На главную страницу
На главную страницу Карта сайта Поиск по сайту Обратная связь
На страницы учебного центра
Организационно-правовые вопросы
Экономическая безопасность
Безопасность КИС
Защита речевой информации
Техническая защита объектов
Сертификация и лицензирование
Кадровая безопасность
Преступления в сфере высоких технологий
Нормативные документы
Полезные ресурсы

 

Международный взгляд на защиту персональных данных

 

 

Максим Якубов
Компания Deiteriy

Itsec.Ru

В век информационных технологий тема защиты персональных данных становится все актуальнее. IV международная конференция, состоявшаяся 7 ноября 2013 г. и посвященная защите персональных данных, еще раз показала, что проблемы защиты и обработки персональных данных носят не локальный, а глобальный характер.

Европейский опыт

К 2014 г. в законодательство Европы в области защиты ПДн должны быть внесены изменения, и уже в новом виде оно будет на стадии рассмотрения и доработки. Изменениям должны подвергнуться следующие документы: директива на обработку персональных данных полицией и судебными органами; положение о защите персональных данных, которое предназначено для применения в частном и государственном секторах, кроме полиции и органов юстиции. К 2016 г. можно ожидать принятия этого обновленного законодательства в области защиты персональных данных.

Нововведением в области защиты ПДн для граждан Евросоюза может стать так называемое право быть забытым. Суть его заключается в том, чтобы предоставить гражданам европейских стран возможность удалить все свои ПДн из сети Интернет. Не просто из социальных сетей, а именно из глобальной сети Интернет. В нынешних условиях эту задачу практически нереально решить технически, но над этим уже работают.

Есть и те, кто видит в этом праве угрозу со стороны цензуры, но, если взглянуть на право быть забытым с позиции закона, то это еще один шаг в сторону развития прав субъектов персональных данных, и не более.

Защита частной жизни в США

В Соединенных Штатах Америки вопросам защиты частной жизни также уделяют должное внимание. США, как и другие высокоразвитые страны, стараются защитить частную жизнь своих граждан. США уважают права на частную жизнь граждан других стран и поэтому стремятся к усилению сотрудничества в области защиты прав граждан с этими странами. Маркус Хейдер, советник по международным вопросам защиты потребителей Федеральной торговой комиссии в США, рассказал о концепции US-EU Safe Harbor, которая стала "мостом" для трансграничной передачи личной информации из США.

В Великобритании законодательство в области защиты ПДн не стоит на месте. Дэвид Смит, заместитель комиссара по защите ПДн, рассказал о перспективах модернизации европейского законодательства в области защиты ПДн. Соединенное Королевство является членом Совета Европы, подписавшим и ратифицировавшим Конвенцию о защите частных лиц в отношении автоматической обработки персональных данных вместе с Европейской конвенцией о защите прав и основных свобод человека. Кроме того, Великобритания входит в Организацию по экономическому сотрудничеству и развитию. Она приняла директиву ОЭСР о защите неприкосновенности частной жизни и международного обмена персональными данными.

Директива Европейской комиссии по защите данных вступила в силу в октябре 1998 г., она запрещает передачу персональных данных в страны, не входящие в Европейский союз и не обеспечивающие адекватную защиту прав субъектов персональных данных. Однако в директиве ЕС предусмотрено исключение, то есть трансграничную передачу данных допустимо осуществлять в страны, не обеспечивающие адекватный уровень защиты прав субъектов персональных данных, если соблюдается хотя бы одно из следующих условий:

  • субъект данных дал свое согласие на предполагаемую передачу;
  • передача является необходимой для исполнения контракта между субъектом данных и оператором данных или для реализации доконтрактных мер, принятых в ответ на запрос субъекта данных;
  • передача необходима для заключения или исполнения контракта, заключенного в интересах субъекта данных между оператором и третьей стороной;
  • передача необходима или требуется по закону по причинам, представляющим существенный общественный интерес, или для подачи, исполнения судебных исков или защиты по таковым;
  • передача необходима для защиты жизненных интересов субъекта данных;
  • передача производится из реестра, который в соответствии с законами или нормативными актами предназначен для предоставления информации общественности.

Несмотря на то что США и ЕС разделяют цели повышения конфиденциальности личной информации для защиты своих граждан, США используют другой подход к конфиденциальности, который отличается от того, который принят в Европе. Соединенные Штаты используют отраслевой подход, который опирается на сочетание законодательства, регулирования и саморегулирования.

Евросоюз опирается на комплексный закон. Он требует создания независимых правительственных агентств по защите личной информации. В соответствии с требованиями комплексного закона должна быть создана база данных, в которую будут регистрироваться операторы личной информации. Также в некоторых случаях перед обработкой личной информации может потребоваться предварительное согласование с субъектами личной информации.

