Мария Беляева - Руководство по GDPR

Несмотря на то, что Общий регламент по защите данных ЕС 2016/679 является самостоятельным документом, ожидается, что государства Евросоюза внесут необходимые изменения в национальное законодательство в части защиты данных. Регламент имеет глобальное экстерриториальное действие. Его требования распространяются на организации в ЕС, а также на контроллеров и процессоров за его пределами, предлагающие товары и услуги субъектам данных в Евросоюзе или осуществляющие профилирование данных граждан ЕС. Определенная доля организаций, расположенных за пределами ЕС, имеют ключевую долю на европейском рынке и миллионы клиентов из ЕС. Соблюдение этими организациями правил защиты данных имеет важное значение для обеспечения защиты субъектов данных, а также для обеспечения равных условий.

Защита данных в правоохранительных органах

Директива 2016/680

Общей регламент по защите данных обеспечивает экстерриториальность защиты данных. Поскольку действие отмененной Директивы о защите данных распространялось на внутреннее пространство ЕС и деятельность его государственных институтов, то было необходимо соблюдать баланс между защитой данных и другими законными интересами, в том числе при обработке персональных данных правоохранительными органами.

Первым правовым документом ЕС, регулирующим этот вопрос, было решение 2008/977 JHA Совета Европы. Его действие распространяется на обмен данными между полицейскими и судебными органами ЕС в рамках сотрудничества по уголовным делам. Обработка персональных данных в обеспечении деятельности правоохранительных органов не регулируется нормами решения 2008/977 JHA.

Одновременно с Общим регламентом по защите данных вступила в силу Директива 2016/680 о защите физических лиц в отношении обработки персональных данных компетентными органами в целях предотвращения, расследования, выявления преступлений или судебного преследования за совершение уголовных преступлений или исполнения уголовных наказаний, а также о свободном перемещении таких данных – Директива о защите данных для органов полиции и уголовного правосудия.

В то время как Общей регламент по защите данных устанавливает общие правила для защиты физических лиц в отношении обработки их персональных данных и для обеспечения свободного перемещения таких данных в пределах ЕС, в Директиве изложены конкретные правила защиты данных в областях судебной власти и сотрудничества правоохранительных органов. Директива 2016/680 применяется, когда компетентный орган обрабатывает персональные данные в целях предотвращения, расследования, выявления или преследования за совершение уголовных преступлений. Если компетентные органы обрабатывают персональные данные для целей, отличных от вышеупомянутых, применяется общий режим в соответствии с Общим регламентом по защите данных.

В отличие от решения Совета Европы 2008/977 JHA, положения Директивы 2016/680 затрагивают внутреннюю обработку персональных данных правоохранительными органами в том числе и за пределами ЕС, и нацелены на достижение баланса между правами физических лиц и законными целями обработки, связанной с национальной безопасностью.

Директива подтверждает право на защиту персональных данных и основные принципы, которые должны охватывать обработку данных в строгом соответствии с правилами и принципами Общего регламента по защите данных. Права субъектов данных и обязанности, налагаемые на контроллеров (например, в части безопасности данных, защиты данных по умолчанию, уведомления о нарушении в отношении персональных данных субъектов), идентичны правам и обязанностям Общего регламента по защите данных. Контроллер обязан назначить сотрудника для контроля за соблюдением правил защиты данных, информирования и консультационной поддержки организаций и работников, а также для сотрудничества с надзорными органами.

Директива также учитывает и осуществляет контроль над технологиями обработки, которые могут стать обременительными для субъектов данных (например, использование профилирования правоохранительными органами). В целом, все решения, основанные исключительно на автоматизированной обработке, включая профилирование, должны быть запрещены. Кроме того, такой вид обработки не применим к «специальным» категориям данных.

В настоящее время обработка персональных данных правоохранительными структурами и органами уголовного правосудия находится под контролем независимых надзорных органов.

Директива о конфиденциальности и электронных средствах связи

С целью обеспечения прав пользователей на неприкосновенность частной жизни и соблюдения конфиденциальности была разработана и внедрена Директива 2002/58/ЕС. Положения Директивы о конфиденциальности и электронных средствах связи устанавливают правила безопасности в части обработки персональных данных и защиты конфиденциальности в электронных сообщениях.

Операторы услуг электронной связи обязуются ограничить доступ к персональным данным всем, кроме уполномоченных лиц, и принять меры для предотвращения уничтожения, потери или случайного повреждения данных. В случае наличия возможного риска при использовании сервисов, оператор связи обязан проинформировать пользователя сервиса о наличии такого риска. В случае нарушения, несмотря на предпринятые меры защиты, операторы обязаны уведомить компетентный национальный орган, которому поручен контроль за выполнением Директивы. Операторам также вменяется в обязанность уведомлять субъектов данных о нарушениях, которые могут оказать негативное влияние на конфиденциальность данных. Для обеспечения конфиденциальности сообщений требуется, чтобы прослушивание, хранение или любой вид наблюдения или перехвата сообщений и метаданных, по умолчанию был запрещен. Директива также запрещает нежелательные спам-сообщения, если только субъекты данных не дали на это свое согласие. На электронных устройствах субъекта данных должны быть определены правила хранения файлов cookie. Данные обязательные нормы указывают на то, что конфиденциальность сообщений в значительной степени связана с защитой права на уважение частной жизни и персональных данных, закрепленные в статьях 7 и 8 Хартии основных прав ЕС соответственно.

В январе 2017 года для модернизации Директивы о конфиденциальности и электронных средствах связи комиссия Совета Европы опубликовала предложения о регулировании, касающегося уважения частной жизни и защиты личных данных в электронных сообщениях.

Цель реформы заключается в унификации правил, регулирующих электронные коммуникации в соответствии с требованиями Общего регламента по защите данных. Новый Регламент распространяется на все государства ЕС, что позволит обеспечить одинаковый уровень защиты электронных сообщений. Прозрачность, правовая определенность и внедрение единого набора правил на территории ЕС коррелируют права субъектов данных, телекоммуникационных операторов и организаций.