Ю. К. Базанов Права человека и защита персональных данных Киев 2000 удк 342. 721: 681 02(477) ббк 67. 312. 1: 67. 99 (2) 3 Б24 Книга

Вид материалаКнига

Содержание


3.4. Организация защиты персональных данных в Совете Европы
В государст­венной организации
Подобный материал:
1   2   3   4   5   6   7   8   9   10   ...   18
Пользователи услуг Интернет должны учитывать следующее.

Интернет не является безопасной сетью. Следует использовать все средства для защиты персональных дан­ных, такие, как разрешенное законом шифрование конфиденциальной электрон­ной поч­­­ты, а также – пароли доступа к персональному компьютеру.

После каждой операции, которую вы осуществили на каком-либо узле Интернет, остаются следы. Эти “электронные следы” мо­гут быть ис­пользованы без вашего ведома для сбора всевозможных о вас сведениях.

Если разрешено законом, вы можете использовать псевдоним, при этом информация, идентифицирующая вас, будет известна только вашему провайдеру услуг Интернет.

Предоставляйте провайдеру услуг Интернет или любому другому ли­цу только те персональные данные, которые, как вы полагаете, ему необходимы.

Следует помнить, что адрес электронной почты является персональными данными, и он может быть использован для различных целей. Ваш адрес электронной почты или другие сведения персонального характера могут быть включены в различные каталоги или списки пользователей. Без колебаний спрашивайте о предназначении каталогов и требуйте исключения своих персональных данных из них, если вы не хотите в нем фигурировать. Будьте внимательны и осторожны с узлами, которые запрашивают больше сведений о вас, чем это необходимо для доступа к узлу.

Необходимо помнить, что вы можете нести юридическую ответственность за все персональные данные, которые передаете и принимаете, и что все может быть отслежено, даже если вы используете псевдоним. Не отправляйте злонамеренные сообщения. Они могут нанести вам ущерб с юридическими последствиями. Информация, предоставляемая пользователем, должна быть точной и не устарев­шей.

Помните, что провайдер услуг Интернет несет ответст­вен­ность за правильное использование ваших персональных данных. Время от вре­­мени выясняйте у него – какие персональные данные он собирает, обрабатывает, хранит и распространяет, каким образом и для каких целей. Настаивайте на том, чтобы он ис­правил их, если они ошибочны, или стер их, если они избыточны или устарели.

В том случае, когда вы не удовлетворены тем способом, которым ваш провайдер услуг Интернет собирает, обрабатывает, хранит или распространяет персональные данные, и он не меняет этот способ, перейдите к другому провайдеру.

Проявляйте интерес к информации о рисках, которым подвергаются или могут подвергаться ваши персональные данные при передаче в сети Интернет, а также интересуйтесь доступными методами уменьшения этих рисков.

Перед передачей персональных данных в другую страну проверьте ее юридический статус (например, может, необходимо получить кон­сультацию о том, ратифицировала ли другая страна Конвенцию 1981г.). Если эта страна не ратифицировала Конвенцию, может потребоваться чтобы получатель, которому направляются персональные данные, дал свое согласие на заключение специального договора о защите персональных данных, уровень которой должен быть адекватным требованиям вашего национального законодательства.

Для провайдеров услуг Интернет рекомендации по защите персональных данных следующие.

Используйте все доступные процедуры и новые технологии, которые обеспечивают всемерную защиту сведений персонального характера пользователей, а также физическую и логическую безопасность работы сети.

Информируйте пользователей о рисках, которым они могут под­вергаться при использовании сети Интернет, перед тем, как они подписались на услуги или начали пользоваться вашими услугами.

Предоставляйте пользователям возможность применения ими псев­донима и информируйте о технических средствах защиты, возможностях шиф­рования, которые повышают безопасность передачи персональных данных в сети.

Не читайте, не изменяйте и не удаляйте сообщения, направленные дру­гим пользователям. Не допускайте никому никакого воздействия на содер­жание сообщений. Это может осуществляться только государст­венным органом, уполномоченным на это Законом. Способствуйте государственным органам в установлении происхож­дения злонамеренных и оскорбительных сообщений, а также – информируйте их о нарушениях законодательства по защите персональных данных.

