Содержание к диссертации
Введение
Глава 1. Формирование правового регулирования защиты персональных данных в Европейском Союзе 28
1.1. Основные этапы развития правового регулирования защиты персональных данных в Европейском Союзе .28
1.2. Система источников правового регулирования защиты персональных данных в Европейском Союзе на современном этапе 58
Глава 2. Механизм правового регулирования защиты персональных данных в Европейском Союзе: субъекты, объект, принципы, ответственность 84
2.1. Субъекты и объект права на защиту персональных данных в Европейском Союзе 84
2.2. Правовые принципы защиты персональных данных в Европейском Союзе 90
2.3. Права и обязанности физических лиц - субъектов персональных данных в Европейском Союзе .113
2.4. Функции и полномочия уполномоченных органов по защите персональных данных в Европейском Союзе .132
2.5. Ответственность субъектов правового регулирования защиты персональных данных в Европейском Союзе 150
Глава 3. Перспективы развития правового регулирования защиты персональных данных в Европейском Союзе 165
3.1. Особенности имплементации правовых актов Европейского Союза в сфере защиты персональных данных государствами-членами (на примере Германии, Ирландии, Франции) 166
3.2. Направления развития правового регулирования защиты персональных данных в Европейском Союзе 193
3.3. Основные направления совершенствования правового регулирования защиты персональных данных в Российской Федерации в контексте правового опыта Европейского Союза 212
Заключение 241
Список сокращений .261
Список источников и научной литературы 262
- Основные этапы развития правового регулирования защиты персональных данных в Европейском Союзе
- Субъекты и объект права на защиту персональных данных в Европейском Союзе
- Ответственность субъектов правового регулирования защиты персональных данных в Европейском Союзе
- Основные направления совершенствования правового регулирования защиты персональных данных в Российской Федерации в контексте правового опыта Европейского Союза
Основные этапы развития правового регулирования защиты персональных данных в Европейском Союзе
Изучение развития правового регулирования любого социального явления позволяет не только в полной мере уяснить его роль и значимость на современном этапе развития общественных отношений, но и сделать обоснованные предположения относительно его прогнозируемого развития в будущем. Именно поэтому в целях всестороннего изучения места, значения и роли защиты персональных данных в праве ЕС необходимо начать с рассмотрения генезиса этого правового явления.
Правовое регулирование защиты персональных данных долгое время не входило в круг приоритетных целей Европейских сообществ. Это несмотря на то, что проблемы, связанные с обеспечением безопасности данных на европейском континенте берут свое начало еще в 60-70-х годах XX века. Однако Сообщества лишь формировались в то время, причем преимущественно как региональная организация экономического сотрудничества, поэтому о принятии каких-либо юридических мер, направленных на защиту персональных данных, речи не шло.
Можно согласиться с точкой зрения А.И. Абдуллина, который справедливо отмечает, что в первых учредительных документах Европейских сообществ упоминание о правах человека отсутствовало неслучайно: инициаторы объединения были сосредоточены в основном на экономике, намеренно избегая политизированных вопросов, в том числе правозащитной тематики, из-за опасений свести на нет интеграционные начинания1.
Дефицит позитивных норм о защите прав человека в правовой системе ЕС в течение нескольких десятилетий успешно компенсировался региональной правозащитной системой Совета Европы, функционирующей на основе Конвенции о защите прав человека и основных свобод 1950 г. В дальнейшем участие в Европейской Конвенции стало для государств одним из обязательных условий получения членства в ЕС. В правовой практике Союза сложилось разделение полномочий: вопросы защиты прав человека рассматривались Европейским Судом по правам человека в Страсбурге, в то время как Суд Европейских сообществ в Люксембурге (далее - Суд) сконцентрировался на обслуживании интересов интеграции.
Однако именно Суду принадлежит основная роль в формировании доктрины прямого действия, а также верховенства права ЕС в результате его правоприменительной практики. Так, первым постановлением Суда, непосредственно связанным с осуществлением человеком своих прав, было решение по делу «Van Gend en Loos» (1963 г.), в котором Суд признал принцип прямого действия права Сообществ, субъектами которого являются не только государства-члены, но и индивиды. Далее, в 1964 г., Суд также закрепил принцип верховенства права Сообществ в решении по делу «Costa/ENEL». Так же, как и в случае с другими фундаментальными правами человека в ЕС, в вопросе защиты персональной информации правотворческую инициативу взял на себя Суд Европейских сообществ.
