Международная система защиты персональных данных

Защита персональных данных
с помощью DLP-системы

30 дней для тестирования «КИБ СерчИнформ» с полным функционалом ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Право человека на защиту личной информации является одним из основополагающих в современном информационном мире. Способы ее обработки с применением технических средств и их уязвимость делают возможным доступ к конфиденциальным сведениям третьих лиц, что может причинить ущерб личности и ее интересам. В условиях регулярного и активного трансграничного взаимодействия задача охраны персональных данных перестает быть только национальной проблемой, требуется международное законодательство, которое могло бы унифицировать понимание и стандарты, действующие в области защиты персональных данных.

Общие тенденции 

В России защита сведений о гражданах регламентируется КЗоТ РФ, специальным законодательством, ведомственными нормами, определяющими классы охраны, права и обязанности операторов, ответственность за неправомерную обработку и распространение персданных. В большинстве случаев внутренние российские нормы отвечают общепринятой международной практике. Несмотря на создание национальных коммуникационных сетей, Интернет продолжает оставаться единым информационным пространством. Только национальное право не может создать тот профиль регулирования, который защитит внутренние ресурсы от посягательств субъектов, деятельность которых регулируется нормами других государств. Также национальное право не может регулировать стандарты трансграничного обмена информацией.

Это приводит к необходимости создания единой международной системы защиты персональных данных. Дополнительной задачей становится соотнесение российской системы с интернациональной, устранение взаимоисключающих норм, внесение тех положений, которых на сегодня не хватает или они уже не соответствуют меняющимся реалиям.

Сейчас в международно-правовом регулировании защиты данных существует три одинаково важных тенденции:

  1. Право на защиту персональных данных признается одной из составных частей единой фундаментальной системы, отвечающей за защиту прав человека. Нормы, регулирующие эту сферу, принимаются в рамках правовых актов, носящих общегуманитарный характер и принимаемых в рамках ООН и других организаций, комплексно отвечающих за эту сферу. В этих рамках разработана концепция информационных прав человека.
  2. Технические и организационные нормы, регулирующие стандарты и процессы обработки информации и защиты данных в рамках единого информационного пространства, принимаются на уровне органов управления Евросоюза – Совета Европы и Еврокомиссии и руководящих органов, работающих в рамках ЕАЭС, иных международных организаций. Эта группа норм имеет практический характер, и именно она непосредственно регулирует превентивные и защитные меры и ответственность за нарушение права личности на защиту персональных данных. Разработанные Евросоюзом идеологические и практические ноу-хау принимаются странами, не входящими в европейский мир, и охотно включаются в национальное право.
  3. Договоры и конвенции, заключаемые между двумя и более странами, также иногда включают в себя нормы, рассматривающие вопросы защиты сведений об их гражданах, передачи их компетентным органам, процедур обмена персональными данными граждан между представителями стран – членов соглашений.

При этом не существует единой системы и терминологии, поэтому на разных уровнях регулирования стандарты могут быть разными.

Нормативно-правовое регулирование

Право человека на защиту информации о себе берет свое начало из общего источника приоритета интересов личности, появившегося в результате Великой Французской революции. В новейшее время основные права человека были закреплены во Всеобщей декларации, принятой в 1948 году. Там указывается, что люди имеют право на охрану от вмешательства в личную жизнь и на тайну переписки. Оно не может нарушаться без законных оснований. Ограничивается возможность нарушить эти тайны не только гражданами и компаниями, но и государственными органами. При расширенном толковании устанавливается, что персональные данные в рамках этой концепции являются частью личной жизни, и посягательство на них помимо воли человека не разрешено никаким третьим лицам. Кроме того, информация о себе является своеобразным активом, имеющим определенную ценность, и с этой точки зрения она также подлежит охране.

Регулирование гуманитарного порядка

Эта норма была конкретизирована принятыми позднее Международным пактом 1966 г., ограничившим сферу регулирования только общественной жизнью, и Европейской Конвенцией 1950 г. На базе этих документов и общественного консенсуса создана своеобразная концепция информационных прав. Она включает в себя:

  • право на доступ к любым сведениям;
  • право на охрану информации о частной жизни, в том числе финансовых данных, сведений о здоровье и социальном статусе;
  • право на защиту информации, принадлежащей государству и бизнесу.

Международное право сейчас основывается в большинстве случаев на общепринятых понятиях, не закрепленных официально. Но именно они становятся базой для разработки правовых актов, носящих более утилитарный характер. Сейчас не существует ни одного международного соглашения, конвенции или договора в сфере защиты сведений о гражданине, которые были бы ратифицированы РФ и имели приоритет над национальным законодательством. Двухсторонние соглашения об обмене информацией содержат единичные нормы, касающиеся частных вопросов.