Собирайте, обрабатывайте и храните персональные данные по­льзователей только в случаях, если это крайне необходимо.

Не храните персональные данные дольше, чем это требуется для достижения цели обработки (например, не следует хранить счета доль­­ше определенного срока, если это не предусмотрено, например, налоговым, гражданским или уголовным законодательством).

Помните, что вы можете использовать персональные данные для рекламы только в случае, если пользователь не возражает против ваших действий и при условии выполнения строго указанных им целей.

Не передавайте персональные данные о действиях пользователей, а также списки пользователей услуг Интернет, если это не пре­ду­с­мот­рено Законом.

Следует всегда помнить, что вы несете ответственность за правильное использование персональных данных. Перед тем, как пользо­ватель начинает пользоваться услугами при посещении вашего уз­ла, и при запросе с его стороны, информируйте его о том, какие персональные данные вы собираете, обрабатываете, храните и распространяете, каким образом, для какой цели и как долго. По указанию пользователя услуг Интернет немедленно исправьте его ошибочные персональные данные или сотрите их, если они избыточны или устарели.

Перед опубликованием персональных данных на вашем узле, следует обратиться к национальному законодательству на предмет правомерности публикации данных и учесть, что публикация может нарушать конфиденциальность личной жизни других людей, а также может быть запрещена за­конодательством.

Перед передачей персональных данных в другую страну дважды проверьте юридический статус страны и адекватность мер защиты пер­­сональных данных.

Важно помнить, что соблюдение прав по защите персональных данных можно осуществить также путем использования механизма обратной связи с государственным органом, ответственным за организацию и контроль защиты персональных данных в стране и другими уполномоченными органами. Обращайтесь к уполномоченному по защите персональных данных, если требуются пояснения или правовые средства защиты.

Не так давно на Конференции министров Совета Европы в Оттаве в октябре 1998 года, как отмечает Директор Директората Организации Экономического Сотрудничества и Развития (ОЭСР) по вопросам науки, технологий и индустрии Ризабуро Нецу, министры подтвердили “свое стремление защищать права человека в глобальных сетях с целью обеспечения уважения его важнейших прав, создания условий конфиденциальности и предотвращения необоснованных ограничений трансграничных потоков персональных данных”. Министры провозгласили, что будут “работать в плане создания условий адаптации разных подходов, принятых государствами-участниками для обеспечения защиты прав в глобальных сетях”.

Вопросами передачи сведений в информационных супермагистралях занимается также ООН. В резолюций Генеральной Ассамблеи ООН (ноябрь, 1999 г.) отмечается необходимость разработки меж­дународных принципов, которые были бы направлены на усиление безопасности глобальных информационных и телекоммуникационных систем и способствовали борьбе с информационным терроризмом и криминалом.

К сказанному можно добавить комментарий советника Президента США по государственной политике Америки в отношении Интернет. Выступая в июне 1998 года перед участниками конференции нью-йоркской ассоциации New York New Media Association, советник Президента США Айра Магазайнер заявил, что будущее государственного регулирования Интернет зависит от того, насколько успешно отрасль справится с проблемой защиты персональных данных в Сети. По словам Магазайнера: “Федеральная торговая комиссия США выступает в пользу принятия закона о защите личной информации в электронном мире, что соответствует духу проводимой администрацией Клинтона политики. ФТК США также требует создания органа, который занимался защитой личной информации, имеющей отношение к детской аудитории”.

На этой же конференции, говоря о создаваемой юридической архитектуре киберпростран­ства и защите персональных данных, профессор Гарвадского университета, юрист Лоуренс Лессинг заявил: “Сегодня мы создаем самую важную новую юрисдикцию со времен Луизианской продажи”.


