Семейное насилие. Персональные данные в системе информации ограниченного доступа
Скачать 2.19 Mb.
|
3.2. Особенности формирования российского подхода к правовому регулированию персональных данных В российском праве долгое время вопрос о правовом регулировании персональных данных оставался открытым, прежде всего в плане принятия специального закона в этой области. При этом невозможно говорить о том, что отдельные аспекты, связанные с обработкой персональных данных, небыли урегулированы. На конституционном уровне следует упомянуть статьи 23 и 24 Конституции РФ 1993 года, устанавливающие право индивида на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых телеграфных и иных сообщений, а также право индивида и на доступ к информации о себе и обязанность государственных органов и органов местного самоуправления обеспечить ему возможность последнего. Вне всякого сомнения, эти статьи, несмотря на то что в них содержатся лишь отдельные аспекты правового регулирования обработки данных о физических лицах, послужили своего рода отправной точкой для дальнейшего формирования законодательства о защите частной жизни при обработке персональных данных. Впервые термин персональные данные (информация о гражданах) был введен в законодательство с принятием Федерального закона Об информации, информатизации и о защите информации в 1995 году, где в статье 2 содержалось уже рассмотренное автором определение их как сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. Однако детального регулирования обработки данных в указанном законе, по понятным причинам, не содержалось, но предлагалась его общая концепция, а также содержалась отсылка к специальному законодательству, которое, как, по- видимому, предполагалось, должно быть принято. На основании анализа 1 Об информации, информатизации и защите информации федер. закон от 20.02.1995 № 24-ФЗ. (Утратил силу) 176 статьи 9 и 14, принципиально можно было прийти к следующим основным выводам о концептуальных положениях предполагаемого тогда специального закона персональные данные являются информацией ограниченного доступа и относятся к конфиденциальной информации перечень персональных данных должен быть установлен федеральным законом персональные данные напрямую связаны с защитой права на неприкосновенность частной жизни, личную и семейную тайну и права на тайну переписки, телефонных переговоров, телеграфных и иных сообщений сбор, хранение, использование и распространение персональных данных допускается лишь с согласия индивида или по решению суда персональные данные не могут быть использованы для причинения имущественного и морального вреда индивиду персональные данные о расовой, национальной, языковой, религиозной и партийной принадлежности не могут быть использованы для дискриминации (ограничения прав) физических лиц ответственность за нарушения порядка сбора, хранения, использования и распространения персональных данных несут владельцы информационных ресурсов, их содержащих субъект персональных данных (индивид) вправе знакомиться с содержанием персональных данных (иметь доступ к ним, требовать их уточнения, а также вправе знать, кто ив каких целях их использует, за исключением случаев, предусмотренных законом 1 В соответствии с положениями рассматриваемого закона информация ограниченного доступа подразделялась на две основные категории – государственная тайна и конфиденциальная информация. 177 обязанность предоставить возможность ознакомления со своими персональными данными возлагается на владельца информационных ресурсов, отказ которого может быть обжалован в суд. Основанному на указанных принципах федеральному закону таки не суждено было появиться, а от некоторых из перечисленных выше положений пришлось отказаться. В частности, были подвергнуты критике ориентированность закона в первую очередь на граждан установление в качестве основного критерия для выделения персональных данных лишь идентификации стремление установить закрытый перечень категорий информации, относимой к персональным данным, что уже было подробно рассмотрено автором впервой главе работы. За период с 1995 по 1998 год было подготовлено 12 редакций законопроекта, в которых осуществлялся учет замечаний и предложений рецензентов. Проект дважды обсуждался на секции Научно-технического совета Комитета при Президенте РФ по политике информатизации. Дважды проект прошел международную экспертизу специалистами Совета Европы. Обсуждался проект также на общественных слушаниях в Парламентском центре Федерального собрания РФ, в российско-американском пресс-центре с участием представителей средств массовой информации, на семинаре по проблемам информационной безопасности в рамках Международного конгресса Народы Содружества Независимых Государств накануне третьего тысячелетия в Санкт-Петербурге, на круглом столе, проводимом отделением Информатика и право Международной академии информатизации, и др. 1 Окончательным итогом этой работы стало появление проекта федерального закона Об информации персонального характера, внесенного для рассмотрения в Государственную думу 3 апреля 1998 года группой 1 Пояснительная записка к проекту федерального закона Об информации персонального характера Законопроект № 98028850-2, внесен в Государственную думу 03.04.1998). – (http://asozd2.duma.gov.ru /main.nsf/%28SpravkaNew%29?OpenAgent&RN=98028850-2&02). – Дата обращения 20.05.2017. 