Особенности конституционно-правового механизма защиты прав субъектов персональных данных в федеративных государствах Европы

Конституционно-правовой механизм защиты прав субъектов персональных данных, по мнению автора, – это система, основными элементами которой являются правозащитные нормы, субъекты, объекты и предмет правоотношений в области защиты персональных данных, действующая правозащитная структура общества и государства. В федеративных государствах характер конституционно- правового механизма защиты прав субъектов персональных данных и особенности его структурных элементов определяются доктриной федерализма, сложившейся в определенном государстве. Эта доктрина определяется особенностями национальной культуры, она зависит от менталитета нации, этнического состава населения и его религиозных традиций. Понимание федерализма в российской науке конституционного права как глобального, систематического явления, позволяющего весьма удачно сочетать все преимущества централизации и децентрализации [5, с. 37], существенно отличается от европейского. Главным принципом современной отечественной доктрины федерализма Э.С. Юсубов считает обеспечение управляемости в государстве посредством совокупности правовых, экономических, социальных и институциональных факторов, а идеалом европейской доктрины федерализма - автономию функционирования государства, гражданского общества и индивида [5, с. 37].

Рассмотрим особенности конституционно-правового механизма защиты прав субъектов персональных данных в двух федеративных государствах Европы, где этот механизм сложился и приобрёл ярко выраженные характерные черты, - в Австрийской Республике и Федеративной Республике Германии.

Австрийская Республика. Т. Елин-гер, профессор Венского университета, характеризует Австрию как склонное к централизованному управлению федеративное государство, в котором центр тяжести законодательных полномочий находился с самого начала у федерации [2].

Это положение предопределило качественные характеристики элементов конституционно-правового механизма защиты прав субъектов персональных данных в Австрии. В структуре регламентирующих конституционно-правовых норм в области персональных данных можно выделить два уровня - федеральный (нацио нальный), включающий право Европейского союза, и уровень субъекта федерации (региональный). Согласно ч. 1 ст. 9 Федерального конституционного закона от 10 ноября 1920 г., общепризнанные нормы международного права действуют в качестве составной части федерального права Австрии. В перечень нормативноправовых актов Европейского союза австрийская Комиссия по защите данных включила следующие директивы парламента и Совета Европы:

• -    Директиву от 8 июня 2000 г. относительно некоторых юридических аспектов общества в области информации, а именно в области электронной торговли на внутреннем рынке (Директива об электронной торговле);

• -    Директиву от 12 июля 2002 г., имеющую отношение к использованию данных личного характера и защиты частной жизни в области электронных коммуникаций (Директива о частной жизни и электронных коммуникациях);

• -    Директиву о защите физических лиц в отношении использования персональных данных в свободном обращении таких данных от 24 октября 1995 года.

На территории Австрийской республики действует также регламент парламента и

Совета Европы от 18 декабря 2000 г. о защите физических лиц в отношении использования данных персонального характера институтами и органами сообщества и в свободном обращении [10].

Собственно федеральное законодательство Австрии в области защиты персональных данных составляют ст. 8 Фе- дерального конституционного закона, консолидированный Федеральный закон «О защите данных» 2000 г. (в ред. от 13.12.2011 г.), имеющий также название «Всеобщее правовое предписание для закона о защите данных», отдельные положения Всеобщего Гражданского кодекса 2003 г., Федеральный закон «О регулировании электронного общения с государственными органами» 2010 г., законоположения о прямом маркетинге, постановления Федерального канцлера «О надлежащей защите данных в третьих странах» от 30 декабря 1999 г., «О применении стандартов и образцов в соответствии законом о защите данных» от 27 июля 2004 г. (с изм. от 3 августа 2009 г. и новеллами от 30 марта 2011 г.), «О ведении Комиссией по защите данных регистра обработки данных» (2002 г.).

Законодательство о защите личных данных существует во всех субъектах Австрийской Республики: в большинстве субъектов – в виде законов земель о защите данных, в некоторых землях – в виде отдельных положений комплексных законов, таких как §13 Закона Каринтии «О справочной службе, защите данных и статистике земли» (2005 г.) или гл. 3 Закона Зальцбурга «Об информационной обязанности и защите данных» (1988 г.).

Следует отметить, что нормы регионального законодательства регулируют защиту данных только в случае их ручной обработки, тогда как автоматическая обработка находится в ведении федерального законодателя, согласно § 2 ч. 1 Федерального закона о защите персональных данных.

