Системы защиты информации в ведущих зарубежных странах. Ч. 2
.pdf121
ных». Приведенная оговорка призвана предупредить существующую среди пользователей данных уловку (прием): чтобы данные не подпадали под законодательство о защите персональных данных, они хранят их в компьютере в псевдообезличенной форме, т.е. без упоминания идентифицирующих сведений о субъекте данных, но с привязкой к идентификационным кодам. Таблица соответствия кодов и субъектов данных хранится отдельно в ручной или электронной форме и при необходимости обеспечивает идентификацию субъектов данных. Объясняется это тем, что Великобритания разрабатывала свой закон о защите персональных данных на основе конвенции № 108 Совета Европы, имея возможность учесть опыт зарубежных стран.
По законодательству Великобритании к субъектам защиты персональных данных относятся: субъект данных, пользователь данных, компьютерное бюро.
Субъект данных – индивидуум, к которому относятся персональные данные и который может быть идентифицирован с их помощью. Он имеет право:
–быть информированным пользователем данных относительно того, содержат ли данные, хранящиеся у такого пользователя данных, персональную информацию, относящуюся к данному субъекту;
–подать запрос и получить от пользователя данных копию информации (его персональные данные), а также пояснительный материал, раскрывающий значение непонятных моментов. Просьба о предоставлении данных субъекту данных должна излагаться в письменной форме, за доступ к ней должна быть выплачена определенная сумма; пользователь данных должен удостовериться в том, что запрос сделан действительно субъектом данных, или имеется разрешение непосредственного субъекта данных на доступ к его персонифицированной информации другого лица;
–требовать от пользователей данных обеспечения защиты персональных данных о себе;
–требовать возмещения ущерба, причиненного неточностью персональных данных о себе, а также за потерю или несанкционированное разглашение данных;
–прибегать к судебной защите нарушенного права субъекта дан-
ных.
122
Понятие «пользователь данных» определяется в британском законодательстве как лицо, в распоряжении которого находятся данные и которое распоряжается этими данными, если:
–данные являются составной частью базы данных, обработанных или предназначенных для обработки таким лицом или по его поручению;
–это лицо самостоятельно, совместно или по договоренности с другими лицами контролирует содержание данных и пользуется данными, составляющими базу данных;
–данные собраны в форме, в которой они были обработаны, или позволяющей их обрабатывать в форме, которую они приняли после их обработки, и с учетом возможности их последующей обработки в будущем.
Иными словами, пользователь данных – физическое или юридическое лицо, осуществляющее обработку, использование или передачу персональных данных.
Британская терминология пользователя данных несколько расходится с общепринятой терминологией, которая, ко всему прочему, различает такие понятия, как «держатель данных», «обработчик данных». Держатель данных определяется как лицо, обладающее наибольшей степенью контроля над персональными данными, имеющее право принимать любые законные решения в отношении хранящихся
унего данных. Обработчик данных – физическое или юридическое лицо, осуществляющее автоматизированную или ручную обработку данных, для которых оно не является держателем данных. При этом в британском законодательстве понятие пользователя данных подразумевает категорию держателя данных, а понятие компьютерное бюро – обработчика данных.
Компьютерное бюро – понятие, присущее исключительно британскому национальному законодательству. Под этим термином понимается лицо, оказывающее услуги по сбору и обработке данных другим лицам. Оно действует в качестве агента других лиц по обработке данных, хранящихся у этих лиц, и позволяет использовать свое оборудование с целью такой обработки. С точки зрения защиты персональных данных к компьютерному бюро предъявляется требование по соблюдению одного из восьми фундаментальных принципов защиты данных – следует принять и использовать при выполнении своих функций надлежащие меры по защите персональных данных
123
от несанкционированного доступа, их изменения, раскрытия и уничтожения, а также от их случайной потери или уничтожения.
При определении роли рассмотренных субъектов в защите персональных данных необходимо показать их заинтересованность в соблюдении законных требований к защите данных.
Субъект данных заинтересован в защите своих персональных данных в силу того, что они затрагивают его самого и являются мерилом степени риска, который потенциально может иметь место при ненадлежащем обращении с его персонифицированными сведениями, обрабатываемыми автоматизированно третьими лицами.
Заинтересованность пользователя данных в их защите определяется возможностью заниматься подобной деятельностью в качестве пользователя данных. При нарушении им принципов защиты возможно аннулирование регистрации, а также привлечение самого пользователя данных к судебной ответственности. Все это явно не поможет в достижении первоначально поставленных целей.
Заинтересованность компьютерных бюро в защите персональных данных определяется степенью доверия к нему со стороны пользователя данных, что обеспечивает (или, наоборот, не обеспечивает) целесообразность его существования.
