<<
>>

Правовые принципы защиты персональных данных в Европейском Союзе

В переводе с латинского слово принцип означает «основа» или «первоначало». В теории права под правовыми принципами понимаются руководящие идеи, которые выражают сущность, основные свойства и общую направленность развития правовых норм в пределах системы права либо ее отдельных отраслей, подотраслей или институтов.

Принципы права, как категории сущностного порядка, по мнению О.В. Смирнова, определяют содержание не только действующих, но, в известной степени, и будущих норм1. Степень правомерности соглашений, заключаемых государствами в пределах международных и региональных организаций, прежде всего, оценивается с точки зрения их соответствия основополагающим правовым принципам, действующим в рамках данной организации.

Общие принципы современного права Европейского Союза, обладая универсальным характером, являют собой фундамент регулирования всего комплекса отношений между Союзом и его государствами-членами. От того, в какой мере они соблюдаются, зависит реализация правопорядка в ЕС.

А.И. Абдуллин констатирует, что принципы европейского права - это основные руководящие начала, определяющие сущность правопорядка Союза, пронизывающие собой все правоотношения, складывающиеся в рамках ЕС между его субъектами[107][108].

Согласно классификации принципов права ЕС, предложенной в отечественной литературе[109], принципы защиты персональных данных могут быть классифицированы как специальные принципы права ЕС. Эта группа

является одной из самых многочисленных, ее составляют принципы отраслей, подотраслей и институтов права ЕС.

Таким образом, принципы защиты персональных данных можно определить как основные руководящие начала, которые выражают сущность, основные свойства и общую направленность развития правовых норм в пределах подотрасли права на защиту персональных данных физических лиц в Европейском Союзе, и относящиеся к специальным принципам права ЕС.

Они нашли отражение в важнейших правовых документах Союза и служат гарантом законности в обеспечении взаимодействия между государствами- членами и в реализации норм, созданных ими.

Являясь частью общего права Европейского Союза, подотрасль права на защиту персональных данных основывается на его предписаниях о субъектах, принципах, источниках, ответственности и взаимодействует с другими его отраслями, подотраслями и институтами, прежде всего, с отраслью информационного права ЕС, а также с некоторыми другими. Таким образом, принципы защиты персональных данных находятся в непосредственной взаимосвязи с принципами информационного права ЕС, базируются на них. Они не могут противоречить общим правовым принципам и ценностям Союза.

Долгое время ключевой проблемой европейского правового регулирования обработки и передачи персональных данных была необходимость достижения консенсуса относительно фундаментальных принципов, на которых должна была основываться защита данных. Так как без этого было невозможно разрешение конфликта законодательств государств-членов при трансграничной передаче данных.

До определенного момента в ЕС не существовало единого акта, закрепляющего основы обеспечения защиты персональных данных физических лиц, в котором специальные принципы в данной области получили бы свое отражение. Впервые принципы защиты персональных данных были изложены в Директиве 95/46/ЕС (Директива 1995 г.). Так, в ст.

6 «принципы, касающиеся качества данных» разд. I Директивы были сформулированы следующие шесть принципов:

- принцип законности;

- принцип целевой определенности;

- принцип минимальности;

- принцип качества информации;

- принцип ограничения хранения;

- принцип ответственности контролера.

Данные принципы представляли собой не только отправные начала для принятия последующих правовых норм о защите персональных данных, но и сами обладали нормативной силой. Принципы были введены в качестве нормативных правил в законодательства государств-членов ЕС посредством имплементации Директивы, и служили направляющими ориентирами для уполномоченных органов по защите персональных данных при осуществлении ими своей правоприменительной деятельности.

Проведенная масштабная реформа правового регулирования защиты персональных данных на уровне Европейского Союза, помимо прочего, затронула основные принципы защиты данных.

В положениях Регламента (ЕС) 2016/679 и Директивы (ЕС) 2016/680 закреплены идентичные правовые принципы защиты данных. При этом Директива представляет собой нормативный правовой акт, предметом регулирования которого являются общественные отношения в специфической сфере, возникающие при обработке персональных данных компетентными правоохранительными органами государств-членов ЕС. Тем не менее, в части, касающейся принципов, она практически полностью копирует Регламент, за исключением некоторых нюансов, обусловленных спецификой данного документа (содержатся в п. 2, 3 ст. 4 Директивы).

Приверженность принципам защиты данных декларируется уже во многих положениях вводной части Регламента. Так, в п. 2 говорится о том, что принципы и правила защиты физических лиц в отношении обработки их

персональных данных должны уважать основные права и свободы, в частности право на защиту персональных данных, независимо от гражданства этих лиц или места жительства.

Именно принципы являются основополагающими началами реализации правового регулирования защиты персональных данных, на основании и с учетом соблюдения которых должны приниматься все нормативные правовые акты ЕС и государств-членов в рассматриваемой области. В настоящее время отсутствует единое мнение в вопросах количества и содержания специальных принципов защиты персональных данных, что, на наш взгляд, существенно усложняет работу специалистов в области европейского права, как в отношении систематизации принципов, так и в определении самостоятельности данной подотрасли права.

