Информационно-аналитические материалы Государственной Думы

АЗ, 2005, ноябрь К проекту федерального закона 217346-4 "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных"


Международные правовые нормы в сфере защиты
персональных данных

     Институт защиты персональных данных сегодня уже не является той категорией, которую можно регулировать только национальным правом. Важнейшей особенностью современных автоматизированных информационных систем является наднациональность многих из них, выход их за пределы границ государств.
    Встает также вопрос о том, в какой мере национальные законы о защите данных обеспечивают адекватную защиту для личности, когда касающаяся ее информация передается через границы. Компьютеры в сочетании с телекоммуникациями открывают новые возможности для обработки информации на международном уровне. Они позволяют преодолеть разного рода барьеры, препятствующие коммуникации: расстояние, время, язык и издержки. Компьютерные сети позволяют пользователям получать доступ к информационным системам отдаленных стран или связывать их.
    Даже в отношениях между государствами, имеющими сходные системы защиты данных, возникают правовые проблемы, связанные как с самим правовым регулированием, так и с практическим его применением. Когда в автоматическую обработку персональных данных вовлечены стороны из разных стран (например, банк данных в одной стране связан с терминалами в других странах), не всегда легко определить, юрисдикции какого государства она подчиняется и чье национальное право следует применять.
    Кроме того, лица, проживающие в одной стране, могут сталкиваться с трудностями, когда они хотят воспользоваться своим правом в отношении автоматизированных баз данных в других странах.
    Существует опасность того, что расхождения в национальных законодательствах могут помешать свободному обмену персональными данными между странами; объемы передачи этих данных в последние годы существенно возросли и будут продолжать увеличиваться по мере повсеместного внедрения новых компьютерных и телекоммуникационных технологий.
     В силу изложенных выше причин была выдвинута идея о создании на международном уровне механизмов, которые позволяли бы государствам иметь информацию и консультировать друг друга по вопросам защиты данных.
    Можно выделить три основные тенденции международно-правового регулирования института защиты персональных данных, относимого к процессам автоматизированной обработки информации.
     1) Декларирование права на защиту персональных данных как неотъемлемой части фундаментальных прав человека в актах общегуманитарного характера, принимаемых в рамках международных организаций.
     2) Закрепление и регулирование права на защиту персональной информации в актах регулятивного характера Европейского Союза, Совета Европы, отчасти Содружества Независимых Государств и некоторых региональных международных организаций. Этот класс норм - наиболее универсальный и непосредственно касается прав на защиту персональных данных в процессах автоматизированной обработки информации.
    3) Включение норм об охране конфиденциальной информации (в том числе, и персональной) в международные договоры.
    Первый способ - исторически появился раньше остальных. В современном мире информационные права и свободы являются неотъемлемой частью фундаментальных прав человека. Всеобщая декларация прав человека 1948 г. провозглашает: Никто не может подвергаться произвольному вмешательству в личную и семейную жизнь, произвольным посягательствам на тайну его корреспонденции ,   Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств . Европейская Конвенция 1950 г. о защите прав человека и основных свобод детализирует это право: Каждый человек имеет право на свободу выражения своего мнения. Это право включает свободу придерживаться своего мнения, получать и распространять информацию и идеи без вмешательства со стороны государственных органов и независимо от государственных границ .
     В настоящее время на международном уровне сформировалась устойчивая система взглядов на информационные права человека. В обобщенном плане это - право на получение информации, право на частную жизнь с точки зрения охраны информации о ней, право на защиту информации как с точки зрения безопасности государства, так и с точки зрения безопасности бизнеса, включая финансовую деятельность.
    Второй способ более детального регулирования права на защиту персональной информации связан со все возрастающей в последние годы интенсивностью обработки персональной информации с помощью автоматизированных компьютерных информационных систем. В последние десятилетия в рамках ряда международных организаций были приняты  международные документы, развивающие основные информационные права в связи с интенсификацией трансграничного обмена информацией и использованием современных информационных технологий. Среди таких документов можно назвать следующие.
    В Европейском Союзе вопросы защиты персональных данных регулируются целым комплексом документов. В 1979 г. была принята Резолюция Европейского парламента О защите прав личности в связи с прогрессом информатизации . Резолюция предложила Совету и Комиссии Европейских сообществ разработать и принять правовые акты по защите данных о личности в связи с техническим прогрессом в области информатики. Вопросы защиты персональных данных детально регламентируются директивами Европейского парламента и Совета Европейского Союза. Это Директива 95/46/EC от 24 октября 1995 года О защите физических лиц в отношении обработки персональных данных и о свободном движении таких данных , Директива 97/66/EC от 15 декабря 1997 года, касающаяся обработки персональных данных и охраны тайны частной жизни в телекоммуникационном секторе.  Желание прямо распространить требования Директивы о защите данных на Интернет вызвало к жизни Директиву 2002/58/EC от 12 июля 2002 г. об обработке личных данных и защите личной тайны в сфере электронных коммуникаций, которая призвана заменить Директиву об обработке данных в телекоммуникационном секторе, регулировавшую схожую сферу отношения, но не учитывавшую современных реалий электронной связи.
     Акты Европейского Союза характеризуются детальной проработкой принципов и критериев автоматизированной обработки данных, прав и обязанностей субъектов и держателей персональных данных, вопросов их трансграничной передачи, а также ответственности и санкций за нанесение ущерба. В соответствии с Директивой 95/46/EC в Европейском Союзе создана Рабочая группа по защите индивидуумов в отношении обработки их персональных данных. Она имеет статус консультативного органа и действует в качестве независимой структуры. Рабочая группа состоит из представителя органа, созданного каждым государством-участником для целей надзора за соблюдением на своей территории положений Директивы, представителя органа или органов, учрежденных для институтов и структур Сообщества, и представителя Еврокомиссии. Каждая страна - участник Европейского Союза приняла свое законодательство в соответствии с Директивой ЕС.
    В рамках Организации по экономическому сотрудничеству и развитию (ОЭСР) была разработана Директивы о соблюдении неприкосновенности частной жизни и международных обменов персональными данными, которая была приняты 23 сентября 1980 года. В преамбуле этой Директивы говорится: +Страны - члены ОЭСР сочли необходимым разработать Основные положения, которые могли бы помочь унифицировать национальные законы о неприкосновенности частной жизни и, обеспечивая соблюдение соответствующих прав человека, вместе с тем не допустили бы блокирования международных обменов данными+ . Настоящие положения применяются как в государственном, так и в частном секторе к персональным данным, которые либо в связи с процедурой их обработки, либо в связи с их характером или контекстом их использования несут в себе угрозу нарушения неприкосновенности частной жизни и индивидуальных свобод. В ней определена необходимость обеспечения персональных данных должными механизмами защиты от рисков, связанных с их потерей, уничтожением, изменением или разглашением, несанкционированным доступом. Указанная Директива служит основой соответствующего законодательства многих стран мира.
    Совет Европы в 1980 г. разработал Конвенцию о защите физических лиц при  автоматизированной обработке персональных данных, вступившую в силу в 1985 г. Российская Федерация присоединилась к Конвенции в ноябре 2001 года.
     Межпарламентской ассамблеей государств - участников СНГ 16 октября 1999г. принят Модельный Закон О персональных данных . По закону Персональные данные - информация (зафиксированная на материальном носителе) о конкретном человеке, которая отождествлена или может быть отождествлена с ним. К персональным данным относятся биографические и опознавательные данные, личные характеристики, сведения о семейном, социальном положении, образовании, профессии, служебном и финансовом положении, состоянии здоровья и прочие. В законе также перечислены принципы правового регулирования персональных данных, формы государственного регулирования операций с персональными данными, права и обязанности субъектов и держателей персональных данных.
    Так или иначе, все перечисленные документы составляют единое логическое целое и последовательно развивают один и тот же подход к персональным данным.
    В указанных актах определены основные принципы организации автоматизированной обработки данных личного характера и обеспечения права граждан на защиту персональных данных:
    - данные персонального характера должны быть собраны только для определенных целей и в строгом соответствии с законом;
     - данные должны соответствовать требованиям, быть точными, полными и вовремя обновленными;
     - цели, для достижения которых собираются и обрабатываются персональные данные, должны быть определены и утверждены до начала деятельности;
     - в системах учета персональных данных должны быть внедрены механизмы, предотвращающие потери или неправильное (или злоумышленное) использование персональных данных;
     - деятельность организаций (как государственных, так и частных), имеющих базы данных, содержащих персональные данные, должна быть открытой. Такие организации должны предоставить возможность заинтересованным лицам и контролирующим органам убедиться в легитимности обработки персональных данных и целей этой обработки; граждане должны иметь право доступа к данным о них, которые хранятся и обрабатываются, а также должны иметь возможность требовать, чтобы соответствующие данные о них были изменены или исключены;
     - должно быть предусмотрено создание независимого контролируемого органа как важного элемента защиты личности при автоматизированной обработке информации личного характера.
    Перечисленные принципы относятся ко всем структурам (государственным, частным, общественным), работающим с персональными данными. Во всех указанных международных документах содержатся исключения. При этом главным критерием для возможности ограничения прав субъектов персональных данных и симметричного расширения прав распорядителей этими данными является безопасность гражданина, общества, государства при соблюдении фундаментальных прав и свобод граждан-субъектов персональных данных.
    Следует отметить, что все международные документы предписывают создание соответствующей властной структуры, которая должна обеспечивать гарантии субъектов персональных данных и регулировать оборот этих данных. Эта структура должна иметь полномочия и обязанности:
    -  принимать и рассматривать жалобы, связанные с нарушением законных интересов всех сторон;
     - проводить расследования, связанные с надзором за соблюдением законодательства в области персональных данных;
     -   вмешиваться в процесс обработки персональных данных;
    - обращаться в суды для возбуждения дел по факту нарушения соответствующего законодательства;
    -   отчитываться перед обществом о своей деятельности.
    Представляется, что рассмотренный второй способ нормативного регулирования защиты персональных данных в международных правовых актах является наиболее интересным для анализа. Нормы этого класса не только непосредственно регулируют общественные отношения в этой области, но и способствуют приведению законодательства стран-членов к международным стандартам, обеспечивая действенность этих норм на их территории.
     Третий способ - закрепление норм о защите персональных данных  в международных договорах. Статьи об обмене информацией включаются в международные договоры о правовой помощи, об избежании двойного налогообложения, о сотрудничестве в определенной общественной, культурной сфере.


Конвенция Совета Европы о защите физических лиц при
автоматизированной обработке персональных данных

     
     В связи с тем, что увеличивающееся использование автоматизированной обработки персональных данных за последние несколько десятилетий усилило риск незаконного использования персональных данных и облегчило их передачу между странами с большими различиями в уровне защиты персональных данных, в 1976 году Комитет Министров Совета Европы поручил Комитету экспертов по защите данных, созданному под эгидой Европейского комитета по правовому сотрудничеству, подготовить  Конвенцию  о  защите физических лиц при обработке персональных данных, осуществляемой на международном уровне. С ноября 1976 года по май 1979 года Комитет по защите данных провел четыре заседания. Рабочая группа, составленная из экспертов, представляющих Австрию, Бельгию, Францию, ФРГ, Италию, Нидерланды, Испанию, Швецию, Швейцарию и Великобританию, несколько раз собиралась между пленарными заседаниями Комитета с тем, чтобы разработать общую философию, а также уточнить детали проекта Конвенции. В апреле 1980 года другой комитет экспертов пересмотрел и доработал текст. Он был одобрен Европейским комитетом по правовому сотрудничеству и утвержден Комитетом Министров, который решил открыть Конвенцию для подписания 28 января 1981 года.
    Согласно требованиям Конвенции страны могут обмениваться персональными данными, в том числе данными о лицах, совершивших преступления или подозреваемых в совершении преступления, только при условии, что в странах, обменивающихся подобными сведениями, соблюдаются правовые требования, предписанные Конвенцией.
    Конвенция устанавливает требования, предъявляемые к самим персональным данным, определяет принципы справедливого и законного сбора и использования данных. Согласно ст. 2 Конвенции под персональными данными понимается любая информация, касающаяся определенного или поддающегося определению физического лица.
     Для того чтобы стать участником Конвенции государство должно гарантировать, что его национальное законодательство содержит содержащиеся в Конвенции основные принципы, связанные с персональными данными каждого индивида на их территории (ст. 4).
     Кратко характеризуя содержание Конвенции, необходимо отметить закрепление ряда важных, широко признанных принципов охраны персональных данных (ст. 5), таких как:
- законность способов получения персональных данных;
- их хранение для определенных и законных целей, с запретом на использование, несовместимое с этими целями;
- адекватность объема данных целям их сбора и хранения;
- соответствие персональных данных действительности, с регулярным их обновлением, когда это необходимо;
- хранение персональных данных в форме, позволяющей идентифицировать субъектов данных в течение срока, не превышающего тот, который оправдан целью их хранения.
     Конвенция содержит прямой запрет на автоматизированную обработку таких особых категорий персональных данных как сведения о расовой принадлежности, о политических, религиозных и других убеждениях, о половой жизни, а также о судимостях лица, при отсутствии во внутреннем праве соответствующих гарантий их охраны. Устанавливаются требования по защите информации от случайного или незаконного доступа, изменения и распространения. Субъекты данных должны быть обеспечены правами:
- знать о существовании соответствующего автоматизированного файла, его основных целях, а также - о местонахождении организации, контролирующей эти данные;
- получать в разумные промежутки времени и без чрезмерных расходов подтверждения о факте хранения автоматизированного файла с персональными данными, а также содержание такого файла в понятной для субъекта форме;
- требовать исправления или удаления данных, если они обрабатываются в противоречии с нормами национального законодательства, соответствующего Конвенции;
- иметь средства правовой защиты, в случаях несоблюдения вышеперечисленных прав.