Страница 16 из 22
Функции комиссара можно кратко представить следующим образом. Если у комиссара есть основания предполагать, что действия контролера данных противоречат или нарушают какие-либо принципы защиты данных, то комиссар может обратиться с уведомлением к контролеру (это называют принудительным уведомлением) с требованием о соблюдении принципа или принципов защиты данных и сделать одно или оба предписания, в которых:
а) определить временной период, в который должны быть устранены нарушения;
б) указать на необходимость прекращения обработки персональных данных или каких-либо иных данных, указанных в уведомлении.
При принятии решения о направлении уведомления комиссар исследует, причинило ли нарушение ущерб или страдания человеку.
В случае нарушения принципа защиты данных, требующего от контролера данных исправления, блокирования, удаления или уничтожения любых неточных данных, комиссар может потребовать от контролера данных исправить, блокировать, удалить или уничтожить такую информацию о субъекте персональных данных или о третьей стороне.
В случае если данные точно записаны и переданы контролером данных от субъекта данных или от третьей стороны, комиссар может потребовать от контролера данных:
а) исправить, блокировать, удалить или уничтожить все неточные данные и любые другие данные, хранящиеся у контролера, или
б) принять меры, которые указаны в уведомлении для обеспечения соблюдения требований «Акта о защите данных», и, если комиссар посчитает необходимым, он может потребовать также совершения дополнительных действий.
Если предписание требует от контролера данных исправления, блокирования, удаления или уничтожения данных или комиссар убежден, что персональные данные, которые были устранены, заблокированы, стерты или уничтожены, были обработаны в нарушение любого из принципов защиты данных, то комиссар может потребовать от контролера данных определить перечень лиц, которые должны быть уведомлены о совершении соответствующих действий, и указать контролеру на необходимость их уведомления о соответствующих инцидентах.
Предписание должно содержать:
а) заявление о принципе (принципах) защиты данных, который (которые) комиссар считает нарушенным (нарушенными);
б) сведения о правах, подлежащих восстановлению.
Таким образом, в Великобритании принимаются все меры для превентивной защиты персональных данных (путем установления обязанностей контролера данных по обеспечению их защиты), однако в случае нарушений установлены серьезные штрафы, о чем было сказано в и. 1.3.5.
1.3.7. Системы удаленного распределенного управления данными и их регламентация в национальном законодательстве
Использование облачных вычислений в Великобритании не регулируется каким-либо специальным нормативно-правовым актом. Между тем данному вопросу уделяется значительное внимание регулирующих органов и организаций: нормы закона толкуются применительно к облачным сервисам, даются рекомендации, описывается специфика. Так, Уполномоченным органом по защите персональных данных (The Information Commissioner’s Office (ICO)) было принято руководство (Guidance on the use of cloud computing) по использованию облачных технологий[58]. Данное руководство призвано пояснить порядок применения «Акта о защите данных» 1998 г. и направлено на помощь вовлеченным субъектам в полной мере осознать свои права, обязанности и ответственность. Данным Руководством формируется так называемая лучшая практика.
В Руководстве определены следующие понятия.
Облачный поставщик — организация, которая владеет и управляет облачным сервисом.
Облачный клиент {заказчик) – организация, обеспечивающая выполнение цели, для которой облачный сервис создан.
Облачный пользователь — конечный пользователь облачного сервиса.
Модели развертывания — ряд различных моделей, с помощью которых могут быть развернуты облачные вычисления.
Частное облако — инфраструктура, которая предназначена для применения в рамках деятельности определенного юридического лица или индивидуального предпринимателя. Лежащие в основе облака аппаратные средства могут управляться и поддерживаться поставщиком облачных услуг посредством договора аутсорсинга. Доступ к облачному сервису может быть ограничен через локальную или глобальную сеть.
Облачное сообщество — группа облачных клиентов, имеющая доступ к ресурсам из того же облачного сервиса. Обычно облачные клиенты подчиняются конкретным требованиям, таким как необходимость соблюдения правовых норм и обеспечение высокого уровня безопасности, который обеспечивает облачный сервис. Доступ к облачному сервису может быть ограничен в глобальной сети.
Публичное облако — инфраструктура, платформа или программное обеспечение, управляемые поставщиком облачных услуг, которые он делает доступными для широкой публики (облачные клиенты или облачные конечные пользователи). Доступ к облачному сервису осуществляется через Интернет.
Клиент облачных сервисов определяет цели и способ обработки данных облачным провайдером, соответственно, по «Акту о защите данных», именно он является обработчиком данных и несет за свои действия ответственность (по мнению авторов данной книги, функциональные специфики оператора персональных данных (в соответствии с российской терминологией) и контролера данных (в соответствии с терминологией Великобритании) совпадают).
Одним из центральных положений является предоставление обработчику данных возможности в полной мере оценить риски, связанные с обработкой данных в облачной системе, и принять самостоятельное ответственное решение о возможности передачи данных в облачный сервис. При этом те организации, которые согласно «Акту о защите данных» являлись обработчиками данных, остаются таковыми при использовании облачных сервисов.
В «Акте о защите данных» указывается, что данные могут быть собраны и обработаны контролером данных, в случае если соблюдаются следующие условия[59]: получено согласие субъекта данных на обработку; контролер информации может обрабатывать данные только в рамках заранее полученного соглашения или в процессе выполнения договорных обязательств; обработка данных соответствует обязательствам контролера данных; обработка направлена на защиту жизненно важных интересов субъекта данных; обработка требуется в связи с целями закона 1998 г.
В облачных вычислениях контролером данных будет являться облачный клиент, который определяет цели и порядок обработки любых личных данных. Как указано в Руководстве, «облачный клиент, скорее всего, будет являться контролером данных и, следовательно, будет нести общую ответственность за соблюдение “Акта о защите данных”».
Точная роль облачного поставщика должна быть рассмотрена в каждом конкретном случае, чтобы оценить, является ли он одновременно и обработчиком личных данных. В Руководстве предлагается определить ответственность лица через те функции, которые он выполняет, на основании следующих критериев: 1) является ли поставщик услуг контролером данных или 2) действует от имени контролера данных.
Дополнительно к ответственности обработчика данных, касающейся сбора, хранения, передачи данных, Кодексом наилучшей практики по обработке персональных данных онлайн[60] устанавливается, что в целях соблюдения положений закона о защите данных обработчик данных должен принимать в том числе не предусмотренные правовыми актами меры, которые выбираются им самостоятельно в зависимости от ситуации и типа онлайн-сервиса, в том числе облачной системы. Такие обязательства могут включаться в договор.
Руководство также содержит лист проверки, который поможет пользователям облачных сервисов проверить безопасность системы (данный лист создан на основе мнения, опубликованного Рабочей группой по защите данных ЕС).
58
Guidance on the use of cloud computing. URL: https://ico.org.uk/media/1540/ cloud_computing_guidance_for_organisations.pdf
59
Register (notify) under the Data Protection Act. URL: https://ico.org.uk/for-organisations/register/
60
Personal information online code of practice on 26 May. URL: 2011 https://ico.org. uk/media/for-organisations/documents/1591/personal_information_online_cop.pdf