Блог

Международный взгляд на защиту персональных данных

Автор: Максим Якубов

7 ноября 2013 года я стал участником IV международной конференции, посвященной защите персональных данных, которая проходила в Экспоцентре города Москвы. В век информационных технологий тема защиты персональных данных становится все актуальнее.

Из семи тем иностранных докладчиков я выделил наиболее интересные и актуальные, о которых расскажу в этой статье.

Перспективы модернизации европейского законодательства в области защиты ПДн

С докладом на тему «Перспективы модернизации европейского законодательства в области защиты ПДн» выступил Дэвид Смит — заместитель Комиссара по защите ПДн в Великобритании.

Соединенное Королевство является членом Совета Европы, подписавшим и ратифицировавшим Конвенцию о защите частных лиц в отношении автоматической обработки персональных данных вместе с Европейской конвенцией о защите прав и основных свобод человека. Кроме того, Великобритания входит в Организацию по экономическому сотрудничеству и развитию; она приняла Директиву ОЭСР о защите неприкосновенности частной жизни и международных обменов персональными данными.

Дэвид Смит сообщил, что к 2014 году, в законодательство Европы, в области защиты ПДн, будут внесены изменения и уже в новом виде оно будет на стадии рассмотрения и доработки. Что именно изменится, он не уточнял. Скорее всего, изменениям подвергнутся следующие документы: Директива на обработку персональных данных полицией и судебными органами; Положение о защите персональных данных, которое предназначено для применения в частном и государственном секторах, кроме полиции и органов юстиции. К 2016 году можно ожидать принятия этого обновленного законодательства в области защиты ПДн.

Также он упомянул, что гражданам Евросоюза необходимо предоставить законное «право быть забытым». Суть его заключается в том, чтобы предоставить гражданам Европейских стран возможность удалить все свои ПДн из Интернет. Не просто из социальных сетей, а именно из глобальной сети Интернет. Дэвид Смит уточнил, что в нынешних условиях, эту задачу практически нереально решить технически, но над этим уже работают.

Есть и те, кто видит в этом праве угрозу со стороны цензуры, но, если взглянуть на «право быть забытым» с позиции закона, то это еще один шаг в сторону развития прав субъектов персональных данных и не более.

Контроль сотрудников на рабочем месте

Зденек Куделка — руководитель департамента, Комиссариат по защите персональных данных в Чехии, выступил с докладом на тему «Контроль сотрудников на рабочем месте». В рамках этого доклада, он затронул вопрос о предоставлении услуг субъектам ПДн в обмен на их ПДн. Зденек Куделка подчеркнул, что предоставляя свои ПДн, субъекты либо не до конца, либо вообще не осознают всех рисков, связанных с дачей согласия на обработку их ПДн при таких условиях.

Во время выступления господин Куделка привел пример принуждения к исполнению законодательства Чехии в области защиты ПДн. Компания Google осуществляла видео съемки в Чехии, не имея при этом, своего представительства в Чехии. Во время съемок достопримечательностей, камеры операторов были расположены так, что находились выше заборов и прочих ограждений домов жителей Чехии. Согласно законодательству Чехии, это является грубейшим нарушением прав ее граждан. На отснятых видеоматериалах можно было хорошо различить черты лиц граждан Чехии, а следовательно опознать их. Чтобы избежать проблем с законом Чехии, компания Google была вынуждена открыть свое представительство в Чехии и обработать отснятый материал таким образом, чтобы на его кадрах невозможно было опознать граждан Чехии.

Что касается основной темы выступления господина Куделки («Контроль работников на рабочем месте»), то он раскрыл ее коротко и конкретно. Контроль работников, на рабочем месте в Чехии, особенно в крупных компаниях, ведется очень тщательно. Работодатели стремятся не допустить недобросовестного исполнения сотрудниками своих служебных обязанностей и неправомерного использования имущества работодателя.

Причиной столь тщательного контроля работников на рабочем месте является законодательство Чехии, согласно которому, недобросовестное выполнение сотрудниками своих обязанностей может повлечь существенные негативные последствия для компании.

