CC BY
30Европейское право
СОВРЕМЕННОЕ СОСТОЯНИЕ ПРАВОВОГО РЕГУЛИРОВАНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ЕВРОПЕЙСКОМ СОЮЗЕ
ШАДРИН Станислав Александрович,
преподаватель кафедры конституционного и муниципального права юридического факультета
ФГБОУ ВО «Оренбургский государственный аграрный университет», аспирант кафедры международного и европейского права ФГАОУ ВО «Казанский (Приволжский) государственный университет». E-mail stanislav.shadrin@gmail.com
Краткая аннотация: Целью настоящего исследования стал анализ, как самого процесса реформирования европейского законодательства о защите персональных данных, так и его результатов. Для достижения поставленной цели в ходе исследования решались такие задачи, как изучение современного состояния правового регулирования защиты персональных данных в Европейском Союзе, рассмотрение конкретных норм и основных принципов европейского законодательства в этой сфере, анализ наиболее актуальных правовых проблем в области защиты персональных данных, а также предложения по их решению. Учитывая то, что положения Общего регламента защиты персональных данных распространяются и на российские компании, действующие на европейском рынке, в настоящей статье содержатся конкретные рекомендации компаниям по вопросам применения этого законодательства.
Abstract: Digital transformation of public life pose a threat to the system of information security of citizens, which does not affect the political regime in the country, neither level of economic development. Given that the protection of individual with regard to automatic processing and transfer of personal data cannot be solved by using only national means of legal protection of personal data there is a need to develop a common international mechanism of legal regulation of relations in this sphere. The purpose of this study was to analyze how the process of reform of the European legislation on protection of personal data and its results. To achieve this goal during the research, we focused on tasks such as the study of modern state of legal regulation of personal data protection in the European Union, consideration of specific rules and the basic principles of the European legislation in this field, the analysis of the most relevant legal issues in the field of personal data protection, as well as proposals for their solution. In the European Union since May 25, 2018, introduces new General rules of personal data protection (General Data Protection Regulation), under which requirements for security of confidential data is much tougher. Due to the fact that the new Regulation on data protection is not only limited to the territory of the European Union, and its provisions also apply to Russian companies operating on the European market, this article provides specific guidance to companies on the application of this legislation.
Ключевые слова: персональные данные; защита персональных данных; сбор, обработка, передача и раскрытие информации; нарушение требований по обращению с информацией; ответственность.
Keywords: personal data; personal data protection; the collection, processing, transfer and disclosure of information; violation of requirements for handling of information; liability.
В настоящее время режим обеспечения защиты персональных данных выступает стратегической целью Европейского Союза. Это объясняется тем, что Европейский Союз, как один из главных игроков на международной
арене, является первоочередным объектом для негативных кибервоздействий, что требует принятия своевременных, адекватных и эффективных мер противодействия, в том числе принятия действенного и комплексного законодатель-
ства и иных правовых механизмов защиты персональных данных.
Современный этап формирования механизма правового регулирования защиты персональных данных в ЕС начинается со второго десятилетия 21 века. Еврокомиссия выступила с инициативой принятия в этой сфере абсолютно новой Директивы ЕС «О защите физических лиц в отношении обработки персональных данных компетентными органами в целях предотвращения, расследования, обнаружения или уголовного преследования за уголовные преступления или исполнения уголовных наказаний, а также за свободное перемещение таких данных и отмене Рамочного решения Совета ЕС 2008/977/JHA» (Directive of the European Parliament and of the Council of the European Union 2016/681/EC of 27 April 2016 data usage reservation systems (PNR) for the prevention, detection, investigation and prosecution of terrorist crimes and of serious crimes. Директива Европейского парламента и Совета Европейского Союза 2016/681/ЕС от 27 апреля 2016 г. об использовании данных системы бронирования (PNR) для предотвращения, выявления, расследования и уголовного преследования преступлений террористической направленности и тяжких преступлений. Консультант Плюс. Дата обращения 5 января, 2018.
http://www.consultant.ru) (далее - Директива) и Регламента ЕС «О защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмене Директивы 95/46/EC (Общий Регламент о защите данных)» (Regulation number 2016/679 of the European Parliament and of the Council of the European Union "On the Protection of Individuals with regard to processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Regulation on the Protection of Personal Data)". Регламент на английском языке опубликован: The Official Journal of the European Union. - 04.05.2016. - N L 119. - P. 1. (http://eur-lex.europa.eu/). Регламент № 2016/679 Европейского Парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регла-
мент о защите персональных данных)» Принят в г. Брюсселе 27.04.2016. Консультант Плюс. Дата обращения 5 января, 2018. http://www.consultant.ru) (далее - Регламент).
