Страница 7 из 22
Необходимо также отметить деятельность Европейского агентства по сетевой и информационной безопасности – ENISA (European Network and Information Security Agency) (агентство ЕС, созданное c целью повышения эффективности функционирования внутреннего рынка, оно выступает в роли консультанта и центра передовых технологий в сфере сетевой и информационной безопасности для стран – членов ЕС и институтов ЕС и содействует развитию связей между странами – членами ЕС, институтами ЕС, хозяйствующими субъектами и частным бизнесом).
При возникновении споров надзорных органов окончательное мнение по существу спорных вопросов будет формировать Европейский совет по защите данных. Данный Совет учреждается во исполнение проекта Регламента. Планируется, что его состав будет представлен руководителями национальных надзорных органов по защите персональных данных и инспектором Совета.
1.1.10. Регулирование таргетированной (адресной, основанной на персональных данных и запросах лица) рекламы
Согласно ст. 19 проекта Регламента субъект персональных данных наделяется правом возразить на аргументированных основаниях в отношении обработки своих персональных данных. Оператор обработки данных должен прекратить такую обработку, если не докажет, что имеются законные основания, которые выше интересов и аргументов субъекта персональных данных. При обработке персональных данных в целях прямого маркетинга субъект персональных данных должен иметь право возразить в любой момент против обработки своих персональных данных. Информация о данном праве должна предоставляться субъекту персональных данных предельно понятно и отдельно от любых других сведений. Если субъект персональных данных против обработки собственных персональных данных в целях прямого маркетинга, персональные данные больше не могут обрабатываться в указанных целях.
1.1.11. Порядок трансграничной передачи персональных данных
Статьей 25 Директивы не в качестве исключения, а в качестве правила устанавливается, что государства – члены ЕС могут разрешить передачу в третью страну персональных данных, только если соответствующая третья страна обеспечивает достаточный уровень защиты. Необходимо оговориться о критериях и порядке оценки уровня защиты при составлении перечня стран для беспрепятственного обмена данными согласно Директиве 95/46/ЕС.
Согласно и. 2 ст. 25 достаточность уровня защиты, предоставляемого третьей страной, оценивается в свете всех обстоятельств, связанных с операцией по передаче или с последовательностью операций по передаче данных. Особое внимание уделяется характеру данных, цели и продолжительности предлагаемой операции или операций по обработке, стране происхождения и стране конечного назначения, законодательным правилам – как общим, так и отраслевым, – действующим в соответствующей третьей стране, а также профессиональным правилам и мерам безопасности, соблюдаемым в этой стране.
Однако иных нормативных документов, разъясняющих вышеуказанное положение об определении «адекватности» или «неадекватности» стран для передачи персональных данных, не принято. Методологические критерии для оценки режима передачи персональных данных изложены в документе рекомендательного характера, адресованном непосредственно публичным органам власти по вопросу понимания органами ЕС и странами – участницами ЕС критериев определения «адекватности» или «неадекватности» стран при передаче персональных данных, содержащихся в Директиве 95/46/ЕС и в других международных правовых актах. Рабочая группа по защите частных лиц в связи с обработкой персональных данных, созданная на основании Директивы 95/46/ЕС (ст. 29), издала руководящие принципы в помощь осуществления оценки:
1) WP 4 (5020/97) «Рабочий документ, содержащий первые ориентиры относительно передачи персональных данных третьим странам – возможные пути продвижения в оценке соответствия», документ для обсуждения, принятый Рабочей группой 26 июня 1997 г.;
2) WP 7 (5057/97) «Оценка саморегулирования отрасли: в каких случаях она вносит значимый вклад в уровень защиты данных в третьей стране?», рабочий документ, принятый Рабочей группой 14 января 1998 г.;
3) WP 9 (3005/98) «Предварительные мнения относительно использования договорных положений в контексте передачи персональных данных третьим странам», рабочий документ, принятый Рабочей группой 22 апреля 1998 г.;
4) WP 12 «Передачи персональных данных третьим странам: применение статей 25 и 26 Директивы ЕС о защите данных», рабочий документ, принятый Рабочей группой 24 июля 1998 г.[11]
Если обобщить критерии признания стран как предоставляющих адекватный уровень защиты данных, то можно заключить, что к таковым может быть отнесено государство, в котором действуют соответствующие нормы права, сформирован уполномоченный орган, а также обеспечивается правовая защита граждан в сфере персональных данных.
