Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Глава 9. Персональные данные в сфере электронной коммерции 3 страница

Преимущества электронных денег. | Механизм расчетов посредством электронных денег. | Правовое регулирование электронных денег в США. | Правовое регулирование электронных денег в Европейском союзе. 1 страница | Правовое регулирование электронных денег в Европейском союзе. 2 страница | Правовое регулирование электронных денег в Европейском союзе. 3 страница | Правовое регулирование электронных денег в Европейском союзе. 4 страница | Глава 8. РЕКЛАМА В СЕТИ ИНТЕРНЕТ | Баннерная реклама. | Глава 9. ПЕРСОНАЛЬНЫЕ ДАННЫЕ В СФЕРЕ ЭЛЕКТРОННОЙ КОММЕРЦИИ 1 страница |


Читайте также:
  1. 1 страница
  2. 1 страница
  3. 1 страница
  4. 1 страница
  5. 1 страница
  6. 1 страница
  7. 1 страница

7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

В большинстве своем данные принципы скопированы с положений зарубежных актов. Основным источником вдохновения выступила, безусловно, Директива N 95/46/ЕС "О персональных данных", ст. 6 которой содержит схожие принципы. Отдельные законы, имплементирующие положения данной Директивы, даже содержат в качестве приложения перечень принципов обработки данных и их законодательную интерпретацию <1>.

--------------------------------

<1> См., например: Schedule 1, UK Data Protection Act 1998.

 

Анализ содержания вышеуказанных принципов позволяет сделать вывод, что они направлены преимущественно на обеспечение права субъекта персональных данных на информацию о том, как используются его персональные данные, что, в частности, необходимо для обеспечения возможности предоставления ему информированного, конкретного и сознательного согласия на обработку своих персональных данных и влияния на процесс их обработки. Соответственно добросовестная обработка персональных данных оператором предполагает следующее:

1) предоставление субъекту персональных данных информации о конкретно сформулированной цели обработки, которая на практике не должна выходить за рамки такой цели;

2) отсутствие чрезмерности: объем и содержание обрабатываемых персональных данных должны быть минимально необходимыми для достижения поставленной цели и не быть более того, а по достижении такой цели - удалены;

3) субъекту персональных данных предоставлена реальная возможность влияния на процесс их обработки, в частности возможность требования их уточнения, дополнения, а в некоторых случаях удаления.

Указанные принципы находят свою конкретизацию в ряде положений Закона о персональных данных. В частности, в нормах, регламентирующих важнейшее право субъекта персональных данных - право на доступ к обрабатываемым персональным данным, порядок реализации которого предусмотрен в ст. 14. На основании запроса субъекта персональных данных оператор должен в доступной форме предоставить ему следующие сведения:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и местонахождение оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных Законом о персональных данных;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные Законом.

Особые информационные обязанности предусмотрены для оператора, который получил персональные данные не от субъекта персональных данных. В таком случае оператор, не дожидаясь запроса, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование либо фамилию, имя, отчество и адрес оператора (его представителя);

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные Законом права субъекта персональных данных;

5) источник получения персональных данных.

В ч. 4 ст. 18 Закона о персональных данных предусмотрены исключения из данной достаточно обременительной обязанности. К их числу относятся случаи уведомления субъекта о такой обработке "своим" оператором, которое может быть сделано в существующем между ними договоре, политике конфиденциальности или в индивидуальном порядке. В идеале данное исключение должно стимулировать операторов к максимальной прозрачности в части предоставления субъектам персональных данных информации об иных лицах, которые могут обрабатывать их данные, поскольку неисполнение этой обязанности будет возлагать дополнительные обременения на их контрагентов, чему те будут явно не рады. Другие исключения во многом повторяют перечень случаев, при которых допустима обработка персональных данных без согласия их субъекта (наличие связи с договором, стороной которого является такой субъект; общедоступный характер персональных данных; получение данных на основании закона; осуществление такой обработки для статистических или иных исследовательских целей и некоторые другие).

Реализация права субъекта персональных данных на доступ к обрабатываемым персональным данным является условием для реализации другого условия добросовестности их обработки - предоставления ему реальной возможности влияния на такую обработку <1>. В соответствии с ч. 1 ст. 14 Закона о персональных данных субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

--------------------------------

<1> College van burgemeester en wethouders van Rotterdam v. M.E.E. Rijkeboer. ECJ. Case C553/07. 07.05.2009.

