Ю. К. Базанов Права человека и защита персональных данных Киев 2000 удк 342. 721: 681 02(477) ббк 67. 312. 1: 67. 99 (2) 3 Б24 Книга
Вид материала | Книга |
Содержание3.4. Организация защиты персональных данных в Совете Европы В государственной организации |
- А. Баранов, В. Брыжко, Ю. Базанов Права человека и защита персональных данных Киев, 501.24kb.
- Методические рекомендации Москва ● 2010 удк 347. 962: 342. 7 Ббк 67. 721-91: 67. 400., 952.68kb.
- Сборник статей Часть II москва 2011 удк 347. 963+342. 7 Ббк 67. 721-91+67. 400., 1903.81kb.
- Научно-методическое пособие Москва ● 2009 удк 347. 962: 342. 9 Ббк 67. 721-91: 67., 1444.75kb.
- Верстка Е. Строганова И. Андреева Е. Базанов Е. Маспова С. Жильцов, А. Калабин Е. Базанов, 4179.01kb.
- Рафаел папаян, 3846.74kb.
- Защита конституционного права человека и гражданина на неприкосновенность частной жизни, 454.75kb.
- Удк 342. 84(477)(082) ббк 67. 9 (4укр) 400, 4947.17kb.
- Регушевський Едуард Євгенович удк 342. 7 (477) Конституційно-правові гарантії політичних, 310.91kb.
- Правительства Российской Федерации от 17 ноября 2007 года N 781 "Об утверждении Положения, 657.02kb.
Интернет не является безопасной сетью. Следует использовать все средства для защиты персональных данных, такие, как разрешенное законом шифрование конфиденциальной электронной почты, а также – пароли доступа к персональному компьютеру.
После каждой операции, которую вы осуществили на каком-либо узле Интернет, остаются следы. Эти “электронные следы” могут быть использованы без вашего ведома для сбора всевозможных о вас сведениях.
Если разрешено законом, вы можете использовать псевдоним, при этом информация, идентифицирующая вас, будет известна только вашему провайдеру услуг Интернет.
Предоставляйте провайдеру услуг Интернет или любому другому лицу только те персональные данные, которые, как вы полагаете, ему необходимы.
Следует помнить, что адрес электронной почты является персональными данными, и он может быть использован для различных целей. Ваш адрес электронной почты или другие сведения персонального характера могут быть включены в различные каталоги или списки пользователей. Без колебаний спрашивайте о предназначении каталогов и требуйте исключения своих персональных данных из них, если вы не хотите в нем фигурировать. Будьте внимательны и осторожны с узлами, которые запрашивают больше сведений о вас, чем это необходимо для доступа к узлу.
Необходимо помнить, что вы можете нести юридическую ответственность за все персональные данные, которые передаете и принимаете, и что все может быть отслежено, даже если вы используете псевдоним. Не отправляйте злонамеренные сообщения. Они могут нанести вам ущерб с юридическими последствиями. Информация, предоставляемая пользователем, должна быть точной и не устаревшей.
Помните, что провайдер услуг Интернет несет ответственность за правильное использование ваших персональных данных. Время от времени выясняйте у него – какие персональные данные он собирает, обрабатывает, хранит и распространяет, каким образом и для каких целей. Настаивайте на том, чтобы он исправил их, если они ошибочны, или стер их, если они избыточны или устарели.
В том случае, когда вы не удовлетворены тем способом, которым ваш провайдер услуг Интернет собирает, обрабатывает, хранит или распространяет персональные данные, и он не меняет этот способ, перейдите к другому провайдеру.
Проявляйте интерес к информации о рисках, которым подвергаются или могут подвергаться ваши персональные данные при передаче в сети Интернет, а также интересуйтесь доступными методами уменьшения этих рисков.
Перед передачей персональных данных в другую страну проверьте ее юридический статус (например, может, необходимо получить консультацию о том, ратифицировала ли другая страна Конвенцию 1981г.). Если эта страна не ратифицировала Конвенцию, может потребоваться чтобы получатель, которому направляются персональные данные, дал свое согласие на заключение специального договора о защите персональных данных, уровень которой должен быть адекватным требованиям вашего национального законодательства.
Для провайдеров услуг Интернет рекомендации по защите персональных данных следующие.
Используйте все доступные процедуры и новые технологии, которые обеспечивают всемерную защиту сведений персонального характера пользователей, а также физическую и логическую безопасность работы сети.
Информируйте пользователей о рисках, которым они могут подвергаться при использовании сети Интернет, перед тем, как они подписались на услуги или начали пользоваться вашими услугами.
Предоставляйте пользователям возможность применения ими псевдонима и информируйте о технических средствах защиты, возможностях шифрования, которые повышают безопасность передачи персональных данных в сети.
Не читайте, не изменяйте и не удаляйте сообщения, направленные другим пользователям. Не допускайте никому никакого воздействия на содержание сообщений. Это может осуществляться только государственным органом, уполномоченным на это Законом. Способствуйте государственным органам в установлении происхождения злонамеренных и оскорбительных сообщений, а также – информируйте их о нарушениях законодательства по защите персональных данных.
Собирайте, обрабатывайте и храните персональные данные пользователей только в случаях, если это крайне необходимо.
Не храните персональные данные дольше, чем это требуется для достижения цели обработки (например, не следует хранить счета дольше определенного срока, если это не предусмотрено, например, налоговым, гражданским или уголовным законодательством).
Помните, что вы можете использовать персональные данные для рекламы только в случае, если пользователь не возражает против ваших действий и при условии выполнения строго указанных им целей.
Не передавайте персональные данные о действиях пользователей, а также списки пользователей услуг Интернет, если это не предусмотрено Законом.
Следует всегда помнить, что вы несете ответственность за правильное использование персональных данных. Перед тем, как пользователь начинает пользоваться услугами при посещении вашего узла, и при запросе с его стороны, информируйте его о том, какие персональные данные вы собираете, обрабатываете, храните и распространяете, каким образом, для какой цели и как долго. По указанию пользователя услуг Интернет немедленно исправьте его ошибочные персональные данные или сотрите их, если они избыточны или устарели.
Перед опубликованием персональных данных на вашем узле, следует обратиться к национальному законодательству на предмет правомерности публикации данных и учесть, что публикация может нарушать конфиденциальность личной жизни других людей, а также может быть запрещена законодательством.
Перед передачей персональных данных в другую страну дважды проверьте юридический статус страны и адекватность мер защиты персональных данных.
Важно помнить, что соблюдение прав по защите персональных данных можно осуществить также путем использования механизма обратной связи с государственным органом, ответственным за организацию и контроль защиты персональных данных в стране и другими уполномоченными органами. Обращайтесь к уполномоченному по защите персональных данных, если требуются пояснения или правовые средства защиты.
Не так давно на Конференции министров Совета Европы в Оттаве в октябре 1998 года, как отмечает Директор Директората Организации Экономического Сотрудничества и Развития (ОЭСР) по вопросам науки, технологий и индустрии Ризабуро Нецу, министры подтвердили “свое стремление защищать права человека в глобальных сетях с целью обеспечения уважения его важнейших прав, создания условий конфиденциальности и предотвращения необоснованных ограничений трансграничных потоков персональных данных”. Министры провозгласили, что будут “работать в плане создания условий адаптации разных подходов, принятых государствами-участниками для обеспечения защиты прав в глобальных сетях”.
Вопросами передачи сведений в информационных супермагистралях занимается также ООН. В резолюций Генеральной Ассамблеи ООН (ноябрь, 1999 г.) отмечается необходимость разработки международных принципов, которые были бы направлены на усиление безопасности глобальных информационных и телекоммуникационных систем и способствовали борьбе с информационным терроризмом и криминалом.
К сказанному можно добавить комментарий советника Президента США по государственной политике Америки в отношении Интернет. Выступая в июне 1998 года перед участниками конференции нью-йоркской ассоциации New York New Media Association, советник Президента США Айра Магазайнер заявил, что будущее государственного регулирования Интернет зависит от того, насколько успешно отрасль справится с проблемой защиты персональных данных в Сети. По словам Магазайнера: “Федеральная торговая комиссия США выступает в пользу принятия закона о защите личной информации в электронном мире, что соответствует духу проводимой администрацией Клинтона политики. ФТК США также требует создания органа, который занимался защитой личной информации, имеющей отношение к детской аудитории”.
На этой же конференции, говоря о создаваемой юридической архитектуре киберпространства и защите персональных данных, профессор Гарвадского университета, юрист Лоуренс Лессинг заявил: “Сегодня мы создаем самую важную новую юрисдикцию со времен Луизианской продажи”.
3.4. Организация защиты персональных данных в Совете Европы
Конвенция “О защите (прав) физических лиц при автоматизированной обработке персональных данных” 1981 года предусматривает образование Консультативного комитета представителей государств-участников Совета Европы, действующего согласно Уставу.
К функциям Комитета отнесены права и обязанности по подготовке предложений, представлению рекомендаций Комитету министров СЕ по различным аспектам относительно применения Конвенции 1981 года. Текст поправки направляют государствам-участникам. Поправка вступает в силу на тридцатый день после того, как все государства-участники проинформировали Генерального Секретаря СЕ о ее одобрении.
Учитывая многообразие решаемых задач, защита персональных данных в Совете Европы осуществляется отдельно от всех иных информационных сведений согласно “Правилам системы защиты для файлов персональных данных”, которые вступили в силу с 1 января 1985 года.
С целью гарантии уважения принципов контроля и защиты персональных данных Генеральный Секретарь СЕ утвердил должность Комиссара (Уполномоченного) по защите персональных данных. Комиссар избирается Консультативным комитетом СЕ по защите персональных данных из перечня имен, представленных Генеральным Секретарем СЕ, на срок 3 года. Гарантом возможности исполнения функций Комиссара является Генеральный Секретарь Совета Европы.
Положения Правил обязательны для всех сведений персонального характера, которые собираются, обрабатываются, хранятся и распространяются Советом Европы с помощью автоматизированных средств или ручной обработки, за исключением сведений, собираемых, обрабатываемых, хранимых и распространяемых в рамках положений Конвенции “О защите прав человека и основных свобод” 1950 г. и Протоколов к этой Конвенции.
В правилах оговорено, что сбор, обработка, хранение и распространение персональных данных осуществляются только для выполнения необходимых внутренних административных задач Совета Европы, согласно функциям по Уставу, и исключительно в рамках закона, соблюдая интересы соответствующих физических лиц.
Согласно статье 7 Правил, действия с персональными данными, включая передачу данных третьей стороне, могут осуществляться только с письменного согласия физического лица, сведения о котором распространяются. Отмеченное лицо имеет право доступа к файлам, содержащим информацию о нем. Но его попытки необоснованного исправления или уничтожения сведений не допускаются и должны пресекаться. В случае отказа в доступе к персональным данным, по причинам упомянутым выше, Комиссар по просьбе физического лица определяет обоснованность отказа. С этой целью Комиссар имеет право проверить файл и принять решение, когда и в каком случае доступ к персональным данным может быть разрешен.
Перечень всех автоматизированных файлов (и картотек), хранящихся в Совете Европы, находится у Комиссара по защите персональных данных. Комиссар имеет возможность внесения в него дополнительных сведений для каждого конкретного файла, целевого файла, сортировки содержащихся в файле сведений, определения лиц, которым сведения могут быть сообщены и переданы в законном порядке. Персональные данные должны отвечать требованиям: точности; своевременности обработки; исключения избыточности; обеспечения защиты от несанкционированного доступа, разрушения, потери, изменения, распространения, хранения не дольше установленных сроков в форме, позволяющей идентифицировать физическое лицо.
Любые предложения в интересах совершенствования процессов обработки персональных данных или введения новых информационных технологий направляются Комиссару по защите персональных данных для учета, оценки и контроля использования. Изменения технологических или технических планов и процедур автоматизации при работе с персональными данными не допускаются. Эти изменение могут осуществляться лишь с разрешения Комиссара.
