5

Несмотря на существование в ряде национально-правовых систем специализированных судов и трибуналов по защите данных, входя­щих в национальные системы органов по защите данных в качестве полноправных членов, суды общего назначения тоже играют определенную роль в правовом регулировании обработки и использо­вания персональных данных, входя почти во все национальные системы защиты данных в качестве «неявных» членов.

Существуют различные пути принятия компаниями или отраслями мер саморегулирования в области защиты персональных данных:

– введение внутренних руководящих указаний или принципов;

– принятие кодексов практики или поведения:

– учреждение должности специального ответственного.

Эти меры защиты персональных данных могут составлять часть целой серии внутренних процедур, которая, в свою очередь, представ­ляет собой часть внутреннего менеджмента или руководящих принци­пов безопасности некой корпорации или отрасли человеческой деятельности. Из всех предпринимаемых мер все более популярными становятся кодексы поведения или практики. Помимо всего прочего, они могут предоставлять полезные средства для обеспечения прозрачности отраслевой или корпоративной политики. На практике разница между такими кодексами и внутренними руководящими принципами (или иными отраслевыми или корпора­тивными подзаконными актами) может быть невелика.

В области защиты данных форма, содержание и основная направ­ленность усилий кодексов практики или поведения не являются сколько-нибудь единообразными, что сильно затрудняет их формальную оценку и сравнение. Не существует никакого универсального опреде­ления кодексов практики или поведения. Например, Голландский законодательный акт 1988 г. о защите данных определяет кодексы поведения как «некий набор правил или рекомендаций по отноше­нию к файлам персональных данных, принятый одной или более организациями, являющимися репрезентативными для того сектора (отрасли), который они охватывают в интересах защиты неприкосновенности частной жизни».

Понятие «кодекс» имеет несколько значений. С одной стороны, оно предполагает, что эти нестатутные (корпоративные) инструменты формируют всестороннее и исчерпывающее изложение принципов и правил по тому предмету ведения, которому они посвящены. С другой стороны, этот термин настолько прочно вошел в лексикон защиты данных, что его стали использовать для описания любой попытки их регулирования, которая проявляется в письменной форме. Разумеется, это вовсе не облегчает решения вопроса о том, как оценивать любой кодекс. Разработанные Организацией экономического сотрудничества и развития (ОЭСР) предложения по оценке кодексов поведения или практики в какой-то мере помогают разрешить эту непростую проблему.

Одним из ключевых элементом любого кодекса практики должен быть его добровольный характер, поскольку любой такой кодекс является средством саморегулирования, используемым некой отраслью, компанией, корпорацией или профессиональной ассоциацией для достижения определенного уровня защиты данных. Следовательно, любой кодекс не предоставляет никаких законных прав другим сторонам, вовлеченным в процесс обработки, передачи и использования персональных данных. Например, субъекты данных или лицо, передающее данные, не обретают никаких прав против того держателя данных, который создал данный кодекс. Однако это не препятствует кодексу быть «обязательным для исполнения» внутри данной отрасли или корпорации. Например, нарушение отраслевых стандартов, содержащихся в кодексах, может привести к прекращению членства их нарушителя в той или иной отраслевой или профессиональной ассоциации.

Одна из значимых сторон любого кодекса состоит в том, что члены отрасли, корпорации или ассоциации могут самостоятельно определять, какие принципы защиты данных им стоит переводить в работоспособные положения своего кодекса практики или поведения. Если кодекс просто провозглашает широкие принципы защиты данных, но не предлагает мер для соблюдения этих принципов, то он не является средством защиты данных.

И, наконец, следует отметить, что кодексы поведения или практики являются обычно инструментами частного сектора. Этому способствуют несколько причин. Во-первых, регулирование защиты данных публичного сектора обычно осуществляется на основании правил, уста­новленных внутренними инструкциями. Во-вторых, в большинстве стран защита данных частного сектора остается сравнительно нерегулируемой, что предоставляет отраслям и корпо­рациям возможности для саморегулирования, что приемле­мо и для международных отраслевых ассоциаций, таких, как Международная ассоциация воздушного транспорта (IАТА), находя­щаяся вне сферы правового регулирования какой-либо страны.

Однако существуют и кодексы публичного сектора, например, Кодекс ассоциации начальников полиции в Великобри­тании или Кодекс католических начальных школ в Голландии.

Ранние кодексы были обычно ориентированы на конкретное предприятие и устанавливали внутренние принципы защиты данных на этом предприятии. Пионерами здесь были корпорация IВМ и компания Аmеricаn Ехрrеss: они приняли кодексы еще в 1970-х гг. Большое число компаний последовало их примеру в 1980-х гг. (что в определенной мере является следствием опубликования в 1980 г. Руководящих принципов ОЭСР, поощрявших кодексы практики или поведения). Некоторые кодексы пересматривались в попытках найти адекватный ответ на изменяющиеся внешние условия и принципы защиты данных.

Первое поколение кодексов обычно содержало только некий широкий набор абстрактных принципов в пределах одной компании, второе поколение предлагает более искусный, прикладной подход к защите данных в пределах уже одной отрасли человеческой деятельности. Руководящие принципы ОЭСР явно способствовали развитию и использованию кодексов поведения в качестве опорного средства саморегулирования. (Объяснительный меморандум, сопровождающий Руководящие прин­ципы ОЭСР, указывает, что его положения о кодексах практики или поведения были нацелены в основном на страны общего права, хотя кодексы вполне совместимы и с развитием специального законодательства по защите данных.)

Кодексы отдельных компаний были первоначальной формой, использовавшейся в 1970-е и 1980-е гг., но уже в 1980-е гг. распространенными стали отраслевые, или секторные кодексы практики. Как правило, модель кодекса предлагает некая ассоциация или отраслевая организация. Компании, члены этой ассоциации, поощряются к принятию кодекса, или этот кодекс становится частью отраслевой политики, так что членство в ассоциации и подразумевает признание отраслевого кодекса практики или поведения и соблюдение его принципов. Кодексы упомянутых выше IАТА и Ассоциации канадских банкиров были приняты в соответствии с первым подходом, в то время как процесс принятия кодекса и добросовестной банковской практики (Великобритания) следовал второму подходу.