Мудрый Юрист

Теоретико-методологические основы правовой защиты персональных данных в РФ и за рубежом

Газизов Раиль Робертович, доцент Института права Башкирского государственного университета, кандидат технических наук.

В статье сравниваются различные подходы к защите персональных данных в России и в зарубежных странах. Данное сравнение проводится в свете подписанного в июле 2014 г. Закона о защите персональных данных.

Ключевые слова: персональные данные, защита персональных данных, закон, право быть забытым.

Theoretical-methods fundamentals of legal protection of personal data in the RF and abroad

R.R. Gazizov

Gazizov Rail' R., assistant professor, Institute of Law, Bashkir State University, candidate of engineering sciences.

This paper compares different approaches to the protection of personal data in the Russian Federation and in foreign countries. This comparison is carried out in the light, signed in July 2014 with the Law on Personal Data Protection.

Key words: personal data, personal data protection law, the right to be forgotten.

22 июля этого года президент Владимир Путин подписал Закон о защите персональных данных. Теперь компании, работающие с персональными данными граждан России, должны до 1 сентября 2016 г. перенести серверы с ними на территорию России.

Между тем в СМИ уже дали Закону новое название - "о самоизоляции". Дело в том, что новые нормы фактически лишают онлайн-агентства возможности работать в России. Проблемы будут не только у онлайн-агентств, но и у российских авиакомпаний. Сейчас российские авиакомпании используют в основном западные глобальные системы бронирования билетов (GDS-системы), и их данные хранятся на серверах за рубежом. Наибольшей популярностью в России пользуются Amadeus, Travelport-Galileo, Sabre, Gabriel.

Из отечественных GDS можно назвать, пожалуй, только "Сирену". Но она не является самой популярной на российском авиарынке. Эксперты сомневаются, что международные GDS-системы будут заниматься переносом своих баз данных в Россию.

Напомним, что Ростех сейчас занимается созданием российской GDS, которая будет называться НИРС. Правда, для создания новой системы организации понадобится около трех - пяти лет. В то время как Закон вступает в силу уже 1 сентября 2016 г.

Открытым остается вопрос и работы в России зарубежных консульств. Сейчас для получения виз россияне обращаются в визовые центры, которые передают информацию в консульства. Далее персональные данные передаются за границу.

"Когда мы прилетаем за границу, мы предъявляем свои паспорта, а сотрудники пограничных органов их сканируют. И опять наши персональные данные утекают. Таким образом, есть только два выхода из этой ситуации: либо надо вообще запретить выезжать за границу, либо надо всем гражданам России оформить паспорта на другие имена", - прокомментировал поправки первый вице-президент АТОР Владимир Канторович в эфире телеканала "Дождь" <1>.

<1> Новый Закон о защите персональных данных ударит по онлайн-агентствам // Деловая газета. Юг. 10.07.2014; URL: http://www.dg-yug.ru/a/2014/07/10/Novij_zakon_o_zashhite_pers (дата обращения: 01.08.2014).

Формирование баз персональных данных на все население страны является необходимым условием информационного общества, в котором все взаимоотношения граждан и государства осуществляются в основном в электронной форме. С этой целью все организации, в которые обращаются граждане (школы, поликлиники, вузы, организации ЖКХ и др.), в обязательном порядке предлагают подписывать бланки согласия на обработку персональных данных. Во многих случаях при отказе подписать такой бланк человек в нарушение действующего законодательства лишается своих прав.

Характеристики нового мирового порядка в условиях информационного общества хорошо видны уже сегодня. Сотни тысяч граждан, отказывающихся по религиозным убеждениям от автоматизированного учета персональных данных, электронных документов, могут быть незаконно лишены своих прав.

Пожилым, заслуженным гражданам не выплачивают заработанные пенсии, пособия, лишают медицинской помощи, молодежь не может поступить учиться, устроиться на работу. Нарушения основополагающих прав верующих граждан носят дискриминационный характер <2>.

<2> Яковлева О. Как отказаться от согласия на обработку персональных данных // Информационно-аналитическая служба "Русская народная линия". 11.03.2014; URL: http://ruskline.ru/analitika/2014/03/11/kak_otkazatsya_ot_soglasiya_na_obrabotku_personalnyh_dannyh/ (дата обращения: 01.08.2014).

Граждане обязаны защищать свои права, влиять на принимаемые в России законы, реагировать на нарушения законодательства. Нельзя смиряться с нарушениями своих прав, необходимо законными методами бороться за сохранение традиционной системы учета персональных данных человека, за соблюдение Конституции России.

