ЮрФак: изучение права онлайн

Опыт правового обеспечения безопасности персональных данных (на примере Аргентины и Великобритании)

Автор: Жарова А.К.

Оглавление

1. Постановка проблемы

2. Понятие "персональные данные" в соответствии с законодательством Великобритании

3. Понятие "персональные данные" в соответствии с законодательством Аргентины

4. Обеспечение безопасности персональных данных Великобритании

5. Обеспечение безопасности персональных данных в Аргентине

6. Обеспечение безопасности персональных данных в России

7. Персональные данные, IP-адрес, cookie-файлы

Заключение

Литература


1. Постановка проблемы

Особой ценностью обладает информация, несущая в себе данные о личной, индивидуальной или семейной жизни человека. Конституция Российской Федерации закрепляет основной принцип современного демократического общества: "Человек, его права и свободы являются высшей ценностью" [1]. Права человека в Великобритании изложены в общем праве, которые основаны на Билле о правах 1689 г. [2]. Информация, затрагивающая частные интересы человека, должна уважаться и защищаться государством.

Однако в условиях Интернета зачастую происходят правонарушения, связанные с обработкой персональных данных, не соответствующей целям, заявленным операторами персональных данных (термин в соответствии с российским законодательством) или контролерами данных (термин в соответствии с законодательством Великобритании). Например, поисковые системы собирают информацию обо всех действиях своих пользователей, осуществляемых в Интернете без их согласия, и в дальнейшем эту информацию используют для рассылки рекламы или предоставления дополнительных услуг. Свои действия поисковые системы обосновывают тем, что информация о совершаемых действиях пользователей не относится к персональным данным. Данное правонарушение происходит как на территории России, так и на территории Великобритании [3]. В связи с этим задача настоящей статьи состоит в привлечении внимания к решению вопроса об определении персональных данных.

2. Понятие "персональные данные" в соответствии с законодательством Великобритании

В Великобритании правовое регулирование неприкосновенности частной жизни лица и его персональных данных осуществляется на национальном и универсальном уровне. Так, Великобритания является членом Совета Европы, подписавшим и ратифицировавшим Конвенцию "О защите частных лиц в отношении автоматизированной обработки персональных данных" [4] вместе с Европейской конвенцией «О защите прав и основных свобод человека» [5], в том числе обязательным документом является Директива «О защите персональных данных 95/46/ЕС» [6]. Великобритания является членом Организации по экономическому сотрудничеству и развитию (ОЭСР) и выполняет требования Директивы ОЭСР «О защите неприкосновенности частной жизни и международных обменов персональными данными» от 23 сентября 1980 г. [7].

Среди основных нормативных актов национального уровня, которые регламентируют вопросы защиты персональных данных в Великобритании, можно назвать следующие: Закон о защите данных 1998 г. (Data Protection Act 1998) [8]; Закон о свободе информации (Freedom of Information Act 2000) [9]; Закон о защите свобод 2012 г. (The Protection of Freedoms Act 2012), включающий положения об уничтожении, удалении и использовании биометрических данных, а также дополнения к данному акту, касающиеся передачи данных (Amendment) (No. 2) Order 2013) [10]; Кодекс об уголовных преступлениях (The Criminal Justice and Data Protection (Protocol No. 36) Regulations 2014) [11]; Регламент о свободе информации и защите данных (необходимые ограничения и штрафы) (The Freedom of Information and Data Protection (Appropriate Limit and Fees) Regulations 2004 г. [12]).

Закон Великобритании о защите данных 1998 г., принятый во исполнение Директивы 95/46/ЕС [13], разделяет понятия "данные" и "персональные данные". Под данными в указанном Законе понимается информация, которая обрабатывается и записывается с помощью автоматизированного оборудования и является частью соответствующей системы или является записью, находящейся в распоряжении государственного органа.

Обратим внимание на то, что данный Закон понимает под информацией содержательную характеристику данных. Этот вывод можно сделать, трактуя понятия "использование", "раскрытие", "получение" и "запись", которые дает данный Закон. Так, под использованием или раскрытием персональных данных понимается использование или раскрытие информации, содержащейся в данных. Под получением или записью персональных данных понимается получение или запись информации, связанной с персональными данными (ч. 1 ст. 2). Однако само понятие "информация" данный Закон не раскрывает, но использует другие термины, непосредственно связанные с осуществлением действий над информацией. Так, в соответствии с Законом о защите данных 1998 г. предусматриваются следующие действия: получение, запись или сохранение информации или данных; в том числе проведение какой-либо операции или набора операций с этими данными или информацией, в том числе в случае организации, адаптации или изменения их, в случаях поиска, консультации или использования; раскрытие путем их передачи, распространения или совершение иных действий, которые делают эти данные или информацию доступными; а также комбинирование, блокирование, стирание или уничтожение информации или данных.

Персональные данные Закон Великобритании о защите данных 1998 г. определяет как любые данные, которые относятся к живому человеку и на основании которых этот человек может быть идентифицирован, или информацию, которая находится в распоряжении контролера данных или может ему поступать для обработки, в том числе любое выражение мнения об индивидуальных особенностях человека или его личности (ч. 1. ст. 1). Закон о свободе информации 2000 г. в п. 40 ч. II относит к персональным данным любой информационный запрос, представляющий собой информацию о субъекте персональных данных.

Кроме Закона о защите данных 1998 г. и Закона о свободе информации 2000 г., обработку персональных данных регулирует Акт о свободах (Freedoms Act 2012), но к персональным данным имеет отношение только глава 1 данного Акта. Глава регулирует вопросы уничтожения, сохранения и использования отпечатков пальцев, обуви и образцов ДНК, профили, полученные в ходе расследования уголовного дела. В соответствии с указанным Актом отпечатки пальцев и ДНК-профили, полученные от арестованных лиц, подлежат уничтожению в случае оправдательного приговора.

Защита персональных данных в уголовном процессе осуществляется на основании Уголовного кодекса Великобритании (The Criminal Justice and Data Protection (Protocol No. 36) Regulations 2014).

Основным субъектом обеспечения конфиденциальности персональных данных в Великобритании является контролер данных — лицо, которое (самостоятельно или совместно с другими лицами) определяет цели и средства обработки персональных данных (п. 1 ч. 1 Закона о защите данных 1998 г.). Вместе с тем если контролер данных привлекает для обработки третье лицо — обработчика данных (не являющегося сотрудником контролера данных), который обрабатывает персональные данные от имени контролера данных, то обработчик данных несет такую же ответственность за обеспечение конфиденциальности персональных данных, как и контролер. Обработка данных возможна, если контролер данных (информации) принимает разумные меры для обеспечения соблюдения требований Закона 1998 г. о безопасности и надежности систем.

