§ 2. Вопросы защиты частной жизни и персональных данных в деятельности Совета Европы

Совет Европы посредством договорных обязательств, связывающих страны-участницы, и своих необязательных, но влиятельных рекомендаций, играет важную роль в формировании европейского законодательства и международных норм, относящихся к "прайвеси" и защите данных. Эта международная организация традиционно придерживается хорошо сбалансированного подхода к защите персональных данных, учитывая и интересы защиты "прайвеси", и необходимость поощрять свободные потоки информации, текущие через национальные границы. Этот тщательно выверенный баланс нашел свое очевидное доказательство в многочисленных Рекомендациях Совета Европы по вопросам "отраслевого" применения принципов защиты данных.

Совет Европы всегда был особенно активен в области прав человека, включая и право человека на невмешательство в сферу его частной жизни ("прайвеси"). Вскоре после своего создания, он учредил постоянно действующую Комиссию по правам человека и Суд по правам человека, к которым напрямую может обращаться любой индивидуум в связи с нарушением его прав государствами, ратифицировавшимим Европейскую Конвенцию по правам человека.

Европейская Конвенция о защите прав человека, принятая Советом Европы в 1950 г.,1 содержит две ключевые статьи, устанавливающие баланс между интересами защиты "прайвеси" индивидуума и интересами максимальной свободы трансграничных потоков данных. Ст. 8 Конвенции фокусируется на защите "прайвеси": "...каждый человек имеет право на уважение к его частной и семейной жизни, его дому и его корреспонденции". С другой стороны, ст. 10 предоставляет

117

свободу трансграничным потокам информации, излагая принцип невмешательства публичной власти независимо от границ.

В 1973-1974 гг. Комитет Министров Совета Европы принял резолюции, призывающие правительства стран-участниц предпринять меры по защите приватности и конфиденциальности персональных данных как в публичном, так и в частном секторах. Вскоре, однако, стало очевидно, что ввиду различного понимания концепции "прайвеси" в разных странах и разноголосицы национальных законодательств в этой сфере, экстерриториальная защита персональных данных практически невозможна. Необходимо было международное соглашение относительно общих принципов защиты данных, которые позволили бы гармонизировать национальные законы стран-участниц.

После четырех лет переговоров, страны-члены Совета Европы в 1981 г. приняли Конвенцию № 108 Совета Европы о защите индивидуумов (частных лиц) по отношению к автоматизированной обработке персональных данных.1 Как установлено в ее преамбуле, главная цель Конвенции 108 состоит в том. чтобы примирить между собой фундаментальные ценности в отношении "прайвеси" и свободного течения информации между народами. По условиям Конвенции 108, подписавшие и ратифицировавшие ее стороны обязывались принять (или скорректировать) национальные законы таким образом, чтобы они обеспечивали соблюдение на практике изложенных в этой Конвенции базовых принципов в отношении персональных данных каждого индивидуума на их территории. Эти базовые принципы предназначались для честного и добросовестного сбора данных, определения цели сбора и обработки персональных данных, пропорциональности и качества данных, конфиденциальности "чувствительных" данных, права субъекта данных на информирование о сборе, хранении и использовании данных о нем, на доступ к своим данным и исправление их.

Следует отметить, что само понятие "персональные данные" определено в ст. 2 Конвенции 108 очень широко: "понятие

118

"персональные данные" означает любую информацию, относящуюся к некоему идентифицированному или доступному для идентификации индивидууму ("субъекту данных")". Однако ничто не препятствует странам-участницам в своем отечественном законодательстве конкретизировать это определение применительно к национальным реалиям.

Как следует уже из самого названия Конвенции 108, ее принципы распространяются только на персональные данные, предназначенные для автоматизированной обработки электронными средствами. Тем не менее, страны, ратифицировавшие Конвенцию, могут распространять ее положения и на персональные данные, которые не подлежат автоматизированной обработке (их часто называют "ручными данными"). Франция, например, так и сделала.

Главными элементами Конвенции 108 являются:

1) набор базовых принципов защиты данных (гл. II);

2) положения, относящиеся к транснациональным потокам данных (гл. III):

3) соглашения о сотрудничестве стран-участниц, включая и соглашение о содействии субъектам данных, живущим за границей (гл. IV);

4) статьи об учреждении постоянного Консультативного комитета (гл. V).