Некоторые из принципов сформулированы в ст. 5 «принципы обработки персональных данных» Регламента, однако их содержание в данной статье подробно не раскрывается. Кроме того, из положений Регламента можно вывести и другие принципы, имеющие важное значение для правового регулирования защиты персональных данных в Европейском Союзе.

В связи с вышесказанным считаем необходимым выделить существующие на сегодняшний день принципы защиты персональных данных в ЕС, а также раскрыть их содержание.

1. Принцип легитимной, справедливой и прозрачной обработки

Как следует из положения ст. 5 (п. 1 (а)) Регламента, персональные данные должны обрабатываться одновременно легитимно, справедливо и прозрачно по отношению к физическому лицу. Данный принцип является базовым, поскольку на нем основываются все последующие правовые принципы. По сравнению с положениями Директивы 1995 г., формулировка данного принципа была расширена и дополнена термином «прозрачно».

Каждая из составляющих данного принципа должна являться неотъемлемой частью операций по обработке данных. Легитимность, справедливость и прозрачность обработки декларируются в вводной части

Регламента и в ст. 5, однако суть каждой из трех составляющих данного принципа раскрывается в положениях основной части Регламента.

Для того чтобы обработка была легитимной, персональные данные должны обрабатываться на основании согласия заинтересованного физического лица или какой-либо другой правовой основы, установленной либо настоящим Регламентом, либо иными правовыми актами Союза или государств-членов, в соответствии с положениями Регламента. Из положений Регламента можно сделать вывод о том, что обработка также должна считаться легитимной в контексте договора или намерения заключить договор. Обработка персональных данных будет считаться легитимной, если она проводится с целью защиты существенных интересов, в том числе жизни, субъекта данных или другого физического лица. Кроме того, обработка данных будет являться легитимной, если она служит не только жизненно важным интересам физического лица, но и когда ее основой выступает общественный интерес, например, обработка проводится с целью мониторинга эпидемий и их распространения, в гуманитарных целях и т. д. Ст. 6 Регламента конкретизирует принцип легитимности, в частности, определяет, при каких именно обстоятельствах и в какой степени обработка должна считаться законной.

Понятие справедливости является абстрактным, и его содержание меняется с течением времени. Применительно к использованию персональной информации оно предполагает, что в ходе достижения целей обработки данных контролеры должны принимать во внимание законные интересы и все разумные ожидания физических лиц, связанные со сбором и обработкой их личной информации. Кроме того, сбор и дальнейшая обработка персональных данных должны осуществляться способом, который ни при каких обстоятельствах не приведет к вторжению в частную жизнь физического лица без достаточных и разумных к тому оснований, равно как не приведет к посягательству на автономность и неприкосновенность личности физического лица - субъекта данных.

Принцип справедливости означает, что контролер не оказывает на физическое лицо избыточного давления с целью получения данных о нем либо с целью принятия последним условий о том, что эти данные обрабатываются контролером в его частных интересах. Следовательно, принцип справедливости служит определенным правовым буфером от злоупотреблений со стороны контролера при сборе или обработке личных данных. Таким образом, принцип справедливости основывается на балансе и пропорциональности интересов физического лица и контролера данных.

Что касается прозрачности обработки, то физическим лицам должно быть известно, каким образом, и в какой степени их личные данные собираются, обрабатываются или используются (или будут использоваться) иным образом. Принцип прозрачности требует, чтобы любая информация, связанная с обработкой персональных данных, была доступна и понятна, а также, при необходимости, сопровождалась визуализацией, а контролер при коммуникации с физическим лицом изъяснялся простым и понятным языком. Физические лица также должны быть осведомлены о рисках, правилах, гарантиях и их правах в отношении обработки персональных данных, а также способах осуществления своих прав в отношении такой обработки. Всю необходимую информацию о целях обработки персональных данных (они должны быть ясными и законными), лицо должно получить до момента начала сбора его личных данных.

Такая информация может предоставляться в электронной форме, например, при обращении через веб-сайт.

Принцип прозрачности информации приобретает особую актуальность в современных условиях, когда увеличение количества Интернет-трафика и технологическая сложность используемых алгоритмов затрудняют коммуникацию с физическим лицом и понимание им того, кем и с какой целью собираются его личные данные, например, в случае онлайн-рекламы. В этой связи включение его в перечень основных принципов, установленных в Регламенте, следует считать необходимым и рациональным шагом.

Таким образом, принцип легитимной, справедливой и прозрачной обработки является базовым и находит свое развитие во многих положениях Регламента, как в водной, так и в основной части. Например, в ст. 6 приводится исчерпывающий перечень условий, при которых обработка должна считаться законной. Этому принципу полностью посвящена Секция 1 «прозрачность и условия» Главы III «права субъекта данных». С данным принципом соотносятся остальные принципы защиты персональных данных, представленные в Регламенте и Директиве.