Далее господин Куделка привел список средств и способов для контроля работников на рабочем месте:

  • установка систем учета рабочего времени (биометрические сканеры, считыватели персональных идентификаторов);
  • видеонаблюдение;
  • запись телефонных переговоров (с согласия сотрудников);
  • мониторинг посещаемых Интернет-ресурсов;

Наблюдение за сотрудниками с помощью технологий аналогичных GPS, в том числе за сотрудниками компаний, которые оказывают услуги, связанные с транспортными перевозками (Евросоюз собирается запустить свою глобальную систему позиционирования «Галилео»).

Господин Куделка пояснил, что Европа нуждается в собственной глобальной системе позиционирования потому, что страны Евросоюза заботятся о правах своих граждан, а обеспечить адекватную и законную защиту прав своих граждан, используя зарубежные системы глобального позиционирования, не представляется возможным.

Важно помнить, что данные меры контроля сотрудников хоть и стали в Европейских компаниях нормой, но по-прежнему требуют согласия со стороны работников. Также работодатель обязан позаботиться о соблюдении законности применения средств и методов контроля своих сотрудников.

Защита частной жизни граждан США

Маркус Хейдер — советник по международным вопросам защиты потребителей Федеральной торговой комиссии в США, рассказал не столько о защите ПДн, сколько о защите частной жизни граждан США в целом. Он пояснил, что США, как и другие высокоразвитые страны, стараются защитить частную жизнь своих граждан. Также США уважают права на частную граждан других стран, и поэтому стремятся к усилению сотрудничества в области защиты прав граждан, с этими странами. В качестве регулирующего документа он рассказал про концепцию «Safe Harbor».

Директива Европейской комиссии по защите данных вступила в силу в октябре 1998 года, и запрещает передачу персональных данных в страны, не входящие в Европейский союз и не обеспечивающие адекватную защиту прав субъектов персональных данных. Однако, в директиве ЕС предусмотрены исключения, и трансграничную передачу данных допустимо осуществлять в страны, не обеспечивающие адекватный уровень защиты прав субъектов персональных данных, если соблюдается хотя бы одно из следующих условии:

  • субъект данных дал свое согласие на предполагаемую передачу;
  • передача является необходимой для исполнения контракта между субъектом данных и оператором данных, или для реализации доконтрактных мер, принятых в ответ на запрос субъекта данных;
  • передача необходима для заключения или исполнения контракта, заключенного в интересах субъекта данных между оператором и третьей стороной;
  • передача необходима или требуется по закону по причинам, представляющим существенный общественный интерес, или для подачи, исполнения судебных исков или защиты по таковым;
  • передача необходима для защиты жизненных интересов субъекта данных;
  • передача производится из реестра, который в соответствии с законами или нормативными актами предназначен для предоставления информации общественности.

В то время как США и ЕС разделяют цели повышения конфиденциальности для защиты своих граждан, США использует другой подход к конфиденциальности, который отличается от того, который принят в Европе. Соединенные Штаты используют отраслевой подход, который опирается на сочетание законодательства, регулирования и саморегулирования.

Евросоюз опирается на комплексный закон. Он требует создания независимых правительственных агентств по защите личной информации. В соответствии с требованиями комплексного закона, должна быть создана база данных, в которую будут регистрироваться операторы личной информации. Также, в некоторых случаях, перед обработкой личной информации, может потребоваться предварительное согласование с субъектами личной информации.

В результате этих различий, Директива могла бы значительно снизить возможности американских организаций при трансатлантических сделках.

Для того чтобы преодолеть эти различия и удовлетворить требование Директивы Европейской Комиссии об адекватности защиты прав субъектов персональных данных, Министерство торговли США, консультируясь с Европейской Комиссией, разработало концепцию «US-EU Safe Harbor». Следуя этой концепции, можно достичь адекватной защиты прав субъектов персональных данных.

Программа «US-EU Safe Harbor» одобрена ЕС в 2000 году. Для организаций США она является одной из основных программ, действия в рамках которой, позволяют избежать сложностей в деловых отношениях с ЕС.

Следование принципам «US-EU Safe Harbor» позволит организациям Евросоюза убедиться в том, что организации США обеспечивают адекватную защиту прав субъектов персональных данных.

