Коллектив авторов - Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет

Обработка осуществляется на основании письменного договора только по поручению контролера или в рамках выполнения обязательств, эквивалентных тем, которые накладываются на контролера данных в соответствии с «Актом о защите данных».

Законом определены следующие требования об условиях собирания и обработки данных контролером [54] Register (notify) under the Data Protection Act. URL: https://ico.org.uk/for-organisations/register/ :

а) контролер информации может обрабатывать данные только в рамках заранее полученного согласия субъекта данных или в процессе выполнения договорных обязательств;

б) обработка данных соответствует обязательствам контролера обработки данных;

в) обработка направлена на защиту жизненно важных интересов субъекта данных;

г) обработка требуется в связи с целями «Акта о защите данных».

Данные могут быть собраны и обработаны правительством Великобритании при выполнении следующих условий:

а) обработка требуется для обеспечения безопасности общества, осуществления правосудия; или

б) имеются законные основания для обработки данных;

в) обработка не нарушает права и свободы субъекта данных или другого законного представителя.

Чувствительные персональные данные могут быть собраны и обработаны в случае выполнения следующих условий:

а) получение явного согласия субъекта данных;

б) обработка необходима для целей осуществления или выполнения каких-либо прав или обязательств, предусмотренных или налагаемых законом на контролера данных;

в) обработка необходима для того, чтобы защитить жизненно важные интересы субъекта персональных данных или другого человека;

г) обработка осуществляется любым судебным органом в его законной деятельности;

д) информация была обнародована самим субъектом персональных данных в результате его деятельности;

е) обработка необходима для целей или в связи с осуществлением судопроизводства, с получением юридической консультации либо защитой законных прав субъекта;

ж) обработка необходима для отправления правосудия или для осуществления функций определенных государственных органов, за некоторыми исключениями;

з) обработка необходима для целей предотвращения мошенничества;

и) обработка необходима для медицинских целей и связана с конкретными лицами.

Общее регулирование порядка анализа результатов обработки данных в Великобритании отсутствует. Однако в настоящее время активно обсуждается вопрос о возможности анализа результатов обработки данных, полученных интернет-провайдерами при выполнении их обязательств в рамках Директивы по хранению данных (Data Retention Directive [55] URL: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ: L:2006:105:0 054:0063:EN: PDF ), которая были принята в период после террористических актов в Мадриде в 2004 г. и в Лондоне в 2005 г., в целях согласования усилий ЕС в расследовании и уголовном преследовании самых серьезных преступлений, таких как организованная преступность и терроризм.

Директива по хранению данных требует от операторов сохранять определенные категории данных о трафике и местоположении физических лиц (за исключением содержания этих сообщений) в период от шести месяцев до двух лет и делать их доступными в случае запроса в правоохранительные органы для целей расследования, выявления и преследования серьезных преступлений и терроризма.

Сохраненные данные являются ценной информацией и доказательствами, на основании которых вынесены обвинительные приговоры за уголовные преступления, а также оправдательные приговоры, которые никогда бы не были сделаны, если бы не обязанность сохранять эти данные.

Несмотря на это, в настоящее время в Великобритании обсуждается вопрос о том, что провайдеров могут признать нарушителями законодательства о персональных данных, если они по-прежнему будут сохранять информацию, полученную в результате обработки данных пользователей в соответствии с Директивой по хранению данных. В частности, «Акт о защите данных» позволяет ограниченное хранение и обработку персональных данных. Если следовать «Акту о защите данных», то интернет-провайдеры могут хранить персональные данные только в случаях, определенных данным законом или соглашением с пользователем.

В России требование о сохранении персональных данных, кроме Федерального закона «О персональных данных», регулируется следующими нормативными правовыми актами: Федеральным законом «Об информации, информационных технологиях и о защите информации» (ст. 10.1 «Обязанности организатора распространения информации в сети Интернет»); постановлением Правительства РФ от 31 июля 2014 г. № 758 «О внесении изменений в некоторые акты Правительства Российской Федерации в связи с принятием Федерального закона “О внесении изменений в Федеральный закон “Об информации, информационных технологиях и о защите информации” и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей» [56] Официальный интернет-портал правовой информации. URL: www.pravo. gov.ru от 5 августа 2014 г. , в том числе законодательством о проведении оперативно-розыскных мероприятий.