Текст книги "Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет"

Надзорный орган по защите персональных данных осуществляет большую часть функций, связанных с защитой персональных данных, включая наложение административных взысканий. Тем не менее нельзя сказать, что он является единственным органом в рассматриваемой сфере, так как полномочия по администрированию участников деятельности по обработке персональных данных принадлежат и Органу по потребителям и рынкам, который также может налагать штрафы, причем более существенные, чем Надзорный орган по защите персональных данных.

С точки зрения международного представительства Надзорный орган по защите данных достаточно активен. Он участвует в Рабочей группе по ст. 29[88]88
  Article 29 Working Party. URL: http://ec.europa.eu/justice/data-protection/ article-29/index_en.htm


[Закрыть], объединяющей надзорные органы стран ЕС в рамках независимого консультативного органа, и в совместных надзорных органах Европола, Евроюста и европейских информационных систем («Шенген» и «Виза»). Также он принимает участие в ежегодных весенней Конференции европейских органов по защите данных (в рамках Совета Европы) и Международной конференции комиссаров по защите данных (которая в 2015 г. была проведена в Нидерландах), а также в Global Privacy Enhancement Network[89]89
  Global Privacy Enhancement Network. URL: https://www.cbpweb.nl/en/about-dutch-dpa/international-tasks-and-activities


[Закрыть].

Закон о телекоммуникационных данных запрещает рассылку нежелательной информации с помощью электронной почты, которая допустима только с предварительного согласия получателя и при возможности установить отправителя и отписаться от его сообщений. Субъект данных имеет право потребовать у оператора прекращения использования его данных для прямого маркетинга.

При создании персонализированной (таргетированной) рекламы должны в полном объеме соблюдаться все требования законодательства о защите персональных данных Нидерландов.

1.6. Япония

Помимо актов общего характера, принятых в рамках ООН (Всеобщая декларация прав человека 1948 г., Международный пакт о гражданских и политических правах 1966 г.), в отношении персональных данных Япония не согласует свое законодательство с иными актами и не участвует в региональных правовых соглашениях.

Япония приняла Закон о защите персональной информации от 2003 г. № 57 (в силу вступил в 2005 г.)[90]90
  Act on the Protection of Personal Information (Act No. 57 of 2003). URL: http:// www.cas.go.jp/jp/seisaku/hourei/data/APPIHAO.pdf


[Закрыть], построенный по модели Директивы ЕС 95/46/ЕС. В марте 2015 г. в нижнюю палату японского парламента был внесен, а в сентябре принят законопроект, дополняющий Закон 2003 г. о персональной информации существенными поправками (вступают в силу через два года)[91]91
  JapanAmendsItsDataPrivacyLaw: “Big Data” ComesWithNew Regulations. URL: http://www.iptechblog.com/2015/09/japan-amends-its-data-privacy-law-big-data-comes-with-new-regulations/


[Закрыть]. Законопроект уточняет определение личной информации, создает независимый контрольный комитет, налагает ограничения на обработку чувствительной информации, ужесточает ограничения по раскрытию информации третьим лицам и в третьи страны с недостаточно высоким уровнем защиты информации, обязывает оператора данных хранить записи и отчетность и устанавливает порядок регулирования «больших данных» и анонимизации (обезличения) личной информации[92]92
  Japan То Amend Personal Information Protection Act. URL: http://www. Charles – russellspeechlys.com/updates/publications/commercial-new/japan-to-amend-personal-information-protection-act/?utm_source=Mondaq&utm_medium=syndication&utm_ campaign=View-Original


[Закрыть].

