные организации, которые сами или по
поручению обрабатывают персональные данные, должны осуществлять
технические и организационные мероприятия, которые требуются, чтобы
гарантировать исполнение предписаний настоящего закона, особенно
требований, поименованных в приложении к настоящему закону. Необходимыми
мероприятия являются только тогда, когда издержки на них находятся в
соразмерном соотношении с преследуемой .целью охраны (данных).
§ 10. ОРГАНИЗАЦИЯ АВТОМАТИЗИРОВАННОГО
ПРОЦЕССА ВЫЗОВА
1. Организация автоматизированного процесса, который позволяет
произвести передачу персональных данных благодаря вызову, разрешена
постольку, поскольку этот процесс осуществляется с учетом подлежащих
защите интересов лица, о котором собираются данные, и с учетом задач или
предпринимательских целей задействованных организаций. Предписания о
допустимости отдельного вызова остаются неизменными.
2. Задействованные организации должны гарантировать, что допустимость
процесса вызова контролируется. При этом должны быть письменно
определены:
1) причина и цель автоматизированного вызова:
2) получатель данных:
3) вид передаваемых данных:
215
4) надлежащие в соответствии с § 9 технические и организационные
мероприятия.
В государственной сфере требуемая информация может быть также получена
через органы специального надзора (за деятельностью юридических лиц).
(3) Об организации процесса вызова в случае, когда участвуют
организации, названные в § 12 абз. 1, должен быть проинформирован
Федеральный уполномоченный по охране данных с уведомлением о сведениях,
требуемых в абз. 2. Организация процесса вызова, в котором участвуют
организации, названные в § 6 абз. 2 и в § 19 абз. 3, разрешена лишь
тогда, когда дают согласие соответственно федеральные и земельные
министры, курирующие организацию, собирающую данные и получающую вызов,
или их заместители.
(4) Ответственность за допустимость отдельного вызова несет получатель.
Организация, накапливающая данные, проверяет допустимость вызовов только
тогда, когда возникает к этому повод: Эта организация должна
гарантировать, что передача персональных данных благодаря надлежащему
процессу выборочной проверки может быть установлена и перепроверена.
Если весь массив персональных данных вызывается или передается, то
гарантия возможности установления (факта вызова или передачи) и
перепроверки касается только допустимости вызова или передачи всего
массива.
(5) Абз. с 1-го по 4-й не действительны для вызова из массивов данных,
которые доступны для пользования каждому, имеет он или нет специальное
разрешение.
216
§ 11. ОБРАБОТКА ИЛИ ИСПОЛЬЗОВАНИЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ ПО ПОРУЧЕНИЮ
Если персональные данные обрабатываются или используются другой
организацией по поручению, то заказчик несет ответственность за
соблюдение предписаний настоящего закона и иных правовых актов по охране
данных. Права, поименованные в §§ 6 – 8, действительны и по отношению к
нему.
Лицо, исполняющее поручение, тщательно отбирается с особым учетом
пригодности к выполнению надлежащих ему технических и организационных
мероприятий. Поручение дается письменно – так, чтобы были определенно
изложены условия обработки данных или их использования, технические и
организационные мероприятия и возможные субподрядные отношения.
Государственные организации могут дать поручение через органы
специального надзора (за деятельностью юридических лиц).
Лицо, исполняющее поручение, обрабатывает или использует данные только
в рамках указаний заказчика. Если, по его мнению, какое-либо указание
заказчика противоречит настоящему закону или иным предписаниям об охране
данных, он незамедлительно должен указать на это заказчику.
По отношению к лицу, исполняющему поручение, наряду с §§ 5, 9, 43 абз.
1, абз. 3 и 4, а также § 44 абз. 1 № № 2, 5, 6 и 7, действуют только
предписания о контроле данных и надзоре, а именно:
1) а) для государственных организаций;
б) для негосударственных организаций, в которых под публичным
управлением находится большинство акций и голосов и заказчиком является
государственная организация, действуют §§ 18, с 24 по 26 или
соответствующие предписания об охране данных земель;
2) остальных негосударственных организаций постольку, поскольку они
обрабатывают или используют персональные данные как коммерческое
обслуживающее предприятие, получившее поручение, действуют §§ 32, 36 –
38.
217
РАЗДЕЛ II. ОБРАБОТКА ДАННЫХ
ГОСУДАРСТВЕННЫМИ ОРГАНИЗАЦИЯМИ
Подраздел первый
ПРАВОВЫЕ ОСНОВЫ ОБРАБОТКИ ДАННЫХ
§ 12. СФЕРА ПРИМЕНЕНИЯ
1. Предписания настоящего раздела действительны для государственных
организаций Федерации, поскольку они не участвуют в коммерческой
деятельности (в конкуренции) как предприятия публичного права.
2. В той степени, в какой охрана данных не регулируется земельным
законом, действуют §§ 12 – 17, 19 и 20, а также и в отношении
государственных организаций Земель, если они:
1) исполняют федеральное право и не участвуют в коммерческой
деятельности (в конкуренции) как предприятия публичного права:
2) действуют как органы правосудия и речь не идет об административных
делах;
3. В отношении земельного уполномоченного по охране данных
соответственно действует § 23 абз. 4.
4. Если персональные данные обрабатываются или используются с точки
зрения прошлых, настоящих или будущих правоотношений в рамках права
государственной службы или трудового права вместо §§ с 14 по 17 и 20
действуют § 28 абз. 1 и 2 № 1. а также §§ с 33 по 35.
§ 13. СБОР ДАННЫХ
1. Сбор персональных данных допустим, если сведения о них требуются для
исполнения задач, стоящих перед организацией, их собирающей.
2. Персональные данные собираются у самого соответствующего лица. Без
его участия они могут собираться только в том случае, если:
1) это предусмотрено или явно предполагается каким-либо правовым
предписанием;
218
2) а) вид публичных (административных) задач, подлежащих исполнению,
делает необходимым сбор (данных) у других лиц или организаций; или
б) сбор данных у соответствующего лица потребовал бы несоизмеримых
издержек и при этом нет никаких предпосылок к тому, что основным
защищенным интересам данного лица будет причинен ущерб.
3. Если персональные данные собираются у соответствующего лица с его
согласия, то ему должна быть сообщена цель сбора. Если они собираются у
данного лица на основании правового предписания, обязывающего давать
информацию, или дача информации является условием соблюдения правовых
гарантий, то данному лицу указывается на это. а также на добровольность
его сведений, По его запросу должны быть даны разъяснения о правовом
предписании и о последствиях отказа от дачи сведений.
(4) Если персональные данные вместо соответствующего лица собираются у
какой-либо негосударственной организации, то организации должно быть
указано на предписание, обязывающее давать информацию, и на
добровольность дачи сведений.
§ 14. НАКОПЛЕНИЕ, МОДИФИКАЦИЯ
И ИСПОЛЬЗОВАНИЕ ДАННЫХ
1. Накопление, модификация и использование персональных данных
допустимы, если это необходимо для исполнения задач, находящихся в
компетенции организации, накапливающей данные, и если это служит целям,
для которых были собраны данные.
Если этому не предшествовал сбор (данных), то данные могут
модифицироваться и использоваться только для целей, для которых они
накоплены.
2. Накопление, модификация и использование в других целях допускаются,
только если:
1) это предусматривает или явно предполагает какое-либо правовое
предписание;
2) с согласия лица, о котором собираются данные;
3) является очевидным, что это лежит в интересах данного лица и нет
оснований предполагать, что оно, узнав о другой цели, не даст согласия:
219
4) сведения, сообщенные этим лицом, требуют перепроверки, так как
возникают фактические предпосылки, что они неверны;
5) данные могут быть взяты из общедоступных источников или организация,
их накапливающая, может обнародовать эти данные, и при этом подлежащий
защите интерес лица, о котором собираются данные, очевидно, не будет
ущемлен при изменении цели;
6) это требуется для защиты общественного блага от значительного ущерба
или для защиты общественной безопасности от непосредственной угрозы;
7) это требуется для возбуждения преследования по уголовным
преступлениям или административно-уголовным проступкам, для исполнения
наказания или мер в соответствии с § 11 абз. 2 № 3 Уголовного кодекса
или исполнения воспитательных или исправительных мер в соответствии с
Законом об отправлении правосудия по делам несовершеннолетних или для
исполнения решений о взыскивании денежного штрафа;
8) это требуется для защиты какого-либо другого лица от значительного
ущерба или
9) это требуется для осуществления научного исследования, и научный
интерес в осуществлении исследовательского проекта значительно
превосходит интерес лица, о котором собираются сведения, а цель
исследования не может быть достигнута никаким другим способом или только
лишь за счет несоразмерных издержек.
3. Данные не подлежат обработке или использованию в других целях, если
она (обработка) служит осуществлению надзорных или контрольных
полномочий, проверке счетов или для проведения внутриведомственных
расследований для организации, накапливающей данные. Это действительно и
для обработки или использования данных в образовательных и
экзаменационных целях организацией, накапливающей данные, – насколько
это не противоречит основным защищенным интересам лица, о котором
собираются данные.
4. Персональные данные, которые накапливаются исключительно в целях
контроля за охраной данных, в целях безопасности данных и гарантии
правильной эксплуатации устройства по обработке данных, могут
применяться только для этих целей.
220
§ 15. ПЕРЕДАЧА ДАННЫХ
ГОСУДАРСТВЕННЫМИ ОРГАНИЗАЦИЯМИ
1. Передача персональных данных государственными организациями
допускается, если:
1) она требуется для исполнения задач, находящихся в компетенции
передающей организации или получателя; и
2) исполнены условия, которые разрешают пользование данными в
соответствии с § 14.
2. Ответственность за допустимость передачи лежит на передающей
организации. Если передача следует по запросу получателя, то
ответственность несет он. В этом случае передающая организация только
проверяет, лежит ли запрос о передаче (данных) в рамках задач получателя
или. если возникает особый повод для проверки допустимости передачи. §
10 абз. 4 остается неизменным.
3. Получатель может обрабатывать или использовать переданные данные для
цели, ради исполнения которой они ему передаются. Обработка или
использование для других целей допустимы только при условиях,
содержащихся в § 14 абз. 2.
4. При передаче персональных данных публично-правовыми религиозными
организациями действуют соответственно абз. с 1-го по 3-й в той мере, в
какой гарантируется, что получателем будут соблюдены достаточные меры по
охране данных.
5. Если с персональными данными, которые могут передаваться в
соответствии с абз. 1, так связаны иные данные о личности субъекта или
третьего лица, содержащиеся в документах, что отделение их невозможно
или возможно лишь с несоизмеримыми издержками, то передача этих данных
допустима в той мере, в какой это явно не превышает законные интересы
субъекта или третьего лица по сохранению тайны их данных; использование
этих данных недопустимо.
6. Абз. 5 действует соответственно, если персональные данные передаются
дальше внутри государственной организации.
§ 16. ПЕРЕДАЧА ДАННЫХ
НЕГОСУДАРСТВЕННЫМИ ОРГАНИЗАЦИЯМИ
1 Передача данных негосударственными организациями допустима, если:
221
1) это требуется для исполнения задач, находящихся в компетенции
передающей организации, и имеются предпосылки, делающие их использование
допустимым в соответствии с § 14; или
2) получатель достоверно доказывает свой законный интерес к получению
информации о передаваемых данных, и лицо, о котором собираются данные,
не имеет подлежащего защите интереса, исключающего передачу данных.
2. Ответственность за допустимость передачи несет передающая
организация.
3. В случае передачи данных в соответствии с абз. 2 № 2. передающая
организация информирует лицо, о котором собираются данные, о передаче
его данных. Это не действует, если будет сочтено, что он получил
информацию об этом каким-либо иным способом, или эта информация угрожает
общественной безопасности, или причинила бы ущерб благу Федерации или
какой-либо земли.
4. Получатель может обрабатывать или использовать переданные данные
только для той цели, для которой они ему передаются. Передающая
организация должна ему на это указать. Обработка или использование в
других целях допустимы, если передача разрешается в соответствии с абз.
1 и согласована с передающей организацией.