Также рекомендуется Вам:

Субъект персональных данных имеет право самостоятельно определять, как, кому и на каких условиях предоставлять данные. Соответственно, нормативно установленных обязанностей по обеспечению конфиденциальности персональных данных у субъекта персональных данных нет.

Департамент правительства Великобритании по делам культуры, СМИ и спорта (DCMS) взял на себя ответственность за формирование политики защиты данных Великобритании [14].

Мы можем наблюдать разницу в понимании информации в соответствии с российским законодательством и законодательством Великобритании.

В Федеральном законе от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" [15] (далее — ФЗ "Об информации") в ст. 2 информация определена как "сведения (сообщения, данные) независимо от формы их представления". Закон о защите данных 1998 г. под данными понимает информацию, которая обрабатывается и записывается с помощью автоматизированного оборудования и является частью соответствующей системы или является записью, находящейся в распоряжении государственного органа.

Закон Великобритании данные определяет как информацию, которая связана с технологическими процессами, или как запись, находящуюся в распоряжении государственного органа. В то время как российский закон информацию определяет как данные, имеющие любую форму представления.

3. Понятие "персональные данные" в соответствии с законодательством Аргентины

В октябре 2000 г. Аргентина приняла свой первый Закон о защите персональных данных (Personal Data Protection Law 25.326) (далее — Закон о персональных данных Аргентины). Целью этого Закона является комплексная защита персональных данных, включенных в файлы, записи, базы данных, или других данных, обрабатываемых техническими средствами государственных органов или частных лиц. Закон о персональных данных Аргентины гарантирует право лиц, защиту их чести и неприкосновенности частной жизни, а также право на доступ к собранной информации в соответствии с частью третьей ст. 43 Конституции страны.

В отличие от российского законодательства, Закон о персональных данных Аргентины предусматривает обязательство зарегистрировать базы данных (БД), обрабатывающие персональные данные, а также обязанность создания реестра для регистрации данных БД.

Закон о персональных данных Аргентины в разделе 2 определяет персональные данные как информацию любого рода, связанную с определенным физическим или юридическим лицом и по которой данных лиц можно определить. Кроме персональных данных в этом Законе определено понятие "приватные данные" — персональные данные, раскрывающие расовое и этническое происхождение; политические взгляды; религиозные, философские, нравственные убеждения или членство в профсоюзе, а также информация, относящаяся к здоровью или половой жизни лица.

Можно отметить, что Закон о персональных данных Аргентины связывает персональные данные с юридическими лицами, что в российском законодательстве не допускается. В соответствии с п. 1 ст. 3 российского Федерального закона "О персональных данных" персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Кроме того, Закон о персональных данных Аргентины определяет такой вид персональных данных, как компьютерные данные, к которым закон относит персональные данные субъекта, обрабатываемые в электронной или автоматизированной форме.

В Законе о персональных данных Аргентины определены следующие основные субъекты: ответственный за запись файла в банк данных или базу данных (БД), к этому субъекту данный Закон относит публичное или частное лицо, являющееся собственником банка данных или базы данных персональных данных. Владелец или субъект данных, который является физическим или юридическим лицом, проживающим, расположенным или имеющим филиалы в Аргентине и чьи действия подпадают под сферу действия Закона о персональных данных в Аргентине.

Под пользователем данный Закон о персональных данных Аргентины понимает любое лицо, государственное или частное, получившее доступ к персональным данным, которые сохраняются в файлах, записях или базах данных собственника этих данных.

Таким образом, мы можем найти определенное сходство в подходах к персональным данным и частной жизни лица российского Закона и Закона Великобритании и Закона о персональных данных Аргентины.

Так, в российском законодательстве связь информации о частной жизни лица с персональными данными определена п. 1 Указа N 188, в котором персональные данные определены как "сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях" [16]. Персональные данные Законом Великобритании о защите данных 1998 г. определены как любые данные, в том числе и любое выражение мнения об индивидуальных особенностях человека или его личности (ч. 1 ст. 1). Закон о персональных данных Аргентины в разделе 2 также связывает персональные данные с информацией любого рода. Однако Закон о персональных данных Аргентины отличается от двух (российского и Закона Великобритании) вышеуказанных тем, что к персональным данным относит и данные, связанные с юридическим лицом, по которым юридическое лицо можно определить.

Существуют разъяснения аргентинских властей по этому вопросу. В соответствии с ними требование наличия юридического адреса или местных офисов, в том числе филиалов в Аргентине, применяется только для юридических лиц, которые будут рассматриваться в качестве субъектов данных.

В позициях указанных иностранных законов мы можем отметить общую проблему — это объединение понятий "персональные данные" и "личная информация" или "частная жизнь лица". С одной стороны, защита частной жизни лица включает защиту сведений, составляющих некоторую частную тайну лица, которую субъект не желает раскрывать перед третьими лицами. С другой стороны, "персональные данные являются особым институтом охраны права на неприкосновенность частной жизни" [18]. С третьей стороны, персональные данные могут содержать информацию, которая известна третьим лицам, в том числе общедоступные персональные данные, и в связи с этим тайной уже не может являться.

Закон о защите данных Великобритании разделяет понятия "конфиденциальные персональные данные"[1] и "персональные данные". Под конфиденциальными персональными данными понимается разновидность персональных данных, к которым относится следующая информация: а) о расовом или этническом происхождении субъекта данных; б) политических взглядах; в) религиозных убеждениях или иных убеждениях аналогичного характера; г) том, является ли человек членом профсоюза; д) физическом или психическом здоровье человека или его состоянии; е) его сексуальной жизни; ж) совершенном или предполагаемом к совершению человеком каком-либо преступлении или з) любых процедурах, связанных с преступлениями, совершенными или совершаемыми, в том числе о решениях по таким разбирательствам или о приговорах любого суда по такому делу.

В Законе Аргентины также присутствует деление информации на персональные данные и приватные данные или чувствительные данные.

Вышеуказанные термины схожи с российскими терминами "персональные данные" и "специальные категории персональных данных" в соответствии с ФЗ "О персональных данных", а также с формой открытых данных, относящихся к общедоступной информации (ст. 7 ФЗ "Об информации, информационных технологиях и о защите информации").

4. Обеспечение безопасности персональных данных Великобритании

Закон Великобритании о защите данных 1998 г. определяет, что персональные данные должны обрабатываться только в целях, соответствующих Закону и определенных контролером данных. Цели должны соответствовать принципам обработки информации — "справедливость и законность", которые связаны с обязательным наличием согласия субъекта на обработку его данных, а также с необходимостью обработки, заявленной контролером данных для определенных случаев[2]. В соответствии с п. 4 раздела 1 данного Закона к специальным целям относятся: цели журналиста, художественные цели и литературные цели.

