§ 4. Средства защиты персональных данных в публичных и частных корпорациях

Существуют различные пути принятия компаниями или отраслями мер саморегулирования в области защиты персональных данных:

- введение внутренних руководящих указаний или принципов;

- принятие Кодексов практики или поведения;

- учреждение некой должности специального ответственного.

Эти меры защиты персональных данных могут составлять часть из целой серии внутренних процедур, которая, в свою очередь, представляет собой часть внутреннего менеджмента или руководящих принципов безопасности некой корпорации или отрасли человеческой деятельности. Из всех предпринимаемых мер все более и более популярными становятся Кодексы поведения или практики. Помимо всего прочего, они могут предоставлять полезные средства для обеспечения "прозрачности" отраслевой или корпоративной политики. На практике разница между такими кодексами и внутренними руководящими принципами (или иными отраслевыми или корпоративными подзаконными актами) может быть совсем невелика.

В области защиты данных форма, содержание и основная направленность усилий Кодексов практики/поведения не являются сколько-нибудь единообразными, что сильно затрудняет их формальную оценку и сравнение. Не существует никакого универсального определения Кодексов практики/поведения. Например, Голландский законодательный акт 1988 г. о защите данных определяет Кодексы поведения как "...некий набор правил или рекомендаций по отношению к файлам персональных данных, принятый одной или более организациями, являющимися репрезентативными для того сектора (отрасли), который они охватывают в интересах защиты неприкосновенности частной жизни"1.

Понятие "кодекс" имеет несколько значений. С одной стороны, оно предполагает, что эти нестатутные (корпоративные) инструменты формируют всестороннее и исчерпывающее изложение принципов и

44

правил по тому предмету ведения, которому они посвящены. С другой стороны, этот термин настолько прочно вошел в лексикон защиты данных, что его стали использовать для описания любой попытки саморегулирования, которая проявляется в письменной форме. Разумеется, это вовсе не облегчает решения вопроса о том, как оценивать любой кодекс. Разработанные Организацией экономического сотрудничества и развития (ОЭСР) предложения по оценке Кодексов поведения/практики (они будут приведены несколько ниже) в какой-то мере помогают решить эту непростую проблему.

Одним из ключевых элементом любого Кодекса практики должен быть его добровольный характер, поскольку любой такой кодекс является средством саморегулирования, используемым некой отраслью, отдельной компанией, корпорацией или профессиональной ассоциацией для достижения определенного уровня защиты данных. Соответственно, любой кодекс не предоставляет никаких законных прав другим сторонам, вовлеченным в процесс обработки, передачи и использования персональных данных. Например, субъекты данных или лицо, передающее данные, не обретают никаких прав против того держателя данных, который создал данный конкретный кодекс. Однако это не препятствует кодексу быть "обязательным для исполнения" внутри данной отрасли или корпорации. Например, нарушение отраслевых стандартов, содержащихся в кодексах, может привести к прекращению членства их нарушителя в соответствующей отраслевой или профессиональной ассоциации.

Одна из значимых сторон любого кодекса состоит в том, что члены отрасли, корпорации или ассоциации могут самостоятельно определять, какие принципы защиты данных им стоит переводить в работоспособные положения своего Кодекса практики/поведения. Если кодекс просто, провозглашает широкие принципы защиты данных, но затем не предлагает мер для соблюдения этих принципов, то такой кодекс не является средством защиты данных.

И, наконец, следует отметить, что Кодексы поведения/практики являются обычно инструментами частного сектора. Этому способствуют несколько причин. Во-первых, регулирование защиты данных публичного сектора обычно осуществляется на основании правил, установленных внутренними инструкциями. Другая причина состоит в том, что в большинстве стран защита данных частного сектора

45

остается сравнительно нерегулируемая, что предоставляет отраслям и корпорациям возможности для саморегулирования, являющиеся приемлемыми и для международных отраслевых ассоциаций, таких, как Международная ассоциация воздушного транспорта (IATA), находящаяся вне сферы правового регулирования какой-либо одной из стран.

Однако существуют и некоторые кодексы публичного сектора, например, Кодекс ассоциации начальников полиции в Великобритании или Кодекс католических начальных школ в Голландии.