Таким образом, персональные данные в Великобритании – «чувствительные» данные о конкретных людях, т.е. те данные, которые имеют пороговую степень уязвимости в силу того, что касаются интимных сторон частной жизни индивидуумов – расовая принадлежность, вероисповедание, политические убеждения, состояние здоровья, факты сексуальной жизни, привлечение к уголовной ответственности. Подобные сведения являются сугубо индивидуальными, они позволяют идентифицировать человека, а также при ненадлежащем использовании дискредитировать его. В законодательстве явно указывается на то, что подобные сведения подлежат защите, если они обрабатываются и хранятся третьими лицами автоматизированно с применением средств вычислительной техники. В британском законодательстве имеются особенности по раскрытию понятия «персональных данных» – эта категория информации включает, кроме всего прочего, мнение о лице, которое также может способствовать идентификации лица. Кроме того, любая информация, находящаяся в распоряжении пользователя данных, может подпадать под действие британского законодательства о защите персональных данных, когда с ее помощью лицо может быть
124
идентифицировано. Еще одна особенность британского законодательства – это четкость в квалификации субъектов защиты персональных данных: тот, кого касается информация (субъект данных); тот, кто распоряжается данными (пользователь данных), и тот, кто оказывает услуги по сбору и обработке данных (компьютерное бюро). Регулирование деятельности вышеперечисленных субъектов составляет основу защиты персональных данных.
6.7.3. Основные органы, осуществляющие защиту персональных данных
ВВеликобритании законодательством определяются органы по государственно-правовому регулированию автоматической обработки и использования персональных данных. К ним относятся Национальный регистратор и Национальный суд по защите данных. Кроме того, система регулирования автоматизированной обработки персональных данных включает высшие судебные инстанции территорий Соединенного Королевства, куда могут обращаться с апелляцией лица, не согласные с решением суда по защите данных.
Национальный регистратор по защите данных – независимый орган власти по защите данных и защите права индивидуума на невмешательство в его частную жизнь при автоматизированной обработке таких данных, который делегирует часть полномочий своему персоналу в той мере, в какой посчитает это нужным. Регистратор назначается на должность сроком на 5 лет приказом Ее Величества с вручением ему соответствующего патента. Он независим в исполнении своих обязанностей, но административно подчинен одному из министров (чаще всего упоминается министр иностранных дел (государственный секретарь) либо министр внутренних дел) и подотчетен парламенту.
Всоответствии со ст. 3 закона «О защите данных» 1984 г. должностное лицо, известное как регистратор по защите данных, может быть наделено статусом государственного служащего в тех случаях, когда такой статус необходим для предоставления регистратору доступа к государственным секретам.
Полномочия регистратора по защите данных распространяются на любых физических и юридических лиц, занятых сбором, хранением, обработкой и использованием персональных данных, подпадающих под требования обязательной регистрации.
125
Функции регистратора по защите данных:
–регистрация в регистре (или отказ в регистрации) и учет пользователей данных и компьютерных бюро, владеющих и оказывающих услуги в сфере сбора и обработки персональных данных;
–проведение проверки сведений, поданных для регистрации пользователем данных или компьютерное бюро, если эти сведения вызывают сомнение;
–проведение расследования по поводу жалоб или иных сигналов
онарушении пользователем или компьютерным бюро принципов защиты данных, изложенных в законодательных актах Великобритании или документах международных организаций в сфере персональных данных;
–применение мер административного воздействия к нарушителям принципов защиты персональных данных – предупреждение о принятии принудительных мер, аннулирование регистрации, наложение запрета на передачу данных. Если требования регистратора, изложенные в предписаниях, не исполняются, это влечет за собой уголовное преследование;
–информационно-консультативная деятельность любому лицу по существу вопросов.
Как уже было отмечено, регистратор вправе отказать в регистрации, а также в приеме заявлений о регистрации. Основные причины, способствующие подобному поведению регистратора, следующие:
–сведения, представляемые заявителем по вопросу о регистрации или по поводу внесения изменений, не дают достаточной информации по существу вопроса;
–получение регистратором сведений, что заявитель намерен нарушить хотя бы один из принципов защиты персональных данных;
–представляемая регистратору информация является недостаточно убедительной для заявителя, который строго соблюдает все принципы их защиты.
При принятии регистратором решения о целесообразности направления предупреждения о возможных мерах принуждения он должен обратить внимание, наносят ли (или угрожают нанесению) действия лица ущерб или неудобства другому лицу.