С момента принятия Конвенции 108 Совета Европы (The ETS Convention number 108 of the Council of Europe «On the Protection of Individuals with regard to Automatic Processing of Personal Data». Конвенция ETS № 108 Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных». Заключена в г. Страсбурге 28.01.1981. Официальный интернет-портал правовой информации http://www.pravo.gov.ru, 11.10.2013; СЗ РФ. - 2014. - № 5. - Ст. 419. Данный документ вступил в силу с 01.10.1985. . Конвенция ратифицирована Федеральным законом от 19.12.2005 № 160-ФЗ с заявлениями. Для Российской Федерации данный документ вступает в силу с 01.09.2013. Конвенция ратифицирована Федеральным законом от 19.12.2005 № 160-ФЗ с заявлениями. Консультант Плюс. Дата обращения 6 января, 2018. http://www.consultant.ru) в ее первоначальном виде ряд стран-участниц осуществляли меры по ужесточению своих правил обработки данных. Происходило это главным образом в связи с появлением новых технологий, которые создавали новые вызовы для конфиденциальности. Другим поводом стал рост кибермошенничества с использованием персональных данных. Иначе этот вид преступлений называют «кражей личности». Задолго до эпохи big data он применялся для получения лекарств и денежных средств в банках по поддельным документам.
С увеличением объема передаваемой личной информации в сети кража личности набирала популярность как основной инструмент киберпреступников. По результатам исследования Javelin Strategy & Research1, общий ущерб от онлайн-мошенничеств с использованием персональных данных в 2016 г. стал рекордным за всю историю. Он составил $16 млрд. по сравнению с $15 млрд. годом ранее.
В 2013 г. Служба Великобритании по предотвращению мошеннических действий (CIFAS) сообщила о более чем 50-процентном
1 Pascual et al. 2017
росте числа случаев незаконного использования сведений физических лиц. В одно время с этим Европарламент ужесточил Закон о защите персональных данных. Это стало базой для разработки предложенного годом ранее Общего Регламента по защите данных (General Data Protection Regulation).
Интернет не знает границ, следовательно, любая проблема, возникшая в одном государстве Евросоюза, может моментально перекинуться на другие части Европы. Возникающие проблемы следует решать во взаимодействии и гармонизации между государствами-членами ЕС. В связи с этим ЕС нуждался в совместных и глобальных решениях, обеспечивающих режим комплексной защиты персональных данных одновременно на всей территории Европейского Союза. По этой причине в 2012 г. Европейская Комиссия впервые предложила всеобъемлющую реформу по созданию общих правил защиты данных Европейского Союза.
Для того чтобы обеспечить прозрачность реформы механизма правового регулирования защиты данных, Комиссия проводила публичные консультации и вела интенсивный диалог со всеми заинтересованными сторонами. В частности, Комиссия участвовала в расширенном диалоге с национальными органами по защите данных и с Европейским уполномоченным по защите данных для изучения вариантов последовательного применения правил защиты данных Европейского Союза во всех государствах-членах ЕС.
Оценив последствия различных направлений реформирования указанного механизма, Европейская комиссия предложила сильную и последовательную законодательную основу в рамках политики Европейского Союза с учетом защиты прав отдельных лиц, сохранения Единого рынка защиты данных и сокращения бюрократизма для организаций. Комиссия посчитала, что новый механизм правового регулирования защиты персональных данных должен состоять из:
- Регламента (заменяющего Директиву 95/46 /EC), в котором излагается общая структура ЕС для защиты данных;
- и Директивы (заменяющей Рамочное
решение 2008/977 /JHA), в которой содержатся правила защиты персональных данных, обработанных в целях предотвращения, обнаружения, расследования или уголовного преследования за совершение уголовных преступлений и связанной с ними судебной деятельности.
Следует особо отметить, что основу предложения составляет именно проект регламента, а не директивы. Речь идет не просто о смене типа документа, поскольку регламенты юридически «сильнее» директив, они имеют силу закона в государствах-членах ЕС и подлежат прямому применению, в то время как положения директив подлежат имплементации в национальное законодательство. Так, государства-члены ЕС обязаны принимать законодательные акты, обеспечивающие реализацию поставленных в директиве целей, однако имеют право выбирать способы реализации по собственному усмотрению. Возможно, что выбор в 1995 г. такого типа нормативного акта, как Директива, для урегулирования сферы защиты данных и привел к недостаточной гармонизации законодательства в этой сфере в силу различных способов импле-ментации в разных странах ЕС.
После четырех лет интенсивного обсуждения и переговоров между Комиссией ЕС, Советом Европы, представителями бизнеса и гражданского общества дальнейшее логичное развитие стратегии отразилось в принятии общего законопроекта, состоящего из директивы и регламента. 27 апреля 2016 г. Регламент и Директиву подписали в Брюсселе председатель Европейского Парламента M. Schulz и председатель Совета ЕС J.A. Hennis-Plasschaert. 4 мая 2016 г. Официальный журнал ЕС (Official Journal of the European Union) опубликовал документы о Регламенте и Директиве по защите персональной информации на всех официальных языках .
24 мая 2016 г. Регламент «О защите физических лиц в отношении обработки личной информации и свободных перемещений данных» вступил в полную силу. Данный Регламент применяется на территории ЕС с 25 мая 2018 г. Соответствующая Директива вступает в силу на следующий день после ее публикации в Официальном журнале Европейского Союза.
