Совет европы защита персональных данных

Проводим инструктаж по теме: "Совет европы защита персональных данных". Здесь собрана информация из авторитетных источников и даны комментарии. Однако, каждый случай индивидуален. Всегда имеются нюансы. Если есть вопросы, то вы всегда можете их задать дежурному консультанту.

Содержание

1 Федеральный закон от 19 декабря 2005 г. N 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»
2 Россия подписала протокол изменений в европейскую конвенцию о защите персональных данных
3 Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г.) (с изменениями и дополнениями)
4 Бюро Договорoв
5 Новости
6 Бюро Договорoв
7 Защита персональных данных: пригодится ли нам британский опыт?
8 История защиты персональных данных: как появился GDPR
9 28 января – День защиты персональных данных

Федеральный закон от 19 декабря 2005 г. N 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»

Федеральный закон от 19 декабря 2005 г. N 160-ФЗ
«О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»

Принят Государственной Думой 25 ноября 2005 года

Одобрен Советом Федерации 7 декабря 2005 года

Ратифицировать Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года (далее — Конвенция) с поправками, одобренными Комитетом министров Совета Европы 15 июня 1999 года, подписанную от имени Российской Федерации в городе Страсбурге 7 ноября 2001 года, со следующими заявлениями:

1) Российская Федерация заявляет, что в соответствии с подпунктом «а» пункта 2 статьи 3 Конвенции не будет применять Конвенцию к персональным данным:

а) обрабатываемым физическими лицами исключительно для личных и семейных нужд;

б) отнесенным к государственной тайне в порядке, установленном законодательством Российской Федерации о государственной тайне;

2) Российская Федерация заявляет, что в соответствии с подпунктом «с» пункта 2 статьи 3 Конвенции будет применять Конвенцию к персональным данным, которые не подвергаются автоматизированной обработке, если применение Конвенции соответствует характеру действий, совершаемых с персональными данными без использования средств автоматизации;

3) Российская Федерация заявляет, что в соответствии с подпунктом «а» пункта 2 статьи 9 Конвенции оставляет за собой право устанавливать ограничения права субъекта персональных данных на доступ к персональным данным о себе в целях защиты безопасности государства и общественного порядка.

Президент Российской Федерации

19 декабря 2005 г.

Ратифицирована Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года с поправками, одобренными Комитетом министров Совета Европы 15 июня 1999 года, которая была подписана от имени РФ в Страсбурге 7 ноября 2001 года.

Целью Конвенции является обеспечение на территории Сторон — участниц уважения прав и основных свобод каждого человека независимо от его гражданства или места жительства и, в особенности, его права на неприкосновенность личной сферы в связи с автоматической обработкой касающихся его персональных данных.

Персональные данные определены в Конвенции как информация, касающаяся конкретного или могущего быть идентифицированным лица. Конвенция закрепляет основные принципы защиты персональных данных, а также порядок передачи информации и персональных данных через границы. При этом стороны обязуются применять Конвенцию к автоматизированным базам персональных данных и к автоматической обработке персональных данных в публичном и частном секторах.

Российская Федерация ратифицирует Конвенцию со следующими заявлениями. В России Конвенция не будет применяться к персональным данным, обрабатываемым физическими лицами исключительно для личных и семейных нужд, и к персональным данным, отнесенным к государственной тайне. РФ будет применять Конвенцию к персональным данным, которые не подвергаются автоматизированной обработке, если применение Конвенции соответствует характеру действий, совершаемых с персональными данными без использования средств автоматизации. Наконец, РФ оставляет за собой право устанавливать ограничения права субъекта персональных данных на доступ к персональным данным о себе в целях защиты безопасности государства и общественного порядка.

Федеральный закон от 19 декабря 2005 г. N 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»

Текст Федерального закона опубликован в «Парламентской газете» от 22 декабря 2005 г. N 227, в «Российской газете» от 22 декабря 2005 г. N 288, в Собрании законодательства Российской Федерации от 26 декабря 2005 г. N 52 (часть I) ст. 5573

Источник: http://base.garant.ru/12143756/

Россия подписала протокол изменений в европейскую конвенцию о защите персональных данных

В Страсбурге 10 октября 2018 г. состоялось подписание протокола о внесении изменений в европейскую Конвенцию о защите персональных данных. Россия наряду с 19 государствами-членами Совета Европы поддержала обновленную редакцию договора. Изменения коснутся обязательств по усилению контроля над оборотом персональных данных, обработки «специального» типа данных, таких как биометрия или генетические данные, а также регулирования трансграничного обмена и международного сотрудничества.