3.4. Организация защиты персональных данных в Совете Европы


Конвенция “О защите (прав) физических лиц при автоматизи­ро­ванной обработке персональных данных” 1981 года предусматривает образование Консультативного комитета представителей государств-уча­с­т­ни­ков Совета Европы, действующего согласно Уставу.

К функциям Комитета отнесены права и обязанности по подготовке предложений, представлению рекомендаций Комитету министров СЕ по различным аспектам относительно применения Конвенции 1981 года. Текст поправки направляют государ­ствам-участ­ни­кам. Поправка вступает в силу на тридцатый день после того, как все государства-участники проинформировали Гене­рального Секретаря СЕ о ее одобрении.

Учитывая многообразие решаемых задач, защита персональных данных в Совете Европы осуществляется отдельно от всех иных информационных сведений согласно “Правилам системы защиты для файлов персональных данных”, которые вступили в силу с 1 января 1985 года.

С целью гарантии уважения принципов контроля и защиты персональных данных Генеральный Секретарь СЕ утвердил должность Комиссара (Уполномоченного) по защите персональных данных. Комиссар избирается Консультативным комитетом СЕ по защите персональных данных из перечня имен, представленных Генераль­ным Секретарем СЕ, на срок 3 года. Гарантом возможности исполнения функций Комиссара является Генеральный Секретарь Со­вета Европы.

Положения Правил обязательны для всех сведений персонального характера, которые собираются, обрабатываются, хранятся и распространяются Советом Европы с помощью автоматизированных средств или ручной обработки, за исключением сведений, собираемых, обрабатываемых, хранимых и распространяемых в рамках положений Конвенции “О защите прав человека и основных свобод” 1950 г. и Протоколов к этой Конвенции.

В правилах оговорено, что сбор, обработка, хранение и распространение персональных данных осуществляются только для выполнения необходимых внутренних административных задач Совета Европы, согласно функциям по Уставу, и исключительно в рамках закона, соблюдая интересы соответствующих физических лиц.

Согласно статье 7 Правил, действия с персональными данными, включая передачу данных третьей стороне, могут осуществляться толь­ко с письменного согласия физического лица, сведения о котором распространяются. Отмеченное лицо имеет право доступа к файлам, содержащим информацию о нем. Но его попытки не­обос­нован­ного исправления или уничтожения сведений не допуска­ются и долж­ны пресекаться. В случае отказа в доступе к персональным данным, по причинам упомянутым выше, Комиссар по просьбе физического лица определяет обоснованность отказа. С этой целью Комиссар имеет право проверить файл и принять решение, когда и в каком случае доступ к персональным данным может быть разрешен.

Перечень всех автоматизированных файлов (и картотек), хранящих­ся в Совете Европы, находится у Комиссара по защите персональных данных. Комиссар имеет возможность внесения в него дополнительных сведений для каждого конкретного файла, целевого фай­ла, сортировки содержащихся в файле сведений, определения лиц, которым сведения могут быть сообщены и переданы в законном порядке. Персональные данные дол­жны отвечать требованиям: точности; своевременности обработки; исключения избыточности; обеспечения защиты от несанкционированного доступа, разрушения, потери, изменения, распространения, хранения не дольше установленных сроков в форме, позволяющей идентифицировать физическое лицо.

Любые предложения в интересах совершенствования процессов обработки персональных данных или введения новых информационных технологий направляются Комиссару по защите персональных данных для учета, оценки и контроля использования. Изменения технологических или технических планов и процедур автоматизации при работе с персональными данными не допускаются. Эти изменение могут осуществляться лишь с разрешения Комиссара.

Комиссар по защите персональных данных обязан доводить до сведения Генерального Секретаря Совета Европы все замечания и предложения, относительно системы защиты сведений о физических лицах, расследовать жалобы, обоб­щать мнения специалистов и совершенствовать систему защиты персональных данных.

4. Защита персональных данных в странах Совета Европы


4.1. Защита персональных данных в Германии


Первый законодательный акт ФРГ в сфере персональных данных – Закон “О защите данных” был принят в Земле Гессен, в 1970 году.

