Субъект данных имеет право самостоятельно определять, как, кому и на каких условиях предоставлять данные. Соответственно, нормативно установленных обязанностей по обеспечению конфиденциальности персональных данных у субъекта данных нет.
Департамент правительства Великобритании по делам культуры, СМИ и спорта (DCMS) взял на себя ответственность за формирование политики защиты данных Великобритании[52].
1.3.4. Ответственность за нарушения в области персональных данных и запрет на передачу данных третьим лицам
В Великобритании установлена серьезная административная и уголовная ответственность за указанные нарушения.
Совершение данных нарушений наказывается в Великобритании штрафом до 500 тысяч фунтов. Также предусматриваются административные санкции за несвоевременное устранение нарушений и повторное нарушение, а при преднамеренном характере нарушений, которые привели к серьезным последствиям, установлена уголовная ответственность в виде лишения свободы. Аналогичный подход применяется и в России[53].
Кроме того, существует требование к интернет-провайдерам об уведомлении комиссара по персональным данным без неоправданной задержки, а в некоторых случаях и абонентов о случаях любых инцидентов с их персональными данными. Неуведомление может привести к штрафу в размере 1000 фунтов стерлингов.
В соответствии с законодательством Великобритании данные могут быть обработаны с помощью третьей стороны, если третья сторона предоставит достаточные гарантии относительно технической и организационной безопасности.
Передача данных возможна, если контролер данных принимает разумные меры для обеспечения соблюдения «Акта о защите данных».
Обработка осуществляется на основании письменного договора только по поручению контролера или в рамках выполнения обязательств, эквивалентных тем, которые накладываются на контролера данных в соответствии с «Актом о защите данных».
Законом определены следующие требования об условиях собирания и обработки данных контролером[54]:
а) контролер информации может обрабатывать данные только в рамках заранее полученного согласия субъекта данных или в процессе выполнения договорных обязательств;
б) обработка данных соответствует обязательствам контролера обработки данных;
в) обработка направлена на защиту жизненно важных интересов субъекта данных;
г) обработка требуется в связи с целями «Акта о защите данных».
Данные могут быть собраны и обработаны правительством Великобритании при выполнении следующих условий:
а) обработка требуется для обеспечения безопасности общества, осуществления правосудия; или
б) имеются законные основания для обработки данных;
в) обработка не нарушает права и свободы субъекта данных или другого законного представителя.
Чувствительные персональные данные могут быть собраны и обработаны в случае выполнения следующих условий:
а) получение явного согласия субъекта данных;
б) обработка необходима для целей осуществления или выполнения каких-либо прав или обязательств, предусмотренных или налагаемых законом на контролера данных;
в) обработка необходима для того, чтобы защитить жизненно важные интересы субъекта персональных данных или другого человека;
г) обработка осуществляется любым судебным органом в его законной деятельности;
д) информация была обнародована самим субъектом персональных данных в результате его деятельности;
е) обработка необходима для целей или в связи с осуществлением судопроизводства, с получением юридической консультации либо защитой законных прав субъекта;
ж) обработка необходима для отправления правосудия или для осуществления функций определенных государственных органов, за некоторыми исключениями;
з) обработка необходима для целей предотвращения мошенничества;
и) обработка необходима для медицинских целей и связана с конкретными лицами.
1.3.5. Регулирование порядка анализа результатов обработки данных (метаданных)
Общее регулирование порядка анализа результатов обработки данных в Великобритании отсутствует. Однако в настоящее время активно обсуждается вопрос о возможности анализа результатов обработки данных, полученных интернет-провайдерами при выполнении их обязательств в рамках Директивы по хранению данных (Data Retention Directive[55]), которая были принята в период после террористических актов в Мадриде в 2004 г. и в Лондоне в 2005 г., в целях согласования усилий ЕС в расследовании и уголовном преследовании самых серьезных преступлений, таких как организованная преступность и терроризм.
Директива по хранению данных требует от операторов сохранять определенные категории данных о трафике и местоположении физических лиц (за исключением содержания этих сообщений) в период от шести месяцев до двух лет и делать их доступными в случае запроса в правоохранительные органы для целей расследования, выявления и преследования серьезных преступлений и терроризма.
Сохраненные данные являются ценной информацией и доказательствами, на основании которых вынесены обвинительные приговоры за уголовные преступления, а также оправдательные приговоры, которые никогда бы не были сделаны, если бы не обязанность сохранять эти данные.
Несмотря на это, в настоящее время в Великобритании обсуждается вопрос о том, что провайдеров могут признать нарушителями законодательства о персональных данных, если они по-прежнему будут сохранять информацию, полученную в результате обработки данных пользователей в соответствии с Директивой по хранению данных. В частности, «Акт о защите данных» позволяет ограниченное хранение и обработку персональных данных. Если следовать «Акту о защите данных», то интернет-провайдеры могут хранить персональные данные только в случаях, определенных данным законом или соглашением с пользователем.
В России требование о сохранении персональных данных, кроме Федерального закона «О персональных данных», регулируется следующими нормативными правовыми актами: Федеральным законом «Об информации, информационных технологиях и о защите информации» (ст. 10.1 «Обязанности организатора распространения информации в сети Интернет»); постановлением Правительства РФ от 31 июля 2014 г. № 758 «О внесении изменений в некоторые акты Правительства Российской Федерации в связи с принятием Федерального закона “О внесении изменений в Федеральный закон “Об информации, информационных технологиях и о защите информации” и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей»[56], в том числе законодательством о проведении оперативно-розыскных мероприятий.
8 апреля 2014 г. Суд Европейского союза признал Директиву по хранению данных недействительной.
Суд посчитал, что Директива по хранению данных не удовлетворяет принципу соразмерности и должна определять большие гарантии для защиты фундаментальных прав на уважение частной жизни и защиты персональных данных.
В связи с указанными причинами в Великобритании высказывается мнение о том, что провайдеры обязаны прекратить сохранять данные и должны уничтожать все данные, сохраненные в силу ныне недействительных нормативных актов. Если компании будут продолжать сохранять данные, то существует риск, что их собственные клиенты могут подать претензии за нарушение «Акта о защите данных»[57].
1.3.6. Правовое обеспечение защиты данных
«Акт о защите данных» 1998 г. предусматривает создание правового института комиссаров персональных данных.