Коллектив авторов - Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет
1.2. Совет Европы
1.2.1. Регулирование
Конвенцией Совета Европы «О защите прав человека и основных свобод» от 4 ноября 1950 г. закреплен принцип, согласно которому никто не может подвергаться произвольному вмешательству в личную и семейную жизнь человека, произвольным посягательствам на неприкосновенность жилища, тайну его корреспонденции или на его честь и репутацию.
В 1981 г. Совет Европы принял Конвенцию № 108 «О защите прав физических лиц в отношении автоматизированной обработки персональных данных» (заключена в Страсбурге 28 января 1981 г.) (далее – Конвенция СЕ № 108, Конвенция № 108), которая является впервые принятым международным договором, по сути, глобального значения, содержащим юридически обязывающие нормы в области защиты персональных данных. Конвенция СЕ № 108 обеспечивает правовые рамки для передачи персональных данных между странами, которые ее ратифицировали (была открыта для подписания в 1981 г.), и является платформой многостороннего сотрудничества государств-участников на основе равенства. К ней может присоединиться любая страна в мире, имеющая необходимое законодательство в области защиты данных.
Потребность в принятии Конвенции № 108 появилась в связи с расширяющимся использованием компьютеров для административных целей. По сравнению с ручной обработкой данных автоматизированная обработка предоставляет больше возможностей для хранения данных и намного более широкий круг каналов для запросов, которые могут обрабатываться с очень большой скоростью (п. 1 Пояснительного доклада к Конвенции № 108 «О защите прав физических лиц в отношении автоматизированной обработки персональных данных»)[25].
Среди причин принятия Конвенции СЕ № 108 можно отметить следующие:
1) бурное развитие автоматизированной обработки персональных данных и необходимость их защиты в ходе такой обработки;
2) необходимость защиты прав при трансграничной передаче персональных данных;
3) необходимость упорядочивания европейского законодательства, а также законодательства других государств в сфере охраны персональных данных ввиду специфики оборота персональных данных и их трансграничности.
Предметно нормы данной Конвенции распространяются на отношения, формирующиеся при использовании автоматизированных баз персональных данных и автоматизированной обработке персональных данных в государственной и частной сферах (ст. 3). Регулирование данных отношений должно было отвечать основной задаче Конвенции СЕ № 108, которую можно свести к обеспечению реализации прав человека на уважение частной жизни и свободу информации, зафиксированных в ст. 8 и 10 Европейской конвенции о защите прав человека и основных свобод.
Другими словами, основной ценностью, которую защищает Конвенция, является прежде всего право на личное пространство, способом обеспечения которого выступает неприкосновенность частной информации, принадлежащей лицу, и частных данных, позволяющих достоверно установить лицо и, главное, связаться с ним.
В связи с изложенным Конвенция СЕ № 108 устанавливает перечень обязательств государств-участников, направленных на контроль и оптимизацию процессов обработки данных, среди которых можно отметить:
1) предотвращение случайного или несанкционированного уничтожения либо случайной потери данных;
2) предотвращение несанкционированного доступа, их изменения или распространения персональных данных;
3) соблюдение при автоматизированной обработке персональных данных принципов справедливости, законности, пропорциональности, адекватности, точности, конфиденциальности, уведомления субъекта данных и его права на доступ к данным о себе (ст. 7, 8).
Поскольку условия и методы работы с данными зависят от назначения последних, Рабочей группой Совета Европы были выработаны специальные рекомендации для регулирования обработки (включая трансграничную передачу данных) в следующих секторах: в медицинском (картотеки и практика)[26], научно-исследовательском[27], рекламном бизнесе[28], в секторе социального обеспечения[29], в полицейском[30], трудоустройства[31], в финансовом[32], телекоммуникационных услуг[33], в статистике[34], во время передачи государственным органам третьих стран[35], защиты приватности в Интернете[36], страхования[37] и в контексте профилирования[38] персональных данных[39].
Другим важнейшим документом является разрабатываемый вариант модернизированной Конвенции о защите персональных данных Совета Европы (CAHDATA, Модернизированный вариант Конвенции № 108)[40]. Так, 30 ноября 2012 г. Комитет сторон Конвенции СЕ о защите физических лиц в отношении автоматизированной обработки персональных данных от 28 января 1981 г. завершил подготовку предложений по модернизации Конвенции и направил их на рассмотрение Комитета министров СЕ. Инициатива по модернизации Конвенции предполагает отражение в ее тексте современного уровня развития информационных и иных технологий, учет состояния общественных отношений в сфере использования персональных данных, современных вызовов и угроз, обусловленных постоянно расширяющимися возможностями обработки данных большого числа индивидов, возможностями использования специфических персональных данных, полученных путем их автоматизированной обработки (выводы, характеризующие поведение человека, его ценностные и иные установки, политические, потребительские предпочтения). Подготовленные Комитетом сторон Конвенции предложения отличает общая концептуальная направленность на унификацию положений Конвенции с правилами, действующими в Европейском союзе.
1.2.2. Определение персональных данных
В ст. 2 Конвенции СЕ № 108 указано, что под персональными данными понимается информация, касающаяся определенного лица или лица, которое может быть идентифицировано с помощью данной информации.
CAHDATA под персональными данными понимает любую информацию об определенном или определяемом лице (о субъекте данных).
Конвенция СЕ № 108 не уточняет, какие именно сведения относятся к персональным данным. Таким образом, можно сделать вывод, что дефиниция носит абстрактный характер.
В то же время ст. 6 Конвенции СЕ № 108 устанавливает «особую категорию данных», к которым относятся: персональные данные о национальной принадлежности, политических взглядах либо о религиозных или иных убеждениях, а равно персональные данные, касающиеся здоровья или сексуальной жизни, судимости. Указанные персональные данные могут подвергаться автоматической обработке только в тех случаях, когда национальное право предусматривает надлежащие гарантии их защиты. Таким образом, происходит некоторая конкретизация понятия «персональные данные», описывается, какие сведения о человеке могут относиться к «особым» персональным данным, т. е. в любом случае являются персональными данными.
Рекомендация CM/Rec(2010)13 Комитета министров странам-членам по вопросам защиты частных лиц в связи с автоматизированной обработкой персональных данных в контексте профилирования граждан (утверждена Комитетом министров 23 ноября 2010 г. на заседании № 1099 постоянных представителей министров)[41] употребляет термин «чувствительные данные», под которыми понимаются персональные данные, раскрывающие расовое происхождение, политические взгляды, религиозные и иные верования, а также данные о состоянии здоровья, сексуальной жизни или уголовных судимостях и другие данные, определяемые как чувствительные местным законодательством.
CAHDATA предлагает расширить перечень чувствительных данных, включив в него генетические и биометрические данные (при этом в тексте предлагается сохранить оценочное требование об установлении надлежащих гарантий прав субъектов персональных данных при обработке таких данных).
1.2.3. Субъекты отношений в области обеспечения конфиденциальности персональных данных
Понятие субъекта персональных данных в Конвенции СЕ № 108 не раскрывается, однако по смыслу, в котором это понятие употребляется (идентификация субъекта данных, право быть осведомленным о существовании автоматизированной базы персональных данных, «право быть забытым» и др.), можно сделать вывод, что это – лицо, которое идентифицируется с помощью персональных данных и которому принадлежат персональные данные. Такой же подход применен и в российском законодательстве.
Среди дополнительных гарантий субъектов персональных данных в Конвенции СЕ № 108 выделяются следующие:
1) право быть осведомленным о существовании автоматизированной базы персональных данных, о ее главных целях, а также о контролере базы данных;