Коллектив авторов - Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет
Основной целью документа является создание одинакового режима: граждане ЕС будут иметь те же самые судебные права, как и американские граждане, в случае правонарушений в сфере персональных данных. В настоящий момент если данные граждан ЕС переданы американским правоохранительным органам и если эти данные неправильно или незаконно обработаны, граждане ЕС – нерезиденты США не могут получить компенсацию в американских судах (в отличие от американских граждан, которые имеют право требовать компенсацию в европейских судах).
На практике этот инструмент может работать следующим образом. Например, имя гражданина ЕС попадает в базу данных как лица, подозреваемого в совершении преступления. В дальнейшем лицо оправдано. Между тем его данные могут находиться в своего рода «черном списке», что препятствует, к примеру, получению визы. Если соглашение будет принято, то гражданин ЕС сможет обратиться с требованием удалить сведения о себе из баз данных и получить компенсацию.
Это соглашение дополняет существующее регулирование правоотношений ЕС и США в сфере персональных данных, создавая четкие, согласованные правила защиты данных и устанавливая высокий уровень защиты, в частности:
1) ограничение на использование данных – персональные данные не могут обрабатываться вне согласованных с субъектом данных целей;
2) любая передача данных за пределы США, в не входящую в ЕС страну или международную организацию должна быть подвергнута предварительному согласованию с компетентным органом страны, которая первоначально передала личные данные;
3) личные данные не могут храниться дольше, чем необходимо;
4) субъект данных должен быть наделен правом получения доступа к своим данным, возможностью инициировать их исправление;
5) в случае нарушения условий защиты информации должно быть направлено уведомление о нарушении компетентному органу и в соответствующих случаях субъекту данных.
В случае если органам власти США необходимо передать данные третьей стране или международной организации, следует получить предварительное согласие правоохранительных органов ЕС, изначально передавших данные.
Также относительно трансграничной передачи данных в ЕС функционирует такой инструмент, как стандартные договорные условия (Model Clauses). Гарантии, требуемые ч. 2 ст. 26 Директивы, в частности, могут вытекать из соответствующих договорных условий.
В рамках данного положения Европейской комиссией было принято Решение от 15 июня 2001 г. № 2001/497/ЕС «О стандартных договорных условиях относительно передачи персональных данных третьим странам согласно Директиве 95/46/ЕС». Этот документ адресован государствам – членам ЕС и в отличие от принятых ранее непосредственно устанавливает несколько стандартных вариантов-наборов условий для обеспечения адекватного уровня защиты данных. Операторы данных могут выбрать любой из вариантов, но при этом они не имеют права изменять условия или комбинировать отдельные условия либо комплекты.
Стандартные договорные условия становятся действительными для конкретных субъектов с момента их согласования сторонами. При этом они будут обязательными для исполнения не только организациями, являющимися сторонами договора, но и субъектами данных, в частности, в случаях, когда субъекты данных несут ущерб вследствие нарушения положений договора. Условия своим предметом имеют только вопросы защиты данных. Субъекты отношений могут дополнить соглашения иными положениями, в частности, условиями о взаимной помощи в случаях споров с субъектом данных или с контролирующим органом, которые они считают имеющими прямое отношение к договору. Правом, подлежащим к применению (по общему правилу), является законодательство государства – члена ЕС, в котором учрежден экспортер данных (лицо, осуществляющее передачу данных).
Согласно ст. 1 Решения стандартные договорные условия (в случае их согласования сторонами) расцениваются как достаточные гарантии в отношении защиты неприкосновенности частной жизни и основных прав и свобод физических лиц и в отношении осуществления соответствующих прав согласно требованиям, предусмотренным в ст. 26 (2) Директивы.
Резолюции Европейского парламента 2011/2025 (INI) от 6 июля 2011 г. о комплексном подходе к защите персональных данных в Европейском союзе провозгласили преемственность основных принципов Директивы 95/46/ЕС, но при этом – необходимость значительной доработки отдельных норм касательно трансграничной передачи данных[24].
Итак, что касается проектного внутреннего регулирования в ЕС, то регулированию особенностей передачи персональных данных странам, не входящим в Европейский союз, посвящена отдельная глава проекта Регламента. Передача персональных данных за пределы Европейского союза или в международную организацию может осуществляться в случае наличия решения Европейской комиссии о том, что страна или организация, получающая персональные данные, обеспечивает адекватный уровень защиты персональных данных. При оценке адекватности уровня защиты персональных данных Европейская комиссия принимает во внимание:
1) верховенство закона, уважение прав человека и основных свобод, соответствующего законодательства, как общего, так и отраслевого, правил защиты данных и мер безопасности, в том числе правил дальнейшей передачи персональных данных в иные страны или международные организации, а также существование эффективных и действенных механизмов защиты субъектов персональных данных, включая административную и судебную правовую защиту;
2) существование и эффективное функционирование одного или нескольких независимых надзорных органов в данной стране или в стране, в которой учреждена международная организация, ответственных за обеспечение соблюдения правил защиты данных, включая необходимые полномочия для оказания помощи и консультирования субъектов персональных данных при осуществлении их прав и сотрудничестве с надзорными органами Европейского союза и государств-членов;
3) международные обязательства стран, расположенных за пределами Европейского союза, или международных организаций, вытекающие из их участия в многосторонних или региональных системах, в частности, в отношении защиты персональных данных.
Европейский совет по защите данных может представлять Европейской комиссии мнение для оценки адекватности уровня защиты персональных данных в стране, расположенной за пределами Европейского союза, или в международной организации.
Решение Европейской комиссии может быть отозвано при изменении обстоятельств, влияющих на защиту персональных данных в стране, расположенной за пределами Европейского союза, или в международной организации.
Европейская комиссия должна опубликовать в официальном журнале Европейского союза список стран, территорий, секторов экономической деятельности и международных организаций, в отношении которых были приняты решения об адекватности защиты персональных данных.
В отсутствие решения Европейской комиссии об адекватности защиты данных передача персональных данных возможна при условии надлежащих гарантий оператора персональных данных и (или) обработчика персональных данных.
Во многом реформа сконцентрирована на предоставлении субъектам персональных данных инструментов контроля с одновременным упрощением передачи данных в пределах Европы.
В частности, предусмотрены гораздо более серьезные меры ответственности в случае незаконной передачи данных за пределы ЕС. Так, в случае получения организацией (к примеру, облачным провайдером, социальной сетью, поисковой системой) запроса от третьей страны о предоставлении обрабатываемых на территории ЕС персональных данных выдача таких данных допускается исключительно с разрешения национального органа по защите персональных данных и при условии обязательного информирования субъекта персональных данных о таком запросе.
Кроме того, предложено внедрить очень серьезные санкции в случае нарушения указанного порядка, а именно: штраф организациям, незаконно предоставляющим сведения, в размере до 100 млн евро или до 5 % их годового оборота в мировом масштабе, т. е. даже выше, чем было изначально предложено Европейской комиссией (в размере до 1 млн евро или до 2 % годового оборота в мировом масштабе).
В открытом доступе информация по вопросу регулирования персональных данных, отнесенных к государственной тайне, в ЕС не размещена.
1.2. Совет Европы
1.2.1. Регулирование
Конвенцией Совета Европы «О защите прав человека и основных свобод» от 4 ноября 1950 г. закреплен принцип, согласно которому никто не может подвергаться произвольному вмешательству в личную и семейную жизнь человека, произвольным посягательствам на неприкосновенность жилища, тайну его корреспонденции или на его честь и репутацию.