В соответствии с современной международной терминологией, защита данных включает: (а) принципы качества данных; (б) права субъекта данных. Они устанавливаются соответственно в ст. 5 и 8. Все персональные данные, подлежащие обработке, должны быть защищены соответствующими мерами безопасности (ст. 7). Особенно строги предписания Конвенции в отношении так называемых "чувствительных" данных. Допускается расширение перечня "особо чувствительных" персональных данных в национальных законодательствах стран-участниц Конвенции, но не обратное.

Конвенция 108 предусматривает свободное течение персональных данных между странами-участницами Конвенции. Это свободное течение не может быть ограничено по причинам защиты данных. Исключения допускаются только в двух случаях:

1) если защита персональных данных в стране-контрагенте не является эквивалентной (ст. 12);

119

2) если данные, передаваемые на территорию страны-контрагента, предназначены для передачи транзитом в некую третью страну, не являющуюся участницей Конвенции.

Для обеспечения взаимного сотрудничества и содействия, страны-участницы Конвенции обязаны учредить национальный орган (или органы) по защите данных, к которому можно было бы обращаться за помощью и содействием (ст. 13). В большинстве стран, ратифицировавших Конвенцию 108, посредством национального закона о защите данных был учрежден некий центральный орган по защите данных, наделенный надзорными и регулирующими полномочиями, а также функцией осуществления международных связей в сфере защиты данных.

Консультативный комитет, состоящий из делегатов от стран-участниц, отвечает за интерпретацию положений Конвенции и за содействие и улучшение их применения на практике (ст. 18-20).

Конвенция 108 является основой для принятия национальных законов о защите данных во многих европейских странах. Она предусматривает, что страны, не являющиеся членами Совета Европы, могут, с санкции Комитета Министров Совета Европы, присоединиться к ней (ст. 23). Однако предварительным условием ратификации Конвенции (ст. 4) является принятие соответствующего национального законодательства о защите данных. В 1990 г. Комиссия Европейского Сообщества согласилась с предложением, чтобы Совет ЕС принял решение о присоединении ЕС. как единого целого, к Конвенции 108.

Как и предполагалось в самой Конвенции 108. .институты Совета Европы продолжают разрабатывать концепции защиты "прайвеси" в рамках, очерченных Конвенцией. Их усилия сфокусированы на разработке рекомендаций для правительств, стран - членов Совета Европы. Рекомендации имеют то преимущество, что их легче тщательно проработать в деталях, а вместо длительного процесса подписания и ратификации каждой страной - членом Совета Европы они требуют для своего введения в действие лишь единогласного принятия Комитетом Министров. Поэтому процедура принятия рекомендаций является более легкой и удобной формой реагирования на изменяющиеся обстоятельства, чем внесение изменений в саму Конвенцию. И, кроме того, хотя эти рекомендации не являются

120

юридически обязывающими, они адресуются ко всем странам-членам Совета Европы (независимо от того, является ли данная страна участницей Конвенции 108 или нет), которые наделены моральным обязательством добросовестно принимать во внимание эти рекомендации.

Рекомендации Совета Европы не ревизуют основополагающие принципы Конвенции 108, они лишь конкретизируют их для различных отраслей человеческой деятельности и для изменяющихся технологических и социальных условий. Таким образом строится иерархическая система инициатив Совета Европы в области защиты "прайвеси" и персональных данных, где главенствующее положение занимает "базовая" инициатива - Конвенция 108, а подчиненное положение отводится "отраслевым" (секторным) инициативам -Рекомендациям Совета Европы. Мы можем констатировать полную структурную аналогию этой системы инициатив Совета Европы с применяемым большинством стран так называемым "смешанным" подходом к построению национальных систем правовой защиты частной жизни и персональных данных, где "отраслевые" (секторные) законы также группируются вокруг "базового" закона типа Privacy Act или Data Protection Act.

Механизм разработки и принятия Рекомендаций следующий. Комитет Министров в 1976 г. учредил специальную проектную группу по защите данных, которая состоит из высокопоставленных должностных лиц от всех стран - членов Совета Европы, ответственных за защиту персональных данных в своих странах. Для разработки специфических отраслевых (секторных) рекомендаций эти официальные лица часто имеют советников из соответствующих отраслей и секторов национальной экономики. Проектная группа контролирует инициативы в области защиты данных и часто просит Консультативный комитет, действующий согласно положениям Конвенции 108. исследовать конкретные темы, вызывающие озабоченность в связи с защитой персональных данных.

