Научная статья на тему 'Защита персональных данных и научно-исследовательская деятельность: опыт правового регулирования ЕС'

Защита персональных данных и научно-исследовательская деятельность: опыт правового регулирования ЕС Текст научной статьи по специальности «Право»

CC BY
1066
214
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ЕВРОПЕЙСКИЙ СОЮЗ / ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ / БИОМЕТРИЧЕСКАЯ ИНФОРМАЦИЯ / ГЕНЕТИЧЕСКАЯ ИНФОРМАЦИЯ / КОМПЬЮТЕРНАЯ БЕЗОПАСНОСТЬ / EUROPEAN UNION / PERSONAL DATA PROTECTION / BIOMETRIC INFORMATION / GENETIC INFORMATION / COMPUTER SECURITY

Аннотация научной статьи по праву, автор научной работы — Барабашев А. Г., Пономарева Д. В.

Правовое регулирование использования персональных данных играет значительную роль в обеспечении качества научных исследований. Регламент Европейского парламента и Совета ЕС № 2016/679 от 27 апреля 2016 г. «О защите прав физических лиц в отношении обработки персональных данных и о свободе перемещения таких данных, отменяющий Директиву 95/46/ЕС» ставит своей целью унификацию норм, регламентирующих защиту прав человека на неприкосновенность частной жизни, как на территории ЕС, так и, при определенных условиях, за его пределами. Это новелла, введенная Регламентом в правовое поле ЕС, служит дополнением и обновлением acquis communautaire, достигнутых в рамках Директивы 95/46/EC о защите персональных данных. Регламент устанавливает как общие правила, применимые к любому виду обработки персональных данных, так и специальные правила, применимые к анализу отдельных категорий персональных данных, таких как информация, полученная в ходе клинических исследований. В данной статье представлен обзор новых норм (действующих с мая 2018 г.), регламентирующих аспекты обработки персональных данных в контексте научно-исследовательской деятельности (персональные данные о здоровье, генетическая, биометрическая информация и т.д.).

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

PERSONAL DATA PROTECTION AND RESEARCH ACTIVITIES: EU LEGAL REGULATION EXPERIENCE

Legal regulation of the use of personal data is essential in ensuring the quality of scientific research. Regulation of the European Parliament and of the Council of the European Union No. 2016/679 of April 27, 2016 «On the protection of natural persons with regard to the processing of personal data and on the free movement of such data», repealing Directive 95/46/EC, aims to unify the standards governing the protection of human rights to privacy, certain conditions beyond. This novel, introduced by the Regulation in the EU legal framework, complements and updates the acquis communautaire achieved within the framework of Directive 95/46/EC on personal data protection. The Regulation establishes both general rules applicable to any type of personal data processing and special rules applicable to the analysis of certain categories of personal data, such as information obtained during clinical trials. This paper provides an overview of new standards (in force since May 2018) that regulate aspects of personal data processing in the context of research activities (personal health data, genetic, biometric information, etc.)

Текст научной работы на тему «Защита персональных данных и научно-исследовательская деятельность: опыт правового регулирования ЕС»

ИНТЕГРАЦИОННОЕ ПРАВО

А. Г. Барабашев*, Д. В. Пономарева**

Защита персональных данных и научно-исследовательская деятельность: опыт правового регулирования ЕС1

Аннотация. Правовое регулирование использования персональных данных играет значительную роль в обеспечении качества научных исследований. Регламент Европейского парламента и Совета ЕС № 2016/679 от 27 апреля 2016 г. «О защите прав физических лиц в отношении обработки персональных данных и о свободе перемещения таких данных, отменяющий Директиву 95/46/ЕС» ставит своей целью унификацию норм, регламентирующих защиту прав человека на неприкосновенность частной жизни, как на территории ЕС, так и, при определенных условиях, за его пределами. Это новелла, введенная Регламентом в правовое поле ЕС, служит дополнением и обновлением acquis communautaire, достигнутых в рамках Директивы 95/46/EC о защите персональных данных. Регламент устанавливает как общие правила, применимые к любому виду обработки персональных данных, так и специальные правила, применимые к анализу отдельных категорий персональных данных, таких как информация, полученная в ходе клинических исследований. В данной статье представлен обзор новых норм (действующих с мая 2018 г.), регламентирующих аспекты обработки персональных данных в контексте научно-исследовательской деятельности (персональные данные о здоровье, генетическая, биометрическая информация и т.д.).

