Коллектив авторов - Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет

В рамках данного положения Европейской комиссией было принято Решение от 15 июня 2001 г. № 2001/497/ЕС «О стандартных договорных условиях относительно передачи персональных данных третьим странам согласно Директиве 95/46/ЕС». Этот документ адресован государствам – членам ЕС и в отличие от принятых ранее непосредственно устанавливает несколько стандартных вариантов-наборов условий для обеспечения адекватного уровня защиты данных. Операторы данных могут выбрать любой из вариантов, но при этом они не имеют права изменять условия или комбинировать отдельные условия либо комплекты.

Стандартные договорные условия становятся действительными для конкретных субъектов с момента их согласования сторонами. При этом они будут обязательными для исполнения не только организациями, являющимися сторонами договора, но и субъектами данных, в частности, в случаях, когда субъекты данных несут ущерб вследствие нарушения положений договора. Условия своим предметом имеют только вопросы защиты данных. Субъекты отношений могут дополнить соглашения иными положениями, в частности, условиями о взаимной помощи в случаях споров с субъектом данных или с контролирующим органом, которые они считают имеющими прямое отношение к договору. Правом, подлежащим к применению (по общему правилу), является законодательство государства – члена ЕС, в котором учрежден экспортер данных (лицо, осуществляющее передачу данных).

Согласно ст. 1 Решения стандартные договорные условия (в случае их согласования сторонами) расцениваются как достаточные гарантии в отношении защиты неприкосновенности частной жизни и основных прав и свобод физических лиц и в отношении осуществления соответствующих прав согласно требованиям, предусмотренным в ст. 26 (2) Директивы.

Резолюции Европейского парламента 2011/2025 (INI) от 6 июля 2011 г. о комплексном подходе к защите персональных данных в Европейском союзе провозгласили преемственность основных принципов Директивы 95/46/ЕС, но при этом – необходимость значительной доработки отдельных норм касательно трансграничной передачи данных [24] См.: Personal data protection in the European. Union European Parliament resolution of 6 July 2011 on a comprehensive approach on personal data protection in the European Union (2011/2025 (INI)) // Official Journal С 033 E. 05.02.2013. P. 0101–0110; Directive of the European Parliament and of the Council 2012/0010 (COD) on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data. Brussels, 25.01.2012 (проект); Resolution of the 85th Conference of the Data Protection Commissioners of the Federal Government and the Bremerhaven on 13–14 March 2013 «Europe must strengthen data protection». .

Итак, что касается проектного внутреннего регулирования в ЕС, то регулированию особенностей передачи персональных данных странам, не входящим в Европейский союз, посвящена отдельная глава проекта Регламента. Передача персональных данных за пределы Европейского союза или в международную организацию может осуществляться в случае наличия решения Европейской комиссии о том, что страна или организация, получающая персональные данные, обеспечивает адекватный уровень защиты персональных данных. При оценке адекватности уровня защиты персональных данных Европейская комиссия принимает во внимание:

1) верховенство закона, уважение прав человека и основных свобод, соответствующего законодательства, как общего, так и отраслевого, правил защиты данных и мер безопасности, в том числе правил дальнейшей передачи персональных данных в иные страны или международные организации, а также существование эффективных и действенных механизмов защиты субъектов персональных данных, включая административную и судебную правовую защиту;

2) существование и эффективное функционирование одного или нескольких независимых надзорных органов в данной стране или в стране, в которой учреждена международная организация, ответственных за обеспечение соблюдения правил защиты данных, включая необходимые полномочия для оказания помощи и консультирования субъектов персональных данных при осуществлении их прав и сотрудничестве с надзорными органами Европейского союза и государств-членов;

3) международные обязательства стран, расположенных за пределами Европейского союза, или международных организаций, вытекающие из их участия в многосторонних или региональных системах, в частности, в отношении защиты персональных данных.

Европейский совет по защите данных может представлять Европейской комиссии мнение для оценки адекватности уровня защиты персональных данных в стране, расположенной за пределами Европейского союза, или в международной организации.