Организация защиты персональных данных

В Германии существует самое строгое законодательство относительно защиты персональных данных в Европейском Сообществе. Первый закон о защите данных в области административного управления в Германии был принят более 30 лет назад – в 1970 году в земле Гессен. Здесь впервые была введена должность уполномоченного по защите данных.

Федеральный закон «Об охране информации о лицах от злоупотреблений при ее обработке» был принят 27 января 1977 г., пересмотрен в 1990 г. и в соответствии с Директивой 95/46/ЕС в 2002 г. Целью этого закона является защита субъекта персональных данных от нарушения его права на свободу, гарантированного Конституцией, в связи с использованием его персональных данных. В соответствии с законом в 1977 г. учреждена должность федерального уполномоченного по защите данных. На него возложены: контроль за соблюдением основных положений данного закона; подготовка бундестагу и федеральному правительству ежегодных и текущих аналитических документов по выполнению этого закона; проведение в необходимых случаях экспертизы по вопросам применения закона; предоставление бундестагу и правительству предложений по улучшению защиты информации персонального характера. Уполномоченный и его представители имеют право запрашивать в учреждениях, организациях и на предприятиях все материалы и дела, связанные с обработкой введенной в их банки данных информации о лицах, в любое время иметь доступ во все помещения, где хранятся эти данные. Однако в случаях, когда высшие органы власти ФРГ сочтут, что доступ к документам и делам угрожает государственной безопасности, они вправе не предъявлять их федеральному уполномоченному или его представителям.

Федеральный закон о защите данных разрешил обработку данных только в случаях, определенных законом, или с согласия гражданина, что дает ему возможность проконтролировать этот процесс. Данные о гражданах разрешается собирать и использовать только в рамках четко определенных целей. Каждый гражданин имеет право на информацию о том, как учреждения, обрабатывающие личные данные, используют сведения о нем. Если у него создалось впечатление о незаконном использовании его личных данных, он может обратиться за помощью к уполномоченному по защите данных.

Федеральный закон о защите данных содержит положения, согласно которым доступ к обрабатывающей данные технике, работа на ней и использование накопленной информации разрешаются только определенному кругу лиц и подлежат контролю.

Администрация обязана получать от сотрудников, занятых обработкой данных или ведущих картотеку, письменное обязательство о неразглашении тайны (§ 3 закона).

Под защиту данных подпадают, прежде всего, персональные (личные) дела и все официальные процедуры по сбору данных, в том числе включающие в себя видео- и аудиозаписи (осуществленные, например, полицией).

Закон регламентирует использование личных данных граждан в экономической и общественной жизни в зависимости от того, для каких целей собрана подобная информация – в интересах собственного бизнеса или же по заданию другого лица. Собственные цели преследует, например, частная медицинская фирма или адвокатская контора, которые создают собственную информационную систему в интересах своего дела (например, собирают данные о пациентах и клиентах). По заданию другого лица действует, например, информационное бюро в финансово-экономической сфере, которое передает имеющиеся у него сведения третьим лицам в интересах их бизнеса, то есть выступает только в качестве передатчика информации.

В области обработки данных по чужому заданию действуют в основном те же правила, как и в случае использования информации в собственных целях. Однако такие организации должны быть зарегистрированы в контрольных органах, они должны ставить эти органы в известность об имеющихся в их распоряжении технических средствах и в случае регулярной передачи данных о гражданах предоставлять информацию о получателях этих данных.

Общественные и частные учреждения должны по требованию гражданина информировать его, какими данными о нем, подпадающими под защиту, они располагают. Это касается также сведений об источнике информации и ее получателе. Такая информация должна предоставляться письменно, в ясной форме и бесплатно.

Частное лицо, которое собирает не являющиеся общеизвестными данные о других лицах в интересах своего дела, например, для предоставления кредита, должно проинформировать об этом лицо, которое является субъектом персональных данных.

К задачам Федерального уполномоченного по защите данных относится проверка личных жалоб граждан о неправомерном или с нарушениями закона использовании их личных данных. Федеральный уполномоченный имеет право отказаться от дачи свидетельских показаний, в том числе в суде, и не обязан показывать свои рабочие документы никаким третьим лицам.

Один раз в два года федеральный уполномоченный представляет германскому парламенту отчетный доклад о своей деятельности, в котором он обязан отразить также развитие системы защиты данных в негосударственной сфере.

Каждое предприятие, на котором заняты не менее 5-ти работников на автоматизированной или 20 человек на ручной обработке персональных данных, должно иметь собственного уполномоченного по защите данных. Он подчиняется непосредственно руководителю предприятия.

В интересах обеспечения информационной безопасности федеральное правительство создало в 1993 г. Федеральное ведомство по обеспечению безопасности в сфере информационной техники, которое должно оказывать консультативную помощь по техническим вопросам федеральному уполномоченному по защите данных. Федеральное ведомство должно также оценивать безопасность предлагаемых на рынке информационных систем и в случае необходимости выдавать им сертификаты безопасности.

22 июля 1997 г. в ФРГ принят закон об информационной и коммуникационной службе. В соответствии с законом контроль за деятельностью владельцев телекоммуникационных сетей осуществляет федеральный уполномоченный по защите данных, а контроль за конкретными телекоммуникационными услугами входит в компетенцию органов надзора в негосударственной сфере.

Лица, которые незаконно передали, изменили, изъяли, уничтожили, получили из банка данных защищенные законом и не подлежащие разглашению сведения, наказываются лишением свободы на срок до 2 лет или денежным штрафом (§ 41 закона).

Организационная структура системы защиты персональных данных следующая: федеральный закон о защите персональных данных регулирует порядок обработки персональных данных, производимых как в публичном, так и в частном секторе. Существуют также подобные законы и на уровне земель, регулирующие обработку в публичном секторе. Уполномоченный по защите данных (Федеральная комиссия по защите персональных данных) осуществляет контроль и проверку деятельности по обработке персональной информации во всех федеральных агентствах, а также рассматривает и расследует жалобы, выносит рекомендации в парламент и государственным учреждениям.

Уполномоченные по защите данных в землях ответственны за контроль и проверку действующих в землях федеральных агентств. Некоторые из них (Берлин, Бремен, Гамбург, Нижняя Саксония) ответственны также и за частный сектор, деятельность которого регулируется специально учрежденным надзорным органом (институт уполномоченных по защите данных).

По законодательству Германии используемые системы по обработке персональных данных должны проектироваться в соответствии с принципом уменьшения и экономии сведений Данное положение направлено на создание таких условий функционирования системы, когда отнесение атрибутов к конкретному субъекту требует неоправданной затраты времени, средств, ресурсов. На практике принцип осуществляется при помощи замены имени или других идентифицирующих характеристик на определенный ярлык, что сохраняет анонимность субъекта. Такой подход позволяет реализовывать политику защиты данных уже на уровне создания системы обработки данных.

Федеральный закон о защите данных 2002 г. расширил толкование права субъекта на доступ к своим персональным данным. Оно заключается в возможности их исправления, удаления, блокировки; субъект данных может также опротестовать обработку и использование персональных данных в случае, если его законные интересы перекрывают интересы контролера.

В ФРГ имеются фирмы, которые специализируются на оказании помощи в организации работы по соблюдению требований закона об организации защиты персональных данных, включая обучение персонала фирм, разработку организационно-технических мероприятий по защите информации, в том числе в условиях функционирования автоматизированных систем обработки данных.

Основная работа по обеспечению безопасности данных выполняется на уровне компаний. Именно они обеспечивают практическую защиту информации клиента и должны гарантировать санкционированный доступ к ней. Для этого применяются как технические меры, которые реализуются комплексом программного и аппаратного обеспечения, используемого в конкретной системе защиты, так и организационные меры, определяемые конкретными ведомственными актами и организацией системы безопасности. Необходимость реализации соответствующих организационно-технических мер закрепляется секцией 9 федерального закона о защите данных и направлена на исполнение положений данного документа. Среди комплекса мер можно выделить следующие:

• осуществление контроля доступа к данным в соответствии с полномочиями пользователя, вытекающими из его служебных или иных обязанностей и обусловленными целями доступа, а также выявление попыток неавторизованного доступа в систему и идентификация нарушителя;

• осуществление контроля над передаваемой информацией – персональные данные не должны быть прочитаны, изменены, удалены, скопированы без соответствующей авторизации. Всегда должна быть при этом возможность установить, кому предназначена передача;

• возможность уточнять, кем были сделаны записи в систему, внесены изменения;

• контроль соответствия процессов обработки, проведение которых поручено специально назначенному обработчику, внутренним инструкциям фирмы;

• защита данных от непреднамеренного повреждения (разрушения) или потери;

• персональные данные, обусловленные различными целями, должны обрабатываться отдельно.