Конвенция о защите физических лиц при автоматизированной обработке персональных данных, также известная как «Конвенция 108», является в настоящее время единственным глобальным международным договором в сфере защиты персональных данных, носящим юридически обязывающий характер. Цель документа состоит в обеспечении на территории каждой страны для каждого физического лица, уважения его прав и основных свобод, и в частности права на неприкосновенность частной жизни, в отношении автоматизированной обработки персональных данных. В сферу применения конвенции входит обработка данных в государственных и частных сферах, однако конвенция не распространяется на обработку данных, осуществляемую физическим лицом для сугубо личных или бытовых надобностей. Первый вариант документа составлен в 1981 г., его участниками являются 47 государств-членов СЕ, среди них Россия, а также Кабо-Верде, Маврикий, Мексика, Сенегал, Тунис и Уругвай.

«Уже сегодня мы живем в цифровом мире, и здесь правила и законы не могут эффективно исполняться в границах только одного государства, – отметил директор Института развития интернета Сергей Петров. – Современного человека окружает огромное количество гаджетов и устройств, снимающих данные и обязанность регуляторов как внутри любой страны, так и на международном уровне, гарантировать защиту личной информации, обеспечить единые правила, стандарты обмена и доступа к данным, а также разработать подходы к разумному регулированию рынка данных с учетом баланса интересов участников».

Читайте так же: Форма возмещения морального ущерба

Свои подписи под документом уже поставили Австрия, Бельгия, Болгария, Великобритания, Германия, Ирландия, Испания, Латвия, Литва, Люксембург, Монако, Нидерланды, Норвегия, Португалия, Российская Федерация, Финляндия, Франция, Чехия, Швеция, Эстония, а также Уругвай.

«Присоединением к протоколу, Россия выражает свою солидарности с европейскими странами в вопросах защиты персональных данных, а также выражает готовность к диалогу и объединению усилий в борьбе с общими вызовами в цифровом пространстве», – сказал Петров.

В число нововведений Конвенции входит повышение уровня требований к соблюдению принципов пропорциональности и «минимизации» личных данных, а также накладывает на государства дополнительные обязательства по обеспечению обработки данных на основе добровольного, четко выраженного, информированного и однозначного согласия субъекта данных.

Расширяется состав типов конфиденциальных сведений, обработка которых отнесена к «специальной категории» и может быть осуществлена только в том случае, если законом установлены соответствующие гарантии. Теперь к ним отнесены генетические данные, биометрические данные, персональные данные, касающиеся правонарушений, уголовного судопроизводства, а также данные о членстве в профсоюзах и этническом происхождении.

Кроме того, государства-члены Совета Европы согласились с предложением России по вопросу трансграничной передачи персональных данных. Документ должен способствовать передаче данных через национальные границы, в то же время обеспечивая эффективную защиту при их использовании в соответствии с различными национальными и международными нормативно-правовыми базами, включая новое законодательство Европейского Союза по регулированию трансграничных потоков данных, вступившее в силу в мае. В этих целях предусматривается расширение правовых основ международного сотрудничества в данной области.

В число новых требований, вводимых Протоколом, входят обязательства по информированию о взломе баз, содержащих личные данные. А также предусматривает повышение ответственности операторов персональных данных и прозрачность процессов обработки сведений. Положения документа требуют соблюдения принципа «проектируемой конфиденциальности», то есть интеграции мер защиты персональных данных на этапе проектирования систем их обработки.

Также предусмотрено учреждение одного или нескольких надзорных органов, и создание комитета сторон – структуры, уполномоченной проводить выездные проверки, оценивать степень выполнения конвенции и выносить рекомендации о более эффективной реализации государствами требований конвенции.

Стоит отметить, что в настоящее время действия с данными пользователей на территории Российской Федерации регулируются Федеральным законом «О безопасности критической информационной инфраструктуры Российской Федерации» (ФЗ–187) и «О персональных данных» (ФЗ-152).

В мае 2018 г. в Евросоюзе вступил в силу Общий регламент о защите данных (General Data Protection Regulation, GDPR). Который обязывает все компании, которые обрабатывают (как внутри, так и за пределами ЕС) персональные данные граждан европейских стран, обязаны соблюдать требования этого документа.

Источник: http://cnews.ru/news/line/2018-10-11_rossiya_podpisala_protokol_izmenenij_v_evropejskuyu

Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г.) (с изменениями и дополнениями)

Конвенция Совета Европы
о защите физических лиц при автоматизированной обработке персональных данных
(Страсбург, 28 января 1981 г.)

