Коллектив авторов - Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет

блок 2 – правоприменение:

1) проверки на соответствие уровня безопасности данных, обеспечиваемых компанией, принципам Safe Harbor и опубликованной политике безопасности должны проводиться постоянно после получения сертификата (достаточно глубокие ревизии);

2) при выявлении нарушений должна быть запланирована подобная проверка через год;

3) в случае возникновения любых сомнений в безопасности данных Министерство торговли США должно информировать ЕС;

4) должно быть осуществлено следствие по случаям фальсификации участия в Программе;

блок 3 – процедуры альтернативного разрешения споров:

1) должны активно использоваться процедуры альтернативного разрешения споров, в силу чего в политике безопасности должна присутствовать активная ссылка на соответствующий орган;

2) процедуры альтернативного разрешения споров должны быть доступными и незатратными;

3) Министерство торговли США должно проводить постоянный контроль за реализацией процедур альтернативного разрешения споров;

блок 4 – доступ публичных органов США:

1) в политике конфиденциальности должны подробно указываться положения законодательства США, влияющие на реализацию прав вовлеченных субъектов;

2) исключения из политики конфиденциальности в пользу национальной безопасности должны быть крайне ограниченной мерой, применяемой строго пропорционально реальной необходимости.

Между тем вопреки обозначенным планам и ожиданиям 6 октября 2015 г. высший орган судебной власти Евросоюза признал недействительным существующее законодательство о трансатлантической передаче данных. Европейский суд заключил, что Facebook не обеспечивает адекватную защиту персональных данных жителей ЕС, и постановил провести дальнейшее расследование.

В Европейский суд в Люксембурге обратился пользователь Facebook австрийский юрист Макс Шремс. Он потребовал, чтобы Facebook не передавал его личные данные на серверы в США, так как сеть не может гарантировать защиту этой информации. Свою просьбу он мотивировал тем, что, согласно информации Эдварда Сноудена, такие крупнейшие компании, как Google, Apple, Facebook, сотрудничают с американским Агентством национальной безопасности. Первоначально жалоба была подана в Ирландии, где находится европейская штаб-квартира компании Facebook. Но там иск был отклонен, поэтому австриец обратился к высшей судебной инстанции Евросоюза.

Суд занял принципиальную позицию, сделав вывод, что договор о трансатлантической передаче данных нарушает право европейцев жаловаться на использование их личных данных в коммерческих целях различными мультинациональными компаниями. Защита права на неприкосновенность личной жизни в США во многом отличается от защиты этого права в Европе.

Таким образом, ответ на жалобу Шремса касается не только Facebook, он затрагивает тысячи других компаний, деятельность которых осуществляется в рамках Соглашения Safe Harbour как инструмента передачи данных на законной основе [22] Европейский суд решил, что Facebook не защищает данные пользователей // Русская служба RFI. Франция. URL: http://informburo.dn.ua/cgi-bin/iburo/ start.cgi?info58=7431 .

Также большие ставки делались на реформирование правозащитных процедур и мер обеспечения гарантий. В частности, планировалось развитие и усиленное использование уже сформированных инструментов взаимной правовой помощи (Mutual Legal Assistance) и отраслевых соглашений по вопросам обмена данными.

Особо рассматривались вопросы Рамочного соглашения 1Р/10/ 1661 «О защите информации в области полицейского и судебного сотрудничества» [23] Рамочное соглашение IP/10/1661 «О защите информации в области полицейского и судебного сотрудничества». . С 18 ноября 2013 г. США реализуются меры по предоставлению гражданам ЕС права на судебную защиту.

Завершается работа над зонтичным соглашением США и ЕС о защите персональных данных для совместной борьбы с терроризмом от 8 сентября 2015 г. Документ позволит защитить персональные данные, которыми обмениваются полиция, судебные органы и частные компании в ходе расследований.

Зонтичное соглашение в качестве основы полагает всестороннюю структурную высокоуровневую защиту при взаимодействии США и ЕС в сфере правоохранения. Соглашение касается всех персональных данных (например, имена, адреса, досье), которые подвергаются трансграничной передаче между ЕС и США в целях предотвращения, обнаружения, расследования и судебного преследования уголовных преступлений, включая терроризм. Текст соглашения полностью разработан, однако требуется провести ряд процедур для вступления его в силу. В частности, должен быть принят американский закон о компенсациях, затем американские власти публикуют соответствующее решение касательно зонтичного соглашения, которое в итоге утверждается властью ЕС.

Основной целью документа является создание одинакового режима: граждане ЕС будут иметь те же самые судебные права, как и американские граждане, в случае правонарушений в сфере персональных данных. В настоящий момент если данные граждан ЕС переданы американским правоохранительным органам и если эти данные неправильно или незаконно обработаны, граждане ЕС – нерезиденты США не могут получить компенсацию в американских судах (в отличие от американских граждан, которые имеют право требовать компенсацию в европейских судах).

На практике этот инструмент может работать следующим образом. Например, имя гражданина ЕС попадает в базу данных как лица, подозреваемого в совершении преступления. В дальнейшем лицо оправдано. Между тем его данные могут находиться в своего рода «черном списке», что препятствует, к примеру, получению визы. Если соглашение будет принято, то гражданин ЕС сможет обратиться с требованием удалить сведения о себе из баз данных и получить компенсацию.

Это соглашение дополняет существующее регулирование правоотношений ЕС и США в сфере персональных данных, создавая четкие, согласованные правила защиты данных и устанавливая высокий уровень защиты, в частности:

1) ограничение на использование данных – персональные данные не могут обрабатываться вне согласованных с субъектом данных целей;

2) любая передача данных за пределы США, в не входящую в ЕС страну или международную организацию должна быть подвергнута предварительному согласованию с компетентным органом страны, которая первоначально передала личные данные;

3) личные данные не могут храниться дольше, чем необходимо;

4) субъект данных должен быть наделен правом получения доступа к своим данным, возможностью инициировать их исправление;

5) в случае нарушения условий защиты информации должно быть направлено уведомление о нарушении компетентному органу и в соответствующих случаях субъекту данных.