Для исполнения своих функций регистратор наделен следующими полномочиями:
126
–административно-властные полномочия – разрешительный характер регистрации лиц, собирающих, обрабатывающих и использующих персональные данные, полномочия направлять указанным лицам административные предписания, обязательные для исполнения;
–следственные полномочия, подтверждаемые ордером суда, на доступ в помещение для инспекции информационных систем и на конфискацию имущества, документов, которые подтверждают нарушение законодательства о защите персональных данных;
–полномочия на возбуждение уголовного преследования нарушителей существующего законодательства о защите данных (через главного государственного обвинителя или по согласованию с ним).
Срок действия первичной или продленной регистрации составляет не менее трех лет со дня внесения регистрационной записи в реестр или со дня удаления регистрационной записи из реестра после истечения срока первичной регистрации и отсутствия заявления о возобновлении регистрации. В своем заявлении заявитель может указать более короткий срок регистрации (1 или 2 года).
Национальный суд (трибунал) по защите данных представляет собой специальную судебную инстанцию, основной функцией которой, помимо уголовного преследования нарушителей закона, является рассмотрение апелляций пользователей данных и компьютерных бюро на решения регистратора по защите данных. Министр может наделять суд дополнительными полномочиями, если сочтет их целесообразными для эффективного осуществления судом своих функций. Национальный суд по защите данных состоит из председателя, назначаемого лордом-канцлером по согласованию с лордом-адвокатом; нескольких заместителей председателя, назначаемых председателем суда в том количестве, которое устанавливает лорд-канцлер; нескольких членов суда, которые назначаются министром.
Члены суда представляют интересы пользователей и субъектов данных и назначаются на срок не менее 7 лет.
Суд по защите данных не является конечной судебной инстанцией, поскольку любое лицо, не согласное с решением этого суда, имеет право апеллировать к высшим судебным инстанциям территорий Великобритании – высокий суд юстиции Англии, высокий суд юстиции Северной Ирландии, сессионный суд Шотландии.
Независимость органов по защите персональных данных в Великобритании определяет их привилегированность. Никакие документы
127
юридического характера, регулирующие запрет или налагающие ограничения на разглашение информации, не могут препятствовать получению регистратором или судом по защите данных информации, необходимой для исполнения их функций. В связи с этим в соответствии с законом «О государственной тайне» 1911 г. (ст. 2 «Несанкционированное разглашение информации») регистратор, члены суда и их должностные лица и сотрудники, не находящиеся на службе Короны, будут рассматриваться как находящиеся на службе Ее Величества. Соответственно к ним будут применяться положения законодательства, относящиеся к государственным должностным служащим.
Таким образом, органы защиты персональных данных – это субъекты защиты персональных данных высшего порядка, так как в их задачи входит управление физическими и юридическими лицами, занятыми сбором, хранением, обработкой и использованием персональных данных. Роль Национального регистратора – предупреждение и обнаружение нарушений законодательства о приватности, а роль Национального суда – ограничение нарушений, а также защита интересов пользователей данных, компьютерных бюро и иных подобных организаций. Полномочия регистратора должны уравновешиваться полномочиями суда по защите данных, где можно опротестовать решение регистратора. Независимость органов защиты данных – дополнительный положительный факт в их пользу, поскольку государство оказалось стороной, заинтересованной в обработке и использовании персональных данных. Следовательно, ни один из государственных органов не в состоянии занимать позицию беспристрастного арбитра по отношению к правам субъекта данных и интересы тех, кто обрабатывает и использует эти данные. Только так можно гарантировать реализацию национальных и международных принципов защиты персональных данных и охраны неприкосновенности частной жизни.
6.7.4.Защита персональных данных
ВВеликобритании количество преступлений, связанных с кражей персональных данных, с 1999 г. выросло более чем в 6 раз. Ежегодно
встране регистрируется порядка 135 тыс. жертв подобных преступлений. Каждый год только лондонцы выбрасывают до 16 тыс. тонн документов с потенциально ценной персональной информацией, которая может быть использована для открытия фальшивых банковских счетов и получения кредитных карт на имя других людей.
128
Охотясь за информацией, преступники, помимо мусорных урн, изучают почтовые ящики, подкупают почтальонов для завладения ценными отправлениями, содержащими важную информацию. Охотятся они и за оставленными без присмотра сумками и портфелями – более 3 млн англичан регулярно носят с собой банковские документы; 4,9 млн – выписки со счетов; 3,4 млн – паспорта. Небрежно обращаются они и с подписанными чеками. Правда, в подобных преступлениях часто замечены и сами банковские работники.
