6

Кодексы могут принимать законодательную форму или иметь «за спиной» ту или иную степень законодательной поддержки, как это имеет место в Австралии, Ирландии, Нидерландах и Великобрита­нии. Такая тенденция законодательной поддержки кодексов появилась в конце 1980-х гг. Она в какой-то мере противоречит добровольной природе кодексов. Возможно, что это использование законодательных инструментов отражает ту или иную степень тревожной неуверенности законодателей в том, хорошо ли сработает механизм добровольного признания и соблюдения кодексов, не потребуется ли поощрение и поддержка этого механизма средствами закона.

Особо отметим кодекс поведения, принятый в Гонконге. Он уникален тем, что применяется к целой территории. Этот кодекс, который полностью следует Руководящим принципам ОЭСР, введенный в действие в 1988 г., устанавливает некоторое число абстрактных прин­ципов, которым надлежит следовать, но никак не конкретизирует и не детализирует их применение.

В Германии Федеральный закон о защите данных требует от фирм и компаний иметь кодексы практики. Более того, когда некая компа­ния использует более четырех человек для автоматизированной обработки персональных данных (или более 19 человек для обработки данных неэлектронными средствами), эта компания должна назначить своего внутреннего Уполномоченного по защите данных в качестве узаконен­ного средства саморегулирования.

В Швеции кодексы не упоминаются в законодательстве и не обес­печены правовой санкцией. Шведская комиссия по данным пытается определить, должна ли быть применена какая-либо юридическая процедура, чтобы учредить систему саморегулирования в рамках существующей структуры. С 1 апреля 1988 г. от всех пользователей и контролеров данных потребовали назначать некое «лицо для контакта», которое отвечает за проведение расследования внутри организа­ции в тех случаях, когда подозревается ошибка в персональных дан­ных. По завершении расследования это «лицо для контакта» должно докладывать о результатах субъекту, пользователю или контро­леру данных. Это напоминает германскую модель, хотя полно­мочия функционера саморегулирования здесь, конечно, значительно ýже. Несмотря на неопределенность политики комиссии по данным, несколько кодексов в Швеции уже возникло на добровольной основе, например, в советах по научным исследованиям, в средствах массовой информации, в агентствах кредитной информации.

Итак, есть две категории кодексов: кодексы, которые не имеют никакой законодательной поддержки, и кодексы, которые пользуются той или иной формой законодательной поддержки. Большинство существующих кодексов попадает в первую категорию, и лишь немногие (по крайней мере, на данной стадии развития) – во вторую. Большинство «незаконодательных» кодексов пришло из стран общего права, в которых (за исключением Великобритании) отсутствует исчерпывающее общее законодательство о защите данных в частном секторе.

Многие кодексы ограничены рамками отдельных секторов бизнеса. Чаще всего, например, они встречаются в банковской и страховой отраслях. В этом нет ничего удивительною, ведь именно эти отрасли собирают громадные количества персональных данных и располагают технологическими возможностями для их обработки. Кроме того, эти отрасли могут быть внутренне взаимосвязаны через корпоративное право собственности и могут иметь интересы в смежных областях бизнеса, таких, как службы безопасности, торговли и путешествий, тем самым потенциально способствуя еще большей концентрации данных. Индустрия прямого маркетинга тоже порождает значительное число кодексов. Кодексы разных типов используются в банковском секторе Австралии, Канады, Японии и США. Отраслевые кодексы в банковском секторе есть во всех этих странах, за исключением США, однако в банковском секторе Соединенных Штатов имеется несколько кодексов практики отдельных компаний и некоторые другие подзаконные акты саморегу­лирования. Австралийский кодекс не охватывает целиком всего банковского сектора, скорее он специально адресован электронному банковскому делу, и защита данных – лишь один из многих вопросов, охватываемых этим кодексом.

Модель Кодекса неприкосновенности частной жизни индивидуаль­ных потребителей, разработанная Ассоциацией канадских банкиров (КАБ), представляет собой интересный объект для изучения. Этот кодекс предлагается отраслевой ассоциацией для банков, которые, будучи членами этой ассоциации, могут воспользоваться им как моделью для своих собственных кодексов.

Эта модель кодекса, второе расширенное и переработанное издание этого документа, представляет собой специализированное применение Руководящих принципов ОЭСР в рамках банковской отрасли. Одним из важных свойств этого кодекса является то, что он предусматривает назначение внутри каждого банка некоего должностного лица, ответственного за защиту данных, хотя конечная ответственность возложена на высшее руководство банка. Следует отметить, что внесенные поправки к Канадскому федеральному законодательному акту о банках пред­усматривают специальную процедуру разрешения внешних жалоб. Более того, Федеральный ревизор финансовых учреждений может вмешиваться в тех случаях, когда внутренними мерами данное финан­совое учреждение не смогло добиться разрешения проблемы, затронутой в жалобе.

По сравнению с канадским подходом в Японии национальные Руководящие принципы защиты персональных данных для финан­совых учреждений, разработанные Японским Центром информацион­ных систем для финансовой отрасли (Р15С), устанавливают отраслевые инструкции, а не модель кодекса для принятия членами отрасли. Этот нестатутный (корпоративный) инструмент саморегули­рования тоже основан на Руководящих принципах ОЭСР. Инструкции Р15С устанавливают пять принципов защиты данных и дают развернутое толкование каждого. Поскольку эти инструкции не обеспечивают такой же уровень детализации, как кодекс-модель КАБ, то одновременно предпринимаются и некоторые другие меры саморегулирования защиты данных. Например, дополнительно к упомянутому выше используется набор инструкций, носящий название «Руководящие принципы безопасности компьютерных систем для финансовых учреждений».