Изменения, связанные с регулированием персональных данных (информации о личной жизни человека), происходят сейчас во многих государствах.
Причин этому достаточно много: глобализация бизнеса (циркуляция персональных данных между многими странами), активное использование цифровых, в том числе, мобильных, технологий (хранение личных сведений в «облаках», устройства геолокации), рост сетевого пиратства и борьбы с ним (сбор доказательств в отношении правонарушителей), быстрое расширение социальных сетей и иных медиа, увеличивающееся стремление государств контролировать сетевые, массовые коммуникации, заинтересованность бизнеса в индивидуализации интернет-рекламы, повышении ее эффективности, и так далее.
Много существует подходов, которых придерживаются государства, устанавливающие правила игры в сфере персональных данных: от максимальной защиты неприкосновенности таких данных до почти полного отрицания права на анонимность в сетевых коммуникациях.
Помимо этого, все более наглядной становится взаимосвязь персональных данных и интеллектуальной собственности в Интернете. Раскрытие персональных данных в интересах правообладателей зачастую становится самым распространенным и самым надежным инструментом защиты интеллектуальных прав. Такое раскрытие требуется при сборе сведений о тех лицах, которые скачивают или распространяют контрафактные произведения, и при установлении глобальных систем контроля и фильтрации трафика, и при введении запретов на доступ к определенным сайтам пользователям из определенных стран, и при внедрении различных прав доступа к контенту в отношении различных групп пользователей, и в ряде иных случаев.
Максимальное использование персональных данных позволяет настраивать глобальные, технологически эффективные и экономичные системы защиты прав на объекты интеллектуальной собственности. Но именно они чаще всего граничат с нарушением основополагающих прав человека — права на неприкосновенность личной жизни, на свободу слова, на свободу распространения информации.
Поэтому представляется весьма важным изучение тенденций трансформации правового регулирования как интеллектуальной собственности, так и персональных данных. Изменения в одной из этих сфер неизбежно повлияют на состояние дел в другой сфере. Усиление защиты интеллектуальной собственности в сети Интернет зачастую ведет к ослаблению защиты персональных данных, и наоборот: упрочение правовых гарантий неприкосновенности частной жизни ослабляет возможности защиты интеллектуальных прав.
А тот факт, что подобные изменения сейчас активно обсуждаются и внедряются во многих странах, причем сразу в обеих сферах, не вызывает никаких сомнений.
Активно обсуждаются эти вопросы и в рамках Евросоюза. В будущем году Европейская Комиссия планирует ввести в действие обновленные нормы, касающиеся регулирования персональных данных.
На данном примере можно наглядно показать сложности и противоречия, которые существуют в мире в вопросах зашиты частной жизни граждан.
Так, действующее законодательство Евросоюза устанавливает, что персональные данные граждан всех входящих в его состав государств должны охраняться согласно единым европейским принципам независимо от того, в какой стране мира фактически хранятся такие данные. В связи с этим запрещается передача персональных данных в те государства или тем иностранным компаниям, которые не выполняют европейские требования.
Например, чтобы американские компании получили право обрабатывать личные сведения граждан Евросоюза, они должны получить сертификат о том, что соблюдают соответствующие принципы (Safe Harbor Principles), установленные соглашением между Евросоюзом и Министерством торговли США. И в случае такой передачи данных действует важное правило о том, что на них в любом случае распространяется защита по законодательству той страны, резидентом которой является их владелец.
В то же время американский US Patriot Act закрепляет весьма отличающиеся от европейских принципов нормы. Во-первых, согласно ему, государственные органы США имеют право получать доступ к любым персональным данным американских граждан и юридических лиц, хранящихся в США или в любой иной стране мира, без разрешения этих лиц и без уведомления их о таком доступе. Во-вторых, уполномоченные органы США имеют доступ к любым данным, расположенным на территории США или где-либо в другой стране мира, если их хранение осуществляют американские компании.
Поэтому неизбежны конфликтные ситуации, когда американские компании оказывают услуги для резидентов Евросоюза, связанные с обработкой их персональных данных, как это имеет место, например, в случае облачных сервисов или различных социальных медиа.
Вернемся к рассмотрению планируемых европейских изменений.
На сегодняшний день в Евросоюзе действуют две основные Директивы, определяющие правовые рамки охраны персональных данных: Директива 95/46/ЕС Европейского Парламента и Совета от 24.10.1995 года о правовой охране граждан относительно обработки персональных данных и свободного перемещения таких данных и Директива 2002/58/ЕС Европейского Парламента и Совета от 12.07.2002 года об обработке персональных данных и охране частной жизни в сфере электронных коммуникаций (так называемая e-Privacy Directive).
Европейская Комиссия должна была начать пересмотр положений Директивы о защите данных 1995 года еще летом 2010 года, но до сих пор откладывала. Следующий срок назначен на январь 2012 года. И к середине 2012 года предложения Комиссии должны быть переданы на рассмотрение Европарламента.
Пока не ясен ожидаемый итоговый результат: будет ли это набор обновленных директив (которые должны быть включены в национальные законодательства, но в некоторых случаях либо нарушается срок, либо имплементация происходит не в полном объеме) или четкие, обязательные для всех государств-членов ЕС указания.
Будет ли в поправках, рассматриваемых в Европейской Комиссии, установлен строгий запрет на передачу данных компаниям, не соблюдающим законодательство Евросоюза, или сделаны относительные послабления для ряда государств, пока также неизвестно. Но в любом случае требования к социальным медиа и облачным сервисам, ведущим деятельность в Европе, будут серьезно ужесточены.
В совместном заявлении Комиссар Евросоюза по вопросам правосудия, основных прав и гражданства Вивьен Рединг (Viviane Reding) и Ильзе Айгнер (Ilse Aigner), Федеральный министр Германии по защите потребителей, сообщили: «Мы обе полагаем, что компании, оказывающие услуги потребителям в Евросоюзе, должны подчиняться законодательству ЕС о защите данных. В противном случае, они не должны иметь возможности вести бизнес на нашем внутреннем рынке. Это также применимо и к социальным сетям, пользователи которых находятся в ЕС. Мы должны убедиться, что они подчиняются законам ЕС и что законы ЕС соблюдаются, даже если эти компании располагаются в третьих странах и даже если их данные хранятся в «облаке».
Общее описание планируемых изменений можно найти в Сообщении Европейской Комиссии для Европейского Парламента, Совета, Экономического и Социального Комитета и Комитета регионов от 04.11.2010, имеющем подзаголовок «Всесторонний обзор защиты персональных данных в Европейском Союзе».
Все поправки делятся на несколько категорий:
1. Укрепление прав человека.
1.1. Обеспечение должной защиты прав человека при любых обстоятельствах, в частности, в связи с появлением новых технологий и необходимостью свободного обращения данных на внутреннем рынке.
1.2. Увеличение прозрачности при обработке персональных данных (чтобы лица обладали четким пониманием, кто, для каких целей и на какой срок собирает о них информацию): законодательное закрепление общих принципов прозрачности обработки данных, обязанностей операторов персональных данных, разработка стандартизированных форм информационных уведомлений о сборе и использовании данных, а также уведомлений о допущенных нарушениях при обработке сведений.
1.3. Усиление контроля за обращением персональных данных:
– упрочение принципа минимизации используемых сведений;
– расширение возможностей реализации прав граждан на доступ, исправление, удаление или блокирование информации о частной жизни (в том числе, путем закрепления сроков ответов на запросы граждан, электронных способов осуществления прав, бесплатности таких способов);
– прояснение так называемого «права быть забытым» (right to be forgotten): удаление персональных данных по окончании необходимости их использования в легальных целях, после отзыва согласия на их обработку, или по окончании срока их дозволенного хранения (это право может быть реализовано, например, в случае удаления человеком своего аккаунта в социальной сети — вся размещенная им ранее в социальной сети информация, по его желанию, должна быть полностью удалена);
– обеспечение «портативности данных» – по требованию лица его личные данные (например, фотографии или список друзей) должны быть перенесены владельцами какой-либо программы или сервиса в иную программу или сервис, насколько это технически возможно, без препятствования в этом.
1.4. Повышение осведомленности частных лиц об их права и об обязанностях операторов данных.
1.5. Правило об информированном и свободном согласии человека на обработку сведений о его частной жизни.
1.6. Повышенная защита конфиденциальных сведений: о расовой и этнической принадлежности, политических убеждениях, религиозных или философских верованиях, профсоюзном членстве, здоровье и сексуальной жизни, генетической информации; расширение этого перечня, при необходимости.
1.7. Увеличение эффективности средств правовой защиты и санкций за нарушение правил обработки персональных данных.
2. Улучшения в отношении внутреннего рынка.
2.1. Повышение правовой определенности и установление единых правил игры для всех операторов персональных данных.
2.2. Снижение административного бремени: гармонизация и упрощение существующей уведомительной системы.
2.3. Прояснение принципов о применимом праве, ответственности государств-членов ЕС за внедрение правил защиты персональных данных и предоставление единого уровня защиты прав граждан независимо от местонахождения оператора таких данных.
2.4. Усиление ответственности операторов персональных данных за выполнение их обязанностей.
2.5. Поддержка инициатив о саморегулировании операторов персональных данных, внедрение сертификационной системы ЕС (например, путем присуждения знака о защищенности частной жизни (privacy seal) технологиям, продуктам, сервисам или процессам, соответствующим законодательству о персональных данных).
3. Проверка системы защиты персональных данных в процессе полицейского и судебного взаимодействия по уголовным делам.
4. Глобальный уровень защиты персональных данных.
4.1. Прояснение и упрощение международной передачи данных, разработка единых принципов международных соглашений о передаче данных, фиксирование стандартов проверки третьих стран на достаточность защиты частной жизни и требование их неукоснительного соблюдения всеми государствами-членами.
4.2. Продвижение универсальных принципов: поскольку стандарты, разрабатываемые Евросоюзом, становятся образцом для многих третьих стран, необходимо улучшение и дальнейшее продвижение таких высоких стандартов, более тесное взаимодействие с третьими странами и международными организациями для повышения глобального уровня защищенности частной жизни.
Будет ли законодательство Евросоюза о персональных данных развиваться в выбранном направлении, увидим в 2012 году.
Скоро станет ясным и направление изменений в этой сфере, принятое США: совсем скоро планируется обсуждение одиозного The Stop Online Piracy Act (Sopa). И в нем четко проявляется все та же тенденция взаимозависимости и взаимного влияния положений о персональных данных и об интеллектуальной собственности. Но об этом в данном блоге будет рассказано позднее.
Интересный у Вас блог. Узнал много нового. Благодарю за контент
Спасибо! Рад поделиться интересной информацией.
Присоединяюсь к комплименту. Читаю уже третий день по чуть чуть и намерена пересчитать все статьи,так как ip – моя специализация и ваш сайт для меня очень полезен
Спасибо!