§ 2. Виды персональных данных

Как показало исследование зарубежных законов о защите данных в ряде стран, несмотря на некоторые исключения, большинство этих стран делит персональные данные по критерию "чувствительности" на три категории:

1) "обычные" персональные данные - их сбор, обработка, использование и передача возможны без специального разрешения в режиме, предписанном национальными законами;

2) "чувствительные" персональные данные - их сбор, обработка, использование и передача требуют особых мер защиты и безопасности, специально установленных законом;

3) "особо чувствительные" персональные данные - их сбор, обработка, использование и передача либо вообще запрещены

13

законом, либо разрешены только в исключительных случаях с использованием специальных мер защиты и безопасности.

Общепризнанными видами "чувствительных" персональных данных являются данные об арестах, банковские данные, данные кредитных отчетов и кредитных историй, данные об образовании и трудовой деятельности (как правило, только данные, содержащие оценку способностей и трудовых качеств индивида), медицинские данные, налоговые данные.

Набор "особо чувствительных" персональных данных, подлежащих особо тщательной защите, может варьироваться в различных странах в зависимости от национального менталитета, но, как правило, к этой категории относятся данные о расовом и этническом происхождении, религиозных верованиях, политических убеждениях, членстве в профессиональных ассоциациях, политических и общественных организациях, состоянии здоровья, особенностях сексуального поведения, криминальном прошлом (данные о вынесенных и исполненных обвинительных судебных приговорах по уголовным делам).

В качестве примера, иллюстрирующего механизм применения критерия "чувствительности", приведем краткое описание его применения в бельгийской национальной системе защиты персональных данных.

В Бельгии контролер (держатель) файлов должен соблюдать особо строгие правила обработки и использования в отношении трех категорий персональных данных: (1) "высокочувствительных" данных; (2) медицинских данных; и (3) судебных данных (категории 2 и 3 считаются просто "чувствительными" данными).

Что касается первой категории, то Бельгийский законодательный акт 1992 г. о защите данных (BDPA) предоставляет наивысшую степень защиты данным, связанным с расой, этническим происхождением, сексуальным поведением, политическими взглядами или действиями, религиозными или философскими убеждениями, членством в любом профессиональном или трудовом союзе или принадлежностью к государственной службе здравоохранения (все они далее называются "высокочувствительными данными"). Любой контролер файлов может обрабатывать эту категорию высокочувствительных данных только для целей, разрешенных BDPA, или во исполнение этого законодательного акта. Поскольку сам BDPA не

14

предусматривает никаких разрешенных целей для обработки высокочувствительных данных, то эти цели в деталях устанавливаются Королевскими Указами № 6 и 7, конкретизирующими и регламентирующими исполнение вышеуказанного законодательного акта. BDPA допускает исключения для юридических лиц и организаций де-факто (таких, как профсоюзы, службы здоровья, политические партии), но только в отношении данных, связанных с их собственными членами.

В отношении второй категории следует отметить, что контролер файлов может обрабатывать медицинские данные только после получения заранее письменного разрешения субъекта данных или, в качестве альтернативы, под строгим надзором и при ответственности лечащего врача. В категорию медицинских включаются все данные, раскрывающие информацию, связанную с предыдущим, текущим или будущим состоянием физического или умственного здоровья субъекта данных, за исключением данных явно административного или оценочного характера, относящихся к способу лечения и медобслуживания. Медицинские данные не могут передаваться третьим сторонам, за исключением тех случаев, когда это делается во исполнение закона, или. когда закон содержит явно выраженное и недвусмысленное разрешение на такую передачу. Медицинские данные также могут передаваться другим лечащим медработникам после получения заранее специального письменного разрешения от заинтересованного лица (субъекта данных) или для целей медицинской обработки в чрезвычайных ситуациях и в случаях опасности (ст. 7 BDPA).

Отнесенные к третьей категории, криминальные и судебные персональные данные могут обрабатываться только во исполнение закона или для целей, определенных законом. Причем в эту категорию включается и обработка данных об уголовных обвинительных приговорах и наказаниях из документов, хранимых в национальных криминальных архивах, а также обработка данных из криминальных документальных записей, хранимых муниципалитетами (ст. 8, § 4). Обработка таких данных адвокатами (ст. 8, § 6) и юридическими лицами, уполномоченными на то королевским указом, - во всех этих случаях обработчик данных обязан заранее посылать субъекту данных уведомление о предстоящей обработке относящихся к нему криминальных данных.

15

И наконец, Бельгийский законодательный акт 1992 г. о защите данных в явно выраженной и недвусмысленной форме запрещает любому контролеру файлов сбор любых высокочувствительных, медицинских, криминальных или судебных данных в Бельгии для передачи через границу с целью обработки на иностранной территории по той причине, что их обработка в Бельгии также запрещена (ст. 4, § 2).

16