Текст книги "Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет"

Комиссар является органом исполнительной власти по защите данных в Великобритании, независимым должностным лицом, назначаемым Ее Величеством, и ему выдается патент, однако комиссар, его должностные лица и сотрудники не должны рассматриваться в качестве служащих или агентов короны. Основное направление его деятельности – защита информационных прав и содействие открытости государственных органов и конфиденциальности данных для физических лиц.

Управление комиссара (ICO) в Великобритании является вневедомственным государственным органом, который подчиняется непосредственно парламенту при поддержке Министерства юстиции.

Обязанности ICO включают в том числе:

1) предоставление консультаций и рекомендаций для организаций и физических лиц;

2) рассмотрение жалоб от лиц, которые подозревают, что нарушено законодательство о защите данных;

3) выдача предписаний о защите данных;

4) ведение государственного реестра контролеров данных.

Если комиссар постановил, что конкретная организация или лицо нарушили любое из информационных прав, то он имеет право инициировать судебное расследование[65]65
  Information Commissioner’s Office. URL: https://ico.org.uk/


[Закрыть].

«Акт о защите данных» в главе V устанавливает следующие принципы взаимоотношения комиссара и контролеров данных:

1) комиссар разрабатывает свод правил, обязательных для контролеров;

2) комиссар направляет уведомления, которые обязательны для исполнения контролером;

3) комиссар определяет порядок исполнения уведомлений и проверки их исполнения.

Комиссар может налагать штрафы в размере до 500 тыс. фунтов стерлингов за серьезные нарушения «Акта о защите данных» в Великобритании в тех случаях, когда нарушение может нанести существенный имущественный ущерб или нравственные страдания.

Таким образом, комиссар наделен всей полнотой власти как по установлению определенных требований к защите персональных данных, так и по расследованию инцидентов и по привлечению виновных лиц к ответственности.

Что касается трансграничной передачи данных, то в Великобритании, как и в других странах ЕС, установлено, что любая передача персональных данных за пределами Европейской экономической зоны (ЕЭЗ) допускается без дополнительных требований в случае, если страны-участницы обеспечивают адекватную защиту. Кроме того, существует требование об обязательной обработке персональных данных сначала на территории Великобритании, и только после совершения этих действий такие данные могут быть переданы в страны ЕС.

К странам с достаточным уровнем защиты относятся страны, которые были признаны таковыми Европейской комиссией в соответствии с Директивой 95/46/ЕС.

1.4. Германия

Германия является членом ООН, в связи с этим ст. 12 Всеобщей декларации прав человека, принятой Резолюцией 217 А (III) Генеральной Ассамблеи ООН от 10 декабря 1948 г., несмотря на ее декларативный характер, считается в Германии основой защиты персональных данных. Согласно данной статье «никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию. Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств».

Основную же регламентирующую роль на национальном уровне при регулировании вопросов защиты персональных данных в Германии играют нормы европейского права.

В частности, базовый характер носят нормы Европейской конвенции по правам человека, согласно которой каждый имеет право на уважение его личной и семейной жизни, его жилища и его корреспонденции.

Среди основных актов наднационального характера, регламентирующих порядок защиты персональных данных в Германии, можно назвать следующие:

1) Конвенция № 108;

2) Директива ЕС 95/46/ЕС;

3) Директива 97/66/ЕС об обработке персональных данных и защите личной сферы в области телекоммуникации;

4) Директива 2002/58/EG об обработке персональных данных и защите личной сферы при электронной коммуникации;

5) Регламент ЕС № 45/2001 о защите персональных данных при их обработке органами и учреждениями Европейского союза;

6) Рамочное решение Совета Европейского союза 2008/977/ПВД от 27 ноября 2008 г. о защите персональных данных, обработанных в рамках полицейского и судебного сотрудничества по уголовным делам.

Указанные акты были имплементированы в национальное законодательство Германии.

