Страница 14 из 22
2) когда передача осуществляется с ее территории на территорию государства, не являющегося стороной настоящей Конвенции, через территорию другой стороны, в целях недопущения такой передачи, которая позволит обойти законодательство страны – участницы Конвенции.
1.3. Великобритания
1.3.1. Регулирование
Наднациональное регулирование Великобритании определяется членством данной страны в Совете Европы и в ЕС, в связи с чем нормы Конвенции СЕ № 108 «О защите прав физических лиц в отношении автоматизированной обработки персональных данных» и Директивы ЕС 95/46/ЕС имплементированы в национальное законодательство данной страны.
Кроме того, Великобритания входит в Организацию по экономическому сотрудничеству и развитию и выполняет требования Директивы ОЭСР о защите неприкосновенности частной жизни и международных обменов персональными данными[44].
Среди основных национальных нормативных актов, которые регламентируют вопросы защиты персональных данных в Великобритании, можно назвать следующие:
Акт о защите данных 1998 г. (Data Protection Act 1998)[45], принятый во исполнение Директивы ЕС 95/46/ЕС;
Акт о свободе информации (Freedom of Information Act 2000)[46];
Акт о свободах 2012 (The Protection of Freedoms Act 2012, включающий положения об уничтожении, удалении и использовании биометрических данных, а также дополнения к данному акту, касающиеся передачи данных (Amendment) (No. 2) Order 2013)[47];
Кодекс об уголовных преступлениях (The Criminal Justice and Data Protection (Protocol No. 36) Regulations 2014)[48];
Регламент о свободе информации и защите данных (необходимые ограничения и штрафы) (The Freedom of Information and Data Protection (Appropriate Limit and Fees) Regulations 2004[49]).
В п. 1 ч. 1 «Акта о защите данных» представлены следующие определения, имеющие значение для настоящего исследования:
а) «данные» означают информацию, которая обрабатывается и записывается автоматически с помощью оборудования, является частью соответствующей системы или доступной записью, в том числе находится в распоряжении государственного органа;
б) «контролер данных», «субъект данных», «обработчик данных»;
в) «персональные данные»;
г) «переработка» (в отношении информации или данных) означает получение, запись или сохранение информации или данных, а также проведение какой-либо операции или набора операций с этими данными или информацией, в том числе при организации, адаптации или изменении информации или данных, в случае поиска, консультации или использования информации или данных, в случаях раскрытия информации или данных путем их передачи, распространения или иным образом, что делает эти данные или информацию доступными, а также комбинирование, блокирование, стирание или уничтожение информации или данных.
Примечательно, что указанный закон распространяется на информацию, которая:
а) должна быть обработана с помощью оборудования, работающего автоматически, либо
б) является частью соответствующей системы.
Независимо от того, предназначается информация для обработки или является частью системы, существует требование закона, по которому информация может быть передана за пределы Европейской экономической зоны только после ее обработки на территории Великобритании.
Персональные данные обрабатываются только в целях, определенных «Актом о защите данных». Закон определяет специальные цели и цели, определенные контролером данных. Так, в соответствии с и. 4 раздела 1 «Акта о защите данных» к специальным целям обработки данных относятся цели, преследуемые журналистами, художественные цели и литературные цели.
Остальные цели специально не регламентированы, однако они связаны с принципами обработки информации, которые должны быть заявлены контролером данных в каждом конкретном случае. Обработка данных возможна, если контролер данных (информации) принимает разумные меры для обеспечения соблюдения требований о безопасности и надежности систем, содержащихся в «Акте о защите данных». Обработка осуществляется на основании письменного договора.
«Акт о свободах» (Freedoms Act 2012) принят в связи с Законом 2008 г. (Great Repeal Bill), и к персональным данным имеет отношение только глава 1 данного «Акта». Глава регулирует вопросы уничтожения, сохранения и использования отпечатков пальцев, обуви и образцов ДНК, профили, принятые в ходе расследования уголовного дела. В соответствии с указанным законом отпечатки пальцев и ДНК-профили, полученные от арестованных лиц, подлежат уничтожению в случае оправдательного приговора.