Ранние кодексы были обычно ориентированы на конкретное предприятие и устанавливали внутренние принципы защиты данных на этом предприятии. "Пионерами" здесь были корпорация ЮМ и компания American Express, они приняли кодексы еще в 1970-х гг. Большое число компаний последовало их примеру в 1980-х гг. (что в определенной мере является следствием опубликования в 1980 г. Руководящих принципов ОЭСР, поощрявших Кодексы практики /поведения). Некоторые кодексы пересматривались в попытках найти адекватный ответ на изменяющиеся внешние условия и принципы защиты данных.

Если провести аналогию между первым и вторым поколением Кодексов практики по защите данных, то первое поколение кодексов обычно содержало только некий широкий набор абстрактных принципов в пределах одной компании. Второе поколение кодексов предлагает более искусный, "прикладной" подход к защите данных в пределах уже одной отрасли человеческой деятельности. Руководящие принципы ОЭСР явно способствовали развитию и использованию Кодексов поведения в качестве опорного средства саморегулирования. (Объяснительный меморандум, сопровождающий Руководящие принципы ОЭСР, указывает, что его положения о Кодексах практики/поведения были нацелены, в основном, на страны общего права, хотя кодексы вполне совместимы и с развитием специального законодательства по защите данных).

Кодексы отдельных компаний были первоначальной формой, использовавшейся в 1970-е и 1980-е гг., но уже в 1980-е гг. общераспространенными стали отраслевые или секторные Кодексы практики. Как правило, модель кодекса предлагает некая ассоциация или отраслевая организация. Компании-члены этой ассоциации поощряются к принятию этого кодекса или этот кодекс становится

46

частью отраслевой политики, так что членство в ассоциации подразумевает признание отраслевого Кодекса практики/поведения и соблюдение его принципов. Кодексы упомянутых выше IATA и Ассоциации канадских банкиров были приняты в соответствии с первым подходом, в то время как процесс принятия Кодекса добросовестной банковской практики (Великобритания) следовал второму подходу.

Кодексы могут принимать законодательную форму или иметь "за спиной" ту или иную степень законодательной поддержки, как это имеет место в Австралии, Ирландии, Нидерландах и Великобритании. Такая тенденция к законодательной поддержке кодексов появилась в конце 1980-х гг. Она в какой-то мере противоречит добровольной природе кодексов. Возможно, что это использование законодательных инструментов отражает ту или иную степень тревожной неуверенности законодателей в том, хорошо ли сработает механизм добровольного признания и соблюдения Кодексов поведения/практики, не потребуется ли поощрение и поддержка этого механизма средствами закона.

Особо отметим Кодекс поведения, принятый в Гонконге. Он уникален тем, что применяется к целой территории. Этот кодекс, который полностью следует Руководящим принципам ОЭСР, введенный в действие в 1988 г., устанавливает некоторое число абстрактных принципов, которым надлежит следовать, но никак не конкретизирует и не детализирует их применение.

В Германии Федеральный закон о защите данных требует от фирм и компаний иметь Кодексы практики. Более того, когда некая компания использует более 4 человек для автоматизированной обработки персональных данных (или более 19 человек для обработки данных неэлектронными средствами), эта компания должна назначить своего внутреннего Уполномоченного по защите данных в качестве узаконенного средства саморегулирования.

В Швеции кодексы не упоминаются в законодательстве и не обеспечены правовой санкцией. Шведская комиссия по данным пытается определить, должна ли быть применена какая-либо юридическая процедура, чтобы учредить систему .саморегулирования в рамках существующей структуры. С 1 апреля 1988 г. от всех пользователей и контролеров данных потребовали назначать некое "лицо для

47

контакта", которое отвечает за проведение расследования внутри организации в тех случаях, когда подозревается ошибка в персональных данных. По завершении расследования это "лицо для контакта" должно докладывать о результатах субъекту данных и пользователю/контролеру данных. Это чем-то напоминает германскую модель, хотя полномочия функционера саморегулирования здесь, конечно, значительно уже. Несмотря на неопределенность политики Комиссии по данным, несколько кодексов в Швеции уже возникло на добровольной основе, например, в советах по научным исследованиям, в средствах массовой информации, в агентствах кредитной информации.

