Читаем Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет полностью

Сама Конвенция СЕ № 108 не содержит санкций за предоставление неправомерного доступа к персональным данным неограниченного круга лиц. Однако ст. 10 Конвенции установлено, что каждая сторона обязуется предусмотреть надлежащие санкции и средства правовой защиты на случай нарушения норм внутреннего законодательства, воплощающих основополагающие принципы защиты данных.

Конвенция предполагает закрепление норм, запрещающих несанкционированный доступ третьих лиц к персональным данным, в национальном законодательстве стран-участниц.

В российском законодательстве последствия предоставления доступа неограниченному кругу третьих лиц или ограниченному кругу являются одинаковыми.

Модернизированный вариант Конвенции № 108 предлагает установить на национальном уровне обязанность оператора незамедлительно уведомить контролирующий орган по защите персональных данных обо всех случаях нарушения безопасности персональных данных, если это может повлечь нарушение прав субъектов персональных данных.

Положениями Конвенции ответственность за непринятие мер по защите персональных данных не установлена, но предусмотрена возможность принятия таких мер на национальном уровне (ст. 10).

Рекомендация Комитета министров Совета Европы № R(87) 15 государствам-участникам об использовании персональных данных в деятельности полиции предусматривает возможность передачи персональных данных третьим лицам только в оговоренных случаях.

Другим публичным учреждениям (кроме органов полиции) передача персональных данных разрешается только в особых случаях, если существует четкое правовое обязательство или разрешение субъекта данных, или разрешение надзорного органа, или если эти данные необходимы получателю для выполнения его собственных законных обязанностей. Кроме того, передача информации другим публичным учреждениям разрешается, если:

а) передача информации, несомненно, осуществляется в интересах субъекта данных, или субъект данных согласился, или обстоятельства таковы, что позволяют очевидно предположить возможность такого согласия;

б) передача информации является необходимой для предотвращения серьезной и неизбежной опасности.

Передача данных частным лицам разрешается в особых случаях, только если существуют четкие правовые обязательства или разрешения субъекта данных, или разрешения надзорного органа.

Рекомендация CM/Rec(2010)13 Комитета министров странам-членам по вопросам защиты частных лиц в связи с автоматизированной обработкой персональных данных в контексте профилирования граждан (утверждена Комитетом министров 23 ноября 2010 г. на 1099-м заседании постоянных представителей министров) (далее – Рекомендация CM/Rec(2010)13)[43] предусматривает указания государствам – участникам Конвенции СЕ № 108 обеспечить надлежащее регулирование и защиту граждан при сборе и обработке метаданных, относящихся к информационным потокам, запросам пользователей Интернета, привычкам потребителей, их деятельности, к образу жизни и поведению пользователей телекоммуникационных устройств, в том числе данных о месте (местах) их нахождения, а также данных, получаемых, в частности, из социальных сетей, систем видеонаблюдения, биометрических систем и радиочастотной идентификации (РЧИД), устройств, входящих в состав «Интернета вещей».

Рекомендация CM/Rec(2010)13 вводит понятие «профилирование» как деятельность, в ходе которой большие данные, собранные автоматически, обрабатываются на основе соответствующих расчетов, сравнений и программ статистической корреляции с целью подготовки «профилей» граждан, которые могут быть использованы многочисленными и разнообразными способами, в том числе путем сопоставления данных, предоставленных несколькими лицами.

То есть под профилированием понимаются методы и приемы автоматизированной обработки данных, состоящие из применения профиля к какому-либо лицу с целью анализа или прогноза его личных предпочтений, поведения и позиций (Рекомендация СМ/ Rec(2010)13).

С учетом того что методы профилирования, выявляя взаимосвязи между конфиденциальными данными в смысле ст. 6 Конвенции СЕ № 108 и другими данными, могут привести к созданию новых «чувствительных данных», касающихся идентифицированного или неидентифицируемого лица, а также с учетом того что такое профилирование может подвергнуть людей весьма значительным рискам дискриминации и посягательствам на их личные права и достоинство, Рекомендация советует правительствам государств – членов Совета Европы принять и применять меры по охране персональных данных в контексте профилирования.