178 депутатов – О.А. Финько, Ю.М. Нестеровым, Г.К. Волковым, Р.Г. Габидуллиным, В.Е. Цоем 1 , но таки не был принят. Проект закона был разработан на основе ив соответствии с нормами Директивы 95/46/ЕС Европейского парламента и Совета Европы. Он содержал шесть глав (общие положения условия законности работы с персональными данными права субъекта персональных данных права и обязанности держателя (обладателя) по работе с массивами персональных данных государственное регулирование работы с персональными данными Уполномоченный по правам субъектов персональных данных при Президенте РФ, тридцать шесть статей. Самоназвание выбивалось уже тогда из общепринятой терминологии, поскольку уже названный закон Об информации, информатизации и защите информации содержал в качестве базового термина персональные данные, который также был использован Указом Президента РФ № 188 Об утверждении перечня сведений конфиденциального характера. В итоге в основу законопроекта был положен механизм обработки персональных данных, соответствующий общепринятым европейским принципами нормам в области защиты персональных данных 3 Одной из особенностей законопроекта была попытка предложить перечень случаев законного сбора, обработки и использования персональных данных, который диктовался, по мнению авторов, необходимостью обеспечить эффективную защиту прав личности в отношении его персональных данных. Персональные данные, получаемые в результате деятельности субъектов федерального закона Об оперативно-розыскной деятельности, на основании статьи 10 были выделены фактически в особую Законопроект № 98028850-2 Об информации персонального характера (внесен в Государственную думу 03.04.2017). – (http://asozd2.duma.gov.ru/main.nsf/%28SpravkaNew%29?OpenAgent&RN=98028850-2&02). – Дата обращения 20.05.2017. 2 Указ Президента РФ Об утверждении Перечня сведений конфиденциального характера от 06.03.1997 № 188 (ред. от 13.07.2015). Законопроект Об информации персонального характера № 17844-3. Внесен депутатами Государственной думы ФС РФ А.А. Кравцом, О.А. Финько, ФА. Клинцевичем, ИВ. Лебедевым, Б.А. Мартыновым, А.В. Шубиным, КВ. Ветровым, ПИ. Коваленко // Справочная информационная система «КонсультантПлюс». – Ст. 4. 179 категорию наряду с традиционно выделяемой категорией чувствительных данных. Но все же важнейшей новеллой законопроекта стала попытка введения института Уполномоченного по правам субъектов персональных данных. Для обеспечения действенности этого правового института предполагалось гарантировать независимость его деятельности. В законопроекте избран путь формирования названного института при Президенте РФ 1 В целом данный законопроект был вполне доброжелательно встречен ив научных кругах, в частности за его принятие высказывались ОБ. Просветова 2 и В.Н. Лопатин 3 , хотя при условии определенной доработки в дальнейшем. Несмотря на очевидную актуальность законопроекта в целях защиты прав и свобод граждан, законопроект фактически лег на полку, поскольку процесс рассмотрения в Федеральном собрании фактически остановился его обсуждением на Совете Государственной думы, который впоследствии принял окончательное решение о его снятии уже только после того, как началась работа над новым проектом специального закона в 2006 году, отложив тем самым принятие законодательных мер в рассматриваемой области еще налет. Стоит отметить, что примерно в этот период параллельно Межпарламентской ассамблеей государств-участников СНГ принимается модельный закон О персональных данных, разработчиками которого стали В.Н. Лопатин и А.В. Федоров, существенным образом похожий отдельными положениями и общей концепцией на уже упомянутый законопроект Об 1 Законопроект Об информации персонального характера № 17844-3. Внесен депутатами Государственной думы ФС РФ А.А. Кравцом, О.А. Финько, ФА. Клинцевичем, ИВ. Лебедевым, Б.А. Мартыновым, А.В. Шубиным, КВ. Ветровым, ПИ. Коваленко // Справочная информационная система «КонсультантПлюс». – Гл. 6. 2 Просветова, ОБ. Защита персональных данных дис. … канд. юрид. наук / ОБ. Просветова. – МС. 3 Лопатин, В.Н. Правовые основы информационной безопасности курс лекций / В.Н. Лопатин. – М МИФИ, 2000. – С. 88. Рассмотрен 24.10.2000 Советом ГД ФС РФ (Протокол № 49, п. 66). 5 Снят 09.02.2006 с рассмотрения Советом ГД ФС РФ (Протокол № 138, п. 19). 6 Лопатин, В.Н. Модельный закон О персональных данных для государств-участников СНГ / В.Н. Лопатин, А.В. Федоров // Сб. мат-лов междунар. науч.-практич. конф. 29 ноября 1998 г. Новые технологии в практике правоохранительных органов. – СПб., 1998. – С. 61–73. 180 информации персонального характера. Впрочем, его принятие никоим образом не ускорило принятие российского закона. Существенные изменения в отношении к рассматриваемой проблематике со стороны российского законодателя произошли, пожалуй, после активизации отношений между Россией, Советом Европы и Европейским союзом. Первым шагом к этому стало подписание 7 ноября 2001 года Российской Федерацией уже не раз упоминавшейся здесь Конвенции Совета Европы № 108 о защите личности в связи с автоматизированной обработкой данных. Примечательно, что ее ратификация, которая потребовала от России имплементации и принятия специального закона о защите персональных данных, состоялась лишь спустя 5 лет. Проект нового федерального закона О персональных данных уже рассматривался практически параллельно с проектом закона о ратификации названной Конвенции Совета Европы 2 Новый проект закона о персональных данных был подготовлен Правительством РФ ив сентябре 2005 года поступил в Государственную думу. Первоначально в нем содержался ряд положений, которые вызвали множество критики, в первую очередь со стороны правозащитников. Это касалось положений статьи 24 варианта законопроекта по итогам первого чтения. В ней, в частности, предлагалась к созданию единая база персональных данных о населении России – Государственный регистр населения Российской Федерации, куда подлежали занесению идентификаторы персональных данных всех физических лиц, постоянно или временно проживающих или пребывающих на территории России. В качестве идентификаторов персональных данных при анализе статьи 23 1 Chart of signatures and ratifications of Treaty 108 «Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data» (Status as of 20/05/2017). – (http://www.coe.int/en/web/conventions/full- list/-/conventions/treaty/108/signatures?p_auth=I4WkWbbB). – Дата обращения 20.05.2017. 2 ФЗ О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных № 160-ФЗ от 19.12.2005 // Справочная информационная система «КонсультантПлюс». 3 Законопроект № 217352-4 О персональных данных (внесен в Государственную думу РФ 23.09.2005). – (http://asozd2.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=217352-4). – Дата обращения 20.05.2017. 181 того же варианта законопроекта подразумевались различного рода персональные номера, которые используются в информационных системах государственными и местными органами для удобства обработки данных о физических лицах. Такими идентификаторами, безусловно, являются индивидуальный номер налогоплательщика (ИНН), предусмотренный ст. 84 Налогового кодекса РФ, и страховой номер индивидуального лицевого счета в системе обязательного пенсионного страхования в соответствии сост ч. 1 федерального закона Об обязательном (персонифицированном) учете в системе обязательного пенсионного страхования, номер полиса обязательного медицинского страхования. Создание такого Государственного регистра населения РФ правительство объясняло необходимостью их уточнения, отмечая, что в нем будут содержаться лишь общедоступные персональные данные, а также персональные идентификаторы, например ИНН, которые сточки зрения закона не являются информацией ограниченного доступа. Однако отстоять целесообразность существования такой единой базы данных правительству не удалось. Уже на стадии обсуждения в комитетах Государственной думы против этого были выдвинуты, в качестве серьезных, следующие аргументы во-первых, оператор потенциально получал в таком случае доступ к информации, превышающий его полномочия во-вторых, учитывая сложности с охраной конфиденциальной информации в России в целом, существование подобного регистра создало бы серьезную угрозу несанкционированного доступа к самым разнообразным сведениям о субъекте в-третьих, появление регистра могло вызвать серьезное недоверие со стороны населения и повысить социальную напряженность. Таким образом, предлагаемая концепция государственного регистра населения представлялась создающей условия для 1 Налоговый кодекс Российской Федерации (часть первая) от 31.07.1998 №146-ФЗ (ред. от 28.12.2016). 2 Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования федер. закон от 01.04.1996 № 27-ФЗ (ред. от 28.12.2016). 3 Текст законопроекта № 217352-4 О персональных данных к первому чтению (внесен в Государственную думу РФ 23.09.2005). – (http://asozd2.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=217352-4). – Дата обращения 20.05.2017. 182 необоснованного ограничения и прямого нарушения прав граждан, что противоречит целому ряду положений Конституции Российской Федерации статья 23, части 1 и 2; статья 24, часть 1; статья 55, части 2 и 3), что и послужило ее изъятию из текста законопроекта после второго чтения. В дальнейшем сколь-нибудь серьезные изменения в документ не вносились, и законопроект успешно прошел все стадии и был опубликован 29 июля в Российской газете, став федеральным законом. Оценивая текст законопроекта в целом, следует отметить его явную близость европейской традиции, поскольку многие его правовые конструкции явным образом ориентированы на Конвенцию № 108 Совета Европы и с Директивой СЕ. Причем начальные положения по своей конструкции и содержанию столь очевидно напоминают положения последней, что не могут не вызывать ассоциации об аналогии. В таком положении дел не стоит усматривать чего-то негативного, скорее наоборот, многими российскими авторами, уже неоднократно упомянутыми в работе, именно европейская модель правового регулирования оборота персональных данных рассматривалась в качестве основы для разработки закона. К тому же предшествующий законопроект Об информации персонального характера также был ориентированна законодательную практику стран Европейского союза. Проводя аналогии к, безусловно, сильным сторонам принятого федерального закона О персональных данных можно отнести проработанность правовых конструкций, в части описания собственно правового режима обработки персональных данных, как информации персонального характера, в плане определения принципов и условий обработки, прав субъектов персональных данных, обязанностей обладателя и оператора систем персональных данных. Однако явным минусом, безусловно, явился отказ от института независимого уполномоченного органа по защите прав субъектов персональных данных – Уполномоченного по правам субъекта данных. 1 Российская газета. Федеральный выпуск. – 2006. – № 4131 (0). – 29 июля. 183 Законодательная деятельность в области правового регулирования персональных данных, разумеется, не сосредоточилась только на принятии специального закона. В период с 1995 года по настоящий момент был принят целый ряд законодательных положений отраслевого характера, которые регулировали обработку баз персональных данных в конкретных областях общественной деятельности и для которых новый закон стал своего рода связующим звеном. Такие положения, упоминающие о базах персональных данных, содержатся в Трудовом кодексе, в главе 14 Защита персональных данных работника в ст. 84 Налогового кодекса РФ в ст. 85.1 Воздушного кодекса РФ в федеральных законах Об индивидуальном персонифицированном) учете в системе обязательного пенсионного страхования, О банках и банковской деятельности, О связи, О правовом положении иностранных граждан в РФ, О государственной автоматизированной системе ГАС Выборы, О государственном банке о детях оставшихся без попечения родителей, Об актах гражданского состояния, Об обязательном страховании гражданской ответственности владельцев транспортных средств, О воинской обязанности и военной службе, О системе государственной гражданской службы РФ и многих других. 1 Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ (ред. от 01.05.2017). 2 Налоговый кодекс Российской Федерации (часть первая) от 31.07.1998 № 146-ФЗ (ред. от 28.12.2016). 3 Воздушный кодекс Российской Федерации от 19.03.1997 № 60-ФЗ (ред. от 06.07.2016). 4 Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования федер. закон от 01.04.1996 № 27-ФЗ (ред. от 28.12.2016). 5 О банках и банковской деятельности федер. закон от 02.12.1990 № 395-1 (ред. от 01.05.2017) (с изм. и доп, вступ. в силу с 16.06.2017). 6 О связи федер. закон от 07.07.2003 № 126-ФЗ (ред. от 17.04.2017). 7 О правовом положении иностранных граждан в Российской Федерации федер. закон от 25.07.2002 № 115- ФЗ (ред. от 17.04.2017). 8 О Государственной автоматизированной системе Российской Федерации Выборы федер. закон от 10.01.2003 № 20-ФЗ (ред. от 12.03.2014). 9 О государственном банке данных о детях, оставшихся без попечения родителей федер. закон от 16.04.2001 № 44-ФЗ (ред. от 08.03.2015). 10 Об актах гражданского состояния федер. закон от 15.11.1997 № 143-ФЗ (ред. от 01.05.2017). 11 Об обязательном страховании гражданской ответственности владельцев транспортных средств федер. закон от 25.04.2002 № 40-ФЗ (ред. от 28.03.2017). 12 О воинской обязанности и военной службе федер. закон от 28.03.1998 № 53-ФЗ (ред. от 01.05.2017). 13 О системе государственной службы Российской Федерации федер. закон от 27.05.2003 № 58-ФЗ (ред. от 23.05.2016). 184 За последние несколько лет можно говорить и том, что концепция защиты персональных данных, те. защиты личности в условиях бурного развития информационных технологий, также меняется и развивается, о чем свидетельствуют многочисленные и достаточно существенные изменения в законодательстве о персональных данных как в России, таки в мире. В частности, российский закон о персональных данных претерпел за последние 10 лет значительные изменения. Даже простое арифметическое сравнение объема и содержания закона на момент его принятия (примерно 5500 слови знаков) и действующей редакции (примерно 9900 слови знаков) говорит о том, что закон потяжелел почти вдвое. Если первые 5 лет текст закона практически не менялся, в том числе и благодаря тому, что его вступление в силу откладывалось, сначала в декабре 2010 года, а затем в какой-то степени в июле 2011 года. Во многом это объяснялось неготовностью экономики, те. операторов персональных данных к реализации требований нового на тот момент законодательства, отдельные положения которого в то время не раз подвергались резкой критике со стороны бизнес-сообщества и научной общественности. Многие из этих проблем были предметом обсуждений входе Парламентских слушаний 3 Комитета по безопасности Государственной думы РФ еще в октябре 2009 года. Результатом этой работы стала первая существенная переработка положений закона о персональных данных в июле 2011 года, когда серьезным образом были переработаны более 10 статей закона и появились еще две новые (ст. 18.1 и 22.1) 4 . В наибольшей степени эти изменения коснулись самого механизма закона в части установления обязанностей 1 О внесении изменения в статью 25 Федерального закона О персональных данных федер. закон от 23.12.2010 № 359-ФЗ. 2 О внесении изменений в Федеральный закон О персональных данных федер. закон от 25.07.2011 № 261- ФЗ. 3 Парламентские слушания на тему Актуальные вопросы развития и применения законодательства о защите прав граждан при обработке персональных данных 20 октября 2009 г. / Сайт Комитета по безопасности Государственной думы РФ. – (http://komitet2-16.km.duma.gov.ru/Novosti_Komiteta/item/24812). – Дата обращения 20.05.2017. 