Читаем Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет полностью

Например, запрет обработки чувствительных данных распространяется и на «непрямые чувствительные данные», т. е. на данные, из которых можно вывести прямые. Так, например, письмо из религиозной организации раскрывает данные о религиозной принадлежности адресата (ст. 17 закона). В отношении чувствительных данных действует общий запрет на их обработку с разумными исключениями (например, религиозные организации могут проводить обработку данных в целях, связанных с их деятельностью).

Анализ метаданных в Нидерландах регулируется не Законом о персональных данных, а Законом о сохранении данных о нагрузке линий связи (Telecommunications Data Retention Act) 2009 г.[85], принятым в рамках имплементации Директивы 2006/24/ЕС о сохранении данных. Принятие же Директивы было вызвано терактами, случившимися в Мадриде в 2004 г. и в Лондоне в 2005 г.

Закон о сохранении данных налагает обязательство на операторов и интернет-провайдеров удерживать данные о пользователях от шести (через Интернет) до двенадцати месяцев (через телефонные сети) с даты коммуникации в целях расследования, выявления и пресечения тяжких преступлений (поправка к ст. 13.2а Закона о телекоммуникациях). В Законе о телекоммуникациях нет термина «метаданные», однако к регулируемым им видом данных закон относит применительно к телефонным сетям: телефонный номер, имена и адреса абонентов, дату и время связи, используемый сервис и идентификаторы при мобильных звонках (IMSI, IMEI, геолокатор); к Интернету: данные о пользователе, время, место и длительность коммуникации и IP-адрес (Приложение к ст. 13.2а).

Однако в марте 2015 г. Окружной суд Гааги лишил силы этот закон, последовав в этом решению Суда ЕС в отношении Директивы и обосновав свое решение тем, что закон нарушает право на неприкосновенность частной жизни и право на защиту личных данных в нарушение Хартии основных свобод ЕС. Закон, как указывает Гаагский суд, не ограничивался минимально необходимым в преследовании своих целей и располагал недостаточно разработанными механизмами защиты неприкосновенности частной жизни. Правительство, по мнению суда, не руководствовалось целями ограниченного и таргетированного отбора данных. Подобное решение приняли суды Германии и Австрии, в Швеции же правительство отстаивает необходимость закона о сохранении телекоммуникационных данных[86].

Таким образом, в европейском регулировании можно отметить стремление найти баланс между частным интересом (неприкосновенность частной жизни) и общим (охрана публичного порядка) в рамках принципа соразмерности.

Обработка данных требует согласия субъекта данных и уведомления специального органа. Одобрения Надзорного органа на дальнейшую обработку не требуется, достаточно только уведомления. Уведомление производится путем заполнения специальной формы на сайте Надзорного органа и ведет, таким образом, к регистрации конкретного случая. Закон распространяет свое действие и на неавтоматизированную обработку персональных данных при условии, что они содержатся в «файле», т. е. каким-либо образом структурированы.

Несоблюдение положения об уведомлении наказывается административным штрафом до 4500 евро. В ст. 75 закон также повышает ответственность нарушителей за умышленное нарушение его положений с административной до уголовной (незначительные и подсудные преступления).