Коллектив авторов - Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет

В соответствии с положениями ст. 8а необходимо, чтобы всегда было возможно установить лицо, являющееся контролером данных.

CAHDATA под контролером данных понимает физическое или юридическое лицо, государственный орган, службу, агентство или любой другой орган, который – один или совместно с другими – имеет власть принятия решения относительно обработки данных.

Согласно п. «с» ст. 2 Конвенции СЕ № 108 под автоматизированной обработкой понимаются следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение. Однако понятие обработчика в Конвенции не приводится, что объясняется ее наднациональным характером и предполагает закрепление при необходимости этого понятия и компетенции обработчиков персональных данных в национальном законодательстве стран – участниц Конвенции. Статьей 5 Конвенции предусмотрена обязанность осуществлять обработку персональных данных на законных основаниях.

Предлагаемый модернизированный вариант Конвенции № 108 под обработкой персональных данных понимает операцию или набор операций, которые выполняются с персональными данными: сбор, хранение, изменение, поиск, раскрытие, стирание или уничтожение данных, логические и/или арифметические операции.

Сама Конвенция СЕ № 108 не содержит санкций за предоставление неправомерного доступа к персональным данным неограниченного круга лиц. Однако ст. 10 Конвенции установлено, что каждая сторона обязуется предусмотреть надлежащие санкции и средства правовой защиты на случай нарушения норм внутреннего законодательства, воплощающих основополагающие принципы защиты данных.

Конвенция предполагает закрепление норм, запрещающих несанкционированный доступ третьих лиц к персональным данным, в национальном законодательстве стран-участниц.

В российском законодательстве последствия предоставления доступа неограниченному кругу третьих лиц или ограниченному кругу являются одинаковыми.

Модернизированный вариант Конвенции № 108 предлагает установить на национальном уровне обязанность оператора незамедлительно уведомить контролирующий орган по защите персональных данных обо всех случаях нарушения безопасности персональных данных, если это может повлечь нарушение прав субъектов персональных данных.

Положениями Конвенции ответственность за непринятие мер по защите персональных данных не установлена, но предусмотрена возможность принятия таких мер на национальном уровне (ст. 10).

Рекомендация Комитета министров Совета Европы № R(87) 15 государствам-участникам об использовании персональных данных в деятельности полиции предусматривает возможность передачи персональных данных третьим лицам только в оговоренных случаях.

Другим публичным учреждениям (кроме органов полиции) передача персональных данных разрешается только в особых случаях, если существует четкое правовое обязательство или разрешение субъекта данных, или разрешение надзорного органа, или если эти данные необходимы получателю для выполнения его собственных законных обязанностей. Кроме того, передача информации другим публичным учреждениям разрешается, если:

а) передача информации, несомненно, осуществляется в интересах субъекта данных, или субъект данных согласился, или обстоятельства таковы, что позволяют очевидно предположить возможность такого согласия;

б) передача информации является необходимой для предотвращения серьезной и неизбежной опасности.

Передача данных частным лицам разрешается в особых случаях, только если существуют четкие правовые обязательства или разрешения субъекта данных, или разрешения надзорного органа.

Рекомендация CM/Rec(2010)13 Комитета министров странам-членам по вопросам защиты частных лиц в связи с автоматизированной обработкой персональных данных в контексте профилирования граждан (утверждена Комитетом министров 23 ноября 2010 г. на 1099-м заседании постоянных представителей министров) (далее – Рекомендация CM/Rec(2010)13) [43] Recommendation CM/Rec(2010)13 of the Committee of Ministers to member states on the protection of individuals with regard to automatic processing of personal data in the context of profiling (Adopted by the Committee of Ministers on 23 November 2010 at the 1099th meeting of the Ministers’ Deputies). URL: https://wcd.coe.int/ViewDoc. jsp?id=1710949&Site=CM#P5_189. предусматривает указания государствам – участникам Конвенции СЕ № 108 обеспечить надлежащее регулирование и защиту граждан при сборе и обработке метаданных, относящихся к информационным потокам, запросам пользователей Интернета, привычкам потребителей, их деятельности, к образу жизни и поведению пользователей телекоммуникационных устройств, в том числе данных о месте (местах) их нахождения, а также данных, получаемых, в частности, из социальных сетей, систем видеонаблюдения, биометрических систем и радиочастотной идентификации (РЧИД), устройств, входящих в состав «Интернета вещей».

Рекомендация CM/Rec(2010)13 вводит понятие «профилирование» как деятельность, в ходе которой большие данные, собранные автоматически, обрабатываются на основе соответствующих расчетов, сравнений и программ статистической корреляции с целью подготовки «профилей» граждан, которые могут быть использованы многочисленными и разнообразными способами, в том числе путем сопоставления данных, предоставленных несколькими лицами.

То есть под профилированием понимаются методы и приемы автоматизированной обработки данных, состоящие из применения профиля к какому-либо лицу с целью анализа или прогноза его личных предпочтений, поведения и позиций (Рекомендация СМ/ Rec(2010)13).

С учетом того что методы профилирования, выявляя взаимосвязи между конфиденциальными данными в смысле ст. 6 Конвенции СЕ № 108 и другими данными, могут привести к созданию новых «чувствительных данных», касающихся идентифицированного или неидентифицируемого лица, а также с учетом того что такое профилирование может подвергнуть людей весьма значительным рискам дискриминации и посягательствам на их личные права и достоинство, Рекомендация советует правительствам государств – членов Совета Европы принять и применять меры по охране персональных данных в контексте профилирования.

Рекомендация CM/Rec(2010)13 устанавливает, что сбор и обработка персональных данных в контексте профилирования лиц (сбор и обработка метаданных), которые не в состоянии от себя лично выразить свое свободное, конкретное и информированное согласие, воспрещаются, за исключением тех случаев, когда это делается в законных интересах субъекта данных или если имеется высший общественный интерес, при условии обеспечения надлежащих гарантий на основании закона.