Читаем Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет полностью

1) Директиву Европейского союза от 24 октября 1995 г. № 95/46/ ЕС о защите физических лиц при обработке персональных данных и о свободном перемещении таких данных (далее – Директива 95/46/ ЕС);

2) Регламент Европейского союза № 45/2001 о защите персональных данных при их обработке органами и учреждениями Европейского союза, который отразил основные положения Директивы 1995 г.;

3) Директиву ЕС от 8 июня 2000 г. № 2000/31/ЕС о некоторых правовых аспектах информационных услуг на внутреннем рынке, в частности, об электронной коммерции.

25 января 2012 г. Европейской комиссией был опубликован проект Регламента Европейского союза о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных (далее – проект Регламента)[1]. 15 июня 2015 г. после более чем трехлетнего периода Советом Европейского союза был согласован законопроект о защите персональных данных. Начало процесса трехсторонних переговоров между Еврокомиссией, Европарламентом и Советом, известного как «трилог» (trilogue), было положено в июне 2015 г. Как отметила Европейская комиссия в своем заявлении, «есть совместное желание достичь окончательного соглашения к концу 2015 г.»[2]. Новый порядок защиты персональных данных в Европейском союзе вступит в силу в 2017 г. и заменит устаревшие и нередко критично различающиеся нормативные правовые акты государств в этой области[3].

Проект Директивы Европейского парламента и Совета Европейского союза о защите физических лиц при обработке персональных данных компетентными органами в целях предотвращения, расследования, обнаружения или судебного преследования уголовных преступлений или исполнения уголовных наказаний и свободного движения таких данных (далее – проект Директивы), как и вышеупомянутый проект Регламента, является частью глобальной реформы защиты персональных данных граждан Евросоюза, который должен заменить Директиву Европейского союза от 24 октября 1995 г. № 95/46/ЕС о защите физических лиц при обработке персональных данных и о свободном перемещении таких данных.

Пункт (а) ст. 2 Директивы 95/46/ЕС о защите физических лиц при обработке персональных данных и о свободном перемещении таких данных определяет персональные данные как любую информацию, относящуюся к определенному или определяемому физическому лицу («субъекту данных»). При этом определяемым является лицо, которое может быть определено прямо или косвенно, в частности, через идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.

Приведенное определение схоже с определением персональных данных, установленным п. 1 ст. 3 российского Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ, Закон о персональных данных), если рассматривать его в совокупности с определением субъекта данных. Представляется, что дефиниция «персональные данные» должна анализироваться в данном случае именно так (совокупно), поскольку характеристики данных, которые способны идентифицировать лицо (идентификационный номер либо один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности), содержатся именно в определении субъекта данных.

Проект Регламента в п. 1 ст. 4 дополняет перечень идентификаторов, с помощью которых возможно определение личности конкретного физического лица. В частности, перечень ранее установленных идентификаторов дополнен именем субъекта персональных данных, сведениями о месте его нахождения и онлайн-идентификаторами (id).

Такого рода дополнения в российском законодательстве пока не предвидятся.

За счет последующего пояснения в п. 1 ст. 4 Директивы понятия «субъект данных», определяющего виды информации, при помощи которых лицо может быть установлено (идентификационный номер либо один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности), персональные данные возможно условно группировать. Но дефиницию, представленную в Директиве 95/46/ЕС о защите физических лиц при обработке персональных данных и свободном перемещении таких данных, нельзя признать конкретной, поскольку перечисление видов персональных данных (ФИО, пол, дата рождения и пр.) данным актом не закреплено.

В то же время, как отмечалось выше, проект Регламента называет конкретные виды персональных данных: имя субъекта персональных данных, сведения о месте его нахождения и онлайн-идентификатор (id). В случае принятия данной редакции ст. 4 проекта Регламента определение персональных данных в ЕС будет иметь смешанный характер.