2. Персональные данные должны быть получены только для одной или нескольких определенных и законных целей и не подлежат дальнейшей обработке в целях, несовместимых с заявленной целью.

3. Персональные данные должны быть адекватными и нечрезмерными по отношению к тем целям, для которых они обрабатываются.

4. Персональные данные должны быть точными и актуальными.

5. Персональные данные, обработанные в соответствии с заявленными целями, не должны храниться дольше, чем это необходимо для целей.

6. Персональные данные должны быть обработаны в соответствии с правами субъектов данных в соответствии с настоящим Законом.

7. Технические и организационные меры защиты данных должны быть приняты против несанкционированной или незаконной обработки персональных данных, а также от случайной потери, или уничтожения, или повреждения персональных данных.

8. Персональные данные не могут быть переданы в страну или на территорию за пределами Европейской экономической зоны, если эта страна или территория не обеспечивает достаточный уровень защиты прав и свобод субъектов данных в отношении обработки персональных данных // Приложение к Закону о защите данных 1998. Перечень 1 "Принципы защиты данных". Register (notify) under the Data Protection Act: URL: https://ico.org.uk/for-organisations/register/.

И.Л. Бачило отмечала, что "в ряде стран введены независимые уполномоченные по защите персональных данных, во всех странах Европейского союза с 1998 г. создана единая унифицированная система защиты персональных данных, в том числе в секторе телекоммуникаций" [17]. Для обеспечения безопасности обработки персональных данных Закон о защите данных 1998 г. предусматривает создание правового института "Комиссар персональных данных" (название должности можно перевести и как "Уполномоченный по персональным данным" (далее — Комиссар)), который является независимым должностным лицом, назначаемым Ее Величеством, ему выдается патент, однако Комиссар и его должностные лица и сотрудники не рассматриваются как служащие или агенты короны. Основное направление его деятельности — это отстаивание информационных прав в общественных интересах и содействие открытости государственных органов и конфиденциальности данных для физических лиц. Функции Комиссара определены частью VI Закона о защите данных 1998 г.

Кроме того, Закон о защите данных 1998 г. в целях обеспечения безопасности передаваемых данных содержит требование об обязательной обработке персональных данных на территории страны, вне зависимости от того, предназначается ли информация для технологической обработки или является частью системы. И только после выполнения данного требования и требования о принятии контролером данных разумных мер для обеспечения соблюдения Закона о защите данных 1998 г. информация может быть передана за пределы Европейской экономической зоны. Предусмотрено, что данные не могут быть обработаны с помощью третьей стороны, если третья сторона не предоставит достаточных гарантий относительно технической и организационной безопасности.

Обработка осуществляется на основании письменного договора с субъектом персональных данных и только по поручению контролера или в рамках выполнения обязательств, эквивалентных тем, которые накладываются на контролера данных в соответствии с Законом 1998 г.

Управление Комиссара (ICO) в Великобритании является государственным органом исполнительной власти по защите данных в Великобритании, которое подчиняется непосредственно парламенту при поддержке Министерства юстиции.

Кратко представить функции Комиссара можно следующим образом: если у Комиссара есть основания предполагать, что действия контролера данных противоречат или нарушают какие-либо принципы защиты данных, то Комиссар может обратиться с уведомлением к контролеру (это называют принудительным уведомлением) с требованием к нему о соблюдении принципа или принципов защиты данных и сделать одно или оба предписания, в котором: (а) определить временной период, в который должны быть устранены нарушения; (б) указать на необходимость прекращения обработки персональных данных или каких-либо иных данных, указанных в уведомлении.

При принятии решения о направлении уведомления Комиссар исследует, причинило ли нарушение ущерб или страдания человеку. В случае нарушения принципа защиты данных, требующего от контролера данных исправления, блокирования, удаления или уничтожения любых неточных данных, Комиссар может потребовать от контролера данных исправить, блокировать, удалить или уничтожить такую информацию о субъекте персональных данных или третьей стороне.

В случае если данные точно записаны и переданы контролером данных от субъекта данных или третьей стороны, то Комиссар может потребовать от контролера данных: а) исправления, блокирования, удаления или уничтожения всех неточных данных и любых других данных, хранящихся у контролера и содержащих выражение мнения; или б) принять меры, которые указаны в уведомлении для обеспечения соблюдения требований Закона о защите данных, и если Комиссар посчитает необходимым, то он может потребовать и совершения дополнительных действий.

Если предписание требует от контролера данных исправления, блокирования, удаления или уничтожения данных или Комиссар убежден, что персональные данные, которые были устранены, заблокированы, стерты или уничтожены, были обработаны в нарушение любого из принципов защиты данных, то Комиссар может потребовать от контролера данных определить перечень лиц, которые должны быть уведомлены о совершении соответствующих действий, и указать контролеру на необходимость их уведомления о соответствующих инцидентах.

Предписание должно содержать: а) заявление о принципе (принципах) защиты данных, которые Комиссар считает нарушенными; б) сведения о правах, подлежащих восстановлению.

Таким образом, в Великобритании предпринимаются все меры для превентивной защиты персональных данных (путем установления обязанностей контролера данных по обеспечению их защиты), однако в случае нарушений установлена серьезная административная и уголовная ответственность за нарушения в области персональных данных и запрет на передачу данных третьим лицам.

Совершение таких правонарушений наказывается в Великобритании штрафом до 500 тысяч фунтов, также предусматриваются административные санкции за несвоевременное устранение нарушений и повторное нарушение, а при преднамеренном характере нарушений, которые привели к серьезным последствиям, установлена уголовная ответственность в виде лишения свободы.

Кроме того, существует требование к интернет-провайдерам об уведомлении без неоправданной задержки Комиссара по персональным данным, а в некоторых случаях и абонентов, о случаях любых инцидентов с их персональными данными. Неуведомление может привести к штрафу в размере 1 000 фунтов стерлингов.

В соответствии с законодательством Великобритании данные могут быть обработаны с помощью третьей стороны, если третья сторона предоставит достаточные гарантии относительно технической и организационной безопасности. Передача данных возможна, если контролер данных принимает разумные меры для обеспечения соблюдения Закона о защите данных 1998 г.