Одно из первых судебных дел (дело «Stauder»), затрагивающих вопросы защиты персональных данных, было рассмотрено Судом в 1969 г.1 По итогам рассмотрения этого дела Суд признал право государств-членов Сообществ самостоятельно выбирать метод идентификации получателей социальной помощи. Данный судебный процесс интересен тем, что именно в этом деле Суд впервые коснулся правозащитной проблематики. В частности, суд сделал вывод о том, что «основные права человека относятся к общим принципам права Сообщества и подлежат защите в нем», таким образом, подчеркнув, что «именно право Сообщества обеспечивает защиту основных прав человека».
Тем не менее, правовое регулирование защиты персональных данных нормативными актами на уровне Европейских сообществ (после 1 ноября 1993 г. - Европейского Союза) не осуществлялось еще несколько десятилетий. В отсутствие правового регулирования на уровне Сообществ, отдельные государства-члены издали законодательные акты в данной сфере. Национальное законодательство европейских стран о защите персональных данных основывалось на положениях международных актов, участниками которых они являлись. Необходимо отметить, что юридические основы права на защиту личной тайны и персональных данных были заложены в середине XX века в двух основополагающих документах - Всеобщей декларации прав человека ООН 1948 г. (ст. 12) и Европейской Конвенции о защите прав человека и основных свобод 1950 г. (ст. 8). В 1966 г. защита неприкосновенности частной жизни вошла также в Международный пакт о гражданских и политических правах (ст. 17). Из заложенного в этих документах фундаментального права на неприкосновенность личной жизни следует право индивида на защиту персональных данных.
Первым специальным законодательным актом по защите персональных данных в Европе стал немецкий Закон Земли Гессен 1970 г. «О защите данных». Спустя некоторое время были приняты национальные законы, на государственном уровне устанавливающие правила по защите данных в целом ряде государств-членов Сообществ: Швеции (1972 г.), Германии (1977 г.), Франции (1978 г.), Австрии (1978 г.), Дании (1979 г.), Великобритании (1984 г.) и других, каждый из которых имел свои особенности.
Принятие национальных актов было обусловлено тем, что стала очевидна необходимость защиты личной информации и, в частности, персональных данных. Впервые о проблеме защиты информации в Европе эксперты заговорили в 1960-1970-х гг., оперируя понятием «информационная составляющая частной жизни» («informational privacy», «data privacy»)1.
Расширение сферы обработки данных, реализация государственных проектов интеграции баз данных и другие события породили у субъектов опасения относительно неограниченных возможностей для наблюдения за их деятельностью, слежки и прослушивания. К середине 1960-х годов, в связи с созданием централизованных правительственных банков данных, необходимость исключения возможностей несанкционированного доступа к личной информации стала очевидной не только специалистам коммерческих предприятий и государственных организаций, но и гражданам. Указанные проблемы потребовали надлежащего правового регулирования.
С интенсификацией передачи данных и их обработки в рамках интернационального сотрудничества, международной торговли и экономического взаимодействия актуальной стала проблема трансграничной передачи данных. ОЭСР, Совет Европы, ООН стали основными форумами для поиска ответов на новые вызовы2. Этими организациями были разработаны международные документы, устанавливающие основания и процедуры защиты данных, которые спустя некоторое время были восприняты Европейским Союзом для подготовки собственных соглашений.
Проблема усугублялась с интенсивным развитием компьютерных технологий и, как следствие, с появлением новых способов сбора, хранения и передачи данных. В 1980-е гг. случился настоящий технологический прорыв, причиной которого стало стремительное развитие распределенных компьютерных сетей и массовое внедрение в операции по обработке персональных компьютеров. Это обусловило распространение практик сбора и обработки сведений об индивидах коммерческими компаниями и правительственными органами. Отсутствие правового регулирования функционирования баз и банков данных и других пространственно распределенных информационных систем со сверхвысокой концентрацией персонифицированной информации представляло собой угрозу персональным данным. В ряде стран Европейских сообществ были установлены существенные ограничения, не допускающие применения процедур типа «data matching»1 даже в рамках одной базы данных, за исключением случаев, прямо предусмотренных законом2. Именно в это время проблема защиты персональных данных в Европе приобретает самостоятельность по отношению к обеспечению неприкосновенности частной жизни в целом. Страны Европы одними из первых осознали необходимость принятия полноценных и скоординированных мер для защиты личной информации.
