суббота, 4 февраля 2012 г.

Правительство Евросоюза опубликовало проект нового законодательства о персональных данных, часть III

(Окончание, предыдущую часть см. http://rusrim.blogspot.com/2012/02/ii.html )

Проект Директивы об обработке персональных данных компетентными органами по борьбе с уголовной преступностью

Этот документ также немаленький (55 страниц), поэтому остановлюсь только на некоторых его аспектах.

Любопытно, что данная директива не будет применима к обработке персональных данных в ходе деятельности, не подпадающей под законодательство Евросоюза, и, в частности. деятельности по обеспечению государственной безопасности. Под действие директивы также не будут подпадать органы Евросоюза (ст.3).

Операторам ПД предлагается (ст.5), по возможности, разделять персональные данные пяти категорий субъектов ПД:
  • Лиц, подозреваемых в совершении или  в намерении совершить уголовные преступления,

  • Лиц, совершивших уголовные преступления,

  • Жертв уголовных преступлений и лиц, в отношении которых есть основания полагать, что они были жертвами таких преступлений,

  • Третьих сторон по отношению к уголовному преступлению – контактов или сообщников преступников и предполагаемых преступников, а также лиц, которые могут быть вызваны для дачи показаний в ходе расследования и последующего уголовного процесса в суде,

  • Прочих лиц.
Это требование по сути дела является требованием к информационным системам (поставщикам нужно будет обеспечить соответствующую функциональную возможность), и к порядку управления документами.

Ещё интереснее требование ст.6: По мере возможности, проходящие обработку различные категории персональных данных следует разделять по степени их точности и надежности. ПД, основанные на фактах, должны, по возможности, отделяться от ПД, основанных на субъективных оценках. Для удовлетворения этого требования, скорее всего, потребуется ввести дополнительные «флажки» в метаданных документов и информации.

Согласно проекту директивы (ст.7), обработка ПД будет считаться законной только при условии и в той степени, в которой такая обработка будет связана деятельностью компетентного органа в рамках, установленных законодательством; выполняться в интересах защиты важнейших интересов субъекта ПД или иного лица; либо в с целью предотвращения немедленной серьёзной угрозы общественной безопасности. Впрочем, правоохранительным органам будет несложно, как мне кажется, «вписаться» в эти достаточно широкие рамки.

Обработка специальных категорий ПД (раскрывающих расовую принадлежность, этническое происхождение, политические и религиозные убеждения, членство в профсоюзах, генетические данные, данные о здоровье и сексуальной жизни) должна быть запрещена, за исключением случаев, когда:
  • Такая обработка разрешена законом, с применением надлежащих мер защиты,

  • Обработка необходима для защиты жизненно-важных интересов самого субъекта ПД или другого лица,

  • Обрабатываются данные, явным образом сделанные общедоступными субъектом ПД.
Статья 9 предусматривает запрещение мер, основанных исключительно на автоматической обработке ПД (профилирование), способных повлечь негативные правовые последствия для субъектов данных или серьёзно повлиять на них, если только они прямо не разрешены законодательством, которое одновременно должно предусматривать и меры, обеспечивающие защиту законных интересов субъектов ПД. Кроме того, автоматическая обработка ПД с целью оценки определенных аспектов личности субъекта ПД, не должна проводится исключительно на основе специальных категорий ПД.

Отдельная глава посвящена правам субъекта ПД - они примерно те же, что и сейчас. Интересно отметить, что статья 10 содержит пункты, которые позволяют сделать вывод о том, что не всё пока что замечательно в правоохранительных органах Евросоюза – так, оператор при взаимодействии с субъектом ПД по вопросам обработки персональных данных, обязан выдавать информацию в понятной форме, используя простой и понятный язык (пункт 2), отвечать на запросы без ненужных задержек (пункт 4) и бесплатно (пункт 5) :)  При получении ПД непосредственно от субъекта, оператор обязан будет сообщить ему, является ли представление таких данных обязательным или добровольным, и о возможных последствиях непредставления данных.

Как и в общем случае, субъект ПД вправе требовать от оператора уничтожения неверных персональных данных. Директива предоставляет оператору возможность (ст.16), вместо немедленного уничтожения ПД, соответствующим образом пометить оспариваемые данные.

В ряде статей (см., напр., ст.21) регламентируется порядок передачи оператором обработки ПД третьей стороне. Обязательно должен быть совершен правовой акт, устанавливающий обязанности третьей стороны, в частности, обработку данных строго в соответствии с инструкциями оператора. При отступлении третьей стороны от инструкций оператора, она признается со-оператором (в отношении соответствующих отступления), и на него распространяются все требования в отношении операторов.

Целых две статьи (ст.ст.23-24) содержат требования к документации и хранению документов, распространяющиеся как на операторов, так и на третьи стороны, ведущие обработку ПД по указаниями оператора.

Предусмотрены (ст.27) меры по обеспечению информационной безопасности. В основном эти требования сформулированы в общих словах (например, «реализовать меры, предотвращающие неавторизованное чтение, копирование, или удаление носителей данных»), но для исполнения ряда пунктов может потребоваться доработка систем («обеспечить возможность проверить и установить, каким органам были переданы или могут быть переданы ПД с использованием коммуникационного оборудования»).

В случае нарушения безопасности ПД, оператор должен, по возможности, в 24 часа уведомить об этом контролирующий орган. Если уведомление поступит позже, то, по требованию контролирующего органа, оператор обязан объяснить причины задержки. Третья сторона обязана уведомлять оператора немедленно, как только она узнает о нарушении (ст.28). Если есть вероятность существенного вреда для субъекта ПД, то оператор, известив контролирующий орган, обязан без «излишних задержек» уведомить о происшедшем субъекта ПД. Уведомлять субъекта ПД, однако, не обязательно, если оператором приняты достаточные технические меры, обеспечивающие невозможность использования утекших персональных данных неавторизованными лицами (скажем, если данные надёжно зашифрованы) – ст.29.

Ст.33 устанавливает возможность передачи ПД в третьи страны или международным организациям, при условии, что это необходимо для борьбы с уголовными преступлениями и соблюдаются установленные данной Директивой требования. Эти требования мягче, чем общие требования действующего законодательства о ПД – достаточно, чтобы международная  организация или обработчик этих ПД в третьей страны были признаны обеспечивающими адекватный уровень защиты (а не страна в целом).

Источник:  сайт Еврокомиссии
http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm

Комментариев нет:

Отправить комментарий