С изменениями и дополнениями от:

ГАРАНТ:

См. тексты неофициального перевода и резюме к настоящему документу, предоставленные Правовым управлением Государственной Думы ФС РФ

См. статус настоящей Конвенции

См. Дополнительный протокол к настоящей Конвенции (Страсбург, 8 ноября 2001 г.). Российская Федерация названный Протокол не ратифицировала

Государства — члены Совета Европы, подписавшие настоящий документ,

учитывая, что цель Совета Европы заключается в достижении большего единства между его членами, основанного, в частности, на уважении принципа господства права, а также соблюдении прав человека и основных свобод;

учитывая желательность расширения гарантий прав и основных свобод для всех, и в частности права на уважение частной жизни, с учетом увеличения трансграничного потока персональных данных, подвергающихся автоматизированной обработке;

подтверждая вместе с тем свою приверженность свободе информации невзирая на границы;

признавая необходимость согласования таких основных ценностей, как уважение частной жизни и свободное распространение информации между народами,

договорились о нижеследующем:

В удостоверение чего нижеподписавшиеся, должным образом на то уполномоченные, подписали настоящую Конвенцию.

Совершено в Страсбурге 28 января 1981 года на английском и французском языках, причем оба текста имеют одинаковую силу, в единственном экземпляре, который будет храниться в архиве Совета Европы. Генеральный секретарь Совета Европы направит заверенные копии каждому государству — члену Совета Европы и любому государству, приглашенному присоединиться к настоящей Конвенции.

Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г.)

Конвенция вступила в силу 1 октября 1985 г.

Российская Федерация ратифицировала настоящую Конвенцию Федеральным законом от 19 декабря 2005 г. N 160-ФЗ с заявлением

Конвенция вступила в силу для Российской Федерации 1 сентября 2013 г.

Текст Конвенции опубликован на «Официальном интернет-портале правовой информации» (www.pravo.gov.ru) 11 октября 2013 г., в Собрании законодательства Российской Федерации от 3 февраля 2014 г. N 5 ст. 419, в Бюллетене трудового и социального законодательства Российской Федерации, 2014 г., N 4, в Бюллетене международных договоров, апрель 2014 г., N 4

См. статус настоящей Конвенции

В настоящий документ внесены изменения следующими документами:

Поправки к Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (СДСЕ N 108), позволяющие присоединение Европейских сообществ (приняты Комитетом министров в Страсбурге 15 июня 1999 г.)

Источник: http://base.garant.ru/2559798/

Бюро Договорoв

Видео (кликните для воспроизведения).

Подробная информация о Договоре №108

Данная Конвенция-первый обязывающий международный инструмент, защищающий физических лиц от злоупотреблений, которые могут иметь место при сборе и обработке данных, и ставящий в то же время задачу регулировать трансграничный поток персональных данных.

Конвенция не только дает гарантии применительно к сбору и обработке персональных данных, но и запрещает, если национальное право не обеспечивает надлежащих гарантий, обработку «чувствительных» данных относительно расовой принадлежности лица, его политических взглядов, здоровья, религии, сексуальной жизни, уголовного прошлого и т.п. Конвенция также дает лицу право знать, что данные о нем собраны, и в случае необходимости иметь возможность их исправить.

Ограничения изложенных в Конвенции прав возможны только в случае, когда под угрозой оказываются высшие интересы (т.е. безопасность государства, интересы обороны и т.д.).

Конвенция также предписывает определенные ограничения применительно к трансграничным потокам личных данных в те государства, где правовое регулирование не обеспечивает их должной защиты.

Источник: http://www.coe.int/ru/web/conventions/full-list/-/conventions/treaty/108

Новости

МОСКВА, 10 окт — РАПСИ. Россия наряду с 19 государствами-членами Совета Европы подписала документ, направленный на усиление защиты персональных данных на международном уровне.

Открытие процедуры подписания Протокола, вносящего изменения в «Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», состоялось в среду в Страсбурге. Свои подписи под документом поставили Австрия, Бельгия, Болгария, Великобритания, Германия, Ирландия, Испания, Латвия, Литва, Люксембург, Монако, Нидерланды, Норвегия, Португалия, РФ, Финляндия, Франция, Чехия, Швеция, Эстония, а также Уругвай.

Конвенция, известная также как «Конвенция 108», является в настоящее время единственным глобальным международным договором в сфере защиты персональных данных, носящим юридически обязывающий характер. Положения Конвенции разработаны в качестве ответа на проблемы, порождаемые использованием новых информационных и коммуникационных технологий.

