§ 2. Обмен данными между странами с разным уровнем

правовой защиты персональных данных

Серьезные юридические проблемы возникают в случаях обмена персональными данными:

- между страной, гармонизировавшей свое законодательство о защите данных в системе одной международной организации и страной, гармонизировавшей свое законодательство в системе другой международной организации;

- между страной с гармонизированным законодательством и страной, где правовая защита персональных данных находится на недостаточном уровне или отсутствует вообще.

Любая международная инициатива в области защиты данных -будь то Руководящие принципы OECD. Конвенция 108 Совета Европы или Директива ЕС - допускает для своих стран-участниц передачу персональных данных только в страны с сопоставимым уровнем правовой защиты данных. Вот как трактуется этот вопрос в ст. 24(1) Директивы ЕС 1995 г. о защите персональных данных: "Страны -члены ЕС должны предусмотреть в своем законодательстве то. что передача в некую третью страну, как на временной, так и на постоянной основе, персональных данных, которые подвергаются обработке или были собраны с целью обработки, может иметь место. только если эта страна обеспечивает адекватный уровень защиты".1

Это положение Директивы порождает всеобщие и непрестанные проблемы, каким образом сравнивать (если это вообще возможно) несоизмеримые системы защиты с точки зрения их оценки перед отправкой данных в эту страну. Если передача персональных данных происходит между публичными секторами обеих стран, то тогда оценить законы страны-реципиента вполне возможно, поскольку в подавляющем большинстве стран "базовый" закон о защите данных (если он существует) распространяется именно на публичный сектор и имеет, как правило, довольно стандартную структуру и содержание. Трудности могут иметь место только в некоторых федеральных странах, поскольку, хотя на федеральном уровне и принято

135

законодательство о защите данных, некоторые штаты или территории могут его не иметь.

Гораздо сложнее принять решение о трансграничной передаче данных между компаниями частного сектора, поскольку в большинстве неевропейских (и в некоторых европейских) стран законодательство о защите данных в частном секторе отсутствует или находится на явно недостаточном уровне. Требуется детальное изучение местных законов в таких странах, чтобы адекватно оценить принятые в них стандарты защиты персональных данных. Дело это нелегкое, поскольку во многих странах законы не являются легко доступными, ясными и очевидными. Такие оценки уровня правовой защиты данных на отраслевом уровне или даже на уровне компаний должны время от времени пересматриваться для того, чтобы оценить происходящие перемены, которые могут иметь место.

Трудности подобных оценок уровня защиты данных в частном секторе страны-реципиента можно привести на примере некой частной компании по страхованию жизни: из страны, гармонизировавшей свое законодательство в соответствии с Конвенцией 108 Совета Европы, необходимо передать персональные данные аналогичной компании в США, где Федеральный, базовый закон о защите данных гармонизирован в соответствии с Руководящими принципами OECD. Но помимо него существует негармонизированная и неорганизованная огромная масса (около 600 единиц) отраслевых законов и законов штата. Для принятия решения о допустимости и правомерности передачи этих персональных данных придется установить существование (разыскать, получить и проанализировать как минимум) следуюших законов:

- законы о медицинской конфиденциальности тех штатов, где ведет свою деятельность компания-реципиент;

- законы соответствующих штатов о страховании жизни с использованием страховки, предусматривающей соизмеримость ущерба с возмещением, а также их соответствие типовому закону, разработанному Национальной ассоциацией страховых комиссионеров;

- федеральные законы, связанные с конфиденциальностью архивных данных о злоупотреблении наркотиками и алкоголем:

- Федеральный законодательный акт 1970 г. о добросовестном составлении кредитных отчетов;

136

- законы о невмешательстве в финансовую частную сферу как федеральный, так и штатские;

- федеральные и штатские законы об ограничениях конфиденциальности, налагаемых на бюро медицинской информации;

- законодательство об информации по СПИДу.

Такой внушительный список релевантных законов в этом секторе экономики в достаточной мере иллюстрирует те трудности, которые предстоят в случае попыток сравнения уровней защиты данных между странами с законодательством о защите данных, содержащим ограничения на трансграничные потоки данных, и странами, относящимися к другой системе гармонизации или с недостаточным уровнем правовой защиты данных.

Для преодоления трудностей обмена персональными данными со странами с неэквивалентным или недостаточным уровнем правовой защиты данных международные организации (OECD, Совет Европы и ЕС) предлагают комплексное использование двух нестатутных средств: (1) Кодексов практики/поведения; (2) прямых договоров между экспортером и импортером данных с обусловленными стандартами защиты передаваемых данных1. При этом предполагается, что Кодексы практики могут использоваться для оценки уровня защиты данных у непосредственного реципиента данных (отрасли, корпорации, компании и т.д.), а контракты на обмен и защиту данных послужат договорно-правовыми инструментами защиты персональных данных.