Примечательно, что субъектами (фигурантами) прав персональных данных, согласно п. 3 § 4 гл. 1 ст. 1 консолидированного Федерального закона «О защите данных» являются «различные физические и юридические лица или товарищества, данные которых используются». Субъектов прав персональных данных следует отличать от субъектов правоотношений в области персональных данных, к которым относятся как субъекты прав (фигуранты), так и следующие лица, использующие данные:

– заказчик (доверитель) – физическое или юридическое лицо, товарищество или орган территориального объединения, точнее, исполнительный аппарат такого органа, если он самостоятельно или совместно с другими принял решение обрабатывать персональные данные, независимо от того, использует ли он данные самостоятельно или поручает это исполнителю (оператору);

– исполнитель (оператор) – физическое или юридическое лицо, товарищество или орган территориального объединения, точнее, исполнительный аппарат такого органа, если он использует данные только для исполнения одной из своих функций.

Существует два вида заказчиков (доверителей) – доверители публичной и частной сферы. Доверителями публичной сферы являются все доверители, которые созданы в соответствии с нормами публичного права, в том числе органы территориального объединения, если их создание не подчинено нормам частного права или которые не признаются таковыми в соответствии с Союзным законом о защи- те персональных данных. Соответственно доверители частной сферы - все, кто не подпадает под данное определение.

В соответствии с синтезирующим подходом в теории права под объектом правоотношений понимают «действия, поведение людей, на которые направлено регулирующее воздействие норм права» [3, с. 343]. Анализ австрийского законодательства о персональных данных в рамках синтезирующего подхода позволяет выделить следующие объекты правоотношений в данной области:

• а)    использование данных - любой вид действий с данными: их обработка и передача;

• б)    обработка данных - распространение, регистрация, сбор, хранение, распоряжение, сравнение, изменение, объединение, копирование, передача, выдача, пользование, уступка, запрещение, аннулирование, уничтожение и любой другой вид действий с данными, связанный с изъятием переданных данных;

• в)    хранение данных - передача данных от заказчика (доверителя) оператору в рамках договора заказа;

• г)    передача данных - выдача данных другому получателю, например заинтересованному лицу, доверителю или исполнителю услуги, в том числе для публикация данных, а также использования данных для другой области задач заказчика.

Предметом правоотношений в области защиты персональных данных является информация - данные о личности (лице). По отношению личности (лица) к данным выделяют три разновидности персональных данных:

• -    прямые личные данные - «сведения о заинтересованном лице, посредством которых устанавливается или может быть установлена его идентичность» (п. 2 § 4 гл. 1 ст. 1);

• -    косвенные личные данные - сведения для доверителя, бытового обслуживания, получателя сообщений в таком виде, чтобы идентичность заинтересованного лица не могла быть определена при помощи установленных законом средств (п. 1 § 4 гл. 1 ст. 1);

• -    обезличенные (анонимизированные) персональные данные - сведения, которые ни при каких обстоятельствах не указывают на заинтересованное лицо [11].

По степени защиты персональные данные подразделяются на обычные (нечувствительные) и особо защищённые (чувствительные). К последним относятся сведения о расовой и этнической принадлежности, политических взглядах, принадлежности к профсоюзу, религиозных и философских убеждениях, здоровье и половой жизни (п. 2 § 4 гл. 1 ст. 1).

Особую роль в конституционно -правовом механизме защиты прав субъектов персональных данных в Австрийской Республике играет правозащитная структура общества и государства, главное место в которой принадлежит федеральной Комиссии по защите данных (далее - Комиссия). Созданная в 1980 г., Комиссия является старейшим в Европе надзорным органом власти в сфере персональных данных [15]. В соответствии с п. 1 § 36 гл. 7 Федерального закона о защите персональных данных комиссия состоит из шести членов, которые назначаются Президентом Союза по предложению федерального правительства на пятилетний срок. Члены Комиссии должны быть сведущими в юриспруденции и принадлежать к судейскому корпусу. Комиссия представляет федеральному канцлеру публичный доклад о своей деятельности за каждые два года (п. 4 § 38).

Наряду с Комиссией по защите данных в Австрии существует федеральный консультативный орган - Совет по защите данных (далее - Совет), задачами которого является наблюдение за развитием законодательства о защите персональных данных и внесение предложений по дополнениям и изменениям в него. На основании § 42 Федерального закона в Совет входят представители политических партий, Федеральной палаты рабочих и служащих и Федеральной хозяйственной палаты, земель, федерального канцлера. Члены Совета должны иметь профессиональные знания в области информатики и защиты персональных данных.