Комиссар по защите персональных данных обязан доводить до сведения Генерального Секретаря Совета Европы все замечания и предложения, относительно системы защиты сведений о физических лицах, расследовать жалобы, обобщать мнения специалистов и совершенствовать систему защиты персональных данных.
4. Защита персональных данных в странах Совета Европы
4.1. Защита персональных данных в Германии
Первый законодательный акт ФРГ в сфере персональных данных – Закон “О защите данных” был принят в Земле Гессен, в 1970 году.
Основные положения этого закона сводятся к следующему:
действия закона распространяются на всю совокупность автоматизированных картотек и на обработку содержащейся в них информации;
каждый гражданин, имеющий доступ к информации, будь то на этапе сбора, обработки или передачи данных, обязан хранить их в секрете. Исключения составляют лишь случаи, когда это делается с согласия лиц, которым поручено контролировать данные;
всякий гражданин, которого касается хранимая информация, имеет право требовать внесения изменений, на которых он настаивает;
всякий гражданин, потерпевший ущерб из-за незаконного доступа к информации о нем, может получить решение судебного орган, прекращающего распространение этой информации;
созданию должности Комиссара по охране данных. Этому выборному государственному служащему закон обеспечивает полную независимость, предоставляя ему право надзора за действиями с персональными данными.
В настоящее время защита персональных данных в Германии осуществляется согласно федеральному Закону “О дальнейшем развитии обработки данных и защиты данных” 1990 года.
В дополнении к нему 1 августа 1997 года вступил в силу Закон “Об информационных и коммуникационных услугах”, который называют также законом о мультимедиа. Статья 2 Закона посвящена вопросам защиты персональных данных, предоставляемых с помощью телеуслуг.
4.1.1. Федеральный Закон о защите персональных данных
Федеральный Закон Германии “О дальнейшем развитии обработки данных и защиты данных” был принят 20 декабря 1990 года. Основу его составляет первый немецкий правовой акт по защите персональных данных – Закон “О защите данных” 1970 года.
Цель Закона – “защитить лицо от ущемления его прав, вследствие ознакомления с его персональными данными”. Область правового регулирования определяется получением, обработкой и использованием персональных данных в государственных и негосударственных организациях, которые осуществляют свою деятельность с помощью автоматизированных файлов или неавтоматизированных картотек.
Основное понятие Закона – “персональные данные” – имеет весьма необычное и характерное для немецкого подхода определение, а именно: “это конкретные данные о личных или имущественных отношениях устанавливаемого или установленного физического лица (затрагиваемого лица)”. Закон не рассматривает персональные данные как абстрактную информационную категорию, а подходит к персональным данным с точки зрения неимущественных и имущественных прав. Другими словами, немецкий законодатель придал персональным данным не только информационный, но экономический характер. В настоящее время этот акцент все более становится важным. Движение товаров и капиталов, предоставление электронных услуг, активность в формировании баз персональных данных требуют не только свободного их перемещения, но и обеспечения защиты данных, относительно гарантий уважения и соблюдения прав и свобод человека, в условиях бурного развития процессов информатизации.
Закон определяет ряд понятий – “файл”, “документ”, “получение данных”.
В содержание термина “файл” Закон 1990 года вкладывает не только понятие совокупности персональных данных, которые могут быть оценены по определенным признакам автоматизированным способом (“автоматизированный файл”), но и любой другой совокупности персональных данных, имеющих единообразную структуру, возможность упорядочения, переподчинения или оценки по определенным признакам (“неавтоматизированная картотека”).
Отдельно в Законе указаны виды деятельности, связанные с понятием “обработка”, а именно: хранение, изменение, передача, стирание или ограничение доступа. Понятия “использование” и “преобразование” имеют свои дефиниции. Тем самым создается четкая цепочка действий, подлежащих правовому регулированию. Такой подход позволяет в будущем учитывать пока еще неизвестные виды деятельности, связанные с автоматизированной обработкой, которые так или иначе будут находиться в пределах правового поля сферы защиты персональных данных.
Один из основных принципов регулирования отношений предусматривает согласие затрагиваемого лица на обработку и использование его персональных данных. Согласие оформляется в письменной форме.