Основные положения этого закона сводятся к следующему:

действия закона распространяются на всю совокупность автоматизированных картотек и на обработку содержащейся в них информа­ции;

каждый гражданин, имеющий доступ к информации, будь то на этапе сбора, обработки или передачи данных, обязан хранить их в секрете. Исключения составляют лишь случаи, когда это делается с согласия лиц, которым поручено контролировать данные;

всякий гражданин, которого касается хранимая информация, имеет право требовать внесения изменений, на которых он настаивает;

всякий гражданин, потерпевший ущерб из-за незаконного доступа к информации о нем, может получить решение судебного орган, прекращающего распространение этой информации;

созданию должности Комиссара по охране данных. Этому выборному государственному служащему закон обеспечивает полную независимость, предоставляя ему право надзора за действиями с персональными данными.

В настоящее время защита персональных данных в Германии осуществляется согласно федеральному Закону “О дальнейшем развитии обработки дан­ных и защиты данных” 1990 года.

В дополнении к нему 1 августа 1997 года вступил в силу Закон “Об ин­формационных и коммуникационных услугах”, который называют также законом о мультимедиа. Статья 2 Закона посвящена вопросам защиты персональных данных, предоставляемых с помощью те­ле­услуг.


4.1.1. Федеральный Закон о защите персональных данных


Федеральный Закон Германии “О дальнейшем развитии обработки данных и защиты данных” был принят 20 декабря 1990 года. Основу его составляет первый немецкий правовой акт по защите персональных данных – Закон “О защите дан­ных” 1970 года.

Цель Закона – “защитить лицо от ущемления его прав, вследствие ознакомления с его персональными данными”. Область правового регулирования определяется получением, обработкой и использованием персональных данных в государственных и негосударственных организациях, которые осуществляют свою деятельность с помощью автоматизированных файлов или неавтоматизированных картотек.

Основное понятие Закона – “персональные данные” – имеет весь­ма необычное и характерное для немецкого подхода определение, а именно: “это конкретные данные о личных или имущественных отношениях устанавливаемого или установленного физического лица (зат­ра­гивае­мого лица)”. Закон не рассматривает персональные данные как абстрактную информационную категорию, а подходит к персональным данным с точки зрения неимущественных и имущественных прав. Другими словами, немецкий законодатель придал персональным данным не только информационный, но экономический ха­рактер. В настоящее время этот акцент все более становится важным. Движение товаров и капиталов, предоставление электронных услуг, активность в формировании баз персональных данных требуют не только свободного их перемещения, но и обеспечения защиты данных, относительно гарантий уважения и соблюдения прав и свобод человека, в условиях бурного развития процессов информатизации.

Закон определяет ряд понятий – “файл”, “документ”, “получе­ние данных”.

В содержание термина “файл” Закон 1990 года вкладывает не только понятие совокупности персональных данных, ко­­торые могут быть оценены по определенным признакам автоматизированным способом (“автоматизи­рованный файл”), но и любой другой совокупности персональных данных, имеющих единообразную структуру, возможность упорядочения, переподчинения или оценки по определенным признакам (“неавтоматизированная картотека”).

Отдельно в Законе указаны виды деятельности, связанные с понятием “обработка”, а именно: хранение, изменение, передача, стирание или ограничение доступа. Понятия “исполь­зова­ние” и “пре­обра­­зование” имеют свои дефиниции. Тем самым создается четкая цепочка действий, подлежащих правовому регулированию. Такой подход позволяет в будущем учитывать пока еще неизвестные виды деятельности, связанные с автоматизированной обработкой, которые так или иначе будут находиться в пределах правового поля сферы защиты персональных данных.

Один из основных принципов регулирования отношений предусматривает согласие затрагиваемого лица на обработку и использование его персональных данных. Согласие оформляется в письменной форме.

Всем лицам запрещается выполнять автоматизированную обработку, если она не соответствует функциям или коммерческим целям и не учитывает интересы затрагиваемых лиц. Лица, обрабатываю­щие персональные данные, осуществляют необходимые организационные и технические меры защиты для выполнения предписаний Закона. Ука­занный порядок обязателен для всех организаций и физических лиц.