Регулирование на уровне международных институтов

Если рамочные соглашения регулируют широкую сферу отношений, не давая конкретных понятий и стандартов, резолюции и другие документы, издаваемые органами управления интернациональными организациями, становятся обязательными для их членов. В рамках второго направления многочисленные нормы, регулирующие систему защиты персональных данных, создаются на разных уровнях и для разных регионов. Институты управления предлагают свои механизмы скрупулезного и подробного регулирования способов и методов работы с данными, получаемыми от граждан. В течение нескольких последних лет, одновременно с развитием Интернета и технологий, принимались и многочисленные документы, регулирующие эту сферу. Среди них:

  1. Европейская конвенция о защите физических лиц в вопросах, касающихся автоматической обработки личных данных, принятая Советом Европы в 1985 году. Она освещает вопросы сбора и обработки сведений о личности и ее жизни, нормы их хранения, правила предоставления доступа к ним, рекомендуемые способы технической и аппаратной охраны информации. Документ носит одновременно системный и практический характер, оставаясь при этом полностью в рамках Декларации. Интересно, что его нормы прямо исключают любую обработку сведений о таких тонких вопросах, как раса, религия, мнения в политике, без наличия законных оснований. Россия приняла для себя этот документ в 2001 году.
  2. Резолюция Европейского парламента 1979 года «О защите прав личности в связи с прогрессом информатизации» определяет основные идеологические направления регулирования этой сферы применительно к странам – членам Евросоюза. Она рекомендовала Еврокомиссии и Евросовету незамедлительно разработать пакет актов, которые защитят данные о личности, подвергающиеся опасности в связи с развитием технического прогресса. Резолюция указывает, в какую сторону необходимо развивать законодательство в области охраны информационных прав личности. Этот документ стал основой для принятия нескольких важных постановлений и директив. К ним относятся Рекомендации «О руководящих направлениях по защите частной жизни при межгосударственном обмене данными персонального характера», а также определяющие основные принципы регулирования сферы обеспечения конфиденциальности сведений директивы. Рекомендации, несмотря на свое необязательное название, активно применяются во всех странах Евросоюза как компаниями, так и частными лицами.

Эти акты конкретизируют внимание на таких вопросах, как:

  • унифицированные требования к способам автоматизированной обработки данных, применяемым принципам и технологиям;
  • права и обязанности собственников персональных данных и операторов, допущенных к их обработке. Также регламентируются права доступа к ним;
  • требования к ситуациям трансграничной передачи данных, ограничения на передачу и ситуации, когда отказ от передачи недопустим;
  • ответственность за нарушение прав человека на защиту информации о себе.

Нормы касаются только Европейского Союза и не действуют для неприсоединившихся к нему стран мира, где вопросы защиты персональных данных регулируются собственным национальным законодательством. Тем не менее глубина их проработки привела к тому, что именно они легли в основу национальных стандартов, касающихся в том числе вопросов, связанных с особенностями автоматизированной обработки сведений.

Отдельный пакет документов принимался в рамках ОЭСР, созданной в 1948 году в целях переустройства Европы по плану Маршалла. В 1980 году была утверждена Директива «Основные положения о защите неприкосновенности частной жизни». Россия членом этой организации не является. Она неоднократно предпринимала попытки вступить в ОЭСР, но по тем или иным причинам получала отказ, как и большинство стран постсоветского пространства. Нормы директивы Российской Федерацией не ратифицированы и на внутреннем законодательстве не отразились. 

Создание документа на уровне организации преследовало две цели:

  • унифицировать законы стран – членов ОЭСР. Предполагалось, что национальные законы будут приведены в соответствие с ней;
  • избежать блокировки международных обменов персональными данными. Такая блокировка могла быть связана с отсутствием двухсторонних соглашений, регламентирующих трансграничную передачу информации, и правовой базой для нее могла бы стать директива. 

Предполагалось, что нормы директивы станут обязательными для применения как на государственном уровне, так и в частном секторе. Они касаются тех групп персональных данных, которые несут в себе угрозу правам человека или вследствие процессов их обработки, допускающих потерю сведений, или из-за таких ситуаций их использования, которые могут причинить ущерб человеку.

