§ 3. Деятельность Евросоюза по гармонизации законодательства о защите частной жизни и персональных данных

Ст. 59 Договора ЕЭС устанавливает в качестве общего правила свободу оказания услуг по передаче компьютерной информации по международным телекоммуникационным каналам. Изъятия или ограничения, налагаемые национальными законами на свободный обмен потоками компьютерных данных, считаются правомерными, если они отвечают требованиям ст. 55 и 56 Договора ЕЭС или так называемому "правилу причины", выработанному судом ЕЭС.

Гармонизацию национальных законов о защите "privacy" и персональных данных ЕЭС первоначально намеривалось производить на основе "чужой инициативы" - Конвенции 108 Совета Европы, для чего Европарламент рекомендовал странам-членам ЕС подписать и ратифицировать эту Конвенцию. Однако, если Конвенция 108 окажется неэффективной. ЕС предусмотрел разработку собственной директивы по данной проблеме.

В 1990 г., когда степень эффективности Конвенции 108 уже определилась, Совет ЕЭС распорядился о разработке проектов двух директив:

- "базовой" (общей) директивы "о защите частных лиц по отношению к обработке персональных данных", предусматривающей общую регламентацию защиты данных (на время ее обсуждения и согласования странами - членами ЕЭС проект этой директивы получил код SYN 287);

- "отраслевой" директивы "о защите "privacy" и персональных данных при передаче данных с использованием цифровых телекоммуникационных сетей связи общего пользования", в частности, работающих на базе протокола связи ISDN, и по каналам цифровых сетей мобильной связи общественного пользования (проект этой директивы был обозначен кодом SYN 288).

Окончание обсуждения и согласования этих проектов и подписание результирующей Директивы ЕЭС планировалось как необходимая мера для завершения формирования Общего Рынка и трансформации

124

Европейского Экономического Сообщества (ЕЭС) в Европейский Союз (ЕС), намеченного на конец 1992 г.

Однако согласование проектов SYN 287 и SYN 288 затянулось и вьшвило ряд серьезных разногласий между странами-членами ЕС. Среди наиболее спорных моментов в проектах директивы можно было бы назвать строгость устанавливаемых правил в отношении сбора, обработки и использования персональных данных, которые могли осуществляться исключительно с согласия субъекта данных, а также не менее жесткие условия передачи персональных данных по телекоммуникационным линиям в третьи страны. Эти положения вызвали острые, нападки тех стран-членов ЕС. чьи позиции на мировом информационном рынке наиболее сильны. "Заметное усердие проявили англичане, особенно их "группы давления", связанные с такими отраслями экономики, как, например, банковско-кредитная сфера или прямой маркетинг, которые собирают, обрабатывают, сверяют и передают значительные объемы персональных данных, имеющих высокую коммерческую ценность, по мировым телекоммуникационным каналам не только в государства-члены ЕС. Против столь строгого регулирования выступали и представители транснациональных корпораций, и правительства ряда стран, например. Соединенных Штатов, которые рассматривали предложенную Директиву ЕС как часть нетарифного экономического протекционизма".1

Европейский Парламент предложил расширить понятие "персональные данные" за счет включения в него "характеристик внешних признаков физического лица и его голоса, а также сведений, имеющих прямое отношение к цели использования данных, поскольку существует определенная связь между целью такого использования и самим индивидуумом".2 Окончательная редакция Директивы включает в состав персональных данных внешние признаки физического лица, образец его голоса и отпечатки пальцев. Само же определение в Директиве ЕС понятия "персональные данные" не претерпело никаких изменений по сравнению с определением, заложенным в Конвенции 108 Совета Европы. Практически идентичны в этих двух документах и принципы качества данных.

125

Первоначально предполагалось, что идентичными будут и перечни "особо чувствительных" персональных данных, обработка которых запрещена (отступление от этого запрета допускается только в исключительных случаях). Однако Европарламент предложил включить в этот перечень данные, имеющие отношение к социальным аспектам характеристики личности, в том числе и данные об исполненной судебной (уголовной) ответственности. Согласно этому предложению Европарламента, сбор и обработка данных "чисто личного характера" (например, данных о семейном положении, количестве детей и размерах личного состояния) являются неправомерными. Предложение Комиссии ЕС об установлении в частном секторе запрета на сбор и обработку данных о лицах, совершивших уголовные преступления, не прошло, поскольку осложняло принятие превентивных мер и обнаружение преступников частными службами безопасности.

Права субъекта данных существенно расширены Директивой ЕС по сравнению с Конвенцией 108 Совета Европы. Так, например, ст. 15 (1) предусматривает право отказа от предоставления персональных данных. Вводится важное уточнение, гласящее, что согласие субъекта данных имеет силу лишь в том случае, если он информирован относительно целей и видов обработки персональных данных, их получателя (пользователя), а также имени (названия) и адреса контролера данных. Как устанавливает ст. 2(g). согласие может быть отозвано в любое время.

Серьезное внимание было уделено новым типам угроз для сферы частной жизни, возникших в результате проникновения цифровых технологий в сферу связи. Автоматические определители телефонных номеров (АОНы) запрещены во всех странах-членах ЕС. Согласно проекту Директивы SYN 288 сбор, хранение и обработка персональных данных телекоммуникационными компаниями допускается исключительно для целей телекоммуникации. Телекоммуникационные компании не вправе использовать передаваемые им или получаемые при помощи технических средств данные для определения вида деятельности абонентов или классификации индивидуальных абонентов по категориям (ст. 4). Дополнительные сведения об абонентах могут быть собраны и обработаны в целях заключения, осуществления, исправления, дополнения или прекращения договорных обязательств с телекоммуникационной компанией. После прекращения

126

договорных обязательств эти данные должны быть уничтожены (ст. 5).

Что касается институционных мер защиты, то ст. 26 Директивы ЕС устанавливает, что государства-члены ЕС должны поручить надзор за защитой персональных данных "независимому компетентному органу". Этот надзорный орган должен иметь полномочия, позволяющие ему расследовать любые случаи нарушения национального законодательства о защите персональных данных, включая право доступа к компьютерных базам данных. Кроме того, этот надзорный орган должен иметь полномочия рассматривать любые индивидуальные жалобы по вопросам, входящим в его компетенцию.

Представители этих надзорных органов от всех государств-членов ЕС под председательством представителя Комиссии ЕС формируют рабочую группу по защите прав граждан в вопросах обработки персональных данных (ст. 27). Рабочая группа наделена только консультативными полномочиями.

Несмотря на затянувшиеся дебаты и трудности с достижением консенсуса, Европейским Сообществом 24 октября 1995 г. была принята результирующая Директива о защите персональных данных Предполагается, что в силу обязательности ее исполнения странами членами ЕС, она окажет большее гармонизирующее влияние на национальные законодательства о защите "privacy" и персональных данных, чем Конвенция 108 Совета Европы.

127

1 Charles D.Raab. Op. pit., p. 6-7.

2 Herald D.J. Jongen and Gerrit A. Vriezen. Op. cit., p. 10.