Защита персональных данных в уголовном процессе осуществляется на основании Уголовного кодекса (The Criminal Justice and Data Protection (Protocol No. 36) Regulations 2014). При этом Уголовный кодекс имеет территориальные ограничения: глава 2 и правила 19 и 20 распространяются только на Англию и Уэльс; глава 3, Приложение 1 и правила 21 и 22 – только на Шотландию; глава 4, Приложение 2 и правила 23 и 24 – только на Северную Ирландию.
1.3.2. Определение персональных данных
«Акт о защите данных» 1998 г. оперирует следующими терминами:
1) «персональные данные» – это любые данные, относимые к живому человеку, на основании которых он может быть идентифицирован, или иная информация, которая находится в распоряжении контролера данных или может ему поступить для обработки, а также любое выражение мнения об индивидуальных особенностях лица или его личности;
2) «чувствительные данные»[50], которые являются разновидностью персональных данных и к которым относится информация:
а) о расовом или этническом происхождении субъекта данных;
б) о политических взглядах;
в) о религиозных убеждениях или иных убеждениях аналогичного характера;
г) о том, является ли человек членом профсоюза;
д) о физическом или психическом здоровье человека или о его состоянии;
е) о его сексуальной жизни;
ж) о совершенном или предполагаемом совершении человеком какого-либо преступления;
з) о любых процедурах, связанных с преступлениями, совершенными или совершаемыми, в том числе о решениях по таким разбирательствам или о приговорах любого суда по такому делу.
Очевидно, что вышеуказанные термины схожи с российскими терминами «персональные данные» и «специальные категории персональных данных».
В настоящий момент в Великобритании рассматриваются поправки к дефиниции «персональные данные»: предлагается расширить определение персональных данных – так, чтобы в него попали IP-адреса и cookie. Предлагается следующее определение: «персональные данные – это данные, с помощью которых физическое лицо может быть идентифицировано прямо или косвенно на основании средств, которые могут быть использованы контролером данных… в том числе применительно к идентификационным номерам, данным о местоположении, онлайн-идентификаторам»[51].
Понятие «персональные данные» в Великобритании имеет абстрактный характер, будучи конкретизированным только в части чувствительных (sensitive) данных.
1.3.3. Субъекты отношений в области обеспечения конфиденциальности персональных данных
Основным субъектом обеспечения конфиденциальности персональных данных в Великобритании является контролер данных – лицо, которое (самостоятельно или совместно с другими лицами) определяет цели и средства обработки персональных данных. Вместе с тем если контролер данных привлекает для обработки третье лицо – обработчика данных (любое лицо, не являющееся субъектом персональных данных, которое обрабатывает персональные данные от имени контролера данных), то обработчик данных несет такую же ответственность за обеспечение конфиденциальности персональных данных, как и контролер.
44
Основные положения Организации по экономическому сотрудничеству и развитию (ОЭСР) о защите неприкосновенности частной жизни и международных обменов персональными данными. URL: http://www.uipdp.com/upload/legis-lation/international/directiveoesrl.pdf
45
Data Protection Act 1998. URL: http://www.legislation.gov.uk/ukpga/1998/29/ contents
46
Freedom of Information Act 2000. URL: http://www.legislation.gov.uk/ukpga/ 2000/36/contents
47
Protection of Freedoms Act 2012. URL: http://www.legislation.gov.uk/ukpga/ 2012/9/contents/enacted
48
The Criminal Justice and Data Protection (Protocol No. 36) Regulations 2014. URL: http://www.legislation.gov.uk/ukdsi/2014/9780111122723/contents
49
The Freedom of Information and Data Protection (Appropriate Limit and Fees) Regulations 2004. URL: http://www.legislation.gov.uk/uksi/2004/3244/pdfs/ uksi_20043244_en.pdf
50
В законе используется термин «sensitive personal data», который переводится на русский язык как «чувствительные данные». В части 1 данного закона к sensitive personal data отнесены перечисленные в абзаце категории информации. Дословно в «Акте о защите данных» указано: «In this Act “sensitive personal data” means personal data consisting of information as to…» В целях разграничения «чувствительных данных» и конфиденциальной информации в разделе по Великобритании используется термин «чувствительные данные».
51
Сайт законодательства UK. URL: http://www.legislation.gov.uk/all?title= The%20Data%20Protection%20Act