5. Обеспечение безопасности персональных данных в Аргентине

В 2000 г. разработан проект Указа 995/2000 (Decree 995/2000) [30], к целям которого отнесена комплексная защита персональных данных в соответствии с положениями п. 3 ст. 43 Конституции Аргентины. Статья 29 Указа 995/2000 регламентирует создание органа по надзору, принимающего любые необходимые меры для соблюдения целей и положений данного Указа 995/2000. Орган надзора должен являться самостоятельным и выступать в качестве децентрализованного агентства в рамках Министерства юстиции и прав человека (подп. 2 ст. 29 Указа 995/2000). Подпунктом 3 ст. 29 Указа 995/2000 определены полномочия и функции данного надзорного органа. Создание органа по надзору в качестве децентрализованного агентства влечет создание организационной структуры.

Статья 47 Указа 995/2000 предусматривает при необходимости удаление баз данных, связанных с предоставлением кредитных услуг, а также содержит требование, что базы данных не должны включать в себя данные о несоблюдении или неуплате обязательств.

Указом 995/2000 закреплялось, что в период с 1 марта 2004 г. по 30 апреля 2004 г. все базы данных должны быть зарегистрированы, но срок был продлен по 30 июня 2004 г.

Проект Указа 995/2000 был принят, в результате чего в Аргентине создан орган по надзору за обработкой персональных данных — National Direction for Personal Data Protection (Национальное направление по защите персональных данных, DNPDP). DNPDP подчиняется Министерству юстиции Аргентины.

В конце 2003 г. DNPDP определило необходимость создания Регистра национальных баз данных (БД). В 2012 г., после двенадцати лет службы, в Реестре DNPDP было зарегистрировано 20 000 баз данных, по сравнению с 1 600 000 БД, зарегистрированных до этой даты и в тот же срок Агентством по защите данных в Испании.

Закон о защите персональных данных Аргентины определяет требование о регистрации БД и ответственность лиц за отсутствие регистрации в реестре БД, в том числе определяет требование к надзорному органу об осуществлении контроля за обработкой персональных данных, применении санкций, правил и процедур, касающихся судебной защиты и защиты данных подсудимого.

Государственные и частные базы данных до начала обрабатывания данных должны быть зарегистрированы в Реестре по БД Национальной комиссии по защите персональных данных, если не предусмотрено иное. К исключениям относятся частные БД, предназначенные исключительно для личного использования.

Для регистрации БД в Национальной комиссии по защите персональных данных они должны содержать следующую информацию: наименование и адрес владельца или контролера базы данных; характеристики и назначение базы данных; характер личных данных в каждой базе данных; метод сбора и обновления данных; назначение данных и перечень лиц, которым такие данные могут быть переданы; структуру взаимосвязи записанной информации; сведения об информационной безопасности, в том числе о средствах, используемых для обеспечения безопасности данных; срок хранения данных; порядок и условия, при которых человек может иметь доступ к данным; процедуру для внесения исправления или обновления этих данных.

Защищенность персональных данных не распространяется на данные, полученные в связи с опросами общественного мнения, статистическими исследованиями, которыми руководит Национальный институт статистики и переписи населения. В том числе при получении информации в процессе исследования рынка, медицинских или научных исследований, при условии что на основании этой информации не может быть идентифицировано физическое или юридическое лицо.

Защита персональных данных изначально построена на праве неприкосновенности частной жизни. Тем не менее в традициях гражданского права в некоторых странах, к которым относится Латинская Америка, право на неприкосновенность частной жизни и право на защиту персональных данных — в настоящее время два разных права. В Латинской Америке право на защиту персональных данных имеет конституционное признание, в том числе данные Хабеас. Это право позволяет человеку получить доступ к любым данным о себе, содержащимся в базе данных. Закон предусматривает всеобъемлющий процесс для осуществления этого права, но в целом каждый человек имеет право обратиться в суд, чтобы получить доступ к данным о себе, содержащимся в государственных или частных базах данных. Они могут также потребовать удаления, обновления, актуализации данных. Это право существует, но с некоторыми различиями, в Конституциях Аргентины, Бразилии, Колумбии, Мексике, Перу и Венесуэлы. Но даже в тех странах, где сохраняется размытость между понятиями в конституционных текстах, право данных Хабеас существует как неотъемлемая ценность. Это право было предложено Конституционным судом как право контролировать личную информацию.

Пример — недавнее решение Конституционного трибунала. Чили признала, что существует право на информационное самоопределение, даже если оно не закреплено в Конституции, объявив неконституционным закон, который требует в киберкафе записывать персональные данные своих пользователей для целей уголовного преследования.

Сбор и обработка персональных данных являются незаконными, если субъект данных не дал своего согласия или не выразил согласие в письменной форме или иным способом, в зависимости от обстоятельств. Субъект данных должен быть проинформирован заранее о необходимости получения согласия.

Согласие не требуется, если данные: защищены от неограниченного общественного доступа; собраны для исполнения обязанностей государственных органов; состоят из списков, не включающих имя, номер национального удостоверения личности, номер налогообложения или идентификации социального обеспечения, род занятий, дату рождения, место жительства и номер телефона; возникают из договорных научных или профессиональных отношений с субъектом данных, необходимы и используются в данных целях или возникают при совершении сделок финансовыми организациями или из информации, полученной от клиентов.

Когда персональные данные запрашиваются, владелец данных должен быстро и четко проинформировать субъекта данных: о цели, для которой эти данные должны быть собраны и обработаны, и кому эти данные будут переданы или какие лица могут их получить; о существовании соответствующей базы данных в электронной или иной форме и данных лица, ответственного за ведение базы данных; об обязательности ответов на запрашиваемую информацию; о последствиях предоставления данных либо отказа в предоставлении данных или предоставлении неточных данных; о праве на доступ, исправлении и ограничении прав.

Персональные данные для сбора и обработки должны быть точными, уместными и нечрезмерными по отношению к объему и цели, для которой они собираются. Существует требование Закона о защите персональных данных в Аргентине о том, что данные не должны собираться недобросовестно или обманным путем.

При необходимости данные могут корректироваться, в случае если стало известно, что данные являются полностью или частично неточными или неполными. В этом случае лицо, ответственное за ведение базы данных, должно заменить такие данные.

Данные должны храниться таким образом, чтобы владелец (субъект) данных мог осуществлять свое право на доступ и уничтожение данных, как только они перестанут быть необходимыми или актуальными в целях, для которых они были собраны.

В 2001 г. Указом N 1558/2001 от 3 декабря 2001 г. утверждено Положение о защите данных [31]. Положение вводит правила реализации Закона о защите персональных данных, разъясняет нормы Закона о защите персональных данных, которые могут быть предметом расходящихся интерпретаций. Нормы Положения о защите данных направлены на регулирование баз данных, которые объединены сетью на межведомственном, национальном или международном уровне.

Нормы Положения о защите данных содержатся также в ряде отраслевых законов, регулирующих различные секторы, такие, как транзакции по банковским и кредитным картам, статистические исследования, охрана здоровья.

В целях применения Закона о защите персональных данных Аргентины директором Агентства по защите данных Аргентины 25 июня 2003 г. подписано распоряжение N 1/2003 [18], определяющее различные типы нарушений и штрафов, установленных ст. 31 Закона о защите персональных данных в Аргентине. В распоряжении N 1/2003 определены различные типы нарушений и ответственность за них, в том числе:

а) обеспечение доступа к персональным данным неограниченного круга лиц;

б) несанкционированный доступ третьих лиц к персональным данным;

в) непринятие мер по защите персональных данных.

В распоряжении N 1/2003 определено, что штрафы в размере от одной тысячи песо ($ 1 000) до ста тысяч песо ($ 100 000) будут назначаться в зависимости от серьезности и степени тяжести каждого нарушения.

Нарушения в области обеспечения безопасности персональных данных в Аргентине классифицируются как незначительные, серьезные и очень серьезные.

К незначительным нарушениям могут быть отнесены следующие действия различных субъектов:

a) отсутствие ответа со стороны государственного органа по формальным причинам на просьбу субъекта данных о дополнении своих данных или отказ субъекту персональных данных на запрос о предоставлении информации, связанной с обработкой данных, в случае, если такие запросы определены законом;

b) непредставление информации, запрошенной Агентством по защите данных при выполнении функций, возложенных на него законом, в отношении нематериальных аспектов защиты данных;

c) отсутствие технических возможностей, позволяющих реализовать право лица обратиться с запросом о записи личных данных в файл или БД;

d) сбор персональных данных субъектов персональных данных без предоставления им информации, изложенной в разделе 6 Закона о защите персональных данных в Аргентине;

e) несоблюдение обязанности сохранения тайны, изложенной в разделе 10 Закона о защите персональных данных в Аргентине, вследствие чего может произойти серьезное нарушение.

К серьезным нарушениям относятся:

a) создание файлов, находящихся в государственной собственности, или сбор персональных данных для таких файлов с нарушением требований, опубликованных в Официальном бюллетене или соответствующей официальной газете, а также требований, установленных ст. 22 Закона о защите персональных данных в Аргентине;

b) обработка персональных данных с нарушением целей, определенных законом, и соблюдения обязанности обеспечения безопасности, целесообразности, уместности и нечрезмерности такой обработки;

c) сбор персональных данных без получения явного и письменного согласия владельцев данных, когда это согласие должно быть получено;

d) обработка персональных данных или их использование в нарушение принципов и гарантий, установленных в Законе о защите персональных данных в Аргентине, и несоблюдение требований о защите;

e) предупреждение или препятствование осуществлению прав доступа или предоставлению владельцам данных запрашиваемой информации;

f) отсутствие актуализации персональных данных или отказ исправить или отменить такие данные в случае, когда владелец данных обязан это сделать;

g) нарушение обязанности защиты персональных данных, включенных в файлы, содержащие данные о совершении административных правонарушений или уголовных преступлений в сфере хищения государственных средств, финансовых услуг, предоставления кредитоспособности и кредитных услуг, а также данные, включенные в файлы, содержащие набор персональных данных, позволяющие оценить личность человека;

h) несоблюдение требований безопасности, необходимой для поддержания работоспособности файлов, программ или оборудования, содержащих персональные данные, в том числе помещений;

i) непредставление в срок в Агентство по защите данных исполнительных документов или любых других документов и информации, определенных Законом о защите персональных данных в Аргентине;

j) воспрепятствование осуществлению функций Агентства по защите данных;

k) невозможность включения файла с персональными данными в Национальный реестр по защите данных по требованию директора Агентства по защите данных;

l) несоблюдение обязанности предоставления информации, изложенной в разделах 6 и 26 Закона о защите персональных данных в Аргентине.

К очень серьезным нарушениям можно отнести:

a) введение в заблуждение или сбор данных обманным путем;

b) связь или передача персональных данных, кроме разрешенных случаев;

c) получение и обработка конфиденциальных (sensitive) персональных данных в нарушение принципов и гарантий, установленных в Законе о защите персональных данных в Аргентине;

d) отказ прекратить незаконную обработку персональных данных в случае требования директора Агентства по защите данных;

e) незаконная обработка персональных данных или обработка с нарушением принципов и гарантий, в случае, если этими действиями нарушаются основные права других лиц;

f) нарушение обязанности сохранения в тайне полученных персональных данных, а также данных, полученных в целях обеспечения правоохранительных целей;

g) систематическое препятствование или несоблюдение прав на доступ, исправление, обновление или блокирование персональных данных;

h) систематическое невыполнение обязанности уведомления о включении персональных данных в файл.

По вышеперечисленным нарушениям предусмотрены следующие штрафы.

1. Небольшие нарушения наказываются штрафом в размере от одной тысячи песо ($ 1 000) до трех тысяч песо ($ 3 000).

2. Серьезные нарушения наказываются штрафом в размере от трех тысяч песо ($ 3 000) до пятидесяти тысяч песо ($ 50 000).

3. Очень серьезные нарушения наказываются штрафом в размере от пятидесяти тысяч песо ($ 50 000) до ста тысяч песо ($ 100 000).

4. Сумма штрафов оценивается с учетом характера персональных данных, объема выполненных операций по обработке, полученной прибыли, степени ущерба, нанесенного владельцам данных и третьим лицам, повторения нарушений, а также с учетом любых обстоятельств, определяющих степень виновности лица и противоправность конкретного нарушения.

Комиссия (National Commission for the Protection of Personal Data) имеет право налагать следующие санкции:

— административные санкции, к которым относятся: предупреждение; штраф в размере от 1 000 песо до 100 000 песо; закрытие или блокировка зарегистрированного файла или базы данных;

— уголовные наказания в соответствии с Уголовным кодексом Аргентины, к которым относятся: штрафы и лишение свободы на срок от одного месяца до двух лет (применяется к любому, кто сознательно изменяет или предоставляет ложную информацию); штрафы и лишение свободы на срок от шести месяцев до трех лет для тех лиц, кто сознательно распространяет третьим лицам ложную информацию; наказание может быть увеличено на одну половину минимальной и максимальной меры наказания в случае, если человек пострадал в результате вышеупомянутой деятельности; штраф и лишение свободы на срок от шести месяцев до трех лет применяется к любому, кто сознательно и незаконно нарушает конфиденциальность данных и безопасность данных, раскрывает информацию третьей стороне. В случае если правонарушитель является государственным служащим, то должна применяться дисквалификация на срок от одного года до четырех лет.