В результате этих различий директива могла бы значительно снизить возможности американских организаций при трансатлантических сделках.

Концепция US-EU Safe Harbor

Для того чтобы преодолеть эти различия и удовлетворить требование директивы Европейской комиссии об адекватности защиты прав субъектов личной информации, Министерство торговли США, консультируясь с Европейской комиссией, разработало концепцию US-EU Safe Harbor. Следуя этой концепции, можно достичь адекватной защиты прав субъектов персональных данных.

К основным требованиям принципов конфиденциальности US-EU Safe Harbor относятся:

Уведомление. Организации должны известить субъектов личной информации о целях, для которых они собирают и будут использовать их личную информацию. Организации должны предоставить информацию о том, какими способами субъекты личной информации могут обратиться в организации с любыми вопросами или жалобами, а также каким видам третьих лиц может быть предоставлена личная информация субъектов. Кроме того, организации обязаны определить ограничения использования и условия предоставления информации о субъектах личной информации.

Концепция US-EU Safe Harbor одобрена ЕС в 2000 г. Для организаций США она является основой, действия в рамках которой позволяют избежать сложностей в деловых отношениях с ЕС. Следование принципам US-EU Safe Harbor позволит организациям Евросоюза убедиться в том, что организации США обеспечивают адекватную защиту прав субъектов персональных данных.

Выбор. Организации должны предоставить субъектам личной информации возможность выбора: дать или не дать согласие на передачу их личной информации третьей стороне, а также на использование их личной информации в целях, несовместимых с целями, для которых она была первоначально собрана.

Дальнейшая передача. Перед предоставлением личной информации третьим лицам организации должны уведомить субъектов личной информации о том, что возникла необходимость передать их личную информацию третьей стороне. Уведомление должно содержать намерение организаций в явном виде предоставить личную информацию субъектов третьим лицам, если организации получают согласие субъектов личной информации на ее передачу третьим лицам, то они должны убедиться в том, что третье лицо соответствует требованиям концепции Safe Harbor или иным образом обеспечивает адекватную защиту личных данных.

Доступ. Субъектам личной информации должен быть предоставлен доступ к их информации, которую обрабатывают организации. Субъектам личной информации должны быть предоставлены возможности изменять, дополнять или уничтожать личную информацию о себе.

Конфиденциальность. Организации должны принимать разумные меры предосторожности для защиты личной информации субъектов от потери, злоупотребления, несанкционированного доступа, раскрытия, изменения и уничтожения.

Целостность данных. Личная информация должна соответствовать целям, для которых она будет использоваться. Организация должна предпринять все разумные шаги, чтобы гарантировать, что личная информация достоверна для использования по назначению, точна, полна и актуальна.

Правоприменение. Для обеспечения соответствия компаний принципам концепции Safe Harbor важно наличие легкодоступного, независимого механизма правовой защиты, чтобы жалобы и споры каждого физического лица могли быть исследованы и разрешены, а убытки – возмещены при условии, что применение закона или инициатив частного сектора это позволяет. Также важны реализованные процедуры для проверки того, что компании соблюдают обязательства по соответствию принципам Safe Harbor и обязательства по устранению проблем, вытекающих из несоответствия принципам.

Для Российской Федерации

Важно понимать, что US-EU Safe Harbor – это концепция, которая разработана США и странами Евросоюза. Российская Федерация в разработке этой концепции участия не принимала и не ратифицировала ее. РФ ратифицировала Конвенцию Совета Европы № 108, и США нет в списке стран, которые обеспечивают адекватную защиту прав субъектов персональных данных согласно этой конвенции. Документ, в котором Евросоюз признает, что принципами конфиденциальности концепции US-EU Safe Harbor можно обеспечить адекватную защиту прав субъектов личной информации, называется "Решение Комиссии в соответствии с директивой 95/46/ЕС Европейского парламента и совета об адекватности защиты, обеспечиваемой принципами конфиденциальности концепции US-EU Safe Harbor и связанными с ними часто задаваемыми вопросами Министерству торговли США".

Таким образом, для Российской Федерации защита персональных данных в США не является адекватной, несмотря на то что Евросоюз признал адекватность защитных мер, обеспечиваемых на основе принципов концепции US-EU Safe Harbor. Остается надеяться, что в ближайшем будущем США и Россия найдут общий язык в области защиты и обработки персональных

 

Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2014

 

| Начало | Новости | О проекте | О ЦПР | Правовая информация | Сотрудничество | Наши партнеры | Координаты |

Copyright © 2004-2016 ЧОУ ДПО «ЦПР». Все права защищены
info@cprspb.ru