3) личные данные не могут храниться дольше, чем необходимо;
4) субъект данных должен быть наделен правом получения доступа к своим данным, возможностью инициировать их исправление;
5) в случае нарушения условий защиты информации должно быть направлено уведомление о нарушении компетентному органу и в соответствующих случаях субъекту данных.
В случае если органам власти США необходимо передать данные третьей стране или международной организации, следует получить предварительное согласие правоохранительных органов ЕС, изначально передавших данные.
Также относительно трансграничной передачи данных в ЕС функционирует такой инструмент, как стандартные договорные условия (Model Clauses). Гарантии, требуемые ч. 2 ст. 26 Директивы, в частности, могут вытекать из соответствующих договорных условий.
В рамках данного положения Европейской комиссией было принято Решение от 15 июня 2001 г. № 2001/497/ЕС «О стандартных договорных условиях относительно передачи персональных данных третьим странам согласно Директиве 95/46/ЕС». Этот документ адресован государствам – членам ЕС и в отличие от принятых ранее непосредственно устанавливает несколько стандартных вариантов-наборов условий для обеспечения адекватного уровня защиты данных. Операторы данных могут выбрать любой из вариантов, но при этом они не имеют права изменять условия или комбинировать отдельные условия либо комплекты.
Стандартные договорные условия становятся действительными для конкретных субъектов с момента их согласования сторонами. При этом они будут обязательными для исполнения не только организациями, являющимися сторонами договора, но и субъектами данных, в частности, в случаях, когда субъекты данных несут ущерб вследствие нарушения положений договора. Условия своим предметом имеют только вопросы защиты данных. Субъекты отношений могут дополнить соглашения иными положениями, в частности, условиями о взаимной помощи в случаях споров с субъектом данных или с контролирующим органом, которые они считают имеющими прямое отношение к договору. Правом, подлежащим к применению (по общему правилу), является законодательство государства – члена ЕС, в котором учрежден экспортер данных (лицо, осуществляющее передачу данных).
Согласно ст. 1 Решения стандартные договорные условия (в случае их согласования сторонами) расцениваются как достаточные гарантии в отношении защиты неприкосновенности частной жизни и основных прав и свобод физических лиц и в отношении осуществления соответствующих прав согласно требованиям, предусмотренным в ст. 26 (2) Директивы.
Резолюции Европейского парламента 2011/2025 (INI) от 6 июля 2011 г. о комплексном подходе к защите персональных данных в Европейском союзе провозгласили преемственность основных принципов Директивы 95/46/ЕС, но при этом – необходимость значительной доработки отдельных норм касательно трансграничной передачи данных[24].
Итак, что касается проектного внутреннего регулирования в ЕС, то регулированию особенностей передачи персональных данных странам, не входящим в Европейский союз, посвящена отдельная глава проекта Регламента. Передача персональных данных за пределы Европейского союза или в международную организацию может осуществляться в случае наличия решения Европейской комиссии о том, что страна или организация, получающая персональные данные, обеспечивает адекватный уровень защиты персональных данных. При оценке адекватности уровня защиты персональных данных Европейская комиссия принимает во внимание:
1) верховенство закона, уважение прав человека и основных свобод, соответствующего законодательства, как общего, так и отраслевого, правил защиты данных и мер безопасности, в том числе правил дальнейшей передачи персональных данных в иные страны или международные организации, а также существование эффективных и действенных механизмов защиты субъектов персональных данных, включая административную и судебную правовую защиту;
2) существование и эффективное функционирование одного или нескольких независимых надзорных органов в данной стране или в стране, в которой учреждена международная организация, ответственных за обеспечение соблюдения правил защиты данных, включая необходимые полномочия для оказания помощи и консультирования субъектов персональных данных при осуществлении их прав и сотрудничестве с надзорными органами Европейского союза и государств-членов;
3) международные обязательства стран, расположенных за пределами Европейского союза, или международных организаций, вытекающие из их участия в многосторонних или региональных системах, в частности, в отношении защиты персональных данных.
Европейский совет по защите данных может представлять Европейской комиссии мнение для оценки адекватности уровня защиты персональных данных в стране, расположенной за пределами Европейского союза, или в международной организации.
Решение Европейской комиссии может быть отозвано при изменении обстоятельств, влияющих на защиту персональных данных в стране, расположенной за пределами Европейского союза, или в международной организации.
Европейская комиссия должна опубликовать в официальном журнале Европейского союза список стран, территорий, секторов экономической деятельности и международных организаций, в отношении которых были приняты решения об адекватности защиты персональных данных.
В отсутствие решения Европейской комиссии об адекватности защиты данных передача персональных данных возможна при условии надлежащих гарантий оператора персональных данных и (или) обработчика персональных данных.
Во многом реформа сконцентрирована на предоставлении субъектам персональных данных инструментов контроля с одновременным упрощением передачи данных в пределах Европы.
В частности, предусмотрены гораздо более серьезные меры ответственности в случае незаконной передачи данных за пределы ЕС. Так, в случае получения организацией (к примеру, облачным провайдером, социальной сетью, поисковой системой) запроса от третьей страны о предоставлении обрабатываемых на территории ЕС персональных данных выдача таких данных допускается исключительно с разрешения национального органа по защите персональных данных и при условии обязательного информирования субъекта персональных данных о таком запросе.
Кроме того, предложено внедрить очень серьезные санкции в случае нарушения указанного порядка, а именно: штраф организациям, незаконно предоставляющим сведения, в размере до 100 млн евро или до 5 % их годового оборота в мировом масштабе, т. е. даже выше, чем было изначально предложено Европейской комиссией (в размере до 1 млн евро или до 2 % годового оборота в мировом масштабе).
В открытом доступе информация по вопросу регулирования персональных данных, отнесенных к государственной тайне, в ЕС не размещена.
1.2. Совет Европы
1.2.1. Регулирование
Конвенцией Совета Европы «О защите прав человека и основных свобод» от 4 ноября 1950 г. закреплен принцип, согласно которому никто не может подвергаться произвольному вмешательству в личную и семейную жизнь человека, произвольным посягательствам на неприкосновенность жилища, тайну его корреспонденции или на его честь и репутацию.
В 1981 г. Совет Европы принял Конвенцию № 108 «О защите прав физических лиц в отношении автоматизированной обработки персональных данных» (заключена в Страсбурге 28 января 1981 г.) (далее – Конвенция СЕ № 108, Конвенция № 108), которая является впервые принятым международным договором, по сути, глобального значения, содержащим юридически обязывающие нормы в области защиты персональных данных. Конвенция СЕ № 108 обеспечивает правовые рамки для передачи персональных данных между странами, которые ее ратифицировали (была открыта для подписания в 1981 г.), и является платформой многостороннего сотрудничества государств-участников на основе равенства. К ней может присоединиться любая страна в мире, имеющая необходимое законодательство в области защиты данных.