В обновленный текст закона с целью упрощения регулирования «больших данных» и движения навстречу бизнесу вводится понятие обезличенной информации, т. е. информации, относящейся к конкретному лицу, из которой удалена вся личная информация (имя, дата рождения и т. п., а также персональные идентификационные коды). При этом распорядители данных (компании) должны обеспечить невозможность восстановления таких данных. После этого информация считается обезличенной и может передаваться третьим лицам без предварительного согласия субъекта данных. Однако перед такой передачей компания обязана публично объявить о характере обезличенной информации и о способе ее передачи, а также уведомить об этом новый надзорный орган – Комиссию по защите персональных данных. В действительности это, вероятно, будет означать возможность использования и продажи персональных данных в составе массивов «больших данных» коммерческим сектором[93]93
  Ibid.; Iwaki H., Caster B. New amendments to Japanese privacy law. URL: https:// www.dlapiper.com/en/australia/insights/publications/2015/09/new-amendments-to-j apanese-privacy-law/


[Закрыть]. Однако следует отметить, что сравнение таких обезличенных данных с другими данными с целью последующей реидентификации субъектов запрещается, а обращение с ними сходно по порядку и уровню защиты с персональными. Тем не менее целесообразность законодательного разграничения двух категорий информации может быть проверена только на практике[94]94
  Greenleaf G. Japan: Toward international standards – except for ^£big data’ // Privacy Laws & Business International Report. June 2015. Iss. 135. UNSW Law Research Paper No. 2015–2051.


[Закрыть].

В 2013 г. был принят Закон об использовании персональных идентификационных номеров в административных процедурах, т. е. в налоговой системе, системе социального обеспечения и системе экстренного реагирования. Японский PIN является обязательным для граждан и резидентов и выдается местными органами самоуправления. Он представляет собой карточку с 12-значным номером, которая должна служить пожизненно. PIN также представляет собой электронное удостоверение личности и средство доступа к государственным электронным сервисам (например, выпуск заверенных печатью свидетельств). Содержащаяся в нем информация ограничивается минимумом сведений (имя, адрес, номер и электронный сертификат для использования налогового сервиса), она не будет храниться централизованно, а будет только относиться к соответствующим ведомствам и доступна им по запросу[95]95
  Japan to Launch Tax Identification Number System. URL: http://www.bna.com/ japan-launch-tax-nl7179922860/


[Закрыть] в рамках общей сетевой системы, объединяющей государственные органы и пользователей[96]96
  Act on the Use of Numbers to Identify a Specific Individual in the Administrative Procedure. URL: http://www.cas.go.jp/jp/seisaku/bangoseido/pdf/en3.pdf


[Закрыть] (Cooperation Network System for Personal Information). Частный сектор сможет использовать PIN-карты только в пределах, обозначенных законом (для удержания налогов, например[97]97
  “My Number” system: the basics. URL: http://ailaw.co.jp/en/blog-en/my-num-ber-system-the-basics/


[Закрыть]). В качестве внутреннего идентификатора использовать ее компаниям запрещено. В связи с этим в декабре 2014 г. специальная комиссия Кабинета министров Японии издала Руководство по защите личной информации для компаний. Руководство имеет частично обязательный характер, и его несоблюдение является нарушением закона. В документе представлены четыре типа защитных механизмов: организационные, связанные с человеческим фактором, физические и технические. В целом рекомендации сводятся к необходимости создания общего кросс-организационного режима защиты информации, при котором бы внешние подразделения или субподрядчики соблюдали тот же стандарт, что и внутренние[98]98
  Tsutsumi /. Information security safeguards required for new ID number system – Recent revisions to guidelines for protection of personal information. 11 May 2015. URL: https://www.nri.eom/~/media/PDF/global/opinion/lakyara/2015/lkr2015215.pdf


[Закрыть]. В сходном Руководстве Министерства экономики, торговли и промышленности содержится рекомендация по назначению внутреннего служащего, ответственного за защиту информации в организации и введение четырех типов защитных механизмов. Организационный контроль означает определение обязанностей и ответственности служащих, а также выработку процедурных руководств и их внедрение в практику. Контроль, связанный с человеческим фактором, включает заключение соглашений о неразглашении со служащими и повышение их знаний о защите персональных данных. Физический контроль подразумевает принятие мер, направленных на защиту входов в здание, и запирание картотечных шкафов, хранящих данные. Технический контроль – это отслеживание доступа к данным, мониторинг IT-систем и меры против шпионских программ.

