18+
реклама
18+
Бургер менюБургер меню

Мария Беляева – Руководство по GDPR (страница 13)

18

Свобода искусств и наук

Европейское законодательство

– прецедентное право отсутствует.

Закон Совет Европы

– Европейский суд по правам человека, Vereinigung bildender Künstler против Австрии, №68345/01, 2007.

Российская Федерация

– статья 44 Конституции РФ.

Защита собственности

Европейское законодательство

– Суд Европейского Союза, C-275/06 Promusicae против Telefónica de España SAU [GC], 2008.

Закон Совета Европы

– прецедентное право отсутствует.

Российская Федерация

– часть четвертая Гражданского кодекса РФ.

Экономические интересы и защита данных

Европейское законодательство

– Суд Европейского Союза, C-131/12, Google Spain SL, Google Inc. против Agencia Española de Protección de Datos (AEPD), 2014;

– Суд Европейского Союза, C-398/15, Camera di Commercio, Industria, Artigianato e Agricoltura di Lecce против Salvatore Manni, 2017.

Закон Совета Европы

– прецедентное право отсутствует.

Российская Федерация

– судебное решение.

Законодательная практика РФ

Право на защиту данных:

– в соответствии с пунктом 1 статей 23 и 24 Конституции РФ гражданин Российской Федерации имеет право на неприкосновенность частной жизни, личную и семейную тайну защиту своей части и доброго имени. Ограничения по решению суда могут быть наложены на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Конституционно критерии таких ограничений не закреплены, критерии и условия ограничения такого права указаны на уровне федерального законодательства;

– Российская Федерация ратифицировала Европейскую конвенцию по правам человека Федеральным законом от 30.03.1998 «О ратификации Конвенции и о защите прав человека и основных свобод и Протоколов к ней» с ограничениями, указанными в федеральном законе. Модернизированная Конвенция 108 была ратифицирована Российской Федерацией 15 мая 2013 года с оговорками по подпунктам «a», «с» пункта 2 статьи 3 и подпункту «a» пункта 2 статьи 9;

– в соответствии с Конституцией РФ защита персональных данных не является конституционным правом гражданина и защищается на федеральном уровне;

– регулирование правил обработки персональных данных в Российской Федерации и правил защиты информации были приняты в 2006 году;

– с 2006 года федеральные законодательства по регулированию правил обработки персональных данных и регулирование защиты данных периодически дополняются;

– регулирование доступа к информации, правил ее защиты, требований к обработке персональных данных и ограничений указано более чем в 20 федеральных законах и подзаконных актах, единого документа нет, что существенно затрудняет их правоприменение.

Ограничение права на защиту персональных данных:

– право на защиту персональных данных не является абсолютным правом в соответствии с Конституцией РФ. Оно может быть ограничено, в соответствии с федеральным законодательством и решением судов Российской Федерации;

– условия ограничения прав на уважение частной жизни и защиту персональных данных перечислены в статье 8 Федерального закона от 12.08.1995 №144-ФЗ «Об оперативно-розыскной деятельности»;

– в соответствии с пунктом 6 статьи 16 Федерального закона от 27.07.2007 №149-ФЗ «Об информации, информационных технологиях и защите информации» Российская Федерация вправе ограничить принятыми оговорками подпункта. a пункта 2 статьи 9 указанными при ратификации Модернизированной Конвенции 108 Российская Федерация вправе ограничить на уровне федерального законодательства использование отдельных средств защиты информации и осуществление отдельных видов деятельности в области защиты информации.

Взаимодействие с другими правами и законными интересами:

Взаимодействие с другими правами и законными интересами в Российской Федерации реализовано на уровне Конституции РФ, нормативно-правовых актов федерального значения и решений судов. Критерии таких взаимодействий основываются на решении органов власти и судебных решениях, выносимых в строгом соответствии с законом и внутренним убеждением судьи (п. 3, статьи 8 главы 3 Кодекса судейской этики).

Глава 2

Европейский Союз: основные аспекты концепции персональных данных, механизмы анонимизации, псевдонимизации и аутентификации.

Специальные категории персональных данных, персональные данные в контексте правонарушений и приговоров судов.

Концепция обработки данных, автоматизированная и ручная обработка персональных данных.

Контроллеры и совместные контроллеры, процессоры, взаимодействие контроллер – процессор, получатели и третьи лица, согласие.

Законодательство ЕС и РФ в области защиты данных.

