4

Чтобы избежать терминологической путаницы, следует однознач­но установить, что термин «защита данных» должен толковаться толь­ко в том смысле, который устанавливает ст. 1 Конвенции 108 Совета Европы: «Целью настоящей Конвенции является обеспечение на территории каждой страны-участницы для каждого частного лица, независимо от его национальности или места жительства, уважения его прав и основных свобод и, в частности, его права на неприкосновенность частной жизни по отношению к автоматической обработке данных, содержащих сведения частного характера (“защита данных”)».

Иными словами, «защита данных – это обеспечение для каждого частного лица уважения его права на неприкосновенность частной жизни по отношению к автоматической обработке данных, содержащих сведения частного характера».

Объектом защиты Закона о защите компьютерных банков (баз) данных являются не сами банки (базы) данных, а, как следует из Директивы 96/9/ЕС Европейского Парла­мента и Совета Европы от 11 марта 1996 г. по правовой защите баз данных, Директивы Совета Европы 91/250/ЕЕС от 14 мая 1991 г. о правовой защите компьютерных программ, следующее:

– принцип подбора содержимого банка (базы) данных (но не само содержимое и не данные как элементы этого содержимого);

– способ организации и систематизации (т. е. организационная структура) содержимого банка (базы) данных;

– компьютерные программы, входящие в состав СУБД (системы управления банка или базы данных).

Таким образом, понятие «защита банка (базы) данных» означает защиту этих трех непременных атрибутов любого банка (базы) дан­ных. Нетрудно заметить, что данные в их число не входят. Отсюда следует, что терминологически правильным было бы название «Закон о защите персональных данных в составе компьютерных банков (баз) данных».

В заключение следует отметить, что в некоторых национальных системах защиты данных системообразующее законодательное ядро состоит не из одного, а из двух взаимодополняющих законов – закона типа Dаtа Рrоtесtоn Асt и закона типа Infоrmаtion Frееdоm Асt (Закон о свободе информации), которые нередко даже разрабатываются и принимаются одновременно. В других системах принцип свободы доступа к информации заложен в положениях закона как Dаtа Рrоtесtiоn Асt.

Отраслевые (секторные) законы представляют собой дополнительные (по отношению к базовому закону о защите данных) положения, обеспечивающие защиту персональных данных в отраслях человеческой деятельности, где происходит обработка, передача или использование таких данных. Продолжающееся распространение и появление новых компьютерно-телекоммуникационных технологий расширяет потенциальную угрозу других посягательств на право неприкосновенности сферы частной жизни. «Отраслевые» законы редко разрабатываются специально для конкретного вида угроз сфере частной жизни. Чаще происходит так, что дополнительные положения о защите персональных данных включаются в уже существующие или разрабатываемые законы, регламентирующие все аспекты деятельности и в той или иной отрасли по мере накопления прецедентной базы посягательств на права субъектов персональных данных в конкретной отрасли. Основное достоинство такой нежесткой иерархической системы «базовый закон – отраслевые законы» состоит в том, что при появлении новых видов неправомерных посягательств на персональ­ные данные нет необходимости переделывать всю систему защиты, достаточно внести изменение в «отраслевой» закон или дополнить его новым «отраслевым» законоположением.

Поскольку современные национальные системы защиты данных являются системами государственно-правового регулирования обра­ботки и использования персональных данных, то почти все они содержат активный регулирующий компонент – национальный орган (или систему органов) по защите данных, наделенный регистрационно-разрешительньми, контрольно-надзорными, а также арбит­ражными, экспертными и методологическими функциями.

Основные требования, предъявляемые к национальному органу по защите данных международными соглашениями о гармонизации систем защиты данных, – компетентность и независимость.

Компетентность потребовалась потому, что национальные органы по защите данных должны были взять на себя арбитражную функцию, с которой, ввиду быстрого усложнения компьютерно-информационных технологий, перестали справляться суды общего назначения. «Пришло время, когда те, кто используют компьютеры для обработки персональной информации (независимо от того, насколько ответственными они являются), не могут больше оставлять на произвольное усмотрение одних лишь судей решение вопроса о том, адекватно ли защищают сферу частной жизни их собственные компьютерные информационные системы.»

Независимость от государства была необходима потому, что государство с приходом компьютерных технологий оказалось одной из сторон, заинтересованных в обработке и использовании персо­нальных данных, и, следовательно, ни один из государственных органов не в состоянии был занимать позицию беспристрастного арбитра по отношению к коллизии прав субъекта данных и интересов держателей или пользователей персональных данных. Независимость органа по защите данных в различных национальных правовых системах обеспечивается разнообразными средствами: статусом органа, его местом в системе государственной власти, процедурой совместного назначения руководителя этого органа несколькими ветвями государственной власти, разделением административной подчиненности и подотчетности органа защиты данных между исполнительной и представительной ветвями власти, прямым указанием закона и многими другими методами, среди которых встречаются порой и довольно редкие. К последним можно отнести своеобразный двойной статус Британского регистратора по защите данных и его персонала. Согласно ст. 17 (2) Британского законодательного акта 1984 г. о защите данных, регистратор и его сотрудники считаются государственными служащими в тех случаях, когда такой статус необходим для предоставления Регистратору доступа к файлам данных, содержащим государственные тайны. В остальных случаях, согласно ст. 1(2) части 1 Приложения 1 к вышеупомянутому закону, для выполнения международных требова­ний, касающихся независимости национального органа по защите данных, «регистратор, его должностные лица и служащие не должны рассматриваться в качестве служащих или агентов Короны».

Не менее разнообразны организационные формы национальных органов по защите данных. Наиболее распространено учреждение поста специального должностного лица (с переданным ему персоналом), ответственного за защиту персональных дан­ных в национальном масштабе. В зависимости от национальных тра­диций и объема своих функций, установленных законом, это должностное лицо может носить название Национального уполномоченного по правам граждан на невмешательство в частную жизнь, или Прайвеси-Комиссара, Уполномоченного или Комиссара по защите данных Омбудсмена по неприкосновенности частной жизни или по защите данных (по определению понятия «омбудсмен» это название применимо лишь в странах, где правовое регулирование обработки и использования персональных данных производится только в публичном секторе). В ряде стран предпочитают коллегиальные органы по защите данных, носящие названия Советов, Комитетов или Коллегий по защите данных.

Довольно распространено использование не единственного органа, а системы органов власти по защите данных. Так, например, в Австрии законом установлена двойственная регулирующая структура, состоящая из Совета и Комиссии по защите данных. В Финляндии в национальную систему органов по защите данных входят Омбудсмен по защите данных и Коллегия по защите данных. В Великобритании полномочия Регистратора по защите данных в известной мере уравновешиваются полномочиями специализированного суда (трибунала) по защите данных, служащего апелляционной инстанцией, где можно опротестовать решения Регистратора. На решения этого суда по защите данных могут быть поданы апелляции в верховные суды королевств и княжеств, входя­щих в состав Соединенного Королевства Великобритании и Северной Ирландии. Тем самым в национальную систему защиты данных вносится элемент «судебной состязательности».