Новый Протокол направлен на совершенствование содержащихся в Конвенции механизмов в целях повышения эффективности ее применения. В число нововведений входит повышение уровня требований к соблюдению принципов пропорциональности и «минимизации» личных данных, а также законности при их обработке. Расширяется состав типов конфиденциальных сведений, которые теперь включают генетическую и биометрическую информацию, а также данные о членстве в профсоюзах и этническом происхождении.

Кроме того, документ должен способствовать передаче данных через национальные границы, в то же время обеспечивая эффективную защиту при их использовании в соответствии с различными национальными и международными нормативно-правовыми базами, включая новое законодательство Европейского Союза по регулированию трансграничных потоков данных, вступившее в силу в мае. В этих целях предусматривается расширение правовых основ международного сотрудничества в данной области.

В число новых требований, вводимых Протоколом, входят обязательства по информированию о взломе баз, содержащих личные данные, а также соблюдению принципов защиты персональной информации в любой деятельности по ее обработке, включая ту, что ведется в интересах национальной безопасности, за исключением случаев, предусматриваемых Конвенцией. При этом обработка данных должна осуществляться под независимым и эффективным контролем со стороны обладающих расширенными полномочиями регулирующих органов.

Наряду с этим новая редакция Конвенции предусматривает повышение ответственности операторов персональных данных и прозрачность процессов обработки сведений. Положения документа требуют соблюдения принципа «проектируемой конфиденциальности», то есть интеграции мер защиты персональных данных на этапе проектирования систем их обработки, а также вводят право заинтересованных лиц на участие в принятии решений по алгоритмам обработки информации, что приобретает особое значение в связи с разработкой искусственного интеллекта.

По словам Генерального секретаря СЕ Турнбьерна Ягланда, «модернизированная» Конвенция позволит государствам-участникам использовать общие строгие принципы и правила защиты личной информации, а также обеспечит уникальную возможность организации сотрудничества в этой области на глобальном уровне. Ягланд призвал власти всех государств как можно скорее подписать и ратифицировать документ с тем, чтобы он вступил в силу в кратчайшие сроки.

Постоянный представитель Российской Федерации при Совете Европы Иван Солтановский, подписавший Протокол от имени РФ, отметил важность состоявшегося мероприятия. «Событие знаковое — наша страна на площадке Совета Европы активно подключается к одному из перспективных направлений международного сотрудничества на Европейском континенте и за его пределами», — заявил он на странице представительства в Facebook.

Резюме
Название	Конвенция о защите частных лиц в отношении автоматизированной обработки данных личного характера
Ссылки	СEД №108
Открытия Договора	Страсбург, 28/01/1981 — Договор, открытый подписи стран членов и вступлении стран которые не являются членами
Вступление в силу	01/10/1985 — 5 ратификаций.

Видео (кликните для воспроизведения).

Солтановский также подчеркнул, что Россия одной из первых подписала Конвенцию, что на деле продемонстрировало «нашу приверженность к конструктивному, деполитизированному взаимодействию с европейскими партнерами, невзирая на известный непростой внешнеполитический фон». По словам представителя РФ при СЕ, это стало реальным вкладом страны «в налаживание общеевропейского сотрудничества в высокотехнологичной сфере при соблюдении прав человека на основании современных стандартов».

Участниками Конвенции, принятой Советом Европы в 1981 году, являются 47 государств-членов СЕ, среди них Россия, а также Кабо Верде, Маврикий, Мексика, Сенегал, Тунис и Уругвай.

Источник: http://rapsinews.ru/international_news/20181010/288917171.html

Бюро Договорoв

Подробная информация о Договоре №223

Цель Протокола о внесении поправок состоит в модернизации и совершенствовании Конвенции (СЕД № 108) с учётом новых задач по защите физических лиц при обработке персональных данных, которые возникли после принятия Конвенции в 1980 году.

Модернизация Конвенции о защите физических лиц при автоматизированной обработке персональных данных, являющейся единственным действующим юридически обязательным международным договором, имеющим глобальную значимость в этой области, связана с вопросом о неприкосновенности частной жизни, возникшим в результате использования новых информационных и коммуникационных технологий, и с усилением механизма конвенции для обеспечения её эффективного применения.

Протокол предусматривает надёжные и гибкие многосторонние правовые рамки для облегчения трансграничного обмена данными, обеспечивая при этом эффективные гарантии при использовании персональных данных. Он представляет собой мост между различными регионами мира и различными нормативными рамками, включая новое законодательство Европейского союза, которое вступает в силу 25 мая 2018 года и которое ссылается на Конвенцию 108 в части, касающейся трансграничных потоков данных.