Ключевые слова: Европейский Союз, защита персональных данных, биометрическая информация, генетическая информация, компьютерная безопасность.

DOI: 10.17803/1994-1471.2019.103.6.186-194

1 Статья подготовлена в рамках гранта РФФИ 18-29-15022 мк «Способы, модели и проблемы регулирования и охраны субъективных прав в области получения, использования, распространения и защиты результатов научной деятельности и научной информации».

© Барабашев А. Г., Пономарева Д. В., 2019

* Барабашев Александр Георгиевич, кандидат юридических наук, доцент кафедры интеграционного и европейского права Московского государственного юридического университета имени О.Е. Кутафина (МГЮА)

125993, Россия, г. Москва, ул. Садовая-Кудринская, д. 9

** Пономарева Дарья Владимировна, кандидат юридических наук, преподаватель кафедры практической юриспруденции Московского государственного юридического университета имени О.Е. Кутафина (МГЮА) 125993, Россия, г. Москва, ул. Садовая-Кудринская, д. 9

ВВЕДЕНИЕ

Результатом длительного и интенсивного реформирования законодательства о персональных данных в ЕС стало принятие Регламента № 2016/679 Европейского парламента и Совета ЕС от 27 апреля 2016 г. «О защите прав физических лиц в отношении обработки персональных данных и о свободе перемещения таких данных, отменяющий Директиву 95/46/ЕС». Принятием указанного Регламента Европейский Союз подтвердил свою приверженность защите основных прав и свобод человека, в частности связанных с защитой неприкосновенности частной жизни, в том числе право на защиту данных личного характера, закрепленное в Хартии Европейского Союза об основных правах и в рамках Договора о функционировании Европейского Союза, а также готовность Союза ускорить достижение цели создания единого внутреннего рынка, где беспрепятственное перемещение персональных данных имеет основополагающее значение для развития экономических отношений.

Регламент не только унифицирует правила для всех государств-членов, тем самым нивелируя нормативные противоречия, которые существовали между государствами-членами в период действия Директивы 95/46/ЕС о защите данных, но и предоставляет субъектам правоотношений возможность осуществлять полноценный контроль над своими персональными данными в условиях сетевого общества. Целью Регламента является создание устойчивых мер по защите персональных данных. Будучи преемником Директивы 95/46/ЕС, Регламент внес ряд важных изменений в сферу правового регулирования защиты персональных данных (в особенности, в части прав субъектов и процедур). Регламент, как и предшествующая ему Директива 95/46/ ЕС, применяется к контролерам обработки данных, действующим в государственном и частном секторах. Он также разграничивает категории персональных данных, строго регламентируя их обработку. В частности, это касается особых категорий персональных данных (данные о здоровье, генетические и биометрические данные) ввиду возникновения рисков возможного нарушения прав и свобод человека. Регламент,

как и Директива 95/46/ЕС, рассматривает сферу научных исследований как специфическую область обработки персональных данных, где необходимость установления равновесия между свободой личности и свободной научного исследования вызывает массу этических проблем. В рамках Регламента вводится новый подход к обработке персональных данных, основанный на учете рисков и призванный облегчить в каждом конкретном случае выявление проблем и принятие соответствующих мер по защите данных.