В соответствии с законодательством ЕС и Совета Европы, персональные данные определяются как информация, относящаяся к идентифицированному или идентифицируемому физическому лицу. Это относится к информации о лице, чья личность либо идентифицирована, либо может быть установлена посредством дополнительной информации. Для определения является ли физическое лицо идентифицируемым, контроллер или другое лицо должны принять во внимание все разумные меры, которые могут быть использованы для прямой или косвенной идентификации личности (например, дополнительные атрибуты данных, позволяющие отличить одного субъекта от другого).

Основные аспекты концепции персональных данных

Субъект данных

В контексте Общего регламента по защите данных к персональным данным относится любая информация, относящаяся к идентифицированному или идентифицируемому лицу. В соответствии с законодательством ЕС физические лица (субъекты данных) являются единственными владельцем своих данных в контексте права на защиту данных. Действие Общего регламента по защите данных распространяется на субъектов данных в ЕС и не применяется к защите персональных данных умерших лиц.

Закон Совета Европы в части Модернизированной Конвенции 108 также регламентирует защиту физических лиц в отношении обработки их персональных данных. Терминология законодательства о защите данных, в части правовых систем ЕС, идентична.

Юридические лица имеют право на защиту данных. Европейский суд по правам человека принимает заявления от юридических лиц касательно нарушений их прав на защиту данных в соответствии со статьей 8 Европейской конвенции по правам человека.

В Пояснительном докладе к Модернизированной Конвенции 108 отмечается, что национальное законодательство может применяться для защиты законных интересов юридических лиц. Общий регламент по защите данных ЕС 2016/679 не распространяется на обработку данных юридических лиц, включая форму собственности и названия, а также контактных данных такого субъекта. Тем не менее Директива о конфиденциальности и электронных коммуникациях защищает конфиденциальность сообщений и законные интересы юридических лиц в отношении автоматизированной обработки и хранения данных субъектов.

Данные

Любые данные считаются персональными при условии, что они относятся к идентифицированному или идентифицируемому лицу. Персональные данные включают информацию, относящуюся к личной, профессиональной и общественной жизни субъекта данных.

Например, оценочный лист работника, хранящийся в его личном деле, представляет собой персональные данные работника. Мнение руководителя, зафиксированное в данном оценочном листе, будет считаться косвенной информацией о субъекте, а значит данные, такие как «лояльность работника» и факты, которые можно отнести к субъекту «работник отсутствовал 2 недели в течение года», будут считаться персональными данными работника.

Европейский суд по правам человека интерпретирует термин «персональные данные» как не ограничивающиеся вопросами личности субъекта, поскольку разделение вопросов частной и профессиональной жизни не всегда возможно. Данная интерпретация применяется и в Общем регламенте по защите данных.

Согласно законодательству ЕС и Совета Европы, информация содержит данные о субъекте, в случае если:

– лицо идентифицировано или может быть идентифицировано с помощью этой информации;

– субъект данных хотя и не идентифицирован, но может быть идентифицирован при последующей обработке.

Европейский суд по правам человека неоднократно заявлял, что понятие «персональные данные» в Европейской конвенции по правам человека идентично понятию в Модернизированной Конвенции 108, особенно в отношении идентифицированного или идентифицируемого лица.

В Общем регламенте по защите данных указано, что физическое лицо может быть идентифицировано в случае, если субъекта «можно идентифицировать прямо или косвенно, в частности, с помощью таких атрибутов, как имя, идентификационный номер, данные о местоположении, сетевой идентификатор (IP – адрес), по каждому из факторов или в совокупности, специфичных для физической, физиологической, генетической, психической, экономической, культурной или социальной идентичности субъекта». Имя субъекта данных является ярким примером такого описания и может непосредственно идентифицировать субъекта в связке с дополнительным атрибутом данных.

В некоторых случаях атрибуты, аналогичные имени, косвенно могут идентифицировать субъекта данных. Номер телефона, номер карточки социального страхования и регистрационный номер транспортного средства – все это примеры информации, которая может сделать субъект идентифицируемым. Также могут быть использованы и иные атрибуты, такие как – файлы персонального компьютера, файлы cookie и инструменты наблюдения за веб-трафиком для выделения субъектов путем определения их поведения и привычек. По мнению Рабочей группы по ст. 29 Общего регламента по защите данных, «без запроса имени и адреса лица его можно классифицировать на основе социально-экономических, психологических, философских или иных критериев и атрибутов». Определение персональных данных как в Совете Европы, так и в Европейском Союзе достаточно широкое и охватывает различные степени идентификации.