Правовые методы есть, действует Конституция РФ, и даже законы, некорректно соответствующие Конституции, содержат нормы, гарантирующие права граждан. Используя эти материалы, можно грамотно защитить свои законные права и интересы. Не нужно бояться, не нужно лениться изучать законодательство и применять его в конкретной ситуации. Нарушение прав граждан при отказе дать согласие на обработку персональных данных носит массовый характер, такими же массовыми должны быть и наши правовые действия.

Упоминаемый выше Закон, как и большинство других интернет-законов, прошел все процедуры в кратчайшие сроки: 24 июня его проект внесли на рассмотрение в Госдуму, а уже 4 июля приняли в третьем чтении. Быстрее чем за 11 дней в весеннюю сессию депутаты рассмотрели только Законы "О принятии Крыма в состав России" и "О списании долга Кубе". Рассмотрим, сколько времени и сил отнимает законотворчество, связанное с персональными данными, в других странах.

В Европейском союзе Закон, регулирующий обращение с персональными данными, впервые приняли в 1995 г. Из него следует, что любые данные, относящиеся к определенному человеку, или данные, по которым можно установить личность человека, могут быть обработаны только с его согласия. Передавать данные за пределы Евросоюза разрешается в том случае, если принимающая сторона готова в достаточной степени их защитить. Закон составляли до того, как большинство граждан Европы подключились к Интернету, а потому в январе 2012 г. Еврокомиссия предложила новый законопроект о защите данных. Под его действие попадут в том числе компании, расположенные в других странах. За нарушение правил им может грозить штраф до 5% годовой выручки.

Одной из самых обсуждаемых формулировок законопроекта стало так называемое право быть забытым. Оно позволяет подавать запросы на удаление данных о себе из Интернета, и поисковых систем в частности. Не так давно этим правом воспользовался испанец Марио Костеха Гонсалес, выигравший в мае 2014 г. дело против Google в Европейском Суде. Гонсалеса не устраивало то, что Google выдавала по запросу с его именем ссылку на ст. 1998 г. в газете La Vanguardia. Там говорилось о том, что из-за долгов ему пришлось продать дом, помещенный под залог. Испанец, давно освободившийся от долгов и посчитавший эту информацию более неактуальной, добился удаления ссылки из выдачи Google через государственное агентство по защите данных <3>.

<3> Мухатаев А. Право быть забытым: Как обращаются с персональными данными за рубежом. URL: http://www.lookatme.ru/mag/live/interweb/206257-personal-data-internet (дата обращения: 01.08.2014).

С 31 мая компания Google начала получать запросы от граждан европейских стран, желающих убрать из выдачи системы по своему имени ссылки, которые им не нравятся. В первый день пришли 12 тысяч запросов, а всего к концу июля в Google обратились около 91 тысячи человек. Из поисковой выдачи убрали несколько ссылок на статьи с сайтов газеты The Guardian и BBC, в том числе историю бывшего главы Merrill Lynch Стэнли О'Нила, приблизившего банк к краху. Возникает противоречие, о котором писала The Guardian: люди публично добиваются права быть забытыми, и после этого их запоминают навсегда <4>.

<4> Там же.

Противники права быть забытым считают, что оно противоречит понятиям свободы слова и свободного доступа к информации, а значит, ведет к цензуре. Сторонники инициативы напоминают о праве неприкосновенности частной жизни и собираются четко разграничить закрытые и общественно важные данные о личности. В новейшей версии законопроекта есть четыре критерия, каждый из которых позволяет человеку запросить удаление данных:

  1. данные больше не требуются их держателю;
  2. человек отзывает свое согласие на обработку данных;
  3. человека не устраивают цели обработки данных;
  4. данные обрабатываются с нарушениями закона.

В последние месяцы страны Европы озаботились тем, как Google распоряжается персональными данными пользователей. Так, Италия потребовала от Google изменить правила обработки данных в ближайшие полтора года: разъяснить, как данные хранятся и используются для рекламы, рассчитанной на определенную целевую аудиторию, а также начать исполнять запросы на удаление ссылок из поисковой выдачи в срок два месяца.

США намеренно отказываются от Федерального закона о защите персональных данных в пользу законов, касающихся отдельных сфер. Так, в 1988 г. американским видеопрокатам запретили публично разглашать, какие кассеты арендуют клиенты. Случилось это после того, как в прессу утек список видео, которые брал напрокат кандидат в судьи Верховного суда США Роберт Брок, причем список был вполне пристойный. В отношении персональных данных, передаваемых за рубеж, принято то же правило, что и в Европе, - принимающая сторона должна обеспечить достаточный уровень защиты.

