То есть под профилированием понимаются методы и приемы автоматизированной обработки данных, состоящие из применения профиля к какому-либо лицу с целью анализа или прогноза его личных предпочтений, поведения и позиций (Рекомендация СМ/ Rec(2010)13).

С учетом того что методы профилирования, выявляя взаимосвязи между конфиденциальными данными в смысле ст. 6 Конвенции СЕ № 108 и другими данными, могут привести к созданию новых «чувствительных данных», касающихся идентифицированного или неидентифицируемого лица, а также с учетом того что такое профилирование может подвергнуть людей весьма значительным рискам дискриминации и посягательствам на их личные права и достоинство, Рекомендация советует правительствам государств – членов Совета Европы принять и применять меры по охране персональных данных в контексте профилирования.

Рекомендация CM/Rec(2010)13 устанавливает, что сбор и обработка персональных данных в контексте профилирования лиц (сбор и обработка метаданных), которые не в состоянии от себя лично выразить свое свободное, конкретное и информированное согласие, воспрещаются, за исключением тех случаев, когда это делается в законных интересах субъекта данных или если имеется высший общественный интерес, при условии обеспечения надлежащих гарантий на основании закона.

Кроме того, и. 3.6 Рекомендации CM/Rec(2010)13 установлено, что, когда требуется такое согласие, контролеру данных вменяется в обязанность представить доказательства того, что субъект данных согласен – после получения соответствующей информации – на профилирование. Контролер данных (оператор) должен уведомить субъекта данных о проводимом профилировании.

Сбор и обработка персональных данных в контексте профилирования могут осуществляться только в случаях, если:

1) это специально предусмотрено законом;

2) это разрешено законом и при этом:

а) субъект данных или ее/его законный представитель дал ее/его свободное, конкретное и информированное согласие;

б) это необходимо для исполнения контракта, стороной которого является субъект данных, или для применения доконтрактных мер, принимаемых по запросу субъекта данных;

в) это необходимо для решения задачи, выполняемой в интересах общества или во исполнение официальных функций, возложенных на контролера или третью сторону, которым раскрываются персональные данные;

г) это необходимо для целей реализации законных интересов контролера или третьей стороны, или сторон, которым раскрываются персональные данные, за исключением тех случаев, когда такие интересы нарушают основные права и свободы субъектов данных;

д) это необходимо в жизненных интересах субъекта данных.

Статьей 10 Конвенции СЕ № 108 установлено, что каждая сторона обязуется установить надлежащие санкции и средства судебной защиты на случай нарушения положений национального права, реализующих основные принципы защиты персональных данных. А в ст. 7 Конвенции установлена обязанность стороны принимать надлежащие меры для охраны персональных данных, накопленных в автоматизированных базах данных, от случайного или несанкционированного разрушения или случайной утраты, а равно от несанкционированного доступа, изменения или распространения.

Модернизированный вариант Конвенции СЕ № 108 предлагает урегулировать основы статуса национальных контролирующих органов по защите персональных данных. В частности, предлагается раскрыть содержание основного элемента статуса такого органа – его независимость:

а) установить, что орган или члены коллегиального органа не могут получать от кого-либо инструкции;

б) установить обязанность каждой стороны Конвенции обеспечить контролирующему органу адекватные кадровые, технические, финансовые и инфраструктурные возможности для эффективного выполнения им своих обязанностей.

Независимость контролирующего органа предполагает также его самостоятельность при принятии кадровых решений и гарантии в случае реорганизации. Взаимодействие контролирующих органов предполагает в том числе координацию их деятельности по расследованию и вмешательству в обработку данных, проведение совместных действий, обмен информацией о законодательстве и об административной практике защиты персональных данных.

Статьей 23 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» установлена компетенция уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор). Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.

Пунктом 5.15 постановления правительства РФ от 16 марта 2009 г. № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» установлено, что Роскомнадзор взаимодействует в установленном порядке с органами государственной власти иностранных государств и с международными организациями в установленной сфере ведения.

В Рекомендации Совета министров CM/Rec(2010)13 используется понятие «профилирование», которое позволяет осуществлять адресную рекламу. Обработка запросов пользователей в Интернете позволяет осуществить классификацию пользователей в зависимости от их предпочтений для дальнейшего распространения рекламы. При этом такие запросы могут не содержать персональных данных, однако в совокупности позволяют идентифицировать лицо и его предпочтения для направления адресной рекламы.

В тех случаях, когда личные данные собираются в контексте профилирования, контролер должен представить субъектам данных следующую информацию:

1) что их данные будут использоваться в контексте профилирования;

2) о целях проведения профилирования;

3) о категориях персональных данных;

4) о контролере и при необходимости о ее/его представителе;

5) о наличии надлежащих гарантий.

Также контролер должен предоставить указанным лицам всю информацию, необходимую для гарантий добросовестности при проведении профилирования, такую как:

6) категории лиц или органов, которым могут быть переданы персональные данные, и в каких целях;

7) возможность, когда это целесообразно, для субъекта данных отказать в публикации или отозвать согласие на публикацию и о последствиях отзыва;

8) условия применения права доступа, возражения или поправок, а также о праве подать жалобу в компетентные органы;

9) лица или органы, от которых личные данные собираются или будут собираться;

10) обязательный или факультативный характер ответов на вопросы, которые будут использованы для сбора персональных данных, а также последствия для субъектов данных в случае отказа отвечать на такие вопросы;

11) длительность хранения;

12) предполагаемые последствия присвоения профиля субъекту данных.

Статья 12 Конвенции СЕ № 108 устанавливает следующие требования к трансграничной передаче персональных данных: сторона (страна, подписавшая Конвенцию СЕ № 108) не должна запрещать или обусловливать специальным разрешением трансграничные потоки персональных данных, идущие на территорию другой стороны, с единственной целью защиты частной жизни.

Тем не менее каждая сторона вправе отступать от вышеуказанного положения:

1) в той степени, в какой ее внутреннее законодательство включает специальные правила в отношении определенных категорий персональных данных или автоматизированных файлов персональных данных в силу характера этих данных или этих файлов, за исключением случаев, когда правила другой стороны предусматривают такую же защиту;