В начале 1981 г. Совет Европы опубликовал Конвенцию о защите частных лиц в отношении автоматизированной обработки данных личного характера3 (108-я Конвенция) - первый и до сих пор единственный обязательный для исполнения его участниками международный договор о неприкосновенности личной информации. Она открыта для подписания государствами, как являющимися, так и не являющимися членами Совета Европы, и даже международными организациями.
Субъекты и объект права на защиту персональных данных в Европейском Союзе
Общая теория права под субъектом права понимает лицо, которое на основании юридических норм может быть участником правоотношений, то есть носителем субъективных прав и обязанностей. Соответственно, субъектами права Европейского Союза будут являться носители прав и обязанностей, установленных нормами данной правовой системы. Отличительной особенностью права ЕС является способность его норм иметь прямое действие, то есть устанавливать субъективные права и обязанности непосредственно для физических и юридических лиц.
С.Ю. Кашкин дает классификацию, согласно которой в качестве основных субъектов данной правовой системы выступают: физические лица (в числе которых граждане Союза, граждане иностранных государств и лица без гражданства), юридические лица (в том числе иностранные, осуществляющие свою деятельность в пределах Союза), государства-члены ЕС и их компетентные органы, Европейский Союз в целом и его структурные подразделения, и другие (в частности, третьи страны)1.
Применительно к праву защиты персональных данных в Европейском Союзе субъектами будут являться физические лица, предоставляющие свои персональные данные для обработки (за исключением чисто личной или домашней деятельности, а также в ходе деятельности, которая выходит за рамки права ЕС); физические или юридические лица, производящие обработку таких данных; институты, органы, агентства и другие учреждения Союза (к ним применяется Регламент (ЕС) 2018/1725 и некоторые другие правовые акты Союза); уполномоченные независимые органы, осуществляющие регулирование защиты персональных данных в Европейском Союзе и государствах-членах; государства-члены ЕС (за исключением осуществления ими деятельности, подпадающей под сферу действия Главы 2 Раздела V ДЕС) и их органы (правила, касающиеся обработки персональных данных правоохранительными и судебными органами государств-членов, устанавливает Директива (ЕС) 2016/680).
Под объектом (предметом) правового регулирования обычно понимаются общественные отношения в определенной сфере, на урегулирование которых направлены конкретные правовые акты и содержащиеся в них нормы. При этом в сферу правового регулирования должны входить те отношения, которые имеют следующие признаки. Во-первых, это отношения, в которых находят отражение, как индивидуальные интересы членов общества, так интересы общесоциальные. Во-вторых, в этих отношениях реализуются взаимные интересы их участников, каждый из которых идет на некоторое ущемление своих интересов ради удовлетворения потребностей другого. В-третьих, такие отношения строятся на основе согласия выполнять определенные правила, признания обязательности этих правил. В-четвертых, эти отношения требуют соблюдения правил, обязательность которых подкреплена достаточно действенной силой.
Объектом признаются только те общественные отношения, которые по своей природе могут поддаваться нормативно-организационному воздействию и в конкретно-исторических условиях требуют правового регламентирования. От характера и содержания общественных отношений, составляющих предмет правового регулирования, зависят особенности, характер, способы и средства правового регулирования.
Соответственно, объектом правового регулирования защиты персональных данных в Европейском Союзе будут являться общественные отношения, возникающие между индивидами (субъектами персональных данных, независимо от наличия или отсутствия у них гражданства государств-членов ЕС и гражданства вообще) и иными субъектами (в т.ч. физическими и юридическими лицами - контролерами данных, органами государств-членов ЕС, институтами, органами, учреждениями Союза и т.д.) по поводу сбора, обработки и иного использования персональных данных.
Право, таким образом, регулирует общественные отношения, в результате чего они приобретают правовую форму, т.е. становятся правовыми отношениями. Под правоотношением принято понимать возникающую на основе норм права общественную связь, участники которой имеют субъективные права и юридические обязанности, обеспеченные государствами-членами Европейского Союза или самим Союзом. В структуру любого правоотношения в качестве элементов, помимо субъектов, входят объект и содержание правоотношения, которое представляет собой субъективные юридические права и обязанности1.