 

На практике, к сожалению, добросовестная обработка персональных данных является скорее исключением, нежели правилом. Цели обработки формулируются весьма широко, что называется, на все случаи жизни; формы, заполняемые субъектами персональных данных, содержат в себе данные, которые являются чрезмерными; информация, предусмотренная Законом, редко предоставляется в объеме, предусмотренном Законом, если вообще предоставляется.

Помимо установленных мер ответственности, о которых будет сказано отдельно далее, соблюдению рассматриваемых принципов обработки персональных данных призвано способствовать принятие оператором специальных организационных и технических мер, направленных на соблюдение законодательства о персональных данных, в том числе по обеспечению сохранности персональных данных.

 

2.3. Реализация определенных организационно-технических

мер для обеспечения выполнения обязанностей оператора

и защиты персональных данных

 

Любые, даже наиболее продуманные законодательные положения обречены на декларативность в отсутствие реальных мер по их приведению в жизнь, выполняющих роль своего рода мостика между абстрактными требованиями закона и реальной практикой, сложившейся в сфере регулируемых отношений. Неудивительно, что законодательство о персональных данных, само появление которого стало следствием развития информационных технологий и обусловленных ими проблем, содержит ряд положений, регламентирующих технические аспекты защиты персональных данных. Однако, как известно, законодательство не может успеть за развитием технологий и его положения весьма быстро и неизбежно устаревают в этой части. Отсюда возникает основная проблема, связанная с обеспечением соблюдения положений законодательства о персональных данных, - отсутствие четкого представления о том, какие организационно-технические меры являются необходимыми и достаточными для того, чтобы не было оснований для привлечения оператора к ответственности за нарушение требований Закона. Идентификация и последующая реализация таких мер составляет основное бремя законопослушного оператора персональных данных, и нередко самостоятельно он справиться с данной задачей не в состоянии.

С одной стороны, Закон вроде бы закрепляет отдельные меры и принципы их реализации. С другой стороны, Закон предусматривает обширное подзаконное регулирование, которое, в свою очередь, отдает его детализацию на откуп регуляторам (в частности, ФСБ России и ФСТЭК России). Следствием данного подхода является наличие ряда противоречащих друг другу разъяснений и избирательное правоприменение. Естественно, что в такой ситуации даже самые тщательные попытки обеспечения соответствия требованиям Закона о персональных данных не гарантируют ожидаемых результатов.

Начнем с того, что Закон о персональных данных в ст. 18.1 приводит неисчерпывающий перечень мер, направленных на обеспечение соблюдения оператором законодательства о персональных данных:

1) назначение ответственного за организацию обработки персональных данных;

2) издание документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных и т.п.;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со ст. 19 данного Закона;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям законодательства по защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований Закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом;

6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

Вроде бы указанные меры являются относительно понятными и разумными. К тому же Закон отдает на усмотрение самих операторов состав и перечень мер, которые являются, по его мнению, необходимыми и достаточными для обеспечения выполнения своих обязанностей. И даже рекомендует применение при этом риск-ориентированного подхода, т.е. оценки возможного вреда, который может быть причинен субъектам персональных данных в случае нарушения требований законодательства с последующим его соизмерением с характером мер, принимаемых для его предотвращения <1>. Однако на практике их реализация связана с существенными затруднениями.

--------------------------------

<1> Любопытно, что Закон о персональных данных упоминает применение риск-ориентированного подхода в качестве одной из мер, обеспечивающих выполнение обязанностей оператора, обозначая ее следующим образом: "...оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом" (п. 5 ч. 1 ст. 18.1). Однако очевидно, что оценка вреда и соизмерение с ним характера принимаемых мер по его предотвращению являются скорее критериями для решения вопроса о целесообразности и достаточности вводимых мер, а не самостоятельной мерой.

 

Применительно к сфере электронной коммерции здесь важно отметить, что в качестве обязательной меры для реализации всеми субъектами электронной коммерции выступает мера N 2. В соответствии с ч. 2 ст. 18.1 Закона о персональных данных "оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети". Таким образом, наличие на веб-сайте субъекта, осуществляющего предпринимательскую деятельность в сети Интернет, которая так или иначе связана с обработкой персональных данных клиентов, политики конфиденциальности (privacy policy) является не просто отражением современных "лучших практик" (best practices), но и требованием Закона.

Однако наибольшие сложности в практическом плане представляет реализация меры N 3, а именно определение необходимого уровня принимаемых организационных и технических мер по защите персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.

Для того чтобы определить, какие именно меры в этой части должны быть приняты, необходимо сначала установить, к какому уровню защищенности должна относиться используемая оператором система обработки персональных данных. В соответствии с Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 <1> существует четыре уровня защищенности, дифференцируемые в зависимости от:

--------------------------------

<1> Постановление Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

 

1) категории обрабатываемых персональных данных (специальные, биометрические, общедоступные, иные);

2) характера отношений между оператором и субъектом персональных данных (является работником (сотрудником) оператора или нет);

3) количества субъектов, данные которых обрабатываются (менее 100000 или более 100000);

4) типов актуальных угроз безопасности такой системы (угрозы 1-го типа - наличие недекларированных (недокументированных) возможностей в системном программном обеспечении, используемом в системе; угрозы 2-го типа - наличие недекларированных возможностей в прикладном программном обеспечении, используемом в ИСПДн; угрозы 3-го типа - наличие недекларированных возможностей в обоих видах программного обеспечения, используемого в системе) <1>.

--------------------------------

<1> Данный критерий является наиболее сложным для оценки и в ряде случаев потребует привлечения специализированной организации в области информационной безопасности.

 

После определения требуемого уровня защищенности в отношении системы персональных данных оператор должен применять организационно-технические меры, предусмотренные для данного уровня защищенности <1>. Вряд ли имеет смысл приводить здесь их подробный перечень и описание, учитывая, что их подбор и реализация - вопрос не столько юридический, сколько технический. В то же время имеет смысл отметить, что при невозможности технической реализации отдельных предписанных в подзаконных актах мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности оператором могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных. В этом случае в ходе разработки системы защиты персональных данных должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности персональных данных. На практике указанный процесс находит свое воплощение в составлении модели угроз, в которой идентифицируются актуальные для данного оператора угрозы, а также принимаемые организационные и технические меры их нейтрализации. При этом, несмотря на то что и Закон о персональных данных, и подзаконные акты гласят, что в основе моделирования угроз должна лежать так называемая оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований закона, на настоящий момент отсутствует методика его расчета.

--------------------------------

<1> Перечень указанных мер содержится в Приказе ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

 

Как видно, подзаконные акты используют достаточно сложную систему критериев, применяемых при определении требуемого уровня защищенности системы персональных данных, но допускают определенную степень усмотрения оператора при выборе мер защиты в зависимости от технических и экономических реалий. Все это уже создает неопределенность относительно того, насколько "конечный результат" реализации данных положений устроит регулирующий орган. Однако на этом проблемы операторов не заканчиваются.

Так, например, на практике часто возникает вопрос, должны ли используемые в системе персональных данных средства защиты информации быть сертифицированными. По мнению ФСТЭК России, такие средства должны пройти оценку соответствия в форме обязательной сертификации <1>. При этом обычно делаются ссылки на некое Постановление Правительства РФ от 15 мая 2010 г. N 330 <2>, которое содержит гриф "Для служебного пользования" и не является опубликованным. Алексей Лукацкий, один из наиболее видных специалистов в области информационной безопасности, весьма убедительно аргументирует незаконность такого толкования со ссылкой на положения Федерального закона от 27 декабря 2002 г. N 184 "О техническом регулировании" (далее - Закон о техническом регулировании) и ч. 2 ст. 4 Закона о персональных данных, предусматривающей необходимость публикации нормативных актов по вопросам обработки персональных данных. Тем не менее риск возникновения проблем, связанных с использованием несертифицированных средств защиты информации, является пока вполне ощутимым <3>.

--------------------------------

<1> См., например: информационное сообщение ФСТЭК России от 4 мая 2012 г. N 240/24/1701 "О работах в области оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа" (п. 4).

<2> Постановление Правительства РФ от 15 мая 2010 г. "Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)".

<3> См. подробнее: Лукацкий А. Надо ли применять сертифицированные средства защиты персональных данных? // http://www.slideshare.net/lukatsky/ss-14591225. См. также: Материалы круглого стола "Персональные данные - год после новой редакции закона" // http://www.youtube.com/watch?v=9KyP1sa6RO8.

