Коллектив авторов - Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет

Европейский инспектор по защите данных (European Data Protection Supervisor) также является лицом, уполномоченным на защиту персональных данных в Европейском союзе [8] Официальный сайт Европейского инспектора по защите данных (European Data Protection Supervisor). URL: https://secure.edps.europa.eu/EDPSWEB/edps/ EDPS/cache/offonce?lang=en. (далее – инспектор). Деятельность инспектора регламентирована разделом 8 Регламента от 18 декабря 2000 г. № 45/2001 «О защите физических лиц при обработке персональных данных, осуществляемой учреждениями и органами сообщества, и о свободном обращении таких данных».

Акты, принимаемые инспектором, в сущности, относятся к категории так называемого гибкого права (soft law), которые, хотя и не обладают характеристиками нормативно-правовых актов, в достаточной степени оказывают влияние на формирующиеся правоотношения. Инспектором могут быть использованы следующие инструменты: официальные отчеты, выражающие позицию инспектора по определенному вопросу; мнения; результаты проведенных исследований, например, позиционный документ о передаче персональных данных в третьи страны (The Transfer of Personal Data to Third Countries and International Organisations by EU Institutions and Bodies) от 14 июля 2014 г.) [9] The transfer of personal data to third countries and international organisations by EU institutions and bodies, 14 July 2014. URL: https://secure.edps.europa.eu/ EDPSWEB/edps/site/mySite/Papers , или, например, Мнение-рекомендации инспектора (EDPS Recommendations on the Directive for Data Protection in the Police and Justice Sectors [10] EDPS recommendations on the Directive for data protection in the police and justice sectors. URL: https://secure.edps.europa.eu/EDPSWEB/edps/site/mySite/ Opinions C ) от 28 октября 2015 г. На официальном сайте инспектора по защите данных ЕС представлены все материалы по множеству актуальных вопросов.

Необходимо также отметить деятельность Европейского агентства по сетевой и информационной безопасности – ENISA (European Network and Information Security Agency) (агентство ЕС, созданное c целью повышения эффективности функционирования внутреннего рынка, оно выступает в роли консультанта и центра передовых технологий в сфере сетевой и информационной безопасности для стран – членов ЕС и институтов ЕС и содействует развитию связей между странами – членами ЕС, институтами ЕС, хозяйствующими субъектами и частным бизнесом).

При возникновении споров надзорных органов окончательное мнение по существу спорных вопросов будет формировать Европейский совет по защите данных. Данный Совет учреждается во исполнение проекта Регламента. Планируется, что его состав будет представлен руководителями национальных надзорных органов по защите персональных данных и инспектором Совета.

Согласно ст. 19 проекта Регламента субъект персональных данных наделяется правом возразить на аргументированных основаниях в отношении обработки своих персональных данных. Оператор обработки данных должен прекратить такую обработку, если не докажет, что имеются законные основания, которые выше интересов и аргументов субъекта персональных данных. При обработке персональных данных в целях прямого маркетинга субъект персональных данных должен иметь право возразить в любой момент против обработки своих персональных данных. Информация о данном праве должна предоставляться субъекту персональных данных предельно понятно и отдельно от любых других сведений. Если субъект персональных данных против обработки собственных персональных данных в целях прямого маркетинга, персональные данные больше не могут обрабатываться в указанных целях.

Статьей 25 Директивы не в качестве исключения, а в качестве правила устанавливается, что государства – члены ЕС могут разрешить передачу в третью страну персональных данных, только если соответствующая третья страна обеспечивает достаточный уровень защиты. Необходимо оговориться о критериях и порядке оценки уровня защиты при составлении перечня стран для беспрепятственного обмена данными согласно Директиве 95/46/ЕС.

Согласно и. 2 ст. 25 достаточность уровня защиты, предоставляемого третьей страной, оценивается в свете всех обстоятельств, связанных с операцией по передаче или с последовательностью операций по передаче данных. Особое внимание уделяется характеру данных, цели и продолжительности предлагаемой операции или операций по обработке, стране происхождения и стране конечного назначения, законодательным правилам – как общим, так и отраслевым, – действующим в соответствующей третьей стране, а также профессиональным правилам и мерам безопасности, соблюдаемым в этой стране.

Однако иных нормативных документов, разъясняющих вышеуказанное положение об определении «адекватности» или «неадекватности» стран для передачи персональных данных, не принято. Методологические критерии для оценки режима передачи персональных данных изложены в документе рекомендательного характера, адресованном непосредственно публичным органам власти по вопросу понимания органами ЕС и странами – участницами ЕС критериев определения «адекватности» или «неадекватности» стран при передаче персональных данных, содержащихся в Директиве 95/46/ЕС и в других международных правовых актах. Рабочая группа по защите частных лиц в связи с обработкой персональных данных, созданная на основании Директивы 95/46/ЕС (ст. 29), издала руководящие принципы в помощь осуществления оценки:

1) WP 4 (5020/97) «Рабочий документ, содержащий первые ориентиры относительно передачи персональных данных третьим странам – возможные пути продвижения в оценке соответствия», документ для обсуждения, принятый Рабочей группой 26 июня 1997 г.;

2) WP 7 (5057/97) «Оценка саморегулирования отрасли: в каких случаях она вносит значимый вклад в уровень защиты данных в третьей стране?», рабочий документ, принятый Рабочей группой 14 января 1998 г.;

3) WP 9 (3005/98) «Предварительные мнения относительно использования договорных положений в контексте передачи персональных данных третьим странам», рабочий документ, принятый Рабочей группой 22 апреля 1998 г.;

4) WP 12 «Передачи персональных данных третьим странам: применение статей 25 и 26 Директивы ЕС о защите данных», рабочий документ, принятый Рабочей группой 24 июля 1998 г. [11] WP 4 (5020/97) «Рабочий документ, содержащий первые ориентиры относительно передачи персональных данных третьим странам – возможные пути продвижения в оценке соответствия» от 26 июня 1997 г.; WP 7 (5057/97) «Оценка саморегулирования отрасли: в каких случаях она вносит значимый вклад в уровень защиты данных в третьей стране?» от 14 января 1998 г.; WP 9 (3005/98) «Предварительные мнения относительно использования договорных положений в контексте передачи персональных данных третьим странам» от 22 апреля 1998 г.; WP 12 «Передачи персональных данных третьим странам: применение статей 25 и 26 Директивы ЕС о защите данных» от 24 июля 1998 г. // Интернет-источник: URL: europa. eu.int/comm/internal_markt/en/media.dataprot/wpdocs/wpl2/en.