С.С. Алексеев определяет объект правоотношения как то реальное благо, на использование или охрану которого направлены субъективные права и юридические обязанности2. По нашему мнению, данное определение дает точную и исчерпывающую характеристику этому правовому явлению. Отметим, что объект права теснейшим образом связан с интересом управомоченной стороны (субъекта) и является благом, находящимся в его распоряжении и охраняемым, как государствами-членами ЕС, так и самим Европейским Союзом.
Таким образом, объектом правоотношений, возникающих в связи со сбором, обработкой и иным использованием личной информации будут являться персональные данные, которые по смыслу Регламента (ЕС) 2016/679 означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу (субъекту персональных данных). Такая информация может представлять собой ссылку на некоторый идентификатор, такой, как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или определенный фактор (один или несколько), уникальный с точки зрения физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого лица.
Директива 1995 г. определяла, что личность идентифицируемого лица могла быть установлена прямо или косвенно, в частности, посредством ссылки на его идентификационный номер или на один или несколько факторов, специфичных для его физической, психологической, ментальной, экономической, культурной или социальной идентичности. Таким образом, в нормах Регламента существенно расширена трактовка данного явления, поскольку к идентифицирующей информации теперь отнесены не только «реальные» данные (физического, психологического, экономического характера и т.д.), но и данные, относящиеся к виртуальной, онлайн-среде (например, никнейм, ссылка на страницу в социальной сети, адрес электронной почты и т.д.), а также геоданные индивида. Данный шаг является следствием попадания личных данных в информационную виртуальную среду и сделан с целью распространения правового регулирования на информацию, содержащуюся в сети Интернет, что следует признать логичным и обоснованным.
Необходимо отметить, что персональными данными будет являться любой идентификатор, как общедоступный, так и конфиденциального характера. Однако очевидно, что такая личная информация должна быть известна более чем одному физическому лицу (субъекту персональных данных), ведь если сведения, содержащие персональные данные известны только одному лицу, а, значит, хранятся в тайне, то отсутствует какой бы то ни было смысл в правовом регулировании. Персональная информация становится объектом правоотношения в тот момент, когда она передается самим физическим лицом контролеру с целью ее последующей обработки.
Важным моментом является то, что с помощью этой информации возможно идентифицировать лицо (причем прямо или косвенно), к которому данная информация относится. Такая информация должна быть правдивой (иначе речь идет об искаженной информации, которая, хотя и может в некоторой степени идентифицировать лицо, уже не может быть отнесена к персональной) и должна обозначать определенную характеристику данного лица, его идентичность, в конкретный момент времени. Из определения, содержащегося в Регламенте, можно сделать вывод, что с помощью такой личной информации лицо уже было идентифицировано, идентифицируется в данный момент либо будет идентифицировано в будущем с большой долей вероятности (при этом нужно иметь в виду, что к моменту предполагаемой идентификации персональные данные лица уже могут измениться).
В правовых актах ЕС, принятых до 2016 года (в частности, в Директиве 95/46/ЕС и других), отсутствует регламентация того, в каких случаях информация о физическом лице, которая была аномимизирована, зашифрована или иным образом обезличена, будет являться персональной.
Анализ положений Регламента позволяет установить, по каким критериям данные, которые можно определить как анонимные, могут быть отнесены к персональным данным. Так, персональные данные, подвергшиеся псевдонимизации1, но которые могут быть приписаны определенному физическому лицу с использованием дополнительной информации, следует рассматривать как персональную информацию об идентифицируемом физическом лице. Чтобы считать физическое лицо идентифицируемым, следует учитывать все разумные средства, такие как выборка данных контролером либо любым другим лицом, которые с определенной долей вероятности могут быть использованы для того чтобы прямо или косвенно установить личность физического лица.
Ответственность субъектов правового регулирования защиты персональных данных в Европейском Союзе
Правовое регулирование защиты персональных данных не может не предусматривать специальных мер юридической ответственности за нарушения норм правовых актов ЕС. В теории права выделяют несколько признаков юридической ответственности. Например, С.С. Алексеев определяет юридическую ответственность как применение к правонарушителю предусмотренных санкцией юридической нормы мер государственного принуждения, выражающихся в форме лишений личного, организационного либо имущественного характера1. Когда речь идет о юридической ответственности в рамках ЕС, необходимо исходить из характерных особенностей, присущих этой наднациональной организации1.