Некоторые из нововведений, содержащиеся в Протоколе, заключаются в следующем:

Более жесткие требования в отношении принципов соразмерности, минимизации данных и правомерности обработки;
Расширение типов конфиденциальных данных, которые теперь будут включать генетические и биометрические данные, членство в профсоюзах и этническое происхождение;
Обязательство декларировать утечку данных;
Более высокая степень прозрачности обработки данных;
Новые права физических лиц в контексте алгоритмического принятия решений, что становится особенно актуальным в связи с развитием искусственного интеллекта;
Повышение подотчётности операторов данных;
Требование применения принципа «Проектируемая конфиденциальность»;
Применение принципов защиты данных ко всем процессам обработки, в том числе по соображениям национальной безопасности, с возможными исключениями и ограничениями в соответствии с условиями, установленными Конвенцией, и в любом случае, с возможностью независимого и эффективного пересмотра и контроля;
Чёткий режим трансграничных потоков дан;
Расширение полномочий и повышение независимости органов по защите данных и укрепление правовой основы для международного сотрудничества.

Источник: http://www.coe.int/ru/web/conventions/full-list/-/conventions/treaty/223

Защита персональных данных: пригодится ли нам британский опыт?

Стандарты важны в любой системе управления: в них определяются цели, которых необходимо достичь; устанавливаются общие методы управления внутри одной и между несколькими организациями; предъявляются требования к менеджерам, ответственным за реализацию методов управления; описываются контрольные процедуры, позволяющие проверить правильность реализации методов управления, полноту и качество их поддержки.

Госкомитет Великобритании по стандартизации разработал первый в мире стандарт на систему управления персональными данными

Несмотря на огромное количество разработанных отраслевых и международных стандартов, в том числе и в области информационной безопасности, глобальный стандарт о защите частной жизни и персональных данных, который способна реализовать любая организация в любой стране мира, отсутствует и по сей день. Такое положение дел связано с наличием у многих государств собственных законов о защите персональных данных, значительно отличающихся друг от друга, и отсутствием практической возможности выработки универсальных требований (так как придется находить компромиссы на государственном уровне).

Государственный комитет Великобритании по стандартизации (BSI Group) был основан в 1901 году. Сегодня это ведущая независимая организация по предоставлению деловых услуг, разрабатывающая стандарты и реализующая решения на их основе в 140 странах мира.

Тем не менее вопрос защиты персональных данных является весьма актуальным во всем мире. BSI Group, вместо того чтобы сводить воедино требования законодательства различных государств, в стандарте BS 10012:2009 описала систему управления персональными данными (СУПД) – ряд основных процессов инфраструктуры безопасной обработки персональных данных в соответствии с британским законом о защите данных (Data Protection Act – DPA).

Получается, что этот стандарт описывает только систему управления и федеральному закону «О персональных данных» не соответствует? Попробуем разобраться.

Data Protection Act и 152-ФЗ

Data Protection Act («Закон о защите данных») был разработан и принят Парламентом Соединенного Королевства (UK) в 1998 году с целью реализации требований директивы Европарламента и Совета Европы «О защите прав физических лиц при обработке персональных данных и свободном обращении таких данных». Прародительницей этой директивы является конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», изданная в 1981 году и ратифицированная Российской Федерацией в 2005 году. Именно с целью реализации международных обязательств, которые возникли в связи с ратификацией этой конвенции, в России и был принят федеральный закон №152-ФЗ «О персональных данных».

Между DPA и 152-ФЗ можно найти определенное сходство. Так, например, DPA дает следующее определение понятию «персональные данные»: «Персональные данные – это данные, относящиеся к существующему физическому лицу, которое может быть идентифицировано а) посредством этих данных б) посредством этих данных и другой информации, которая находится или будет находиться в распоряжении контроллера данных». Не смотря на то, что 152-ФЗ дает несколько иное определение, не будем забывать, что согласно законодательству РФ, данные, не позволяющие идентифицировать субъекта, являются обезличенными и не подлежат защите. «Контролер персональных данных» в DPA есть ни кто иной, как «оператор персональных данных» в российском законодательстве.

Источник: http://safe.cnews.ru/articles/zashchita_personalnyh_dannyh_prigoditsya

История защиты персональных данных: как появился GDPR

С момента вступления в силу 25 мая 2018 года европейского регламента по защите персональных данных (General Data Protection Regulation – GDPR) прошло уже 6 месяцев. Этот закон распространяет свое действие в том числе и на территорию Российской Федерации, но лишь косвенно и далеко не всегда. Подробности о территориальном применении GDPR можно узнать из недавнего Гайдлайна европейского совета по защите данных (European Data Protection Board).