С января 2016 г. система идентифицирования вступает в действие, с 2017 г. владелец карточки сможет отслеживать использование размещенной на ней информации (время, учреждение, основание и т. п.[99]99
  The Social Security and Tax Number System. URL: http://www.cas.go.jp/jp/sei-saku/bangoseido/pdf/en2.pdf


[Закрыть]). В марте 2015 г. парламенту было предложено рассмотреть поправки к закону, которые должны расширить функционал идентификатора: его можно будет использовать также как банковский счет, средство для отметок о вакцинации и медицинскую карту[100]100
  Japan: Cabinet Submits Bill To Amend My Numbers Act. URL: http://www. mondaq.com/x/409064/Data+Protection+Privacy/Cabinet+Submits+Bill+To+Amen d+My+Numbers+Act


[Закрыть].

Закон определяет персональную информацию как информацию о живом лице, которая позволяла бы идентифицировать его как конкретного индивида по имени, дате рождения и отсылке к иной идентифицирующей информации (в законопроекте указаны отпечатки пальцев, номер паспорта и номер мобильного телефона). Иными словами, персональная информация дополнена таким элементом, как персональный идентификационный код (биометрические данные или код, присвоенный лицу). Выделение чувствительной информации производится только в законопроекте, где она включает сведения о расе, вероисповедании, социальном статусе, об истории болезни, судимости и статусе в качестве жертвы преступления. Ее обработка возможна только с предварительного согласия субъекта данных.

Таким образом, в действующем законе дефиниция носит абстрактный характер, но она конкретизируется путем перечисления отдельных элементов в законопроекте.

Закон о персональной информации оперирует термином «лицо» – конкретное физическое лицо, определяемое посредством личной информации (и. 6 ст. 2).

Отличие Закона о персональной информации от Директивы состоит в отсутствии понятий оператора или обработчика данных – вместо них указывается «распорядитель данных» («information handler»[101]101
  Если это не связано с особенностями перевода Директивы на японский и неофициального перевода закона на английский, так как понятие распорядителя, определяемое в законе косвенно, очень близко понятию оператора.


[Закрыть]).

Закон распространяет свое действие на распорядителей информации – компаний, учрежденных или имеющих подразделения в Японии, или распорядителей информации – иностранных компаний, обрабатывающих личные данные японских субъектов данных.

В действующем подзаконном Руководстве Службы по финансовым услугам под распорядителем информации понимается физическое или юридическое лицо, обладающее базой данных на более чем 5000 человек, актуальных последние шесть месяцев. В законопроекте ограничение в 5000 человек снимается, что включает в сферу действия Закона о персональной информации также малые и средние предприятия.

Функция обработчика не отграничена от функции оператора данных, так как оба понятия охватываются более общим понятием «распорядитель данных».

На государство Закон о персональной информации возлагает обязанность по созданию правовой основы по регулированию и защите персональной информации (глава 3 Закона).

Администратором закона в настоящее время является Служба по делам потребителей[102]102
  The Consumer Affairs Agency. URL: http://www.caa.go.jp/en/index.html


[Закрыть] и частично – ответственные ведомства (Служба по финансовым услугам, Министерство экономики, торговли и промышленности, Министерство труда), которые после принятия законопроекта должны быть заменены новым единым органом по защите информации.

28 мая 2015 г. стало известно об утечке данных по 1,25 млн личных файлов из системы японской Пенсионной службы. Нарушение связывают с недостаточной степенью взаимодействия службы и вышестоящего Министерства труда, а также с увольнением постоянных квалифицированных сотрудников в составе службы и с заменой их сотрудниками «на аутсорсе». При этом выполнение критических работ сопровождалось нарушением техники безопасности – к системе хранения файлов был подключен Интернет[103]103
  Pension data leakage reports fall short of easing public distrust. URL: http://www. japan-press.co.jp/modules/news/index.php?id=8526


[Закрыть].