Юридическая ответственность за нарушение правовых актов ЕС о защите физических лиц в отношении обработки персональных данных - это применение к правонарушителю компетентными органами предусмотренных санкцией правовой нормы мер принуждения, влекущих определенные неблагоприятные последствия за совершенное правонарушение в сфере правового регулирования защиты персональных данных.
Нормы, предусматривающие применение мер ответственности, были изначально закреплены на уровне ЕС в таких документах, как Директива 95/46/ЕС (обязала государства-члены предусмотреть меры ответственности для контролеров, процессоров, а также надзорных органов по защите данных), Регламент (ЕС) № 45/2001 (содержал нормы об ответственности контролеров, являющихся учреждениями и органами Союза, а также Европейского Уполномоченного по защите данных), Директива 2002/58/ЕС (включила обязательства о закреплении мер ответственности для контролеров и процессоров в отношении обработки личных данных и защиты конфиденциальности в секторе электронных средств связи) и др.
Юридическая ответственность в настоящее время осуществляется на основании действующих правовых актов ЕС, каждый из которых предусматривает санкции применительно к правонарушителям в определенной сфере. Регламент (ЕС) 2016/679 содержит нормы, касающиеся ответственности контролеров, процессоров, надзорных органов и других субъектов, Директива (ЕС) 2016/680 - нормы об ответственности компетентных правоохранительных органов государств-членов, обрабатывающих личные данные в целях осуществления уголовного правосудия, в свою очередь Регламент (ЕС) 2018/1725 - нормы, касающиеся ответственности институтов, органов и учреждений Союза, а также Европейского Уполномоченного по защите данных. Кроме того, применение мер ответственности (в частности, дисциплинарных) регулируется и другими специальными актами институтов, органов и учреждений ЕС.
После проведения реформы правового регулирования защиты персональных данных в Европейском Союзе в отечественной науке не проводилось научного исследования, посвященного вопросам, связанным с ответственностью надзорных органов по защите данных государств-членов ЕС, а также уполномоченных органов по защите прав и свобод физических лиц в отношении обработки личных данных на уровне Союза. Исходя из вышеизложенного, необходимо рассмотреть ответственность каждого из субъектов, связанных с обработкой персональных данных в Союзе, и выделить конкретные меры, которые могут быть применены за нарушения правил, установленных правовыми актами ЕС.
Как следует из учредительных Договоров ЕС (ст. 263 ДФЕС1 и др.), каждый институт, орган и учреждение ЕС может быть привлечен к ответственности Судом ЕС по различным основаниям. Так, Суд рассматривает иски об аннулировании, посредством которых могут быть оспорены и отменены любые правовые акты Союза, а равно иные акты институтов, органов, учреждений Союза, порождающие правовые последствия (кроме рекомендаций и заключений, как правовых актов, не имеющих обязательной силы); иски из бездействия к институтам, органам и учреждениям ЕС; иски о внедоговорной ответственности ЕС и т.д.2 Данные положения в полной мере распространяются на Европейский Совет по защите данных и Европейского Уполномоченного по защите данных, как специализированные органы Союза.
Согласно принципу коллегиальности и инклюзивности - одному из основных принципов работы Европейского Совета по защите данных согласно его Процедурным правилам1, принятым в соответствие с положениями Регламента и Директивы, - Совет образован и действует исключительно как коллегиальный орган.
Таким образом, как и другие институты, органы и учреждения Союза, Совет несет коллегиальную юридическую ответственность перед Судом ЕС в форме отмены его актов, а также возложения на Совет обязанности совершить определенные действия, если такая обязанность вытекает из положений Регламента (ЕС) 2016/679 и других правовых актов ЕС.
Регламент устанавливает подотчетность Европейского Совета по защите данных перед Европейским парламентом, Советом ЕС и Европейской комиссией. Подотчетность выражается в обязательном предоставлении Советом ежегодных отчетов о защите физических лиц в отношении обработки персональных данных в Союзе и, в соответствующих случаях, в третьих странах и международных организациях. Кроме того, в соответствии с Регламентом (ЕС) 2018/1725 Совет должен представлять отчет о согласованных контрольных мероприятиях Европейского Уполномоченного по защите данных и национальных надзорных органов в Европейский парламент, Совет ЕС и Комиссию каждые два года.