Работа проектной группы по большей части выполняется в специализированных рабочих подгруппах, сложившихся за последнее десятилетие. Охват широкого спектра мнений обеспечивается тем. что в общих собраниях проектной группы (они проводятся каждые полгода) и в деятельности Консультативного комитета могут

121

участвовать (разумеется, без права участия в голосовании) представители Европейского Союза (ЕС), Международной торговой палаты. Международных профессиональных и потребительских организаций и наблюдатели от стран, не ратифицировавших Конвенцию 108. Предложения проектной группы часто рассматриваются Европейским Комитетом по законодательному сотрудничеству прежде, чем Комитет Министров вотирует их. Иногда эти предложения также подлежат рассмотрению Руководящей комиссией по правам человека, которая несет общую ответственность за координацию работы Совета Европы, связанной с Европейской Конвенцией о правах человека. Эта комиссия, например, рассматривала проект рекомендаций по защите данных в области телекоммуникационных услуг.

К настоящему времени Комитет Министров принял следующие Рекомендации в рамках реализации Конвенции 108:

- Рекомендация № R(81) 1 (от 23 января 1981 г.) об общих правилах для автоматизированных банков медицинских данных (в настоящее время пересматривается);

- Рекомендация № R(83) 10 (от 23 сентября 1983 г.) о персональных данных, используемых для научных исследований и статистики (в настоящее время пересматривается);

- Рекомендация № R(86) 1 (от 23 января 1986 г.) о персональных данных, используемых для целей социального обеспечения:

- Рекомендация № R(87) 15 (от 17 сентября 1987 г.). регламентирующая использование персональных данных полицейскими властями;

- Рекомендация № R(89) 2 (от 18 января 1989 г.) о защите персональных данных, используемых в целях трудоустройства;

- Рекомендация № R(90) 19 (от 13 сентября 1990 г.) о защите персональных данных, используемых для платежей и связанных с ними операций;

- Рекомендация № R(91) 10 (от 9 сентября 1991 г.) о сообщении третьим сторонам персональных данных, хранимых общественными организациями;

- Рекомендация № R(95) 4 о защите персональных данных в области телекоммуникационных услуг, с конкретными ссылками на телефонные услуги.

122

В стадии черновых разработок находятся подобные же рекомендации об использовании персональных данных в областях медицинских данных (пересмотр R(81) 1), статистики (пересмотр R(83) 10) и страхования (новая разработка).1

Следует отметить, что Совет Европы во все более возрастающей степени работает в параллель с развитием международного законодательства Европейского Союза, чтобы гарантировать, что страны-члены ЕС примут значительную часть его основополагающих принципов и рекомендаций в области защиты персональных данных.

Еще более отчетливо проявилось взаимодействие международных организаций по отношению к недавней новации в области международной защиты персональных данных - так называемым Типовым договорным положениям. В 1992 г. Консультативный комитет по Конвенции 108 принял некий набор типовых договорных положений, которые должны обеспечить защиту персональных данных, а также передаваться публичной или частной организацией из страны, ратифицировавшей Конвенцию 108, в страны, которые не приняли меры. обеспечивающие "эквивалентную защиту" персональных данных. С тех пор Совет Европы, Комиссия ЕС и Международная торговая палата проявили недюжинную активность, поддерживая существование и использование этих Типовых договорных положений. Специальное упоминание о них было даже включено в окончательный текст Директивы ЕС о защите данных, принятой Советом Министров ЕС в июле 1995 г.а. У перечисленных выше международных организаций есть надежда, что эти Типовые договорные положения будут применяться национальными органами защиты данных в тех случаях, когда иным решением могло бы быть запрещение или ограничение передачи данных.

Международная торговая палата в мае 1993 г. провела встречу с Советом Европы и Комиссией ЕС, чтобы оценить практическую ценность этих Типовых договорных положений. Стороны пришли к консенсусу относительно того, что это по-настоящему ценный и полезный инструмент международной защиты "прайвеси" и трансграничных потоков данных. На последующих встречах, также организованных Международной торговой палатой, к упомянутым организациям в

123

качестве четвертого спонсора Типовых договорных положений присоединилась Организация экономического сотрудничества и развития.

124

1 См.: Herald D.J. Jongen and Gerrit A. Vriezeu, Council of Europe and European Economy Union: Data Protection Regulatory System. Loeff Claeys Verbeke, 1995.

1 См.: Charles D.Raab, European Perspectives on Protection of Privacy. Department of Politics University of Edinburgh, Edinburgh, Scotland. 1995.

1 См.: Herald D.J. Jongen and Gerrit A. Vriezen. Op. cit.