§ 3. Принципы защиты персональных данных

§ 3. Принципы защиты персональных данных

154
0

Широкое
распространение компьютерных технологий привело к разработке и применению
базовых правовых принципов для защиты частной жизни и личных свобод индивидуума
в связи со сбором, обработкой и использованием данных.

Во-первых, это
было вызвано потенциальной опасностью последствий использования по халатности
или преднамеренно неточных (недостоверных), устаревших данных, их искажения или
уничтожения, что представляет собой фактор качества используемых персональных
данных.

Во-вторых,
скрытным (с точки зрения человека) процессом автоматизированной обработки и
хранения персональных данных. Сбор многих сведений о частной жизни можно вести
без ведома субъекта данных, если применять современные средства тайного
наблюдения и методы расследования. Поэтому, чтобы субъект данных мог знать о
сборе и хранении относящихся к нему данных, а также контролировать качество
этих данных, способы и адресность их использования, были сформулированы права
субъекта данных в связи со сбором, обработкой и использованием данных о нем.

Принципы качества
персональных данных и права субъекта данных в совокупности получили название
принципов защиты данных и явились основой для построения национальных систем
правовой защиты персональных данных.

В существующих
национальных и международных понятиях принципов защиты данных имеются
незначительные различия, что является результатом гармонизирующих инициатив
международных организаций и указывает на универсальную природу этих принципов.
Общий перечень принципов защиты данных соответствует формуле:

16

принципы
защиты данных = принципы качества + права субъекта данных и ограничивается 10
принципами, приведенными ниже:

А. Принципы
качества. Персональные данные, проходящие автоматизированную обработку:

1) должны быть
получены на законных основаниях и обработаны добросовестным и законным способом
(принцип законности данных);

2) должны
накапливаться для точно определенных и законных целей и не использоваться
каким-либо образом, несовместимым с этими целями (принцип законности целей);

3) должны быть
адекватными, имеющими прямое отношение к делу и не быть избыточными
применительно к целям, для которых они накапливаются (принцип адекватности и
релевантности данных);

4) должны быть
точными и, в случае необходимости, своевременно обновляемыми (принцип достоверности
и актуальности данных);

5) должны
храниться в форме, позволяющей идентифицировать субъектов данных только в той
мере, в какой этого требуют цели, для которых эти данные накапливаются (принцип
анонимности).

Б. Права субъекта
данных

Любому человеку должно
быть предоставлено право:

1) быть
осведомленным о существовании автоматизированного файла персональных данных, о
его главных целях, а также о контролере этого файла, его месте жительства, либо
юридическом адресе (право на информацию о наличии собранного на индивида файла
персональных данных);

2) получать через
разумные интервалы времени, без излишних затрат времени и средств, как в ответ
на свой запрос, так и без запроса, сообщение о том, накапливаются ли
персональные данные о нем в автоматизированном файле данных (право на извещение
о сборе данных);

3) получать
доступ к личным персональным данным, хранимым держателем или пользователем
данных (право на доступ к личным персональным данным);

4) требовать
исправления или уничтожения недостоверных персональных данных, а также
персональных данных, обработанных с

17

нарушением
положений национального права, реализующих принципы защиты данных (право на
исправление или уничтожение недостоверных или незаконно обработанных личных
данных);

5) прибегать к судебной
защите нарушенного права субъекта данных (право судебной защиты).

Рассматривая
принципы качества, нетрудно заметить, что принципы (1) и (2) обеспечивают
соответствие персональных данных критерию законности данных и целей их
обработки; принцип (3) -соответствие данных критерию адекватности и
релевантности; принцип (4) — соответствие данных критерию достоверности и
актуальности; принцип (5) — соответствие данных критерию регулируемой
анонимности. Если принципы качества (3) и (4) применимы к любым данным, то
принципы (1), (2) и (5) являются специфичными для персональных данных и
вытекают из их природы атрибутов частной сферы человека, с присущим им особым
свойством «чувствительности» для субъекта данных1.

Что касается прав
субъекта данных, то они конкретизируют (применительно к сфере
автоматизированной обработки данных) право индивида контролировать циркуляцию
«чувствительной» информации о самом себе, столь важное для правовой
защиты сферы частной жизни, что оно вошло во многие определения как «право
на невмешательство в частную жизнь».

Кроме того,
необходимо отметить, что существует еще одно право субъекта данных, которое
признается и применяется далеко не во всех национальных и международных
системах защиты персональных данных, — принцип согласия субъекта данных как
критерия допустимости обработки и использования данных. Этот принцип
представляет собой право индивида контролировать циркуляцию
«чувствительной» информации о самом себе как права самостоятельно
решать, предоставлять или не предоставлять кому-либо сведения о своей частной
жизни (т.е. персональные данные).

Основной дилеммой
«компьютерного информационного общества» стало противоречие между
стремлением как можно больше

18

использовать
компьютерные персональные данные в интересах всего общества и желанием
максимально защитить право субъекта данных на невмешательство в его частную
жизнь. Отражением этой дилеммы является дуализм целей правового регулирования
обработки и использования персональных данных, направленный на решение
двойственной задачи сбалансированной защиты сферы частной жизни субъекта
данных, с одной стороны, и права других индивидов и всего общества на свободу
доступа к информации, с другой стороны. Вышеназванное положение можно
сформулировать в виде принципа дуализма целей следующим образом: «Целью
правового регулирования обработки и использования персональных данных является
обеспечение сбалансированной защиты права субъекта данных на контроль за
относящимися к нему персональными данными и законных интересов общества в
осуществлении права свободного доступа к информации».

Конвенция 108
Совета Европы прямо указывает на необходимость выделения группы
«высокочувствительных» данных (данные о расовом или национальном
происхождении, политических взглядах, религиозных или иных убеждениях, а также
данные, касающиеся здоровья, сексуальной жизни, судимости) в особую категорию
данных и создания для них особого режима правовой защиты1.

Ст. 7 Конвенции
108 Совета Европы обязывает стран-участниц принимать надлежащие меры для
обеспечения безопасности хранящихся персональных данных от случайного или
несанкционированного уничтожения или случайной утраты, а равно и от
несанкционированного доступа, изменения или распространения2. Во исполнение этой
статьи Конвенции большинство стран-участниц закрепило в своих национальных
законах о защите данных принцип ответственности держателя и пользователя данных
за принятие ненадлежащих мер обеспечения безопасности персональных данных. В
этом плане самого пристального внимания заслуживает опыт Германии, где в ст. 9
специального Приложения к Федеральному

19

закону
1990 г. о защите данных1,
закреплены основные организационно-технические меры обеспечения безопасности
персональных данных, тем самым унифицируя их для всех субъектов федерации
(федеральных земель), ведомств, отраслей и секторов экономики. Принцип
безопасности включает следующие формы защиты персональных данных:

Если
информация о личности (персональные данные) обрабатывается автоматизированными
средствами, то в обязательном порядке принимается совокупность определенных
ниже организационно-технических мер обеспечения безопасности данных, зависящая
от категории обрабатываемых персональных данных (высокочувствительные,
чувствительные, обычные) и конкретных этапов обработки (сбор, хранение,
централизованная машинная обработка, децентрализованная обработка с применением
удаленных терминалов, передача на магнитных или иных носителях, передача по
телекоммуникационным линиям) — принцип дифференцированной защиты.

Ответственность
за принятие ненадлежащих мер обеспечения безопасности на каждом конкретном
этапе обработки и/или использования персональных данных возлагается на
физическое или юридическое лицо, осуществляющее данный этап обработки и/или
использования — принцип адресной ответственности.

Запрещается
несанкционированный доступ посторонних лиц к устройствам, обрабатывающим
персональные данные — принцип контроля доступа к устройствам обработки данных.

Ответственное
лицо должно обеспечить необходимые и достаточные меры безопасности,
предотвращающие незаконное считывание, копирование, изменение или удаление
данных с их магнитных или иных носителей — принцип контроля носителей данных.

Ответственное
лицо должно обеспечить необходимые и достаточные меры безопасности,
предотвращающие незаконный ввод данных в накопитель (устройства памяти ЭВМ), а
также незаконное ознакомление, изменение или уничтожение персональных данных
-принцип контроля накопителя.

20

Ответственное
лицо должно обеспечить необходимые и достаточные меры безопасности,
предотвращающие использование неправомочными лицами систем по обработке данных
с помощью устройств передачи данных — принцип контроля пользователя.

Ответственное
лицо должно обеспечить необходимые и достаточные меры безопасности,
гарантирующие, чтобы лицо, полномочное пользоваться системой обработки данных,
имело доступ только к тем данным, которые подлежат его праву доступа — принцип
контроля доступа к надлежащим данным.

Ответственное
лицо обязано при помощи соответствующих программно-технических средств и
организационных мероприятий обеспечить возможность проверки и определения,
каким адресатам передаются конкретные персональные данные через устройства по
передаче данных — принцип контроля передачи.

Ответственное
лицо обязано при помощи соответствующих программно-технических средств и
организационных мероприятий обеспечить возможность проверки и установления
того, какие персональные данные, в какое время и кем были введены в систему
обработки данных — принцип контроля ввода.

Ответственное
лицо должно обеспечить необходимые и достаточные меры безопасности,
гарантирующие, чтобы данные о личности, которые обрабатываются по поручению,
обрабатывались бы только по указанию заказчика — принцип контроля поручения.

Ответственное
лицо должно предпринимать надлежащие меры безопасности, чтобы при
телекоммуникационной передаче данных, а также при транспортировке носителей
данных, персональные данные не могли быть незаконно прочитаны, скопированы,
изменены или уничтожены — принцип контроля транспортировки данных.

Внутренняя
организация учреждения или предприятия, где осуществляется обработка, передача
или использование персональных данных, должна быть устроена таким образом,
чтобы соответствовать специальным требованиям защиты данных — принцип
организационного контроля.

Таким образом,
формула состава принципов защиты данных подлежит дальнейшему расширению:
принципы защиты данных = принципы качества + права субъекта данных + принцип
дуализма

21

целей
+ особый режим защиты «высокочувствительных» данных + принципы
безопасности данных.

22

1 Подробнее о
принципах защиты данных см.: Совет Европы. Конвенция о защите личности в связи
с автоматической обработкой персональных данных. от 28 января 1981 — Спб.:
Манускрипт, 1995, с. 12-14.

1 См.: Совет Европы.
Конвенция о защите личности в связи с автоматической обработкой персональных
данных, от 28 января 1981. — Спб.: Манускрипт, 1995. С. 12.

2
Там же.

1
См.: Federal Data Protection Act (1990), App. l for Art. 9.

НЕТ КОММЕНТАРИЕВ

ОСТАВЬТЕ ОТВЕТ