Этот инцидент вызвал сомнения в способности государства обеспечить надлежащий уровень защиты персональных данных и в необходимости внедрять PIN[104]104
  Pension data leak points to deeply flawed security culture. URL: http://ajw.asahi. com/article/views/editorial/AJ201508220019


[Закрыть] и поднял проблему размытости ответственности за такие действия.

Обработка персональных данных производится по следующим правилам: следует сообщать субъекту данных ее цель и не менять ее безосновательно (если цель обработки данных меняется, необходимо получение нового согласия), при этом исключения касаются вопросов общественного здравоохранения, когда получение согласия затруднительно, исполнения государственными органами своих функций и т. п. Законопроект вводит понятие анонимной обрабатываемой информации, т. е. информации, выведенной из персональных данных конкретного лица, но не позволяющей установить его личность. Данная информация может быть передана третьему лицу без согласия субъекта данных при условии публичного сообщения о таком раскрытии и классификации ее в качестве анонимной.

При несанкционированной передаче данных третьему лицу действует правило о первичной ответственности организации – распорядителя данных.

В отношении нарушения конфиденциальности данных в законе отсутствует обязанность распорядителей по сообщению о случившемся. Тем не менее в указанных выше министерских руководствах устанавливается обязанность финансовых учреждений по немедленному уведомлению соответствующей службы и субъекта данных об инциденте и публикации о принимаемых мерах. В Руководстве Министерства экономики содержится рекомендация по установлению системы информирования соответствующих ведомств об инцидентах – в частности, об утечках данных.

Законом Японии запрещается передача данных третьему лицу без получения предварительного согласия субъекта. В законопроекте разграничиваются передача третьему лицу внутри страны и трансграничная передача данных. Последняя допускается при соблюдении достаточно высоких стандартов защиты данных в другой стране (уровень оценивается специальным органом по защите данных) или при применении получателем достаточно надежных мер их защиты.

Использование метаданных регулируется «Национальным стандартом описания метаданных» («National Diet Library Dublin Core Metadata Description» – DC-NDL), который следует рекомендациям Дублинской инициативы по ядерным метаданным (Dublin Core Metadata Initiative[105]105
  National Diet Library Dublin Core Metadata Description (DC-NDL). URL: http://ndl.go.jp/en/aboutus/standards/meta.html


[Закрыть]).

Защита данных в Японии обеспечивается введением общих правил обращения с данными распорядителем данных (Закон о персональной информации) и рекомендациями, издаваемыми отдельными ведомствами. Закон устанавливает требование по созданию системы оповещения как самих ведомств, так и затронутых физических лиц в случае инцидента.

Нарушение Закона о персональной информации влечет гражданскую и уголовную ответственность. Точнее, несоблюдение организацией – распорядителем данных предписаний или рекомендаций компетентного органа по порядку обращения с данными наказывается тюремным заключением с обязательными работами на срок до полугода или штрафом в 300 000 японских иен (глава 6 закона).

Законопроект предусматривает введение прямой уголовной ответственности за предоставление или кражу личных данных организацией-распорядителем или ее сотрудниками с недобросовестными намерениями – заключение до одного года или штраф до 500 000 иен.

Любая обработка данных должна сопровождаться обозначением целей и порядка ее выполнения, в этом смысле можно говорить о соглашении между субъектом данных и обрабатывающей организацией.

Во-первых, следует заметить, что Закон о персональной информации направлен на регулирование персональных данных в распоряжении частных организаций, а не государства.

Во-вторых, все данные, в том числе персональные, которые попадают в сферу регулирования Закона об охране специально выделенных видов государственной тайны от 2013 г. № 108[106]106
  Overview of the Act on the Protection of Specially Designated Secrets. URL: http://www.cas.go.jp/jp/tokuteihimitsu/gaiyou_en.pdf


[Закрыть], пользуются специальным режимом. Эти данные относятся к четырем категориям: 1) оборона; 2) дипломатия; 3) контрразведка и 4) предотвращение терроризма.

Что касается таргетированной рекламы посредством электронной рассылки, то она допускается только с согласия адресата. Исключение касается только субъектов, профессионально занятых сделками купли-продажи и состоящими в соответствующих отношениях с отправителем (что регулируется иными актами, нежели Закон 2003 г.).

1.7. Аргентина

В Аргентине регулирование персональных данных осуществляется на национальном уровне, но в силу признания Аргентиной норм международного права включает также документы, принятые на уровне

Генеральной Ассамблеи ООН, например, «Руководящие принципы регулирования компьютерной обработки персональных данных»[107]107
  Guidelines for the Regulation of Computerized Personal Data Files, G.A. res. 44/132, 44 U.N. GAOR Supp. (No. 49) at 211. U.N. Doc. A/44/49 (1989). URL: https:// www.enisa.europa.eu/activities/risk-management/current-risk/laws-regulation/data-protection-privacy/un-guidelines


[Закрыть].

К числу национальных актов Аргентины, на основании которых осуществляется регулирование персональных данных, относятся:

1) Конституция Аргентины;

2) Personal Data Protection Law 25.326 (Закон о защите персональных данных, далее – Закон № 25.326);

3) Direcciön Nacional de Protecciön de Datos Personales Disposiciön 11/2006 Apruebanse las Medidas de Seguridad para el Tratamiento у Conservation de los Datos Personales Contenidos en Archivos, Registros, Ban-cos у Bases de Datos Publicos no estatales у Privados;

4) Указ 995/2000 (Decree 995/2000);

5) Распоряжение № 1/2003[108]108
  Распоряжение № 1/2003 «Защита данных – нарушения и штрафы».


[Закрыть], подписанное Агентством по защите данных Аргентины 25 июня 2003 г.;

6) Положение, утвержденное Указом № 1558/2001 от 3 декабря 2001 г.

В октябре 2000 г. Аргентина приняла Закон о защите персональных данных (Personal Data Protection Law 25.326, далее – Закон о защите ПД).

Целью Закона о защите ПД является комплексная защита персональных данных, включенных в файлы, записи, базы данных, или других данных, обрабатываемых техническими средствами государственных органов или частных лиц.

Закон о защите ПД гарантирует право на свободу и личную неприкосновенность частных лиц, защиту их чести и неприкосновенности частной жизни, а также право на доступ к собранной информации в соответствии с ч. 3 ст. 43 Конституции Аргентины.

Закон о защите ПД предусматривает обязательство зарегистрировать базы данных (БД), обрабатывающие персональные данные, а также обязанность создания регистра для регистрации баз данных.

В разделе 2 данного закона даны основные термины в области обращения персональных данных.

Файл, запись, банк данных или базы данных обозначают организованную группу персональных данных лица, которые обрабатываются электронными или другими средствами исходя из первоначальной формы.

Обработка данных в законе Аргентины рассматривается как систематические операции и процедуры, осуществляемые электронными или иными средствами, которые позволяют собирать, сохранять целостность, сортировать, хранить, изменять, оценивать, блокировать, уничтожать персональные данные, а также отправлять эти данные третьим лицам через IT-связь путем запросов или путем 1Т-передачи.

Компьютерные данные – это персональные данные субъекта, обрабатываемые в электронной или автоматизированной форме.

Обезличивание данных – это любая обработка персональных данных, после которой полученная информация не может быть связана с человеком или на основании которой невозможно определить персональные данные человека.

В законе специально регламентируется обработка данных в журналистских целях.

Статья 43.3 Конституции Аргентины предусматривает, что «данная статья не повлияет на тайну источников в журналистике», в связи с чем ст. 1 Закона о защите персональных данных Аргентины гласит, что «журналистские источники информации или базы данных не могут затрагиваться».

По данной статье представлены разъяснения аргентинских властей. Аргентинские власти считают, что данные нормы направлены на сохранение в тайне источников журналистской информации и являются необходимым условием для обеспечения фундаментального права свободы прессы, являющейся важным столпом демократического государства. В этом смысле журналистский источник информации должен быть защищен, например, в случае запроса на доступ к персональным данным источника информации.

В то же время аргентинские власти указывают на то, что в случае публикации в средствах массовой информации недостоверной информации должны существовать нормы, определяющие право на исправление такой информации.