1 Blythe 2016
Европейские законодатели поставили своей целью создать единую действующую правовую базу, которая будет распространять свое действие на все государства-члены ЕС. Общий Регламент по защите данных нацелен на минимизацию собираемых и обрабатываемых данных, а также на соблюдение принципа конфиденциальности при проектировании систем. Регламент призван повысить юридическую определенность, снизить административную нагрузку и затраты на соблюдение правил для организаций, оперирующих данными. На практике Регламент ужесточает условия ведения бизнеса для всех компаний, которые имеют дело с персональными данными граждан стран ЕС. Закон отражает опасения граждан и законодателей ЕС в плане увеличивающегося объема киберугроз в сети, а также растущих угроз конфиденциальности. В этой связи основные задачи закона направлены на укрепление доверия пользователей к онлайн-сервисам, максимальную защиту гражданских прав и сохранность личных данных.
В частности, в Статье 7 проекта Регламента на контролера данных возложена ответственность за получение согласия субъекта данных на проведение обработки его данных. В Статье 4 в определении термина «согласие» подчеркивается, что оно дается явно, оно должно носить конкретный и недвусмысленный характер и даваться субъектом данных в виде утверждения или четкого утвердительного действия и предоставляется свободно.
Укрепляется само право на информацию с тем, чтобы люди полностью понимали, как обрабатываются их персональные данные, особенно когда деятельность по обработке касается детей.
В проект Регламента также включено новое право - право на переносимость (портативность) данных (Статья 18), которое гарантирует человеку получить свои собственные данные, если они представлены в структурированном и общеупотребительном электронном формате и свободу перемещать информацию о себе от одного поставщика услуг к другому без каких-либо помех.
В Статье 17 проекта Регламента содержалось положение о широко обсуждаемом пра-
ве «на забвение», которое вобрало в себя нормы Директивы 1995 г., предусматривающие право физических лиц на удаление своих личных данных после достижения цели, ради которой они обрабатывались и сохранялись. Регламент, однако, пошел дальше, чем Директива 1995 года: он предусматривает возможность удаления данных, если такие данные больше не нужны для достижения целей, ради которых они собирались и обрабатывались, или если физическое лицо, которого они касаются, отзывает свое согласие, являвшееся основанием для обработки данных.
Пользователи понимают, что собирается гораздо больше данных, чем они осознают, и что некоторые персональные данные, которые, по их мнению, были удалены, все еще сохраняются. С принятием нового Регламента Комиссия ЕС гарантирует, что такого не будет происходить, если ввести:
1) явное требование, которое обязывает интернет-службы социальных сетей (и всех других контроллеров данных) минимизировать объемы личных данных пользователей, которые они собирают и обрабатывают;
2) требование о том, чтобы настройки по умолчанию гарантировали, что данные не станут общедоступными;
3) явное обязательство для контроллеров данных удалять личные данные человека, если это лицо явно запрашивает удаление (своих данных) и если нет других законных оснований для его сохранения.
В соответствии с принципом защиты данных, гарантированной конструкцией (по дизайну), и защиты данных по умолчанию, который содержится в Статье 23 проекта Регламента, компании обязаны учитывать необходимость защиты данных, как на самых ранних стадиях разработки продукции, так и в процессе самой обработки данных (введение принципа «приватность по дизайну» для обеспечения того, чтобы гарантии защиты данных учитывались на этапе планирования процедур и информационных систем). Хотя данная норма представляет собой шаг в верном направлении, концепция защиты данных должна присутствовать на всех стадиях разработки и выпуска продукции на рынок, а контролерам данных должны быть пре-
доставлены определенные стимулы. «Защита данных по умолчанию» означает, что контролер данных должен проследить за тем, чтобы по умолчанию подвергались обработке только те личные данные, которые необходимы для достижения конкретной цели обработки, и чтобы собираемые и сохраняемые данные не превышали пределов необходимости. Также поощряется использование технологий, повышающих конфиденциальность (технологии, которые защищают конфиденциальность информации путем минимизации хранения персональных данных), приемлемые для конфиденциальности параметры по умолчанию и схемы сертификации конфиденциальности.
В проект Регламента включено новое обязательство, в соответствии с которым новые правила обяжут компании, занимающиеся обработкой данных, укрепить свои меры безопасности для предупреждения и предотвращения нарушений, а также в обязательном порядке уведомлять о нарушениях данных национальный орган по защите данных (в течение 24 часов после обнаружения нарушения, когда такое возможно) и соответствующих лиц без неоправданной задержки, если существует вероятность того, что нарушение негативно отразится на защите персональных данных или на неприкосновенности личной жизни субъекта данных.
Согласно проекту нового Регламента физические лица вправе подавать жалобы в надзорный орган, а также в организации, занимающиеся по поручению физических лиц защитой их прав в области передачи данных. Другими словами, в предусмотренных Регламентом случаях нарушений прав физических лиц они имеют право подавать заявления в суд на органы и организации, контролера или обработчика персональных данных. В проект заложено также право на компенсацию, если в результате незаконной операции по обработке данных или иного действия, идущего вразрез с положениями проекта Регламента, человеку нанесен ущерб, кроме случаев, когда контролер или обработчик данных докажут свою непричастность к нанесению ущерба. В этих целях предусмотрено совершенствование административных и судебных средств защиты при нару-
шении прав защиты данных. В частности, квалифицированные ассоциации смогут подавать иски в суд от имени физического лица.
В целях соблюдения общеевропейского режима защиты данных Комиссия ЕС считает, что необходимо укреплять национальные (надзорные) органы и усиливать их сотрудничество, чтобы гарантировать последовательное принуждение и, в конечном счете, единообразное применение правил в ЕС.
Сильная, четкая и единообразная законодательная база на уровне ЕС поможет раскрыть потенциал Единого цифрового рынка и способствовать экономическому росту, инновациям и созданию рабочих мест. Регламент устранит фрагментацию правовых режимов в 28 государствах-членах, а также удалит барьеры на пути выхода на рынок, что имеет особое значение для микро-, малых и средних предприятий.
С этой целью требования и гарантии защиты данных будут изложены в Регламенте ЕС с прямым действием на всей территории Союза; только орган по защите данных, на той территории, где компания имеет основное учреждение, будет нести ответственность за принятие решения о том, действует ли эта компания в рамках закона; оперативная и эффективная координация между национальными органами защиты данных - с учетом того, что эта услуга направлена на отдельных лиц в нескольких государствах-членах, - поможет обеспечить, чтобы новые правила защиты данных ЕС действовали и последовательно применялись во всех государствах-членах.
Новые правила также предоставят компаниям ЕС преимущество в глобальной конкуренции. В рамках реформированной нормативной базы они смогут заверить своих клиентов в том, что ценная личная информация будет обрабатываться с необходимой осторожностью и усердием. Доверие к согласованному режиму регулирования в ЕС станет ключевым активом для поставщиков услуг и стимулом для инвесторов, ищущих оптимальные условия при размещении услуг.
Для повышения объема Единого рынка по защите данных Комиссия предлагает следующее:
- установить правила защиты данных на
уровне ЕС с помощью Регламента, непосредственно применимого во всех государствах-членах, который положит конец кумулятивному и одновременному применению различных национальных законов о защите данных. Это приведет к чистой экономии для компаний в размере около 2,3 млрд. евро в год с точки зрения исключительно административного бремени;
- упростить нормативную среду путем резкого сокращения бюрократизма и устранения формальностей таких, как общие требования к уведомлению (что приведет к чистой экономии в размере 130 миллионов евро в год в разбивке исключительно по административным нагрузкам). Учитывая их важность для конкурентоспособности европейской экономики, особое внимание уделяется конкретным потребностям микро-, малых и средних предприятий;
- создать систему «единого окна» для защиты данных в ЕС: контроллеры данных в ЕС должны будут иметь дело только с одним DPA (надзорным органом), а именно с DPA государства-члена, где расположено основное учреждение (головной офис) компании;
- создать условия для быстрого и эффективного сотрудничества между DPA, включая обязательства одного DPA проводить расследования и проверки по запросу другого и взаимно признавать решения друг друга;
- модернизировать Рабочую группу Статьи 29 в независимый Европейский совет по защите данных, для того чтобы улучшить его вклад в последовательное применение закона о защите данных и создать прочную основу для сотрудничества между органами по защите данных, включая Европейского уполномоченного по защите данных и усилить их синергизм и эффективность, предусмотрев, что секретариат Европейского совета по защите данных будет управляться Европейским уполномоченным по защите данных.
Права физических лиц должны соблюдаться и в тех случаях, когда персональные данные передаются из ЕС в третьи страны, и всякий раз, когда данные лица в государствах-членах используются или анализируются поставщиками услуг из третьих стран. Это означает, что стандарты защиты данных ЕС должны применяться независимо от географического
расположения компании или ее обрабатывающего предприятия.
Для решения проблем глобализации необходимы гибкие инструменты и механизмы -особенно для предприятий, работающих во всем мире и при этом гарантирующих защиту данных физических лиц без каких-либо исключений. В этой связи Комиссия ЕС предлагает следующие меры:
- четкие правила, определяющие, когда законодательство ЕС применимо к контроллерам данных, созданным в третьих странах, в частности, указывая, что, всякий раз, когда товары и услуги предлагаются физическим лицам в ЕС, или всякий раз, когда поведение этих лиц контролируется, применяются европейские правила;
- любые «адекватные решения» будут приниматься Европейской комиссией на основе явных и четких критериев, в том числе в области сотрудничества полиции и уголовного правосудия;
- узаконенные потоки данных в третьи страны будут сделаны более простыми путем усиления и упрощения правил международных трансфертов странам, не охваченным решением об адекватности, в частности путем упорядочения и расширения сферы использования таких инструментов, как обязательные корпоративные правила, с тем чтобы они могли быть использованы для охвата процессоров данных и внутри групп компаний, что лучше отражает растущее число компаний, участвующих в деятельности по обработке данных, особенно в области облачных вычислений;
- участие в диалоге и при необходимости переговоры с третьими странами, в том числе со стратегическими партнерами ЕС и странами Европейской политики соседства, и с соответствующими международными организациями (такими, как Совет Европы, Организация экономического сотрудничества и развития, Организация Объединенных Наций), чтобы продвигать высокие совместимые стандарты защиты данных во всем мире.
