Национальные законы стран Европейского Союза о защите персональных данных

Правовая регламентация охраны защиты и охраны персональных данных при их обработке представляется важной задачей для обеспечения конституционного права на права на неприкосновенность частной жизни. Для этих целей принимается значительное число нормативно-правовых актов и создается эффективный механизм защиты данных. Не менее важен и международно-правовой опыт подобной регламентации.

В данном контексте следует обратить внимание на подход правовой охраны персональных данных в Европейском Союзе. Относительно недавно, а именно 25 мая 2018 года на территории Европейского Союза вступил в действие Регламент (ЕС) №2016/679 «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» [1], принятый 27 апреля 2016 Европейским парламентом и Советом ЕС. Данный Регламент отменил ранее действующую Директиву

95/46/ЕС«О защите физических лиц применительно к обработке персональных данных и свободном движении таких данных» [2].

Новый Регламент General Data Protection Regulation (GDPR) значительно ужесточил требования к субъектам, осуществляющим обработку персональных данных по сравнению с Директивой 95/46/ЕС.

Помимо Регламент (ЕС) №2016/679 в Европейском Союзе действуют следующие нормативно-правовые акты в области персональных данных: Директива 2018/1725 - о защите физических лиц при обработке персональных данных учреждениями, органами, учреждениями и агентствами Союза и о свободном перемещении таких данных; Директива 2002/58/EC - об обработке персональных данных и защиты конфиденциальности в секторе электронных коммуникаций; Директива 2016/680 - о защите физических лиц при обработке персональных данных компетентными органами в целях предотвращения, расследования, обнаружения или преследования уголовных преступлений или исполнения уголовных наказаний.

Однако, общеевропейским законодательством правовая охрана частной жизни и персональных данных лиц не ограничивается. Не следует переоценивать и внутреннее национальное законодательства государств, входящих в ЕС.

К примеру в Испании действует Закон № 3/2018 от 5 декабря 2018 года так называемый «Органический закон 3/2018 о защите персональных данных и гарантии цифровых прав» (Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales), согласно которому регламентирован правовой статус Испанского Агентства по защите данных и цифровых прав [3]. Данный орган является независимым государственным административным органом, предусмотренным законом 40/2015 от 1 октября 2015 года «О правовом режиме государственного сектора», обладающим правосубъектностью и действующим в полной независимости от государственных органов при выполнении своих функций. Его официальное название, в соответствии со статьей 109.3 закона 40/2015 от 1 октября 2015г. - «Испанское агентство защиты данных, независимый административный орган». Кроме того, испанское агентство по защите данных несет ответственность за выполнение функций и полномочий, возложенных на него другими законами или нормами права Европейского Союза.

Согласно п.1 ст.34 Закона Испании 3/2018 «О Защите персональных данных и гарантии цифровых прав» должностные лица, ответственные за обработку персональных данных во исполнение, должны назначить представителя (или как его еще называют делегата) по защите данных в отношении следующих субъектов: профессиональные колледжи и их общие советы; учебные заведения, а также государственные и частные университеты; субъекты, которые эксплуатируют сети и предоставляют услуги электронной связи, когда они регулярно и систематически обрабатывают персональные данные в больших масштабах; поставщики услуг информационного общества при разработке крупномасштабных профилей пользователей услуг; кредитные финансовые учреждения; страховые и перестраховочные организации; компании, предоставляющие инвестиционные услуги; дистрибьюторов и торговцев электроэнергией и дистрибьюторов и торговцев природным газом; субъекты, ответственные за общие файлы для оценки имущественной и кредитной платежеспособности или общие файлы для управления и предотвращения мошенничества, включая лиц, ответственных за файлы, регулируемые законодательством о предотвращении отмывания денег и финансирования терроризма; субъекты, занимающиеся коммерческой рекламой и поисковой деятельностью, включая коммерческие и рыночные исследования, когда они проводят лечение на основе предпочтений затрагиваемых лиц или осуществляют деятельность, связанную с их профилированием; медицинские учреждения, юридически обязанные вести медицинские записи пациентов; субъекты, которые имеют в качестве одного из своих объектов выпуск коммерческих отчетов, которые могут касаться физических лиц; операторы, которые развивают игровую деятельность по электронным, компьютерным, телематическим и интерактивным каналам в соответствии с правилами регулирования игры; частные охранные компании; спортивные федерации при обработке данных о несовершеннолетних.