Итак, есть две категории кодексов - кодексы, которые не имеют никакой законодательной поддержки, и кодексы, которые пользуются той или иной формой законодательной поддержки. Большинство существующих кодексов попадает в первую категорию, и лишь немногие (по крайней мере, на данной стадии развития) - во вторую. Большинство "незаконодательных" кодексов пришло из стран общего права, в которых (за исключением Великобритании) отсутствует исчерпывающее общее законодательство о защите данных в частном секторе.

Исторически сложилось так, что многие кодексы ограничиваются рамками отдельных секторов бизнеса. Чаще всего, например, они встречаются в банковской и страховой отраслях. В этом нет ничего удивительного, ведь именно эти отрасли собирают громадные количества персональных данных и располагают технологическими возможностями для их обработки. Кроме того, эти отрасли могут быть внутренне взаимосвязаны через корпоративное право собственности и могут иметь интересы в смежных областях бизнеса, таких, как службы безопасности торговли и путешествий, тем самым потенциально способствуя еще большей концентрации данных. Индустрия прямого маркетинга тоже порождает значительное число кодексов. Кодексы разных типов используются в банковском секторе Австралии, Канады, Японии и США. Отраслевые кодексы в банковском секторе есть во всех этих странах, за исключением США, однако в банковском секторе Соединенных Штатов имеется несколько Кодексов практики отдельных компаний и некоторые другие подзаконные акты саморегулирования. Австралийский кодекс не охватывает целиком весь банковский сектор, скорее он специально адресован электронному

48

банковскому делу, и защита данных - лишь один из многих вопросов, охватываемых этим кодексом,

Модель Кодекса неприкосновенности частной жизни индивидуальных потребителей, разработанная Ассоциацией канадских банкиров (КАБ), представляет собой интересный объект для изучения. Этот кодекс предлагается отраслевой ассоциацией для банков, которые, являясь членами этой ассоциации, могут воспользоваться им как моделью для своих собственных кодексов.

Эта модель кодекса является вторым расширенным и переработанным изданием этого документа и представляет собой специализированное применение Руководящих принципов ОЭСР в рамках банковской отрасли. Одним из важных свойств этого кодекса является то, что он предусматривает назначение внутри каждого банка некого должностного лица, ответственного за защиту данных, хотя конечная ответственность все же остается возложенной на высшее руководство банка. Следует отметить, что внесенные поправки к Канадскому федеральному законодательному акту о банках предусматривают специальную процедуру разрешения внешних жалоб. Более того. Федеральный ревизор финансовых учреждений может вмешиваться в тех случаях, когда внутренними мерами данное финансовое учреждение не смогло добиться разрешения проблемы, затронутой в жалобе.

По сравнению с канадским подходом, в Японии национальные Руководящие принципы защиты персональных данных для финансовых учреждений, разработанные Японским Центром информационных систем для финансовой отрасли (FISC), устанавливают отраслевые инструкции, а не модель кодекса для принятия членами отрасли. Этот нестатутный (корпоративный) инструмент саморегулирования тоже основан на Руководящих принципах ОЭСР. Инструкции FISC устанавливают пять, принципов защиты данных и дают развернутое толкование каждого из них. Поскольку эти инструкции не обеспечивают такой же уровень детализации, как кодекс-модель КАБ, то одновременно предпринимаются и некоторые другие меры саморегулирования защиты данных. Например, дополнительно к вышеупомянутому используется еще один набор инструкций, носящий название "Руководящие принципы безопасности компьютерных систем для финансовых учреждений".

49

Имеются примеры разработки межотраслевых кодексов. В Великобритании, например, Национальный компьютерный центр разработал ряд кодексов, относящихся к: (1) службам безопасности; (2) компьютерным бюро; (3) данным о наемных служащих; (4) управлению собственностью; (5) информации о потребителях и поставщиках.

Продолжается "наступление" кодексов, которые имеют ту или иную степень законодательной поддержки. Британский законодательный акт 1984 г. о защите данных предусматривает, что Регистратор по защите данных, когда он находит это приемлемым, обязан "поощрять торговые и профессиональные ассоциации или другие органы, представляющие пользователей данных, разрабатывать и распространять среди своих членов Кодексы практики для направления их деятельности в русло соблюдения принципов защиты данных"1.

Вполне очевидно, что кодексы разрабатывают не для того, чтобы они заменяли и вытесняли положения Британского закона о защите данных, по отношению к которому они выполняют подчиненную роль, а для наиболее эффективного применения его положения для условий своей отрасли. При любом нарушении закона соответствующие действия будут предприниматься Регистратором по защите данных, но не соответствующей отраслевой ассоциацией. Хотя закон не дает указаний относительно одобрения или санкционирования кодексов Регистратором, но на практике Регистратор уже разрабатывал предисловия к некоторым кодексам. Предисловия эти иногда интерпретируются как одобрение Регистратором этих кодексов. На самом же деле, на Регистратора не возлагается обязанность удостоверять качество Кодексов практики/поведения.

В Ирландском законе 1988 г. о защите данных принят иной подход: Уполномоченный по защите данных может поощрять профессиональные ассоциации или другие представительные организации к принятию Кодексов практики. Кроме того. Уполномоченный наделяется полномочиями давать кодексам свое официальное одобрение, если у него сформировалась точка зрения,

50

что данный кодекс предоставляет субъектам данных защиту, соответствующую положениям вышеупомянутого закона. Исходя из этой точки зрения, Уполномоченный может одобрить данный кодекс и представить его парламенту, который своей санкцией волен придать кодексу силу "отраслевого" закона:

"(а) в той мере, в какой он относится к обработке персональных данных соответствующими категориями контролеров данных....

...(i) он должен иметь силу закона в соответствии с его условиями..."1.

В действии любой такой "санкционированный" кодекс подменяет соответствующие положения Закона о защите данных. До настоящего временя еще ни один кодекс не был "санкционирован" по вышеизложенной процедуре. Тем не менее, в условиях этой системы будут параллельно развиваться два набора кодексов: санкционированные кодексы, которые имеют силу закона, и кодексы, которые такой силой не наделены. Кодексы, не прошедшие через процесс санкционирования, не будут юридически обязывающими и не будут иметь никакого официального признания в соответствии с Законом о защите данных. Со временем накопившийся набор кодексов, наделенных правовой санкцией, займет место соответствующих положений самого законодательного акта.

Таким образом, в отличие от британской системы, в Ирландии судебные преследования за нарушения принципов защиты данных будут происходить на основании соответствующего отраслевого кодекса, если он, конечно, существует в данной отрасли и обеспечен правовой санкцией. Разумеется, что в тех отраслях, где не существует таких кодексов, будут применяться положения Ирландского закона о защите данных.

В Нидерландах Закон 1988 г. о защите данных предлагает еще один вариант регистрации кодекса. Он устанавливает процесс официальной регистрации, согласно которому соответствующая торговая или профессиональная ассоциации могут зарегистрировать

51

свой кодекс в Регистрационной палате. Не существует никакого принуждения к регистрации кодексов, но достаточно очевидно, что эта система является весьма настоятельно рекомендуемой, поскольку упомянутый закон предусматривает возможность издания общих административных предписаний, устанавливающих детализированные правила для любой конкретной отрасли или сектора экономики. Ясно, что в таких условиях отраслевые ассоциации предпочитают сами разрабатывать и регистрировать свои Кодексы практики. В результате, уже к 1 июля 1991 г. были зарегистрированы четыре первых Кодекса практики:

- Кодекс организации консультантов по отбору и рекрутированию персонала;

- Кодекс ассоциации компьютерных услуг и бюро программного обеспечения;

- Кодекс ассоциации научно-исследовательских институтов (в области социальных наук и наук о человеческом поведении);

- Кодекс ассоциации по исследованиям рынка.

В стадии рассмотрения Регистрационной палатой находится значительное число заявлений на регистрацию других кодексов, в том числе и для банковской и страховой отраслей. Такая регистрационная система разработана, чтобы обеспечить максимальное приближение требований закона о защите данных к конкретным отраслевым реалиям. Чтобы способствовать периодическим пересмотрам и обновлению кодексов, предусмотрено временное ограничение: регистрация любого кодекса остается в силе максимум пять лет.