Основные положения об ответственности Европейского Уполномоченного по защите данных содержатся в Регламенте (ЕС) 2018/1725. Он несет ответственность за обеспечение уважения всеми институтами и органами Союза основных прав и свобод физических лиц при обработке личных данных и, в частности, их права на защиту данных. Таким образом, Уполномоченный ответственен за мониторинг и обеспечение применения положений Регламента (ЕС) 2018/1725 и любого другого акта Союза, касающегося защиты основных прав и свобод физических лиц в отношении обработки персональных данных любым учреждением или органом Союза.
Лицо, назначенное на должность Уполномоченного, несет персональную дисциплинарную ответственность за выполнение возложенных на него обязанностей. Лицо может быть уволено или лишено своего права на пенсию или другие пособия, если больше не соответствует требованиям, необходимым для выполнения своих обязанностей, или если он виновен в серьезном проступке, но только по решению Суда ЕС на основании требования Европейского парламента, Совета ЕС или Европейской комиссии. Аналогичные положения применяются и к его заместителю, который, как и Уполномоченный, назначается Европейским парламентом и Советом ЕС по общему согласию. Таким образом, как Уполномоченный, так и его заместитель могут, независимо друг от друга, быть привлечены к дисциплинарной ответственности Судом ЕС.
Кроме того, как и любой другой институт, орган или учреждение ЕС, Уполномоченный несет юридическую ответственность перед Судом ЕС в форме отмены его актов. Суд ЕС также может возложить на Уполномоченного обязанность совершить определенные действия (в частности, обязать выплатить лицу компенсацию), если такая обязанность вытекает из положений нормативных актов ЕС. Как следует из положений Регламента (ЕС) 2018/1725, иски против решений Уполномоченного должны быть инициированы исключительно в Суде ЕС.
Основные направления совершенствования правового регулирования защиты персональных данных в Российской Федерации в контексте правового опыта Европейского Союза
Европейский Союз на протяжении десятилетий выступает стратегическим партнером Российской Федерации и, в первую очередь, развитие взаимоотношений происходит в экономической плоскости. Взаимодействие РФ и ЕС в вопросах правового регулирования защиты персональных данных представляется важным, так как их урегулирование может заложить прочную основу доверительного сотрудничества по ряду направлений в будущем. В частности, в контексте создания в рамках ЕС Единого цифрового рынка, одной из целей которого является расширение сотрудничества Союза с заинтересованными государствами, в том числе по вопросам, связанным с защитой личных данных.
Одним из приоритетных направлений деятельности Европейской комиссии является международное сотрудничество по вопросам защиты персональных данных для того, чтобы оказывать помощь на взаимной основе в обеспечении соблюдения актов о защите персональных данных, привлекать все заинтересованные стороны к дискуссиям и мероприятиям, направленным на содействие сотрудничеству в области обеспечения приемлемого уровня защиты персональных данных и т.д. Эти направления закреплены на уровне вторичного права ЕС в таких актах, как Регламент (ЕС) 2016/679, Директива (ЕС) 2016/680 и других, составляющих в настоящее время основу правового регулирования защиты данных в Союзе. При этом следует отметить, что аналогичные нормы, посвященные сотрудничеству в сфере защиты персональных данных на международном и региональных уровнях, содержатся и в законодательстве РФ.
В этой связи представляется необходимым провести сравнительный анализ правового регулирования защиты персональных данных Европейского Союза и Российской Федерации, с тем, чтобы выявить, каким образом правовые акты ЕС и законы РФ о защите данных оказывали взаимное влияние. Это важно в свете развития дальнейшего сотрудничества РФ с ЕС и совершенствования российского законодательства в контексте правового опыта Европейского Союза.
Кроме того, в настоящее время вопросы защиты персональных данных активно продвигаются Россией в рамках Евразийского экономического союза (ЕАЭС). Так, одним из вопросов, поставленных Россией во время председательства в организации в 2018 году, была разработка соглашения между государствами-членами о персональных данных. Защита персональных данных является одним из приоритетных направлений деятельности Евразийской экономической комиссии, согласно Цифровой повестке ЕАЭС до 2025 года1. Однако для того чтобы успешно сотрудничать с государствами-членами организации, Российской Федерации важно иметь собственное законодательство, отвечающее современным реалиям, включающее эффективные механизмы защиты данных и обеспечивающее высокий уровень защиты прав и свобод индивидов и, в частности, права на защиту персональных данных.