4 О внесении изменений в Федеральный закон О персональных данных федер. закон от 25.07.2011 № 261- ФЗ. 185 оператора по обеспечению защиты персональных данных от любых неправомерных действий сними, и прежде всего – в части принятия правовых, организационных и технических мер по защите информации персональных данных. Указанные положения в совокупности с рядом уже упомянутых в работе подзаконных актов внесли ощутимую ясность в определение режимных требований к операторам при обеспечении конфиденциальности персональных данных. В дальнейшем целый ряд изменений закона о персональных данных был связан сего фактической подстройкой под существующие реалии при обработке персональных данных в государственных органах и публичных целях. Как оказалось, законодательство о персональных данных было принято без учета существующей практики и особенностей обработки персональных данных сразу в нескольких сферах, таких как жилищно- коммунальное хозяйство, деятельность органов прокуратуры, потребительское кредитование, при решении вопросов о гражданстве 4 Среди последних и наиболее обсуждаемых изменений в законодательстве о персональных данных можно назвать изменения в ст. 18 закона, устанавливающие правило о локализации на территории РФ хранения и отдельных процессов обработки персональных данных о гражданах РФ принятие законодательных положений оправе на забвение, те. устанавливающих право индивида требовать удаления 1 О внесении изменений в Жилищный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации федер. закон от 04.06.2011 № 123-ФЗ (ред. от 21.07.2014). 2 О внесении изменений в отдельные законодательные акты Российской Федерации в связи с уточнением полномочий органов прокуратуры Российской Федерации по вопросам обработки персональных данных федер. закон от 23.07.2013 № 205-ФЗ. 3 О внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации в связи с принятием Федерального закона О потребительском кредите (займе федер. закон от 21.12.2013 № 363- ФЗ. 4 О внесении изменений в статьи 6 и 30 Федерального закона О гражданстве Российской Федерации и отдельные законодательные акты Российской Федерации федер. закон от 04.06.2014 № 142-ФЗ (ред. от 03.07.2016). 5 О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях федер. закон от 21.07.2014 № 242-ФЗ (ред. от 31.12.2014). 186 несоответствующей действительности информации о нем из результатов поискав сети Интернет принятие новой редакции статьи 13.11 КоАП РФ, предусматривающей усиление административной ответственности в области нарушения законодательства о персональных данных, как в части увеличения размера штрафа, таки в части увеличения составов правонарушений 2 Все эти многочисленные изменения демонстрируют дальнейшее развитие идеи защиты персональных данных и были приняты в ответ на текущие угрозы правами законным интересам физических лиц при обработке персональных данных. В частности, требование локализации баз персональных данных о гражданах РФ и отдельных процессов их обработки было вызвано очевидным стремлением обеспечить защиту данных в условиях, когда с учетом существующих бизнес-моделей компаний, активно предлагающих услуги в сети Интернет, в том числе с помощью облачных сервисов, невозможно однозначно определить, где же в итоге осуществляется обработка данных и под юрисдикцией какого государства И, что немаловажно, гарантирует ли последнее должный уровень защиты персональных данных Во втором случае проблема еще интереснее и глубже. Впервые оправе на забвение было заявлено в деле Google в 2014 году. Итогом его рассмотрения стало появление новой нормы, предусматривающей для индивида возможность требовать удаления из результатов поиска поисковой системы Google ссылки на информацию, которую он считает устаревшей или неактуальной. Такое требование Европейский суд ЕС обосновал в 1 О внесении изменений в Федеральный закон Об информации, информационных технологиях и о защите информации федер. закон от 13.07.2015 № 264-ФЗ и статьи 29 и 402 Гражданского процессуального кодекса Российской Федерации. 2 О внесении изменений в Кодекс Российской Федерации об административных правонарушениях федер. закон от 07.02.2017 № 13-ФЗ. 3 Judgment of the court (Grand Chamber) 13 May 2014. Google Spain SL, Google Inc. v Agencia Española de Protección de Datos (AEPD), Mario Costeja González. – (http://curia.europa.eu/juris/document/document.jsf? docid=152065&doclang=EN)/ – Дата обращения 20.05.2017. 