6. Обеспечение безопасности персональных данных в России

В России состав и содержание мер по обеспечению безопасности персональных данных определены Приказом Федеральной службы по техническому и экспортному контролю России (ФСТЭК) "Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" [19]. ФСТЭК определяет, что безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, осуществляющее обработку персональных данных по поручению оператора, в соответствии с законодательством Российской Федерации; в том числе перечень мер по обеспечению безопасности персональных данных, которые должны быть приняты для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Уполномоченным органом по защите прав субъектов персональных данных в Российской Федерации является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Статьей 23 Федерального закона "О персональных данных" N 152-ФЗ [20] определены полномочия Роскомнадзора, объем которых является достаточным для осуществления необходимой защиты прав субъектов персональных данных и соответствует объему полномочий аналогичных органов государственной власти зарубежных стран.

Однако все полномочия Роскомнадзора связаны с деятельностью оператора персональных данных либо субъекта персональных данных. Роскомнадзор вправе давать обязательные указания и привлекать к ответственности операторов персональных данных, нарушающих Федеральный закон N 152-ФЗ. Соответственно, лица, которые не подпадают под определение оператора персональных данных, например операторы поисковых систем, либо лица, анализирующие большие данные, но не получающие персональные данные, не входят в число лиц, в отношении которых Роскомнадзор вправе осуществлять проверки и выдавать требования об обязании совершения каких-либо действий [21].

7. Персональные данные, IP-адрес, cookie-файлы

В 2015 г. в Великобритании рассматривались поправки к дефиниции "персональные данные", в связи с чем предлагалось расширить определение персональных данных так, чтобы в него были включены IP-адреса и cookie[3]. В поправках к Закону предлагается следующее определение: "Персональные данные — данные, с помощью которых физическое лицо может быть идентифицировано прямо или косвенно на основании средств, которые могут быть использованы контролером данных… в том числе применительно к идентификационным номерам, данным о местоположении, онлайн-идентификаторам…" [23].

Можно отметить, что российское законодательство является более консервативным в части соотнесения персональных данных с информацией, получаемой во время выхода человека в сеть Интернет, т.к. непосредственно информация, получаемая из cookie-файлов и IP-адреса, не включена в российское понятие "персональные данные" [24, с. 50]. Российский Закон под персональными данными понимает "любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)" (ч. 1 ст. 3 ФЗ "О персональных данных"). Такое понимание персональных данных в период информационного развития общества не позволит адекватно регулировать интернет-отношения, связанные с обеспечением безопасности персональных данных.

При наличии информационной системы, состоящей из необходимого набора элементов (операторов, передающего устройства и др.), при отсутствии причин физического (технического) характера, делающих информационный обмен невозможным, ничто не может остановить копирование и распространение информации. Таким образом, обработка персональных данных в информационно-телекоммуникационной сети Интернет будет продолжаться, но в соответствии с российским законодательством мы не сможем классифицировать такие действия как позволяющие идентифицировать человека [25, с. 88].

Включение файлов cookie в определение персональных данных связано с имеющейся в России и Великобритании практикой собирания информации об интересах человека и его данных провайдерами услуг, информационными посредниками, операторами связи, которую они получают в процессе оказания и предоставления интернет-услуг.

В связи с этим Министерство внутренних дел Великобритании указало, что может привлечь к уголовной ответственности за нарушение персональных данных в случае использования платформы Phorm, которая позволяет организовать таргетированную рекламу [26].

В качестве примера обеспечения безопасности персональных данных оператором услуг мобильной связи можно привести компанию TPO (The Peoples Operator)[4]. На сайте данного оператора в разделе "Политика конфиденциальности" предусмотрен подраздел "Privacy Policy — Pay Monthly", в котором определяется политика обработки персональных данных. К персональным данным эта компания относит имя, адрес, номер телефона или адрес электронной почты.

Однако компания TPO определяет свое право собирать и обрабатывать как персональные данные, так и иные данные, такие, как: данные, предоставляемые при заполнении форм на сайте оператора; сведения о посещениях веб-сайта или использовании услуг и ресурсов, к которым клиент может получить доступ; историю переписки с клиентом; запись вызовов; ответы клиентов на сообщения и сообщения, которые TPO посылает своему клиенту; конфиденциальные персональные данные; данные о местоположении; дебетовые и кредитные карты, банковские данные и другую информацию о произведенной оплате.

TPO также определяет свое право получения иной информации о клиенте с помощью файла cookie, который хранится на жестком диске компьютера клиента. ТРО указывает, что клиент может самостоятельно узнать больше о cookie и правилах их использования на сайте компании [27]. Кроме того, TPO оставляет за собой право сохранить все данные, которые клиент предоставляет на сайте компании, в том числе "чувствительные (конфиденциальные) личные данные", используя функции системы VeCapture и VeInteractive, даже если клиент не завершил регистрацию или не закончил действия на сайте компании. Такие контактные данные и информация могут быть использованы компанией для связи с клиентом, в том числе для того, чтобы узнать, почему клиент не завершил регистрацию или транзакцию.

ТРО определила сроки хранения информации о клиенте следующим образом: "…так долго, как это необходимо для выполнения целей, для которых данные были собраны или если иное не предусмотрено законом". Кроме того, ТРО вправе передавать информацию за границу и хранить ее за пределами Европейской экономической зоны, предпринимая при этом все разумные, с точки зрения TPO, меры для гарантии безопасности информации о клиенте в соответствии с политикой конфиденциальности.

Это право компании соотносится с требованием Закона о защите данных 1998 г., который предоставляет право физическим лицам иметь доступ к их личной информации. "Человек имеет право контролировать данные и получать информацию о себе, в том числе право знать, какая информация была собрана, для каких целей она обрабатывается, кто является получателем и при каких условиях она может быть раскрыта". В большинстве случаев ответ на запрос физического лица должен быть представлен в период 40 календарных дней с момента получения.

Таким образом, мы можем заметить правовую неоднозначность подхода к теме обработки персональных данных в интернет-структурах. С одной стороны, в Великобритании нет прямого запрета на собирание персональной информации посредством cookie-файлов, что позволяет компаниям указывать в политике конфиденциальности о применении cookie-файлов, но, с другой стороны, существуют заявления от государственных органов, которые предупреждают о возможной классификации таких действий как уголовное преступление.

В подтверждение происходящих изменений в области сбора и обработки данных посредством cookies можно привести пример из судебной практики Великобритании.