Все это свидетельствует о необходимости более глубокого изучения современного российского законодательства в области защиты персональных данных и практики его применения для того, чтобы выявить проблемы и высказать предложения в целях совершенствования законодательных актов Российской Федерации.
Законодательство Российской Федерации в области персональных данных основывается на Конституции РФ2 и международных договорах Российской Федерации и состоит из Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»1 (далее - ФЗ «О персональных данных») и других федеральных законов.
В Конституции РФ закреплены правовые основы защиты персональных данных в Российской Федерации. Так, ст. 23 гарантирует право каждого на неприкосновенность частной жизни, ст. 24 содержит нормы о недопустимости сбора, хранения, использования и распространения информации о частной жизни лица без его согласия, а в ч. 4 ст. 29 закреплено право искать, получать, передавать, производить и распространять информацию любым законным способом. В настоящий момент приведенные положения Конституции РФ конкретизируются в нормах федеральных законов посредством закрепления действенных правовых механизмов неприкосновенности частной жизни в целом и защиты персональных данных в частности.
Нормы, касающиеся правового регулирования защиты личных данных физических лиц в РФ в различных сферах общественных отношений, содержатся и в других законах, к примеру, в Федеральном законе от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»2 (далее - ФЗ «Об информации»), в Федеральном законе от 25 января 2002 г. № 8-ФЗ «О Всероссийской переписи населения»3 (ст. 1 и ст. 8), в Федеральном законе от 20 августа 2004 г. № 119-ФЗ «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства»4 (ст. 9), в главе 14 «Защита персональных данных работника» Трудового кодекса РФ5 и др. Обработка персональных данных правоохранительными органами РФ по вопросам, связанным с осуществлением ими своей деятельности, регламентируется в Федеральном законе от 12 августа 1995 г. № 144-ФЗ «Об оперативно-розыскной деятельности»1 (в статьях 5, 6, 7, 8), в ст. 6 Федерального закона от 3 апреля 1995 г. № 40-ФЗ «О федеральной службе безопасности»2 и др. Уголовная ответственность за нарушения персональных данных предусмотрена Уголовным кодексом РФ3 (ст. 137, ст. 140), а гражданско-правовая ответственность может быть применена на основании ст. 151 Гражданского кодекса РФ4. Кодекс РФ об административных правонарушениях5 регламентирует административную ответственность за нарушение законодательства РФ в области персональных данных (ст. 11, ст. 13), а Трудовой кодекс РФ в свою очередь определяет, что лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке личных данных работника, привлекаются к дисциплинарной и материальной ответственности.
На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных6. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений ФЗ «О персональных данных».
До принятия ФЗ «О персональных данных» существовала правовая проблема, которая заключалась в том, что такие основные отрасли законодательства, как гражданское и уголовное законодательство, не использовали понятие «персональные данные», применяя в своих нормах понятие «частной жизни», трактовки которого имеют существенные различия. Так, по мнению И.Л. Бачило, нарастание правовых норм относительно порядка работы с персональными данными не могло свидетельствовать о том, что все вопросы в этой области решены. В частности, длительное время оставался открытым вопрос о перечне персональных данных и размытости границы между данными о частной жизни субъекта и той частью информации о личности, которая подпадает под определение персональных данных1. Наличие терминологических и некоторых других различий в законодательстве не позволяло с уверенностью говорить о возможности эффективного обеспечения права на защиту личных данных в административном или судебном порядке в случае его нарушения.
С принятием ФЗ «О персональных данных» большинство спорных моментов было урегулировано. Этот Закон направлен на обеспечение защиты права физических лиц на неприкосновенность частной жизни при выполнении операций по сбору и обработке персональных данных, осуществляемого путем установления общих принципов и условий сбора и обработки персональных данных, определения прав субъектов данных, обязанностей и ответственности операторов, установления условий трансграничной передачи персональных данных, а также регламентации государственного контроля и надзора за обработкой персональных данных и ответственности за нарушение положений настоящего Закона.