Вступление в силу Лиссабонского договора и, в частности, введение новой правовой основы (статья 16 ДФЕС) позволит создать всеобъемлющую систему защиты персональных данных, обеспечивающую высокий уровень за-
щиты данных отдельных лиц при соблюдении специфической природы сферы сотрудничества полиций и судебного сотрудничества по уголовным делам. В результате система защиты данных ЕС будет охватывать, как трансграничную, так и внутреннюю обработку персональных данных, что уменьшит законодательные различия в государствах-членах и, напротив, увеличит несомненную выгоду для достижения общей цели защиты персональных данных. Кроме того, такая система защиты данных будет способствовать более оперативному обмену информацией между полицейскими и судебными органами государств-членов и тем самым улучшит их сотрудничество в борьбе с серьезными преступлениями в Европе.
Обработка данных полицией и судебными органами по уголовным делам в основном регулировалась Рамочным решением 2008/977/JHA, которое предшествовало вступлению в силу Лиссабонского договора. Комиссия ЕС не имела полномочий для обеспечения соблюдения его положений, поскольку это Рамочное решение, характеризующееся неравномерной имплементацией. Кроме того, сферы Рамочного решения ограничиваются трансграничной обработкой. Это означает, что обработка персональных данных, которые не были предметом обмена, на тот момент не регулировались правилами ЕС, регламентирующими такую обработку и защиту фундаментального права на защиту данных. Это также создает в некоторых случаях практические трудности для полиции и других органов власти, для которых может не быть очевидным, является ли обработка данных чисто внутренней или трансграничной; и которые могут не предвидеть, станут ли внутренние данные объектом последующего трансграничного обмена.
Таким образом, новая реформированная система защиты данных ЕС будет направлена на обеспечение последовательного и высокого уровня защиты данных в целях укрепления взаимного доверия между полицейскими и судебными органами различных государств-членов, что в свою очередь будет способствовать дальнейшему свободному потоку данных и эффективному сотрудничеству между полицией и судебными органами.
Для обеспечения высокого уровня защиты персональных данных в области полицейского и судебного сотрудничества по уголовным делам и для содействия обмену персональными данными между полицейскими и судебными органами государств-членов, Комиссия ЕС предлагает в рамках пакета реформы защиты данных Директиву, которая будет в числе прочего:
- применять общие принципы защиты данных для сотрудничества полиции и сотрудничества судебных органов в уголовных делах с учетом специфики этих областей;
- предусматривать минимальные согласованные критерии и условия возможных ограничений для общих правил. Это касается, в частности, прав лиц быть информированными, когда полицейские и судебные органы обрабатывают или получают доступ к их данным. Такие ограничения необходимы для эффективного предупреждения, расследования, обнаружения или преследования уголовных преступлений;
- устанавливать конкретные правила с целью охвата специфики деятельности правоохранительных органов, включая различия между разными категориями субъектов данных, права которых могут варьироваться (например, свидетели и подозреваемые).
Что же касается нового Регламента 2016/679 ЕС, то он во многом основан на Директиве 1995 г., гарантирующей право на конфиденциальность, так как Регламент усиливает защиту прав граждан, делает правила общими для всех членов ЕС и упорядочивает процессы трансграничной передачи данных, требуя защищать данные и в случае хранения их за пределами ЕС. Регламент вводит в действие такие принципы, как защита данных согласно конструкции (по дизайну) и по умолчанию. Например, социальные сети обязаны выставлять в приложениях настройки по умолчанию, защищающие приватность пользователей. В общем случае операторы персональных данных будут обязаны внедрять организационные и технические меры по защите персональных данных, а также назначать ответственное лицо (Data protection officer).
При этом следует отметить, что большинство нововведений, предложенных Европейской комиссией в проекте Регламента, в ко-
нечном итоге вошли в финальный текст данного документа. Рассмотрим основные изменения механизма правового регулирования защиты персональных данных, которые начнут действовать на всей территории ЕС с момента вступления в действие данного Регламента.
Прежде всего, новеллой нового Регламента является обширная терминологическая база, включающая в себя определения, которые являются новшеством не только для европейской системы защиты персональных данных, но и для мирового информационного законодательства. Многие из закрепленных в Регламенте определений отсутствуют, к примеру, даже в таком всеобъемлющем международном документе, как Руководство по защите неприкосновенности частной жизни и трансграничной передаче персональных данных ОЭСР (2013 г.), которое содержит лишь такие понятия, как «Распорядитель данных», «Персональные данные», «Законы о защите неприкосновенности частной жизни», «Орган защиты неприкосновенности частной жизни» и «Трансграничная передача персональных данных». Таким образом, к нововведениям Регламента можно отнести следующие определения:
- «Профилирование» - это любая форма автоматизированной обработки персональных данных, состоящая из использования персональных данных для оценки определенных личных аспектов, относящихся к физическому лицу, в частности для анализа или прогнозирования аспектов, интересующих физического лица на работе, его экономической ситуации, здоровья, личных предпочтений, интересов, надежности, поведения, местоположения или передвижения;
- «Псевдонимизация» - это обработка персональных данных таким образом, что персональные данные больше не могут быть отнесены к конкретному субъекту данных без использования дополнительной информации при условии, что такая дополнительная информация хранится отдельно и подлежит техническим и организационным мерам обеспечивающим, чтобы личные данные не были отнесены к идентифицированному или идентифицируемому физическому лицу;
- «Нарушение персональных данных» -
это нарушение безопасности, приводящее к случайному или незаконному уничтожению, утрате, изменению, несанкционированному раскрытию или доступу к переданным, переданным, иным образом обрабатываемым персональным данным;
- «Генетические данные» - это персональные данные, относящиеся к унаследованным или приобретенным генетическим характеристикам физического лица, которые дают уникальную информацию о физиологии или здоровье этого физического лица и которые, в частности, являются результатом анализа биологического образца физического лица, о котором идет речь;
- «Биометрические данные» - это персональные данные, полученные в результате определенной технической обработки, относящейся к физическим, физиологическим или поведенческим характеристикам физического лица, которые позволяют (определить) или подтверждают уникальную идентификацию этого физического лица, например изображения лица или дактилоскопические данные.