2. Принцип минимизации данных

Персональные данные должны быть адекватными, ограниченными и не избыточными в отношении целей, для которых они обрабатываются (ст. 5, п. 1 (с) Регламента). Суть данного принципа сводится к следующему. Для того чтобы соблюдались права физического лица, объем обрабатываемых персональных данных должен быть строго ограничен информацией, необходимой для достижения целей, в соответствие с которыми проводится обработка. Личные данные должны обрабатываться только в том случае, если цель обработки не может быть рационально осуществлена другими способами.

Для реализации принципа минимизации данных контролер должен, принимая во внимание современное состояние, стоимость реализации и характер, объем, контекст и цели обработки, а также риски различной степени вероятности и серьезности для прав и свобод физических лиц, создаваемые обработкой, как во время определения средств обработки, так и во время самой обработки внедрять соответствующие технические и организационные меры (например, псевдонимизацию) эффективным способом в целях удовлетворения требований Регламента и защиты прав физических лиц (ст. 25 Регламента).

Принцип минимизации имеет важное значение в отношение обработки специальных категорий персональных данных. Так, при обработке персональных данных для целей архивирования в общественных интересах,

научных или исторических исследований или статистических целей должно гарантироваться соблюдение прав и свобод субъекта данных, закрепленных в Регламенте, а также обеспечиваться соблюдение принципа минимизации данных посредством соответствующих технических и организационных мер.

В ст. 9 Регламента содержится положение о порядке обработки чувствительных категорий данных (раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения лица и т.д.), которая возможна лишь в определенных случаях, в частности: если физическое лицо дало согласие на обработку таких данных для одной или нескольких конкретных целей; если обработка необходима по соображениям существенного общественного интереса на основании права Союза или государства-члена и будет пропорциональна преследуемой цели.

Значение данного принципа сложно переоценить, особенно в условиях развития сети Интернет, компьютерных и коммуникационных технологий. К примеру, когда лицо приобретает какой-либо медицинский препарат или книгу на интимную тематику на веб-сайте, данная покупка может быть зарегистрирована на его имя, либо на никнейм, либо на другой идентифицирующий параметр. Однако при этом нельзя предположить с уверенностью, что покупка напрямую связана с личной потребностью приобретателя в данном товаре, с его личным вкусом или с личной необходимостью. В подобных случаях, когда речь идет об информации, связанной с интимной жизнью человека (относящейся к категории чувствительных данных), роль принципа минимизации значительно возрастает, поскольку последующая обработка персональных данных в масштабе большем, чем это было предусмотрено в момент сбора таких данных, может способствовать накоплению излишней ошибочной информации, ненужному анализу, ложным выводам.

3. Принцип ограничения цели обработки

Сбор персональных данных разрешен только для определенных, ясных и законных целей и в дальнейшем данные не должны обрабатываться для

целей, отличных от первоначальных; при этом дальнейшая обработка для целей архивирования в общественных интересах, в научных, исторических исследовательских или статистических целях, как это определено в ст. 89 (п. 1), не считается несовместимой с первоначальными целями (ст. 5, п. 1 (b) Регламента). Данный принцип получил в положениях Регламента новое расширительное толкование, по сравнению с его дефиницией в Директиве 1995 г.

Как устанавливает И.А. Вельдер, принцип ограничения цели изначально вводился в Директиву 1995 г. во многом с целью обеспечить определенную предсказуемость результата обработки персональных данных, равно как и обеспечить соответствие результата и способа обработки данных разумным ожиданиям физических лиц1.

Ранее независимый консультативный орган Европейского Союза (Рабочая группа статьи 29) отмечал, что оценка совместимости любой операции по обработке данных с первичными целями обработки представляется одной из наиболее сложных и важных задач в надзоре за соблюдением правовых актов о защите данных[110][111]. В Регламент были введены положения, призванные конкретизировать этот вопрос. Так, контролер должен удостовериться, совместима ли обработка для другой цели с той целью, для которой первоначально собирались персональные данные. В случае, если предполагаемая обработка будет проводиться с целью, которая отлична от той, для которой были первоначально собраны личные данные, и если такая обработка не предполагает в качестве правовой основы согласие физического лица или нормативный акт Союза или государства-члена, но такая обработка представляет собой необходимую и пропорциональную меру в демократическом обществе и проводится в целях, указанных в п. 1 ст. 23 Регламента, то контролер с целью обеспечения применения данного принципа должен учитывать, в частности:

- любую связь между целью, с которой были собраны личные данные, и целями предполагаемой дальнейшей обработки;

- контекст, в котором собирались персональные данные, в том числе взаимосвязи между физическими лицами и контролером;

- природу персональных данных (специальные категории персональных данных; данные, связанные с уголовными обвинительными приговорами и правонарушениями и т.д.);

- возможные последствия предполагаемой дальнейшей обработки данных;

- наличие соответствующих охранных средств, которые могут включать в себя шифрование или псевдонимизацию.

