Исследование было проведено командой под руководством Джоса Думортье, профессора Факультета права и директора Междисциплинарного центра права и информационных технологий (icri) в K.

Вид материала

Исследование

Содержание 2.5 Защита данных (Статья 8) 2.5.1 Основные правила в области защиты данных (Статья 8.1) 2.5.2 Специальные правила защиты данных (Статья 8.2) 2.5.3 Использование псевдонимов (Статья 8.3) 2.5.4 Прочие национальные правила в области защиты данных

Подобный материал:

• Программа для поступающих в магистратуру юридического факультета по специальности 6N0302, 233.7kb.
• Андрея Леонидовича Козика Приветственное слово декана юридического факультета уо фпб, 136.39kb.
• «Применение информационных технологий в исследовании проблем международного права», 229.79kb.
• Программа итогового (государственного) междисциплинарного экзамена Направление 521400, 379.29kb.
• «Применение информационных технологий в исследовании проблем международного частного, 275.51kb.
• Инженерно- физический факультет высоких технологий Инженерно-физический факультет высоких, 561.11kb.
• Тематика курсовых работ по теории государства и права для студентов заочного отделения, 31.51kb.
• Программа итогового междисциплинарного государственного экзамена по специальности 030501, 700.36kb.
• М. В. Ломоносова Кафедра истории, социологии и права Тесты, 245.78kb.
• Программа итогового междисциплинарного экзамена по специальности 080105 «финансы, 564.94kb.

2.5 Защита данных (Статья 8)

Директива стремится повысить уровень доверия пользователей к электронным средствам связи и к электронной коммерции, требуя от провайдеров сертификационных услуг соблюдения законодательства в области конфиденциальности и защиты данных (Декларация факта 24). Статья 8 Директивы повторяет тот принцип, что обработка персональных данных должна осуществляться согласно европейской Директиве о защите данных (Статья 8.1), которая ужесточает правила в области защиты данных для ПСУ, выдающих сертификаты гражданам (Статья 8.2) и позволяет использовать сертификаты, которые содержат псевдоним вместо настоящего имени подписывающего лица (Статья 8.3).

2.5.1 Основные правила в области защиты данных (Статья 8.1)

Директива требует, чтобы государства-члены обеспечили соблюдение провайдерами сертификационных услуг и национальными органами, ответственными за аккредитацию или надзор, требований, изложенных в европейской Директиве о защите данных (Директива № 95/46/EC от 24 октября 1995 года о защите личности при обработке персональных данных и о свободном обращении этих данных).

Большинство стран не сделали прямого транспонирования Статьи 8.1 в национальное законодательство об электронной подписи (например, Австрия, Франция, Германия, Швеция, Великобритания, Норвегия, Польша, Словения, Швейцария). Это не удивительно, так как принцип защиты данных уже был введен в национальные акты о защите данных, что предполагает распространение общих правил по защите данных на все ПСУ, органы аккредитации и надзора. Прямо ссылаться на Европейскую Директиву 95/46/EC нет необходимости, так как эта директива была введена в действие в соответствующих странах.

Тем не менее, интересно, что в тех странах, где была сделана отсылка на обязательное соответствие Европейской Директиве 95/46/EC или её национальный эквивалент (например, в Бельгии, Дании, Греции, Люксембурге, Португалии, Испании и Швейцарии), некоторые страны ограничили область применения этого обязательства провайдерами сертификационных услуг и забыли включить в него национальные органы, ответственные за аккредитацию или надзор (Бельгия, Дания, Испания). Несмотря на то, что это не полное транспонирование Статьи 8.1, это не должно привести к серьезным проблемам, так как правила о защите данных, будучи надлежащим образом выполненными, должны соблюдаться всеми игроками рынка.

2.5.2 Специальные правила защиты данных (Статья 8.2)

В Статье 8.2 Директива сужает базовые принципы в области защиты данных до ПСУ, выдающих сертификаты для граждан. Конечно, государства-члены обязаны гарантировать, что данный тип провайдера услуг получает персональные данные только непосредственно от субъекта данных или после получения его прямого согласия, и только в тех объемах, которые необходимы для целей выдачи сертификатов и управления ими. Более того, данные не могут собираться или обрабатываться для каких-либо иных целей без прямого согласия субъекта данных. Так как эти требования к защите данных более строгие, чем общие национальные правила в этой области (основанные на Европейской Директиве), данные требования следует транспонировать напрямую.

Большинство стран транспонировали Статью 8.2 более или менее дословно (например, Австрия, Бельгия, Финляндия, Германия, Италия, Люксембург, Венгрия, Исландия, Норвегия, Португалия, Швеция и Нидерланды).

• Тем не менее, некоторые страны лишь ссылаются на свои базовые законы в области защиты данных (Чешская республика, Эстония, Литва), или вообще не ссылаются на общие правила защиты данных (Франция, Ирландия, Польша, Румыния, Словения).
  
• В странах, где до сих пор не существует специального законодательства об электронной подписи, защита данных по-прежнему гарантируется общим законодательством в области защиты данных (Кипр). В таких странах могут не соблюдаться более строгие требования по защите данных в отношении ПСУ, выдающих сертификаты гражданам, что приведет к проблеме неправильного транспонирования Директивы и к помехам на внутреннем рынке.
  

Как правило, для предоставления ПСУ персональных данных субъекта данных третьим сторонам требуется прямое согласие владельца сертификата (Статья 8.2, последнее предложение). Впрочем, в некоторых странах законодательство об электронных подписях позволяет государственным органам требовать от ПСУ раскрытия подробных сведений о личности в целях обнаружения или предотвращения преступлений (например, в Норвегии), или на основании гражданского или негражданского иска (например, в Польше).

• Далее, в Нидерландах принцип ограничения обработки данных по цели не сохраняется, если обработка данных требуется для обнаружения фактов мошенничества или для иных целей, предусмотренных законом или по закону.
  
• Хотя в национальном законодательстве об электронной подписи в других странах обязанность передавать информацию государственным органам не упоминается, национальное уголовно-процессуальное законодательство может наложить такую обязанность в рамках общей обязанности содействовать следствию (например, в Бельгии и Франции). Эти исключения из принципа согласия отвечают Директиве о защите данных и Директиве об электронных подписях, и косвенно подтверждаются Декларацией факта (25) в Директиве об электронных подписях.
  

2.5.3 Использование псевдонимов (Статья 8.3)

Государства-члены не могут запрещать провайдерам сертификационных услуг использование псевдонима вместо имени подписывающего лица при выдаче сертификатов. Это обязательство никак не влияет на юридическую силу, которая может или не может быть дана псевдонимам в рамках национального законодательства. Государствам-членам также запрещено осуществлять доступ к идентификационным данным, которые относятся к подписывающему лицу, пользующемуся псевдонимом (Декларация факта 25). Что касается квалифицированных сертификатов, Директива в Приложении I указывает, что квалифицированные сертификаты, содержащие псевдонимы, должны быть обозначены как таковые.

• В некоторых странах провайдерам сертификационных услуг прямо разрешено использовать псевдоним (Австрия, Германия, Греция); или же пользователи могут запросить псевдоним вместо подлинного имени подписывающего лица (Венгрия); либо для замененного псевдонима разрешено использовать настоящие данные идентификации (Италия).
  
• Впрочем, в большинстве этих стран явное указание на использование псевдонимов сделано только при транспонировании Приложения I; в нем говорится о том, что в квалифицированном сертификате должно быть указание на использование псевдонима вместо настоящего имени (Бельгия, Чешская республика, Дания, Финляндия, Исландия, Литва, Ирландия, Норвегия, Польша, Португалия, Румыния, Словения, Швеция, Нидерланды, Великобритания).
  
• Только законодательство Эстонии и Болгарии в области электронных подписей запрещает использование псевдонимов в национальных правилах относительно квалифицированных сертификатов (или их национального эквивалента). Этими законами предусмотрено, что данные типы сертификатов могут выдаваться только физическим лицам, и должны содержать подлинное имя держателя сертификата.
  

Большинство стран требует, чтобы ПСУ указывали в квалифицированном сертификате факт использования псевдонима (что является транспонированием Приложения I с Директивы). Некоторые страны заходят в этом отношении дальше и более строго регулируют применение псевдонима.

• Так, в Австрии псевдоним не должен иметь оскорбительного содержания и не должен ассоциироваться с другими именами.
  
• В Венгрии и Германии псевдоним может использоваться только с согласия представляемого лица, если подписывающее лицо использует атрибут сертификата, указывающий, что оно действует от имени представляемого лица. Последний подход интересен, так как явно демонстрирует, что, с точки зрения национального законодателя, псевдонимы предполагается использовать в сертификатах для подписи от имени другого лица или объекта, в особенности для представителей юридических лиц. Первоначально право на использование псевдонима должно было применяться для выполнения анонимных транзакций.
  

Многие страны в своем законодательстве об электронной подписи прямо требуют раскрытия настоящих имен государственным органам по запросу и на строгих условиях (например, Австрия, Бельгия, Чешская республика, Франция, Германия, Люксембург, Испания, Венгрия, Румыния, Словения). Конечно, Директива в Декларации факта (25) разрешает государствам-членам требовать идентификацию личности по законам Сообщества или по национальным законам.

В Италии ПСУ должны хранить реестры настоящих имен как минимум в течение 10 лет после окончания действия сертификата. В любом случае большинство стран требуют от ПСУ записывать всю существенную информацию относительно квалифицированных сертификатов на какой-то минимальный срок (Приложение II i Директивы), и это, возможно, включает также требование хранить данные о псевдонимах и их «владельцах» в течение аналогичного срока.

2.5.4 Прочие национальные правила в области защиты данных

Некоторые страны предусматривают более конкретные обязательства по защите данных.

• Так, в Греции Положение о подписях определяет, что ежегодные отчеты, отправляемые EETT от ПСУ, выдающих квалифицированные сертификаты (в рамках контрольной деятельности EETT) должны включать полную информацию о мерах, предпринятых ПСУ для защиты архивов и данных. Кроме того, в Положении указывается, что ПСУ, выдающие квалифицированные сертификаты, должны описывать процедуры, которые они используют для защиты конфиденциальной информации и для обработки персональных данных.
  
• В законодательстве Италии прямо предусмотрено, что ПСУ должны соблюдать меры безопасности, предписанные итальянским законом о защите персональных данных.
  

Некоторые законы прямо предполагают участие национальных органов по защите данных в надзоре за ПСУ.

• Так, в Финляндии уполномоченный по защите данных ведет надзор за соблюдением положений о защите данных, изложенных в Акте об электронной подписи, и имеет право получать информацию и проводить инспекции в том, что касается Акта о персональных данных.
  

Некоторые страны (например, Румыния, Польша) явным образом упоминают некоторые обязательства по сохранению конфиденциальности и профессиональной тайны для работников ПСУ, включая последствия в виде уголовной ответственности.