Оренбург, Оренбургская область, Россия
Проведенный в настоящей статье сравнительный анализ законодательства Европейского союза и Российской Федерации, закрепляющего правовой статус субъекта персональных данных, позволяет признать европейский правопорядок в этой сфере более совершенным и проработанным. Проводимая в настоящее время реформа и принимаемое законодательство Европейского союза и, в том числе Регламент (ЕС) 2016/679, направлены на защиту основных прав и свобод каждого человека на территории Союза и, в частности, права на защиту персональных данных. По сравнению с ранее действовавшими нормативными актами ЕС, Регламент значительно расширяет круг субъективных прав физических лиц и их регулированию полностью отводит главу третью. При этом нужно отметить, что некоторые из этих прав являются новеллами не только на уровне европейского права, но и в международном масштабе. Одним из важнейших нововведений Регламента следует признать закрепление в отдельной статье права на удаление данных (право на забвение). В то же время Регламент не разделяет категории «право на удаление» и «право быть забытым», что может вызвать сложности при осуществлении этого права на практике. Анализ российского законодательства о персональных данных позволяет сделать вывод о том, что оно носит разрозненный и противоречивый характер, что негативно отражается в первую очередь на правовом статусе субъекта персональных данных. Вместе с тем в последнее время российское государство все больше внимания уделяет правам своих граждан, в том числе праву на защиту персональных данных. Направленность на сближение российского законодательства с высокими европейскими стандартами в условиях технологического прогресса и глобализации приведет к решению проблем информационной безопасности, как отдельного индивида, так и всего государства. Такой комплексный подход к оптимизации законодательства о защите персональных данных позволит субъектам данных эффективно осуществлять свои права и свободы и, в том числе, фундаментальное право на защиту персональных данных.
информация, персональные данные, сбор, обработка, передача, субъект персональных данных, оператор, контролер, субъективные права, обязанности, защита персональных данных, ответственность
Введение
Актуальность научного исследования правового статуса субъекта персональных данных заключается в том, что информационная сфера современного общества представляет собой одно из важнейших направлений реализации интересов личности. В свою очередь, интересы личности в совокупности с интересами государства и общества в области защиты информации составляют информационную безопасность государства. Расплывчатость формулировок российского законодательства фактически ставит субъекта персональных данных в зависимость от разумности и добросовестности действий оператора. Именно поэтому информация персонального характера должна иметь надлежащий уровень не только организационно-технической, но и правовой защиты, как это предусмотрено в законодательстве Европейского союза [5].
При всей значимости проблематика обеспечения правовой защиты персональных данных физических лиц представляет собой одно из малоисследованных направлений в юридической науке.
Объективные сложности правового регулирования отношений в сфере защиты персональных данных обусловлены необходимостью сбалансировать в законодательстве противоречивые интересы, как минимум, трех групп субъектов:
1) граждан, чьи персональные данные собираются и обрабатываются (субъектов персональных данных);
2) государственных органов, обязанных обрабатывать персональные данные в связи с исполнением своих полномочий;
3) коммерческих организаций, заинтересованных в обработке персональных данных в соответствии с целями их деятельности.
При возникновении разногласий между указанными лицами органы государственной власти, ответственные за исполнение законодательства, не могут в полной мере гарантировать охрану персональных данных, а также установить ограничения на сбор и распространение некоторых из них, например, тех персональных данных, которые их обладатель распространяет самостоятельно [3, с. 10].
Цель настоящего исследования заключается в анализе правового статуса субъекта персональных данных в Европейском союзе и Российской Федерации. Данная цель означает раскрытие правового статуса субъекта персональных данных, под которым понимается совокупность прав субъекта персональных данных и корреспондирующих им обязанностей других субъектов отношений, возникающих по поводу информации, относящейся к прямо или косвенно определенному или определяемому физическому лицу.
По сравнению с ранее действовавшими в Европейском союзе нормативными актами в новом Регламенте (ЕС) 2016/679 существенно расширен комплекс субъективных прав физических лиц, а их регламентации полностью посвящена глава третья «Права субъектов данных». При этом некоторые из этих прав являются новеллами не только на уровне европейского права, но и в мировом масштабе.
Основная часть
Раскроем основные права субъекта персональных данных по законодательству Российской Федерации.
1. Право субъекта персональных данных на доступ к своим персональным данным. Субъект персональных данных имеет право на получение сведений об операторе обработки его данных, о месте его нахождения, о наличии у него данных, а также на ознакомление с собственными персональными данными. Субъект вправе требовать от оператора уточнения своих персональных данных, их блокировки или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
2. Право субъекта при обработке его персональных данных в целях продвижения товаров на рынке, а также в целях политической агитации. Обработка персональных данных в указанных целях допускается только при условии предварительного согласия субъекта персональных данных. В случае незаконной обработки данной информации оператор обязан немедленно прекратить ее по требованию субъекта данных.
3. Право субъекта данных при автоматизированной обработке его персональных данных. Управленческие и иные решения могут быть приняты только при наличии согласия субъекта данных в письменной форме, но и в этом случае оператор обязан разъяснить субъекту порядок принятия решений на основании исключительно автоматизированной обработки его персональных данных.
4. Право на обжалование действий (бездействия) оператора. Любое лицо, в отношение которого были нарушены условия и порядок обработки персональных данных, имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
5. Право на защиту прав и интересов.
Субъект персональных данных вправе принимать любые, не противоречащие закону, меры по защите своих прав и законных интересов. Лица, виновные в нарушении законодательства о персональных данных, несут гражданскую, уголовную (ст. 137, 272 УК РФ), административную (ст. 5.39, 13.11, 13.14 КоАП РФ), дисциплинарную (ст. 192 ТК РФ) и иную ответственность.
Законодательство Европейского союза определяет, что в качестве субъектов правовых отношений, возникающих в процессе сбора, хранения, обработки, использования и передачи персональных данных, выступают следующие лица:
а) лица физические и юридические (как правило, физические), к которым относятся собираемые, хранимые, обрабатываемые, используемые и передаваемые данные. В доктрине большинства стран для обозначения таких лиц применяется термин «субъект данных» (data subject);
б) лица юридические и физические, осуществляющие действия по обработке, использованию и передаче персональных данных. В число таких лиц включаются следующие субъекты.
Держатель персональных данных (контролер) − физическое или юридическое лицо, обладающее правом принимать любые законные решения в отношении обработки, использования и передачи персональных данных.
Пользователь персональных данных − физическое или юридическое лицо, использующее собранные и обработанные персональные данные, для которых оно не является держателем (контролером) данных.
Обработчик персональных данных − физическое или юридическое лицо, располагающее компьютерными или иными технологиями, и осуществляющее автоматизированную или ручную обработку данных, для которых оно не является держателем (контролером) данных.
Сборщик персональных данных − физическое или юридическое лицо, осуществляющее первичный сбор персональных данных [2, с. 27].
Cубъект персональных данных − это главный участник отношений, который может принимать предусмотренные законодательством меры по обеспечению охраны сведений о нем и предотвращению нанесения вреда его личности, доброму имени, репутации. Субъектом персональных данных является физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных [1].
В законодательстве Европейского союза отсутствует определение данного понятия. Однако доктрина и нормативные акты государств − членов ЕС позволяют заключить, что субъект персональных данных – это лицо, которое либо идентифицировано, либо идентифицируется в данный момент, либо может быть идентифицировано в будущем, прямо или косвенно, на основании относящихся к нему персональных данных, в частности, посредством ссылки на определенный идентификатор, такой, как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор, один или несколько других факторов, уникальных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица.
Правовой статус основан на концепции законной, прозрачной и контролируемой субъектом обработки данных, отвечающей интересам самого субъекта [4]. Такая концепция первоначально была изложена в Директиве № 95/46/ЕС о защите физических лиц при обработке персональных данных и о свободном обращении таких данных (далее − Директива 1995 г.).
В результате проведенной реформы европейского законодательства о персональных данных были приняты новая Директива ЕС «О защите физических лиц в отношении обработки персональных данных компетентными органами в целях предотвращения, расследования, обнаружения или уголовного преследования за уголовные преступления или исполнения уголовных наказаний, а также за свободное перемещение таких данных и отмене Рамочного решения Совета ЕС 2008/977/JHA» и новый Регламент (ЕС) № 2016/679 «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных)» (далее – Регламент).
Одним из главных нововведений Регламента необходимо признать закрепление на уровне ЕС права на забвение (право быть забытым). Директива 1995 г. позволяла гражданам требовать удаления данных, когда их хранение и обработка перестали быть необходимыми, или когда гражданин больше не желал пользоваться услугами компании. В то же время это совсем не означало, что по каждому запросу компания должна была удалять персональные данные пользователя.
В ст. 17 «Право на удаление (право на забвение)» Регламента сказано, что субъект данных имеет право добиваться от контролера удаления персональных данных, без неоправданной задержки, и контролер обязан удалить информацию, за исключением случаев, когда обработка необходима. Однако Регламент не разделяет «право на удаление» и «право быть забытым», что может вызвать сложности при осуществлении этого права на практике.
Право доступа субъекта данных к информации о нем содержалось и в Директиве 1995 г. Однако в новом Регламенте содержание данного права существенно расширено посредством включения в него положений о том, что субъект данных имеет право получить от контролера подтверждение о том, обрабатываются ли его персональные данные и о цели их обработки; сведения о получателях или категориях получателей, которым были или будут раскрыты личные данные; сведения о предполагаемом периоде, на протяжении которого будут храниться личные данные; наличие права требовать от контролера исправления или удаления персональных данных или ограничения обработки персональных данных; наличие автоматизированного принятия решений, в том числе профилирование (ст. 15 «Право доступа субъекта данных»).
Субъект данных вправе добиваться от контролера ограничения обработки персональных данных, если имеет место одно из следующих условий: точность персональных данных оспаривается субъектом данных в течение периода, позволяющего контролеру проверить точность этих персональных данных; обработка является незаконной, и субъект данных вместо удаления данных требует ограничения их использования; контролеру больше не нужны персональные данные для целей обработки, но они требуются субъекту данных для установления, осуществления прав или их защиты (ст. 18 «Право на ограничение обработки данных»).
Новеллой Регламента является положение о том, что субъект данных имеет право на получение персональных данных о себе, которые он предоставил контролеру в структурированном, обычно используемом или машиночитаемом формате (ст. 20 «Право на портативность данных»).
Право на возражение (секция 4) заключается в том, что субъект данных имеет право возражать против обработки его персональных данных, за исключением случаев, если эта обработка необходима для обеспечения общественных интересов или для осуществления полномочий, возложенных на контролера.
Методология
Методологическую основу исследования составляют общенаучные и частнонаучные методы, такие как диалектический материализм, системный, структурно-функциональный, исторический, общелогический, формально-юридический, сравнительно-правовой. Их применение в сочетании с современными достижениями философской, политологической, социологической и юридической мысли позволило провести всесторонний анализ правового статуса субъекта персональных данных в Европейском союзе и Российской Федерации.
Результаты
Анализ Регламента ЕС позволяет сделать вывод о том, что в этом документе содержится обширный перечень прав субъектов данных, которые детально регламентированы. Вместе с тем, не менее подробно Регламент устанавливает и ограничения прав субъектов данных, применяющиеся в особых случаях.
Сфера прав, предусмотренных в Регламенте, может быть ограничена в той мере, в какой ограничение является необходимой и пропорциональной мерой для обеспечения национальной и общественной безопасности и иных публичных интересов. При этом любая законодательная мера должна содержать конкретные положения относительно: целей обработки или категорий обработки; категорий персональных данных; объема введенных ограничений; гарантий предотвращения злоупотреблений или незаконного доступа или передачи данных; характеристик контролера или категорий контролеров; периодов хранения и применимых гарантий с учетом характера, объема и целей обработки или категорий обработки; рисков, связанных с правами и свободами субъектов данных.
Заключение
Новый Общий Регламент по защите данных более подробно раскрывает сущность прав субъектов данных, которые были предусмотрены в Директиве 1995 г., а также вводит регламентацию следующих прав субъекта: право на исправление, право на удаление (право на забвение), право на ограничение обработки данных, уведомление об исправлении или удалении личных данных или ограничении обработки, право на портативность данных. Все эти права закреплены в отдельной гл. 3 Регламента «Права субъекта данных», где помимо этого установлены условия осуществления прав субъекта данных, информация и доступ к персональным данным, обязанности контролера, связанные с осуществлением субъектом своих прав. Необходимо отметить, что в особых случаях законодательство ЕС или государства-члена может предусмотреть ограничения вышеуказанных прав, которые могут быть введены в действие только по основаниям, исчерпывающий перечень которых содержится в Регламенте. Включение данного перечня оснований в Регламент является важным элементом механизма правового регулирования защиты персональных данных в Европейском союзе.
1. Вельдер И.А. Система правовой защиты персональных данных в Европейском Союзе. Диссертация на соискание ученой степени кандидата юридических наук. − Казань, 2006. − 143 с.
2. Иванский В.П. Правовая защита информации о частной жизни граждан. Опыт современного правового регулирования. − Москва: РУДН, 1999. - 276 с.
3. Кучеренко А.В. Правовое регулирование персональных данных в Российской Федерации. Автореферат диссертации на соискание ученой степени кандидата юридических наук. Челябинск, 2010. - 23 с.
4. Право Европейского Союза: учебник для академического бакалавриата / С.Ю. Кашкин, П.А. Калиниченко, А.О. Четвериков; под ред. С.Ю. Кашкина. - 4-е изд., перераб. и доп. − Москва: Издательство Юрайт, 2019. − 386 с.
5. Garfinkel S.L. Database Nation; the Death of Privacy in the 21st Century. O'Reilly and Associates, 2000. - 319 p.