Защита персональных данных в Федеративной Республике Германия (далее – Германия) определяется в значительной степени Решением Конституционного суда Германии 1983 г. о переписи населения[66]66
  BVerfG, Urteil vom 15. Dezember 1983 Az.: 1 BvR 209/83, 1 BvR 484/83, 1 BvR 440/83, 1 BvR 420/83, 1 BvR 362/83, 1 BvR 269/83 (Volkszählungsurteil).


[Закрыть]и основывается на положениях Конституции Германии о защите личности. Данное решение устанавливает, что недозволительные сбор, обработка, использование личных или персональных данных противоречат ст. 1 и 2 Конституции Германии о защите личности и ст. 10 Закона Германии о конфиденциальности данных связи[67]67
  Fernmeldegeheimnis.


[Закрыть]. В 2008 г.

Конституционный суд Германии обосновал основное право на гарантированную конфиденциальность и целостность информационно-технических систем[68]68
  BVerfG, Urteil vom 27. Februar 2008 Az.: 1 BvR 370/07, 1 BvR 595/07.


[Закрыть].

Основным законом о защите персональных данных в Германии является Федеральный закон о защите данных[69]69
  Bundesdatenschutzgesetz.


[Закрыть] (далее – Закон о защите персональных данных, BDSG). Этот закон реализует Директиву 95/46/ЕС. Задачей Закона о защите персональных данных является защита каждого от нарушения его прав при использовании его персональных данных. Закон о защите персональных данных не является единственным нормативным правовым актом в Германии по защите персональных данных. К правовой защите персональных данных в широком смысле относятся все законы, соглашения, указы и решения судов, посвященные праву на информационное самоопределение и вопросам обращения с персональными данными. Отдельные нормы по защите персональных данных содержат, в частности, следующие законы:

1) Закон о средствах аудиовизуальной информации (Telemedieng-esetz, TMG);

2) Закон о связи (Telekommunikationsgesetz, TKG);

3) Закон против недобросовестной конкуренции (Gesetz gegen den unlauteren Wettbewerb, UWG);

4) Закон о статистике для федеральных нужд (Gesetz über die Statistik für Bundeszwecke, BstatG);

5) Социально-правовой кодекс № 10 (Sozialgesetzbuch X, SGBX);

6) Закон о генетическом обследовании людей (Gesetz über genetische Untersuchungen bei Menschen, GenDG).

Механизмы, направленные на сохранение конфиденциальности персональных данных, предусмотрены также в Гражданском (BGB) и Уголовном (StGB) кодексах Германии, а также во всех процессуальных кодексах.

Вопросы соотношения европейского и национального законодательства в Германии иногда носят спорный характер. Примером тому может служить позиция Европейской комиссии и регулятора Германии по вопросу хранения данных в связи с отменой Директивы о резервном хранении данных 2006/24/ЕС (Директива 2006/24/ЕС).

Директива 2006/24/ЕС принималась с целью унифицировать национальные законодательные системы в области резервного хранения телекоммуникационных данных. Гармонизация законодательных систем должна была обеспечить возможность хранения данных на определенный срок с целью преследования особо тяжких уголовных преступлений. Директива 2006/24/ЕС обязывала государства – члены Европейского содружества издать законы для резервного хранения данных, которые создаются при предоставлении поставщиками телекоммуникационных услуг и использовании этих услуг, на срок минимум шесть месяцев или максимум два года[70]70
  URL: http://curia.europa.eu/juris/documents.jsf?num=C-293/12


[Закрыть].

Немецкий бундестаг принял в связи с этим 9 ноября 2007 г. закон «О новом регулировании надзора над телекоммуникацией и прочих скрытых расследовательных действий, а также для внедрения Директивы 2006/24/ЕС». Закон вступил в силу 1 января 2008 г. Срок для внедрения абз. 1 ст. 15 Директивы 2006/24/ЕС истек 15 сентября 2007 г. Таким образом, Германия, как и 19 других государств-членов, не справилась с исполнением постановления Европейского содружества[71]71
  URL: http://dip21.bundestag.de/dip21/brd/2007/0798-07.pdf


[Закрыть].