 

Как видно, обеспечение соответствия используемой оператором системы обработки персональных данных является весьма трудозатратным и дорогостоящим процессом, который к тому же в ряде случаев оператор не сможет реализовать без помощи специализированных организаций и консультантов.

 

2.4. Направление уведомления в уполномоченный орган

об обработке персональных данных

 

Оператор до начала обработки персональных данных должен направить в уполномоченный орган по защите прав субъектов персональных данных (в настоящее время - Роскомнадзор <1>) уведомление о намерении осуществлять обработку персональных данных, на основании которого он ведет общедоступный реестр операторов персональных данных <2>.

--------------------------------

<1> Пункт 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утв. Постановлением Правительства РФ от 16 марта 2009 г. N 228.

<2> http://www.pd.rkn.gov.ru/operators-registry/operators-list

 

Данное уведомление подлежит направлению во всех случаях, кроме предусмотренных Законом случаев допустимости осуществления обработки без такого уведомления. В числе таких оснований, актуальных для сферы электронной коммерции, Закон предусматривает обработку оператором персональных данных: 1) своих работников; 2) своих контрагентов для целей, связанных исключительно с заключением или исполнением договора, без распространения их третьим лицам; 3) носящих общедоступный характер; 4) если обрабатываемые персональные данные ограничены исключительно фамилией, именем и отчеством субъекта (см. ч. 2 ст. 22 Закона о персональных данных).

Конечно, указанные исключения дают определенную свободу действий субъектам хозяйственной деятельности, которые неизбежно вынуждены иметь дело с персональными данными. Однако данные исключения носят весьма ограниченный характер, поэтому, опираясь только на них, на комфортную обработку персональных данных рассчитывать не придется. В связи с этим любому интернет-магазину или онлайн-сервису, который рассчитывает на установление длительных отношений со своими клиентами (пользователями), целесообразно подать такое уведомление.

Содержание уведомления регламентировано в ч. 3 ст. 22 Закона о персональных данных. Помимо сведений об операторе оно должно содержать данные об обрабатываемых категориях и видах персональных данных, целях обработки, принимаемых организационно-технических мерах по защите и пр. Также необходимо иметь в виду Рекомендации, изданные Роскомнадзором по вопросам заполнения формы уведомления <1>.

--------------------------------

<1> Приказ Роскомнадзора от 19 августа 2011 г. N 706 "Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных".

 

2.5. Соблюдение особых требований

к трансграничной передаче данных

 

Наличие особых требований к трансграничной передаче данных является составной частью практически любого современного законодательного акта, посвященного персональным данным.

Регулирование данных вопросов начало появляться в 70-е гг. прошлого века в Европе. К примеру, законы Австрии <1>, Швеции <2> требовали наличия согласия от уполномоченного органа на передачу персональных данных за пределы страны. Закон о персональных данных Финляндии требовал наличия специального согласия субъекта персональных данных на их передачу в другие страны <3>.

--------------------------------

<1> Datenschutzgesetz vom. 18.10.1978. § 32, 34.

<2> Swedish Data Act of 1973. Article 11.

<3> Finnish Personal Data File Act and Personal Data File Decree. 30 April 1987. § 22.

 

Во времена, когда указанные акты принимались, практика трансграничной передачи данных не имела повсеместного характера и носила характер исключения <1>. Основной причиной появления положений о трансграничной передаче данных стали опасения европейских законодателей по поводу возможности обхода законодательных положений о защите персональных данных путем "вывода" процесса их обработки в иные юрисдикции, что могло повлечь появление "информационных офшоров" (data havens). Данные опасения являются основным объяснением существования данных положений и поныне <2>.

--------------------------------

<1> Kuner C. Transborder Data Flows and Data Privacy Law. Oxford University Press, 2013. P. 26 - 28.

<2> Hague Conference on Private International Law, Cross-Border Data Flows and Protection of Privacy (13 March 2010) // http://www.hcch.net/upload/wop/genaff2010pd13e.pdf.

 

Другой причиной введения ограничений на свободный обмен информацией между разными странами являются опасения утраты государством контроля над своим информационным суверенитетом <1>. В качестве примера реальной ситуации, где такие опасения материализовались, можно привести случай с американской корпорацией Dresser, французское подразделение которой имело контракт с СССР на поставку оборудования для газопровода из Урала в Западную Европу. Впоследствии выяснилось, что данный договор противоречил экспортному законодательству США, в связи с чем головная компания корпорации Dresser отказалась его выполнять и в ответ на требования французского правительства о его исполнении отключила своему французскому подразделению доступ к корпоративной сети, по которой осуществлялся доступ к программному обеспечению, необходимому для реализации договора <2>.