По этой и не только причине, защита персональных данных в нашей стране обделена серьезным вниманием как со стороны юристов, так и со стороны широкой общественности. Нередко можно столкнуться со мнением, что GDPR – просто искусственное, ни на чем не основанное нововведение европейских законодателей. На самом же деле, этот регламент является результатом длительного развития концепции фундаментальных прав и свобод человека, которая берет свое начало задолго до 25 мая 2018 года.

Как появился GDPR и откуда вообще взялась необходимость в приватности данных? Чтобы разобраться в этом вопросе, нужно обратиться к истории развития защиты персональных данных.

Право на неприкосновенность частной жизни

В 1890 году два американских юриста С. Д. Уоррен и Л. Д. Брендайс публикуют в Harvard Law Review статью The Right to Privacy (Право на частную жизнь), где описывают «право быть оставленным в одиночестве» («right to be let alone»).

Практически сразу, а точнее в первой половине XX века, сформулированное право на частную жизнь находит отражение в американской судебной практике.
Эта идея достаточно быстро распространяется за пределами США. В 1948 году право на частную жизнь фиксируется вместе с другими фундаментальными правами и свободами во Всеобщей декларации прав человека (статья 12), а в 1950 году – в Европейской Конвенции по Правам Человека (статья 8).

Повышенное внимание к правам человека на тот момент времени объясняется в первую очередь разрушительными последствиями второй мировой войны. Это отразилось и на определении права на частную жизнь:

«Каждый имеет право на уважение его личной и семейной жизни, его жилища и его корреспонденции», – ЕКПЧ.

Главным приоритетом того времени были наиболее значимые социальные вопросы послевоенного периода: неприкосновенность личной и семейной жизни, тайна переписки. Проблема защиты персональных данных, казалось бы логично вытекающая из права на частную жизнь, не являлась объектом широкого внимания.

Зарождение права на защиту персональных данных

В начале второй половины XX века начинают развиваться информационные технологии, позволяющие значительно быстрее обрабатывать гораздо большее количество информации. В 60-ые годы эти технологии становятся все более доступными широкому кругу лиц, что вызывает определенное беспокойство у Совета Европы.

Так, в 1968 году Парламентская ассамблея публикует рекомендацию №509. В ней выражается озабоченность возможными угрозами праву на частную жизнь в результате использования новых технологий для обработки данных.

Как следствие, ассамблея поручила комитету по правам человека изучить этот вопрос. Многие считают этот момент отправной точкой для Data Privacy.

Первая реакция следует из ФРГ, где на земле Гессен в 1970 году принимается первый в истории закон о персональных данных. Важно отметить, что это был лишь локальный закон, который применялся исключительно на территории этой земли, а не на федеральном уровне.

Затем реагируют США. В 1974 году принимается Privacy Act, в котором американский конгресс впервые устанавливает связь между правом на частную жизнь и персональными данными. Данный закон указывает, что личная жизнь человека может быть напрямую затронута в результате сбора, использования и распространения персональной информации государственными органами власти.

Ни тот, ни другой правовой акт нельзя назвать полноценным законом, регулирующим обработку персональной информации. Тем не менее, право на защиту персональных данных начинает выходить из тени права на частную жизнь.

Первое законодательство в сфере защиты персональных данных

Главным пионером в области Data Privacy становится именно Германия: первый национальный закон о персональных данных (Bundesdatenschutzgesetz) появляется в 1977 году в ФРГ. Особое отношение немецкой общественности к этому вопросу связано в первую очередь с локальными историческими событиями.

Дело в том, что в середине ХХ века немцы пережили два противоречивых политических режима: с одной стороны, Третий Рейх, с другой стороны, ФРГ и ГДР. Указанные строи были основаны в том числе и на массовой слежке за населением.

Такие потрясения привели к тому, что впоследствии конфиденциальность оказалась в этой стране чрезвычайно востребованной. Именно поэтому Германия до сих пор считается одним из мировых лидеров по защите частной жизни и персональных данных.

Другой значимой страной для Data Privacy является Франция, которая отстала от Германии всего на один год. Принятие в 1978 году закона об информатике и гражданских свободах также было связано с локальными событиями.

В начале 70-ых годов французское правительство разработало проект SAFARI, смысл которого заключался в создании единого реестра данных с использованием номера социального страхования, что позволяло бы идентифицировать любого гражданина. Обработку всей этой информации планировалось осуществлять благодаря передовым на тот момент времени вычислительным технологиям.

