Читать книгу Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет - Коллектив авторов - Страница 11
1. Новые подходы к регулированию персональных данных в Европе, США и в иных зарубежных странах
1.1. Европейский союз
1.1.9. Уполномоченный орган по защите субъектов персональных данных и его функции
ОглавлениеСтатья 28 действующей Директивы 95/46/ЕС устанавливает, что каждое государство – член ЕС предусматривает, что один или несколько государственных органов ответственны за контроль применения на их территории норм, регулирующих порядок обработки персональных данных. Эти органы имеют полную независимость при осуществлении возложенных на них функций.
В каждой стране, входящей в состав Европейского союза, должно быть не менее одного независимого надзорного органа по защите данных. Предполагается, что эти органы будут сотрудничать между собой и с Европейской комиссией в целях реализации Регламента. Данные органы обеспечиваются соответствующими государствами кадровыми, техническими и финансовыми ресурсами, помещениями и инфраструктурой, необходимой для эффективного выполнения своих обязанностей, за счет государственного бюджета, однако такое обеспечение не должно влиять на самостоятельность принимаемых решений и независимость надзорного органа по защите.
В соответствии с и. 6 ст. 28 Директивы 95/46/ЕС независимо от национального права, применимого к соответствующей обработке, каждый надзорный орган должен иметь возможность осуществлять на территории своего государства – члена ЕС полномочия, предоставленные ему в соответствии с Директивой 95/46/ЕС. При этом каждому такому органу может быть предложено осуществлять свои полномочия органом другого государства – члена ЕС.
Независимые надзорные органы по защите данных в соответствии с проектом Регламента получают больше полномочий, чтобы иметь возможность лучше контролировать соблюдение правил Европейского союза внутри собственной страны.
Кроме контроля реализации проекта Регламента, к их задачам отнесены:
1) повышение осведомленности общественности о рисках, правилах, гарантиях и правах в отношении обработки персональных данных, при этом особое внимание должно уделяться обработке персональных данных детей;
2) разработка рекомендаций для национальных парламентов, правительств и других учреждений, органов по совершенствованию законодательных и административных мер, связанных с защитой прав граждан и их свобод в отношении обработки персональных данных;
3) работа с запросами субъектов персональных данных и при необходимости сотрудничество с надзорными органами других государств – членов Европейского союза в целях подготовки ответов на запросы;
4) расследования, инициированные жалобами субъектов персональных данных, органов власти, организаций, информирование заявителей о ходе такого расследования, а также самостоятельные расследования по вопросам защиты персональных данных;
5) сотрудничество, в том числе обмен информацией, и оказание взаимной помощи другим надзорным органам с целью обеспечения согласованности и применения Регламента;
6) мониторинг развития информационно-коммуникационных технологий, коммерческой практики и иных событий, оказывающих влияние на защиту персональных данных;
7) определение и утверждение требований к защите персональных данных;
8) содействие созданию механизмов сертификации защиты данных, пломб защиты данных и специальных знаков;
9) проведение регулярного мониторинга подтверждения проведенных сертификаций и др.
Одновременно каждое государство – член Европейского союза должно обеспечить ряд следственных полномочий собственного надзорного органа, необходимых для защиты персональных данных, полномочий по выдаче предписаний по устранению правонарушений, консультативных полномочий. Данные органы будут наделены правом наложения штрафов на компании, нарушающие законодательство Европейского союза по защите персональных данных. При принятии решения о размере административного штрафа в каждом конкретном случае необходимо учитывать сущность, тяжесть и продолжительность нарушения, умышленный или неосторожный характер правонарушения, число субъектов персональных данных, пострадавших от правонарушения, меры, принимаемые оператором или обработчиком персональных данных для уменьшения ущерба субъектов персональных данных, все предыдущие нарушения оператора персональных данных, любые другие отягчающие или смягчающие вину правонарушителя факторы.
Надзорные органы взаимодействуют друг с другом в режиме, необходимом для исполнения своих обязанностей, в частности, обмениваясь всей полезной информацией.
Кроме того, в ЕС можно выделить совещательный тип взаимодействия надзорных органов. Так, на основании ст. 29 Директивы 95/46/ЕС функционирует достаточно влиятельная Рабочая группа по защите физических лиц при обработке персональных данных. Рабочая группа состоит из представителя надзорного органа или органов, назначенного от каждого из государств – членов ЕС, и представителя органа или органов, созданных в интересах институций и органов ЕС, а также представителя Европейской комиссии.
Европейский инспектор по защите данных (European Data Protection Supervisor) также является лицом, уполномоченным на защиту персональных данных в Европейском союзе[8] (далее – инспектор). Деятельность инспектора регламентирована разделом 8 Регламента от 18 декабря 2000 г. № 45/2001 «О защите физических лиц при обработке персональных данных, осуществляемой учреждениями и органами сообщества, и о свободном обращении таких данных».
Акты, принимаемые инспектором, в сущности, относятся к категории так называемого гибкого права (soft law), которые, хотя и не обладают характеристиками нормативно-правовых актов, в достаточной степени оказывают влияние на формирующиеся правоотношения. Инспектором могут быть использованы следующие инструменты: официальные отчеты, выражающие позицию инспектора по определенному вопросу; мнения; результаты проведенных исследований, например, позиционный документ о передаче персональных данных в третьи страны (The Transfer of Personal Data to Third Countries and International Organisations by EU Institutions and Bodies) от 14 июля 2014 г.)[9], или, например, Мнение-рекомендации инспектора (EDPS Recommendations on the Directive for Data Protection in the Police and Justice Sectors[10]) от 28 октября 2015 г. На официальном сайте инспектора по защите данных ЕС представлены все материалы по множеству актуальных вопросов.
Необходимо также отметить деятельность Европейского агентства по сетевой и информационной безопасности – ENISA (European Network and Information Security Agency) (агентство ЕС, созданное c целью повышения эффективности функционирования внутреннего рынка, оно выступает в роли консультанта и центра передовых технологий в сфере сетевой и информационной безопасности для стран – членов ЕС и институтов ЕС и содействует развитию связей между странами – членами ЕС, институтами ЕС, хозяйствующими субъектами и частным бизнесом).
При возникновении споров надзорных органов окончательное мнение по существу спорных вопросов будет формировать Европейский совет по защите данных. Данный Совет учреждается во исполнение проекта Регламента. Планируется, что его состав будет представлен руководителями национальных надзорных органов по защите персональных данных и инспектором Совета.
8
Официальный сайт Европейского инспектора по защите данных (European Data Protection Supervisor). URL: https://secure.edps.europa.eu/EDPSWEB/edps/ EDPS/cache/offonce?lang=en.
9
The transfer of personal data to third countries and international organisations by EU institutions and bodies, 14 July 2014. URL: https://secure.edps.europa.eu/ EDPSWEB/edps/site/mySite/Papers
10
EDPS recommendations on the Directive for data protection in the police and justice sectors. URL: https://secure.edps.europa.eu/EDPSWEB/edps/site/mySite/
Opinions C