--------------------------------

<1> Gotlieb A. et. al. The Transborder Transfer of Information by Communications and Computer Systems: Issues and Approaches to Guiding Principles // American Journal of International Law. 1974. N 68. P. 246 - 247.

<2> Schoonmaker S. High-Tech Trade Wars: US-Brazilian Conflicts in the Global Economy. University of Pittsburgh Press, 2002. P. 46 - 47.

 

В особенности опасения за свой информационный суверенитет свойственны развивающимся странам. Так, в резолюции, принятой на латиноамериканской конференции регуляторов в сфере информации 1982 г., отмечалось непосредственное влияние вопросов трансграничной циркуляции информации на национальный суверенитет и рекомендация о включении в национальные законы о защите информации ограничений на ее хранение и обработку за границей, что должно способствовать развитию национальной информационной инфраструктуры <1>. Однако и иные страны выражают опасения по поводу возможности попадания персональных данных своих граждан в руки иностранных правоохранительных органов, преимущественно США <2>.

--------------------------------

<1> Recommendation Directly Pertaining to Transborder Data Flows Adopted by the Third Conference of Latin American Informatics Authorities, Recommendation Number 12. Schoonmaker S. Op. cit. P. 48.

<2> Так, в некоторых провинциях Канады был введен запрет на аутсорсинг персональных данных, в результате которого они могут оказаться под юрисдикцией США. Information & Privacy Commissioner for British Columbia, Privacy and the USA Patriot Act: Implications for British Columbia Public Sector Outsorting. October 2004 // http://www.oipc.bc.ca/special-reports/1271. Сообщество всемирных межбанковских финансовых телекоммуникаций (SWIFT) также заявило об изменении технической архитектуры обработки данных внутриевропейских транзакций для предотвращения их выхода за пределы Европы и возможного попадания под юрисдикцию США. См.: SWIFT Board approves messaging re-architecture. 4 October 2007 // http://www.swift.com/about_swift/legal/swift_board_approves_messaging_re_architecture?rdct=t.

 

Напротив, США рассматривают свободную циркуляцию информации в качестве одной из основ национального суверенитета. Как отметил один американский политик, одним из способов атаки на США, в высокой степени зависящей от информационно-телекоммуникационных технологий, может выступить ограничение свободы обращения информации, которое может повлечь изоляцию территориальных подразделений трансграничных компании от их штаб-квартиры <1>.

--------------------------------

<1> Schoonmaker S. Op. cit. P. 51.

 

В последнее время опасения за сохранность информационного суверенитета стали вновь высказываться в связи с развитием облачных технологий и перспектив попадания данных под юрисдикцию государств, предусматривающих широкие полномочия правоохранительных органов по доступу к ней <1>. В связи с этим установление дополнительных ограничений на обработку персональных данных за рубежом является вполне удобным инструментом для обеспечения под прикрытием защиты прав граждан на сохранность информации об их личной жизни более "высоких" интересов.

--------------------------------

<1> Irion K. Government Cloud Computing and The Policies of Data Sovereignty. September 2011.

 

Положения об условиях допустимости передачи данных содержатся в ряде документов: в Основных положениях ОЭСР о защите неприкосновенности частной жизни и международных обменах персональными данными от 23 сентября 1980 г. (ст. ст. 15 - 18) <1>, Конвенции о защите физических лиц при автоматизированной обработке персональных данных (ст. 12 и ст. 2 дополнительного протокола к Конвенции от 2001 г.), Директиве N 95/46/ЕС "О персональных данных" (ст. ст. 25 - 26) и большинстве национальных актов о защите персональных данных <2>.


Дата добавления: 2015-08-02; просмотров: 78 | Нарушение авторских прав


<== предыдущая страница | следующая страница ==>
Глава 9. ПЕРСОНАЛЬНЫЕ ДАННЫЕ В СФЕРЕ ЭЛЕКТРОННОЙ КОММЕРЦИИ 2 страница| Глава 9. ПЕРСОНАЛЬНЫЕ ДАННЫЕ В СФЕРЕ ЭЛЕКТРОННОЙ КОММЕРЦИИ 4 страница

mybiblioteka.su - 2015-2024 год. (0.022 сек.)