В 1974 году газета Le Monde публикует об этом статью под названием «SAFARI ou la chasse aux Français» (САФАРИ или охота на французов), чем провоцирует громкий скандал на тему массовой слежки.

Под давлением общественности правительство вынуждено было отступить, что привело к принятию вышеупомянутого закона и созданию комиссии по информатике и гражданским свободам. Тем не менее, избежать реализации проекта не удалось, но новая комиссия смогла установить определенные ограничения по обработке персональных данных.

Выход на международный уровень

Немецкий и французский законы становятся краеугольным камнем для персональных данных и дают значительный импульс для развития этой сферы. На проблему начинают обращать внимание все больше и больше стран и международных организаций.

В 1980 году Организация экономического сотрудничества и развития публикует Гайдлайны по защите персональных данных с учетом продолжающегося развития компьютерных технологий и их использования для коммерческих транзакций.

Через год принимается первый международный договор в сфере Data Privacy, которым становится Конвенция о защите физических лиц при автоматизированной обработке персональных данных. Эта Конвенция стала большим достижением в своей области. На сегодняшний день к ней присоединилась 51 страна, в том числе и Россия (именно на этом документе основан отечественный федеральный закон о персональных данных).

При этом, постоянно ускоряющееся развитие информационных технологий создает новые проблемы в сфере приватности данных и частной жизни. Главной такой проблемой становится появление Интернета и его быстрое развитие. Первым потенциальную угрозу замечает Евросоюз, который принимает в 1995 году рамочную директиву по защите персональных данных.

Основная цель этого закона – адаптировать к новым угрозам и унифицировать законодательство о персональных данных стран членов ЕС. Для этого были улучшены механизмы предусмотренные международной конвенцией 1981 года, а также введены новые обязанности для операторов персональных данных и новые права для граждан ЕС.

Новейшая история

К концу 90-ых годов начинают формироваться основные гиганты-монополисты Интернета. Сегодня их принято называть большой пятеркой или GAFAM (Google, Amazon, Facebook, Apple, Microsoft). При непосредственном участии перечисленных американских корпораций зарождается новая система монетизации коммерческой деятельности в Интернете. Гугловский поисковик и цукерберговская социальная сеть, не имея прямых источников капитализации (в отличие от Амазона или Майкрософта), начинают показывать рекламу, основываясь на анализе поведения своих пользователей (таргетинг). Контекстная реклама быстро становится чрезвычайно востребованной и к этой системе подключаются Amazon, Microsoft и Apple.

Чтобы реклама оставалась наиболее релевантной, пять названных компаний, за явным лидерством Фейсбука и Гугла, активно собирают огромные объемы данных о пользователях со всего мира. При этом быстро развиваются технологии, позволяющие анализировать всю эту информацию и выявлять поражающие воображение особенности поведения пользователей. Все эти данные и аналитические выводы отправляются в Америку, которая никогда не отличалась большими успехами по защите персональных данных.

В ответ на контекстную рекламу, ЕС принимает в 2002 году Директиву ePrivacy, которая регламентирует использование cookies, реализующих, в том числе, и сбор данных для рекламы.

Следом за принятием этой директивы, мир потрясают, пожалуй, главные скандалы связанные с кибербезопасностью и данными как таковыми. Здесь можно говорить и о WikiLeaks Джулиана Ассанжа, и о разоблачении Эдвардом Сноуденом американской программы массовой слежки PRISM.

В то же время происходят крупные утечки персональных данных как в результате хакерских атак, так и вследствие человеческого фактора. Их пик приходится на десятые годы. Ярким примером является утечка практически всех данных Ashley Madison. Речь идет о канадском сайте знакомств, предназначенном для людей, состоящих в браке. В 2015 году базы данных сайта подверглись хакерской атаке и вся приватная информация была выложена в сеть. Результат: значительная волна разводов по всему миру, несколько случаев суицида. К тому же в свободном доступе оказались данные около 1,200 пользователей из Саудовской Аравии, где наказание за измену доходит вплоть до смертной казни. В таких обстоятельствах, трудно недооценивать значение защиты персональных данных.

В свете всех этих событий, Европейский Союз приходит к выводу о необходимости обновления изжившей себя директивы 1995. Основная проблема заключалась в том, что она не применялась напрямую в странах членах ЕС, что в свою очередь привело к значительным различиям на уровне национальных законодательств. Новый же регламент действовал бы напрямую в каждой европейской стране и позволил бы создать повышенный уровень защиты персональных данных по всему Союзу. Дискуссии в целях принятия нового закона начались в 2012 году, а в 2016 году окончательный текст регламента был официально опубликован и 25 мая 2018 года вступил в силу. Подробный анализ GDPR доступен здесь.

Пакет реформ в сфере приватности

На GDPR законотворческая деятельность Евросоюза в сфере приватности не прекратилась. Обработка персональных данных в целях уголовного правосудия не входит в периметр действия регламента, так как требует установление специфического правового режима. Поэтому в 2016 году одновременно с GDPR была принята директива по защите физических лиц при автоматизированной обработке персональных данных государственными органами в целях предотвращения, расследования, обнаружения и преследования уголовных преступлений.

Вдобавок, все в том же году принимается директива NIS (Network and Information Security). Основной задачей этого правового акта становится обеспечение высокого уровня информационной безопасности для операторов критических инфраструктур и провайдеров цифровых услуг. Речь идет о защите не только персональных данных, но о безопасности вообще любых данных.

Все эти многочисленные законы являются результатом политики Европейского Союза в сфере электронных коммуникаций, кибербезопасности и приватности данных. Следующим шагом ЕС должно стать принятие регламента ePrivacy, призванного заменить одноименную директиву 2002 года. Основные вопросы на повестке этой реформы: метаданные (Big Data) и все те же cookies. Проект регламента уже был опубликован в начале 2017 года.

Таким образом, GDPR и другие законы в сфере приватности данных — далеко не новелла европейского законодательства. Регламент по защите персональных данных вместе со всем пакетом реформ Privacy представляет собой результат более чем векового развития юридической мысли, основанной на необходимости защиты частной жизни любого гражданина.

Источник: http://habr.com/post/431582/

28 января – День защиты персональных данных

Персональные данные непрерывно подвергаются обработке: в сфере труда, в отношениях с органами управления, в области здравоохранения, при покупке товаров или услуг, во время путешествий или пользования Интернетом.

Как правило, люди не осведомлены о рисках, связанных с обработкой персональных данных, и о своих правах на защиту персональных данных. Они чаще всего не знают, как поступать в случае нарушения их прав, и не осведомлены о роли национальных структур по защите персональных данных.

В 2006 году Совет Европы объявил 28 января Днем защиты персональных данных. В этот день, 28 января, была открыта для подписания Конвенция о защите персональных данных, известная как «Конвенция 108». День защиты персональных данных теперь отмечается во всем мире. За пределами Европы он называется Днем частной жизни.

В этот День правительства, парламенты, национальные органы по защите персональных данных и другие участники проводят мероприятия, направленные на повышение осведомленности о правах на защиту персональных данных и частную жизнь. Мероприятия могут включать в себя информационные кампании, ориентированные на широкую общественность, образовательные проекты для преподавателей и учеников, дни открытых дверей в организациях по защите персональных данных, а также конференции.

Конвенция о защите персональных данных, единственный международный договор в данной области, обновляется, чтобы обеспечить соответствие ее принципов защиты персональных данных потребностям сегодняшнего дня.

По случаю Дня защиты персональных данных, отмечаемого 28 января, Комитет по «Конвенции 108» — договора Совета Европы о защите персональных данных — опубликовал Руководящие принципы в отношении искусственного интеллекта и защиты данных.

Руководящие принципы призваны помочь занимающимся разработкой политики лицам, ИИ-разработчикам (искусственный интеллект), производителям и поставщикам услуг в обеспечении того, чтобы программы, использующие ИИ, не нарушали право на защиту персональных данных.

Комитет по Конвенции подчеркивает, что защита прав человека, включая право на защиту персональных данных, крайне важна при разработке и утверждении программ, использующих ИИ, в частности, когда они применяются в процессах принятия решений, и что она должна основываться на принципах обновленной конвенции о защите персональных данных, известной как «Конвенция 108+», открытой для подписания в октябре 2018 года.

Кроме того, при любой инновации в области ИИ необходимо уделять пристальное внимание тому, чтобы предотвращать и уменьшать потенциальные риски обработки персональных данных и предоставлять возможность субъектам данных осуществлять реальный контроль за обработкой данных и ее последствиями.

Источник: http://www.coe.int/ru/web/portal/28-january-data-protection-day

Резюме
Название	Протокол в внесении изменений в Конвенцию о защите частных лиц в отношении автоматизированной обработки данных личного характера
Ссылки	СДСE №223
Открытия Договора	Страсбург, 10/10/2018 — Договор открыт для подписания Договаривающиеся Стороны Договора СДЕ 108
Вступление в силу	— Ратификация всеми Сторонами договора СДЕ 108 или 11 октября 2023 года, если на эту дату имеется 38 Сторон Протокола.