Читаем Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет полностью

Общее регулирование порядка анализа результатов обработки данных в Великобритании отсутствует. Однако в настоящее время активно обсуждается вопрос о возможности анализа результатов обработки данных, полученных интернет-провайдерами при выполнении их обязательств в рамках Директивы по хранению данных (Data Retention Directive[55]), которая были принята в период после террористических актов в Мадриде в 2004 г. и в Лондоне в 2005 г., в целях согласования усилий ЕС в расследовании и уголовном преследовании самых серьезных преступлений, таких как организованная преступность и терроризм.

Директива по хранению данных требует от операторов сохранять определенные категории данных о трафике и местоположении физических лиц (за исключением содержания этих сообщений) в период от шести месяцев до двух лет и делать их доступными в случае запроса в правоохранительные органы для целей расследования, выявления и преследования серьезных преступлений и терроризма.

Сохраненные данные являются ценной информацией и доказательствами, на основании которых вынесены обвинительные приговоры за уголовные преступления, а также оправдательные приговоры, которые никогда бы не были сделаны, если бы не обязанность сохранять эти данные.

Несмотря на это, в настоящее время в Великобритании обсуждается вопрос о том, что провайдеров могут признать нарушителями законодательства о персональных данных, если они по-прежнему будут сохранять информацию, полученную в результате обработки данных пользователей в соответствии с Директивой по хранению данных. В частности, «Акт о защите данных» позволяет ограниченное хранение и обработку персональных данных. Если следовать «Акту о защите данных», то интернет-провайдеры могут хранить персональные данные только в случаях, определенных данным законом или соглашением с пользователем.

В России требование о сохранении персональных данных, кроме Федерального закона «О персональных данных», регулируется следующими нормативными правовыми актами: Федеральным законом «Об информации, информационных технологиях и о защите информации» (ст. 10.1 «Обязанности организатора распространения информации в сети Интернет»); постановлением Правительства РФ от 31 июля 2014 г. № 758 «О внесении изменений в некоторые акты Правительства Российской Федерации в связи с принятием Федерального закона “О внесении изменений в Федеральный закон “Об информации, информационных технологиях и о защите информации” и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей»[56], в том числе законодательством о проведении оперативно-розыскных мероприятий.

8 апреля 2014 г. Суд Европейского союза признал Директиву по хранению данных недействительной.

Суд посчитал, что Директива по хранению данных не удовлетворяет принципу соразмерности и должна определять большие гарантии для защиты фундаментальных прав на уважение частной жизни и защиты персональных данных.

В связи с указанными причинами в Великобритании высказывается мнение о том, что провайдеры обязаны прекратить сохранять данные и должны уничтожать все данные, сохраненные в силу ныне недействительных нормативных актов. Если компании будут продолжать сохранять данные, то существует риск, что их собственные клиенты могут подать претензии за нарушение «Акта о защите данных»[57].

«Акт о защите данных» 1998 г. предусматривает создание правового института комиссаров персональных данных.

Функции комиссара можно кратко представить следующим образом. Если у комиссара есть основания предполагать, что действия контролера данных противоречат или нарушают какие-либо принципы защиты данных, то комиссар может обратиться с уведомлением к контролеру (это называют принудительным уведомлением) с требованием о соблюдении принципа или принципов защиты данных и сделать одно или оба предписания, в которых:

а) определить временной период, в который должны быть устранены нарушения;

б) указать на необходимость прекращения обработки персональных данных или каких-либо иных данных, указанных в уведомлении.

При принятии решения о направлении уведомления комиссар исследует, причинило ли нарушение ущерб или страдания человеку.

В случае нарушения принципа защиты данных, требующего от контролера данных исправления, блокирования, удаления или уничтожения любых неточных данных, комиссар может потребовать от контролера данных исправить, блокировать, удалить или уничтожить такую информацию о субъекте персональных данных или о третьей стороне.

В случае если данные точно записаны и переданы контролером данных от субъекта данных или от третьей стороны, комиссар может потребовать от контролера данных:

а) исправить, блокировать, удалить или уничтожить все неточные данные и любые другие данные, хранящиеся у контролера, или