Если контролер намерен продолжить обработку персональных данных для цели, отличной от той, для которой были получены персональные данные, он должен предоставить физическому лицу до начала такой дальнейшей обработки информацию о ее цели и любую дополнительную уместную информацию, указанную в п. 2 ст. 13 или п. 2 ст. 14 Регламента.

Данные, которые были изначально собраны для других целей, могут обрабатываться для целей архивирования в общественных интересах, в научных, исторических исследовательских или статистических целях, по смыслу п. 1 ст. 89, только при наличии гарантий того, что будут использованы все необходимые технические и организационные меры. Эти меры могут включать в себя псевдонимизацию, если указанные цели могут быть достигнуты только с ее помощью. Если цели могут быть осуществлены путем обработки, которая не позволяет идентифицировать физических лиц, то эти цели должны выполняться без использования псевдонимизации.

Таким образом, значение принципа ограничения цели обработки заключается в том, что он призван воспрепятствовать бесконтрольному распространению персональной информации, полученной контролером от физических лиц, что особенно актуально в рамках сети Интернет. К примеру, при участии лица в каком-либо опросе или голосовании контролер, следуя

принципу ограничения цели, не имеет права использовать полученные от него персональные данные для целей рекламы, маркетинга и т.д.

4. Принцип точности данных

Персональные данные должны быть точными и обновляться при необходимости; должны быть предприняты все необходимые меры для обеспечения того, чтобы персональные данные, которые являются неточными, с учетом целей их обработки, были удалены или исправлены без задержки (ст. 5 п. 1 (d) Регламента).

Регламент, как и ранее Директива 1995 г., связывает точность данных преимущественно с целями их сбора и обработки, не квалифицируя при этом потребности и нужды физических лиц. Так, определение конкретных целей, в соответствии с которыми должна проводиться проверка точности данных, в Регламенте отдано на усмотрение контролеров так же, как и определение уровня релевантности данных. Интересы физического лица и контролера будут совпадать лишь в том случае, если уровень релевантности данных, определенный контролером, будет соответствовать ожиданиям лица и его представлениям о необходимом уровне точности предоставляемой им информации.

Тем не менее, Регламент требует, чтобы контролер предпринимал все необходимые действия в том, что касается обеспечения точности данных и их актуальности. К примеру, он должен принять решение об удалении либо обновлении данных на основании собственной оценки имеющихся в наличии сведений и с учетом доступных ресурсов и технических возможностей. Во избежание появления ошибок и неточностей в обрабатываемых данных проверка актуальности данных должна проводиться контролером регулярно и, как предполагается, до начала любой обработки.

Учитывая, что определение конкретных целей, в соответствие с которыми происходит определение уровня релевантности данных входит в компетенцию контролера, может показаться, что данный принцип защищает

в первую очередь интересы контролера данных, который может устанавливать собственные пределы точности и актуальности данных.

Однако из положений Регламента, а конкретно статей 15, 16, 17, 18 и других, следует, что принцип точности данных непосредственно связан с осуществлением физическим лицом права на исправление, права на забвение, права на ограничение обработки данных и др. Так, физическое лицо имеет право на доступ и информацию о своих данных и, при обнаружении неточностей, вправе требовать от контролера исправления неточных личных данных, касающихся его, без неоправданной задержки; вправе требовать ограничения обработки данных, если точность персональных данных оспаривается лицом в течение периода, позволяющего контролеру проверить их соответствие действительности; вправе требовать удаления неточных персональных данных, касающихся его, без неоправданной задержки. Физическое лицо также имеет право предоставлять неполные персональные данные, если это позволяют цели обработки, в том числе путем подачи дополнительного заявления.

Все вышеизложенное означает, что принцип точности данных чрезвычайно важен в контексте использования физическим лицом своих неотъемлемых прав, поскольку этот принцип гарантирует соответствие предоставленной информации действительности, в чем должен быть заинтересован каждый пользователь. В свою очередь обязанность проверять точность и актуальность информации возложена на контролера. Новшеством Регламента является обязанность контролера, в числе прочего, осуществлять необходимые технические и организационные меры (например, математические процедуры профилирования) с целью недопущения появления ошибок и неточностей в данных.

5. Принцип ограничения хранения данных

Персональные данные должны храниться в форме, которая позволяет идентифицировать субъектов данных не дольше, чем это необходимо для целей, в соответствии с которыми они обрабатываются (ст. 5 п. 1 (e)

Регламента). Также предусматривается, что персональные данные, собранные исключительно для целей архивирования в общественных интересах, научных, исторических, исследовательских или статистических целях могут храниться на протяжении более длительного промежутка времени при условии соблюдения соответствующих технических и организационных мер, установленных Регламентом для защиты прав и свобод физических лиц (ст. 89).

Принцип ограничения хранения данных тесно связан с рассмотренным выше принципом минимизации данных и даже в определенной степени является производным от него. При этом нельзя умалять его значение как самостоятельного принципа защиты персональных данных. Ценность принципа ограничения хранения заключается в том, что он запрещает контролерам накапливать неиспользуемые данные с их привязкой к определенному лицу по убеждению, что они когда-нибудь пригодятся. Он нацелен на усиление анонимности физических лиц и, следовательно, на уменьшение использования разнообразных видов наблюдения и контроля действий индивидов на разных уровнях в течение длительного периода[112].