187 положениях Директивы № 95/46/ЕС, признав фактически поисковую систему оператором персональных данных и, как следствие, право лица требовать прекращения обработки персональных данных. Российское законодательство, несмотря на порой резкую критику со стороны интернет-сообщества 1 и некоторых ученых, на удивление быстро приняла аналогичные положения, которые вступили в силу с 1 января 2016 года. В 2016 году одна из крупнейших российских интернет-компаний «Яндекс» опубликовала первые результаты применения закона оправе на забвение, заявив, что только вначале года поисковая система получила более 3600 обращений, удовлетворив только 27% из них. Компания Google, которая уже давно принимает аналогичные обращения, по состоянию на 2017 год получила уже более 730000 запросов об удалении информации из поиска, дав положительный ответ более чем в 40 случаях. В целом полемика о природе и сущности права на забвение, его влиянии на развитие Интернета, на обеспечение баланса между правом на уважение частной жизни и свободой выражения мнений еще далека от завершения, о чем свидетельствуют периодически появляющиеся публикации на эту тему 5 Более того, соответствующие положения оправе на забвение были включены в абсолютно новый документ – General Data Protection Regulation Общие правила регулирования защиты данных далее – Общие правила, который в самое ближайшее время должен прийти на смену Директиве № 95/46/ЕС. 1 Поисковики отреагировали на законопроект Оправе на забвение в интернете // Информационный портал «Лента.ру». – (https://lenta.ru/news/2015/05/29/searchanswer/). – Дата обращения 20.05.2017. 2 Разина, Е. Свобода слова, или право на забвение / Е. Разина // Справочно-правовой портал «Гарант.ру». – (http://www.garant.ru/ia/opinion/author/razina/637159/). – Дата обращения 20.05.2017. 3 О применении закона Оправе на забвение Блог «Яндекса». – (https://yandex.ru/blog/company/o- primenenii-zakona-o-prave-na-zabvenie). – Дата обращения 20.05.2017. 4 Удаление результатов поиска поличным запросам от граждан ЕС // Поисковая система «Googleh». – (https://www.google.com/transparencyreport/removals/europeprivacy/). – Дата обращения 20.05.2017. 5 Byrum, K. The European right to be forgotten: A challenge to the United States Constitution's First Amendment and to professional public relations ethics / K. Byrum / Public Relations Review. – 2017. – Vol. 43. – No. 1. – P. 102–111. 6 General Data Protection Regulation (GDPR) 2012. – (http://ec.europa.eu/transparency/regdoc/rep/1/2012/EN/1- 2012-11-EN-F1-1.Pdf). – Дата обращения 20.05.2017. 188 Появление последних можно назвать одной из самых серьезных и глобальных реформ европейской системы защиты персональных данных с 1995 года. Указанные Общие правила стали итогом длительной подготовки и согласования текста нового систематизирующего закона о персональных данных ЕС со странами-участниками. Самих текст был подготовлен еще в 2011 году и окончательно был принят лишь в апреле 2016 года. В настоящее время идет так называемый переходный период для адаптации и гармонизации текстов национальных законов о персональных данных с окончанием 25 мая 2018 года, когда Общие правила должны вступить в силу. Причины принятия Общих правил были объяснены и подробно изложены в пояснительной записке, предваряющей текст нормативного акта, среди них были названы две основные – общее развитие информационного общества, с которым связано появление новых угроз правам индивида при обработке данных – фрагментарность национального законодательства о персональных данных в странах-участницах ЕС. Среди наиболее существенных изменений, предлагаемых Общими правилами в сравнении с положениями Директивы 95/46/ЕС, можно назвать 1) совершенствование понятийного аппарата и появление новых терминов 2) введение новых принципов при обработке персональных данных – принципа прозрачности и принципа комплексной и адекватной ответственности оператора данных 3) закрепление права на забвение и права требования прекращения обработки и удаления данных 4) обязательное назначение ответственных лиц за обработку персональных данных для публичного сектора и крупного бизнеса и т.д. 1 General Data Protection Regulation (GDPR) 2012. – (http://ec.europa.eu/transparency/regdoc/rep/1/2012/EN/1- 2012-11-EN-F1-1.Pdf). – Дата обращения 20.05.2017. 189 В дополнение к Общим правилам реформа европейской модели защиты персональных данных затронула и сферу правоохранительной деятельности. В общем пакете изменений вместе с Правилами была принята специальная директива, регулирующая вопросы обработки персональных данных органами, компетентными проводить уголовное преследование и расследование, а также осуществлять исполнение уголовных наказаний 1 Само появление этого документа в некоторой степени является само по себе новинкой, учитывая, что ранее Директива 95/46/ЕС не распространяла действие своего механизма о защите данных на такой случай, называя его в числе исключений. Теперь же, наоборот, страны Европы получат единый документ, регламентирующий основные положения об обработке данных правоохранительными органами. Сам предлагаемый механизм и его ключевые принципы очень схож с положениями Директивы 95/46/ЕС и Общих правил, нов несколько усеченном виде и скорее направленна то, чтобы гарантировать соблюдение принципа законности при обработке персональных данных. Среди интересных новинок стоит отметить желание разделить персональные данные, обрабатываемые правоохранительными органами, наряд категорий, исходя из особенностей субъекта, к которому они относятся. В частности, новые положения предписывают национальным правоохранительным органами странам-участницам делать различие между персональными данными подозреваемых, потерпевших (жертв, обвиняемых и иных участников уголовного процесса, что не лишено смысла и требует дальнейшего изучения и осмысления. Если говорить о развитии и совершенствовании национального законодательства и практики в области защиты персональных данных в странах Европы, то можно отметить общую тенденцию на активное привлечение к разработке отраслевых норм о защите персональных данных 1 Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data. – (http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016L0680 &qid=1497555625791&from=en). – Дата обращения 20.05.2017. 190 саморегулирующих организаций и объединений предпринимателей для конкретных секторов экономики. Примером этого может служить информация, размещенная на сайте Информационного комиссара Великобритании, где приведены подробные инструкции и руководства по организации системы защиты персональных данных в различных секторах экономики, чтобы организация могла грамотно и правильно организовать свои бизнес-процессы в соответствии с европейскими и национальными нормами о защите данных. Аналогичные разделы сайта и направления деятельности есть у многих уполномоченных органов по защите прав субъектов персональных данных в европейских странах Комиссия по защите частной жизни Бельгии, Национальная комиссия по информатике и свободам во Франции, Комиссар по защите данных в Ирландии, Национальный комиссар по защите данных Португалии и т.д. Существенным отличием в текущей деятельности, деятельности по защите прав субъектов персональных данных и деятельности по контролю и надзору за соблюдением законодательства о персональных данных у этих органов как раз считается взаимодействие с операторами и субъектами персональных данных по предоставлению консультаций о применении законодательства о персональных данных. Примером может служить достаточно свежая статистика Национальной комиссии по информатике и свободам, где ключевым показателем является не количество проверок, или количество составленных протоколов и поступлений в бюджет государства, что характерно для ее российского аналога, а в большей степени количество консультаций, оказанных гражданами организациям, количество выданных 1 Information Commissioner’s Office. – (https://ico.org.uk/for-organisations/). – Дата обращения 20.05.2017. 2 Commission de la protection de la vie privée. – (https://www.privacycommission.be/fr/legislation-comites- sectoriels). – Дата обращения 20.05.2017. 3 Commission Nationale de l'Informatique et des Libertés (CNIL). – (https://www.cnil.fr/fr/). – Дата обращения 20.05.2017. 4 Data Protection Commissioner. – (https://www.dataprotection.ie/docs/Guidance-Material-Menu-Page/m/219.htm). – Дата обращения 20.05.2017. 5 Comissão Nacional de Protecção de Dados. – (https://www.cnpd.pt/bin/orientacoes/orientacoes.htm). – Дата обращения 20.05.2017. 6 Отчет о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2015 год. – (https://rkn.gov.ru/docs/Otchet_ZPD_rus2015.pdf htm). – Дата обращения 20.05.2017. 191 разрешений и количество заключений на проекты нормативных актов различного уровня 1 Еще одним крайне интересным направлением деятельности Национальной комиссии по информатике и свободам является организация добровольной аккредитации бизнес-процессов компаний-операторов сточки зрения их соответствия законодательству о персональных данных и выдача им особого знака соответствия (Label CNIL) 2 , что повышает степень доверия к ней со стороны потребителей услуги проверяющего органа. Так в частности за 2016 год Комиссией было выдано 92 таких знака соответствия, которые могут быть использованы компаниями при предоставлении своих услуги размещаться на их сайтах. Помимо возможности получить такой знак соответствия заинтересованные организации, а чаще всего их объединения, могут обратить в Комиссию для получения одобрения своих внутренних корпоративных правил обработки персональных данных. Такая процедура обеспечивает большую прозрачность деятельности ассоциаций предпринимателей и их участников для органа контроля и надзора и позволяет им привести свои бизнес-процессы в соответствие с законодательством о персональных данных. Безусловно, это далеко не все происходящие изменения в зарубежном законодательстве и практике, нос учетом российского опыта они были бы, на взгляд автора, наиболее полезными и актуальными для дальнейшего изучения и возможной адаптации к российским реалиям. 1 Commission Nationale de l'Informatique et des Libertés. Rapport d’Activites 2016. – (https://www.cnil.fr/sites/default/files/atoms/files/cnil-37e_rapport_annuel_2016.pdf htm). – Дата обращения 20.05.2017. 2 Les labels CNIL. – (https://www.cnil.fr/fr/les-labels-cnil htm). – Дата обращения 20.05.2017. 3 Commission Nationale de l'Informatique et des Libertés. Rapport d’Activites 2016. – (https://www.cnil.fr/sites/default/files/atoms/files/cnil-37e_rapport_annuel_2016.pdf htm). – Дата обращения 20.05.2017. 