10 мая 2005 года Президентом Российской Федерации были подписаны «Дорожные карты», обозначившие пути дальнейшего сотрудничества между Российской Федерацией и странами Евросоюза.
В «Дорожной карте» по общему пространству свободы, безопасности и правосудия содержится положение об обязательности ратификации и выполнении Конвенции Совета Европы 1981 года о защите физических лиц при автоматизированной обработке персональных данных.
Это чрезвычайно важный шаг, который фактически ставит точку в затянувшейся паузе, на протяжении которой оставалось неясным, стоит или не стоит создавать общее национальное законодательство о персональных данных, целесообразно это делать или разумнее ограничиться косметическими доделками существующего.
Почему положение о ратификации Конвенции оказалось в числе задач, посвященных борьбе с преступностью и терроризмом понятно – согласно требованиям Конвенции страны могут обмениваться персональными данными, в том числе данными о лицах, совершивших преступления или подозреваемых в совершении преступления, только при условии, что в странах, обменивающихся подобными сведениями, соблюдаются правовые требования, предписанные Конвенцией.
Поэтому в интересах России, с точки зрения объявленных приоритетов в области борьбы с преступностью, ратифицировать подписанную Россией в 2001 году европейскую Конвенцию. Однако польза от ратификации Конвенции и тем самым создания базового национального законодательства о персональных данных, этим не ограничивается.
Отсутствие национального законодательства уже сейчас тормозит экономические связи российского бизнеса с европейским, а в будущем этот процесс будет усиливаться по мере того, как российский бизнес все в большей степени будет ориентироваться не на сырьевые отрасли, а на секторы рынка, где реальными потребителями товаров и услуг являются граждане. Это в одинаковой мере относится как к внутренней российской ситуации, так и к внешней деятельности бизнеса.
Наконец, однажды на Россию может опуститься железный занавес извне, поскольку обработка биометрических данных, которые будут регистрироваться при пересечении границ, не будет отвечать европейским и, скорее всего, мировым стандартам.
Европейская Конвенция является не единственным международным документом в этой области. В 1980 году были выпущены Рекомендации Организации экономического сотрудничества и развития (ОЭСР) о защите неприкосновенности частной жизни и международных обменов персональными данными, в 1990 году Генеральной ассамблеей ООН принято Руководство относительно компьютерных файлов персональных данных.
Наконец, в 1995 году была принята Директива № 46 Европейского парламента и Совета Европейского Союза о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных. Так или иначе, все перечисленные документы составляют единое логическое целое и последовательно развивают один и тот же подход к персональным данным.
Для нас по нескольким причинам наиболее значимой является европейская директива.
Прежде всего, несмотря на формальное соответствие требованиям Конвенции, России придется в большей степени ориентироваться на положения Директивы, поскольку европейские страны, оценивая допустимость транснациональной передачи персональных данных, будут ориентироваться именно на соответствие национальных законодательств требованиям евродирективы, а не Конвенции. Не будут также достигнуты и остальные обозначенные выше цели, если национальное российское законодательство не будет в должной мере гармонизировано с европейским, разработанным в рамках, определенных евродирективой.
Евродиректива является не только последним в ряду прочих, но и самым разработанным международным документом. В преамбуле к Директиве прямо сказано, что она является плодом развития международного права в этой области. Более того, на Директиву ориентируются все страны, принимавшие свои национальны законы, начиная с 1995 года, вне зависимости от их географического расположения. Поэтому можно сказать, что Директива на сегодня практически является единственным мировым стандартом.
Тем не менее она, впрочем, как и остальные международные документы, является лишь общим каркасом, определяющим границы допустимого для национальных законодателей, оставляя за ними достаточно широкую свободу выбора тех норм, которые они сочтут адекватными общим требованиям. Однако при любом выборе конкретных правовых решений национальный законодатель должен ориентироваться на главный критерий, определяющий допустимость тех или иных действий – соотношение потребностей государства или частных лиц с необходимостью обеспечения фундаментальных свобод и прав субъектов персональных данных. Соответственно, каждое из положений Директивы, относящееся к таким важнейшим аспектам, как сбор информации, ее использование и распространение или передача, подразумевая определенную свободу выбора национального законодателя, содержит главный критерий – ущемляют ли они или нет фундаментальные права и свободы субъекта персональных данных.
Это требование, естественно вытекающее из духа евродирективы, неизбежно поставит перед российским законодателем несколько проблем.
Первая из них – необходимость создания или пересмотра тех существующих законодательных актов, которые были приняты ранее и могут не учитывать указанное выше требование. Вторая задача состоит в выборе тех правовых направлений, которые являются приоритетными для российской действительности.
Я выделил бы здесь три главных и наиболее актуальных направления.
Первое – упорядочение обращения персональных данных в госсекторе. Ни для кого не является секретом, что главные беды, связанные с персональными данными, – их доступность на рынке баз данных, распорядителями которых являются государственные ведомства. С этой проблемой тесно связана задача разработки унифицированных правил создания и функционирования публичных регистров персональных данных, что позволило бы преодолеть коррупционную привлекательность баз данных, с одной стороны, и удовлетворение потребностей тех, кто на законных основаниях нуждается в доступе к персональной информации.
Второе – упорядочение использования технологий прямого маркетинга. Это связано как с проблемами спама, как явления, так и с упорядочением оборота минимально используемой в технологиях прямого маркетинга персональной информации.
Третьим направлением я бы назвал создание атмосферы доверия в Интернете, связанной с получением и использованием персональных данных. От решения этой задачи, решение которой должно быть учтено в положениях и концепции будущего, во многом связан успех развития электронной торговли.
Формальная необходимость гармонизации будущего российского закона с положениями Конвенции и Директивы поднимает еще одну чрезвычайно важную проблему – создание национального органа, уполномоченного в области персональных данных. Соответственно, этот орган или лицо должно обладать теми широкими полномочиями, которые диктуются Директивой и мировой практикой, и корреспондирующимися с этими полномочиями обязанностями. Нет необходимости подробно перечислять эти обязанности и полномочия, однако следует отметить, что в рамках структуры власти, определенных российской Конституцией, эти полномочия и обязанности не могут быть возложены на исполнительную власть.
Специалисты, знакомые с этой проблемой, согласны с тем, что единственным правовым выходом из этого положения является возложение обязанностей и полномочий на российского Уполномоченного по правам человека. Альтернативой этому может быть только создание новой структуры и новой должности, что практически невозможно. Если такое политическое решение будет принято, оно, в свою очередь, потребует внесения изменений в конституционный закон о российском Уполномоченном. При наличии соответствующей политической воли эта проблема может быть решена.
В заключение следует сказать, что объективно большие трудности, связанные с созданием чрезвычайно важного правового акта, которым является базовый закон о персональных данных, могут быть преодолены только с учетом опыта создания национального зарубежного законодательства, в первую очередь, европейских стран, Канады, Австралии, Новой Зеландии, Соединенных Штатов. В правовой практике этих стран можно найти примеры решения конкретных задач в рамках, очерченных международными документами.
.
Защита информации. INSIDE № 4’2005