§ 17 ПЕРЕДАЧА ДАННЫХ ОРГАНИЗАЦИЯМИ,
НАХОДЯЩИМИСЯ ВНЕ СФЕРЫ ДЕЙСТВИЯ
НАСТОЯЩЕГО ЗАКОНА
При передаче персональных данных организациями, находящимися вне сферы
действия настоящего закона, а также международными и межгосударственными
организациями, действует § 16 абз. 1 в части, соответствующей законам и
соглашениям о такой передаче, а также § 16 абз. 3.
Передача не осуществляется постольку, поскольку возникает основание для
предположения, что она противоречит целям какого-либо немецкого закона.
Ответственность за допустимость передачи несет передающая организация.
Получателю должно быть указано, что передаваемые данные могут
обрабатываться или использоваться только с той целью, для которой они
ему передаются.
222
§ 18. ОСУЩЕСТВЛЕНИЕ ОХРАНЫ ДАННЫХ
В ОРГАНАХ ФЕДЕРАЛЬНОГО УПРАВЛЕНИЯ
1. Высшие федеральные органы, правление Немецкой федеральной железной
дороги, правление предприятий Немецкой федеральной почты или директория
Немецкой федеральной почты в рамках своих задач в соответствии с §§ 9-11
Закона о почтовом уставе, а также корпорации непосредственного
федерального подчинения, публично-правовые заведения и фонды, за
которыми осуществляется надзор федеральным правительством или каким-либо
высшим федеральным органом, должны гарантировать в своей деятельности
исполнение настоящего закона, а также иных правовых актов по охране
данных.
2. Государственные организации ведут опись используемых устройств по
обработке данных. Для их баз данных письменно фиксируются:
1) наименование и вид базы данных;
2) цель предназначения;
3) вид накапливаемых данных;
4) круг лиц, о которых собираются данные;
5) вид регулярно передаваемых данных и их получатели;
6) регулярные сроки для аннулирования данных;
7) группы лиц, имеющих право доступа (к данным) или лица. имеющие право
ограниченного доступа.
Они обязаны заботиться о том, чтобы соблюдалось правильное применение
программ по обработке данных, с помощью которых обрабатываются
персональные данные.
(3) Абз. 2, предложение 2 не действует для баз данных, которые
содержатся временно и в течение 3 месяцев после их создания
аннулируются.
223
Подраздел второй
ПРАВА ЛИЦА, О КОТОРОМ СОБИРАЮТСЯ ДАННЫЕ
§ 19. ИНФОРМИРОВАНИЕ ЛИЦА,
О КОТОРОМ СОБИРАЮТСЯ ДАННЫЕ
1. Лицу, о котором собираются данные, по его запросу предоставляются
сведения:
1) о данных, накопленных о его личности, с указанием происхождения или
получателей этих данных; и
2) цели накопления (данных).
В запросе должен быть точно обозначен вид персональных данных, о которых
предоставляется информация. Если персональные данные накапливаются в
документах, информация предоставляется лишь постольку, поскольку лицо, о
котором собираются данные, удостоверяет, что нахождение данных возможно
и издержки, требуемые для предоставления информации, соответствуют
потребности данного лица в информации. Организация, накапливающая
данные, устанавливает процедуру (предоставления информации) и особенно
форму предоставления информации в рамках своих обязанностей.
2. Абз. 1 недействителен для персональных, данных, которые накапливаются
только для того, чтобы они не могли быть аннулированы на основании
законных, уставных или договорных предписаний о хранении (дел,
сведений), или служат исключительно целям безопасности баз данных или
контроля за охраной данных.
3. Если предоставление информации связано с передачей персональных
данных из органов по охране Конституции, Федеральной службы разведки и
контрразведки, военной разведки и контрразведки и если это касается
безопасности Федерации, из других ведомств министра обороны, оно
допускается только с согласия этих учреждений.
4. Сведения не предоставляются, если:
1) информация о них представляет опасность для надлежащего исполнения
задач, находящихся в компетенции организации, накапливающей данные;
2) информация может причинить ущерб общественной безопасности и
общественному порядку, а также благу Федерации или какой-либо Земли; или
224
3) данные или факт их накопления должны содержаться в тайне исходя из
правового предписания или исходя из их сущности, в особенности из-за
соблюдения существенных законных интересов третьего лица и потому
интерес лица, о котором собираются данные, в предоставлении информации
должен отступить.
5. Отказ в предоставлении информации не требует обоснования, если
сообщение фактических или законных причин, на которые опирается решение
(отказать), угрожает цели, преследуемой отказом от информации. В этом
случае лицу, о котором собираются данные, указывается на возможность
обратиться к федеральному уполномоченному по охране данных.
6. Если заинтересованное лицо не получит информации, то она по его
требованию должна быть предоставлена федеральному уполномоченному по
охране данных – в тех случаях, в каких, судя по обстоятельствам, высшие
полномочные федеральные органы не определяют в отдельном случае,
возникает ли из-за этого угроза безопасности Федерации или какой-либо
Земли. Сообщение федерального уполномоченного по охране данных
заинтересованному лицу не должно допускать возможности косвенных выводов
об уровне осведомленности организации, накапливающей данные, если она не
дает согласия на дальнейшую выдачу информации.
7. Информация предоставляется бесплатно.
§ 20. ИСПРАВЛЕНИЕ, АННУЛИРОВАНИЕ
И БЛОКИРОВАНИЕ ДАННЫХ
1. Персональные данные должны быть исправлены, если они неверны.
Если установлено, что персональные данные, хранимые в документах,
неверны или их правильность оспаривается лицом, о котором собираются
данные, то это должно быть помечено в делах или констатировано
каким-либо иным образом.
2. Персональные данные в базах данных аннулируются, если:
1) их накопление недопустимо или
2) информация о них больше не требуется организации, их накапливающей,
для исполнения задач, находящихся в ее компетенции.
3. Вместо аннулирования может выступать блокирование, если:
225
1) аннулирование противоречит законным, уставным или договорным срокам
хранения;
2) причиной служит то, что из-за аннулирования будет причинен ущерб
подлежащим защите интересам лица, о котором собираются данные;
3) аннулирование из-за особого вида накопления (данных) невозможно или
возможно лишь с несоразмерно высокими издержками.
4. Персональные данные, хранящиеся в базах, блокируются, если их
правильность оспаривается лицом, о котором собираются данные, и не
установлена ни их правильность, ни неправильность.
5. Данные, хранящиеся в документах, блокируются, если государственные
органы в отдельном случае устанавливают, что без запрета на них
причинялся бы ущерб подлежащим защите интересам лица, о котором
собираются данные, и данные больше не требуются для исполнения задач
этих органов.
6. Блокированные данные могут передаваться или использоваться без
согласия лица, о котором собираются данные, только если:
1) это настоятельно необходимо для научных целей, для устранения
пробелов в доказательствах или исходя из иных оснований, вытекающих из
преимущественного интереса организации, накапливающей данные, или
третьего лица; и
2) данные могут передаваться или использоваться таким образом, как если
бы они не были блокированы.
7. При исправлении неверных данных, блокировании оспариваемых данных, а
также при аннулировании или блокировании из-за недопустимости
накопления, должны быть извещены те организации, которые в рамках
регулярной передачи данных передают дальше эти данные для использования,
если это требуется для соблюдения подлежащих защите интересов лица, о
котором собираются данные.
8. Применяется § 2 абз. с 1-го по 6-й, 8 и 9 Федерального закона об
архивах.
§ 21. ОБРАЩЕНИЕ К ФЕДЕРАЛЬНОМУ УПОЛНОМОЧЕННОМУ
ПО ОХРАНЕ ДАННЫХ
Каждый может обратиться к Федеральному уполномоченному по охране данных,
если, по его мнению, его права нарушаются государственной организацией
Федерации при сборе, обработке или
226
использовании его персональных данных. При сборе, обработке или
использовании персональных данных судами Федерации это действует
постольку, поскольку они занимаются административными делами.
Подраздел третий
ФЕДЕРАЛЬНЫЙ УПОЛНОМОЧЕННЫЙ
ПО ОХРАНЕ ДАННЫХ
§ 22. ВЫБОРЫ ФЕДЕРАЛЬНОГО УПОЛНОМОЧЕННОГО
ПО ОХРАНЕ ДАННЫХ
1. Немецкий Бундестаг выбирает по предложению Федерального правительства
Федерального уполномоченного по охране данных больше чем половиной
списочного состава своих членов. Федеральным уполномоченным не может
избираться лицо, не достигшее полных 35 лет. Избранный назначается (на
должность) Федеральным президентом.
2. Уполномоченный приносит перед федеральным министром внутренних дел
следующую клятву:
“Клянусь, что буду посвящать все свои силы благу немецкого народа,
умножению его пользы, отвращению от него вреда, буду хранить и защищать
Конституцию и законы Федерации, добросовестно исполнять свои обязанности
и соблюдать справедливость по отношению к каждому. Да поможет мне Бог”.
Клятва может также приноситься без религиозного заверения.
3. Федеральный уполномоченный по охране данных исполняет свои
обязанности в течение 5 лет. Допускается переизбрание еще на один срок.
4. Федеральный уполномоченный по охране данных находится по отношению к
Федерации в соответствии с настоящим законом в публично-правовых
должностных отношениях. При исполнении своей должности он подчиняется
непосредственно и только закону. Правовой надзор над ним осуществляет
Федеральное правительство.
5. Федеральный уполномоченный по охране данных курируется Федеральным
министром внутренних дел. Федеральный министр внутренних дел
осуществляет над ним служебный надзор.
227
Федеральному уполномоченному по охране данных предоставляются в
распоряжение персонал и оборудование, необходимые для исполнения его
задач; они указываются в плане Федерального министра внутренних дел в
отдельной главе. Прием на (вакантные) должности должен производиться по
согласованию с Федеральным уполномоченным по охране данных. Только по
согласованию с ним сотрудники, если они не согласны с намечаемыми
мероприятиями, могут переводиться (по службе), откомандировываться или
перемещаться.
6. Если Федеральный уполномоченный по охране данных временно
затрудняется исполнять свою должность, Федеральный министр внутренних
дел поручает ведение дел какому-либо его заместителю. Мнение
Федерального уполномоченного (по этому вопросу) должно быть выслушано.
§ 23. ПРАВОВОЕ ПОЛОЖЕНИЕ ФЕДЕРАЛЬНОГО
УПОЛНОМОЧЕННОГО ПО ОХРАНЕ ДАННЫХ
1. Должностные отношения Федерального уполномоченного по охране данных
начинаются с момента вручения постановления о назначении. Они
прекращаются:
1) с истечением срока полномочий;
2) в связи с отставкой.
Федеральный президент отправляет в отставку Федерального уполномоченного
по охране данных по его просьбе, по предложению Федерального
правительства или если есть основания, по которым разрешается отставка с
должности судьи, назначенного в соответствии с федеральным законом и
проработавшего в этой должности не менее 3 лет. В случае окончания
должностных отношений, Федеральный уполномоченный по охране данных
получает постановление, исходящее от Федерального президента. Отставка
считается свершившейся в момент вручения постановления. По просьбе
Федерального министра внутренних дел уполномоченный по охране данных
обязан вести дела до назначения своего преемника.
2. Федеральный уполномоченный по охране данных наряду со своей
должностью не может занимать другую оплачиваемую должность, заниматься
предпринимательской или профессиональной деятельностью, а также не может
входить ни в руководство, ни в наблюдательный совет или правление
предприятия, ориентированного
228
на получение прибыли, ни в правительство или законодательный орган
Федерации или какой-либо земли.
3. Федеральный уполномоченный по охране данных обязан сообщать
Федеральному министру внутренних дел о подарках, которые он получает в
связи со своей должностью. Федеральный министр внутренних дел решает,
как применить подарки.
4. Федеральный уполномоченный по охране данных вправе отказаться давать
свидетельские показания о лицах, которые ему в качестве федерального
уполномоченного по охране данных доверили какие-либо факты, а также о
самих этих фактах. Это же действительно в отношении сотрудников
Федерального уполномоченного по охране данных в той мере, в какой
Федеральный уполномоченный по охране данных определяет границы этого
права. Насколько распространяется право Федерального уполномоченного по
охране данных на отказ от дачи показаний, настолько нельзя от него
требовать предъявления или выдачи документов или иных официальных бумаг.
