121
ных». Приведенная оговорка призвана предупредить существующую среди пользователей данных уловку (прием): чтобы данные не подпадали под законодательство о защите персональных данных, они хранят их в компьютере в псевдообезличенной форме, т.е. без упоминания идентифицирующих сведений о субъекте данных, но с привязкой к идентификационным кодам. Таблица соответствия кодов и субъектов данных хранится отдельно в ручной или электронной форме и при необходимости обеспечивает идентификацию субъектов данных. Объясняется это тем, что Великобритания разрабатывала свой закон о защите персональных данных на основе конвенции № 108 Совета Европы, имея возможность учесть опыт зарубежных стран.
По законодательству Великобритании к субъектам защиты персональных данных относятся: субъект данных, пользователь данных, компьютерное бюро.
Субъект данных – индивидуум, к которому относятся персональные данные и который может быть идентифицирован с их помощью. Он имеет право:
–быть информированным пользователем данных относительно того, содержат ли данные, хранящиеся у такого пользователя данных, персональную информацию, относящуюся к данному субъекту;
–подать запрос и получить от пользователя данных копию информации (его персональные данные), а также пояснительный материал, раскрывающий значение непонятных моментов. Просьба о предоставлении данных субъекту данных должна излагаться в письменной форме, за доступ к ней должна быть выплачена определенная сумма; пользователь данных должен удостовериться в том, что запрос сделан действительно субъектом данных, или имеется разрешение непосредственного субъекта данных на доступ к его персонифицированной информации другого лица;
–требовать от пользователей данных обеспечения защиты персональных данных о себе;
–требовать возмещения ущерба, причиненного неточностью персональных данных о себе, а также за потерю или несанкционированное разглашение данных;
–прибегать к судебной защите нарушенного права субъекта дан-
ных.
122
Понятие «пользователь данных» определяется в британском законодательстве как лицо, в распоряжении которого находятся данные и которое распоряжается этими данными, если:
–данные являются составной частью базы данных, обработанных или предназначенных для обработки таким лицом или по его поручению;
–это лицо самостоятельно, совместно или по договоренности с другими лицами контролирует содержание данных и пользуется данными, составляющими базу данных;
–данные собраны в форме, в которой они были обработаны, или позволяющей их обрабатывать в форме, которую они приняли после их обработки, и с учетом возможности их последующей обработки в будущем.
Иными словами, пользователь данных – физическое или юридическое лицо, осуществляющее обработку, использование или передачу персональных данных.
Британская терминология пользователя данных несколько расходится с общепринятой терминологией, которая, ко всему прочему, различает такие понятия, как «держатель данных», «обработчик данных». Держатель данных определяется как лицо, обладающее наибольшей степенью контроля над персональными данными, имеющее право принимать любые законные решения в отношении хранящихся
унего данных. Обработчик данных – физическое или юридическое лицо, осуществляющее автоматизированную или ручную обработку данных, для которых оно не является держателем данных. При этом в британском законодательстве понятие пользователя данных подразумевает категорию держателя данных, а понятие компьютерное бюро – обработчика данных.
Компьютерное бюро – понятие, присущее исключительно британскому национальному законодательству. Под этим термином понимается лицо, оказывающее услуги по сбору и обработке данных другим лицам. Оно действует в качестве агента других лиц по обработке данных, хранящихся у этих лиц, и позволяет использовать свое оборудование с целью такой обработки. С точки зрения защиты персональных данных к компьютерному бюро предъявляется требование по соблюдению одного из восьми фундаментальных принципов защиты данных – следует принять и использовать при выполнении своих функций надлежащие меры по защите персональных данных
123
от несанкционированного доступа, их изменения, раскрытия и уничтожения, а также от их случайной потери или уничтожения.
При определении роли рассмотренных субъектов в защите персональных данных необходимо показать их заинтересованность в соблюдении законных требований к защите данных.
Субъект данных заинтересован в защите своих персональных данных в силу того, что они затрагивают его самого и являются мерилом степени риска, который потенциально может иметь место при ненадлежащем обращении с его персонифицированными сведениями, обрабатываемыми автоматизированно третьими лицами.
Заинтересованность пользователя данных в их защите определяется возможностью заниматься подобной деятельностью в качестве пользователя данных. При нарушении им принципов защиты возможно аннулирование регистрации, а также привлечение самого пользователя данных к судебной ответственности. Все это явно не поможет в достижении первоначально поставленных целей.
Заинтересованность компьютерных бюро в защите персональных данных определяется степенью доверия к нему со стороны пользователя данных, что обеспечивает (или, наоборот, не обеспечивает) целесообразность его существования.