Следует отметить, что мнения Рабочей группы фактически легализуются в результате принятия Европейской комиссией решений по квалификации уровня защиты данных в тех или иных странах в соответствии с рекомендуемыми критериями. Решение, основанное на документе рекомендательного характера, становится правовым актом, имеющим юридическую силу (к примеру, Решение 11/2011 об адекватности уровня безопасности персональных данных в Новой Зеландии от 4 апреля 2011 г. и т. д.). Критерии «адекватности» сформировали важную отправную точку для принятия решений Европейской комиссии по адекватности режимов третьих стран.
В результате проведенной оценки составляется перечень государств, обеспечивающих адекватный уровень защиты данных согласно Директиве 95/46/ЕС. Оговаривается, что государства – члены ЕС и Европейская комиссия должны уведомлять друг друга о случаях несоответствия уровня защиты данных в стране декларируемому. Причем в случае последующего выявления недостаточного уровня защиты данных при их обработке Европейской комиссией государства – члены ЕС должны принять меры по предотвращению любой передачи данных того же типа в соответствующую третью страну. Либо, напротив, третья страна в силу ее внутреннего законодательства или международных обязательств может быть признана Европейской комиссией как обеспечивающая достаточный уровень защиты.
Между тем Директивой устанавливается ряд исключений из описанного общего принципа передачи данных только в страны, уровень защиты данных в которых признан адекватным (ст. 26).
Прежде всего стоит перечислить фиксированные исключения, согласно которым передача или последовательность передач персональных данных в третью страну, не обеспечивающую достаточный уровень защиты по смыслу Директивы, может совершаться при условии, что:
1) субъект данных однозначно дал свое согласие на предполагаемую передачу данных;
2) передача необходима для исполнения договора между субъектом данных и оператором или для осуществления преддоговорных мер, принимаемых по просьбе субъекта данных;
3) передача необходима для заключения или исполнения договора, заключенного в интересах субъекта данных между оператором и третьим лицом;
4) передача необходима или требуется на основании закона в связи с особой общественной важностью данных либо для установления, осуществления или защиты правовых требований;
5) передача необходима в целях защиты жизненно важных интересов субъекта данных;
6) или передача осуществляется из реестра, который в соответствии с законами или подзаконными актами предназначен для предоставления информации общественности и который открыт для доступа как общественности в целом, так и любого лица, могущего продемонстрировать законный интерес, в той мере, в какой в конкретном случае выполняются условия, установленные законодательством о доступе.
Но особую значимость в условиях принятия и опыта применения положений Директивы сыграли оговорки о возможных средствах обеспечения безопасности данных при передаче за пределы ЕС.
11
WP 4 (5020/97) «Рабочий документ, содержащий первые ориентиры относительно передачи персональных данных третьим странам – возможные пути продвижения в оценке соответствия» от 26 июня 1997 г.; WP 7 (5057/97) «Оценка саморегулирования отрасли: в каких случаях она вносит значимый вклад в уровень защиты данных в третьей стране?» от 14 января 1998 г.; WP 9 (3005/98) «Предварительные мнения относительно использования договорных положений в контексте передачи персональных данных третьим странам» от 22 апреля 1998 г.; WP 12 «Передачи персональных данных третьим странам: применение статей 25 и 26 Директивы ЕС о защите данных» от 24 июля 1998 г. // Интернет-источник: URL: europa. eu.int/comm/internal_markt/en/media.dataprot/wpdocs/wpl2/en.