В указанной статье мы предлагаем рассмотреть следующие вопросы: 1) обновленные общие принципы защиты персональных данных при проведении научных исследований; 2) новые процедуры обработки; 3) конкретные положения, касающиеся прав субъектов данных в контексте исследований и 4) новые возможности для дальнейшего регулирования защиты данных в области научных исследований.

ОБЩИЕ ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОБЛАСТИ НАУЧНЫХ ИССЛЕДОВАНИЙ

Регламент поддерживает подход, принятый в рамках предшествовавшей ему Директивы, устанавливая общие принципы, которые должны соблюдаться в любом контексте обработки персональных данных, в том числе в исследовательских целях, и независимо от их вида, в частности для обработки особой категории персональных данных.

Основные общие принципы полностью заимствованы из Директивы 95/46/ЕС. Согласно ст. 5 Регламента обработка персональных данных осуществляется в соответствии с требованиями законности, справедливости и транспарентности в отношении субъекта данных; сбор осуществляется для определенных, явных и законных целей, при этом данные не должны обрабатываться несовместимым с этими целями способом; данные должны быть адекватными, соответствующими и должны ограничиваться целями, для достижения которых они обрабатываются; данные должны быть точными и, при необходимости, актуальными; разумные меры должны

быть приняты для гарантии того, что неточные персональные данные будут незамедлительно удалены или исправлены; данные должны храниться в форме, позволяющей идентифицировать субъектов данных, не дольше, чем это необходимо для целей, во исполнение которых персональные данные проходят обработку.

Регламент дополняет вышеупомянутые принципы, закрепляя в ст. 5 три относительно новых дополнительных принципа. Первый касается соблюдения целостности данных и их конфиденциальности. Этот принцип требует, чтобы персональные данные обрабатывались с учетом обеспечения надлежащей безопасности, включая защиту от несанкционированной или незаконной обработки и от случайной потери, уничтожения или повреждения, с использованием соответствующих технических или организационных мер. Этот принцип находит свое отражение не только в соблюдении требований профессиональной этики научных исследований, таких как обеспечение научной и исследовательской интеграции, но и в технических мерах, в частности в использовании: методов кодирования; защищенных от внешних угроз серверов; закрытой системы обработки данных и др. Указанный принцип особенно важен в контексте исследований, когда речь идет о потенциально большом объеме конфиденциальных данных и когда качество данных имеет основополагающее значение для обеспечения надежности результатов исследований, их полезности и проверяемости.

Вторым принципом, частично вытекающим из положений Директивы 95/46/ЕС, является принцип подотчетности. В соответствии с ним контролер обработки данных является ответственным лицом, демонстрирующим соблюдение общих принципов обработки данных, изложенных выше. Это предполагает ведение контролером обработки персональных данных или его представителем четкой и защищенной отчетности в отношении любого вида деятельности по обработке данных, осуществляемой под их ответственность. В рамках научных исследований такая отчетность может вестись в виде архива, который будет храниться в течение определенного периода времени. В статье 30

Регламента указывается минимальный объем информации, подлежащей учету (хранению) в рамках такого рода письменной отчетности. Каждый контролер и (или) обработчик обязуется сотрудничать с контролирующим органом и предоставлять отчетные сведения по запросу таких органов.

Третий общий принцип тесно связан с необходимостью создания на уровне ЕС устойчивой системы защиты данных путем использования специальных технологий, повышающих конфиденциальность при проведении операций по обработке и на протяжении всего периода существования данных. В данном случае Европейский Союз пытается адаптировать законодательное регулирование к технологическим реалиям. В Регламенте отмечается, что «с учетом состояния техники, стоимости реализации и характера, сферы охвата, содержания и целей обработки, а также рисков разной степени вероятности в отношении прав и свобод физических лиц, обусловленных обработкой, контролер обработки данных как на момент определения способов обработки, так и во время обработки принимает надлежащие технические и организационные меры, которые предназначены для реализации принципов защиты персональных данных, такие как сведение к минимуму объема данных и включение необходимых гарантий в процесс обработки в целях выполнения требований Регламента и защиты прав субъектов данных». Этот подход к защите данных активно применяется в области научных исследований, особенно при подаче заявок на получение финансирования, где заявитель должен продемонстрировать надежность системы защиты данных, которая будет внедрена в ходе исследования. Технические аспекты дополняются организационными мерами, которые позволяют обеспечить защиту данных (например, разработка плана управления данными). Регламентом предусмотрено, что «контролер принимает соответствующие технические и организационные меры для обеспечения того, чтобы по умолчанию обрабатывались только те персональные данные, которые необходимы для каждой конкретной цели обработки». Указанное требование распространяется на объем собранных персональ-