Данный принцип призван гарантировать, что личные данные физического лица, собранные для определенных целей, не будут храниться у контролера неограниченное время с тем, чтобы, к примеру, быть использованными для тех же целей через продолжительный промежуток времени. Ведь вполне возможно, что к этому моменту лицо поменяет свое решение относительно использования контролером его данных, что потребует сбора данных заново, а, следовательно, получения согласия лица, что соотносится с принципом легитимности. В подобной ситуации контролер с высокой долей вероятности получит обновленные данные, что, безусловно, является положительным моментом с точки зрения актуальности данных. Кроме того, данный принцип важен с точки зрения безопасности: хранящиеся продолжительное время персональные данные в

персонифицированной форме могут быть подвержены рискам, например, в случае хакерской атаки или технической неисправности они могут стать доступными третьим лицам или оказаться в широком свободном доступе.

В статье 5, равно как и в других положениях Регламента, не сказано о том, что контролеру следует делать с данными после того, как они были использованы им для цели, в соответствии с которой они были получены. Согласно ст. 17 в некоторых случаях контролер обязан удалять личные данные, но он должен сделать это только на основании требования физического лица. В п. 39 вводной части содержится положение о том, что контролером должны быть установлены временные рамки для удаления или для периодической проверки состояния личных данных, чтобы гарантировать, что данные не будут храниться дольше, чем необходимо.

Таким образом, следуя принципу ограничения хранения, контролер имеет право выбора: либо удалять персональные данные после их использования, либо хранить их в обезличенном виде (в форме, которая не позволяет идентифицировать физическое лицо), проводя периодические проверки состояния данных. Он не может распорядиться использованными данными по собственному усмотрению. Считаем, что данный принцип должен обязывать контролера предварительно уведомить лицо перед тем, как он решит самостоятельно удалить личные данные, равно как и о своем решении хранить данные в обезличенном виде, и в этом случае сообщить о времени, в течение которого он намерен их хранить. По нашему мнению, стоит установить промежуток времени, по истечении которого контролер будет обязан удалить неиспользуемые данные. Он должен составлять не более чем три года с момента последнего использования данных. Это позволит снять дополнительные обременения с контролера, в частности, избавит его от расходов, связанных с длительным хранением данных.

6. Принцип безопасности данных

Данный принцип является одним из немногих, которые не были включены в перечень основных принципов защиты данных по смыслу ст. 5

Регламента. Тем не менее, его можно вывести из других положений документа. Считаем, что невключение данного принципа в ст. 5 обусловлено тем, что безопасность персональных данных - это одна из основных идей, которая априори вытекает из положений Регламента.

Учитывая современное состояние развития информационных технологий, а также появление рисков, связанных с использованием персональных данных в сети Интернет, данный принцип приобретает неоспоримую важность в контексте защиты персональной информации. Он неоднократно упоминается во вводной части Регламента и далее находит свое отражение во многих положениях основной части Регламента. Наибольшее число положений, связанных с ним, содержится в Главе IV «Контролер и процессор», регламентирующей вопросы, связанные с обработкой личных данных, соответственно, контролером и процессором.

Целью данного принципа является то, что персональные данные должны обрабатываться таким образом, чтобы был обеспечен надлежащий уровень безопасности и конфиденциальности персональных данных, в том числе для предотвращения несанкционированного доступа к ним и их использования, а также, чтобы была обеспечена безопасность оборудования, используемого для обработки.

Контролер должен обеспечить защиту личных данных, учитывая потенциальные риски, связанные с интересами и правами физических лиц, а также предотвращать, по мере возможности, дискриминационное воздействие на физических лиц из-за их расового или этнического происхождения, политических или религиозных убеждений, членства в профсоюзах, состояния здоровья или сексуальной ориентации, а также минимизировать риски, которые могут привести к такого рода дискриминации. Обязанностью контролера является обработка персональных данных в объеме, строго обязательном и пропорциональном целям обеспечения сетевой и информационной безопасности.

Контролер и процессор должны принимать во внимание современное состояние, характер, сферу, контекст и цели обработки, затраты на реализацию этих целей, а также риски различной степени вероятности и серьезности для прав и свобод физических лиц. Для обеспечения достаточного уровня безопасности, соответствующего этим рискам, им следует применять соответствующие технические и организационные меры, которые заключаются в:

- использовании псевдонимизации и шифрования персональных данных;

- способности обеспечить конфиденциальность, целостность, доступность и устойчивость систем обработки и сервисов;

- способности своевременно восстанавливать доступность данных и доступ к ним в случае возникновения инцидента;

- регулярном применении процесса тестирования, проверки и оценки эффективности используемых для обеспечения безопасности обработки технических и организационных мер.

В ст. 25 Регламента отмечается, что контролер должен внедрять соответствующие технические и организационные меры, такие как псевдонимизация, для реализации принципов защиты данных, как во время определения средств обработки, так и во время самой обработки.

Положение об обязанности контролера использовать надлежащие меры, гарантирующие безопасность, уже на стадии определения средств обработки, является огромным шагом вперед по сравнению с действовавшими ранее правовыми актами по защите персональных данных физических лиц в ЕС, в частности, с Директивой 1995 г.

На основе изложенного, предлагается дать определение принципа безопасности данных в следующей формулировке: персональные данные должны обрабатываться только таким способом, при котором они будут надежно защищены от несанкционированного доступа к ним третьих лиц и их незаконного использования, включая, если необходимо, обеспечение их

конфиденциальности. Лицо, осуществляющее обработку персональных данных, должно, в том числе, принять все необходимые меры технического характера, а также обеспечить надлежащий уровень безопасности оборудования, используемого для обработки.

7. Принцип применения особого режима для чувствительных данных

Данный принцип не был включен в ст. 5 Регламента. Он закреплен во вводной части документа, а также в положениях его основной части. Персональные данные, которые по своей природе являются особенно чувствительными, заслуживают особой защиты, поскольку контекст их обработки может создать значительные риски для основных прав и свобод.

В ст. 9 Регламента установлено следующее: обработка персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в профсоюзах физического лица, а также обработка генетических и биометрических данных с целью однозначной идентификации физического лица, данных о здоровье или данных, касающихся естественной сексуальной жизни человека или сексуальной ориентации, запрещается. Следует отметить, что в Регламенте в этот перечень включены категории данных, отсутствовавшие в Директиве 1995 г., а именно генетические и

биометрические данные, а также данные о сексуальной ориентации физического лица. Из положений Регламента следует, что государства-члены могут поддерживать или вводить дополнительные условия, включая ограничения, в отношении обработки генетических, биометрических данных или данных, касающихся состояния здоровья.

В Регламенте расширен перечень ситуаций обработки, для которых предусмотрены исключения, и, в отличие от Директивы 1995 г., этот перечень является закрытым.

Отметим, что ранее перечень чувствительных данных мог варьироваться в национальном законодательстве государств-членов ЕС. В частности, законодательство Финляндии и Швеции относило к

чувствительным данным получение лицом социального пособия. Регламент вводит общие правила для обработки специальных категорий персональных данных, унифицируя, таким образом, законодательства государств-членов. Выделение данного принципа имеет особое значение применительно к персональной информации, которую лицо желает оставить конфиденциальной, или раскрытие которой может нанести существенный моральный, репутационный или иной вред физическому лицу.

8. Принцип участия и контроля физического лица за использованием персональных данных

Значение данного принципа заключается в том, что физические лица имеют возможность контролировать операции по обработке личных данных и оказывать необходимое влияние на их осуществление. Данный принцип также направлен на повышение информированности физических лиц о характере и частоте операций по обработке их данных.

Основы этого принципа были заложены в Директиве 1995 г., которая определяла, что лицо имеет право доступа, включая право на получение информации о целях обработки, категории используемых данных, получателях, которым сообщаются данные, а также в последующих правовых актах, в частности, в положениях Директивы 2002/58/ЕС. Как отмечает И.А. Вельдер, информирование субъектов может осуществляться разнообразными способами, например, уведомлением полномочных органов власти о предстоящих процессинговых операциях и публикацией этой информации органами власти в средствах массовой информации[113].

В Регламенте положения, касающиеся принципа участия физического лица, в первую очередь декларируются во вводной части. Так, провозглашается, что физическое лицо должно иметь право доступа к персональным данным и возможность легко и в разумных пределах использовать это право, чтобы проверять законность обработки. Однако это

право не должно отрицательно влиять на права или свободы других лиц, включая коммерческую тайну или интеллектуальную собственность и, в частности, защиту авторских прав на программное обеспечение (п. 63).

В Регламенте принцип участия и контроля лица за использованием своих персональных данных реализуется через комплекс прав физических лиц, большинство из которых закреплены в Главе 3. Директива 1995 г. регламентировала лишь некоторые права физического лица, касающиеся его участия в операциях по обработке (право доступа и право на возражение). В настоящее время, согласно положениям Регламента, действие данного принципа направлено на то, чтобы лицо могло свободно осуществлять:

- право на доступ (ст. 15);

- право на исправление (ст. 16);

- право на удаление («право на забвение») (ст. 17);

- право на ограничение обработки данных (ст. 18);

- право на уведомление об исправлении или удалении личных данных или ограничении обработки (ст. 19);

- право на портативность данных (ст. 20);

- право на возражение (ст. 21);

- право на автоматизированное и индивидуализированное принятие решений, в том числе с использованием профилирования (ст. 22)[114].

Таким образом, вследствие проведения реформы правового регулирования защиты персональных данных в ЕС принцип участия и контроля физического лица за использованием личных данных был расширен и дополнен посредством введения в Регламент указанных выше положений. Данный принцип имеет важное значение для реализации лицом своих прав, а именно - контроля за использованием данных и необходимого участия в процессинговых операциях по обработке персональных данных контролерами и (или) процессорами.

9. Принцип ответственности контролера

В ст. 5 (п. 2) Регламента данный принцип изложен в следующей формулировке: контролер несет ответственность за соблюдение положений, устанавливающих правила сбора и обработки персональных данных, и должен быть способен продемонстрировать это.

Содержание этого принципа раскрывается более подробно в других положениях Регламента, в частности, в Главе 4, посвященной деятельности контролера и процессора. Так, Регламентом устанавливается ответственность и обязательства контролера по отношению к любой обработке персональных данных, выполняемых самим контролером или от его имени. Контролер должен быть в состоянии продемонстрировать соответствие процессов обработки требованиям Регламента по безопасности, включая эффективность принимаемых мер. Эти меры должны учитывать характер, сферу охвата, контекст и цели обработки и возможные риски для прав и свобод физических лиц. Они должны время от времени проверяться и, при необходимости, обновляться. К таким мерам относится, в частности, контроль над соответствующей политикой защиты данных со стороны контролера.

Обязательства и ответственность контролеров и процессоров должны быть четко распределены, в том числе, когда контролер определяет цели и средства обработки совместно с другими контролерами, или когда операция обработки выполняется от имени контролера. Обязательства в отношении мониторинга принимаемых контролерами мер должны быть сферой ответственности надзорных органов.

Новеллой Регламента является обязанность контролера продемонстрировать соблюдение данного принципа. Исходя из положений Регламента, контролер может это сделать несколькими способами. Так, присоединение к утвержденным кодексам поведения, упомянутым в ст. 40 «нормы поведения», или к одобренным механизмам сертификации, упомянутым в ст. 42 «сертификация», может быть использовано в качестве демонстрации соблюдения контролером требуемых обязательств.

Регламент содержит новые положения, касающиеся ответственности совместных контролеров. Так, по смыслу п. 1 ст. 26два или несколько контролеров должны считаться совместными контролерами, если они на равных определяют цели и средства обработки. Независимо от условий соглашения между этими контролерами, устанавливающего ответственность каждого из них по выполнению обязательств, физическое лицо может осуществлять свои права на основании положений Регламента в отношении каждого из контролеров и против каждого из них.

Что касается ответственности процессора, то, исходя из положений Регламента, можно сделать вывод о том, что процессор несет ответственность перед контролером и физическим лицом. В частности, если процессор взаимодействует с другим процессором для выполнения конкретных действий по обработке от имени контролера, и если другой процессор не выполняет свои обязательства по защите данных, то первый остается полностью ответственным перед контролером за выполнение обязательств вторым процессором (ст. 28 Регламента).

Контролер, равно как и процессор, может быть привлечен к ответственности физическим лицом в судебном порядке. Такой вывод позволяет сделать анализ ст. 79 Регламента.

Итак, принцип ответственности контролера в Регламенте расширен и дополнен новыми положениями по сравнению с Директивой 1995 г. Данный принцип можно было бы назвать принципом ответственности контролера и процессора, так как последний также в определенных случаях ответственен за обработку информации перед физическим лицом. Однако, в конечном счете, ответственность за действия процессора возлагается на контролера. Если обработка производится не самим контролером, а от его имени, то контролер должен доверять обработку только процессорам, обеспечивающим достаточные гарантии посредством таких технических и организационных мер, чтобы обработка соответствовала требованиям Регламента и обеспечивала защиту прав физических лиц (п. 1 ст. 28). Следовательно,

именно контролер несет основную ответственность перед физическим лицом за обработку переданных ему персональных данных.

10. Принцип ограничения раскрытия персональных данных

Данный принцип в правовой системе Европейского Союза известен с момента вступления в силу Директивы 1995 г. Однако ее авторы, по мнению профессора Бигрейва Ли[115], обращались к указанному принципу опосредованно, не напрямую, реализуя его через другие нормы Директивы, в частности через ст. 6.1, 7 и 8. Порядок нормативного закрепления данного принципа в Регламенте не претерпел значительных изменений по сравнению с Директивой 1995 года. Он не содержится в ст. 5 «принципы обработки персональных данных» и реализуется через определенные правовые ограничения, предусмотренные Регламентом, в частности, ограничения, содержащиеся в ст. 6 «законность обработки», ст. 9 «обработка специальных категорий персональных данных», ст. 12 «прозрачная информация, связь и условия осуществления прав физических лиц» и др.

Так, контролер должен принять все необходимые и пропорциональные меры, чтобы персональные данные физического лица не были раскрыты третьим лицам без его согласия, кроме как в случаях, когда это прямо установлено правовым актом ЕС или государства-члена. Если у контролера имеются разумные сомнения относительно личности физического лица, делающего запрос, упомянутый в ст. 15-21 (посвященных правам физических лиц), контролер должен запросить предоставление дополнительной информации, необходимой для подтверждения личности физического лица.

