Коллектив авторов - Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет

Если обобщить критерии признания стран как предоставляющих адекватный уровень защиты данных, то можно заключить, что к таковым может быть отнесено государство, в котором действуют соответствующие нормы права, сформирован уполномоченный орган, а также обеспечивается правовая защита граждан в сфере персональных данных.

Следует отметить, что мнения Рабочей группы фактически легализуются в результате принятия Европейской комиссией решений по квалификации уровня защиты данных в тех или иных странах в соответствии с рекомендуемыми критериями. Решение, основанное на документе рекомендательного характера, становится правовым актом, имеющим юридическую силу (к примеру, Решение 11/2011 об адекватности уровня безопасности персональных данных в Новой Зеландии от 4 апреля 2011 г. и т. д.). Критерии «адекватности» сформировали важную отправную точку для принятия решений Европейской комиссии по адекватности режимов третьих стран.

В результате проведенной оценки составляется перечень государств, обеспечивающих адекватный уровень защиты данных согласно Директиве 95/46/ЕС. Оговаривается, что государства – члены ЕС и Европейская комиссия должны уведомлять друг друга о случаях несоответствия уровня защиты данных в стране декларируемому. Причем в случае последующего выявления недостаточного уровня защиты данных при их обработке Европейской комиссией государства – члены ЕС должны принять меры по предотвращению любой передачи данных того же типа в соответствующую третью страну. Либо, напротив, третья страна в силу ее внутреннего законодательства или международных обязательств может быть признана Европейской комиссией как обеспечивающая достаточный уровень защиты.

Между тем Директивой устанавливается ряд исключений из описанного общего принципа передачи данных только в страны, уровень защиты данных в которых признан адекватным (ст. 26).

Прежде всего стоит перечислить фиксированные исключения, согласно которым передача или последовательность передач персональных данных в третью страну, не обеспечивающую достаточный уровень защиты по смыслу Директивы, может совершаться при условии, что:

1) субъект данных однозначно дал свое согласие на предполагаемую передачу данных;

2) передача необходима для исполнения договора между субъектом данных и оператором или для осуществления преддоговорных мер, принимаемых по просьбе субъекта данных;

3) передача необходима для заключения или исполнения договора, заключенного в интересах субъекта данных между оператором и третьим лицом;

4) передача необходима или требуется на основании закона в связи с особой общественной важностью данных либо для установления, осуществления или защиты правовых требований;

5) передача необходима в целях защиты жизненно важных интересов субъекта данных;

6) или передача осуществляется из реестра, который в соответствии с законами или подзаконными актами предназначен для предоставления информации общественности и который открыт для доступа как общественности в целом, так и любого лица, могущего продемонстрировать законный интерес, в той мере, в какой в конкретном случае выполняются условия, установленные законодательством о доступе.

Но особую значимость в условиях принятия и опыта применения положений Директивы сыграли оговорки о возможных средствах обеспечения безопасности данных при передаче за пределы ЕС.

Так, в соответствии с и. 2 ст. 26 государство – член ЕС может разрешить передачу или последовательность передач персональных данных в третью страну, которая не обеспечивает достаточный уровень защиты, когда оператор представляет достаточные гарантии в отношении защиты частной жизни и основных прав и свобод физических лиц; такие гарантии могут, в частности, следовать из соответствующих условий договора. При этом Европейская комиссия может признать отдельные стандартные договорные условия в качестве достаточных гарантий достаточной защиты персональных данных.

Данные оговорки действительно обладают колоссальной значимостью, в том числе ввиду следующих обстоятельств. Несмотря на то что Соединенные Штаты Америки, как и Европейский союз, декларируют аналогичные принципы защиты персональных данных, практикуемые ими подходы регулирования отношений и защиты прав весьма отличны. А именно, в Соединенных Штатах Америки имеет место секторальный подход, базирующийся на комбинации законодательного регулирования, иных форм публичного регулирования и саморегулирования. Между тем подход защиты персональных данных, практикуемый Европейским союзом, подразумевает по большей части законодательное регулирование указанной сферы отношений. При этом на уровне закона устанавливается необходимость создания независимых государственных органов по защите данных, регистрации баз данных этими учреждениями, а в некоторых случаях – получения предварительного одобрения любой обработки персональных данных. Наличие подобных регулятивных отличий обусловило проблематичность участия американских обработчиков данных в уже сложившихся на тот момент правоотношениях. С принятием Директивы 95/46/ЕС, потребовавшей составления перечня стран, предоставляющих адекватный уровень защиты данных при их обработке, США (как и другие государства, оказавшиеся в аналогичной ситуации), которые не признаны такой страной, могли фактически выпасть из экономических отношений.

В связи с возникшей ситуацией необходимы были поиск нового подхода в международном сотрудничестве, обеспечение условий для преодоления указанных отличий правовых моделей регулирования, а также создание рациональных и экономически эффективных инструментов, позволяющих американским обработчикам данных соответствовать на достаточном уровне требованиям Директивы. Так, Департаментом торговли США в сотрудничестве с Европейской комиссией был разработан подход, отраженный в так называемых «Принципах защиты конфиденциальности персональных данных» / «Принципах безопасной гавани для тайны частной жизни» [12] Safe Harbor Privacy Principles. URL: http://www.export.gov/safeharbor/ SHPRIN CIPLESFINAL.htm (Safe Harbor Privacy Principles, далее – «Принципы», Safe Harbor) [13] Международное и зарубежное финансовое регулирование: институты, сделки, инфраструктура. В 2 ч. / под ред. А.В. Шамраева. М.: КноРус; ЦИПСиР, 2014. 4.2. . Указанные принципы соответствия требованиям информационной безопасности ЕС были приняты Министерством торговли США и, по сути, являются ответом на Директиву 95/46/ЕС. Будучи инициированы США, они приобрели дееспособность в отношениях по поводу передачи данных с ЕС особой волей ЕС. На тот момент указанное специальное Решение стало разрешением дискуссии между ЕС и США о принципах достаточности уровня защиты персональных данных: в 2000 г. Комиссией ЕС было принято специальное Решение от 26 июля 2000 г. № 2000/520/ЕС [14] Official Journal L 215. 25.08.2000. Р. 0007–0047. , в котором описаны условия передачи данных в США. Именно этим документом они признаны как обеспечивающие необходимую защиту.