Организация защиты персональных данных

Принятые на федеральном уровне законы, в отличие от Директивы 95/46/EC, объединяющей различные области применения персональной информации, затрагивают в основном лишь публичный сектор и являются частными, сосредоточенными на конкретных категориях персональной информации, таких как книги финансового учета, кредитные ведомости, журналы учета клиентов фирм проката видеокассет, абонентов кабельного телевидения и образовательных программ, регистрационные журналы абонентов телефонных компаний.

На уровне штатов гражданам гарантировано право приватности через положения местных конституций:

Конституция Аляски, ст.1, пар. 22: “…признается право человека на приватность, каковое не должно быть нарушено»; конституция Аризоны, ст. 2, пар. 8: «Каждый человек имеет право на невмешательство в его личные дела, домашнюю жизнь без законных на то оснований»; конституция Калифорнии, ст. 1, пар.1: «Все люди независимы и свободны от природы и обладают неотъемлемыми правами, среди которых … право на безопасность, счастье и личную жизнь»; конституция Флориды, ст. 1, пар. 23: “Каждый человек имеет право оставаться независимым и свободным от вмешательства государства в его личную жизнь»; конституция Гавайи, ст. 1, пар. 6:”…признается право человека на приватность, каковое не может быть нарушено без непреодолимых на то оснований. Законодательством необходимо обеспечить указанное»; конституция Иллинойса, ст.1, пар. 6: «Человек должен иметь право быть надежно защищенным от безосновательного вмешательства в его личные, домашние дела, а также от поиска, захвата, наблюдения и прослушивания его связей, переписки и иных частных документов»; конституция Луизианы, ст. 1, пар. 5: «Каждый человек вправе быть защищенным в своих личных, домашних делах, связях и переписках от безосновательного вмешательства в его приватные отношения… Если подобное произошло, человек вправе защищать попранные интересы через соответствующий судебный орган; конституция Монтаны, ст. 2, пар. 10: «Право на приватность является неотъемлемой чертой свободного общества и не может быть нарушено…»; конституция Вашингтона, ст. 1, пар. 7: “Никто не может подвергнуться вмешательству в личные и семейные дела без законных на то оснований».

В большинстве случаев, однако, защита персональных данных может быть исполнена по отношению только к государственному сектору. Исключение составляет лишь конституция Калифорнии, чьи положения относительно приватности толкуются также и для частного сектора.

Законодательное регулирование вопросов защиты персональной информации в США осуществляется исключительно в публичном секторе, оставив частным компаниям и лицам пространство для саморегулирования, за исключением некоторых специфических законов.

Развитие законодательства США по вопросам защиты персональных данных осуществлялось в несколько этапов.

1970 год - принятие акта, регулирующего предоставление кредитной информации о покупателе (Fair Credit Reporting Act). Он налагает определенные обязанности на учреждения, занимающиеся подобной деятельностью (кредитные бюро). В частности, такие учреждения должны вести список организаций, которые регулярно занимаются сбором и оценкой кредитной информации о покупателе для предоставления отчетов третьим сторонам.

В соответствии с требованиями данного акта, любое кредитное учреждение должно принимать соответствующие меры, дабы предотвратить несанкционированное разглашение информации. Со стороны пользователя такой информации должно быть заявлено следующее: личность пользователя, цели использования информации, а также гарантии, что информация не будет использоваться вне заявленных целей.

Потребитель имеет право отказаться от санкционированной рассылки кредитных предложений по почте, а также вычеркнуть свое имя из списков подобных предложений, сделав телефонный звонок, либо послав письменное уведомление в одно из крупных кредитных агентств.

В данный акт 30 сентября 1997 года были внесены поправки, совершенствующие уровень защиты, предоставляемый потребителю. Одним из таких пунктов явилось требование к провайдерам кредитной информации строго соблюдать ее точность и правильность.