4 Les BCR (règles internes d'entreprise). – (https://www.cnil.fr/fr/les-bcr-regles-internes-dentreprise htm). – Дата обращения 20.05.2017. 192 ЗАКЛЮЧЕНИЕ Очевидно, что стремительное распространение новых информационных технологий и поразительная быстрота, с которой они внедряются в жизнедеятельность общества, государства, бизнеса, личности, требует нового адекватного современным реалиям правового регулирования, позволяющего учесть баланс интересов между правами и свободами личности, общественными и государственными интересами. Совершенно естественно, что такие изменяющиеся реалии требуют осмысления их каждый раз по-новому в попытке найти новую точку баланса этих интересов. Как уже было заявлено в исследовании, идея защиты частной жизни при автоматизированной обработке данных, появившаяся на рубеже х годов XX века в значительной степени эволюционировала за прошедшие 40 лет. Появились новые реалии и новые технологии, новые возможности для обработки данных о физических лицах. В действительности, современный мир информационных технологий, активно использующий сейчас технологии больших данных, интернета вещей, умных домов, облачных вычислений, «Интернет-технологии web 2.0» и т.п., сделал жизнь человека более комфортной и удобной, нов тоже время и более уязвимой для внешнего вмешательства. Информационный след, оставляемый индивидом повсюду, непросто хранится, но подвергается глубокому и всестороннему анализу. В противовес этому эволюционирует и идея личной свободы, которая теперь позволяет не только свободно располагать собой, но и информацией об индивиде, ив первую очередь – путем определения круга субъектов, допущенных к ее обработке. Именно возможность контролировать и определять параметры правового режима персональных данных, как информации ограниченного доступа, лежит в основе построения системы защиты персональных данных. Итогом исследования, проведённого автором при решении поставленных задач, является предлагаемая автором концепция соотнесения 193 режима персональных данных, установленного специальным Федеральным законом О персональных данных, с существующими правовыми режимами информации ограниченного доступа и сделаны следующие выводы. Правовой режим персональных данных как информации имеет сложную структуру. Персональные данные могут быть как общедоступной информацией, в тех случаях, когда того требует норма закона или субъект сам дал на то свое согласие, либо, наоборот, находится в условиях режима информации ограниченного доступа. При этом в рамках последнего следует выделить особо правовой режим конфиденциальности персональных данных, который устанавливается специальным федеральным законом и включает в себя отдельно режим особых категорий персональных данных, режим биометрических персональных данных. При этом наиболее сложным вопросом по-прежнему остается вопрос о соотнесении режима конфиденциальности персональных данных с другими режимами информации ограниченного доступа, ив частности режимами различного рода тайн. Фактически в большинстве случаев, когда речь идет о профессиональных тайнах, чаще всего информацией, охраняемой на условиях таких режимов, оказываются именно персональные данные врачебная тайна, тайна ЗАГС, нотариальная тайна, тайна исповеди, тайна связи и т.д.) Более того, персональные данные, как оказывается, могут находиться ив условиях иных режимов информации ограниченного доступа, включая государственную и служебную тайну. В связи с этими учитывая общие конституционные принципы, устанавливающие приоритет прав и свобод личности, следует рассматривать режимные требования специального закона о персональных данных как приоритетные, за исключение отдельных случаев, когда уже действующие режимные требования гарантируют более высокую степень защиты информации (государственная тайна. При этом автором полагает целесообразным установление еще одного принципа регулирования обработки персональных данных – презумпции 194 конфиденциальности персональных данных, в том числе путем включения его в специальный закон о персональных данных. Автором также отмечается, что неразрешенность множества проблем, связанных с определением содержания режима конфиденциальности персональных данных, объясняется общими теоретическими проблемами информационного права. Среди российских ученых по-прежнему нет единого мнения о понятии и содержании термина тайна и системе информации ограниченного доступа. В целом представленное диссертационное исследование позволило уточнить понятие и содержание персональных данных и их режима, а также обосновать и сформулировать предложения по дальнейшему совершенствованию российского законодательства в этой сфере. Настоящее исследование, безусловно, не исчерпывает всего перечня и содержания затрагиваемой проблематики в области персональных данных. К примеру, за пределами исследования остались вопросы об обеспечении защиты персональных данных и прав личности в условиях развития технологий больших данных, умных вещей, Интернета вещей, которое вполне могут стать предметом самостоятельного исследования в этих областях. |