ных данных, объем их обработки, срок хранения и доступность. Такие меры должны гарантировать невозможность доступа к персональным данным неопределенному числу физических лиц. Предполагается, что сама система обработки должна обеспечивать достаточную степень защиты данных без участия человека. Вместе с тем работа системы не должна быть полностью автономной, поскольку осуществление контроля за сохранностью данных становится практически невозможным.

В дополнение к указанным положениям статья 9 Регламента вводит общие правила обработки особой категории персональных данных, таких как данные, касающиеся здоровья, или генетические данные. В частности, европейский законодатель отмечает цель обеспечения общественного интереса в качестве правового основания для обработки личных данных конфиденциального характера. При обработке указанного вида данных контролерам необходимо принимать организационные и технические меры, направленные на защиту такого рода информации.

Помимо принципов Регламентом вводятся новые определения и понятия в области защиты персональных данных в сфере научных исследований (данные, касающиеся здоровья, генетическая информация, биометрические данные, анонимные данные, согласие субъекта персональных данных).

НАЗНАЧЕНИЕ СОТРУДНИКА ПО ЗАЩИТЕ ДАННЫХ

Немаловажное значение для организации процесса защиты персональных данных является процедура назначения инспектора по защите персональных данных. В большинстве случаев для исследовательских организаций, для организаций, где сосредоточены базы данных в области здравоохранения, а также в рамках научных проектов назначение такого сотрудника будет обязательным условием осуществления исследовательской деятельности. В соответствии со ст. 37 Регламента, назначение инспектора по защите персональных данных является обязательным, если обработка сведе-

ний осуществляется органом государственной власти или правительственным учреждением, за исключением судов, действующих в рамках своей судейской деятельности; если основным видом деятельности контролера является обработка данных в больших объемах, а также в случае масштабной обработки особой категории данных. Как видим, важным критерием здесь является объем данных, подвергающийся обработке. Стоит отметить, что Регламентом не определено, когда обработка должна рассматриваться в качестве «масштабной». Кроме того, по смыслу Регламента такие виды деятельности, как полное секвенирование генома или использование других высокоэффективных технологий в области здравоохранения, не рассматриваются в качестве предполагающих обработку данных в крупном размере, несмотря на то что в рамках указанных процессов мы имеем дело с большими данными (big data) и особыми рисками в отношении защиты их конфиденциальности.

В тех случаях, когда инспектор по защите персональных данных должен быть назначен в обязательном порядке, его назначение должно производиться с учетом его профессиональных качеств и знаний законодательства и практики в области защиты данных. Такой сотрудник должен обладать достаточными навыками для выполнения своих задач, закрепленных в ст. 39 Регламента. Инспектор по защите персональных данных играет ключевую роль в организациях, поскольку информирует и консультирует контролеров и обработчиков в отношении их обязанностей, контролирует соблюдение требований Регламента, сотрудничает с надзорным органом. В этом смысле контролер данных и обработчик должны надлежащим образом и своевременно консультироваться с инспектором в процессе принятия решений по вопросам защиты данных. Согласно ст. 37(6) Регламента «инспектор по защите данных может быть штатным сотрудником контролера или обработчика или выполнять работу на основе контракта на обслуживание», но в любом случае сотрудник по вопросам защиты данных обязан соблюдать требования конфиденциальности, как это предусмотрено законодательством ЕС