В США отказ от общего закона связывают с особой экономической и политической культурой, где власти способствуют саморегуляции бизнеса. Так, свободу слова в Конституции США гарантирует первая поправка, а право на неприкосновенность частной жизни напрямую в ней не прописано и только подразумевается. Но эти принципы не мешают инициативам на уровнях штатов. С 2014 г. в Калифорнии действует Закон, который обязывает сайты сообщать пользователям, отслеживают ли их поведение. Начиная с 2015 г. жителям штата младше 18 лет также предоставят право быть забытыми, аналогичное европейскому.

За исключением Китая и большинства стран Ближнего Востока, основные региональные державы приняли законы, связанные с защитой персональных данных в Интернете. В Индии действие принятого в 2011 г. Закона не распространяется за пределы страны, да и он не очень жесткий: большинство жителей страны не задумываются о сохранности персональных данных. Сайты знакомств открыто говорят, какая группа крови у пользователя и кто инфицирован ВИЧ, правительство имеет широкие полномочия доступа к персональным данным, а чтобы найти номер мобильного телефона, зачастую достаточно вбить имя человека в поисковую строку.

В Японии закон, защищающий персональные данные граждан в целом и в Интернете в частности, приняли в 2005 г. От иностранных компаний с офисом в Японии требуется подробно объяснять, зачем они хранят персональные данные, если они касаются хотя бы 5000 клиентов и сотрудников. С одной стороны, японцы часто опасаются делиться персональными данными в случае даже природных катаклизмов: например, отказываются подтверждать после землетрясения, попал ли человек в больницу. С другой - периодически случаются крупные утечки данных и незаконные сделки по их продаже. В последнее время законодатели столкнулись и с тем, что не поспевают за развитием Интернета: правила десятилетней давности не учитывают существования облачных сервисов и социальных сетей. В Сингапуре же с 2013 г. действует Закон, схожий с тем, что сейчас рассматривается в Совете Европы. Сейчас этот город-государство обладает самым прогрессивным в Азии законодательством о хранении персональных данных.

В Южной Америке большой резонанс вызвал скандал с Эдвардом Сноуденом, который отчасти привел к принятию в Бразилии закона Marco Civil da Internet - особое место в нем уделяется защите персональных данных. Бразильцы используют подход, близкий к европейскому, но с некоторыми региональными особенностями. Сейчас Верховный суд страны рассматривает дело об удалении ссылки из выдачи Google, схожее с тем, по которому недавно принял решение Европейский суд. Не исключено, что закончится все в пользу Google, так как в новом законе прописано, что данные можно удалять далеко не по каждому запросу - особенно если это противоречит общественным интересам.

Бразилия вместе с Германией продвинула в ООН первую резолюцию, посвященную защите персональных данных в Интернете. В ней говорилось, что право на неприкосновенность частной жизни должно обеспечиваться как в реальной жизни, так и в Сети. Для страны, где электронную переписку защищают по тем же правилам, что и обычную, это совсем не удивительный подход. Остальная Южная Америка также переживает настоящий бум интернет-законотворчества. Проекты рассматриваются месяцами, а то и годами. В авангарде находится Аргентина, признанная Еврокомиссией единственной страной, в полной мере выполняющей требования по защите персональных данных в Интернете.

Таким образом, за рубежом сложилось два основных подхода к определению персональных данных: в некоторых государствах они отождествляются с любой информацией, имеющей отношение к конкретному лицу, в других - прослеживается детализация, установление определенных критериев отнесения информации к указанной категории.

Литература

  1. Мухатаев А. Право быть забытым: Как обращаются с персональными данными за рубежом. URL: http://www.lookatme.ru/mag/live/interweb/206257-personal-data-internet (дата обращения: 01.08.2014).
  2. Новый закон о защите персональных данных ударит по онлайн-агентствам // Деловая газета. Юг. 10.07.2014; URL: http://www.dg-yug.ru/a/2014/07/10/Novij_zakon_o_zashhite_pers (дата обращения: 01.08.2014).
  3. Яковлева О. Как отказаться от согласия на обработку персональных данных // Информационно-аналитическая служба "Русская народная линия". 11.03.2014; URL: http://ruskline.ru/analitika/2014/03/11/kak_otkazatsya_ot_soglasiya_na_obrabotku_personalnyh_dannyh/ (дата обращения: 01.08.2014).