В формулировку одного из основных понятий законодательства о защите персональных данных - «идентифицирующая информация» (идентификатор) - также были внесены корректировки. Анализ Регламента позволяет сделать вывод о том, что если личность может быть теоретически установлена каким-либо способом (имя, идентификационный номер, данные о местоположении и др.), данные являются персональными. Иными словами, европейским компаниям, хранящим и обрабатывающим данные, отныне придется внимательно следить за своими действиями, поскольку идентифицировать личность возможно не только на основе очевидной информации такой, как фамилия, имя и отчество.
Создание единого цифрового рынка является приоритетом для Еврокомиссии уже несколько лет, и вопрос использования персональных данных, которые фактически являются валютой для новой цифровой экономики, очень важен для бизнеса.
Одно из главных преимуществ нового Регламента - это единые правила для всего ЕС. Только эта одна мера должна, по оценкам
экспертов, сэкономить порядка 2,3 млрд. евро в год. Для того, чтобы унифицировать правоприменение между национальными регуляторами, создается единая структура (вместо 28 национальных), с которой будут взаимодействовать европейские компании, и те же правила будут действовать и для иностранных компаний.
Система национальных надзорных органов будет функционировать посредством правовых механизмов, изложенных в Секции 1 Главы 7 Регламента. Этот вопрос, в частности, регламентирует Статья 61 «Взаимопомощь»: надзорные органы предоставляют друг другу необходимую информацию и взаимную помощь для последовательного осуществления и применения Регламента и принимают меры для эффективного сотрудничества друг с другом. Взаимная помощь должна охватывать, в частности, информационные запросы и надзорные меры, такие как заявления о проведении предварительных санкций и консультаций, инспекций и расследований, а также Статья 62 «Совместные операции надзорных органов»: надзорные органы при необходимости проводят совместные операции, включая совместные расследования, и принимают совместные принудительные меры, в которых участвуют члены или сотрудники надзорных органов других государств-членов.
Кроме того, Регламент убирает большинство требований по уведомлению регулятора в связи с обработкой данных пользователей и аннулирует пошлины за их подачу. Данная норма вызвала критику со стороны национальных и гражданских организаций, так как она может привести к передаче функций по регулированию другим странам (например, Великобритании или Ирландии, где расположена большая часть европейских офисов корпораций) и дополнительным барьерам для граждан при подаче жалоб на компании.
Малый и средний бизнес в новом Регламенте выделен в особую категорию. Так, требования переносимости данных в теории должны позволить молодым компаниям успешнее конкурировать с существующими сервис-провайдерами. Во многих случаях обязательства компаний по обработке персональных данных зависят от размера бизнеса. Например,
малый бизнес может не назначать ответственное лицо по защите персональных данных (Обязательства, упомянутые в пунктах 1 и 2 Статьи 30 «Отчеты о действиях по обработке данных», не применяются к предприятию или организации, в которой занято менее 250 человек, за исключением случаев, когда обработка, которую она осуществляет, может привести к рискам для прав и свобод субъектов данных, обработка не является случайной, или обработка включает специальные категории данных, упомянутые в Статье 9 (1) «Обработка специальных категорий персональных данных», или личные данные, относящиеся к уголовным обвинительным приговорам и преступлениям, указанным в Статье 10 «Обработка персональных данных, связанных с уголовными обвинительными приговорами и правонарушениями»).
Исключения составляют случаи, когда основная деятельность компании связана с регулярным и систематическим мониторингом субъектов данных в большом масштабе, или же они обрабатывают специальные категории персональных данных такие, как происхождение, религиозные взгляды, - контроллер и процессор должны назначать сотрудника по защите данных в том случае, если: Основные виды деятельности контроллера или процессора состоят из операций по обработке, которые в силу своего характера, их объема и/или их целей требуют регулярного и систематического мониторинга данных в больших масштабах или основные действия контролера или процессора состоят в обработке в больших масштабах специальных категорий персональных данных (Статья 37 «Назначение сотрудника по защите данных»). Но даже в таких случаях они могут пользоваться услугами сторонних консультантов. Такие же условия Регламент предусматривает для хранения записей о процедурах обработки данных и обязательном сообщении регулятору об утечках.