или национальным законодательством. Как указано в ст. 38 Регламента, инспектор по защите персональных данных должен иметь необходимые средства для выполнения своих задач самостоятельно, без получения каких-либо инструкций от контролера или обработчика. Кроме того, контролер или обработчик не имеют права увольнять или налагать санкции на инспектора за выполнение (невыполнение) его задач. Инспектор по защите персональных данных должен непосредственно отчитываться по результатам своей работы перед руководителем контролера или обработчика. Указанные положения Регламента призваны приблизить управление защитой персональных данных к потребностям организаций и сделать защиту персональных данных повседневной практикой.

ПРАВИЛА ИСПОЛЬЗОВАНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИССЛЕДОВАТЕЛЬСКИХ ЦЕЛЯХ

В области научных исследований обработка персональных данных для так называемого вторичного использования (когда цель обработки информации отличается от первоначально поставленной) осуществляется особым образом. Возможность такого способа обработки важна в тех случаях, когда есть необходимость в повторном использовании уже имеющихся персональных данных для целей научного исследования.

Согласно общему принципу, изложенному в ст. 5 Регламента, обработка персональных данных для целей, отличных от тех, для которых персональные данные были первоначально собраны, должна разрешаться только в том случае, если новая цель обработки совместима с целями, для достижения которых персональные данные были первоначально собраны. В данном случае Регламент сохраняет существовавший в рамках Директивы подход, согласно которому «дальнейшая обработка данных для их сохранения и использования в общественных интересах, научно-исследовательских или статистических целях должна рассматриваться как соответствующая закону». Это положение

защищает интересы медицинских центров, научно-исследовательских организаций и биобанков, занимающихся сбором конфиденциальных персональных данных, доступных для использования в исследованиях в будущем. Однако одной совместимости целей исследования в данном случае недостаточно. Контролер обработки персональных данных также должен оценивать целесообразность такой обработки и применение к данным соответствующих мер защиты (выполнение этических стандартов, раздельное хранение данных и т.д.).

В иных случаях повторного использования данных, когда их обработка не основана на однозначном согласии субъекта данных или положениях законодательства ЕС (государства — члена ЕС), контролер должен провести проверку (тест) совместимости целей. Такая проверка (тест) является новым и весьма полезным инструментом, формирующим критерии, которые использует контролер в процессе оценки совместимости целей. В соответствии со ст. 6(4) Регламента «контролер обработки данных определяет наличие связи между целями, для которых персональные данные были первоначально собраны, и целями дальнейшей обработки; условия, в которых персональные данные были собраны, в частности в отношении взаимосвязи между субъектами данных и контролером; характер персональных данных, в частности могут ли подвергаться обработке специальные категории персональных данных или данные о судимости и правонарушениях; возможные последствия вторичной обработки для субъектов данных; наличие соответствующих гарантий, которые могут включать криптографическое закрытие (шифрование) или псевдонимизацию. В тех случаях, когда по результатам проверки (теста) не ставится под сомнение законность и справедливость вторичной обработки персональных данных, тест на совместимость целей считается пройденным и для последующей обработки персональных данных не требуется повторное согласие физического лица. В противном случае такое согласие в соответствии с Регламентом должно быть получено.

УВЕДОМЛЕНИЕ О НАРУШЕНИЯХ В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Основной целью любого законодательного акта, посвященного правовому регулированию защиты персональных данных, является недопущение нарушения конфиденциальности персональных данных или возникновения угрозы такого нарушения. Нарушение в области защиты персональных данных (в том числе в научно-исследовательской деятельности) зачастую определяется как «нарушение безопасности, ведущее к непреднамеренному или умышленному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к персональным данным». Такие нарушения в случае их неустранения (своевременно и надлежащим образом) могут нанести ущерб субъектам данных, в том числе в форме потери контроля над данными или ограничения в правах на них, репутационных рисков, нарушения конфиденциальности.

Регламентом введены более строгие и прозрачные правила относительно уведомления контролера и обработчика. В частности, предусмотрена обязанность контролера и обработчика реагировать быстро и эффективно на любые нарушения (их угрозу) в отношении персональных данных. В случае обнаружения нарушения обработчик должен незамедлительно уведомить об этом контролера обработки данных. Затем информация о нарушении должна быть передана соответствующему надзорному органу и, в определенных случаях, также заинтересованному субъекту данных. Субъект данных незамедлительно информируется контролером о нарушении, в случае если таковое может с высокой вероятностью привести к ущемлению его прав и свобод. Тем не менее, если контролером были предприняты соответствующие технические и организационные меры защиты (например, шифрование данных), индивидуальное информирование субъекта данных заменяется сообщением, доступным широкому

кругу лиц, которое позволяет ознакомиться с фактами и последствиями нарушения. Регламентом предъявляются требования к такому сообщению: оно должно быть ясным и понятным, а также содержать, помимо фактической информации, сведения о том, как действовать в случае обнаружения нарушения в области персональных данных.

Следует обратить внимание на то, что Регламент усиливает ответственность за нарушение правил обработки персональных данных в компаниях — до 20 млн евро (около 1,5 млрд руб.) или 4 % годового общего дохода компании.

НОВЕЛЛЫ, КАСАЮЩИЕСЯ ПРАВ УЧАСТНИКОВ ИССЛЕДОВАНИЯ

В Регламенте закреплены некоторые новые положения относительно прав субъектов данных. Указанные положения касаются хранения персональных данных в общественных интересах, в научных целях, в целях исторического исследования или в статистических целях. Преимущественно эти положения содержатся в ст. 89 Регламента.

Согласие на обработку персональных данных всегда было центральным этическим аспектом участия в исследовательских проектах. Требования Регламента касательно необходимости получения согласия перед каждой обработкой данных (первичной и вторичной), а также возможность использования практики широкого согласия, целью которой является максимальное использование персональных данных, включая особые категории персональных данных, является предметом дискуссий для европейского научного сообщества. Научные круги опасаются, что письменное согласие на обработку персональных данных станет систематическим обязательством2. Вместе с тем Регламент определяет письменное согласие как одно из условий (оснований) подтверждения законности обработки данных. Другие условия сформулированы

2 Cm.: Krzysztofek M. Post-reform Personal Data Protection in the European Union: General Data Protection Regulation (EU) 2016/679. Wolters Kluwer Law & Business. 2016. P. 23 ; Lambert P. Understanding the New European Data Protection Rules CRC Press. 2017. Pp. 151—156.

в ст. 6 и 9 Регламента (касаются персональных данных, не являющихся конфиденциальными, и персональных данных конфиденциального характера). Иные правовые основания, указанные в ст. 6 (для персональных данных) и ст. 9 (для конфиденциальных персональных данных), могут быть использованы для легитимности такой обработки. Здесь важно отметить, что Регламент в этой части не должен вступать в противоречие с другими специализированными законодательными актами ЕС в области научных исследований3, а также с соответствующим национальным законодательством, которое также предусматривает получение согласия на обработку персональных данных. Регламент отмечает, что «обработка специальной категории персональных данных производится в обязательном порядке по соображениям общественного интереса в области здравоохранения без согласия субъекта данных». Такая обработка должна осуществляться при условии принятия надлежащих мер для защиты прав и свобод физических лиц. В этом контексте «здравоохранение» должно определяться в соответствии с Регламентом Европейского парламента и Совета (ЕС) № 1338/2008 — как «все элементы, связанные со здоровьем, а именно состояние здоровья, заболеваемости и инвалидности, факторы, которые оказывают влияние на состояние здоровья, здравоохранения, потребности, ресурсы, выделяемые на здравоохранение, снабжение, и обеспечение всеобщего доступа к медицинской помощи, а также медицинских расходов и финансирования, и причины смертности». Вместе с тем необходимо обратить внимание на то, что обработка данных о здоровье по соображениям общественной безопасности не должна влечь за собой возможность использования обрабатываемой информации в других целях третьими лицами, такими как работодатели или страховые и банковские организации.