В соответствии с законами земель о защите данных в каждой земле тоже создаются комиссии по защите данных.

Значимым элементом правозащитной структуры в области персональных данных является судебная защита на уровне союза и земель. Порядок судебной защиты определён Федеральным законом о защите данных. В соответствии с нормами гражданского права, например, рассматриваются иски о защите нарушенных прав лица или товарищества на охрану тайны, исправление, или уничтожение

(аннулирование) данных против физических лиц, товариществ или правообладателей, которые созданы на основании норм гражданского права. Немаловажную роль в правозащитной структуре в области защиты персональных данных играют меры самозащиты, в частности предусмотренное п. 1 § 28 гл. 6 Федерального закона право заинтересованного лица направить протест доверителю в случае незаконной обработки или публикации им персональных данных. Доверитель, получив протест, обязан уничтожить (аннулировать) незаконно обработанные данные в течение восьми недель. Другая мера самозащита - право заинтересованного лица (п. 1 § 30 гл. 6) обратиться с жалобой в Комиссию по поводу нарушения его прав. На европейском уровне защиту персональных данных осуществляют органы Европейского содружества.

Федеративная Республика Германия. По мнению С.Н. Чернова, одной из наиболее устойчивых и эффективно работающих государственных моделей в Европе является германский федерализм, основанный на общей потребности в нём Германии в целом и субъектов Федерации, сохранении политических и культурных традиций земель, опоре демократических институтов на развитую систему местного самоуправления [4]. Особенностью конституционно-правового механизма защиты прав субъектов персональных данных в ФРГ является сложная структура регламентирующих норм, в которой можно выделить четыре уровня:

• - нормы Европейского союза;

  – федеральные нормы;

  – региональные нормы;

  – церковные нормы (общегерманские и региональные).

На уровне Европейского союза действуют нормы, установленные ст. 8 Хартии об основных правах Европейского союза от 7 декабря 2000 г., основанные на положениях ст. 286 Договора об учреждении Европейского союза, требованиях главной Директивы по защите персональных данных № 95/46/EC и ст. 8 Европейской конвенции о защите прав человека и основных свобод. Эта статья носит название «Защита персональных данных», ч. 1 статьи устанавливает право каждой личности на защиту своих персональных данных, ч. 2 – определяет порядок обработки личных данных: только с согласия личности или на основании установленного законом основания. Федеральный уровень представлен в первую очередь ст. 1, 2, 10 и 13 Основного Закона Федеративной Республики Германии, а также двумя федеральными законами – Федеральным законом о защите данных от 14 января 2003 г. (в ред. от 1 сентября 2009 г., изм. в 2010 г.) и ч. 2 гл. 7 Федерального закона о телекоммуникациях от 22 июня 2004 года. Основной Закон ФРГ во главу конституционного правопорядка Германии ставит человеческое достоинство, которое является неприкосновенным в соответствии с п. 1 ч. 1 ст. 1, не допускает никаких ограничений и изначально непоколебимо, абсолютно и поэтому неподвластно никакому государственному вмешательству [7, с. 9]. Права субъектов персональных данных конкретизированы в Федеральном законе о защите данных, в котором определён также порядок хранения, изменения и уничтожения персональных данных, форма и функции надзорного органа, объекты надзора и др.

Наличие норм о защите персональных данных в конституционном законодательстве земель – важная особенность конституционно-правового механизма защиты прав субъектов персональных данных в ФРГ. В частности, защите личных данных посвящена ст. 6 Конституции земли За-ксен-Анхальт от 16 июля 1992 г.: «Каждый имеет право на защиту своих данных, имеющих отношение к личности. Вмешательство в это право возможно только на основании закона» [6]. Следует отметить, что законы о защите личных (биографических) данных существуют во всех землях ФРГ. Примечательно, что первым в мире законом о защите персональных данных стал закон немецкой земли Гессен, принятый в 1970 г., за семь лет до появления закона ФРГ [9].

Уникальность германского законодательства о персональных данных заключается в наличии церковных норм, так как церкви позволено устанавливать в этой области своё собственное властное регулирование и надзорные инстанции [14].