Развитие экономики больших данных в условиях защиты персональных данных по умолчанию является чувствительным вопросом в новом Регламенте. Правила Регламента предполагают, что бизнес будет активно использовать такие инструменты, как анонимиза-цию (удаление персонально идентифицируемой
информации из массивов данных), псевдони-мизацию (замена персональных данных идентификаторами) и шифрование данных, что позволит продолжить использование инструментов аналитики больших данных. Принимая во внимание современное состояние, стоимость реализации и характер, объем, контекст и цели обработки, а также риски различной вероятности и серьезности для прав и свобод физических лиц, создаваемые обработкой, контролер должен, как во время определения средств обработки, так и во время самой обработки, внедрять соответствующие технические и организационные меры такие, как псевдонификация и шифрование, которые предназначены для реализации принципов защиты данных наиболее эффективным способом, а также интегрировать необходимые меры предосторожности в обработку в целях удовлетворения требований Регламента и защиты прав субъектов данных (Статья 25 «Защита данных намеренно и по умолчанию»).
Таким образом, в соответствии с Регламентом обработчики персональных данных должны будут соблюдать ряд конкретных обязательств, в том числе вести документацию, применять соответствующие стандарты безопасности, назначать сотрудников по защите данных, соблюдать правила международной передачи данных и сотрудничать с национальными надзорными органами. К тому же именно обработчики будут нести прямую ответственность за соблюдение этих правил.
Чтобы подготовиться ко всем изменениям, у компаний и правительственных органов, работающих с персональными данными европейских граждан, остается меньше года. Немецкая исследовательская компания Bitkom Research установила, что по состоянию на июнь 2017 г. 20% из двухсот IT-компаний еще не начали готовиться к реализации требований Регламента, и лишь одно из трех предприятий приступило к осуществлению первых подготовительных шагов.
Тем временем крупные компании уже предприняли стратегические меры. Была сформирована коалиция лидеров облачных вычислений, обслуживающих миллионы европейских клиентов. Она получила название
CISPE (поставщики облачных инфраструктурных услуг в Европе). К коалиции присоединились такие компании, как IBM, Alibaba Cloud, Amazon Web Services, Microsoft Cloud. Вместе они встречают поток предприятий, в спешке переносящих свою IT-инфраструктуру в облака.
Самостоятельная подготовка ко всем требованиям нового Регламента весьма затратна. Разработчик антивирусного программного обеспечения ESET делает вывод, что новые требования, вероятно, приведут к увеличению стоимости услуг по обработке данных1. По результатам исследования информационной компании Veritas Technologies , в среднем компании прогнозируют расходы на сумму более $1,4 млн. Рост затрат и связанная с этим миграция касается в первую очередь обработки данных. В самое ближайшее время предприятиям, деятельность которых включает в себя сбор персональных данных, важно найти надежного облачного провайдера и удостовериться, что поставщик облачного хостинга может обеспечить необходимый уровень безопасности, вести журналы инцидентов и соблюдать прочие требования Регламента.
Согласно новому Закону крупные интернет-компании такие, как Amazon, Google, Apple, Microsoft, обязаны раскрывать информацию об инцидентах информационной безопасности и атаках на их системы в соответствующие надзорные органы ЕС. При этом сокрытие информации или несвоевременное разглашение информации об утечках грозит компаниям крупным штрафом. Штрафы могут достичь до 4% годового оборота компании или суммы в 20 млн. евро, в зависимости от нарушения (Статья 83 «Общие условия для введения административных штрафов»), либо применяются иные санкции со стороны правительства. Это касается и компаний, создающих и обслуживающих инфраструктуру в сфере энергетики, транспорта, здравоохранения, в кредитном и финансовом секторе.
Исходя из анализа положений Регламента и Директивы, можно рекомендовать компаниям, работающим на территории ЕС, до наступления момента начала применения этих
1 Jones 2017
2 Veritas Study 2017
положений на всей территории ЕС, следующие организационные и технические меры:
1. Подготовить политику и процедуры реагирования на возможную утечку данных.
2. Принять механизмы отчетности. Компания должна иметь четкие внутренние стандарты по мониторингу, оценке и минимизации процессов обработки и хранения данных.
3. Принять планирование функций приватности. Функции приватности должны учитываться не только в работе, но и в процессе создания любого нового продукта или сервиса.
4. Проанализировать законные условия, на которых компания использует персональные данные, и ответить, в частности, на следующие вопросы: имеется ли у вас согласие пользователя; способны ли вы продемонстрировать, что данные обрабатываются с должным соблюдением баланса интересов.
5. Проверить пользовательские соглашения. Регламент требует, чтобы информация в них была изложена четким, ясным и доступным языком.
6. Учитывать новые права субъектов такие, как право на перенос данных и право на забвение. Если компания занимается хранением персональных данных, необходимо озаботиться доказательствами того, что права организации иногда перевешивают права субъектов. Компании могут столкнуться, в том числе с пользователями, имеющими нереалистичные и необоснованные взгляды на свои права.
7. Проверить наличие новых обязательств оператора персональных данных. Если компания является поставщиком данных или получает данные от третьей стороны, процедуры соответствия Регламенту должны быть им-плементированы в контрактные обязательства.
8. Обеспечить законность трансграничной передачи данных. В случаях, когда передача будет происходить в юрисдикцию, где отсутствует должный режим защиты персональных данных с точки зрения правил ЕС, компания может быть оштрафована на сумму до 4% от ее мирового оборота за год.