В 2013 г. в Великобритании был предъявлен иск пользователями браузера Safari к поисковой системе Google. Пользователям браузера Safari стало известно, что Google собирает информацию об их действиях в Интернете без их согласия посредством использования cookie-файлов. Истцы подали иск о злоупотреблении информацией о частной жизни, злоупотреблении доверием и нарушении Закона о защите данных 1998 г.

Формулировка ст. 13 (2) Закона о защите данных 1998 г. предусматривает, что претензии могут быть предъявлены в случае? если нарушение вызывало "ущерб и страдания". Суды Великобритании интерпретировали ущерб в основном как материальный ущерб. Однако Апелляционный суд посчитал, что интерпретация ст. 13 (2) Закона о защите данных 1998 г. была неверной и вступает в противоречие с Уставом ЕС об основных правах (EU Charter of Fundamental Rights). Апелляционный суд посчитал, что следует уделять большое значение нематериальному аспекту. Так, если человек продемонстрирует, что нарушение Закона о защите данных 1998 г. вызвало страдания, то он имеет право подать иск в соответствии со ст. 13 в связи с удовлетворением нематериального ущерба.

Ведущий научный сотрудник юридической компании Clyde & Co Джеймс Кассиди считает, что это решение имеет далеко идущие последствия для всех контролеров данных и изменяет способы обеспечения защиты персональных данных. Особенно серьезные последствия могут возникнуть у контролеров данных в сфере здравоохранения в случае утечки каких-либо данных о состоянии здоровья [28].

Как указано на сайте Out-Law международной юридической фирмы "Pinsent Masons", департамент правительства Великобритании по делам культуры, СМИ и спорта (DCMS) взял на себя ответственность за формирование политики защиты данных Великобритании [14].

При этом субъект персональных данных имеет право требовать изменения и удаления неактуальных или противоречивых персональных данных.

Сохранение персональных данных и порядок обработки этих данных, полученных интернет-провайдерами при выполнении своих обязательств, регулируется Директивой Европейского парламента по хранению данных от 15 марта 2006 г. (Data Retention Directive [29]), которая была принята после террористических актов, проведенных в Мадриде в 2004 г. и в Лондоне в 2005 г., в целях согласования усилий ЕС в расследовании и уголовном преследовании самых серьезных преступлений, таких, как организованная преступность и терроризм. Кроме того, Закон 1998 г. предусматривает частные случаи хранения и обработки персональных данных интернет-провайдерами, в том числе при наличии соглашения об этом с пользователем интернет-услуг.

Директива Европейского парламента по хранению данных 2006 г. требует от интернет-провайдеров сохранять определенные категории данных о трафике и местоположении физических лиц (за исключением содержания этих сообщений) в период от шести месяцев до двух лет и делать их доступными правоохранительным органам в случае их запроса для целей расследования, выявления и преследования тяжких преступлений и терроризма.

Как указывает общественность, сохраненные данные являются ценной информацией и доказательствами, на основании которых могут быть вынесены как обвинительные приговоры за уголовные преступления, так и оправдательные приговоры, которые никогда бы не были сделаны, если бы не обязанность сохранять эти данные. Несмотря на это, в Великобритании обсуждался вопрос о том, что провайдеров могут признать нарушителями законодательства о персональных данных, если они по-прежнему будут сохранять информацию, полученную в результате обработки данных пользователей, в соответствии с Директивой по хранению данных.

8 апреля 2014 г. Суд Европейского союза признал Директиву ЕС хранения данных недействительной. Суд посчитал, что Директива не удовлетворяет принципу соразмерности и должна предоставлять большие гарантии для защиты фундаментальных прав, уважения частной жизни и защиты персональных данных.

По указанным причинам в Великобритании высказывается мнение [30] о том, что провайдеры обязаны прекратить сохранять данные и должны уничтожать все данные, сохраненные в силу ныне недействительных нормативных актов. Если компании будут продолжать сохранять данные, то существует риск, что их собственные клиенты могут подать иски на нарушение Закона 1998 г.

Заключение

Таким образом, можно заметить, что в Великобритании нормативная система обеспечения безопасности персональных данных сходна с российской системой, но имеет свои особенности. Так, в Великобритании уполномоченным органом является ICO, деятельность которого направлена только на обеспечение безопасности персональных данных. В России уполномоченным исполнительным органом в данной области является Роскомнадзор, в который входят 10 различных управлений, в том числе Управление по защите прав субъектов персональных данных.

Кроме того, в Великобритании под информацией понимается содержательная сторона данных, что позволяет регулировать не только передачу данных по каналам связи, но и содержание данных. Подход Великобритании не противоречит теории понимания информации через количественную и качественную характеристику, где под качественной характеристикой понимается содержание информации, а под количественной — количество различных сообщений от интернет-источника.

Положительным примером является позиция Великобритании, которая признает персональными данными следующую информацию: IP, идентификационные номера, данные о местоположении человека, онлайн-идентификаторы, иную информацию, на основании которых можно определить человека в сети Интернет.

В России для обеспечения безопасности граждан и обеспечения правоохранительных органов информацией для расследования и пресечения преступлений был принят так называемый антитеррористический пакет законов. Данный пакет законов дополнил информационное законодательство России следующими субъектами:

— организатор распространения информации в сети Интернет, на которого возлагаются три основные обязанности:

1) уведомление Роскомнадзора об осуществлении соответствующей деятельности, на основании которого лицо включается в специальный реестр;

2) обязанность по хранению данных в определенном объеме в течение шестимесячного срока;

3) обязанность по сотрудничеству с правоохранительными органами в определенном объеме (ст. 10.1);

— владелец новостного агрегатора, на которого возлагается обязанность соблюдения требований законодательства Российской Федерации о распространении информации (ст. 10.4 ФЗ "Об информации").

Во многом логика предложенных изменений в законодательство РФ схожа с логикой Директивы ЕС 2006/24/ЕС "О хранении данных", которая определяет обязанности, возлагаемые на интернет-провайдеров о хранении и выдаче данных о трафике правоохранительным органам. Однако, как выше было указано в статье, в 2014 г. Директива ЕС 2006/24/ЕС была признана недействительной.

Необходимо отметить, что российский подход предоставил более широкие возможности предотвращения правонарушений — блокировка Роскомнадзором веб-ресурса организатора распространения информации в сети Интернет, не исполняющего обязанности в порядке, указанном в ст. 15.4 ФЗ "Об информации" и в ч. 2.1 ст. 13.31 КоАП.