Это порождает возможность использования Кодексов практики и контрактов как средств для обеспечения защиты данных в частном секторе. В случае недостаточности или отсутствия в данной стране соответствующего законодательства, они являются -главными механизмами, доступными для пользователей или собирателей данных, чтобы показать, что соответствующий уровень защиты данных существует. Контракты могут быть использованы для формирования своего рода мостика или связи между экспортером данных в стране, которая располагает исчерпывающими и

137

всесторонними законами о защите данных, и импортером в стране, которой таких законов недостает. Эти контракты устанавливают, что импортер персональных данных должен соблюдать определенные стандарты в связи с использованием, хранением или раскрытием данных. Бенефициариями этих контрактов должны быть субъекты данных и орган власти по защите данных.

Если в странах континентального права это вполне возможно по закону, то в странах общего права это может оказаться более проблематичным. В странах общего права доктрина договорных отношений препятствует тому, чтобы на основании контракта третьи стороны обретали прямые средства правовой защиты против сторон контракта. Однако можно прибегнуть к другим техническим приемам, чтобы обойти эти трудности. Например, создание взаимосвязи типа "доверитель - агент" между субъектом данных и экспортером данных так. чтобы экспортер являлся действующим от имени и в интересах субъекта данных. Или альтернативный вариант: обязательства импортера данных могут быть подписаны экспортером, который должен предоставить некие гарантии в пользу субъекта данных на тот случая, если импортер нарушит свои обязательства и откажется соблюдать условия данного соглашения. Это может неплохо сработать в случае компенсируемых- ущербов, однако в большинстве случаев субъекты данных хотят гарантии того, что злоупотребления данными будут пресечены. Такие гарантии здесь, разумеется, недостижимы.1

Контрактное решение может хорошо работать в тех случаях, когда импортер данных неким образом связан с экспортером, например, один из них является дочерней компанией другого. Оно также может удовлетворительно действовать в тех случаях, когда импортер располагает неким агентом, работающим в стране экспортера данных, тогда это лицо может нести ответственность за действия импортера по контракту. Несмотря на все эти ограничения в применении контрактов, они использовались и продолжают использоваться органами по защите данных в таких странах, как Австрия, Франция, Германия и Норвегия. Именно поэтому Совет Европы и Комиссия ЕС поддержали инициативу OECD по разработке типовых договорных положений.

138

Как отмечается в аналитическом обзоре OECD, органы по защите данных испытывают постоянную нужду в правовых "точках опоры" для принуждения к соблюдению законов своей страны, и одной из таких "точек опоры" могут быть вышеупомянутые прямые контракты на обмен и защиту данных. Контрактное решение предусматривает, как правило, что контракт является объектом права экспортирующей страны. Следовательно, законы экспортирующей страны о защите данных являются применимыми к нему и, таким образом, при соответствующих обстоятельствах орган власти по защите данных может использовать свои полномочия для преследования экспортера за их нарушение.

Кодексы практики могут использоваться не только для оценки уровня защиты данных у корпорации-реципиента, как указывалось выше, но и в качестве вполне жизнеспособной и плодотворной альтернативы для контрактного решения. Во-первых, любой отраслевой (секторный) кодекс, если он имеет надлежащую форму и содержание, может аннулировать для транснациональных компаний, действующих в этой отрасли (секторе экономики), необходимость заключения контрактов, упомянутых выше. Во-вторых, некоторые транснациональные компании имеют так много дочерних компаний, что было бы ненужной и обременительной формальностью требовать, чтобы все они имели прямые контракты на передачу и защиту данных, если существует надлежащий Кодекс практики для всей этой корпоративной группы. Такой подход уже был использован Австрийской комиссией по защите данных, которая разрешила корпорации IBM экспортировать данные из этой страны на определенных условиях. Это разрешение основывалось на тексте внутренних инструкций IBM и процедурах обеспечения защиты и безопасности данных внутри этой корпорации.1

Подводя итоги, следует отметить следующее. Любое решение на передачу персональных данных за границу основывается на доверии к реципиенту и к правовым положениям о защите данных, существующим в стране-импортере. Существование конкретных законов и органа власти по защите данных дает определенную степень уверенности субъекту данных и импортеру данных. Однако бывают

139

случаи, когда оценить уровень защиты данных в стране-импортере весьма трудно или уровень этот оценивается как неудовлетворительный, в то время как непосредственный реципиент данных заслуживает доверия своей практикой обработки данных и внутренними мерами по обеспечению защиты и безопасности данных. В таких случаях органы власти по защите данных в странах-экспортерах, как правило, ограничивают или запрещают передачу данных за границу. Совет Европы, OECD и Комиссия ЕС едины во мнении, что во многих подобных случаях может быть достигнут компромисс при помощи использования прямых договоров о передаче и защите (хотя их применение ограничено), а также отраслевых или корпоративных Кодексов практики. Однако все эти меры "ad hoc", рекомендуемые на ближайшее будущее, могут рассматриваться только как временное решение. Решение этих проблем на постоянной основе еще только предстоит найти.

140

1 OECD documents. Op. cit., p. 59.

1 См.: Herald D.J. Jongen and Gerrit A. Vriezen, Council of Europe and European Economy Union: Data Protection Regulatory System, Loeff Claeys Verbeke -1995; а также OECD documents. Op. cit, p. 61.

1 OECD documents. Op. cit., p. 60-61.

1 OECD documents. Op. cit., p. 60-61.