Всем лицам запрещается выполнять автоматизированную обработку, если она не соответствует функциям или коммерческим целям и не учитывает интересы затрагиваемых лиц. Лица, обрабатывающие персональные данные, осуществляют необходимые организационные и технические меры защиты для выполнения предписаний Закона. Указанный порядок обязателен для всех организаций и физических лиц.
Требования к государственным и негосударственным организациям определены в Законе отдельными разделами.
В государственной организации допускается сбор, обработка, хранение и распространение персональных данных, если они необходимы для выполнения организацией своих функций.
Эти операции не считаются обработкой или распространением персональных данных для других целей, если они служат обеспечению функций надзора и контроля, проверки счетов, проведения расследований в организации, хранящей персональные данные. Это справедливо для целей обучения и проведения экзаменов, если не противоречит интересам затрагиваемого физического лица.
Государственные организации должны вести перечень применяемых устройств и программ обработки персональных данных, а также – четкий учет файлов персональных данных.
Закон требует, чтобы данные были получены добросовестно и законным путем.
Закон определяет сведения, которые должны быть предоставлены затрагиваемому лицу по его заявлению. Затрагиваемое лицо может запросить сведения об относящихся к нему персональным данным, а также о том, в какой мере они связаны с их происхождением или получателем этих данных; целях хранения; лицах и организациях, которым его данные регулярно передаются.
Сведения предоставляются в письменной форме и бесплатно.
Государственная организация, хранящая персональные данные, определяет способ и форму предоставления сведений, исходя из служебных интересов.
Закон оговаривает, что сведения не представляются затрагиваемому лицу, когда они могут помешать выполнению задач, входящих в область ее компетенции; могут угрожать общественной безопасности или общественному порядку, нанести ущерб благосостоянию Федерации или Земли. Если затрагиваемому лицу отказано в предоставлении сведений, то, по его требованию, сведения должны быть предоставлены Федеральному уполномоченному по защите персональных данных.
Персональные данные в файлах подлежат стиранию, если их хранение является недопустимым или их наличие не является более необходимым для выполнения задач, входящих в область компетенции организации.
Вместо стирания допускается ограничение доступа, если: стирание недопустимо из-за срока хранения, установленного законодательно в уставе, в договоре; имеется основание считать, что вследствие стирания будут ущемлены интересы затрагиваемого лица; стирание ввиду особых условий хранения невозможно или возможно только при несоразмерно больших затратах.
Персональные данные подлежат ограничению доступа, если их правильность оспаривается затрагиваемым лицом и невозможно установить ни их правильность, ни их ошибочность. Персональные данные, которые содержатся в документах, подлежат ограниченному к ним доступу, если для конкретного случая органом государственной власти установлено, что без ограничения доступа интересы затрагиваемого лица могут быть ущемлены, а для выполнения своих функций органу государственной власти эти данные не требуются.
Персональные данные с ограниченным доступом разрешается передавать или использовать без согласия затрагиваемого лица, если это необходимо для научных целей или для подтверждения каких-либо обстоятельств, а также по другим причинам, затрагивающим интересы организации или третьей стороны, но согласно требованиям действующего законодательства.
Об исправлении ошибочных данных, ограничении доступа к оспариваемым данным, а также о стирании или ограничении доступа из-за недопустимости хранения данных должны быть уведомлены организации, которым эти данные регулярно передаются, если это необходимо для обеспечения защиты интересов затрагиваемого физического лица.
При нанесении ущерба затрагиваемому лицу государственной организацией, в результате автоматизированной обработки его персональных данных, недопустимой в соответствии с настоящим Законом или другими предписаниями в области защиты данных, или же в результате неправильной автоматизированной обработки, эта организация обязана возместить ущерб, независимо от степени вины. Правовой способ действий – обращение в суд в надлежащем порядке.
Закон предусматривает то, что каждое затрагиваемое физическое лицо может обратиться к Федеральному уполномоченному по защите данных, если, по его мнению, его права были ущемлены при сборе, обработке, хранении и распространении его персональных данных государственными организациями.