Как видим перечень организаций, обязанных установить специалиста, достаточно объемный. Следует отметить, что такой представитель по защите персональных данных должен быть специалистом в анализируемой области и соответствовать требованиям, установленных в статье 37.5 Регламента (ЕС) 2016/679 о назначении уполномоченного по защите данных. В Регламенте 2016/679 установлено, что такое лицо должно подтвердить свою профессиональную квалификацию. В Испании этап подтверждения квалификации специалиста раскрывается, в частности, через механизмы добровольной сертификации. Также приветствуется наличие у представителя степени бакалавра в области защиты персональных данных, подтверждающая знания теории и практики охраны личных данных.

Роль такого представителя по защите данных в организациях следует оценивать положительным образом, поскольку он не только выступает в качестве связующего звена с лицами, ответственными за обработку данных в испанском Агентстве по защите данных и региональных органах по защите данных, но и вправе инспектировать процедуры обработки персональных данных, а кроме того давать рекомендации в рамках своей компетенции. Представитель по защите данных при выявлении соответствующего нарушения в области защиты данных, документирует все обстоятельства и обнаруженные факты и незамедлительно сообщает об этом административным и управляющим органам, отвечающим за обработку персональных данных. Если лицо, ответственное за обработку персональных данных назначил делегата по защите данных, пострадавший может до подачи жалобы на них в испанское агентство по защите данных обратиться к делегату по защите данных организации, в отношении которой он предъявляет претензию. В этом случае делегат по защите данных информирует пострадавшего о решении, которое было принято в течение максимум двух месяцев с момента получения претензии.

Таким образом, делегату дается возможность самостоятельно принять решение по жалобе пострадавшего лица.

Вышеуказанный испанский закон вводит положения, дополняющие Регламент GDRP (ЕС) №2016/679, в части регламентации защиты цифровых прав. В эпоху цифровых технологи такое внимание к этой сфере общественной жизни представляется крайне значимым. В главе 10 особое внимание уделено праву всеобщего доступа к Интернету (ст.81), защите прав несовершеннолетних в сети Интернет (ст.84). Так, согласно п.1 ст.84 Органического закона Испании родители, опекуны, попечители или законные представители обеспечивают сбалансированное и ответственное использование несовершеннолетними цифровых устройств и услуг информационного общества для обеспечения надлежащего развития их личности и сохранения их достоинства и основных прав.

При этом в пункте 2 ст.84 вышеуказанного нормативно-правового акта закреплено, что использование или распространение изображений или личной информации несовершеннолетних в социальных сетях и эквивалентных службах информационного общества, которые могут повлечь за собой незаконное вмешательство в их основные права, определяет вмешательство в частную жизнь несовершеннолетних. Статья 87 декларирует право на неприкосновенность частной жизни и использование цифровых устройств в сфере труда. Работники и государственные служащие имеют право на защиту своей неприкосновенности частной жизни при использовании цифровых устройств, предоставленных в их распоряжение их работодателем. Работодатель может получить доступ к контенту, полученному в результате использования цифровых носителей, предоставленных работникам, только для целей контроля за соблюдением трудовых или уставных обязательств и обеспечения целостности таких устройств. При этом работодатели должны соблюдать минимальные стандарты защиты их частной жизни в соответствии с социальным обычаем и конституционно и юридически признанными правами. В его разработке должны участвовать представители трудящихся.

Доступ работодателя к содержимому цифровых устройств, в отношении которых он разрешил их использование в частных целях, потребует точного указания разрешенное использование и гарантии сохранения частной жизни работников, такие как, если таковые имеются, определение периодов, когда устройства могут использоваться в частных целях. Таким образом в испанском законодательстве вопросам охраны персональных данных уделено самое пристальное внимание.

Необходимо обратить на внутреннее законодательство прочих стран ЕС. В частности, в Греции действует Закон 4624/2019 от 29.08.2019 года, дополняющий Директиву GDPR, который содержит не самую удачную регламентацию охраны персональных данных ввиду изобилия размытых формулировок и большого количества коллизий, в том числе со своим же национальным законодательством.

Датский Закон №502 от 23 мая 2018 года дифференцирует персональные данные на «обычные данные» и «конфиденциальные данные», соответственно разделены и механизмы их охраны.

Законодательство Исландии представлено в Законе №90/2018 от 27 июня 2018 года «О конфиденциальности данных» является достаточно строгим в рамках норм об ответственности. Так, нарушение законодательства об охране персональных данных карается штраф от 100 000 исландских крон до 2 400 000 000 исландских крон, что эквивалентно сумме от 690 до 15 000 000 евро. Высокие суммы штрафа свидетельствуют об осознании законодателями особой опасности нарушений в анализируемой области.