1974 год – принятие акта о защите приватности (Privacy Act). В основу данного акта легли принципы, определенные в Кодексе о Справедливой Информационной Практике (Code of Fair Information Practice), который был выпущен в 1973 году Государственным Департаментом Здоровья и Образования. К данным принципам относятся следующие:

- не должно существовать секретных баз персональных данных;

- должны быть определены механизмы, которые позволили бы отдельным гражданам проверить, какая информация личного характера находится в соответствующих базах данных и как она используется;

- должны быть определены методы, позволяющие отдельным гражданам предотвратить использование информации, собранной в базах персональных данных в незаявленных целях и без согласия субъекта данных;

- должны быть разработаны процедуры, позволяющие субъектам данных скорректировать либо удалить собранные о них персональные данные;

- организации, собирающие, обрабатывающие и использующие персональные данные, в том числе передающие их третьей стороне, должны обеспечить такое положение, когда данные будут использоваться только в заявленных целях и будут приняты меры предосторожности для предотвращения их злоумышленного использования.

Указанные принципы должны распространяться на все категории систем обработки персональных данных. Подобный кодекс является примером осуществление стратегии саморегулирования рынка персональных данных, проводимой в США.

Акт от 1974 года о защите приватности был принят с целью предотвращения злоупотреблений со стороны государства в области использования персональной информации. Данный документ включал общие правила, регулирующие процессы сбора, использования и раскрытия персональной информации, находящейся в ведении различных федеральных учреждений.

Два положения закона имеют принципиально важное значение с точки зрения защиты неприкосновенности частной жизни. Во-первых, в преамбуле закона право на приватность впервые определено как "личное и фундаментальное право, охраняемое Конституцией Соединенных Штатов" и тем самым официально приравнено к основным гражданским правам и свободам. Во-вторых, закон устанавливает запрет на сбор и хранение информации о том, как субъект осуществляет свои права, предусмотренные первой поправкой к конституции (т.е. свободу слова и печати, свободу вероисповедания, свободу собраний и др.), за исключением случаев, когда это прямо предписано законом или разрешено самим субъектом данных.

Закон закрепляет за субъектом персональных данных комплекс правомочий, позволяющих ему осуществлять превентивный контроль за тем, как его право на информационную приватность соблюдается федеральными ведомствами и их должностными лицами. К числу прав относятся:

1. Право быть осведомленным о существовании системы обработки персональных данных. Это право обеспечивается обязанностью ведомства, создающего или реорганизующего уже имеющуюся систему персональных данных, публиковать в Федеральном реестре соответствующее уведомление, в котором указываются ее название и местонахождение; категории лиц, персональные данные которых в ней накапливаются; категории персональных данных. Требование о публикации уведомления распространяется и на те системы персональных данных, для которых закон устанавливает изъятия из общих правил о доступе индивида к своим персональным данным (например, в отношении баз персональных данных ЦРУ и ФБР).

2. Право быть осведомленным о целях сбора и обработки информации. Это право обеспечивается обязанностью ведомства при сборе информации сообщать субъекту данных о предполагаемых целях использования информации, о том, на каком правовом основании собирается информация и является ли ее предоставление обязательным или добровольным, а также уведомлять о последствиях отказа предоставить персональные данные.

3. Право на доступ к своим персональным данным, на их изучение и получение копии всех данных или их части.

4. Право требовать внесения изменений и дополнений в свои персональные данные. В случае отказа внести такие изменения ведомство обязано уведомить субъекта данных о мотивах отказа и информировать его о процедуре пересмотра принятого решения, указав должностное лицо, к компетенции которого относится такой пересмотр. Если он настаивает на пересмотре, окончательное решение должно быть вынесено не позднее 30 дней после подачи соответствующего заявления. В случае окончательного отказа лицо может воспользоваться правом представить в ведомство аргументированное заявление о своем несогласии с решением; это заявление должно быть приобщено к его персональным данным и следовать за ними при последующей передаче. Независимо от этого в случае отказа от внесения изменений в персональные данные или отказа в доступе к информации субъект данных вправе обратиться в суд. По результатам рассмотрения суд может издать приказ, обязывающий ведомство предоставить лицу доступ к персональным данным или внести изменения в персональные данные.

Одновременно закон налагает на ведомства ряд обязательств и ограничений, касающихся сбора и использования персональной информации:

1. Ведомство вправе накапливать только такую информацию о субъекте данных, которая имеет непосредственное отношение к компетенции соответствующего ведомства. Накапливаемые данные должны отвечать требованию "достоверности, своевременности и полноты". Нарушение ведомством этой обязанности, если оно имело следствием принятие неблагоприятного для субъекта данных решения, служит основанием для судебного иска. Возмещению подлежат фактические убытки и судебные расходы.

2. Устанавливается общий режим конфиденциальности персональных данных: их раскрытие или передача третьим лицам либо другим ведомствам разрешается только по требованию или с письменного согласия субъекта персональных данных. Режим конфиденциальности призван обеспечить соблюдение одного из основных принципов добросовестной информационной практики: информация, полученная для определенной цели, не может быть использована для других целей.

Несмотря на свое широкое по значению название, акт о приватности 1974 года применим только к записям федеральных учреждений (запись определена как любая единичная запись или группа записей, включающая, но не ограничивающаяся подобным, информацию об образовании, рабочей занятости, финансовых сделках, истории болезней, криминальном прошлом и содержащая имя субъекта или иной идентификатор, в том числе отпечатки пальцев, фрагмент голоса или фотографию).

Закон запрещает раскрытие записей без заявленного на то согласия субъекта данных, но делает такое раскрытие возможным, если оно прямо соответствует изначально заявленным целям использования персональных данных; ограничивает количество хранимой информации критериями соответствия целям и необходимости; обязывает учреждения по требованию субъекта данных предоставить ему информацию о базах, которые содержат релевантные записи, а также возможность вносить изменения в их содержание; требует от учреждений обеспечивать сохранность сведений. Любая третья сторона, призванная по контракту с федеральным органом обрабатывать персональные данные, обязана соблюдать положения данного акта. В качестве компенсации ущерба субъекту данных предусмотрен денежный штраф нарушителю до 5 тысяч американских долларов.

Указанные положения в целом соответствуют практикуемым на территории ЕС, однако, имеется ряд положений, которые обусловили внесение США в порядке, предусмотренном в п. 4, ст. 25 Директивы 95/46/EC, в список стран, не обеспечивающих адекватную защиту персональных данных.

Во-первых, США не подписали и, следовательно, не ратифицировали Конвенцию N108.

Во-вторых, практика защиты персональной информации в США не является достаточно надежной. В данной стране нет специального ведомства, осуществляющего надзор за неприкосновенностью частной жизни и использованием персональной информации. Бюджетно-контрольное управление играет ограниченную роль в разработке политики для федеральных ведомств и не отличается эффективностью. Федеральная торговая комиссия наделена полномочиями для надзора за исполнением законов о защите информации о потребительских кредитах и за соблюдением правил честной торговли, но не за обеспечением прав, гарантирующих неприкосновенность частной жизни, кроме тех, которые связаны с нарушениями правил честной торговли.

Являясь членом Организации по экономическому сотрудничеству и развитию, США не выполняют, однако, Директивы ОЭСР о защите неприкосновенности частной жизни и международных обменов персональными данными во многих секторах, в том числе в сфере финансов и здравоохранения.

1974 год – принятие акта о защите приватности и прав семейной жизни и образования (Family Education Rights and Privacy Act). Его положения направлены на защиту приватности записей, сделанных в связи с образовательной деятельностью гражданина, его права на доступ к данным и относятся к государственным образовательным учреждениям. В этом случае действует право студента или его родителей (если возраст студента менее 18 лет) получать доступ к сделанным записям, исправлять и удалять находящуюся в них информацию, в случае если процедуры хранения и обработки нарушают право приватности (сведения неточны, избыточны), и устанавливать лимит на разглашение информации третьим сторонам. Передача информации третьей стороне может быть произведена только с письменного согласия студента. Информация, идентифицирующая третью сторону, должна быть занесена в реестр образовательного учреждения.

В случае если образовательным учреждением не выполняются установленные в данном акте положения, у государства существует возможность наложить запрет на финансирование данного учреждения из федеральных фондов.

Акт о праве на финансовую приватность, 1978 год (Right to Financial Privacy Act). Положения данного акта призваны регулировать конфиденциальность финансовых записей, хранящихся в различных банковских структурах, заемных, строительных компаниях, страховых обществах и кредитных организациях (финансовые институты) при взаимодействии с государственными органами. Так, финансовые институты не могут предоставлять персональную информацию об их клиентах государственным учреждениям за исключением случаев:

- если клиент авторизовал такую передачу;

- если сведения требуются для проведения судебного или административного расследования либо в соответствии с иными законными нуждами.

Запрашивая право на доступ, государственный орган должен предоставить письменный запрос в соответствующее учреждение, а также уведомить об этом субъекта данных, который, в свою очередь, может подобный запрос опротестовать.

Субъект имеет право требовать компенсации убытков и нарушений в судебном порядке.

Акт о защите приватности в электронных коммуникациях, 1986 год (Electronic Communications Privacy Act). Электронные коммуникации в данном случае определяются как любая передача знаков, сигналов, сведений, письменных, звуковых, изобразительных сообщений и информации иной природы полностью или частично посредством проводной, радиосвязи, электромагнитных волн, фотоэлектрических и фотооптических систем с целью внутренних или международных деловых отношений.

Первая часть данного документа регулирует вопросы сбора информации, содержащейся в коммуникационных потоках (сведения и голосовые сообщения) и ее раскрытия. Акт запрещает вмешиваться в передаваемые сообщения (перехватывать, приостанавливать) любой публичной или частной стороне пока подобное не будет разрешено законодательным актом или судебным ордером. Положения акта накладывают ограничения на использование пеленгующей и отслеживающей аппаратуры.

Вторая часть устанавливает порядок сбора и раскрытие хранимой персональной информации. Доступ к хранимым файлам должен быть исключительно авторизованным. Раскрытие информации возможно в случае согласия субъекта, если это требуется для эффективного исполнения провайдером обязательств по сервису или необходимо для расследования преступлений или иных законных операций.

Субъект вправе потребовать компенсации нарушенных прав в судебном порядке, включая возмещение ущерба, расходы на адвокатов и судебные издержки.

Американские исследователи констатируют, что европейская модель предусматривает гораздо более последовательную, полную и эффективную защиту персональных данных.

При сходстве основополагающих принципов, сформулированных еще в 70-е годы, американская и европейская модели различаются в том, как эти принципы отражены в конкретном правовом регулировании. Единообразие правового регулирования в странах Европы и его высокий уровень обеспечиваются наднациональными стандартами - Конвенцией о защите прав личности при автоматической обработке информации 1981 г., подписанной почти всеми европейскими странами, и Директивой Европейского Союза о защите данных 1995 г.

Европейские законы устанавливают единые требования ко всем субъектам, осуществляющим сбор, обработку и использование персональных данных, независимо от того, в каком секторе - государственном или частном — они осуществляют свою деятельность. Эти правила сформулированы детально и четко. Европейская модель устанавливает строгие стандарты защиты так называемой “чувствительной” информации – о расовом и этническом происхождении, политических и религиозных взглядах, философских и этических убеждениях, а также о здоровье субъекта данных; по общему правилу, сбор такой информации запрещается. Кроме того, европейская модель предусматривает создание независимого государственного органа, который осуществляет контроль над информационной практикой и действует как омбудсмен, рассматривая жалобы субъектов данных и других заинтересованных лиц.