В Латинской Америке нормативная система, обеспечивающая безопасность персональных данных, хороша развита. Также определен надзорный орган, контролирующий деятельность подчиненных структур, определены штрафы и ответственность за нарушение законодательства о персональных данных. В Латинской Америке право на защиту персональных данных имеет конституционное признание, в том числе данные Хабеас. Это право позволяет человеку получить доступ к любым данным о себе, содержащимся в базе данных. Закон предусматривает всеобъемлющий процесс для осуществления этого права, но в целом каждый человек имеет право обратиться в суд, чтобы получить доступ к данным о себе, содержащимся в государственных или частных базах данных. Он может также потребовать удаления, обновления, актуализации данных.

Литература

1. Конституция Российской Федерации // URL: http://www.consultant.ru.

2. The English Bill of Rights // URL: http://www.parliament.uk/about/living-heritage/evolutionofparliament/parliamentaryauthority/revolution/collections1/collections-glorious-revolution/billofrights/.

3. Елин В.М. О выделении информационных объектов в самостоятельную категорию объекта преступления / В.М. Елин, А.К. Жарова // Труды Института государства и права Российской академии наук. 2009. N 5. С. 205 — 229.

4. Convention for the protection of individuals with regard to automatic processing of personal data (ETS N 108) (Strasbourg, 28 January 1981) // URL: http://www.conventions.ru/view_eng.php?id=1097.

5. European Convention for the Protection of Human Rights and Fundamental Freedoms // URL: http://ec.europa.eu/justice/data-protection/law/.

6. EU Data Protection Directive (Directive 95/46/EC) // URL: http://ec.europa.eu/justice/policies/privacy/docs/95-46-ce/dir1995-46_part1_en.pdf.

7. Основные положения Организации по экономическому сотрудничеству и развитию (ОЭСР) о защите неприкосновенности частной жизни и международных обменов персональными данными // URL: http://www.uipdp.com/upload/legislation/international/directive_oesr1.pdf.

8. Data Protection Act 1998 // URL: http://www.legislation.gov.uk/ukpga/1998/29/contents.

9. Freedom of Information Act 2000 // URL: http://www.legislation.gov.uk/ukpga/2000/36/contents.

10. The Protection of Freedoms Act 2012 // URL: http://www.legislation.gov.uk/ukpga/2012/9/contents/enacted.

11. The Criminal Justice and Data Protection (Protocol No. 36) Regulations 2014 // URL: http://www.legislation.gov.uk/ukdsi/2014/9780111122723/contents.

12. The Freedom of Information and Data Protection (Appropriate Limit and Fees) Regulations 2004 // URL: http://www.legislation.gov.uk/uksi/2004/3244/pdfs/uksi_20043244_en.pdf.

13. EU Data Protection Directive (Directive 95/46/EC) // URL: http://ec.europa.eu/justice/policies/privacy/docs/95-46-ce/dir1995-46_part1_en.pdf.

14. DCMS takes on responsibility for UK data protection policy and sponsorship of the ICO. URL от 18 сентября 2015 // URL: http://www.out-law.com/en/articles/2015/september/dcms-takes-on-responsibility-for-uk-data-protection-policy-and-sponsorship-of-the-ico/.

15. Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" // СЗ РФ. 2006. N 31 (ч. 1). Ст. 3448.

16. Перечень сведений конфиденциального характера: утвержден Указом Президента РФ от 6 марта 1997 г. N 188 // СПС "Гарант".

17. Бачило И.Л. Информационное право: Основы практической информатики: Учеб. пособие / И.Л. Бачило. М.: Юринформсистема, 2001. 350 с.

18. Распоряжение N 1/2003. Защита данных — нарушения и штрафы (Disposition N 1/2003. Data Protection infrigments and penalties) // URL: http://www.protecciondedatos.com.ar/law12003.htm.

19. Приказ Федеральной службы по техническому и экспортному контролю "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" от 18 февраля 2013 г. N 21 // СПС "КонсультантПлюс".

20. Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" // СЗ РФ. 2006. N 31 (ч. 1). Ст. 3451.

21. Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет / Под ред. А.С. Дупан (Гутниковой). М.: Издательский дом Высшей школы экономики, 2016.

22. The Data Protection Act 1998 (Commencement No. 4) Order 2015 // URL: http://www.legislation.gov.uk/all?title=The%20Data%20Protection%20Act.

23. Жарова А.К. Сущность и структура информационного противоборства / А.К. Жарова // Государство и право. 2009. N 2. С. 48 — 54.

24. Жарова А.К. Условия оказания услуги по предоставлению доступа к облачным вычислениям / А.К. Жарова // Государство и право. 2012. N 12. С. 86 — 90.

25. McDermott Will & Emery Privacy issues in targeted internet advertising — bad Phorm? // URL: http://www.lexology.com/library/detail.aspx?g=92223ba1-f0e2-42e6-83e8-e22d06b204ae.

26. About Cookies // URL: www.thepeoplesoperator.com/Cookies.

27. James Cassidy, Senior Associate Compensation under the Data Protection Act 1998: All Change // URL: http://www.clydeco.com/insight/updates/view/compensation-under-the-data-protection-act-1998-all-change.

28. DIRECTIVE 2006/24/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 15 March 2006 on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks and amending Directive 2002/58/EC // URL: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:105:0054:0063:EN:PDF.

29. Survey reveals nearly half of web users happy with behavioural advertising // URL: http://www.out-law.com/en/articles/2012/may/survey-reveals-nearly-half-of-web-users-happy-with-behavioural-advertising-/.

30. Указ 995/2000 // URL: http://www.protecciondedatos.com.ar/decree995.htm.

31. ACT N 25.326 and REGULATORY DECREE N 1558/01 // URL: http://www.ceic.org.ar/english/integrated_chart_Act_25326.pdf.

 


[1] В Законе используется термин "sensitive personal data", который переводится на русский в том числе и как конфиденциальные данные. В части 1 данного Закона к sensitive personal data отнесены перечисленные в абзаце категории информации.

Дословно, как указано в Законе 1998 г.: "In this Act "sensitive personal data" means personal data consisting of information as to…"

[2] 1. Для исполнения договора, по которому субъект персональных данных является одной из сторон; для цели заключения договора в соответствии с распоряжением субъекта персональных данных. В случае если обработка необходима для защиты жизненно важных интересов субъекта данных, для осуществления правосудия.

[3] Фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя. Применяется для сохранения данных на стороне пользователя, на практике обычно используется: для аутентификации пользователя; хранения персональных предпочтений и настроек пользователя; отслеживания состояния сеанса доступа пользователя; ведения статистики о пользователях.

[4] Общество с ограниченной ответственностью, зарегистрированное в Великобритании.

Рекомендуется Вам: