Коллектив авторов - Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет

В Европейском союзе установлена ответственность как за раскрытие персональных данных неограниченному кругу лиц, так и за раскрытие данных конкретным третьим лицам (ст. 16, 17 Директивы 95/46/ЕС), а также предусмотрена ответственность за непринятие мер по защите персональных данных (ст. 23 Директивы 95/46/ЕС).

Статья 16 Директивы 95/46/ЕС устанавливает принципиальное требование конфиденциальности обработки персональных данных. Любое лицо, действующее под руководством оператора или обработчика, включая самого обработчика, которое имеет доступ к персональным данным, не может их обрабатывать, кроме как по поручению оператора, если оно не обязано это делать по закону.

Статья 17 Директивы 95/46/ЕС устанавливает, что оператор должен осуществлять надлежащие технические и организационные меры для защиты персональных данных от случайного или неправомерного разрушения, либо от случайной потери, изменения, несанкционированного раскрытия или доступа, в частности, когда обработка включает передачу данных по сети, и от всех иных неправомерных форм обработки.

Проект Регламента устанавливает запрет передачи персональных данных третьим лицам, осуществляющим предпринимательскую деятельность. Кроме того, устанавливается, что доступ к персональным данным не продается и не предоставляется по подписке.

Данная сфера правоотношений не регулируется специальными нормами права. Между тем она является предметом особого внимания европейских регуляторов. Так, 16 сентября 2014 г. Рабочей группой по защите физических лиц при обработке персональных данных WP29 было опубликовано Заявление EC14/EN WP 221 о влиянии развития больших данных на защиту физических лиц в отношении обработки их персональных данных. В частности, указывается, что вызовы, бросаемые технологиями «больших данных», требуют инновационного подхода к толкованию и применению базовых принципов законодательства о персональных данных, а также их дальнейшего совершенствования, хотя, по их мнению, на данном этапе рано говорить о том, что эти принципы абсолютно не действуют в новых реалиях.

В рамках проекта новых Рекомендаций Y.3600 МСЭ-Т «Требования и технические возможности использования облачных вычислений для обработки больших данных» (далее – Рекомендации) при определении требований, технических возможностей и вариантов использования облачных вычислений для обработки больших данных не устанавливаются специфические требования к защите персональных данных при обработке больших данных в облачной среде, однако определяется конкретный субъект, который обеспечивает защиту всех данных, в том числе персональных данных, в целом при обработке больших данных в облачной среде.

Таким субъектом является провайдер облачного сервиса / провайдер инфраструктуры или приложений для анализа больших данных.

Рекомендации устанавливают, что провайдер облачного сервиса / провайдер инфраструктуры или приложений для больших данных обеспечивает защиту данных таким образом, что защищенные данные не будут собираться, храниться ненадлежащим лицом и передаваться ненадлежащему лицу.

При этом Рекомендации не определяют, кто является ненадлежащим лицом, в связи с чем однозначно сделать вывод о том, что Рекомендации запрещают передачу данных третьим лицам, нельзя.

При установлении требования к анализу данных в облачной среде Рекомендации устанавливают рекомендательную (необязательную) норму, чтобы провайдер облачного сервиса / провайдер приложений для больших данных обеспечивал анализ поведения пользователей. Это включает анализ информации, связанной с пользователями, собранной в реальном времени, в том числе информации о поведении пользователей, средовой информации и проанализированной информации из накопленных о пользователе сведений в хранилище данных провайдера облачного сервиса / провайдера приложения для больших данных. При этом сбор информации должен осуществляться на основании предварительно данного согласия пользователя.

Рекомендации устанавливают следующие обязательные требования к безопасности и защите данных:

1) провайдер облачного сервиса / провайдер инфраструктуры больших данных должен обеспечивать защиту данных при сборе данных, при хранении данных, при передаче данных и обработке данных с помощью механизмов безопасности;