Россия подписала протокол изменений в европейскую конвенцию о защите персональных данных
В Страсбурге 10 октября 2018 г. состоялось подписание протокола о внесении изменений в европейскую Конвенцию о защите персональных данных. Россия наряду с 19 государствами-членами Совета Европы поддержала обновленную редакцию договора. Изменения коснутся обязательств по усилению контроля над оборотом персональных данных, обработки «специального» типа данных, таких как биометрия или генетические данные, а также регулирования трансграничного обмена и международного сотрудничества.
Конвенция о защите физических лиц при автоматизированной обработке персональных данных, также известная как «Конвенция 108», является в настоящее время единственным глобальным международным договором в сфере защиты персональных данных, носящим юридически обязывающий характер. Цель документа состоит в обеспечении на территории каждой страны для каждого физического лица, уважения его прав и основных свобод, и в частности права на неприкосновенность частной жизни, в отношении автоматизированной обработки персональных данных. В сферу применения конвенции входит обработка данных в государственных и частных сферах, однако конвенция не распространяется на обработку данных, осуществляемую физическим лицом для сугубо личных или бытовых надобностей. Первый вариант документа составлен в 1981 г., его участниками являются 47 государств-членов СЕ, среди них Россия, а также Кабо-Верде, Маврикий, Мексика, Сенегал, Тунис и Уругвай.
«Уже сегодня мы живем в цифровом мире, и здесь правила и законы не могут эффективно исполняться в границах только одного государства, – отметил директор Института развития интернета Сергей Петров. – Современного человека окружает огромное количество гаджетов и устройств, снимающих данные и обязанность регуляторов как внутри любой страны, так и на международном уровне, гарантировать защиту личной информации, обеспечить единые правила, стандарты обмена и доступа к данным, а также разработать подходы к разумному регулированию рынка данных с учетом баланса интересов участников».
Свои подписи под документом уже поставили Австрия, Бельгия, Болгария, Великобритания, Германия, Ирландия, Испания, Латвия, Литва, Люксембург, Монако, Нидерланды, Норвегия, Португалия, Российская Федерация, Финляндия, Франция, Чехия, Швеция, Эстония, а также Уругвай.
«Присоединением к протоколу, Россия выражает свою солидарности с европейскими странами в вопросах защиты персональных данных, а также выражает готовность к диалогу и объединению усилий в борьбе с общими вызовами в цифровом пространстве», – сказал Петров.
В число нововведений Конвенции входит повышение уровня требований к соблюдению принципов пропорциональности и «минимизации» личных данных, а также накладывает на государства дополнительные обязательства по обеспечению обработки данных на основе добровольного, четко выраженного, информированного и однозначного согласия субъекта данных.
Расширяется состав типов конфиденциальных сведений, обработка которых отнесена к «специальной категории» и может быть осуществлена только в том случае, если законом установлены соответствующие гарантии. Теперь к ним отнесены генетические данные, биометрические данные, персональные данные, касающиеся правонарушений, уголовного судопроизводства, а также данные о членстве в профсоюзах и этническом происхождении.
Кроме того, государства-члены Совета Европы согласились с предложением России по вопросу трансграничной передачи персональных данных. Документ должен способствовать передаче данных через национальные границы, в то же время обеспечивая эффективную защиту при их использовании в соответствии с различными национальными и международными нормативно-правовыми базами, включая новое законодательство Европейского Союза по регулированию трансграничных потоков данных, вступившее в силу в мае. В этих целях предусматривается расширение правовых основ международного сотрудничества в данной области.
В число новых требований, вводимых Протоколом, входят обязательства по информированию о взломе баз, содержащих личные данные. А также предусматривает повышение ответственности операторов персональных данных и прозрачность процессов обработки сведений. Положения документа требуют соблюдения принципа «проектируемой конфиденциальности», то есть интеграции мер защиты персональных данных на этапе проектирования систем их обработки.
Также предусмотрено учреждение одного или нескольких надзорных органов, и создание комитета сторон – структуры, уполномоченной проводить выездные проверки, оценивать степень выполнения конвенции и выносить рекомендации о более эффективной реализации государствами требований конвенции.
Стоит отметить, что в настоящее время действия с данными пользователей на территории Российской Федерации регулируются Федеральным законом «О безопасности критической информационной инфраструктуры Российской Федерации» (ФЗ–187) и «О персональных данных» (ФЗ-152).
В мае 2018 г. в Евросоюзе вступил в силу Общий регламент о защите данных (General Data Protection Regulation, GDPR). Который обязывает все компании, которые обрабатывают (как внутри, так и за пределами ЕС) персональные данные граждан европейских стран, обязаны соблюдать требования этого документа.