9. Подготовить и принять обязательные корпоративные правила передачи данных, в том числе разработать Кодексы поведения, что можно сделать и в ассоциации с другими учре
ждениями, представляющими категории контроллеров или процессоров.
10. Назначить сотрудника по защите данных. Группа предприятий может назначить одного сотрудника по защите данных при условии, что он легко доступен для каждого учреждения (предприятия).
Быстрый темп развития информационных систем и рост количества интернет-пользователей значительно увеличили риски информационной безопасности. Сегодня почти каждое противоправное действие находит свое отражение в киберпространстве. Для предотвращения данной проблемы должны быть приняты соответствующие меры безопасности. Состояние киберпространства может быть улучшено, в том числе за счет внедрения эффективного законодательства, предусматривающего современные и высокоэффективные механизмы борьбы против киберпреступности.
Фундаментальным шагом кибербезопас-ности Евросоюза является реформа законодательства, а именно принятие общей для всех стран ЕС стратегии, которая включает в себя практические меры и регулятивные нормы по усилению безопасности и надежности сетей общего пользования. Новый Общий Регламент по защите данных создает прочную основу, помогающую развивать инновационные электронно-цифровые услуги и сервисы, и рассматривается в данной работе как ключевой шаг вперед в деле реализации европейской стратегии «Единого Цифрового Рынка» (Digital Single Market), нацеленной на содействие беспроблемному доступу к онлайн-рынкам в условиях справедливой конкуренции и высокого уровня защиты потребителей и их персональных данных.
Рассмотрев глобальные механизмы правового регулирования защиты персональных данных на современном этапе, можно констатировать, что европейская система является самой прогрессивной на данный момент. Правовые механизмы ЕС наиболее развернуто регламентируют свою область применения, создают жесткие рамки для европейских, а также иностранных компаний и мировых корпораций, внедряют независимые контролирующие органы и, что самое главное, обязательны к применению во всех 28 государствах-членах ЕС. Кро-
ме того, они не только призывают и поощряют, но и обязывают развивать международное сотрудничество в сфере защиты данных в современном глобализованном мире (worldwide).
Вместе с тем следует отметить, что на сегодняшний день это лишь начальный этап установления системы безопасности в кибер-
Библиография:
пространстве, поскольку Европейский Союз и дальше намерен изучать и внедрять новые усовершенствованные методики и правовые механизмы их реализации, в том числе развивать внешнее сотрудничество, например, с НАТО, ООН, ОБСЕ, Советом Европы и Международным Союзом Электросвязи.
1. Блайз, Ф. «Еуропеан Унион фомалли адоптс цыбер секьюрити дайректив». 2016. Дата посещения 25 ноября 2017. http://www.lexology.com/library/detail.aspx?g=7ca9e585-d7f4-440c-8bb8-489055531112
2. Коммуникэйшэн фром зе коммиссион ту зе Еуропеан парламент, зе каунсил, зе Еуропеан економик энд соушел коммиттее энд зе коммиттее оф тзе реджионс - Сайфгардинг Прайвэси ин э Коннектид Волд. Э Еуропеан Дата Протекшион Фрэймворк фо зе 21ст Центури Дата посещения 25 декабря 2017. http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:52012DC0009&from=EN
3. Йонес, Кемп. Ис ГДПР Гуд о Бэд Неьюс фо Бисинесс? Бэйсед он: «Э консайз гид ту зе кей провижионс оф зе Дженерал Дата Протекшион Регьюлэшион (ГДПР)». Дата посещения 25 ноября 2017. https://www.welivesecurity.com/wp-content/uploads/2017/02/Is-GDPR-good-or-bad-news-for-business.pdf
4. Оне ин файв АЙТИ компаниес хэв со фар игноред зе ГДПР. Дата посещения 30 ноября 2017. https://www.privacy-conference.com/news/one-five-it-companies-have-so-far-ignored-gdpr
5. Паскал, Ал, Марчини, К., Миллер, С. 2017. Айдентити Фрауд: Секьюринг тхе Коннектед Лайф. Дата посещения 25 ноября 2017. https://www.javelinstrategy.com/coverage-area/2017-identity-fraud
6. Персонал дата тсефт бихайнд 65% оф олл фрауд кэйсис. 2013. Дата посещения 27 ноября 2017. https://www.out-law.com/en/articles/2013/january/personal-data-theft-behind-65-of-all-fraud-cases-says-uk-fraud-prevention-service/
7. Пропосал фо э дайректив он межес ту иншуэ э хай левел оф нетворк энд информэшион секьюрити экросс зе ЕЮ. № 2013/0027 (ЦОД). Дата посещения 25 ноября 2017. http://www.consilium.europa.eu/en/policies/cybersecurity
8. Веритас Стади: Организэшионс Ворлдвайд Фейар Нон-комплианс вис Нью Еуропеан Юнион Дата Регулашион Кулд Пут Зем Аут оф Бисинесс. Дата посещения 1 декабря 2017. https://www.veritas.com/news-releases/2017-04-25-veritas-study-organizations-worldwide-fear-non-compliance-with-new-european-union-data-regulation-could-put-them-out-of-business
9. Ёоур пас ту трастид клоуд сервисес ин Еуропе. 2017. Дата посещения 27 ноября 2017. https://eucoc.doud/en/home/