5. Федеральный уполномоченный по охране данных и по окончании своих
служебных отношений обязан хранить тайну об обстоятельствах, ставших ему
известными в силу занимаемой должности. Это не касается сообщений
должностного документооборота или фактов, которые общеизвестны или по
своему значению не требуют сохранения тайны. Федеральный уполномоченный
по охране данных, покинув службу, не может, без согласования с
Федеральным министром внутренних дел. давать показания об этих
обстоятельствах как перед судом, так и вне суда или делать заявления.
Неизменной остается основанная на законе обязанность извещать об
уголовно наказуемых деяниях и при опасности свободному демократическому
порядку содействовать его сохранению.
6. В согласии выступить в качестве свидетеля (в суде) может быть
отказано только, если показания причинят ущерб благу Федерации или
какой-либо Земли или представят серьезную угрозу исполнению публичных
(государственных) задач или значительно его осложнят. В согласии дать
экспертное заключение может быть отказано, если дача заключения может
причинить ущерб служебным интересам. § 28 Закона о Федеральном
конституционном суде в редакции от 12 дек. 1985 г. остается неизменным.
229
7. Федеральный уполномоченный, с начала календарного месяца, с которого
начались его должностные отношения, до конца календарного месяца, когда
должностные отношения закончились, получает должностной оклад в размере
вознаграждения, положенного государственному служащему разряда Б 9.
Соответственно применяются Федеральный закон о путевых расходах
(командировочных) и Федеральный закон об оплате подъемных. В остальном
применяются §§13-20 Федерального закона о министрах в редакции от 27
июля 1971 г., в последний раз измененный в соответствии с законом о
сокращении должностного оклада членов Федерального правительства и
парламентских секретарей от 22 дек. 1982 г., при этом 2-летний срок
службы в § 15 абз. 1 Федерального закона о министрах заменяется на
5-летний. Отступая от предложения 3 (в связи с §§ 15 – 17 Федерального
закона о министрах), пенсия Федеральному уполномоченному назначается с
добавлением срока службы к стажу, необходимому для начисления пенсии в
соответствии с Законом об обеспечении государственных служащих, если это
предпочтительнее (выгоднее) и если Федеральный уполномоченный
непосредственно перед его избранием Федеральным уполномоченным находился
в должности государственного служащего или судьи с непрерывным стажем с
разрядом заработной платы не меньшим, чем разряд Б 9.
§ 24. КОНТРОЛЬ, ОСУЩЕСТВЛЯЕМЫЙ ФЕДЕРАЛЬНЫМ
УПОЛНОМОЧЕННЫМ ПО ОХРАНЕ ДАННЫХ
1. Федеральный уполномоченный по охране данных контролирует в
государственных организациях Федерации соблюдение предписаний настоящего
закона и иных правовых актов по охране данных. Если персональные данные
обрабатываются или используются в виде документов, Федеральный
уполномоченный контролирует сбор, обработку или использование данных,
когда лицо, о котором собираются данные, представит достаточные
основания, что этим нарушаются его права, или Федеральный уполномоченный
имеет достаточные основания признать такого рода нарушения.
2. Контроль Федерального уполномоченного распространяется также на
персональные данные, которые относятся к профессиональной или особой
служебной тайне, особенно налоговой тайне, согласно § 30 Положения о
налогах и платежах. Тайна переписки и
230
связи (телефонной, телеграфной и т.д., статья 10 Основного закона
Конституции) ограничивается постольку, поскольку это требуется для
осуществления контроля за учреждениями Немецкой федеральной почты,
накапливающими данные. Право контроля не распространяется, за
исключением № 1, на содержание почтового сообщения и сообщения дальней
связи (телефон и т.д.). Контролю Уполномоченного по охране данных не
подлежат:
1) персональные данные, которые подлежат контролю комиссии, создаваемой
в соответствии с параграфом 9 Закона к статье 10 Основного закона
(Конституции), при этом комиссия поручает Федеральному уполномоченному
по охране данных контролировать соблюдение предписаний об охране данных
относительно определенных процессов или в определенных областях и
исключительно только ей об этом докладывать;
2) а) персональные данные, которые подлежат тайне переписки и дальней
связи согласно статьи 10 Основного закона;
б) персональные данные, которые подлежат врачебной тайне;
в) персональные данные, которые хранятся в личных делах и документах о
перепроверке (дополнительной проверке) в целях безопасности, если лицо,
о котором собираются данные, в отдельном случае возражает против
контроля за относящимися к нему данными со стороны Федерального
уполномоченного по охране данных. Не ущемляя контрольного права
Федерального уполномоченного, государственная организация сообщает в
общей форме лицам, о которых собираются данные, об имеющемся у них праве
возражения.
3. Федеральные суды подлежат контролю Федерального уполномоченного
только в той мере, в какой они занимаются административными делами.
4. Официальные органы Федерации обязаны содействовать Федеральному
уполномоченному и его доверенным лицам в исполнении их задач. Они должны
в особенности:
1) предоставлять информацию в ответ на их запросы, а также возможность
просмотра всех служебных бумаг и документов, особенно накопленных данных
и программ по обработке данных в связи с контролем соответственно абз.
1;
2) предоставлять в любое время доступ во все служебные помещения.
231
Ведомства, названные в § 6 абз. 2 и § 19 абз. 3. оказывают содействие
только самому Федеральному уполномоченному и его доверенным – с
письменным подтверждением – лицам. Предложение 2 для этих ведомств
недействительно в той мере, в какой высшие федеральные органы в
отдельном случае определяют, что информация или просмотр представляют
угрозу безопасности Федерации или какой-либо Земли.
5. Федеральный уполномоченный сообщает о результатах своего контроля за
деятельностью государственных организаций. Он может выдвинуть
предложения по улучшению охраны данных, особенно по устранению
выявленных недостатков при обработке или использованию данных о
личности. § 25 остается неизменным.
§ 25. ОПРОТЕСТОВАНИЯ (ПРЕТЕНЗИИ, ЗАМЕЧАНИЯ)
ФЕДЕРАЛЬНОГО УПОЛНОМОЧЕННОГО ПО ОХРАНЕ ДАННЫХ
1 Если Федеральный уполномоченный по охране данных устанавливает
нарушение предписаний настоящего закона иди иных правовых актов по
охране данных или установит иные недостатки при обработке или
использовании данных о личности, то он требует их устранения:
1) в отношении федеральной администрации перед компетентными высшими
федеральными органами;
2) в отношении федеральной железной дороги перед ее правлением;
3) в отношении Немецкой федеральной почты перед правлениями ее
предприятий или перед директорией в рамках ее задач в соответствии с
параграфами 9-11 Закона о почтовом уставе;
4) в отношении корпрраций, заведений и фондов публичного права,
находящихся под непосредственным федеральным управлением, а также
объединений корпораций, заведений и фондов перед их правлением или иным
правомочным органом.
Требуя представить заключение (объяснение, объяснительную записку) в
установленный им срок в случаях, предусмотренных предложением 1, № 4,
Федеральный уполномоченный информирует одновременно полномочные органы
надзора.
232
2. Федеральный уполномоченный может воздержаться от опротестования
(претензии) или отказаться от объяснения со стороны соответствующей
организации, если речь идет о несущественных или уже устраненных
недостатках.
3. Заключение (объяснение) должно содержать изложение мероприятий,
которые будут приняты на основании претензий Федерального
уполномоченного. Организации, названные в абз. 1. предложение 1. № 4,
одновременно направляют копию заключения полномочным органам надзора.
§ 26. ПРОЧИЕ ЗАДАЧИ ФЕДЕРАЛЬНОГО УПОЛНОМОЧЕННОГО
ПО ОХРАНЕ ДАННЫХ. РЕГИСТР БАЗ ДАННЫХ
1 Федеральный уполномоченный по охране данных отчитывается каждые два
г.а перед Немецким бундестагом о своей деятельности. Отчет о
деятельности должен содержать изложение существенных тенденций положения
с охраной данных в негосударственной сфере.
2. По требованию Немецкого бундестага или федерального правительства
Федеральный уполномоченный должен производить экспертизы или предъявлять
соответствующие отчеты. По запросу Немецкого бундестага, комитета по
петициям (бундестага), комитета по внутренним делам или федерального
правительства Федеральный уполномоченный сообщает дополнительную
информацию о состоянии охраны данных в государственных организациях
Федерации. Федеральный уполномоченный может в любое время обратиться в
Немецкий бундестаг.
4. Федеральный уполномоченный взаимодействует с государственными
организациями, которые полномочны осуществлять контроль за соблюдением
предписаний по охране данных в землях, а также с органами надзора
соответственно § 38.
5. Федеральный уполномоченный ведет регистр автоматизированных баз
данных, в которых накапливаются персональные данные. Это не действует
для баз данных ведомств, о которых говорится в § 19 абз. 3, и для баз
данных, о которых говорится в § 18 абз. 3. Государственные организации,
базы данных которых заносятся в регистр, обязаны предоставлять
Федеральному уполномоченному сведения (опись) в соответствии с § 18 абз.
2., предложение 2, № 1 – 6. Регистр должен предоставляться для
ознакомления каждому. Ознакомлению не
233
подлежат сведения, о которых говорится в § 18 абз, 2, предложение 2, № 3
и 5, в отношении баз данных ведомств, названных в § 6 абз. 2 Федеральный
уполномоченный может устанавливать в отдельном случае для других
государственных организаций с их согласия, что отдельные сведения не
подлежат ознакомлению.
РАЗДЕЛ III
ОБРАБОТКА ДАННЫХ НЕГОСУДАРСТВЕННЫХ
ОРГАНИЗАЦИЙ И ПУБЛИЧНО-ПРАВОВЫХ
КОММЕРЧЕСКИХ ОРГАНИЗАЦИЙ
Подраздел первый
ПРАВОВЫЕ ОСНОВЫ ОБРАБОТКИ ДАННЫХ
§ 27. СФЕРА ПРИМЕНЕНИЯ
1. Предписания настоящего раздела находят применение постольку,
поскольку персональные данные в или из баз данных обрабатываются или
используются б сфере деловой деятельности или для профессиональных или
предпринимательских целей:
1) негосударственными организациями;
2) а) государственными организациями Федерации – в той мере, в какой они
как публично-правовые предприятия участвуют в коммерческой деятельности;
б) государственными организациями Земель – в той мере, в какой они как
публично-правовые предприятия, участвуют в коммерческой деятельности,
исполняют федеральное право и охрана данных не регулируется земельным
законом.
В случаях № 2 буква а вместо § 38 действуют §§ 18, 21 и с 24 по 26.
2. Предписания настоящего раздела не действительны для обработки и
использования персональных данных в виде документов, если речь не идет о
том. что они очевидно взяты из какой-либо базы данных.
234
§ 28. НАКОПЛЕНИЕ, ПЕРЕДАЧА И ИСПОЛЬЗОВАНИЕ ДАННЫХ
В СОБСТВЕННЫХ ЦЕЛЯХ
1. Накопление, модификация или передача персональных данных или их
использование как средство для осуществления собственных
предпринимательских целей допустимо:
1) в рамках определенной цели договорного отношения или отношения
доверия, подобного договору, с лицом, о котором собираются данные;
2) если это требуется, для обеспечения законных интересов организации,
накапливающей данные, и не возникает основания предполагать, что
подлежащий защите интерес лица, о котором собираются данные, пострадает
от их обработки или использования;
3) если данные взяты из общедоступных источников или организация, их
накапливающая, может их обнародовать, при том, что подлежащий защите
интерес лица, о котором собираются данные, очевидно преобладает над
обработкой или использованием данных;
4) если этого требуют интересы организации, накапливающей данные, по
осуществлению научного исследования и научный интерес в осуществлении
исследовательского проекта значительно превосходит интерес лица, о
котором собираются данные, затронутый изменением цели, а цель
исследования не может быть достигнута никаким другим способом или только
лишь за счет несоразмерных издержек.
Данные должны собираться на основе добросовестности и правовым путем.
2. Передача данных или использование допустимы:
1) а) если это необходимо для обеспечения законных интересов третьего
лица или общественных интересов; или
б) если речь идет о сформированных в список или как-либо иначе данных о
членах какой-либо группы, которые (данные) ограничены:
– сведениями о принадлежности лица, о котором собираются данные, к этой
группе;
– обозначением профессии, отраслевой или предпринимательской сферы;
– именем;
– званием;
– ученой (академической) степенью;
– адресом;
235
– годом рождения
– и не возникает основания предполагать, что подлежащий защите интерес
лица, о котором собираются данные, пострадает от передачи данных. В
случае пункта б) следует исходить из того, что этот интерес возникает,
если передаются данные, накопленные в рамках договорного отношения или
отношения доверия, подобного договорному, которые касаются:
– состояния здоровья;
– уголовно наказуемых действий;
– административно-уголовных правонарушений;
– религиозных или политических воззрений; а также
– передача работодателем сведений о трудовых правоотношениях;
или
2) Если этого требует интерес организации, накапливающей данные, по
осуществлению научного исследования и научный интерес в осуществлении
исследовательского проекта значительно превосходит интерес лица, о
котором собираются данные, затронутый изменением цели, а цель
исследования не может быть достигнута никаким другим способом или только
лишь за счет несоразмерных издержек.
3) Если лицо, о котором собираются данные, возражает против
использования или передачи накапливающей организацией его данных в целях
рекламы, маркетинговых исследований или изучения общественного мнения,
использование или передача недопустимы. Если данное лицо возражает
против обработки или использования получателем переданных данных, о
которых говорится в абз. 2. в целях рекламы или маркетинговых
исследований или изучения общественного мнения, то получатель
относительно этих целей блокирует данные.
3. Получатель может обрабатывать или использовать данные только с той
целью, для которой они ему передаются. Обработка или использование для
других целей допускается только при условиях, содержащихся в абз. 1 и 2.
Организации, передающие данные, указывают на это получателю.
§ 29. НАКОПЛЕНИЕ ДАННЫХ В ЦЕЛЯХ ПЕРЕДАЧИ
НА КОММЕРЧЕСКОЙ ОСНОВЕ
1. Коммерческое накопление или изменение (модификация) персональных
данных в целях передачи допустимо, если:
236
1) нет оснований предполагать, что лицо, о котором собираются данные,
имеет подлежащий защите интерес, который пострадает от накопления или
модификации данных:
2) данные взяты из общедоступных источников или организация. их
накапливающая, может их обнародовать при том, что подлежащий защите
интерес лица, о котором собираются данные, очевидно не пострадает от
накопления или модификации данных.
Применяется § 28 абз. 1, предложение 2.
2. Передача данных допускается, если:
1) а) получатель достоверно излагает интерес в информации; или
б) речь идет о сформированных в виде списка или как-либо иначе данных, о
которых говорится в § 28 абз. 2. № 1, пункт б) и которые передаются в
целях рекламы, маркетинговых исследований или изучения общественного
мнения, и не возникает основания предполагать, что из-за передачи будет
причинен ущерб подлежащему защите интересу лица, о котором собираются
данные.
2) § 28 абз. 2, № 1, предложение 2 действует соответственно. При
передаче в соответствии с № 1. пункт а) передающей организацией должны
быть запротоколированы основания наличия законного интереса, а также вид
и способ достоверного его изложения. При передаче посредством
автоматизированного вызова обязанность протоколировать лежит на
получателе.
3. Для обработки или использования переданных данных действует § 28 абз.
3 и 4.
§ 30. НАКОПЛЕНИЕ ДАННЫХ НА КОММЕРЧЕСКОЙ ОСНОВЕ
ДЛЯ ПЕРЕДАЧИ В АНОНИМИЗИРОВАННОЙ ФОРМЕ
1. Если на коммерческой основе накапливаются персональные данные, чтобы
их передавать в анонимизированной форме, то следует раздельно
накапливать признаки, по которым можно соединить отдельные данные о
личных или деловых отношениях определенного или поддающегося определению
лица. Эти признаки могут сводиться с отдельными сведениями постольку,
поскольку это необходимо для исполнения цели накопления или в научных
целях.
2. Обработка персональных данных допустима, если:
237
1) не возникает основания предполагать, что она причинит ущерб
подлежащему защите интересу лица, о котором собираются данные; или
2) данные могут быть взяты из общедоступных источников или организация,
их накапливающая, может их обнародовать, и при этом подлежащий защите
интерес лица, о котором собираются данные, очевидно не пострадает.
3. Персональные данные должны быть аннулированы, если их накопление не
допускается.
4. §§ 29, с 33 по 35 не действуют.
§ 31. ОСОБЫЕ ЦЕЛИ
Персональные данные, которые накапливаются исключительно в целях
контроля за охраной данных, в целях безопасности данных и гарантии
правильной эксплуатации устройства по обработке данных, могут
применяться только для этих целей.
§ 32. ОБЯЗАННОСТЬ РЕГИСТРАЦИИ
1. Организации, которые на коммерческой основе собирают персональные
данные:
1) накапливают в целях передачи;
2) накапливают в целях анонимизированной передачи;
3) как обслуживающее предприятие, обрабатывающее или использующее данные
по поручению, а также их отделения и несамостоятельные филиалы, должны
сообщать о начале и окончании своей деятельности компетентным органам
надзора в течение месяца.
2. При регистрации должны быть внесены в регистр, который ведется
органами надзора, следующие сведения:
1) имя или фирменное наименование организации;
2) владелец, правление, управляющий или иной назначенный по закону или
уставу организации руководитель и лица, ответственные за руководство
обработкой данных;
3) адрес;
4) коммерческие цели организации и обработки данных;
5) имя уполномоченного по охране данных;
6) общее описание вида накопленных персональных данных. В случае абз. 1.
№ 3 эта информация не требуется.
238
3. Кроме того, при регистрации сообщаются следующие сведения, которые не
вносятся в регистр: .
1) вид используемых устройств для обработки данных;
2) получатели и вид передаваемых данных при регулярной передаче
персональных данных.
4. Абз. 1 действует соответственно при изменении сведений, о которых
говорится в абз. 2 и 3.
5. Органы надзора могут в отдельном случае определить, какие сведения
должны быть сообщены соответственно абз. 2, № 4 – б, абз. 3 и абз. 4.
Издержки, связанные с сообщением информации, должны находиться в
соответствии с их значением для осуществления контроля органами надзора.
Подраздел второй
ПРАВА ЛИЦА, О КОТОРОМ СОБИРАЮТСЯ ДАННЫЕ
§33. УВЕДОМЛЕНИЕ ЛИЦА,
О КОТОРОМ СОБИРАЮТСЯ ДАННЫЕ
1. Если персональные данные накапливаются для собственных целей в первый
раз, лицо, о котором собираются данные, должно быть уведомлено о
накапливании и о виде данных. Если персональные данные накапливаются на
коммерческой основе с целью передачи, то данное лицо уведомляется о
первой передаче и о виде передаваемых данных.
2. Обязанность по уведомлению не возникает, если:
1) данное лицо каким-либо иным способом получило информацию о
накапливании и передаче (данных);
2) данные накапливаются только для того, чтобы они на основе законных,
уставных или договорных предписаний о хранении не могли быть
аннулированы или служат исключительно безопасности данных или контролю
за охраной данных;
3) данные, исходя из правового предписания или исходя из их сущности,
должны сохраняться в тайне для соблюдения преимущественного правового
интереса третьего лица;
4) полномочная государственная организация констатирует, относительно
накапливающей организации, что обнародование данных
239
угрожает общественной безопасности или может причинить ущерб благу
Федерации или какой-либо Земли;
5) данные накапливаются в базе данных, которая создается лишь временно и
аннулируется в течение 3 месяцев после ее создания;
6) данные накапливаются для собственных целей и:
а) взяты из общедоступных источников; или
б) уведомление существенно угрожает коммерческим целям накапливающей
организации при том, что опасность преобладает над интересом в
уведомлении; или
7) данные накапливаются на коммерческой основе с целью передачи и:
а) взяты из общедоступных источников – в той мере, в какой они касаются
лиц, которые эти данные обнародовали; или
б) речь идет о данных, сформированных в виде списка или как-либо иначе
(§ 29 абз. 2, № 1, пункт б).
§ 34. ИНФОРМИРОВАНИЕ ЛИЦА,
О КОТОРОМ СОБИРАЮТСЯ ДАННЫЕ
1. Заинтересованное лицо может потребовать информацию о:
1) данных, накопленных о его личности – в той мере, в какой это касается
их происхождения и получателей;
2) цели накопления; и
3) лицах и организациях, которым регулярно передаются его данные, если
его данные автоматизирование обработаны.
Он должен точно указать вид персональных данных, о которых он хочет
получить информацию. Если персональные данные накапливаются на
коммерческой основе для передачи, то лицо, о котором собираются данные,
может потребовать информацию о происхождении и получателях (данных)
только, если оно предъявит обоснованные сомнения в правильности данных.
В этом случае информация о происхождении и получателях предоставляется и
тогда, когда данные не накоплены.
2. Лицо, о котором собираются данные, может потребовать информацию о
своих персональных данных от организаций, которые накапливают данные на
коммерческой основе для выдачи сведений, когда они еще не накоплены в
базе данных. Информацию о происхождении и получателях данное лицо может
потребовать только, если оно
240
предъявит обоснованные сомнения в правильности данных. § 38 абз. 1
применяется в той мере, в какой органы надзора перепроверяют соблюдение
предложения 1, если данное лицо обоснованно докажет, что информация не
предоставляется или предоставляется неверно.
3. Информация предоставляется письменно, если из-за особых обстоятельств
не предусмотрена какая-либо иная форма выдачи информации.
4. Обязанность по предоставлению информации не возникает, если лицо, о
котором собираются данные не подлежит уведомлению согласно § 33 абз. 2,
№ 2 – 6.
5. Информация предоставляется бесплатно. Если персональные данные
накапливаются на коммерческой основе с целью передачи, то при этом
следует вознаграждение, если лицо, о котором собираются данные,
использует информацию в отношении третьего лица в коммерческих целях.
Вознаграждение не должно превышать прямые расходы, возникшие из-за
выдачи информации. Вознаграждение не может быть потребовано в случаях,
когда особые обстоятельства подтверждают предположение, что данные
накапливаются неправильно или незаконно, или когда выявляется, что
данные следует исправить или аннулировать, исходя из условия §35 абз. 2.
предложение 1, № 1.
6. Если информация предоставляется бесплатно, то лицу, о котором
собираются данные, предоставляется, в рамках его запроса об информации,
возможность личного ознакомления с касающимися его данными и сведениями.
Надлежащим образом ему указывается на это.
§ 35. ИСПРАВЛЕНИЕ, АННУЛИРОВАНИЕ
И БЛОКИРОВАНИЕ ДАННЫХ
1. Персональные данные должны быть исправлены, если они неверны.
2 Персональные данные могут быть в любое время аннулированы, исключая
случаи, оговоренные в абз. 3, № 1 и 2. Персональные данные должны быть
аннулированы, если:
1) их накопление недопустимо;
2) речь идет о данных состояния здоровья, (уголовно) наказуемых
действиях, административно-уголовных правонарушениях, а также
религиозных или политических воззрениях, и их правильность не
подтверждена организацией, накапливающей данные;
241
3) они обрабатываются для собственных целей, и информация о них больше
не требуется для исполнения цели накопления; или
4) они обрабатываются на коммерческой основе для передачи, и проверка в
конце пятого календарного года, прошедшего после их первоначального
накопления, показывает, что их более длительное накопление не требуется.
3. Вместо аннулирования может выступать блокирование, если:
1) аннулирование, в случаях, оговоренных в абз. 2, № 3 или 4,
противоречит законным, уставным или договорным срокам хранения;
2) причиной служит то, что из-за аннулирования будет причинен ущерб
подлежащим защите интересам лица, о котором собираются данные; или
3) аннулирование из-за особого вида накопления (данных) невозможно или
возможно лишь с несоразмерно высокими издержками.
4. Кроме того, персональные данные блокируются, если их правильность
оспаривается лицом, о котором собираются данные, и не установлена ни их
правильность, ни неправильность.
5. Персональные данные, которые неверны или чья правильность
оспаривается, накапливаемые на коммерческой основе с целью передачи
(кроме случаев, оговоренных в абз. 2, № 2) не должны исправляться,
блокироваться или аннулироваться, если они взяты из общедоступных
источников и накапливаются в целях формирования документации. По
требованию лица, о котором собираются данные, к этим данным на срок
накопления должны быть присоединены его контрдоводы (опровержения).
Данные не могут передаваться без этого опровержения.
6. При исправлении неверных данных, блокировании оспариваемых данных, а
также при аннулировании или блокировании данных из-за недопустимости их
накапливания должны быть извещены те организации, которые в рамках
регулярной передачи данных передают дальше эти данные для использования,
если это требуется для соблюдения подлежащих защите интересов лица, о
котором собираются данные.
7. Блокированные данные могут передаваться или использоваться с согласия
лица, о котором собираются данные, только если:
1) это необходимо для научных целей, для устранения пробелов в
доказательствах или исходя из других оснований, вытекающих из
242
преимущественного интереса организации, накапливающей данные, или
третьего лица; и
2) данные могут передаваться или использоваться таким образом, как если
бы они не были блокированы.
Подраздел третий
УПОЛНОМОЧЕННЫЙ ПО ОХРАНЕ ДАННЫХ.
ОРГАНЫ НАДЗОРА
§ 36. НАЗНАЧЕНИЕ УПОЛНОМОЧЕННОГО
ПО ОХРАНЕ ДАННЫХ
1. Негосударственные организации, автоматизирование обрабатывающие
персональные данные и при этом, как правило, имеющие не менее 5
постоянных сотрудников, должны не позже чем в течение месяца после
начала своей деятельности письменно назначить Уполномоченного по охране
данных.
То же самое действует, если персональные данные обрабатываются другим
способом и при этом, как правило, имеется не менее 20 постоянных
сотрудников.
2. Уполномоченным по охране данных может быть назначено только то лицо,
которое обладает профессиональными знаниями и благонадежностью,
необходимыми для исполнения своих задач.
3. Уполномоченный по охране данных непосредственно подчиняется
владельцу, правлению, управляющему или иному назначенному по закону или
уставу организации руководителю. При применении своих профессиональных
знаний в области охраны данных он не должен быть связан какими-либо
указаниями. Ему не может быть причинен ущерб из-за исполнения его задач.
Назначение Уполномоченным по охране данных может быть отменено только по
требованию органов надзора или в соответствии с § 626 Гражданского
кодекса.
4. Уполномоченный по охране данных обязан сохранять тайну об
идентичности (личных данных) лица, о котором собираются данные, а также
об обстоятельствах, допускающих косвенные выводы о данном лице, пока его
не освободит от этого лицо, о котором собираются данные.
243
5. Негосударственные организации должны содействовать Уполномоченному по
охране данных при исполнении его задач и в особенности предоставлять
ему, насколько это требуется для исполнения его задач, вспомогательный
персонал, оборудование, приборы и средства.
§ 37. ЗАДАЧИ УПОЛНОМОЧЕННОГО
ПО ОХРАНЕ ДАННЫХ
1. Уполномоченный по охране данных должен обеспечивать исполнение
настоящего закона, а также иных предписаний по охране данных. Для этих
целей он может в сомнительных случаях обращаться в органы надзора.
Прежде всего он должен:
1) контролировать правильное применение программ по обработке данных, с
помощью которых обрабатываются персональные данные; в этих целях он
должен быть своевременно информирован о намерении автоматизированной
обработки персональных данных:
2) ознакомлять лиц. которые занимаются обработкой персональных данных
путем соответствующих мер с предписаниями настоящего закона, а также с
иными предписаниями об охране данных, с учетом особенностей данной сферы
деловой деятельности и вытекающих отсюда особых требований к охране
данных;
3) участвовать с правом совещательного голоса в отборе лиц, которые
занимаются обработкой персональных данных.
2. Негосударственные организации должны предоставить в распоряжение
Уполномоченного по охране данных перечень сведений о:
1) применяемых устройствах по обработке данных;
2) наименовании и виде базы данных;
3) виде накапливаемых данных;
4) коммерческих (предпринимательских) целях, для исполнения которых
необходима информация об этих данных;
5) регулярных получателях данных;
6) группах лиц, имеющих право доступа (к данным), или лицах, имеющих
ограниченный доступ.
3. Абз. 2 № 2 – 6 не действуют для баз данных, которые содержатся
временно и в течение 3 месяцев после их создания аннулируются.
244
§ 38. ОРГАНЫ НАДЗОРА
1. Органы надзора проверяют в отдельном случае исполнение настоящего
закона, а также иных предписаний об охране данных – в той мере, в какой
они регулируют обработку или использование персональных данных в базах
данных или из баз данных, если для этого имеются достаточные
предпосылки, особенно, если их обоснованно излагает само лицо, о котором
собираются данные.
2. Если данные, которые собираются о личности на коммерческой основе:
1) накапливаются с целью передачи;
2) накапливаются с целью передачи в анонимизированном виде. или
3) обрабатываются по поручению коммерческим обслуживающим предприятием.
то органы надзора контролируют исполнение настоящего закона или иных
предписаний об охране данных постольку, поскольку они регулируют
обработку или использование персональных данных или баз данных. Органы
надзора ведут регистр в соответствии с § 32 абз. 2. Регистр может быть
предоставлен для просмотра каждому.
3. Организации, подлежащие проверке, и лица, уполномоченные их
руководством, должны незамедлительно представить органам надзора
информацию, необходимую для исполнения их задач. Лицо. обязанное
предоставлять информацию, имеет право отказать в информации по вопросам,
ответ на которые может подвергнуть его самого или какого-либо служащего
из перечисленных в § 83 абз. 1 № 1-3 Гражданского процессуального
кодекса опасности преследования уголовным судом или возбуждения дела по
Закону об административно-уголовных правонарушениях. Лицу, обязанному
предоставлять информацию, должно быть на это указано.
4. Лица, уполномоченные органами надзора осуществлять проверку или
контроль, насколько это необходимо для исполнения задач, возложенных на
органы надзора, в рабочее время имеют право доступа на земельные участки
и в служебные помещения организации и проведения там проверок и осмотра.
Они могут просматривать служебные бумаги, прежде всего перечень, о
котором говорится в § 37 абз. 2, а также накопленные персональные данные
и программы по обработке данных. § 24 абз. 6 действует соответственно.
Лицо.
245
обязанное предоставлять информацию, должно не препятствовать этим
мероприятиям.
5. Для обеспечения охраны данных согласно настоящему закону и иных
предписаний об охране данных, насколько они регулируют обработку или
использование персональных данных или баз данных, органы надзора могут
предписать, чтобы в рамках требований § 9 были приняты меры по
устранению выявленных технических или организационных недостатков. При
особо серьезных недостатках такого рода, прежде всего если они связаны с
особой опасностью по отношению к правам личности, запрещается применение
отдельных процессов, пока в соответствующий срок не устранены
недостатки, нарушившие предписание предложения 1 или повлекшие наложение
денежного штрафа. Они (органы надзора) могут потребовать отзыва
Уполномоченного по охране данных, если он не обладает профессиональными
знаниями и благонадежностью, необходимыми для исполнения его задач.
6. Земельные правительства или уполномоченные ими организации формируют
для контроля за осуществлением охраны данных в сфере действия настоящего
закона полномочные органы надзора.
7. Применение положения о занятии промыслом для промысловых предприятий,
подпадающих под предписания настоящего раздела, остается неизменным.
РАЗДЕЛ IV
ОСОБЫЕ ПРЕДПИСАНИЯ
§ 39. ЦЕЛИ ИСПОЛЬЗОВАНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ,
КОТОРЫЕ ОТНОСЯТСЯ К ПРОФЕССИОНАЛЬНОЙ
ИЛИ ОСОБОЙ СЛУЖЕБНОЙ ТАЙНЕ
1. Персональные данные, которые относятся к профессиональной или особой
служебной тайне и представлены организацией, накапливающей данные и
обязанной хранить тайну для исполнения ее профессиональных или служебных
обязанностей, могут обрабатываться или использоваться только с той
целью, для которой они получены. При передаче их негосударственной
организации должно быть получено согласие организации, обязанной хранить
тайну.
246
2. Данные могут обрабатываться или использоваться для других целей
только в том случае, когда изменение цели разрешено специальным законом.
§ 40. ОБРАБОТКА И ИСПОЛЬЗОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
ИССЛЕДОВАТЕЛЬСКИМИ УЧРЕЖДЕНИЯМИ
1. Персональные данные, собранные или накопленные для целей научного
исследования, могут обрабатываться или использоваться только для целей
научного исследования.
2. Для передачи персональных данных государственной организацией
кому-либо другому для целей научного исследования допускается только
тот, кто обязуется переданные данные не обрабатывать и не использовать
для других целей и соблюдать предписания абз. 3.
3. Персональные данные должны быть анонимизированы настолько, насколько
это позволяет цель исследования. Для этого следует раздельно накапливать
признаки, по которым можно соединить отдельные данные о личных или
деловых отношениях определенного или поддающегося определению лица. Эти
признаки могут сводиться воедино с отдельными сведениями постольку,
поскольку этого требует цель исследования.
4. Организации, проводящие научные исследования, могут обнародовать
персональные данные только, если:
1) лицо, о котором собираются данные, дает согласие; или
2) это настоятельно требуется для отражения результатов исследования
событий современности.
§ 41. ОБРАБОТКА И ИСПОЛЬЗОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
В СРЕДСТВАХ МАССОВОЙ ИНФОРМАЦИИ
1. В той мере, в какой персональные данные обрабатываются или
используются предприятиями или вспомогательными предприятиями по
производству печатной продукции или кинопродукции, или вспомогательными
предприятиями радиовещания исключительно в собственных
журналистско-редакционных целях, из предписаний настоящего закона
действуют только §§ 5 и 9. В той мере, в какой издатели обрабатывают или
используют персональные данные для издания указателей адресов,
телефонов, отраслей и подобных сведений.
247
предложение 1 действительно, если только с изданием связана
журналистско-редакционная деятельность.
2. Если журналистско-редакционная обработка или использование
персональных данных радиовещанием федерального подчинения приводит к
обнародованию опровержения (контрдовода) лица, о котором собираются
данные, то эти опровержения должны быть приобщены к накапливаемым данным
и сохраняться такой же промежуток времени, как и сами данные.
3. Если чьи-либо права личности потерпели ущерб от сообщения
(корреспонденции) радиовещания федерального подчинения, то он может
потребовать информацию о данных, накопленных о его личности, которые
положены в основу сообщения. В информации может быть отказано постольку,
поскольку из данных можно сделать заключение о личности автора, автора
письма (на радио) или сотрудника, отвечающего за редакцию статей
документов и сообщений. Лицо, о котором собираются данные, может
потребовать исправления неверных данных.
4. В остальном для радиовещания федерального подчинения из предписаний
настоящего закона действуют §§ 5 и 9. Вместо §§ 24 – 26 действует § 42 в
той мере, в какой речь идет об административных правоотношениях.
§ 42. УПОЛНОМОЧЕННЫЙ ПО ОХРАНЕ ДАННЫХ
НА РАДИОВЕЩАНИИ ФЕДЕРАЛЬНОГО ПОДЧИНЕНИЯ
1. В учреждениях радиовещания федерального подчинения соответственно
назначается Уполномоченный по охране данных, действующий как лицо,
замещающее Федерального уполномоченного по охране данных. Назначение
следует по предложению директора и утверждается правлением
(административным советом) сроком на четыре года, при этом допустимо
переизбрание на новый срок.
Служба Уполномоченного по охране данных должна быть предусмотрена наряду
с другими внутренними задачами учреждения радиовещания.
2. Уполномоченный по охране данных контролирует соблюдение предписаний
настоящего закона, а также иных предписаний об охране данных. Он
независим в исполнении своей должности. В остальном он
248
подлежит служебному и правовому надзору правления (административного
совета).
3. Каждый может в соответствии с § 21, предложение 1 обратиться к
Уполномоченному по охране данных.
4. Уполномоченный по охране данных должен предоставлять органам
соответствующего учреждения радиовещания каждые два года – первый раз к
1 января 1994 г. – отчет о своей деятельности. Он предоставляет
специальные отчеты по решению какого-либо органа соответствующего
учреждения радиовещания. Отчет о своей деятельности уполномоченный
передает также Федеральному уполномоченному по охране данных.
5. Дальнейшее регулирование согласно §§ 23 – 26 учреждения радиовещания
федерального подчинения осуществляют соответственно с предписаниями в
своей области. § 15 остается неизменным.
РАЗДЕЛ V
ЗАКЛЮЧИТЕЛЬНЫЕ ПРЕДПИСАНИЯ
§ 43. УГОЛОВНО-ПРАВОВЫЕ ПРЕДПИСАНИЯ
1. Если персональные данные, защищенные настоящим законом и не
подлежащие публичному обнародованию, незаконно:
1) накапливаются, модифицируются или передаются;
2) держатся в готовности посредством автоматизированного вызова:
3) вызываются или достаются из баз данных каким-либо другим способом
это карается лишением свободы сроком до 1 года или денежным штрафом.
2. Таким же образом карается лицо:
1) искажающее с помощью неверных сведений передачу персональных данных,
защищенных настоящим законом и не подлежащих публичному обнародованию;
2) в нарушение § 16 абз. 4. предложение 1, § 28 абз. 4, предложение 1, а
также в связи с § 29 абз. 3, § 39 абз. 1. предложение 1 или
249
§ 40 абз. 1 использующее переданные, данные в других целях, т.е.
передает их дальше третьим лицам; или
3) сводящее воедино с отдельными сведениями в нарушение § 30 абз. 1,
предложение 2 признаки, названные в § 30 абз. 1, предложение 1, или в
нарушение § 40 абз. 3, предложение 3 признаки, названные в §40 абз. 3,
предложение 2.
3, Если виновный действует за вознаграждение или с умыслом обогатиться
самому или кому-либо другому или причинить вред кому-либо другому, то
это карается лишением свободы сроком до 2 лет иди денежным штрафом.
4. Деяние подвергается уголовному преследованию только при возбуждении
ходатайства.
§ 44. ПРЕДПИСАНИЯ О ВЗЫМАНИИ ДЕНЕЖНОГО ШТРАФА
1. Противоправно действует лицо, которое с умыслом или по небрежности:
1) в нарушение § 29 абз. 2, предложение 3 или 4 не протоколирует
указанные там основания или вид и способ достоверного изложения;
2) в нарушение § 32 абз. 1, а также в связи с абз. 4 не осуществляет или
несвоевременно осуществляет регистрацию, в нарушение § 32 абз. 2, а
также в связи с абз. 4 не сообщает при подобной регистрации требуемые
сведения или сообщает неправильно или неполно;
3) в нарушение § 33 абз. 1 лицо, о котором собираются данные, не
уведомляет или уведомляет неправильно или неполно;
4) в нарушение § 35 абз. 5, предложение 3 передает данные без
контрдовода (опровержения);
5) в нарушение § 36 абз. 1 не назначает Уполномоченного по охране данных
или назначает несвоевременно;
6) в нарушение § 38 абз. 3, предложение 1 не предоставляет информацию
или предоставляет неправильно, неполно или несвоевременно, или в
нарушение § 38 абз. 4, предложение 4 не разрешает доступ на земельные
участки или в служебные помещения или проведение проверок, или осмотров,
или просмотр деловых бумаг.
7) противодействует исполнению предписания § 38 абз. 5. предложение 1.
2. Правонарушения могут караться денежным штрафом до 50 000 нем. марок.
250
ПРИЛОЖЕНИЕ
(к § 9, предложение 1)
Если персональные данные обрабатываются автоматизировано, то должны
приниматься меры, которые соответствуют каждому из видов персональных
данных, подлежащих защите.
Запрещается незаконное допущение к устройствам по обработке данных, с
помощью которых обрабатываются персональные данные (контроль допущения).
Следует предотвращать незаконное прочтение, копирование, модификацию
или удаление носителей данных (контроль носителей данных).
Следует предотвращать незаконный ввод (данных) в накопитель, а также
незаконное ознакомление, модифицирование или аннулирование персональных
данных (контроль накопителя).
Следует предотвращать использование неправомочным лицом систем по
обработке данных с помощью устройств по переносу данных (контроль
пользователя).
Следует гарантировать доступ лицу, полномочно пользующемуся системой
обработки данных, исключительно к тем данным, которые подлежат его праву
(контроль доступа).
Следует гарантировать возможность проверки и установления, каким
учреждением передаются данные о личности с помощью устройств по переносу
данных (контроль передачи).
Следует гарантировать возможность дополнительной проверки и
установления, какие персональные данные, в какое время и кем были
введены в систему обработки данных (контроль ввода).
Следует гарантировать, чтобы персональные данные, которые
обрабатываются по поручению, могли обрабатываться только по указаниям
заказчика (контроль поручения).
Следует предотвращать незаконное прочтение, модифицирование или
аннулирование данных при передаче персональных данных, а также при
транспортировке носителей данных (контроль транспортировки).
Внутренняя организация учреждения или предприятия должна быть устроена
так, чтобы соответствовать специальным требованиям охраны данных
(контроль организации).
251
HYPERLINK “” \l “209” 209 :: HYPERLINK “” \l “210” 210 ::
HYPERLINK “” \l “211” 211 :: HYPERLINK “” \l “212” 212 ::
HYPERLINK “” \l “213” 213 :: HYPERLINK “” \l “214” 214 ::
HYPERLINK “” \l “215” 215 :: HYPERLINK “” \l “216” 216 ::
HYPERLINK “” \l “217” 217 :: HYPERLINK “” \l “218” 218 ::
HYPERLINK “” \l “219” 219 :: HYPERLINK “” \l “220” 220 ::
HYPERLINK “” \l “221” 221 :: HYPERLINK “” \l “222” 222 ::
HYPERLINK “” \l “223” 223 :: HYPERLINK “” \l “224” 224 ::
HYPERLINK “” \l “225” 225 :: HYPERLINK “” \l “226” 226 ::
HYPERLINK “” \l “227” 227 :: HYPERLINK “” \l “228” 228 ::
HYPERLINK “” \l “229” 229 :: HYPERLINK “” \l “230” 230 ::
HYPERLINK “” \l “231” 231 :: HYPERLINK “” \l “232” 232 ::
HYPERLINK “” \l “233” 233 :: HYPERLINK “” \l “234” 234 ::
HYPERLINK “” \l “235” 235 :: HYPERLINK “” \l “236” 236 ::
HYPERLINK “” \l “237” 237 :: HYPERLINK “” \l “238” 238 ::
HYPERLINK “” \l “239” 239 :: HYPERLINK “” \l “240” 240 ::
HYPERLINK “” \l “241” 241 :: HYPERLINK “” \l “242” 242 ::
HYPERLINK “” \l “243” 243 :: HYPERLINK “” \l “244” 244 ::
HYPERLINK “” \l “245” 245 :: HYPERLINK “” \l “246” 246 ::
HYPERLINK “” \l “247” 247 :: HYPERLINK “” \l “248” 248 ::
HYPERLINK “” \l “249” 249 :: HYPERLINK “” \l “250” 250 ::
HYPERLINK “” \l “251” 251 :: HYPERLINK “B1735Content.html”
Содержание
***********************************
HYPERLINK “” \l “252” 252 :: HYPERLINK “” \l “253” 253 ::
HYPERLINK “” \l “254” 254 :: HYPERLINK “” \l “255” 255 ::
HYPERLINK “” \l “256” 256 :: HYPERLINK “” \l “257” 257 ::
HYPERLINK “” \l “258” 258 :: HYPERLINK “” \l “259” 259 ::
HYPERLINK “” \l “260” 260 :: HYPERLINK “” \l “261” 261 ::
HYPERLINK “” \l “262” 262 :: HYPERLINK “” \l “263” 263 ::
HYPERLINK “” \l “264” 264 :: HYPERLINK “” \l “265” 265 ::
HYPERLINK “” \l “266” 266 :: HYPERLINK “” \l “267” 267 ::
HYPERLINK “” \l “268” 268 :: HYPERLINK “” \l “269” 269 ::
HYPERLINK “” \l “270” 270 :: HYPERLINK “” \l “271” 271 ::
HYPERLINK “B1735Content.html” Содержание
ФРАНЦИЯ
Закон № 78-17 от 6 января 1978 г.
ОБ ОБРАБОТКЕ ДАННЫХ, ФАЙЛОВ ДАННЫХ
И ИНДИВИДУАЛЬНЫХ СВОБОДАХ
Национальная Ассамблея и Сенат приняли.
Президент Республики утвердил следующий Закон:
Глава 1 (Основные принципы и определения).
Статья 1.
Статья 2.
Статья 3.
Статья 4.
Статья 5.
Глава 2 (Национальная комиссия по вопросам, обработки данных и свобод).
Статья 6.
Статья 7.
Статья 8.
Статья 9.
Статья 10.
Статья 11.
Статья 12.
Статья 13.
Глава 3. (Выполнение формальностей перед началом автоматической
обработки данных).
Статья 14.
Статья 15.
Статья 16.
Статья 17.
Статья 18.
Статья 19.
252
Статья 20.
Статья 21.
Статья 22.
Статья 23.
Статья 24.
Глава 4. (Сбор, запись и хранение персональных данных).
Статья 25.
Статья 26.
Статья 27.
Статья 28.
Статья 29.
Статья 30.
Статья 31.
Статья 32.
Статья 33.
Глава 5. (Осуществление права доступа к данным).
Статья 34.
Статья 35.
Статья 36.
Статья 37.
Статья 38.
Статья 39.
Статья 40.
Глава 6. (Положения об ответственности).
Статья 41.
Статья 42.
Статья 43.
Статья 44.
Глава 7. (Прочие положения).
Статья 45.
Статья 46.
Статья 47.
Статья 48.
253
Глава 1. Основные принципы и определения
Статья 1.
Обработка данных должна служить каждому гражданину. Она должна
развиваться в контексте международного сотрудничества. Она должна
уважать человеческое достоинство, права человека, тайну его частной
жизни, индивидуальные или публичные свободы.
Статья 2.
Никакое юридическое решение, содержащее оценку поведения человека, не
может быть основано на каких-либо данных, подвергшихся автоматической
обработке, в которых содержатся личностные или персональные
характеристики данного лица.
Никакое решение правительственного или частного органа, содержащее
оценку поведения человека, не может быть основано исключительно на
каких-либо данных, подвергшихся автоматической обработке, в которых
содержатся личностные или персональные характеристики данного лица.
Статья 3.
Любое лицо должно наделяться правом быть осведомленным и оспорить данные
и логическую систему, использовавшуюся в процессе обработки результатов,
которые оказались неблагоприятными для него.
Статья 4.
Для целей настоящего закона персональные данные – это данные, которые
позволяют в любой форме, прямо или косвенно, установить личность
физического лица, в отношении которого эти данные собраны, независимо от
того, физическим или юридическим лицом эти данные были обработаны.
Статья 5.
Для целей настоящего закона автоматическая обработка персональных данных
означает ряд операций, осуществленных с использованием автоматических
средств, включая сбор, запись, подготовку, изменение, хранение и
уничтожение персональных
254
данных, а также осуществление ряда последовательных операций, связанных
с использованием файлов или баз данных, включая взаимосвязь или
сопоставление, проведение консультаций или передачу персональных данных
по телекоммуникационным каналам.
Глава 2. Национальная комиссия
по вопросам обработки данных и свобод
Статья 6.
Утверждается Национальная комиссия по вопросам обработки данных и
свобод. Она обязана обеспечить соблюдение положений настоящего Закона, в
частности, путем информирования всех заинтересованных лиц об имеющихся у
них правах и обязанностях, а также путем сотрудничества с ними и
контроля за применением методов и средств обработки персональных данных.
В этих целях Комиссия должна быть наделена полномочиями издавать
обязательные для исполнения документы в случаях, имеющих прямое
отношение к настоящему Закону.
Статья 7.
Затраты, связанные с приобретением имущества, необходимого для
организации нормальной работы Национальной комиссии, будут отнесены на
счет Министерства юстиции. Положения Закона об аудите от 10 августа 1992
г. не будут относиться к деятельности по управлению настоящей Комиссии.
Счета комиссий подлежат проверке Судом Кортесов.
Вместе с тем, для покрытия некоторых формальностей, указанных в ст. ст.
15, 16, 17 и 24 настоящего Закона, на Комиссию могут быть наложены
определенные обязательства финансового характера
Статья 8.
Национальная комиссия по вопросам обработки данных и свобод создается
как независимый орган правительства.
В ее состав войдут семнадцать членов, назначаемых сроком на пять лет или
на срок пребывания их в занимаемой должности:
– два депутата и два сенатора, избираемых, соответственно. Национальной
Ассамблеей и Сенатом;
255
– два члена Экономического и Социального совета, избираемых ими;
– два действительных или бывших члена Государственного совета, один в
ранге “советника” или выше, избираемый общим собранием Государственного
совета;
– два действительных или бывших члена Кассационного Суда, один в ранге
“советника” или выше, избираемый общим собранием членов Кассационного
Суда;
– два действительных или бывших члена Суда Кортесов, один в ранге
“главного советника” или выше, избираемый общим собранием членов Суда
Кортесов;
– два известных специалиста в области обработки данных, назначаемых по
рекомендации спикера Национальной Ассамблеи и. соответственно, спикера
Сената;
– три специалиста, назначаемых постановлением Совета министров, исходя
из их служебного положения и компетентности.
Комиссия изберет из своего состава сроком на пять лет Председателя и
двух заместителей Председателя.
Комиссия разработает и примет свой регламент работы.
Председатель будет наделен правом решающего голоса.
Если Председатель или член Комиссии выйдут из ее состава да истечения
срока своих полномочий, их преемник будет работать в Комиссии только в
течение времени, оставшегося до истечения срока полномочий своего
предшественника.
Следующие лица могут участвовать в работе Комиссии, но не являться ее
членами:
– член правительства;
– лицо, занимающее должность или испытывающее интерес к фирме, занятой
производством оборудования, использующегося для обработки данных или
средств телекоммуникации, или оказанием услуг по обработке данных или
телекоммуникационных услуг.
256
Комиссия в каждом отдельном случае будет рассматривать вопросы об
отстранении лиц от занимаемой должности. За исключением случаев
добровольной отставки, срок исполнения обязанностей члена Комиссии может
быть прекращен на основании решения Комиссии, принятого в соответствии с
существующими правилами.
Статья 9.
Представитель правительства, назначенный премьер-министром, будет
присутствовать на заседаниях комиссии.
Он может в течение десяти дней с момента обсуждения вопроса выступить с
предложением о проведении повторного обсуждения с целью пересмотра
принятого решения.
Статья 10.
Работу аппарата комиссии будет контролировать Председатель, а в его
отсутствие и по его поручению – его заместитель.
Комиссия на основании ст. ст. 16, 17 и 21 (4), (5) и (6) может
делегировать свои полномочия ее Председателю или его заместителю.
Прием на работу служащих Комиссии осуществляет ее Председатель или его
заместитель.
Статья 11.
Комиссия может обратиться с просьбой к старшему судье апелляционного
суда или к главным судьям административных судов назначить судью (и если
необходимо – выделить ему в помощь экспертов) для наблюдения за
проведением расследований и инспекций.
Статья 12.
Члены Комиссии и ее сотрудники, в соответствии со ст. 75 Уголовного
кодекса, обязаны хранить в тайне сведения и факты, ставшие им известными
в результате работы с документами или информацией.
257
Статья 13.
Члены Национальной Комиссии по вопросам обработки данных и свобод при
исполнении ими своих служебных обязанностей не подчиняются приказам и
распоряжениям руководителей других органов или организаций.
Глава 3. Выполнение формальностей перед началом
автоматической обработки данных
Статья 14.
Национальная комиссия по вопросам обработки данных и свобод призвана
гарантировать, что обработка персональных данных как частными, так и
публичными организациями будет осуществляться с соблюдением требований
настоящего Закона.
Статья 15.
За исключением случаев, прямо оговоренных в Законе, автоматическая
обработка персональных данных от имени государства, публичной
организации, органа местной власти, частной организации, оказывающей
публичные услуги, должна быть санкционирована соответствующим
документом, одобренным Национальной комиссией по вопросам обработки
данных и свобод.
В случае отказа Комиссии одобрить такой документ, он может быть
утвержден только Государственным советом, а в случае, когда речь идет о
местной власти, решением ее руководящего органа, с последующим
утверждением Государственным советом.
В случае, когда Комиссия в течение двух месяцев (этот срок может быть
продлен Председателем Комиссии) не сообщит о своем решении, то по
истечении вышеуказанного срока будет считаться, что решение Комиссии
было положительным.
Статья 16.
Автоматическая обработка данных, осуществляемая от имени сторон, не
указанных в ст. 15. до начала ее осуществления должна быть заявлена
Национальной комиссии по вопросам обработки данных и свобод. Такое
заявление должно влечь за собой заверения.
258
что обработка данных будет осуществляться с соблюдением действующего
законодательства.
При получении подтверждения, которое Комиссия должна сразу же направить,
заявитель может осуществлять обработку данных и он должен быть
освобожден от какой-либо ответственности.
Статья 17.
В отношении самых распространенных видов или обработки данных публичной
или частной организацией, которые ни коим образом не ущемляют право
граждан на неприкосновенность частной жизни или их свободы, Комиссия
должна разработать и опубликовать простые правила, основанные на
положениях, содержащихся в статье 19 настоящего закона. Для обработки
данных на основании этих правил должно быть достаточно простого
подтверждения в адрес Комиссии об отсутствии намерения нарушать
положения этих правил. Если Комиссия не примет решения об обратном, то
простого подтверждения получения такого заявления достаточно, чтобы
заявитель мог приступить к обработке персональных данных и ему не будет
вменяться несоблюдение порядка, установленного Комиссией.
Статья 18.
Использование национального идентификационного номера физического лица в
процессе обработки персональных данных может быть санкционировано
постановлением Государственного совета после консультаций с Комиссией.
Статья 19.
В заявлении на получение разрешения на обработку персональных данных
должно быть указано следующее:
– имя и фамилия заявителя, а также имя и фамилия лица. уполномоченного
вести обработку данных или в случае, если такое лицо постоянно проживает
за границей, имя и фамилия его представителя во Франции;
– характеристики, цель и. если это возможно, имя субъекта персональных
данных;
259
– название департамента или департаментов, ответственных за проведение
работ по обработке данных;
– название департамента, который обязан обеспечить право доступа граждан
к их персональным данным так, как это определено в главе пятой, а также
указать порядок предоставления такого доступа:
– категория лиц, которым в силу их служебных обязанностей или в силу
потребностей департамента предоставлено право прямого доступа к
хранящимся персональным данным;
– характер обрабатываемых данных, источник их получения и срок хранения,
а также адреса или категории получателей, которые наделены правом
получать такие данные;
– метод сравнительного анализа, взаимосвязи или любой другой
используемый при обработке данных метод, а также метод передачи
персональных данных третьей стороне;
– характер мер. принятых для обеспечения безопасной обработки данных и
неразглашения сведений, охраняемых законом;
– данные, которые подлежат пересылке в какую-либо другую страну, в какой
бы то ни было форме, включая данные, которые прошли предварительную
обработку за пределами территории Франции.
Любые изменения, внесенные в данные, указанные выше, или факт остановки
процесса обработки данных должны быть доведены до сведения Комиссии.
Отдельные подробности в сведениях, передаваемых при заявлении на
получение разрешения Комиссии на обработку персональных данных, могут
быть опущены из соображений возможного причинения ущерба национальной
безопасности, обороноспособности и публичному порядку.
Статья 20.
В официальном решении, санкционирующем обработку данных, согласно ст.
15. должны содержаться следующие сведения:
– имя и фамилия лица, осуществляющего обработку данных, а также цель
такой обработки;
260
– название департамента, который будет осуществлять доступ граждан к
персональным данным так, как это определено в главе пятой;
– тип хранящихся персональных данных, а также название лица или
категории лиц, уполномоченных на получение таких данных.
Постановления Государственного совета могут сообщать, что инструкции,
регулирующие некоторые процедуры обработки данных, затрагивающие вопросы
государственной безопасности, обороноспособности и публичного порядка,
могут не подлежать широкой публичной огласке.
Статья 21.
Для осуществления своих контрольных функций Комиссия должна:
1) издать правила для физических лиц или общее регулирование для
случаев, указанных в настоящем законе;
2) издать специальные служебные инструкции для инструктирования действий
своих членов или служащих, принимающих участие (когда это потребуется) в
качестве экспертов в проверке на месте хода обработки персональных
данных, получения информации и соответствующих документов для этой цели;
3) разработать стандартные правила обеспечения безопасности системы
обработки персональных данных, и в исключительных случаях она может
предписать такие меры безопасности, которые могут, в частности, включать
уничтожение собранных данных;
4) она может издавать предупреждения для лиц, нарушающих правила
обработки данных и опубликовывать отчеты в средствах массовой информации
с указанием случаев нарушения существующих правил обработки персональных
данных с целью обратить на них внимание правоохранительных органов, как
это предусмотрено ст. 40 Уголовно-процессуального кодекса;
5) гарантировать исполнение порядка доступа граждан к своим персональным
данным, а также что изменения, внесенные в правила и декларативные
моменты, содержащиеся в ст. ст. 15 и 16, не отразятся на праве
свободного доступа граждан к своим персональным данным;
6) должна принимать претензионные заявления, петиции и жалобы;
261
7) будет изучать практику производственных и сервисных структур,
совершенствующую технику и методы обработки персональных данных.
Руководство министерств, общественных организаций, публичных и частных
предприятий, руководители групп и ассоциаций, а также различного рода
держатели и пользователи персональных данных не должны
противодействовать усилиям Комиссии или ее членам, больше того,
оказывать всестороннюю помощь в ее работе.
Статья 22.
Комиссия будет постоянно составлять и публиковать списки организаций,
осуществляющих обработку персональных данных, включая в них следующие
сведения:
– ссылку на статью закона или номер официального разрешения на
учреждение организации, специализирующейся на сборе данных, или дату
подачи заявления о регистрации;
– название и цель создания организации;
– название департамента, который обязан, согласно главе пятой настоящего
закона, предоставлять доступ граждан к своим персональным данным;
– категории персональных данных, которые хранятся в данной организации,
а также адреса и названия адресатов, имеющих право получать персональные
данные.
Инструкции, правила или рекомендации Комиссии, а также ее комментарии к
настоящему закону должны быть доступны гражданам так, как того требует
настоящий закон.
Статья 23.
Комиссия ежегодно будет готовить отчеты и представлять их Президенту
Республики и парламенту. Такие отчеты будут публиковаться средствами
массовой информации. В отчетах, в частности, будут содержаться описания
и формулировки методов деятельности Комиссии, а в приложении –
информация об организациях Комиссии и ее отделах, которые могут оказать
содействие гражданам в контактах с ее представителями.
262
Статья 24.
В целях соблюдения принципов, содержащихся в настоящем законе и по
предложению или по рекомендации Комиссии, передача по
телекоммуникационным каналам между Францией и другим государством
персональных данных в какой бы то ни было форме для ее дальнейшей
автоматической обработки на основании ст. 16 настоящего закона может
потребовать получение предварительного согласия Комиссии или
осуществляться на основании положений декрета Государственного совета.
Глава 4. Сбор, запись и хранение персональных данных
Статья 25.
Сбор данных мошенническими, нечестными или незаконными методами
запрещается.
Статья 26.
Любое физическое лицо вправе отказаться (если на то имеются
соответствующие основания) от предоставления персональных данных и
последующей их обработки.
Это право имеет свое ограничение для случаев, указанных в ст. 15.
Статья 27.
Субъекты персональных данных должны быть поставлены в известность о
следующем:
– обязаны ли они предоставлять персональные данные;
– о любых последствиях для них в случае отказа от предоставления
персональных данных;
– об имени лиц или названии организаций, для которых собираются
персональные данные;
– об их праве доступа к своим персональным данным и внесения в них
соответствующих изменений.
Когда персональные данные собраны сборщиками данных, последние обязаны
сообщить респондентам вышеуказанную информацию.
263
Эти положения не применяются в отношении сбора информации, необходимой
для расследования уголовных преступлений.
Статья 28.
Если иное не оговорено в законе, персональные данные не могут храниться
более того срока, чем тот, который указан в заявлении сборщика данных,
поданного в Комиссию, за исключением случаев, когда Комиссия
санкционирует более длительное время хранения таких данных.
Статья 29.
Лица, занимающиеся обработкой персональных данных или которым поручено
осуществлять такую обработку, обязаны лично предупредить лиц, которым
такие данные будут переданы о необходимости принятия мер безопасности,
призванных защитить персональные данные, в частности, от их искажения,
повреждения, уничтожения или несанкционированного разглашения третьим
лицам.
Статья 30.
Если иное не оговорено в законе, только судебные органы, органы власти,
действующие в рамках предоставленных им полномочий в соответствии с
решением Национальной комиссии, и юридические лица, занятые оказанием
услуг в общественном секторе, вправе осуществлять автоматическую
обработку или вести сбор персональных данных, имеющих отношение к
уголовным преступлениям, осуждениям или мерам безопасности.
На основании Закона 70-539, принятого в июне 1970 г., регулирующего
порядок открытия архивных файлов на владельцев автотранспортных средств,
страховые организации наделяются правом обрабатывать (под контролем
Комиссии) персональные данные, упомянутые в ст. 9 настоящего Закона и
относящиеся к лицам, о которых идет речь в последней части данной
статьи.
Статья 31.
Запись или хранение в памяти компьютера персональных данных, прямо или
косвенно отражающих сведения о расовой
264
принадлежности, политических взглядах, философских воззрениях,
религиозных убеждениях или членстве в профсоюзах без получения
предварительного согласия заинтересованной стороны запрещается.
Церковные, религиозные, философские, политические или профсоюзные
организации могут, однако, вести списки своих сторонников или членов в
компьютеризованной форме. И в этом отношении они не подлежат какому-либо
контролю.
По предложению Комиссии или на основании ее положительного мнения и
принимая во внимание интересы общества, Государственный совет может
своим декретом сделать другие исключения из установленных законом
запретов.
Статья 32.
Доступ к бюллетеням по голосованию предоставляется на соответствующих
условиях кандидатам и представителям политических партий, и
осуществляется под контролем избирательных комиссий.
Статья 33.
Положения ст. ст. 23, 30 и 31 не применяются в отношении персональных
данных, обрабатываемых издательствами или теле- и радиовещательными
компаниями в соответствии с законодательством, регулирующим деятельность
таких организаций в случаях, когда положения настоящих статей
противоречат праву на свободное выражение мнения.
Глава 5. Осуществление права доступа к данным
Статья 34.
Лицо, удостоверившее свою личность, имеет право направлять запросы
департаментам или организациям, осуществляющим автоматическую обработку
персональных данных, список которых должен быть общедоступным, согласно
ст. 22 настоящего закона, с целью выяснения, действительно ли та или
иная организация хранит и ведет обработку данных, включая его
персональные данные, и при
265
получении утвердительного ответа, имеет право запросить доступ к своим
персональным данным.
Статья 35.
Лицо, наделенное таким правом доступа, вправе запросить доступ к
хранящейся о нем информации. Предоставленная ему информация должна быть
составлена на понятном языке и по своему содержанию должна
соответствовать хранящимся персональным данным.
Лицо, имеющее право доступа, на основании сделанного им заявления вправе
получить копию архивного материала. Организация, предоставляющая доступ,
вправе взимать плату за оказываемую ею услугу, размер которой зависит от
категории обрабатываемого материала. Такая фиксированная плата
устанавливается правилами Комиссии и размер ее утверждается приказом
Министром экономики и финансов.
Вместе с тем. в ответ на заявление лица, запрещающего доступ. Комиссия
может:
– установить срок, в течение которого он должен получить ответ на свой
запрос:
– предоставить право не отвечать на отдельные запросы, которые после их
удовлетворения назойливо и систематически повторяются.
В случае, когда существуют основания полагать, что имеет место сокрытие
данных, упомянутых в первой части этой статьи, и до того, как по данному
факту будет подано исковое заявление в. суд. Комиссия может сделать
заявление в соответствующий судебный орган с просьбой принять меры,
направленные на воспрепятствование такого сокрытия данных.
Статья 36.
Лицо, наделенное правом доступа, вправе потребовать внесения изменений,
дополнений, пояснений, уточнений в свои персональные данные или их
уничтожения, это касается тех данных, которые, по его мнению, являются
неточными, неполными, допускающими двоякое
266
толкование, устаревшими, а также получение, использование, разглашение
или хранение которых запрещено законом.
По запросу такого лица департамент или организация, осуществляющие
обработку его персональных данных, обязаны выдать ему копию документа с
внесенными в него исправлениями, не взимая с такого лица какую-либо
плату.
В случае возникновения спора, бремя доказательства лежит на организации,
предоставившей право доступа, если только не будет установлено, что
оспариваемые данные были раскрыты с согласия или по прямому указанию
самого лица.
В случае, когда лицо, наделенное правом доступа, внесло изменения в
персональные данные, организация, согласно ст. 35 настоящего закона,
обязана возместить ему плату, взятую с него за допуск к его персональным
данным.
Статья 37.
Файл, содержащий персональные данные, должен быть дополнен
отсутствующими сведениями или исправлен даже в отсутствии субъекта
данных в случае, если организации, имеющей такой файл, станет достоверно
известно о несоответствии хранящейся в нем информации или о ее
недостаточности.
Статья 38.
В случае, если данные были в свое время направлены третьей стороне, то
во избежание предъявления иска со стороны Комиссии организация,
направившая такие данные, обязана поставить в известность третью сторону
об осуществленных ею исправлениях или уничтожении данных.
Статья 39.
В случае, если деятельность по обработке данных угрожает интересам
национальной безопасности, наносит ущерб ее обороноспособности или
подрывает общественный порядок, то о такой деятельности должна быть
поставлена в известность Комиссия, которая, в свою очередь, должна
назначить одного из своих членов, являющегося
267
или являвшегося членом Государственного совета, членом Кассационного
суда или членом Суда Кортесов, для проведения расследования и вынесения
соответствующего решения. В помощь такому члену может быть выделен
сотрудник Комиссии.
Лицо, направившее заявление в Комиссию, должно быть поставлено в
известность о том. что по фактам, изложенным в его заявлении, было
проведено соответствующее расследование.
Статья 40.
Если речь идет о предоставлении права доступа к медицинским данным, то
последние могут быть раскрыты только врачу, указанному для этой цели
самим субъектом данных.
Глава 6. Положения об ответственности
Статья 41.
Лицо, осуществляющее автоматическую обработку персональных данных или
осуществившее такую обработку, не запросив официального разрешения на
этот счет, как это предусмотрено ст. 15 настоящего Закона, или не сделав
соответствующего заявления, как это предусмотрено ст. 16, может быть
приговорено к тюремному заключению на срок от шести месяцев до трех лет
или к денежному штрафу в размере от 2 000 до 200 000 франков, или то и
другое одновременно.
Статья 42.
Лицо, собирающее персональные данные или отдавшее распоряжение их
собирать, хранящее данные или отдавшее распоряжение сдать их на хранение
в нарушение ст. ст. 25, 26 и с 28 по 31 может быть приговорено к
тюремному заключению на срок от одного года до пяти лет или к денежному
штрафу в размере от 20 000 до 2 000 000 франков, или то и другое
одновременно.
Суд может, также, вынести решение опубликовать за счет виновной стороны
материалы судебного расследования (все или только часть их) в одном или
в нескольких периодических изданиях и сделать это дело достоянием
общественности.
268
Статья 43.
Лицо, которое в ходе записи, передачи или в результате какой-либо другой
формы обработки данных получило сведения, содержащиеся в персональных
данных, раскрытие которых может причинить урон репутации субъекта данных
или явиться вмешательством в его частную жизнь, и которое, будучи
осведомленным о таких последствиях для субъекта данных и без
соответствующего его разрешения, разглашает эти сведения третьей
стороне, которая, согласно настоящему Закону, не имела право получать
их, может быть приговорено к тюремному заключению на срок от двух до
шести месяцев или к денежному штрафу в размере от 2 000 до 20 000
франков, или то и другое одновременно.
Лицо, которое по неосторожности или по халатности допустило разглашение
ставших ему известными персональных данных, речь о которых шла в
предыдущей части, может быть приговорено к денежному штрафу в размере от
2 000 до 20 000 франков.
Статья 44.
Лицо, которое в ходе записи, передачи или в результате какой-либо другой
формы обработки данных ознакомилось с содержанием персональных данных и
которое использует полученные им сведения иначе, чем это предусмотрено в
ст. 15 или иначе, чем было изложено в его заявлении, сделанном в
соответствии с требованиями ст. ст. 16 и 17 закона, или, как это
предусматривается в действующем законодательстве, может быть приговорено
к тюремному заключению на срок от одного до пяти лет и к уплате
денежного штрафа в размере от 20 000 до 2 000 000 франков.
Глава 7. Прочие положения
Статья 45.
Положения ст. ст. 25, 27, 29, 30, 31, 32 и 33, регулирующих получение,
запись и хранение персональных данных, применяются в отношении файлов,
не подлежащих автоматизированной или механической обработке иначе, чем в
отношении файлов, предусматривающих строгое соблюдение права на тайну
частной жизни.
269
Положения первой части ст. 26 будет применяться к аналогичным файлам, за
исключением публичных файлов, определенных официальным решением.
Лицо, удостоверившее свою личность, вправе направлять запросы в
департамент или в организации, хранящие файлы, упомянутые в первой части
этой статьи, с целью выяснения, содержат ли такие файлы его персональные
данные. Лицо, наделенное правом доступа, вправе запрашивать доступ к
таким данным; оно может просить исполнения требований, содержащихся в
первых трех частях статьи 36 настоящего закона в отношении права на
внесение исправлений. Ст. ст. 37, 38, 39 и 40 также применяются.
Государственный совет своим декретом будет определять порядок реализации
права доступа и права внесения исправлений; на основании декрета будет
устанавливаться плата за выдачу копий предоставленных данных.
По рекомендации Национальной комиссии по вопросам обработки данных и
свобод правительство может на основании декрета Государственного совета
постановить, что другие положения настоящего закона полностью или
частично применимы в отношении файлов или групп файлов, которые не
поддаются автоматической или механической обработке и которые отдельно
или совместно с компьютерными файлами представляют угрозу гражданским
свободам.
Статья 46.
Государственный совет своими решениями определит мероприятия по
реализации настоящего закона в жизнь. Эти мероприятия начнут
реализовываться в течение шести месяцев с даты принятия настоящего
закона.
Такие решения определят сроки вступления положений настоящего закона в
силу. Эти сроки не должны превышать двух лет с даты обнародования
настоящего закона.
Статья 47.
Действие настоящего закона распространяется на Mayotte и другие
заморские территории.
270
Статья 48.
В качестве меры переходного характера обработка данных, речь о которой
идет в ст. 15, подлежит декларированию в Национальной Комиссии по
вопросам обработки данных и свобод на условиях, оговоренных в ст. ст. 16
и 17.
Однако комиссия может специальным решением применять ст. 15 и установить
срок, в течение которого положения, регулирующие обработку данных,
должны будут вступить в силу.
Через два года после обнародования настоящего закона все виды обработки
данных, указанные в ст. 15, должны отвечать требованиям этой статьи.
Настоящий закон должен быть введен в силу в порядке, предусмотренном для
законодательных актов.
Париж. 6 января 1978 г.
271
HYPERLINK “” \l “252” 252 :: HYPERLINK “” \l “253” 253 ::
HYPERLINK “” \l “254” 254 :: HYPERLINK “” \l “255” 255 ::
HYPERLINK “” \l “256” 256 :: HYPERLINK “” \l “257” 257 ::
HYPERLINK “” \l “258” 258 :: HYPERLINK “” \l “259” 259 ::
HYPERLINK “” \l “260” 260 :: HYPERLINK “” \l “261” 261 ::
HYPERLINK “” \l “262” 262 :: HYPERLINK “” \l “263” 263 ::
HYPERLINK “” \l “264” 264 :: HYPERLINK “” \l “265” 265 ::
HYPERLINK “” \l “266” 266 :: HYPERLINK “” \l “267” 267 ::
HYPERLINK “” \l “268” 268 :: HYPERLINK “” \l “269” 269 ::
HYPERLINK “” \l “270” 270 :: HYPERLINK “” \l “271” 271 ::
HYPERLINK “B1735Content.html” Содержание
***********************************
Нашли опечатку? Выделите и нажмите CTRL+Enter