Что касается практики использования широкого согласия на обработку персональных данных, то Регламент определяет случаи и условия, когда такое согласие соответствует закону. Регламентом предусматривается возможность субъекта давать согласие на обработку персональных данных в отношении определенных областей научных исследований в соответствии с признанными этическими стандартами. Субъекты могут давать согласие только на определенные области исследований или части исследовательских проектов в той мере, в какой это допускается их целевым назначением. Законность обработки дополняется также условием о том, что согласие субъектов данных может быть сделано для «одной или нескольких конкретных целей».

Субъекты данных имеют комплекс прав, позволяющих им в определенной степени контролировать свои персональную информацию, которая обрабатывается (используется) в ходе исследования. Тем не менее стоит отметить, что уровень гармонизации правового регулирования в области защиты персональных данных в сфере научных исследований на уровне ЕС не высок. Регламентом введены общие принципы обработки персональных данных. Вместе с тем правовое положение субъектов данных в сфере научных исследований практически не затронуто Регламентом. Такая ситуация обусловлена главным образом отсутствием у ЕС полномочий по гармонизации законодательства в области здравоохранения и научных исследований. Союз обладает лишь вспомогательной компетенцией в этих сферах, которые в основном регулируются национальным правом. Таким образом, во исполнение положений Регламента государствам — членам ЕС необходимо предусматривать в своем законодательстве надлежащие гарантии обработки персональных данных для их хранения в общественных и научно-ис-

См.: Директива 2004/23 /EC Европейского парламента и Совета от 31 марта 2004 года об установлении стандартов качества и безопасности для донорства, закупок, испытаний, обработки, консервации, хранения и распределения тканей и клеток человека; Регламент (EU) 2017/746 Европейского парламента и Совета от 5 апреля 2017 года о медицинских устройствах для диагностики in vitro и отмене Директивы 98/79 / EC и Решения Комиссии 2010/227 / EU; Директива 2009/41 / EC Европейского Парламента и Совета от 6 мая 2009 года по ограниченному использованию генетически модифицированных микроорганизмов.

3

следовательских целях, а также соблюдения признанных этических стандартов.

ВЫВОД

Знаковым моментом в изменении правового регулирования персональных данных является то, что их защита в различных аспектах теперь осуществляется законодательным актом не в форме регламента, а в форме директивы. В отличие от регламента, директива ставит перед государствами — членами ЕС только цели. В какой форме и какими методами будет осуществляться достижение этих целей, государства-члены решают самостоятельно. Другая важная черта директив — они могут быть обращены не ко всем государствам-членам, а только к их определенной группе или даже к одному государству — члену ЕС. В отличие от регламентов, директивы не должны быть предельно детализированы. Выбор между регламентом и директивой обусловливается в результате поставленной целью. В отличие от директив, которые являются инструментом гармонизации законодательства государств — членов ЕС, регламенты являются инструментом его унификации. Это означает, что защита персональных данных, в особенности в области научно-исследовательской деятельности, приобретает все большее значение для ЕС и ставится им в приоритет. Поэтому можно говорить о смещении баланса осуществления контрольных функций по их защите от стран-участниц к Европейскому Союзу, который стремится к их концентрации на уровне интеграционной организации в целом. Это подтверждается, в частности, учреждением в рамках ЕС особого наднационального надзор-

ного органа — Европейского совета по защите данных, возглавляемого Европейским инспектором по защите данных, в обязанности которого входит гарантирование единообразного применения настоящего Регламента и издание руководящих указаний, рекомендаций и стандартов передовой практики в соответствующей сфере.