2 марта 2010 г. Конституционный суд Германии постановил, что конкретные требования по организации хранения данных Директивы 2006/24/ЕС не соответствуют конституционным нормам Германии и являются недействительными[72]72
  URL: https://www.bundesyerfassungsgericht.de/entscheidungen/rs20100302 lbvr025608.html


[Закрыть].

6 июля 2006 г. Ирландия подала иск в Европейский суд с просьбой признать Директиву недействительной по формальным причинам: по мнению Ирландии, Директива была принята без существующей на то законодательной компетенции Европейской комиссии. К иску присоединился Конституционный суд Австрии с вопросом о предварительном решении.

В ходе разбирательства генеральный прокурор Европейского суда заявил, что обязательство резервного хранения данных в конкретном виде несовместимо с хартией Европейского союза, и расценил Директиву как ничем не оправданное вмешательство в частную сферу. 8 апреля 2014 г. Европейский суд признал Директиву 2006/24/ЕС недействительной, присоединившись к мнению генерального прокурора[73]73
  URL: http://curia.europa.eu/juris/documents.jsf?num=C-293/12


[Закрыть].

11 июля 2012 г. Европейская комиссия подала иск против Германии из-за неполного введения Директивы 2006/24/ЕС в национальное законодательство (в национальное законодательство Германии был внедрен только абз. 1 ст. 15 Директивы). В результате это разбирательство не состоялось. Иск был отозван 5 июня 2014 г. по причине установленной Европейским судом недействительности Директивы. Далее экспертиз или проверок назначено не было[74]74
  URL: http://curia.europa.eu/juris/documents.jsf?num=C-329/12


[Закрыть].

Германия – федеративное государство, членами которого являются так называемые государства-члены, или земли (нем. Land – земля, страна). Согласно Конституции Германии, федерация государств-членов не обладает абсолютной законодательной компетенцией по вопросам защиты персональных данных в ведении административных дел. Исторически сложилось, что самый первый в Германии закон о защите персональных данных был принят в земле Гессен в 1970 г. Впоследствии все остальные 15 земель утвердили собственные законы о защите персональных данных. Эти законы распространяются на соответствующие земельные административные органы и ведомства, а также на муниципалитеты. В связи с изложенным действие Федерального закона BDSG в Германии дополняется и конкретизируется следующими региональными актами:

1) Закон о защите персональных данных земли Баден-Вюртемберг;

2) Закон о защите персональных данных земли Бавария;

3) Закон о защите персональных данных города Берлин;

4) Закон о защите персональных данных земли Бранденбург;

5) Закон о защите персональных данных Вольного ганзейского города Бремен;

6) Закон о защите персональных данных Вольного ганзейского города Гамбург;

7) Закон о защите персональных данных земли Гессен;

8) Закон о защите персональных данных земли Мекленбург – Передняя Померания;

9) Закон о защите персональных данных земли Нижняя Саксония;

10) Закон о защите персональных данных земли Северный Рейн – Вестфалия;

11) Закон о защите персональных данных земли Рейнланд-Пфальц;

12) Закон о защите персональных данных земли Саар;

13) Закон о защите персональных данных Свободного государства Саксония;

14) Закон о защите персональных данных земли Саксония-Анхальт;

15) Закон о защите персональных данных земли Шлезвиг-Гольштейн;

16) Закон о защите персональных данных Свободного государства Тюрингия.

Термин «персональные данные» в первую очередь определяется § 3 BDSG: это «отдельные данные о личных или деловых обстоятельствах конкретного или определяемого физического лица». Аналогичное определение повторяется и в других законах, например в § 12 Закона о статистике для федеральных нужд или в § 203 Уголовного кодекса Германии. Другие нормативные правовые акты (например, абз. 1 § 67 Социально-правового кодекса Германии) перенимают это же определение с поправкой на социальные данные.

Указанное выше определение персональных данных включает следующие понятия:

а) отдельные данные – определенная информация, относящаяся к одному конкретному физическому лицу или с помощью которой можно установить конкретное физическое лицо. Персональными данными в этом смысле являются также статистически рассчитанные данные, как, например, расчеты по кредиту и иные данные, которые позволяют определить физическое лицо[75]75
  Gola/Schomerus, opa.eu/juris/d. Закон о персональных данных Германии.


[Закрыть].

б) Личные или деловые обстоятельства физического лица – информация о конкретном физическом лице или об обстоятельствах, касающихся его. Данный термин понимается в широком смысле. Прогнозы и планы, в том числе данные о предстоящих обстоятельствах, даже если их реализация неопределенна, включаются в определение личных обстоятельств[76]76
  §3.


[Закрыть].

Несмотря на то что Закон о персональных данных включает в число персональных данных данные и юридических, и физических лиц, защите в соответствии с этим законом подлежат персональные данные только физических лиц. Юридические лица не защищены Законом о защите персональных данных. Защита распространяется только на отдельных участников юридических лиц, если данные о юридическом лице также отражаются и на них. Закон о связи Германии, в свою очередь, распространяет свою защиту и на юридических лиц[77]77
  Gola/Schomerus, opa.eu/juris/d. Закон о персональных данных Германии.


[Закрыть].

Закон о персональных данных Германии не защищает персональные данные умерших лиц. Конституционный суд Германии считает, что права личности со смертью прекращают действие[78]78
  Там же.


[Закрыть].

Таким образом, определение персональных данных в Германии гораздо шире, чем российское определение. Включение в число персональных данных статистически рассчитанных данных, данных, полученных в результате сопоставления данных, прогнозных данных отличает германское определение от российского. Можно констатировать, что подобное определение персональных данных в Законе о защите персональных данных Германии позволяет применять указанный закон в целях защиты прав индивидов при обработке больших данных.

Защите подлежат персональные данные всех физических лиц. Ограничения есть, как указано выше, в отношении юридических лиц. Описанный в настоящем параграфе термин «персональные данные» не является исчерпывающим. Правовой основой для защиты персональных данных является конституционно гарантированное право свободы личности. Если защита специальными законами для персональных данных неосуществима, то проверяется нарушение прав свободы личности. Согласно решению Конституционного суда Германии, каждый имеет право на информационное самоопределение, т. е. каждый изначально вправе сам решать, какая информация о нем и кому будет доступна. Ограничивается это право только другими конституционными гарантиями[79]79
  Bamerger/Roth, Гражданский кодекс Германии.


[Закрыть].

Согласно абз. 1 § 1 Закона о защите персональных данных субъект персональных данных – это любое физическое или юридическое лицо, однако защита персональных данных юридических лиц не настолько обширна, как физических.

Несмотря на то что Германия подчиняется директивам Европейского союза, в законодательстве Германии отсутствуют понятия «оператор данных» и «обработчик данных». Закон о защите персональных данных знает такие термины, как «ответственное лицо» – это лицо, осуществляющее сбор, обработку и использование персональных данных, а также «получатель персональных данных».

Ответственное лицо (абз. 7 § 3 Закона о защите персональных данных) – это любое физическое лицо или организация, которые либо сами собирают, обрабатывают или используют в собственных целях персональные данные, либо поручают эту деятельность другим.

Получатель персональных данных (абз. 8 § 3 Закона о защите персональных данных) – это любое физическое лицо или организация, которые получают персональные данные.

В Германии, в отличие от других государств, существует не государственный орган, а должностное лицо, уполномоченное обеспечивать защиту персональных данных (как, например, в России есть Уполномоченный по правам человека).

Согласно § 22 ff Закона о защите персональных данных на федеральном уровне назначен Уполномоченный в сфере защиты персональных данных и свободы информации. Уполномоченный в сфере защиты персональных данных есть также в каждой из земель.

Административные органы и неадминистративные организации, которые занимаются обработкой персональных данных (с числом сотрудников более девяти), также должны согласно § 4 f Закона о защите персональных данных письменно назначить уполномоченное лицо. Уполномоченное лицо отвечает внутри организации за соблюдение защиты персональных данных.

Сбор, обработка и использование персональных данных допустимы только в том случае, если Закон о защите персональных данных или другая правовая норма это допускают или субъект персональных данных дал свое разрешение. Для улучшения защиты персональных данных специализированные организации – поставщики систем и программ для обработки данных, а также организации, занимающиеся обработкой персональных данных, могут представить свой концепт по защите персональных данных независимым официальным экспертам на проверку и опубликовать результаты.

В Германии установлена уголовная ответственность за нарушение требований, установленных Законом о защите персональных данных.

За обеспечение доступа к персональным данным неограниченного круга лиц или за несанкционированный доступ третьих лиц к персональным данным установлена следующая ответственность:

а) при непреднамеренном характере действия – денежный штраф до 300 тыс. евро (§ 43 Закона о защите персональных данных);

б) при преднамеренном характере действия – аналогичное денежное наказание и лишение свободы до двух лет (§ 44 Закона о защите персональных данных).

За непринятие мер по защите персональных данных установлена следующая ответственность:

а) при непреднамеренном характере действия – денежный штраф до 50 тыс. евро (§ 43 Закона о защите персональных данных);

б) при преднамеренном характере действия – аналогичное денежное наказание и лишение свободы до двух лет (§ 44 Закона о защите персональных данных).

Персональные данные могут быть переданы третьим лицам только в том случае, если третьи лица имеют оправданный интерес в получении информации. Термин «оправданный интерес» в немецком законодательстве подразумевает в основном защищенное законодательством право третьих на получение той или иной информации. Оправданным считается, например, интерес банка о кредитоспособности клиента или интерес кредитора об имуществе должника. Во всех остальных случаях персональные данные могут быть переданы третьим лицам только с согласия субъекта персональных данных.

Любая обработка данных, позволяющих при сопоставлении получать персональные данные, охватывается дефиницией «персональные данные» и защищена Законом о защите персональных данных. Исключения составляют следующие виды сбора информации, которые отвечают признакам обработки больших данных:

а) для целей заключения, исполнения и прекращения договора с субъектом разрешается собирать и использовать данные для прогноза будущего поведения субъекта (§ 28а f Закона о защите персональных данных);

б) разрешаются также сбор, использование и обработка данных для исследования рынка и общественного мнения (§ 30а Закона о защите персональных данных);

в) разрешаются сбор, обработка и использование данных для научных исследований (§ 40 Закона о защите персональных данных).

Анализ данных, как и любая иная обработка данных, защищен Законом о защите персональных данных. Исключения составляют правила для провайдеров, предлагающих телекоммуникационные услуги, услуги доступа к Интернету и иные связанные с Интернетом услуги.

Согласно § 98 Закона о связи данные по определению местонахождения пользователя телекоммуникационных сетей могут быть использованы только в объеме, требуемом предоставленной услугой, и только в соответствующий период, если они были предварительно анонимизированы или если пользователь дал для использования данных свое согласие.

Согласно § 107 Закона о связи провайдеры имеют право обрабатывать информацию только в объеме, разрешенном им пользователем, или только в том объеме, который требуется для выполнения услуг.

В других случаях, если лицо неправомерно для себя лично или для других собирает не для него предназначенные данные из необщедоступных источников с использованием технических средств, согласно § 202b Уголовного кодекса Германии оно может быть привлечено к ответственности с наложением денежного штрафа или понести наказание в форме лишения свободы до двух лет.