Требования к государственным и негосударственным организациям оп­реде­лены в Законе отдельными разделами.

В государст­венной организации допускается сбор, обработка, хранение и распространение персональных данных, если они необходимы для выпол­­не­ния организацией своих функций.

Эти операции не считаются обработкой или распространением персональных данных для других целей, если они служат обеспечению функций надзора и контроля, проверки счетов, проведения расследований в организации, хранящей персональные данные. Это справедливо для целей обучения и проведения экзаменов, если не противоречит интересам затрагиваемого физического лица.

Государственные организации должны вести перечень применяемых устройств и программ обработки персональных данных, а также – четкий учет файлов персональных данных.

Закон требует, чтобы данные были получены добросовестно и законным путем.

Закон определяет сведения, которые должны быть предоставлены затрагиваемому лицу по его заявлению. Затрагиваемое лицо может запросить сведения об относящихся к нему персональным данным, а также о том, в какой мере они связаны с их происхождением или полу­чателем этих данных; целях хранения; лицах и организациях, которым его данные регулярно передают­­­ся.

Сведения предоставляются в письменной форме и бесплатно.

Государственная организация, хранящая персональные данные, определяет спо­соб и форму предоставления сведений, исходя из служебных интересов.

Закон оговаривает, что сведения не представляются затрагива­емому лицу, когда они могут помешать выполнению задач, входящих в область ее компетенции; могут угрожать общественной бе­зо­пасности или общественному порядку, нанести ущерб благосостоянию Федерации или Земли. Если затрагиваемому лицу отказано в предоставлении сведений, то, по его требованию, сведения должны быть предоставлены Федеральному уполномоченному по защите пер­­сональ­ных дан­ных.

Персональные данные в файлах подлежат стиранию, если их хранение является недопустимым или их наличие не является более необходимым для выполнения задач, входящих в область компетенции организации.

Вместо стирания допускается ограничение доступа, если: стирание недопустимо из-за срока хранения, установленного законодательно в уставе, в договоре; имеется основание считать, что вследствие стирания будут ущемлены интересы затрагиваемого лица; стирание ввиду особых условий хранения невозможно или возможно только при несоразмерно больших затратах.

Персональные данные подлежат ограничению доступа, если их правильность ос­паривается затрагиваемым лицом и невозможно ус­тановить ни их правильность, ни их ошибочность. Персональные дан­ные, которые содержатся в документах, подлежат ограниченному к ним доступу, если для конкретного случая органом государственной влас­ти установлено, что без ограничения доступа интересы затраги­ваемого лица могут быть ущемлены, а для выполнения своих функций органу государственной власти эти данные не требуются.

Персональные данные с ограниченным доступом разрешается передавать или использовать без согласия затрагиваемого лица, если это необходимо для научных целей или для подтверждения каких-либо обстоятельств, а также по другим причинам, затрагивающим интересы организации или третьей стороны, но согласно требованиям действующего законодательства.

Об исправлении ошибочных данных, ограничении доступа к оспа­риваемым данным, а также о стирании или ограничении доступа из-за недопустимости хранения дан­­ных должны быть уведомлены организации, которым эти данные регулярно переда­ются, если это необходимо для обеспечения защиты интересов затрагиваемого физического лица.

При нанесении ущерба затрагиваемому лицу государственной ор­ганизацией, в результате автоматизированной обработки его персональных данных, недопустимой в соответствии с настоящим Законом или другими предписаниями в области защиты данных, или же в результате неправильной автоматизированной обработки, эта организация обязана возместить ущерб, независимо от степени вины. Правовой способ действий – обращение в суд в надлежащем порядке.

Закон предусматривает то, что каждое затрагиваемое физическое лицо может обратиться к Федеральному уполномоченному по защите данных, если, по его мнению, его права были ущемлены при сборе, обработке, хранении и распространении его персональных данных государственными организа­циями.