Таким образом, персональные данные в Великобритании – «чувствительные» данные о конкретных людях, т.е. те данные, которые имеют пороговую степень уязвимости в силу того, что касаются интимных сторон частной жизни индивидуумов – расовая принадлежность, вероисповедание, политические убеждения, состояние здоровья, факты сексуальной жизни, привлечение к уголовной ответственности. Подобные сведения являются сугубо индивидуальными, они позволяют идентифицировать человека, а также при ненадлежащем использовании дискредитировать его. В законодательстве явно указывается на то, что подобные сведения подлежат защите, если они обрабатываются и хранятся третьими лицами автоматизированно с применением средств вычислительной техники. В британском законодательстве имеются особенности по раскрытию понятия «персональных данных» – эта категория информации включает, кроме всего прочего, мнение о лице, которое также может способствовать идентификации лица. Кроме того, любая информация, находящаяся в распоряжении пользователя данных, может подпадать под действие британского законодательства о защите персональных данных, когда с ее помощью лицо может быть
124
идентифицировано. Еще одна особенность британского законодательства – это четкость в квалификации субъектов защиты персональных данных: тот, кого касается информация (субъект данных); тот, кто распоряжается данными (пользователь данных), и тот, кто оказывает услуги по сбору и обработке данных (компьютерное бюро). Регулирование деятельности вышеперечисленных субъектов составляет основу защиты персональных данных.
6.7.3. Основные органы, осуществляющие защиту персональных данных
ВВеликобритании законодательством определяются органы по государственно-правовому регулированию автоматической обработки и использования персональных данных. К ним относятся Национальный регистратор и Национальный суд по защите данных. Кроме того, система регулирования автоматизированной обработки персональных данных включает высшие судебные инстанции территорий Соединенного Королевства, куда могут обращаться с апелляцией лица, не согласные с решением суда по защите данных.
Национальный регистратор по защите данных – независимый орган власти по защите данных и защите права индивидуума на невмешательство в его частную жизнь при автоматизированной обработке таких данных, который делегирует часть полномочий своему персоналу в той мере, в какой посчитает это нужным. Регистратор назначается на должность сроком на 5 лет приказом Ее Величества с вручением ему соответствующего патента. Он независим в исполнении своих обязанностей, но административно подчинен одному из министров (чаще всего упоминается министр иностранных дел (государственный секретарь) либо министр внутренних дел) и подотчетен парламенту.
Всоответствии со ст. 3 закона «О защите данных» 1984 г. должностное лицо, известное как регистратор по защите данных, может быть наделено статусом государственного служащего в тех случаях, когда такой статус необходим для предоставления регистратору доступа к государственным секретам.
Полномочия регистратора по защите данных распространяются на любых физических и юридических лиц, занятых сбором, хранением, обработкой и использованием персональных данных, подпадающих под требования обязательной регистрации.
125
Функции регистратора по защите данных:
–регистрация в регистре (или отказ в регистрации) и учет пользователей данных и компьютерных бюро, владеющих и оказывающих услуги в сфере сбора и обработки персональных данных;
–проведение проверки сведений, поданных для регистрации пользователем данных или компьютерное бюро, если эти сведения вызывают сомнение;
–проведение расследования по поводу жалоб или иных сигналов
онарушении пользователем или компьютерным бюро принципов защиты данных, изложенных в законодательных актах Великобритании или документах международных организаций в сфере персональных данных;
–применение мер административного воздействия к нарушителям принципов защиты персональных данных – предупреждение о принятии принудительных мер, аннулирование регистрации, наложение запрета на передачу данных. Если требования регистратора, изложенные в предписаниях, не исполняются, это влечет за собой уголовное преследование;
–информационно-консультативная деятельность любому лицу по существу вопросов.
Как уже было отмечено, регистратор вправе отказать в регистрации, а также в приеме заявлений о регистрации. Основные причины, способствующие подобному поведению регистратора, следующие:
–сведения, представляемые заявителем по вопросу о регистрации или по поводу внесения изменений, не дают достаточной информации по существу вопроса;
–получение регистратором сведений, что заявитель намерен нарушить хотя бы один из принципов защиты персональных данных;
–представляемая регистратору информация является недостаточно убедительной для заявителя, который строго соблюдает все принципы их защиты.
При принятии регистратором решения о целесообразности направления предупреждения о возможных мерах принуждения он должен обратить внимание, наносят ли (или угрожают нанесению) действия лица ущерб или неудобства другому лицу.
Для исполнения своих функций регистратор наделен следующими полномочиями: