126
–административно-властные полномочия – разрешительный характер регистрации лиц, собирающих, обрабатывающих и использующих персональные данные, полномочия направлять указанным лицам административные предписания, обязательные для исполнения;
–следственные полномочия, подтверждаемые ордером суда, на доступ в помещение для инспекции информационных систем и на конфискацию имущества, документов, которые подтверждают нарушение законодательства о защите персональных данных;
–полномочия на возбуждение уголовного преследования нарушителей существующего законодательства о защите данных (через главного государственного обвинителя или по согласованию с ним).
Срок действия первичной или продленной регистрации составляет не менее трех лет со дня внесения регистрационной записи в реестр или со дня удаления регистрационной записи из реестра после истечения срока первичной регистрации и отсутствия заявления о возобновлении регистрации. В своем заявлении заявитель может указать более короткий срок регистрации (1 или 2 года).
Национальный суд (трибунал) по защите данных представляет собой специальную судебную инстанцию, основной функцией которой, помимо уголовного преследования нарушителей закона, является рассмотрение апелляций пользователей данных и компьютерных бюро на решения регистратора по защите данных. Министр может наделять суд дополнительными полномочиями, если сочтет их целесообразными для эффективного осуществления судом своих функций. Национальный суд по защите данных состоит из председателя, назначаемого лордом-канцлером по согласованию с лордом-адвокатом; нескольких заместителей председателя, назначаемых председателем суда в том количестве, которое устанавливает лорд-канцлер; нескольких членов суда, которые назначаются министром.
Члены суда представляют интересы пользователей и субъектов данных и назначаются на срок не менее 7 лет.
Суд по защите данных не является конечной судебной инстанцией, поскольку любое лицо, не согласное с решением этого суда, имеет право апеллировать к высшим судебным инстанциям территорий Великобритании – высокий суд юстиции Англии, высокий суд юстиции Северной Ирландии, сессионный суд Шотландии.
Независимость органов по защите персональных данных в Великобритании определяет их привилегированность. Никакие документы
127
юридического характера, регулирующие запрет или налагающие ограничения на разглашение информации, не могут препятствовать получению регистратором или судом по защите данных информации, необходимой для исполнения их функций. В связи с этим в соответствии с законом «О государственной тайне» 1911 г. (ст. 2 «Несанкционированное разглашение информации») регистратор, члены суда и их должностные лица и сотрудники, не находящиеся на службе Короны, будут рассматриваться как находящиеся на службе Ее Величества. Соответственно к ним будут применяться положения законодательства, относящиеся к государственным должностным служащим.
Таким образом, органы защиты персональных данных – это субъекты защиты персональных данных высшего порядка, так как в их задачи входит управление физическими и юридическими лицами, занятыми сбором, хранением, обработкой и использованием персональных данных. Роль Национального регистратора – предупреждение и обнаружение нарушений законодательства о приватности, а роль Национального суда – ограничение нарушений, а также защита интересов пользователей данных, компьютерных бюро и иных подобных организаций. Полномочия регистратора должны уравновешиваться полномочиями суда по защите данных, где можно опротестовать решение регистратора. Независимость органов защиты данных – дополнительный положительный факт в их пользу, поскольку государство оказалось стороной, заинтересованной в обработке и использовании персональных данных. Следовательно, ни один из государственных органов не в состоянии занимать позицию беспристрастного арбитра по отношению к правам субъекта данных и интересы тех, кто обрабатывает и использует эти данные. Только так можно гарантировать реализацию национальных и международных принципов защиты персональных данных и охраны неприкосновенности частной жизни.
6.7.4.Защита персональных данных
ВВеликобритании количество преступлений, связанных с кражей персональных данных, с 1999 г. выросло более чем в 6 раз. Ежегодно
встране регистрируется порядка 135 тыс. жертв подобных преступлений. Каждый год только лондонцы выбрасывают до 16 тыс. тонн документов с потенциально ценной персональной информацией, которая может быть использована для открытия фальшивых банковских счетов и получения кредитных карт на имя других людей.
128
Охотясь за информацией, преступники, помимо мусорных урн, изучают почтовые ящики, подкупают почтальонов для завладения ценными отправлениями, содержащими важную информацию. Охотятся они и за оставленными без присмотра сумками и портфелями – более 3 млн англичан регулярно носят с собой банковские документы; 4,9 млн – выписки со счетов; 3,4 млн – паспорта. Небрежно обращаются они и с подписанными чеками. Правда, в подобных преступлениях часто замечены и сами банковские работники.
