116
ботке персональных данных и защите частных интересов в области телекоммуникаций» 1997 г. (97/66/ЕС) установила требования к защите информации в телефонных, цифровых телевизионных, мобильных сетях и в других телекоммуникационных системах.
Ключевая концепция ЕС – создание реальных механизмов защиты права на неприкосновенность частной жизни. ЕС признает, что граждане имеют определенные права, которые четко зафиксированы в законодательстве. Кроме того, граждане должны иметь возможность обратиться к лицу или органу, уполномоченному защищать интересы граждан в этой сфере. Каждая страна ЕС имеет специального уполномоченного по защите данных или специальное агентство, надзирающее за соблюдением законодательства в этой сфере. Ожидается, что страны, с которыми Европа поддерживает деловые отношения, смогут обеспечить такой же уровень контроля за соблюдением этого права. Директива обязывает государств – участников ЕС гарантировать, что персональная информация о гражданах ЕС имеет такой же уровень защиты в случаях, когда она экспортируется или обрабатывается вне Европейского Союза.
Новая европейская директива защиты данных потребовала провести реформирование существующего законодательства в Великобритании в области защиты данных. В Великобритании конкретным ответом на директиву стало принятие в 1998 г. закона «О защите данных» (DPA), который представляет собой измененный закон «О защите персональных данных» 1984 г. В полном объеме он вступил в силу в октябре 2001 г. и внес ряд весьма существенных изменений в ранее действовавший закон. В частности, действие закона распространено и на нецифровые материалы, например на папки с личными делами, карточки-указатели, микрофильмы, видеоколлекции. Цель принятия DPA – обеспечить строгие и ясные правила обращения, в частности обработки персональных данных, относящихся к любой личности. Закон распространяется на данные, хранящиеся в государственных и частных структурах. Он устанавливает ограничения на использование персональной информации, предоставляет доступ к персональным данным и возможность их исправления, а также предписывает, чтобы организации, ведущие архивы, регистрировались в офисе уполномоченного по информации.
Под персональными данными здесь понимается как фактографическая информация (имена, адреса и т.п.), так и информация, содер-
117
жащая оценки конкретной личности, какие-либо мнения о ней, а также содержащая изложение намерений каких-то действий по отношению к этой личности. Под обработкой информации в DPA понимается очень широкий набор возможных действий, включая получение, сортировку, копирование, обнародование и даже размещение (хранение) данных. Имеются и дополнительные ограничения, касающиеся работы с требующей особого обращения («чувствительной») персональной информацией, например расового, этнического или политического характера. И, наконец, DPA содержит очень серьезные гарантии и предоставляет большие права субъектам записей персонального характера (тем личностям, информация о которых собирается). В установленном законом праве лицо может потребовать показать ему, что записано в базе данных именно о нем – и во многих случаях запретить любую обработку этого материала, в том числе для целей рекламы. Кроме того, он имеет право преследовать по закону (и в уголовном порядке) тех операторов баз персональных данных (закон называет их контролерами баз данных), кто своими действиями или бездействием нанес ему урон или ущерб при ненадлежащей работе с базами персональных данных. Имеются и исключения из этих правил, например, если речь идет о персональных данных, связанных с национальной безопасностью, или о предотвращении либо раскрытии уголовного преступления, или о данных, необходимых для исчисления и взимания налога, а также если данные собираются, а соответствующая информация публикуется в журналистских, литературных или художественных целях.
Воктябре 2000 г. уполномоченный по информации выпустил проект руководства по взаимоотношениям между работодателями и работниками. В марте 2002 г. вышла первая часть этого кодекса – по защите персональных данных при наборе персонала и найме сотрудников. Вторая часть – по наблюдению на рабочих местах – была предложена для общественного обсуждения в апреле 2002 г. Две следующие части (по кадровым данным, персональной информации медицинского характера и по тестированию сотрудников) были подготовлены в течение следующих месяцев.
Виюле 2000 г. ЕС предложил новую директиву по обработке персональных данных и защите персональной информации в сфере электронных коммуникаций. Она заменила существующую директиву
отелекоммуникациях 1997 г., распространив имеющиеся положения
118
по защите прав индивидуума не только на сферу телекоммуникаций, но и на более широкую сферу электронных коммуникаций. Эти новые положения, например, гарантировали защиту всей информации, передаваемой через Интернет, запрещали незапрашиваемую электронную коммерческую информацию, защищали пользователей мобильных телефонов от точного прослеживания их местоположения. Директива также дает подписчикам всех электронных услуг (типа GSM и электронной почты) право выбора, вносить ли свои адреса в общедоступные справочники или нет.
Следует отметить, что Совет Европы и Евросоюз осуществляют развитие международного законодательства по регулированию отношений с персональными данными параллельно, что проявилось, например, в выработке консультативным комитетом по конвенции № 108 типовых договорных положений в 1992 г. Эти положения призваны обеспечить защиту персональных данных, а также передаваться публичной или частной организацией из страны, ратифицировавшей конвенцию № 108, в страны, которые не приняли ее. Поддерживание и использование этих типовых положений осуществляет Совет Европы, комиссия ЕС и Международная торговая палата, позднее к ним присоединилась Организация экономического сотрудничества и развития. Предполагается применять типовые положения национальными органами в тех случаях, когда иным решением могло бы быть запрещение или ограничение передачи данных.
Международная торговая палата следит за инициативами международных организаций в области правового регулирования трансграничных потоков персональных данных. Она уполномочена международными деловыми кругами на координацию лоббирования этих международных инициатив в нужном для бизнеса направлении. Для пропаганды позиций международного бизнеса Международная торговая палата выпустила документ «Защита персональных данных. Точка зрения международного бизнеса», в котором анализируются руководящие принципы OECD, директива № 108 Совета Европы и проект директивы ЕС о защите персональных данных. В 1981 г. Международная торговая палата учредила комиссию по политике в области компьютеризации, телекоммуникаций и информации, а также рабочую группу по защите данных.
Отношение международного бизнес-сообщества к защите персональных данных базируется на следующих принципах:
119
–важность защиты персональной информации, включая защиту против ненадлежащего использования подобной информации;
–важность эффективного обмена информацией в развитии современной международной торговли и коммерции;
–необходимость признания зависимости современных коммуникаций от трансграничных потоков данных;
–необходимость гармонизировать средства и меры правовой защиты персональных данных и неприкосновенности частной жизни на международной основе таким образом, чтобы избежать создания барьеров для международного обмена информацией.
Есть ряд других законов, которые содержат статьи, относящиеся к защите приватности, прежде всего, в сферах медицинских персональных данных и потребительских кредитов. К законам, в которых содержатся положения о защите приватности, следует отнести законы «О реабилитации правонарушителей» 1974 г., «О полиции» 1997 г., «О вещании» 1996 г. (часть VI), а также «О защите от домогательств» 1997 г. Некоторые из этих законов были изменены или частично отменены законом «О защите персональных данных» 1998 г.
Ситуация с приватностью в Великобритании отличается дуализмом. С одной стороны, существует глубокое общественное понимание важности и защиты приватности; с другой – законы о борьбе с преступностью и общественными беспорядками, принятые в последние годы, налагают существенные ограничения на целый ряд прав, в том числе право собраний, приватности, свободы передвижения, право не свидетельствовать против самого себя, а также на свободу слова.
В связи с тем, что Великобритания является участницей многих международных организаций, ее национальное законодательство находится в зависимости от результатов деятельности и принимаемых положений международных сообществ. Изучение развития законодательства по вопросам защиты персональных данных подтверждает этот факт, что, в свою очередь, обеспечивает унификацию правил взаимоотношения иностранных государств по данному вопросу и исключает возникновение спорных ситуаций. Для Великобритании это имеет положительное значение в связи с накоплением опыта в вопросах урегулирования интересов государства и индивидуальных интересов личности.
120
6.7.2. Субъекты и объекты защиты персональных данных
Прежде чем подходить к вопросам защиты персональных данных, необходимо четко определить, что защищать, чьи интересы может затронуть нарушение законодательных принципов защиты, кто является потенциальным или реальным субъектом нарушений, т.е. определить, что есть в данном вопросе объект и субъект защиты, а также определить их основные правомочия, требования к ним.
Объектом защиты выступают данные, полученные в результате обработки на ЭВМ или подготавливаемые в специальную форму для такой обработки. Но не все данные имеются в виду в данном случае. Речь идет о персональных данных, т.е. об информации о физическом лице, которое может быть идентифицировано с помощью такой информации. Основные категории в британском законодательстве – расовая принадлежность, политические, религиозные и другие убеждения, физическое и психическое здоровье, половая жизнь, привлечение к уголовной ответственности. Причины специального выделения категории персональных данных связаны с тем, что персональные данные являются потенциально уязвимыми составляющими частной жизни человека. Персональные данные необходимо защищать не изза их какой-то абстрактной особенности, а в силу того, что они наиболее близко связаны с конкретным человеком, его интересами и его частной жизнью. Таким образом, персональные данные относятся к чувствительным персонифицированным данным, циркуляцию которых субъект данных старается ограничить, на что у него есть все права и основания. Ненадлежащее использование подобных данных приводит к посягательствам на права частной жизни индивидуума.
Британское определение персональных данных является более интересным по сравнению с национальными законодательствами других государств. Связано это с тем, что законом «О защите данных» 1984 г. вводятся дополнительные категории – «мнение» и «намерение». В частности, в термин «персональные данные» включается любое выражение мнения о лице, но без какого-либо указания о намерениях пользователя данных в отношении этого лица (любое мнение включается в состав персональных данных, а любое указание на намерение пользователя данных исключается из данной категории).
Другой особенностью британского определения является оговорка, что лицо может быть идентифицировано «с помощью этой или иной информации, находящейся в распоряжении пользователя дан-