В рамках постсоветского пространства модельный закон «О персональных данных» утвержден в 1999 году Ассамблеей СНГ. Он вводит термин «персональные данные», под которыми понимаются размещенные на материальном носителе сведения о человеке, которые достоверно отождествляются с конкретной личностью. К ним могут относиться не только анкетные сведения, но и вся информация о семье, карьере, бизнесе, счетах и вкладах, здоровье. Документ освещает стандарты регулирования обработки персональных данных, поясняет, как определяются права и обязанности операторов.

Этот комплекс нормативно-правовых актов наиболее полно регулирует международную систему защиты персональных данных, но не решает главную задачу – общую унификацию норм и правил регулирования их обработки и передачи.

Международные договоры

Третий механизм введения в интернациональное правовое пространство норм о защите персональных данных – закрепление их в международных договорах, заключаемых между двумя или более странами. Среди соглашений, в которых могут встречаться нормы о защите персональных данных:

  • договоры об избегании двойного налогообложения;
  • соглашения об обмене информацией в различных сферах, общественных, правовых, культурных, даже по борьбе с кибертерроризмом;
  • соглашения о сотрудничестве в различных сферах.

Примером такого документа стало Соглашение между Правительством РФ и Правительством Республики Кипр, посвященное вопросам избегания двойного налогообложения. Заключенное в 1998 году, с последними изменениями от 2010 года, оно устанавливает такие параметры международного взаимодействия, касающегося защиты персональных данных:

  • страны-участники обязаны предоставлять друг другу всю информацию, касающуюся исполнения соглашения. Эти данные представляют собой сведения о компаниях и лицах, их финансовых операциях и налоговых выплатах. Но предоставляются они только органам, имеющим отношение к взысканию налоговых выплат;
  • предоставляется только публичная информация, не являющаяся коммерческой или профессиональной тайной;
  • нельзя отказать в ответ на запрос только по той причине, что сведения находятся у банка, другой финансовой организации, номинального держателя, доверительного управляющего или несут в себе информацию об имущественном статусе какого-то лица.

Хаотическая система регулирования порождает потребность в унификации международных норм о защите персональных данных в рамках одного документа, издаваемого организацией, право на регулирование правового пространства подтверждается большинством стран.

Практический аспект необходимости международной защиты персональных данных

С точки зрения бизнеса защита персональных данных интересует большинство граждан в смысле защиты информации об их имущественном статусе, активах и вкладах, находящихся вне национальных границ. Тем более этот вопрос интересует инвесторов, которые хотели бы гарантий сохранности сведений об их счетах и вкладах, находящихся в России.

Но еще более важным становится вопрос о защите персональных данных работников предприятий и организаций и его правовое регулирование на международном уровне. В этой области основной груз работы ложится на Международную организацию труда (МОТ), созданную при ООН. Но на настоящий момент ею не разработано ни одного кодифицированного и ратифицированного нормативно-правового акта, регулирующего эти вопросы.

Большинство значимых тем регулируется на уровне общего понимания и обычного права. Так, предполагается, что защите должны подлежать все данные, получаемые организацией при процедуре найма работника. Это:

  • сведения, полученные при сборе информации о работнике, в том числе с использованием ресурсов служб безопасности;
  • сведения, сообщенные работником компании о себе самостоятельно;
  • данные, полученные в результате тестирования и анкетирования.

Эти сведения формально не защищаются законодательством об охране персональных данных, и их защита определяется только нормами рекомендательного характера. При этом рекомендации имеют три самостоятельных значения:

  • их нарушение осуждается на гласном и негласном уровнях, в рамках политических и общественных систем;
  • они служат основой для разработки национального законодательства;
  • на них строится правоприменительная практика международных судов.

Помимо рекомендаций МОТ, издаются кодексы практики, содержащие рекомендуемое нормативное регулирование различных вопросов трудового права. Кодексы практики, как предполагается, ориентированы на развитие национального законодательства, правоприменительных актов, коллективных соглашений. Самостоятельного нормативного значения эти акты не имеют, у государств нет обязательств по их выполнению. В рамках защиты информации сотрудников издан Кодекс практики МОТ по защите персональных данных работников. 14-я глава российского КЗоТ практически полностью повторила соответствующие рекомендации кодекса МОТ, это говорит о том, что их инкорпорация в национальное законодательство прошла успешно.

Международное регулирование защиты персональных данных пока не носит единообразного характера. На уровне ООН не принято единого документа, многие нормы носят чисто рекомендательный характер. Но интересно, что при разработке нормативных актов по защите персональных данных на уровне коллективных договоров или внутренних стандартов организации нет необходимости ожидать инкорпорации рекомендательных норм МОТ в национальное законодательство, они могут быть использованы при условии непротиворечия национальному праву.

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними