7

В Ирландском законе 1988 г. о защите данных принят иной подход. Уполномоченный по защите данных может поощрять профессиональные ассоциации или другие представительные организации к принятию кодексов практики. Кроме того, Уполномоченный может давать кодексам свое официальное одобрение, если у него сформировалась точка зрения, что данный кодекс предоставляет субъектам данных защиту, соответствующую положениям упомянутого закона. Исходя из этой точки зрения, Уполномоченный может одобрить данный кодекс и представить его парламенту, который своей санкцией волен придать кодексу силу «отраслевого» закона.

В действии любой такой «санкционированный» кодекс подменяет соответствующие положения Закона о защите данных. До настоящего времени еще ни один кодекс не был «санкционирован» по изложенной выше процедуре. Тем не менее в условиях этой системы будут параллельно развиваться два набора кодексов: санкциониро­ванные кодексы, которые имеют силу закона, и кодексы, которые такой силой не наделены. Кодексы, не прошедшие через процесс санкционирования, не будут юридически обязывающими и не будут иметь никакого официального признания в соответствии с Законом о защите данных. Со временем накопившийся набор кодексов, наделенных правовой санкцией, займет место положений самого законодательного акта.

Таким образом, в отличие от британской системы, в Ирландии судебные преследования за нарушения принципов защиты данных будут происходить на основании отраслевого кодекса, если он, конечно, существует в данной отрасли и обеспечен правовой санкцией. Разумеется, что в тех отраслях, где не существует таких кодексов, будут применяться положения Ирландского закона о защите данных.

В Нидерландах Закон 1988 г. о защите данных предлагает еще один вариант регистрации кодекса. Он устанавливает процесс официальной регистрации, согласно которому торговая или профессиональная ассоциации могут зарегистрировать свой кодекс в Регистрационной палате. Не существует никакого принуждения к регистрации кодексов, но очевидно, что эта система весьма настоятельно рекомендуется, поскольку упомянутый закон предусматривает возможность издания общих административных предписаний, устанавливающих детализированные правила для любой отрасли или сектора экономики. Ясно, что в таких условиях отраслевые ассоциации предпочитают сами разрабатывать и регистрировать свои кодексы практики.

В стадии рассмотрения Регистрационной палатой находится немалое число заявлений о регистрации других кодексов, в том числе для банковской и страховой отраслей. Такая регистрационная система разработана, чтобы обеспечить максимальное приближение требований закона о защите данных к отраслевым реалиям. Чтобы способствовать периодическим пересмотрам и обновлению кодексов, предусмотрено временное ограничение: регистрация любого кодекса остается в силе максимум пять лет.

В отличие от ирландского, голландское законодательство о защите данных не предусматривает придания кодексам практики силы закона. Хотя суды не обязаны считать, что нарушение некого кодекса равносильно нарушению Закона о защите данных, тем не менее нару­шение кодекса практики свидетельствует о наличии достаточно серь­езных доказательств в области ответственности перед законом. Сле­довательно, хотя и косвенно, кодексы могут обладать некоторым кри­терием определения степени правовой защиты данных, что побуждает очень серьезно относиться к разработке и регистрации кодексов.

Директива ЕС от 24 октября 1995 о защите персональных данных выводит кодексы практики/поведения на международный уровень (разумеется, в рамках Европейского Союза). В ст. 20 говорится: «...страны-участницы должны поощрять заинтересованные деловые круги к участию в разработке европейских кодексов поведения или профессиональной этики в отношении определенных отраслей деятельности на основе принципов, установленных в настоящей Директиве».

Это положение следует рассматривать в сочетании со ст. 29, предусматривающей учреждение комиссии с полномочиями на создание правил, или технических мер, необходимых для применения принципов Директивы в определенных отраслях человеческой деятельности. Для определения необходимости создания таких правил комиссия должна, помимо прочего, принимать в расчет наличие кодексов поведения. Предполагается, что наличие эффективного кодекса может аннулировать потребность в каких-либо технических мерах для данной отрасли, что будет дополнительным стимулом для отраслевого саморегулирования вопросов защиты данных.

Существует пример обратного использования кодексов в Австралии. Регулирование справочных файлов потребительского кредита, которыми пользуются провайдеры кредита и кредитные бюро, было объектом специального детализированного законодательства, которое было заменено статутным кодексом поведения. Этот кодекс обязателен для исполнения и оказывает своим действием такой эффект, как если бы он был специальным законом, исходящим от государства, а не добровольным отраслевым кодексом. Проект данного кодекса был разработан ведомством Прайвеси-Комиссара, проводившим консультации с заинтересован­ными сторонами. Так что он не является продуктом отраслевого саморегулирования. Тем не менее этот кодекс весьма детализирован и в этом отношении похож на любой другой кодекс поведения.

Признано, что кодексы могут возникать при саморегулировании с различными целями: не принимать законодательства, регулировать пробелы законодательства, реализовать нормы законодательства и дополнить его.

Мотивация разработки кодекса до определенной степени определяет его форму и содержание. Кодексы, разработанные вне рамок законодательного регулирования, имеют тенденцию быть общими по форме, в то время как кодексы, которые способствуют соблюдению законодательства на практике или дополняют его, склонны быть более детализированными инстру­ментами, которые рассматривают проблемы защиты данных в пределах своей отрасли. Однако эта ситуация в наши дни претерпевает изменения благодаря появлению пересмотренных версий кодексов, не имеющих законодательного статуса или законодательной поддержки. Некоторые стали детализированными настолько, что происходит их конвергенция с кодексами другого типа.

Кодексы должны предлагать нечто большее, чем простое провозглашение широких принципов зашиты данных. Эти принципы уже были установлены в Руководящих принципах ОЭСР и Конвенции 108 Совета Европы. В качестве предварительного шага многие компании выразили поддержку Руководящим принципам ОЭСР. Любая попытка создать кодекс требует конкретных отраслевых мер регулирования по отношению к общим принципам защиты данных. Без этого кодекс будет восприниматься как формальный документ данной корпорации или отрасли для демонстрации своей культуры в области защиты данных.

Вполне понятно, что всеобщее внимание сейчас привлекают Ирландия и Нидерланды, где отраслевые кодексы могут утверж­даться и регистрироваться органом по защите данных. «Пока из этих стран в Секретариат ОЭСР поступает мало информации, поскольку ни одного кодекса еще не было предложено для утверждения (и последующего наделения правовой санкцией в Парламенте) в Ирландии, и только четыре кодекса были зарегист­рированы в Нидерландах. Однако, по имеющимся сведениям, Регистрационная палата в Нидерландах ясно и однозначно заявила, что она не будет регистрировать кодексы, которые просто пересказывают закон; кодексы должны идти гораздо дальше этого.»

Итак, в современных национальных системах правового регулирования обработки и использования персональных данных существуют четыре компонента защиты персональных данных:

– базовый закон о защите персональных данных;

– «отраслевые» законы;

– орган или система органов защиты данных;

– корпоративные средства защиты.

В основе законодательного акта 1984 г. Великобритании о защите данных лежат декларируемые восемь принципов защиты данных. Принятый довольно поздно по сравнению с аналогичными законами других стран (из-за 15 лет парламентских дебатов), он относится к так называемым законам второго поколения; регулирует автоматизированную обработку персональных данных как в публичном, так и в частном секторах; ручные данные не охватывает. Основной упор в правовом регулировании делает на тщательно проработанную процедуру регистрации обработки персональных данных, на надзор и административные предписания Национального регистратора по защите данных. Квалифицирует в качестве правонарушений следующее:

– хранение персональных данных без регистрации или без подачи заявления о регистрации (правонарушение, за которое наступает весьма суровая ответственность);

– преднамеренное или неосторожное хранение, использование, раскрытие или передача персональных данных, иных, чем описано в регистрационной записи;

– неисполнение предписаний регистратора по защите данных (к ним относятся предупреждение о принятии принудительных мер и уведомление о наложении запрета на передачу данных).