Согласно положениям ст. 15 Регламента лицо имеет право получить от контролера информацию о получателях или категории получателей, которым были или будут раскрыты его личные данные, в частности, о получателях в третьих странах или международных организациях, и в случае несогласия имеет право отозвать свое согласие на обработку персональных данных.

Считаем, что принцип ограничения раскрытия персональных данных должен быть квалифицирован в качестве одного из основных принципов защиты персональных данных в силу его значительной роли по ограничению распространения персональных данных, которые физическое лицо считает конфиденциальными, или раскрытие которых третьим лицам будет нежелательным с его точки зрения.

В настоящее время приходится констатировать невозможность существования правового регулирования защиты персональных данных в ЕС вне связи с обеспечением важнейших принципов, направленных на охрану и защиту личной информации физических лиц.

Рассмотренные специальные принципы права Европейского Союза в области обеспечения охраны и защиты персональных данных физических лиц представляют собой важную составляющую находящейся в процессе формирования и прогрессивного развития подотрасли права на защиту персональных данных в рамках отрасли информационного права ЕС. По нашему мнению, все вышеперечисленные специальные принципы следует выделить в отдельную секцию Регламента в пределах Главы 2 «Принципы» и дать каждому из них расширительное толкование.

Будучи ключевыми положениями, регулирующими актуальные вопросы обеспечения охраны и защиты персональных данных физических лиц в Европейском Союзе, указанные принципы, важными особенностями которых являются устойчивость, стабильность и постоянство, имеют более длительный срок действия в отличие от других норм права, которые создаются, изменяются или прекращают свое существование в сравнительно короткие сроки. Принятие их в качестве норм прямого действия позволяет унифицировать законодательства государств-членов и создать эффективную систему правового регулирования на уровне ЕС для обеспечения необходимого уровня защиты персональной информации физических лиц.

Соподчиненность и взаимодействие общих норм и принципов права Европейского Союза, информационного права и принципов права защиты

персональных данных в совокупности обеспечивают целостность и независимость подотрасли права на защиту персональных данных, которая в силу специфики и важности объекта регулирования занимает одно из ведущих мест в отрасли информационного права ЕС. В этой связи специальное право будет иметь приоритет над общим (lex specialis derogat lex generali), что, безусловно, не аннулирует общих принципов и норм права ЕС, которые, в свою очередь, будут способствовать развитию и правильному толкованию норм и принципов специального права и применяться в ситуациях, которые не регулируются последними.

2.3.

<< | >>
Источник: Шадрин Станислав Александрович. ПРАВОВОЕ РЕГУЛИРОВАНИЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ЕВРОПЕЙСКОМ СОЮЗЕ: ГЕНЕЗИС И ПЕРСПЕКТИВЫ РАЗВИТИЯ. ДИССЕРТАЦИЯ на соискание ученой степени кандидата юридических наук. Казань - 2019. 2019

Еще по теме Правовые принципы защиты персональных данных в Европейском Союзе:

  1. §11. Административное право Италии.
  2. Международная электронная торговля услугами как феномен либерализации рынка: проблемы правового регулирования
  3. § 4 Европейская комиссия.
  4. Правовое обеспечение безопасности несовершеннолетних в сети Интернет: зарубежный и российский опыт
  5. ОГЛАВЛЕНИЕ
  6. ВВЕДЕНИЕ
  7. Основные этапы развития правового регулирования защиты персональных данных в Европейском Союзе
  8. Система источников правового регулирования защиты персональных данных в Европейском Союзе на современном этапе
  9. Глава 2. Механизм правового регулирования защиты персональных данных в Европейском Союзе: субъекты, объект, принципы, ответственность
  10. Субъекты и объект права на защиту персональных данных в Европейском Союзе
  11. Правовые принципы защиты персональных данных в Европейском Союзе
  12. Права и обязанности физических лиц - субъектов персональных данных - в Европейском Союзе
  13. Функции и полномочия уполномоченных органов по защите персональных данных в Европейском Союзе
  14. Ответственность субъектов правового регулирования защиты персональных данных в Европейском Союзе
  15. Глава 3. Перспективы развития правового регулирования защиты персональных данных в Европейском Союзе
- Авторское право РФ - Аграрное право РФ - Адвокатура России - Административное право РФ - Административный процесс РФ - Арбитражный процесс РФ - Банковское право РФ - Вещное право РФ - Гражданский процесс России - Гражданское право РФ - Договорное право РФ - Жилищное право РФ - Земельное право РФ - Избирательное право РФ - Инвестиционное право РФ - Информационное право РФ - Исполнительное производство РФ - История государства и права РФ - Конкурсное право РФ - Конституционное право РФ - Муниципальное право РФ - Оперативно-розыскная деятельность в РФ - Право социального обеспечения РФ - Правоохранительные органы РФ - Предпринимательское право России - Природоресурсное право РФ - Семейное право РФ - Таможенное право России - Теория и история государства и права - Трудовое право РФ - Уголовно-исполнительное право РФ - Уголовное право РФ - Уголовный процесс России - Финансовое право России - Экологическое право России -