В отличие от ирландского, голландское законодательство о защите данных не предусматривает придания Кодексам практики силы закона. Хотя суды не обязаны считать, что нарушение некого кодекса равносильно нарушению Закона о защите данных, тем не менее нарушение Кодекса практики свидетельствует о наличии достаточно серьезных доказательств по вопросу ответственности перед законом. Следовательно, хотя и косвенно, кодексы могут обладать некоторым критерием определения степени правовой защиты данных, что побуждает очень серьезно относиться к разработке и регистрации кодексов.

Директива ЕС от 24 октября 1995 о защите персональных данных выводит Кодексы практики/поведения на международный уровень (разумеется, в рамках Европейского Союза). В ст. 20 говорится:

52

"...страны-участницы должны поощрять заинтересованные деловые круги к участию в разработке европейских Кодексов поведения или профессиональной этики в отношении определенных отраслей деятельности на основе принципов, установленных в настоящей Директиве"1.

Это положение следует рассматривать в сочетании со ст. 29. предусматривающей учреждение Комиссии с полномочиями на создание правил или "технических мер", необходимых для применения принципов Директивы в определенных отраслях человеческой деятельности. Для определения необходимости создания таких правил Комиссия должна, помимо прочего, принимать в расчет наличие Кодексов поведения. Предполагается, что наличие соответствующего и эффективного кодекса может аннулировать потребность в каких-либо "технических мерах" для данной отрасли. Это. похоже, будет дополнительным стимулом для отраслевого саморегулирования вопросов защиты данных.

Существует пример обратного использования кодексов в Австралии. Регулирование справочных файлов потребительского кредита, которыми пользуются провайдеры кредита и кредитные бюро, было объектом специального детализированного законодательства, которое было заменено статутным Кодексом поведения. Этот кодекс является обязательным для исполнения и оказывает своим действием такой эффект, как если бы он был специальным законом, исходящим от государства, а не добровольным отраслевым кодексом. Проект данного кодекса был разработан ведомством Прайвеси-Комиссара, проводившим консультации с заинтересованными сторонами. Так что он вовсе не является продуктом отраслевого саморегулирования. Тем не менее, этот кодекс весьма детализирован и в этом отношении похож на любой другой Кодекс поведения.

Общепризнанно, что кодексы могут возникать в контексте следующих разнообразных причин:

53

- саморегулирование с целью не принимать соответствующего законодательства;

- саморегулирование с целью регулирования пробелов соответствующего законодательства;

- саморегулирование с целью реализации норм соответствующего законодательства;

- саморегулирование с целью дополнения соответствующего законодательства"1.

Мотивация разработки кодекса до определенной степени определяет его форму и содержание. Кодексы, разработанные вне рамок законодательного регулирования, имеют тенденцию быть общими по форме, в то время как кодексы, которые способствуют осуществлению соответствующего законодательства на практике или дополняют его, склонны быть более детализированными инструментами, которые рассматривают конкретные проблемы защиты данных в пределах своей отрасли. Однако эта ситуация в наши дни претерпевает изменения благодаря появлению пересмотренных версий кодексов, не имеющих законодательного статуса или законодательной поддержки. Некоторые стали детализированными настолько, что имеет место их конвергенция с кодексами другого типа.

Кодексы должны предлагать нечто большее, чем простое провозглашение широких принципов защиты данных. Эти принципы уже были установлены в Руководящих принципах ОЭСР и Конвенции 108 Совета Европы. В качестве предварительного шага многие компании выразили поддержку Руководящим принципам ОЭСР. Любая попытка создать кодекс требует конкретных отраслевых мер регулирования по отношению к общим принципам защиты данных. Без этого кодекс будет восприниматься как чисто формальный документ данной корпорации или отрасли для демонстрации своей культуры в области защиты данных.

Вполне понятно, что всеобщее внимание сейчас привлекают Ирландия и Нидерланды, где отраслевые кодексы могут утверждаться и регистрироваться органом по защите данных.

54

"Пока из этих стран в Секретариат ОЭСР поступает мало информации, поскольку ни одного кодекса еще не было предложено для утверждения (и последующего наделения правовой санкцией в парламенте) в Ирландии, и только четыре кодекса были зарегистрированы в Нидерландах. Однако по имеющимся сведениям. Регистрационная палата в Нидерландах ясно и однозначно заявила, что она не будет регистрировать кодексы, которые просто "пересказывают" закон; кодексы должны идти гораздо дальше этого"1.

Полезную оценку голландского опыта предоставил президент Регистрационной палаты этой страны:

"Преимущества:

- кодексы поведения доказали, что они могут быть весьма гибкими инструментами для внедрения закона в конкретные отрасли и сектора экономики;

- релевантные процедуры обладают весьма позитивным воздействием на взаимосвязь палаты с различными отраслями и секторами экономики;

- и те, и другие ведут к улучшенному осознанию и пониманию проблем и вопросов "прайвеси", которые являются специфическими для каждой отрасли или сектора экономики;

- Кодексы поведения предоставляют определенным отраслям удобную возможность продемонстрировать реальную заботу о вопросах защиты права на невмешательство в частную жизнь;

- отрасли и сектора, подлежащие регулированию кодексом, наделенным правовой санкцией, могут служить примером и посредником для других.

Некоторые негативные пункты:

- регулирование при помощи кодексов может быть ограничено условиями конкуренции и другими аспектами некоего конкретного сектора или отрасли;

- Кодексы поведения могут усложнить или запутать правовые рамки, которые применяются в неком конкретном секторе или отрасли;

55

- субъекты данных не всегда осведомлены о статусе конкретного Кодекса поведения: наделен он правовой санкцией или нет;

- требование адекватных консультаций может создать проблемы с поиском достаточно компетентного партнера;

- практический эффект любого кодекса может зависеть соответственно от сферы его компетенции и статуса, а также иных специфических условий"1.

По мнению президента, опыт Нидерландов показал, что преимущества перевешивают недостатки.

Как следует из вышеизложенного, наметилась важная тенденция легитимизации корпоративных и профессиональных Кодексов практики/поведения, возведения их в статус "отраслевых" законов при помощи новой процедуры "санкционирования" (наделения правовой санкцией), в которой участвуют национальный орган по защите данных и парламент страны. Это существенно повышает роль Кодексов практики/поведения в национальных системах защиты данных.

Другим фактором, повышающим роль Кодексов практики/поведения, стало стремление международных организаций использовать такие кодексы в совокупности с новым правовым средством - прямыми договорами между экспортером и импортером данных с обусловленными стандартами защиты передаваемых данных для преодоления трудностей при обмене данными между странами с разными уровнями правовой защиты персональных данных.

56

1 Цит. по: Charles E.H. Franclin (cd.), "Business guide to Privacy and Data Protection Legislation", Kluwer Law International and International Chamber of Commerce. - Hague. - London Boston. - 1996 (2d edition). - P. 336.

1 Цит. по: OECD documents. Privacy and data rotection: Issues and Challenges",Information Computer Communication Policy. Organisation for Economic Cooperation and Development, Paris, 1966, p. 43.

1 Цит. по: OECD documents. Privacy and data rotection: Issues and Challenges", Information Computer .Communication Policy. Organisation for Economic Cooperation and Development, Paris, 1966, p. 43.

1 Цит. no: OECD documents. Privacy and data rotection: Issues and Challenges", Information Computer Communication Policy. Organisation for Economic Cooperation and Development, Paris, 1966, p. 45.

1 Цит. по: Hustinx P. "The Role of Self-regulation in the Scheme of Data Protection", paper delivered at the XIIIth Conference of Data Protection Commissioner, Strasbourg, 2-4 October 1991, p. 1.

1 Цит. по: OECD documents. Privacy and data protection: Issues and Challenges", Information Computer Communication Policy. Organisation tor Economic Cooperation and Development, Paris, 1966, p. 46.

1 Цит. по: OECD documents. Privacy and data rotection: Issues and Challenges",Information Computer Communication Policy. Organisation for Economic Cooperation and Development, Paris, 1966, p. 46 -47.