Указанный Регламент призван поддерживать баланс между обеспечением эффективной защиты прав субъектов данных в сетевом обществе и необходимостью обработки (использования) персональных данных, включая данные конфиденциального характера, для научных исследований. Это делает необходимым укрепление и развитие сотрудничества, а также транспа-рентных отношений между участниками процесса обработки, которые должны принимать активное участие в создании интегрированной системы защиты данных в ЕС. Несмотря на принятие Регламента, содержащего конкретные положения для обеспечения защиты данных при проведении научных исследований, эта сфера отдана на откуп национальному законодателю, в частности в отношении регламентации прав участников исследований. Вместе с тем безусловным преимуществом Регламента является включение в него положений о согласии на обработку данных, о правилах использования персональных данных для цели, отличной от первоначальной, и о системе обработки данных. Кроме того, Регламент впервые отмечает необходимость уважения этических стандартов как важную составляющую требования законности обработки результатов исследований. Несомненно, новеллы, введенные указанным Регламентом, поспособствуют дальнейшему структурированию европейского исследовательского пространства.

БИБЛИОГРАФИЯ

1. Fuster G. G. The Emergence of Personal Data Protection as a Fundamental Right of the EU. — Springer Science & Business, 2014. — 274 p.

2. Gutwirth S., Leenes R., De Hert P., Poullet Y. European Data Protection: Coming of Age. — Springer Science & Business Media, 2012. — 440 p.

3. Krzysztofek M. Post-reform Personal Data Protection in the European Union: General Data Protection Regulation (EU) 2016/679. — Wolters Kluwer Law & Business, 2016. — 253 p.

4. Lambert P. Understanding the New European Data Protection Rules. — CRC Press, 2017. — 508 p.

5. Lynskey O. The Foundations of EU Data Protection Law. — Oxford University Press, 2015. — 264 p.

Материал поступил в редакцию 6 мая 2019 г.

PERSONAL DATA PROTECTION AND RESEARCH ACTIVITIES: EU LEGAL REGULATION EXPERIENCE 4

BARABASHEV Aleksandr Georgievich, PhD in Law, Associate Professor of the Department of Integration and European Law of the Kutafin Moscow State Law University (MSAL) 125993, Russia, Moscow, ul. Sadovaya-Kudrinskaya, d. 9

PONOMAREVA Darya Vladimirovna, PhD in Law, Lecturer of the Department of Practical Law of the

Kutafin Moscow State Law University (MSAL)

125993, Russia, Moscow, ul. Sadovaya-Kudrinskaya, d. 9

Abstract. Legal regulation of the use of personal data is essential in ensuring the quality of scientific research. Regulation of the European Parliament and of the Council of the European Union No. 2016/679 of April 27, 2016 «On the protection of natural persons with regard to the processing of personal data and on the free movement of such data», repealing Directive 95/46/EC, aims to unify the standards governing the protection of human rights to privacy, certain conditions beyond. This novel, introduced by the Regulation in the EU legal framework, complements and updates the acquis communautaire achieved within the framework of Directive 95/46/EC on personal data protection. The Regulation establishes both general rules applicable to any type of personal data processing and special rules applicable to the analysis of certain categories of personal data, such as information obtained during clinical trials. This paper provides an overview of new standards (in force since May 2018) that regulate aspects of personal data processing in the context of research activities (personal health data, genetic, biometric information, etc.)

Keywords: European Union, personal data protection, biometric information, genetic information, computer security.

4 The paper is prepared with the financial support of the Russian Foundation for Basic Research, Grant No. 1829-15022 M «Methods, models and problems of regulation and protection of subjective rights in the field of obtaining, using, disseminating and protecting the results of scientific activity and scientific information.»

i Надоели баннеры? Вы всегда можете отключить рекламу.