Читать книгу Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет - Коллектив авторов - Страница 16

Понятие субъекта персональных данных в Конвенции СЕ № 108 не раскрывается, однако по смыслу, в котором это понятие употребляется (идентификация субъекта данных, право быть осведомленным о существовании автоматизированной базы персональных данных, «право быть забытым» и др.), можно сделать вывод, что это – лицо, которое идентифицируется с помощью персональных данных и которому принадлежат персональные данные. Такой же подход применен и в российском законодательстве.

Среди дополнительных гарантий субъектов персональных данных в Конвенции СЕ № 108 выделяются следующие:

1) право быть осведомленным о существовании автоматизированной базы персональных данных, о ее главных целях, а также о контролере базы данных;

2) обращаться с запросом о том, накапливаются ли в автоматизированной базе данных касающиеся его персональные данные, и получать информацию о таких данных в доступной форме;

3) требовать уточнения или уничтожения таких данных, если они были обработаны с нарушением положений национального права, реализующих основные принципы ст. 5 и 6 Конвенции СЕ № 108;

4) прибегать к судебной защите персональных данных.

Кроме того, ст. 14 Конвенции предусматривает механизмы реализации прав для субъектов персональных данных, находящихся за рубежом.

Учитывая, что участие страны в Конвенции СЕ № 108 предполагает имплементацию ее ключевых положений в национальное законодательство, ст. 11 Конвенции СЕ № 108 оставляет возможность странам-участницам принимать нормы, обеспечивающие более широкую защиту, нежели предусмотренная Конвенцией.

В соответствии с предложениями CAHDATA в отношении прав субъектов персональных данных каждый человек должен иметь право:

а) не подвергаться решению, которое значительно затрагивает интересы субъекта персональных данных, основано исключительно на автоматизированной обработке данных, не учитывая встречное удовлетворение;

б) получить по запросу в разумный срок и без чрезмерных задержек и расходов подтверждение обработки персональных данных, касающихся субъекта, в доступной форме; в ответе должна содержаться вся доступная информация о происхождении, периоде сохранения, а также любая другая информация о персональных данных в соответствии с обязанностями оператора обеспечить прозрачность персональных данных;

в) получать информацию об обработке персональных данных, когда результат такой обработки позволяет идентифицировать субъекта персональных данных.

Конвенция предоставляет значительную свободу странам-участницам при организации обработки персональных данных. Конвенция предусматривает, что в разных национальных правовых системах должны содержаться точные критерии, позволяющие определить оператора данных. Конвенция оперирует термином «контролер данных», под которым понимается физическое или юридическое лицо, орган государственной власти, учреждение или любой другой орган, компетентный в соответствии с внутренним законодательством решать, какова должна быть цель автоматизированной обработки данных, какие категории персональных данных подлежат хранению или какие операции должны производиться с ними. Контролер данных упоминается также в Дополнительном протоколе к Конвенции СЕ № 108 от 8 октября 2001 г.[42].

В соответствии с положениями ст. 8а необходимо, чтобы всегда было возможно установить лицо, являющееся контролером данных.

CAHDATA под контролером данных понимает физическое или юридическое лицо, государственный орган, службу, агентство или любой другой орган, который – один или совместно с другими – имеет власть принятия решения относительно обработки данных.

Согласно п. «с» ст. 2 Конвенции СЕ № 108 под автоматизированной обработкой понимаются следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение. Однако понятие обработчика в Конвенции не приводится, что объясняется ее наднациональным характером и предполагает закрепление при необходимости этого понятия и компетенции обработчиков персональных данных в национальном законодательстве стран – участниц Конвенции. Статьей 5 Конвенции предусмотрена обязанность осуществлять обработку персональных данных на законных основаниях.

Предлагаемый модернизированный вариант Конвенции № 108 под обработкой персональных данных понимает операцию или набор операций, которые выполняются с персональными данными: сбор, хранение, изменение, поиск, раскрытие, стирание или уничтожение данных, логические и/или арифметические операции.