В российском законодательстве отсутствует прямой аналог нормы об обязательном информировании уполномоченного органа и субъекта данных об инциденте, что с учетом именно общей направленности на «обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных» (ст. 2) снижает возможность надлежащей обработки данных. Как указано выше, своевременное уведомление создает презумпцию того, что действия были совершены надлежащим образом, и уменьшает вину оператора или обработчика.
По общему правилу, обработка, в том числе передача, персональных данных требует согласия субъекта данных.
Во исполнение закона Нидерландов принят Указ об изъятиях, который устанавливает категории данных, в отношении которых при обработке не требуется предварительное уведомление. Например, обработка данных должников и кредиторов, клиентов не влечет обязательного уведомления. При этом изъятия не действуют, если при трансграничном перемещении данных в зарубежной стране за пределами ЕС не установлен адекватный уровень их защиты. В самом законе устанавливаются исключения, связанные с государственной безопасностью, расследованием уголовных преступлений, значительными экономическими или финансовыми интересами государства или защитой самого субъекта или других лиц (ст. 43).
Правила обработки данных также схожи с правилами Директивы 1995 г.: основным принципом остается законный интерес в качестве основания для обработки нечувствительных персональных данных.
Режим защиты персональных данных распространяется на любую обработку данных, в результате которой можно получить информацию о лице.
Например, запрет обработки чувствительных данных распространяется и на «непрямые чувствительные данные», т. е. на данные, из которых можно вывести прямые. Так, например, письмо из религиозной организации раскрывает данные о религиозной принадлежности адресата (ст. 17 закона). В отношении чувствительных данных действует общий запрет на их обработку с разумными исключениями (например, религиозные организации могут проводить обработку данных в целях, связанных с их деятельностью).
1.5.5. Регулирование порядка анализа результатов обработки данных (метаданных)
Анализ метаданных в Нидерландах регулируется не Законом о персональных данных, а Законом о сохранении данных о нагрузке линий связи (Telecommunications Data Retention Act) 2009 г.[85], принятым в рамках имплементации Директивы 2006/24/ЕС о сохранении данных. Принятие же Директивы было вызвано терактами, случившимися в Мадриде в 2004 г. и в Лондоне в 2005 г.
Закон о сохранении данных налагает обязательство на операторов и интернет-провайдеров удерживать данные о пользователях от шести (через Интернет) до двенадцати месяцев (через телефонные сети) с даты коммуникации в целях расследования, выявления и пресечения тяжких преступлений (поправка к ст. 13.2а Закона о телекоммуникациях). В Законе о телекоммуникациях нет термина «метаданные», однако к регулируемым им видом данных закон относит применительно к телефонным сетям: телефонный номер, имена и адреса абонентов, дату и время связи, используемый сервис и идентификаторы при мобильных звонках (IMSI, IMEI, геолокатор); к Интернету: данные о пользователе, время, место и длительность коммуникации и IP-адрес (Приложение к ст. 13.2а).
Однако в марте 2015 г. Окружной суд Гааги лишил силы этот закон, последовав в этом решению Суда ЕС в отношении Директивы и обосновав свое решение тем, что закон нарушает право на неприкосновенность частной жизни и право на защиту личных данных в нарушение Хартии основных свобод ЕС. Закон, как указывает Гаагский суд, не ограничивался минимально необходимым в преследовании своих целей и располагал недостаточно разработанными механизмами защиты неприкосновенности частной жизни. Правительство, по мнению суда, не руководствовалось целями ограниченного и таргетированного отбора данных. Подобное решение приняли суды Германии и Австрии, в Швеции же правительство отстаивает необходимость закона о сохранении телекоммуникационных данных[86].
Таким образом, в европейском регулировании можно отметить стремление найти баланс между частным интересом (неприкосновенность частной жизни) и общим (охрана публичного порядка) в рамках принципа соразмерности.
1.5.6. Правовое обеспечение защиты данных
Обработка данных требует согласия субъекта данных и уведомления специального органа. Одобрения Надзорного органа на дальнейшую обработку не требуется, достаточно только уведомления. Уведомление производится путем заполнения специальной формы на сайте Надзорного органа и ведет, таким образом, к регистрации конкретного случая. Закон распространяет свое действие и на неавтоматизированную обработку персональных данных при условии, что они содержатся в «файле», т. е. каким-либо образом структурированы.
Несоблюдение положения об уведомлении наказывается административным штрафом до 4500 евро. В ст. 75 закон также повышает ответственность нарушителей за умышленное нарушение его положений с административной до уголовной (незначительные и подсудные преступления).
Конец ознакомительного фрагмента.
Текст предоставлен ООО «ЛитРес».
Прочитайте эту книгу целиком, купив полную легальную версию на ЛитРес.
Безопасно оплатить книгу можно банковской картой Visa, MasterCard, Maestro, со счета мобильного телефона, с платежного терминала, в салоне МТС или Связной, через PayPal, WebMoney, Яндекс.Деньги, QIWI Кошелек, бонусными картами или другим удобным Вам способом.