Указ Аргентины 995/2000 (Decree 995/2000) разработан в целях комплексной защиты персональных данных в соответствии с положениями и. 3 ст. 43 Конституции Аргентины.

Статья 29 Указа предусматривает создание органа по надзору, который должен принимать любые необходимые меры для соблюдения целей и положений, включенных в Указ, и являться самостоятельным, выступать в качестве специализированного агентства в рамках Министерства юстиции и прав человека (National Direction for Personal Data Protection – DNPDP).

Статья 47 Указа предусматривает при необходимости удаление баз данных, связанных с предоставлением кредитных услуг, а также требование, что базы данных не должны включать данные о несоблюдении или неисполнении финансовых обязательств.

Национальное агентство по защите персональных данных Аргентины разработало подзаконный акт, в котором определило необходимость создания Регистра национальных баз данных (далее – Регистр БД).

В соответствии с Законом о защите ПД все базы данных, которые подпадают под действие Закона о защите ПД, в том числе являются базами данных, используемыми в личных целях, а также которые уступают или передают владельцы баз данных, должны быть зарегистрированы в Регистре БД. Обработка персональных данных, не входящих в зарегистрированную базу данных, не допускается, и Закон о защите ПД определяет ответственность лиц, обрабатывающих данные из не зарегистрированных в Регистре БД.

Запись баз данных в Регистр БД осуществляется путем подачи заявления через ссылку в веб-странице.

По состоянию на 2012 г. в Регистре Национального агентства по защите персональных данных Аргентины было зарегистрировано 20 000 баз данных.

В 2001 г. Указом от 3 декабря 2001 г. № 1558/2001 утверждено Положение о защите данных. Положение вводит правила реализации принятого Закона о защите ПД, завершает его положения, а также разъясняет нормы Закона о защите ПД, которые могут быть предметом расходящихся интерпретаций.

Нормы о защите данных содержатся также в ряде правовых документов, регулирующих различные секторы, такие как транзакции по банковским и кредитным картам, статистические исследования, охрана здоровья.

Положение о защите данных охватывает БД, которые объединены сетью на межведомственном, национальном или международном уровне. Положение определяет право провинций издавать правовые положения по вышеуказанным вопросам.

Следует отметить, что Аргентина признается в целях трансграничной передачи персональных данных из ЕС страной, обеспечивающей адекватную защиту персональных данных. Это нашло отражение в Решении 2003/490/ЕС (Commission Decision of 30 June 2003) об адекватности обеспечения регулирования ПД в Аргентине[109]109
  Directive 95/46/ЕС of the European Parliament and of the Council on the adequate protection of personal data in Argentina. URL: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32003D0490


[Закрыть].

27 мая 2015 г. Национальное агентство по защите персональных данных Аргентины опубликовало Национальную директиву (National Directorate[110]110
  Disposicion 20/2015 Direcciön Nacional de Protecciön de Datos Personales. URL: http://www.jus.gob.ar/media/2898655/disp_2015_20.pdf


[Закрыть]), которая регулирует обработку персональных данных, полученных посредством дронов, т. е. беспилотных летающих аппаратов.

В соответствии с Национальной директивой персональные данные, полученные посредством дронов, могут быть собраны и обработаны только на основании полученного согласия лица в соответствии со ст. 5° и 6° Закона о защите ПД. Однако данным документом предусмотрены исключения, на основании которых не требуется письменное согласие. Такие исключения полностью соответствуют Закону о защите ПД.

Базы, обрабатывающие персональные данные, полученные от дронов, должны быть зарегистрированы в обязательном порядке в Национальном регистре баз данных. Собственники дронов обязаны сообщить цели и технические возможности устройств для сбора персональных данных.

Требования, связанные с перечисленными в Законе о защите ПД принципами невмешательства в личную жизнь, необходимости соблюдения конфиденциальности, обеспечения безопасности обрабатываемых данных и др., перечислены также в National Directorate [111]111
  Ibid.


[Закрыть].