В 1983 г. католической церковью был принят основополагающий закон в области персональных данных – Codex Iuris Canonici, канон 220 которого провозглашает право любой личности на добрую репутацию и на защиту своей интимной сферы [8]. Наряду с этим Кодексом, обя- зательным для всех немецких католиков является соблюдение двух важнейших распоряжений епископов – «Распоряжения о церковной защите личных данных (KDO)» и «Распоряжения об организации церковной связи (KMAO)». Защита персональных данных католическими немецкими епархиями является образцом для всех государств-членов Европейского союза [14]. Наряду с общегерманскими церковными нормативно-правовыми актами в области охраны персональных данных действуют и региональные. Например, Берлинским архиепископом издано три нормативно-правовых акта по обеспечению защиты данных в церковных архивах и два – для этой цели при организации церковной связи [13].

В отличие от австрийского законодательства о персональных данных, германское к субъектам прав персональных данных относит только физических лиц.

В немецком законодательстве о персональных данных субъекты правоотношений, не являющиеся субъектами прав персональных данных (операторы), подразделяются на публичные и непубличные места. Публичные, в свою очередь, – на федеральные публичные места и публичные места земель. Подобное деление существует и в группе непубличных мест. Такое подразделение операторов не является случайным, оно необходимо для разграничения полномочий надзорных органов. Предмет правоотношений в области защиты персональных данных – любая информация, которая содержит личные или материальные признаки, идентифи- цирующие или позволяющие идентифицировать физическое лицо.

Если австрийское законодательство о персональных данных позволяет классифицировать последние по отношению к ним заинтересованного лица, то немецкое – по степени их изменения. По данному признаку персональные данные можно разделить на следующие четыре группы:

– неизменённые персональные данные – какая-либо информация относительно личных или материальных признаков физического лица, которая идентифицирует или позволяет идентифицировать физическое лицо;

– изменённые персональные данные – существенно изменённые данные, предназначенные для передачи;

– иначе названные данные – другое имя и идентифицирующие характерные черты субъекта данных, которые не позволяют или крайним образом затрудняют его идентификацию;

– обезличенные (анонимизированные) персональные данные – информация относительно личных или материальных признаков физического лица, которая не характеризует, не идентифицирует или не позволяет идентифицировать физическое лицо или такая характеристика потребует несоизмеримого количества времени, затрат и усилий.

Анализ показывает, что в немецком законодательстве о персональных данных, как и в австрийском, существует понятие обезличенных (анонимизированных) данных, но оно более полно и кон- кретизировано. Австрийский союзный закон подразделяет персональные данные по степени защиты на обычные (нечувствительные) и особо защищённые (чувствительные), а немецкий – выделяет «специальные категории данных», к которым относятся данные о расовом или этническом происхождении, политических взглядах, религиозных и философских убеждениях, здоровье и половой жизни. При этом австрийское определение особо защищённых (чувствительных) данных буквально совпадает с немецким определением «специальных категорий данных».

Другой особенностью конституционно-правового механизма защиты прав субъектов персональных данных в ФРГ является структура уполномоченных органов исполнительной власти. Немецкая Конституция, по мнению профессора А. Бланкенагеля, исходит из принципа презумпции ведения земель, согласно которому осуществление исполнительной власти относится преимущественно к компетенции земель, которые самостоятельно исполняют федеральные и свои собственные законы [1]. На основании этого принципа сформировалась германская структура надзорных органов в области персональных данных. На федеральном уровне – это федеральный уполномоченный в сфере личных (биографических) данных и свободы информации, который осуществляет надзор в области соблюдения прав субъектов персональных данных в органах государственной власти (федеральных публичных местах), а также в почтовых и телекоммуникационных компаниях [12, с. 6].

В землях (кроме Баварии, Заксен-Анхальта и Тюрингии) также существует уполномоченный в сфере личных (биографических) данных, который осуществляет защиту прав субъектов персональных данных при их использовании администрацией федерального государства (земли) и муниципальных образований, а также в непубличных местах – частных компаниях, ассоциациях и др.

В Баварии, Заксен-Анхальте и Тюрингии созданы специальные надзорные агентства (комитеты) [12, с. 5].

Надзор за исполнением законодательства о защите персональных данных в церковных общинах и организациях северогерманских епархий немецкой католической церкви и лютеранских общинах осуществляют церковные (католические и лютеранские) надзорные органы [12, с. 6].

Таким образом, конституционноправовой механизм защиты прав субъектов персональных данных в Австрии и Германии – характерная для федеративных государств сложная многоуровневая система, включающая большое количество разнообразных взаимосвязанных элементов.