АЗ, 2005, ноябрь К проекту федерального закона 217346-4 "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных"
персональных данных
Развитие автоматизированных систем обработки данных, позволяющих в считанные секунды передавать огромные объемы данных через национальные границы и даже через континенты, поставило на повестку дня вопрос о защите неприкосновенности частной жизни применительно к персональным данным.
В развитых индустриальных странах (США, страны ЕС) за последние двадцать лет было разработано законодательство по вопросам защиты персональных данных, что позволяет противостоять таким нарушениям основных прав человека, как незаконное хранение персональных данных, хранение неточных персональных данных, а также несанкционированное использование или опубликование таких данных. При этом легко заметить, что новые или обновленные законы в большей степени учитывают особенности сбора, хранения, обработки и использования персональных данных в Интернете.
Подходы различных стран к законодательному регулированию работы с персональными данными имеют некоторую национальную специфику, однако можно выделить ряд общих моментов.
1. Национальное законодательство, регулирующее отношения, связанные со сбором, хранением, автоматической обработкой и использованием персональных данных обеспечивает:
- защиту персональных данных от несанкционированного доступа к ним со стороны других лиц, в том числе и представителей государственных органов и служб, не имеющих на то необходимых полномочий;
- сохранность целостности и достоверности данных в процессе работы с ними, в том числе и при передаче по международным телекоммуникациям;
- надлежащий правовой режим этих данных при работе с ними для различных категорий субъектов персональных данных;
- контроль за использованием персональных данных со стороны самого субъекта.
2. Создается специальная институциональная структура, обеспечивающая эффективный надзор за соблюдением прав субъекта персональных данных (например, институты Уполномоченных по защите персональных данных). Четверть века функционирует этот институт в странах Европы, доказав свою эффективность и гарантируя право доступа субъекта к информации о себе и контроль за надлежащим использованием баз, содержащих персональные данные. Институт Уполномоченных по защите персональных данных представляет собой развитую самостоятельную независимую структуру, дополняющую традиционные институты государственной власти.
Службам уполномоченного по защите персональных данных вменены в обязанность регистрация и рассмотрение жалоб граждан на нарушение прав в отношении персональных данных. Функционирование служб основано на тех же принципах, что и службы омбудсменов: службы обладают продуманной организованной структурой и способны самостоятельно, эффективно и оперативно решать вопросы защиты нарушенных прав в сфере персональных данных. Деятельность данных институтов координируется на международном уровне и обсуждается на рабочих совещаниях Международной конференции комиссионеров (лиц, занимающихся проблемами защиты информационных прав граждан).
Коллегиальные органы и (или) соответствующие должности по защите прав граждан в сфере персональных данных действуют в Австрии, Австралии, Бельгии, Болгарии, Великобритании, Венгрии, Греции, Израиле, Испании, Канаде, Кипре, Нидерландах, Финляндии, Франции, Германии, Швеции, Швейцарии, Японии и ряде других стран. Например, в Австрии это Совет и Комиссия по защите персональных данных. В Финляндии предусмотрена должность омбудсмена и функционируют Коллегии по защите персональных данных. В Великобритании действуют Регистратор персональных данных и Национальный суд по защите персональных данных, на решения которого могут быть поданы апелляции в Верховный суд Соединенного Королевства.
Основными принципами организации и деятельности таких структур являются компетентность и независимость. Последняя достигается за счет особого статуса данного органа, его места в системе государственной власти, процедуры назначения руководителя органа, разделения административной подчиненности и подотчетности между различными ветвями власти, путем прямого регулирования данного статуса законом.
Указанные структуры выполняют разнообразные функции (с учетом того, что защита персональных данных является объектом государственно-правового регулирования) - регистрационные, разрешительные, контрольные, надзорные, арбитражные, экспертные, методологические и др.
В Европе лидером в сфере правового регулирования персональных данных является Германия. Первый закон о защите персональных данных был принят в Германии в земле Гессен в 1970 году. До этого подобных законов в мире не было. За ним последовало принятие в 1977 году Федерального закона о защите персональных данных, который был пересмотрен в 1990 году. Главная цель этого закона - защищать индивидуума от посягательств на неприкосновенность его частной жизни путем манипулирования его персональными данными. Действие закона распространяется на сбор, обработку и использование персональных данных, собираемых государственными федеральными органами и негосударственными учреждениями, если они обрабатывают и используют персональные данные в коммерческих или профессиональных целях. В связи с развитием телекоммуникаций в нормативные акты были внесены соответствующие дополнения и изменения.
Все 16 земель Германии имеют собственные законы о защите персональных данных, распространяющиеся на государственный сектор административного управления землями. Контроль за исполнением закона осуществляет Федеральная комиссия по защите персональных данных. Соответствующие комиссии, обеспечивающие исполнение местных законов о защите персональных данных, есть в каждой земле Германии. В частном секторе надзор осуществляется указанным в законе органом, действующим в каждой из земель (обычно назначается комиссар по защите персональных данных).
Законодательство Канады
С практической точки зрения большой интерес вызывает закон Канады о защите персональной информации, который предусматривает реальные механизмы защиты персональных данных и реализации права на доступ к сведениям о себе.
В соответствии с этим актом под персональной понимается информация о конкретном индивиде, записанная в любой форме, в том числе данные о национальности, расе, цвете кожи, религии, возрасте, образовании, состоянии здоровья, финансах, личных взглядах и т.п. Под действие акта не попадает информация об индивиде, который был или является сотрудником государственного учреждения, его должности, служебном адресе и телефоне, уровне зарплаты и служебных обязанностях. Персональная информация не может быть использована без согласия индивида и помимо целей, ради которых она собиралась. В ряде случаев персональная информация может быть раскрыта, например, по решению суда.
Каждый гражданин или постоянно проживающий в Канаде человек может получить доступ к содержащейся в учреждениях информации о себе, и исправить ее.
В случае возникновения спорных ситуаций граждане могут опротестовать действия властей в офисе Комиссара по защите персональной информации, который является специальным чиновником, назначаемым и ответственным перед парламентом. Он наблюдает за исполнением данного закона, т.е. за сбором, использованием и распространением государством персональной информации о клиентах и работниках, а также рассматривает жалобы.
Стоит отметить, что данная структура выполняет огромный объем работы: Комиссар ежегодно делает доклады; обрабатываются многочисленные запросы; проводятся расследования, рассмотрение жалоб, организация публичных дебатов по работе с данными. Обращает на себя внимание тот факт, что данная работа проводится небольшим штатом сотрудников - около трех десятков людей.
Важное значение имеет тот факт, что сами канадцы уделяют большое внимание вопросам сбора, хранения и обработки персональных данных. Социологические опросы показывают высокий уровень правовой грамотности канадцев как в отношении своих прав в данной области, так и в отношении механизмов их защиты.
Законодательство Соединенных Штатов Америки
Рассматривая вопрос о правовом регулировании автоматизированной обработки персональных данных в США, необходимо упомянуть Code of Fair Information Practice (Свод правил добросовестной информационной практики ), выпущенный в 1973 году Консультативным советом по автоматизированным системам обработки персональных данных при Департаменте Здоровья и Образования США. Рекомендации состояли из пяти основных принципов: тайна баз данных с персональной информацией; запрет вторичного использования персональной информации без согласия физического лица; право доступа физического лица к своей персональной информации; возможность внесения исправлений в персональную информацию; право требования соблюдения точности при внесении данных, а также запрет несанкционированного доступа к информации.
Впоследствии данные принципы легли в основу Закона о неприкосновенности частной жизни 1974 года. Термин персональные данные используется в Законе в широком значении и подразумевает единицу, подборку или группу информации об индивиде, которой располагает ведомство (в том числе сведения об образовании, финансовых сделках, о состоянии здоровья, криминальную и трудовую биографию) и которая содержит указание на его имя, идентификационный номер, символ или иной идентифицирующий признак (например, отпечатки пальцев или фотографию). Закон устанавливает, что каждое ведомство, у которого имеется система персональных данных, должно разрешать любому индивиду знакомиться с содержанием его данных, включенных в такую систему, и получать их копию. Под системой персональных данных имеется в виду группа данных, из которой информация может быть извлечена посредством указания имени лица или какого-либо идентифицирующего номера или символа. Таким образом, в определении системы персональных данных главным критерием является способ извлечения информации: если такое извлечение сопровождается ссылкой на персональный идентификатор (имя, номер карточки социального обеспечения), то тогда система подпадает под действие Закона.
Закон о неприкосновенности частной жизни предписывает каждому ведомству, располагающему системой персональных данных, предоставить требующему лицу возможность внесения изменений в его данные. Это правило распространяется не только на федеральные ведомства, но и на частные организации, которые по договору с ведомством в порядке реализации его функций осуществляют операции с его системой данных. Закон предусматривает, что в случае отказа со стороны ведомства федеральный окружной суд по иску лица может обязать ведомство внести изменения в данные в соответствии с требованием. Однако до того, как обратиться в суд, лицо должно исчерпать все административные средства защиты, т.е. его первоначальное требование и жалоба должны быть отклонены. В отличие от канадского законодательства для американского законодательства в области защиты неприкосновенности частной жизни характерны непоследовательность в регулировании различных видов персональных данных. Кроме того, не существует должностного лица, осуществляющего надзор за национальной политикой в этой области.