Иногда похищенными персональными данными пользуются спецслужбы других государств для создания правдоподобной легенды своих агентов, а криминал – для сокрытия своего преступного прошлого. Для того чтобы добиться восстановления своего доброго имени, необходимы усилия, время и деньги. Поэтому специалисты советуют быть предельно осторожными при предоставлении личной и финансовой информации и уничтожать ненужные документы.
В основе защиты персональных данных, обрабатываемых автоматизированно, лежат восемь принципов защиты данных:
1.Персональные данные должны быть собраны и обработаны честно и в соответствии с законом (принцип законности данных).
2.Персональные данные должны собираться для конкретных целей, не противоречащих действующему законодательству (принцип законности целей).
3.Персональные данные, хранимые для тех или иных целей, не следует использовать или раскрывать способом, который несовместим с этими целями.
4.Персональные данные, хранимые для тех или иных целей, должны быть адекватны этим целям и не должны быть избыточными по отношению к ним (принцип адекватности и релевантности данных).
5.Персональные данные должны быть точными и своевременно обновляемыми (принцип достоверности и актуальности).
6.Персональные данные, хранимые для тех или иных целей, не следует хранить дольше, чем это необходимо для этих целей.
7.Лицо вправе:
–быть осведомленным пользователем данных относительно наличия у него персональных данных на такое лицо;
–иметь доступ к любым своим данным, хранящимся у пользователя данных;
129
–в случае необходимости требовать внесения исправлений неточных данных или их уничтожения.
8. Пользователь данных обязан принять все необходимые меры против несанкционированного доступа к персональным данным, изменения их содержания, разглашения или уничтожения, а также от их случайной потери или уничтожения.
Поэтому невыполнение этих принципов создает следующие правонарушения:
–незаконное хранение персональных данных без регистрации в реестре;
–хранение персональных данных иного характера, чем те, которые были указаны при регистрации;
–хранение и использование персональных данных с иной целью, чем была указана при регистрации;
–получение данных из тех источников, которые не были указаны при регистрации;
–раскрытие хранящихся данных лицам, которые не значатся в регистрационном реестре как лица, в пользу которых пользователь данных намерен или захочет раскрыть такие данные;
–прямая или косвенная передача хранящихся данных другому государству, не указанному при регистрации в качестве страны, в адрес которой пользователь данных намерен или захочет прямо или косвенно передать данные;
–неточность или избыточность персональных данных;
–хранение данных дольше положенного срока;
–неисполнение предписаний регистратора по защите данных – предупреждения о принятии принудительных мер и уведомления о наложении запрета на передачу данных;
–преднамеренный сбор или приобретение персональных данных
внарушении регистрационной записи;
–продажа незаконно собранных или приобретенных персональных данных.
Судебное разбирательство по нарушениям, связанным с персональными данными и частной жизнью индивидуума, может проходить в магистральном суде или (для более серьезных нарушений) в коронном суде. Признается персональная ответственность должностного лица или руководителя организации, которые совершают уголовное правонарушение на основании закона «О защите данных»
130
1984 г. либо допускают халатность, разрешая или способствуя данному правонарушению. Наказание предусматривает уплату штрафа, размер которого определяется судом в зависимости от обстоятельств правонарушения. Кроме того, суд может потребовать конфискации или уничтожения хранящихся данных.
Регистрация пользователей данных в реестре – один из достаточно эффективных методов осуществления защиты персональных данных. Это связано не только с контролем и подотчетностью деятельности подобных организаций регистратору по защите данных, но и с тем, что в реестр должны предоставляться и вноситься достаточно подробные сведения следующего направления:
–имя и адрес пользователя данных;
–категории персональных данных, которые он собирается хранить, а также цель, для которой он собирается их хранить и использовать;
–источники получения данных;
–имя лица или лиц, в пользу которых он намерен или захочет раскрыть такие данные;
–название страны, в которую он намерен или захочет прямо или косвенно передать данные;
–один или несколько адресов для обращения субъектов данных с просьбами о допуске к персональным данным;
–имя и домашний адрес руководителя организации, которая занимается обработкой компьютерных данных.
Существуют различные методы защиты персональных данных в специализированных сферах, например в определенной отрасли или компании. В Великобритании одним из таких методов является применение кодексов практики. Закон «О защите данных» предусматривает, что регистратор по защите данных, когда находит это приемлемым, обязан поощрять торговые и профессиональные ассоциации или другие органы, которые представляют пользователей данных, разрабатывать и распространять среди своих членов кодексы практики, следуя при разработке детальным инструкциям регистратора. Однако при этом на регистратора не возлагается обязанность удостоверять качество кодексов.
Кодексы практики выполняют подчиненную роль по отношению к британскому закону 1984 г. и разрабатываются для эффективного применения положений о защите персональных данных в условиях