В рубрику "Право и нормативы" | К списку рубрик | К списку авторов | К списку публикаций
К 2014 г. в законодательство Европы в области защиты ПДн должны быть внесены изменения, и уже в новом виде оно будет на стадии рассмотрения и доработки. Изменениям должны подвергнуться следующие документы: директива на обработку персональных данных полицией и судебными органами; положение о защите персональных данных, которое предназначено для применения в частном и государственном секторах, кроме полиции и органов юстиции. К 2016 г. можно ожидать принятия этого обновленного законодательства в области защиты персональных данных.
Нововведением в области защиты ПДн для граждан Евросоюза может стать так называемое право быть забытым. Суть его заключается в том, чтобы предоставить гражданам европейских стран возможность удалить все свои ПДн из сети Интернет. Не просто из социальных сетей, а именно из глобальной сети Интернет. В нынешних условиях эту задачу практически нереально решить технически, но над этим уже работают.
Есть и те, кто видит в этом праве угрозу со стороны цензуры, но, если взглянуть на право быть забытым с позиции закона, то это еще один шаг в сторону развития прав субъектов персональных данных, и не более.
В Соединенных Штатах Америки вопросам защиты частной жизни также уделяют должное внимание. США, как и другие высокоразвитые страны, стараются защитить частную жизнь своих граждан. США уважают права на частную жизнь граждан других стран и поэтому стремятся к усилению сотрудничества в области защиты прав граждан с этими странами. Маркус Хейдер, советник по международным вопросам защиты потребителей Федеральной торговой комиссии в США, рассказал о концепции US-EU Safe Harbor, которая стала "мостом" для трансграничной передачи личной информации из США.
Директива Европейской комиссии по защите данных вступила в силу в октябре 1998 г., она запрещает передачу персональных данных в страны, не входящие в Европейский союз и не обеспечивающие адекватную защиту прав субъектов персональных данных. Однако в директиве ЕС предусмотрено исключение, то есть трансграничную передачу данных допустимо осуществлять в страны, не обеспечивающие адекватный уровень защиты прав субъектов персональных данных, если соблюдается хотя бы одно из следующих условий:
Несмотря на то что США и ЕС разделяют цели повышения конфиденциальности личной информации для защиты своих граждан, США используют другой подход к конфиденциальности, который отличается от того, который принят в Европе. Соединенные Штаты используют отраслевой подход, который опирается на сочетание законодательства, регулирования и саморегулирования.
Евросоюз опирается на комплексный закон. Он требует создания независимых правительственных агентств по защите личной информации. В соответствии с требованиями комплексного закона должна быть создана база данных, в которую будут регистрироваться операторы личной информации. Также в некоторых случаях перед обработкой личной информации может потребоваться предварительное согласование с субъектами личной информации.
В результате этих различий директива могла бы значительно снизить возможности американских организаций при трансатлантических сделках.
Для того чтобы преодолеть эти различия и удовлетворить требование директивы Европейской комиссии об адекватности защиты прав субъектов личной информации, Министерство торговли США, консультируясь с Европейской комиссией, разработало концепцию US-EU Safe Harbor. Следуя этой концепции, можно достичь адекватной защиты прав субъектов персональных данных.
К основным требованиям принципов конфиденциальности US-EU Safe Harbor относятся:
Уведомление. Организации должны известить субъектов личной информации о целях, для которых они собирают и будут использовать их личную информацию. Организации должны предоставить информацию о том, какими способами субъекты личной информации могут обратиться в организации с любыми вопросами или жалобами, а также каким видам третьих лиц может быть предоставлена личная информация субъектов. Кроме того, организации обязаны определить ограничения использования и условия предоставления информации о субъектах личной информации.
Выбор. Организации должны предоставить субъектам личной информации возможность выбора: дать или не дать согласие на передачу их личной информации третьей стороне, а также на использование их личной информации в целях, несовместимых с целями, для которых она была первоначально собрана.
Дальнейшая передача. Перед предоставлением личной информации третьим лицам организации должны уведомить субъектов личной информации о том, что возникла необходимость передать их личную информацию третьей стороне. Уведомление должно содержать намерение организаций в явном виде предоставить личную информацию субъектов третьим лицам, если организации получают согласие субъектов личной информации на ее передачу третьим лицам, то они должны убедиться в том, что третье лицо соответствует требованиям концепции Safe Harbor или иным образом обеспечивает адекватную защиту личных данных.
Доступ. Субъектам личной информации должен быть предоставлен доступ к их информации, которую обрабатывают организации. Субъектам личной информации должны быть предоставлены возможности изменять, дополнять или уничтожать личную информацию о себе.
Конфиденциальность. Организации должны принимать разумные меры предосторожности для защиты личной информации субъектов от потери, злоупотребления, несанкционированного доступа, раскрытия, изменения и уничтожения.
Целостность данных. Личная информация должна соответствовать целям, для которых она будет использоваться. Организация должна предпринять все разумные шаги, чтобы гарантировать, что личная информация достоверна для использования по назначению, точна, полна и актуальна.
Правоприменение. Для обеспечения соответствия компаний принципам концепции Safe Harbor важно наличие легкодоступного, независимого механизма правовой защиты, чтобы жалобы и споры каждого физического лица могли быть исследованы и разрешены, а убытки – возмещены при условии, что применение закона или инициатив частного сектора это позволяет. Также важны реализованные процедуры для проверки того, что компании соблюдают обязательства по соответствию принципам Safe Harbor и обязательства по устранению проблем, вытекающих из несоответствия принципам.
Важно понимать, что US-EU Safe Harbor – это концепция, которая разработана США и странами Евросоюза. Российская Федерация в разработке этой концепции участия не принимала и не ратифицировала ее. РФ ратифицировала Конвенцию Совета Европы № 108, и США нет в списке стран, которые обеспечивают адекватную защиту прав субъектов персональных данных согласно этой конвенции. Документ, в котором Евросоюз признает, что принципами конфиденциальности концепции US-EU Safe Harbor можно обеспечить адекватную защиту прав субъектов личной информации, называется "Решение Комиссии в соответствии с директивой 95/46/ЕС Европейского парламента и совета об адекватности защиты, обеспечиваемой принципами конфиденциальности концепции US-EU Safe Harbor и связанными с ними часто задаваемыми вопросами Министерству торговли США".
Таким образом, для Российской Федерации защита персональных данных в США не является адекватной, несмотря на то что Евросоюз признал адекватность защитных мер, обеспечиваемых на основе принципов концепции US-EU Safe Harbor. Остается надеяться, что в ближайшем будущем США и Россия найдут общий язык в области защиты и обработки персональных данных.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2014