К основным требованиям принципов конфиденциальности «US-EU Safe Harbor» относятся:

  • Уведомление. Организации должны известить субъектов личной информации о целях, для которых они собирают и будут использовать их личную информацию. Организации должны предоставить информацию о том: какими способами субъекты личной информации могут обратиться в организации с любыми вопросами или жалобами; каким видам третьих лиц, могут быть предоставлены личные данные субъектов. Также организации обязаны определить ограничения использования и условия предоставления информации о субъектах личных информации.
  • Выбор. Организации должны предоставить субъектам личной информации возможность выбора, дать или не давать согласие на передачу их личной информации третьей стороне, а также на использование их личной информации в целях, несовместимых с целями, для которых она была первоначально собрана.
  • Дальнейшая передача. Перед предоставлением личной информации третьим лицам, организации должны уведомить субъектов личной информации, о том, что возникла необходимость передать их личную информацию третьей стороне. Уведомление должно содержать намерение организаций в явном виде предоставить личную информацию субъектов третьим лицам. Если организации получают согласие субъектов личной информации на ее передачу третьим лицам, то они должны убедиться в том, что третье лицо соответствует требованиям концепции «Safe Harbor» или иным образом обеспечивает адекватную защиту личных данных.
  • Доступ. Субъектам личной информации должен быть предоставлен доступ к их информации, которую обрабатывают организации. Субъектам личной информации должны быть предоставлены возможности изменять, дополнять или уничтожать личную информацию о себе.
  • Конфиденциальность. Организации должны принимать разумные меры предосторожности для защиты личной информации субъектов от потери, злоупотребления и несанкционированного доступа, раскрытия, изменения, уничтожения.
  • Целостность данных. Личная информация должна соответствовать целям, для которых она будет использоваться. Организация должна предпринять все разумные шаги, чтобы гарантировать, что личная информация достоверна для использования по назначению, точна, полна и актуальна.
  • Правоприменение. Для обеспечения соответствия компаний принципам концепции «Safe Harbor» важно наличие легкодоступного, независимого механизма правовой защиты, чтобы жалобы и споры каждого физического лица могли быть исследованы и разрешены, а убытки возмещены, при условии что применение закона или инициатив частного сектора это позволяют. Также, важны реализованные процедуры проверки того, что компании соблюдают обязательства по соответствию принципам «Safe Harbor» и обязательства по устранению проблем, вытекающих из несоответствия принципам.

Важно понимать, что «US-EU Safe Harbor» — это концепция, которая разработана США и странами Евросоюза. Российская Федерация в разработке этого документа участия не принимала и не ратифицировала его. РФ ратифицировала Конвенцию Совета Европы № 108 и США нет в списке стран, которые обеспечивают адекватную защиту прав субъектов персональных данных согласно этой Конвенции. Документ, в котором Евросоюз признает, что Принципами Конфиденциальности концепции «US-EU Safe Harbor» можно обеспечить адекватную защиту прав субъектов личной информации, называется «Решение Комиссии в соответствии с Директивой 95/46/ЕС Европейского Парламента и Совета об адекватности защиты, обеспечиваемой Принципами Конфиденциальности концепции „US-EU Safe Harbor“, и связанными с ними часто задаваемыми вопросами Министерству торговли США».

Таким образом, для Российской Федерации, защита персональных данных в США не является адекватной, не смотря на то, что Евросоюз признал адекватность защитных мер, обеспечиваемых на основе принципов концепции «US-EU Safe Harbor».

IV международная конференция «Защита персональных данных» была организована на высоком уровне. Участники конференции довольно быстро прошли регистрацию. Организаторы постарались сделать процесс регистрации наиболее простым и быстрым. Всем желающим предлагали воспользоваться аудио гарнитурой синхронного перевода, чтобы лучше понимать наших иностранных коллег, которые выступали перед тематическими заседаниями. Выступления иностранных коллег проходили, преимущественно, на английском языке.

В программу конференции были внесены незначительные изменения, которые отразились на тематических заседаниях. В основном, изменился порядок выступления докладчиков. После докладов участники конференции активно задавали вопросы докладчикам. Несколько раз, казалось бы, простые вопросы, порождали длительные дискуссии.

Мне не удалось попасть на все тематические заседания. Они проходили в одно время и в разных конференц-залах. Но, благодаря организаторам конференции, материалы тематических заседаний доступны на сайте конференции, за что им огромное спасибо.

0

Добавить комментарий