Иногда похищенными персональными данными пользуются спецслужбы других государств для создания правдоподобной легенды своих агентов, а криминал – для сокрытия своего преступного прошлого. Для того чтобы добиться восстановления своего доброго имени, необходимы усилия, время и деньги. Поэтому специалисты советуют быть предельно осторожными при предоставлении личной и финансовой информации и уничтожать ненужные документы.
В основе защиты персональных данных, обрабатываемых автоматизированно, лежат восемь принципов защиты данных:
1.Персональные данные должны быть собраны и обработаны честно и в соответствии с законом (принцип законности данных).
2.Персональные данные должны собираться для конкретных целей, не противоречащих действующему законодательству (принцип законности целей).
3.Персональные данные, хранимые для тех или иных целей, не следует использовать или раскрывать способом, который несовместим с этими целями.
4.Персональные данные, хранимые для тех или иных целей, должны быть адекватны этим целям и не должны быть избыточными по отношению к ним (принцип адекватности и релевантности данных).
5.Персональные данные должны быть точными и своевременно обновляемыми (принцип достоверности и актуальности).
6.Персональные данные, хранимые для тех или иных целей, не следует хранить дольше, чем это необходимо для этих целей.
7.Лицо вправе:
–быть осведомленным пользователем данных относительно наличия у него персональных данных на такое лицо;
–иметь доступ к любым своим данным, хранящимся у пользователя данных;
129
–в случае необходимости требовать внесения исправлений неточных данных или их уничтожения.
8. Пользователь данных обязан принять все необходимые меры против несанкционированного доступа к персональным данным, изменения их содержания, разглашения или уничтожения, а также от их случайной потери или уничтожения.
Поэтому невыполнение этих принципов создает следующие правонарушения:
–незаконное хранение персональных данных без регистрации в реестре;
–хранение персональных данных иного характера, чем те, которые были указаны при регистрации;
–хранение и использование персональных данных с иной целью, чем была указана при регистрации;
–получение данных из тех источников, которые не были указаны при регистрации;
–раскрытие хранящихся данных лицам, которые не значатся в регистрационном реестре как лица, в пользу которых пользователь данных намерен или захочет раскрыть такие данные;
–прямая или косвенная передача хранящихся данных другому государству, не указанному при регистрации в качестве страны, в адрес которой пользователь данных намерен или захочет прямо или косвенно передать данные;
–неточность или избыточность персональных данных;
–хранение данных дольше положенного срока;
–неисполнение предписаний регистратора по защите данных – предупреждения о принятии принудительных мер и уведомления о наложении запрета на передачу данных;
–преднамеренный сбор или приобретение персональных данных
внарушении регистрационной записи;
–продажа незаконно собранных или приобретенных персональных данных.
Судебное разбирательство по нарушениям, связанным с персональными данными и частной жизнью индивидуума, может проходить в магистральном суде или (для более серьезных нарушений) в коронном суде. Признается персональная ответственность должностного лица или руководителя организации, которые совершают уголовное правонарушение на основании закона «О защите данных»
130
1984 г. либо допускают халатность, разрешая или способствуя данному правонарушению. Наказание предусматривает уплату штрафа, размер которого определяется судом в зависимости от обстоятельств правонарушения. Кроме того, суд может потребовать конфискации или уничтожения хранящихся данных.
Регистрация пользователей данных в реестре – один из достаточно эффективных методов осуществления защиты персональных данных. Это связано не только с контролем и подотчетностью деятельности подобных организаций регистратору по защите данных, но и с тем, что в реестр должны предоставляться и вноситься достаточно подробные сведения следующего направления:
–имя и адрес пользователя данных;
–категории персональных данных, которые он собирается хранить, а также цель, для которой он собирается их хранить и использовать;
–источники получения данных;
–имя лица или лиц, в пользу которых он намерен или захочет раскрыть такие данные;
–название страны, в которую он намерен или захочет прямо или косвенно передать данные;
–один или несколько адресов для обращения субъектов данных с просьбами о допуске к персональным данным;
–имя и домашний адрес руководителя организации, которая занимается обработкой компьютерных данных.
Существуют различные методы защиты персональных данных в специализированных сферах, например в определенной отрасли или компании. В Великобритании одним из таких методов является применение кодексов практики. Закон «О защите данных» предусматривает, что регистратор по защите данных, когда находит это приемлемым, обязан поощрять торговые и профессиональные ассоциации или другие органы, которые представляют пользователей данных, разрабатывать и распространять среди своих членов кодексы практики, следуя при разработке детальным инструкциям регистратора. Однако при этом на регистратора не возлагается обязанность удостоверять качество кодексов.
Кодексы практики выполняют подчиненную роль по отношению к британскому закону 1984 г. и разрабатываются для эффективного применения положений о защите персональных данных в условиях