Orenburg, Orenburg, Russian Federation
The comparative analysis of the legislation of the European Union and the Russian Federation fixing the legal status of the subject of personal data, carried out in this article, allows to recognize the European legal order in this sphere more perfect and elaborated. The current reform and legislation of the European Union, including Regulation (EU) 2016/679, are aimed at protecting the fundamental rights and freedoms of everyone in the Union and, in particular, the right to the protection of personal data. In comparison with the previous EU regulations, the Regulation significantly expands the range of subjective rights of individuals and their regulation completely assigns Chapter three. It should be noted that some of these rights are novelties not only at the level of European law, but also on an international scale. One of the most important innovations of the Regulations should be recognized as the consolidation in a separate article of the right to delete data (the right to oblivion). At the same time, the Rules do not separate the categories of "right to delete" and "right to be forgotten", which may cause difficulties in the implementation of this right in practice. The analysis of the Russian legislation on personal data allows to draw a conclusion that it has fragmented and contradictory character that negatively affects first of all the legal status of the subject of personal data. At the same time, the Russian state has recently been paying more and more attention to the rights of its citizens, including the right to protection of personal data. The focus on the convergence of Russian legislation with high European standards in the context of technological progress and globalization will lead to the solution of problems of information security, as an individual and the whole state. Such a comprehensive approach to the optimization of legislation on the protection of personal data will allow data subjects to effectively exercise their rights and freedoms, including the fundamental right to protect personal data.
information, personal data, collection, processing, transfer, personal data subject, operator, controller, subjective rights, obligations, protection of personal data, responsibility
Введение
Актуальность научного исследования правового статуса субъекта персональных данных заключается в том, что информационная сфера современного общества представляет собой одно из важнейших направлений реализации интересов личности. В свою очередь, интересы личности в совокупности с интересами государства и общества в области защиты информации составляют информационную безопасность государства. Расплывчатость формулировок российского законодательства фактически ставит субъекта персональных данных в зависимость от разумности и добросовестности действий оператора. Именно поэтому информация персонального характера должна иметь надлежащий уровень не только организационно-технической, но и правовой защиты, как это предусмотрено в законодательстве Европейского союза [5].
При всей значимости проблематика обеспечения правовой защиты персональных данных физических лиц представляет собой одно из малоисследованных направлений в юридической науке.
Объективные сложности правового регулирования отношений в сфере защиты персональных данных обусловлены необходимостью сбалансировать в законодательстве противоречивые интересы, как минимум, трех групп субъектов:
1) граждан, чьи персональные данные собираются и обрабатываются (субъектов персональных данных);
2) государственных органов, обязанных обрабатывать персональные данные в связи с исполнением своих полномочий;
3) коммерческих организаций, заинтересованных в обработке персональных данных в соответствии с целями их деятельности.
При возникновении разногласий между указанными лицами органы государственной власти, ответственные за исполнение законодательства, не могут в полной мере гарантировать охрану персональных данных, а также установить ограничения на сбор и распространение некоторых из них, например, тех персональных данных, которые их обладатель распространяет самостоятельно [3, с. 10].
Цель настоящего исследования заключается в анализе правового статуса субъекта персональных данных в Европейском союзе и Российской Федерации. Данная цель означает раскрытие правового статуса субъекта персональных данных, под которым понимается совокупность прав субъекта персональных данных и корреспондирующих им обязанностей других субъектов отношений, возникающих по поводу информации, относящейся к прямо или косвенно определенному или определяемому физическому лицу.
По сравнению с ранее действовавшими в Европейском союзе нормативными актами в новом Регламенте (ЕС) 2016/679 существенно расширен комплекс субъективных прав физических лиц, а их регламентации полностью посвящена глава третья «Права субъектов данных». При этом некоторые из этих прав являются новеллами не только на уровне европейского права, но и в мировом масштабе.
Основная часть
Раскроем основные права субъекта персональных данных по законодательству Российской Федерации.
1. Право субъекта персональных данных на доступ к своим персональным данным. Субъект персональных данных имеет право на получение сведений об операторе обработки его данных, о месте его нахождения, о наличии у него данных, а также на ознакомление с собственными персональными данными. Субъект вправе требовать от оператора уточнения своих персональных данных, их блокировки или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
2. Право субъекта при обработке его персональных данных в целях продвижения товаров на рынке, а также в целях политической агитации. Обработка персональных данных в указанных целях допускается только при условии предварительного согласия субъекта персональных данных. В случае незаконной обработки данной информации оператор обязан немедленно прекратить ее по требованию субъекта данных.
3. Право субъекта данных при автоматизированной обработке его персональных данных. Управленческие и иные решения могут быть приняты только при наличии согласия субъекта данных в письменной форме, но и в этом случае оператор обязан разъяснить субъекту порядок принятия решений на основании исключительно автоматизированной обработки его персональных данных.
4. Право на обжалование действий (бездействия) оператора. Любое лицо, в отношение которого были нарушены условия и порядок обработки персональных данных, имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
5. Право на защиту прав и интересов.
Субъект персональных данных вправе принимать любые, не противоречащие закону, меры по защите своих прав и законных интересов. Лица, виновные в нарушении законодательства о персональных данных, несут гражданскую, уголовную (ст. 137, 272 УК РФ), административную (ст. 5.39, 13.11, 13.14 КоАП РФ), дисциплинарную (ст. 192 ТК РФ) и иную ответственность.
Законодательство Европейского союза определяет, что в качестве субъектов правовых отношений, возникающих в процессе сбора, хранения, обработки, использования и передачи персональных данных, выступают следующие лица:
а) лица физические и юридические (как правило, физические), к которым относятся собираемые, хранимые, обрабатываемые, используемые и передаваемые данные. В доктрине большинства стран для обозначения таких лиц применяется термин «субъект данных» (data subject);
б) лица юридические и физические, осуществляющие действия по обработке, использованию и передаче персональных данных. В число таких лиц включаются следующие субъекты.
Держатель персональных данных (контролер) − физическое или юридическое лицо, обладающее правом принимать любые законные решения в отношении обработки, использования и передачи персональных данных.
Пользователь персональных данных − физическое или юридическое лицо, использующее собранные и обработанные персональные данные, для которых оно не является держателем (контролером) данных.
Обработчик персональных данных − физическое или юридическое лицо, располагающее компьютерными или иными технологиями, и осуществляющее автоматизированную или ручную обработку данных, для которых оно не является держателем (контролером) данных.
Сборщик персональных данных − физическое или юридическое лицо, осуществляющее первичный сбор персональных данных [2, с. 27].
Cубъект персональных данных − это главный участник отношений, который может принимать предусмотренные законодательством меры по обеспечению охраны сведений о нем и предотвращению нанесения вреда его личности, доброму имени, репутации. Субъектом персональных данных является физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных [1].
В законодательстве Европейского союза отсутствует определение данного понятия. Однако доктрина и нормативные акты государств − членов ЕС позволяют заключить, что субъект персональных данных – это лицо, которое либо идентифицировано, либо идентифицируется в данный момент, либо может быть идентифицировано в будущем, прямо или косвенно, на основании относящихся к нему персональных данных, в частности, посредством ссылки на определенный идентификатор, такой, как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор, один или несколько других факторов, уникальных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица.
Правовой статус основан на концепции законной, прозрачной и контролируемой субъектом обработки данных, отвечающей интересам самого субъекта [4]. Такая концепция первоначально была изложена в Директиве № 95/46/ЕС о защите физических лиц при обработке персональных данных и о свободном обращении таких данных (далее − Директива 1995 г.).
В результате проведенной реформы европейского законодательства о персональных данных были приняты новая Директива ЕС «О защите физических лиц в отношении обработки персональных данных компетентными органами в целях предотвращения, расследования, обнаружения или уголовного преследования за уголовные преступления или исполнения уголовных наказаний, а также за свободное перемещение таких данных и отмене Рамочного решения Совета ЕС 2008/977/JHA» и новый Регламент (ЕС) № 2016/679 «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных)» (далее – Регламент).
Одним из главных нововведений Регламента необходимо признать закрепление на уровне ЕС права на забвение (право быть забытым). Директива 1995 г. позволяла гражданам требовать удаления данных, когда их хранение и обработка перестали быть необходимыми, или когда гражданин больше не желал пользоваться услугами компании. В то же время это совсем не означало, что по каждому запросу компания должна была удалять персональные данные пользователя.
В ст. 17 «Право на удаление (право на забвение)» Регламента сказано, что субъект данных имеет право добиваться от контролера удаления персональных данных, без неоправданной задержки, и контролер обязан удалить информацию, за исключением случаев, когда обработка необходима. Однако Регламент не разделяет «право на удаление» и «право быть забытым», что может вызвать сложности при осуществлении этого права на практике.
Право доступа субъекта данных к информации о нем содержалось и в Директиве 1995 г. Однако в новом Регламенте содержание данного права существенно расширено посредством включения в него положений о том, что субъект данных имеет право получить от контролера подтверждение о том, обрабатываются ли его персональные данные и о цели их обработки; сведения о получателях или категориях получателей, которым были или будут раскрыты личные данные; сведения о предполагаемом периоде, на протяжении которого будут храниться личные данные; наличие права требовать от контролера исправления или удаления персональных данных или ограничения обработки персональных данных; наличие автоматизированного принятия решений, в том числе профилирование (ст. 15 «Право доступа субъекта данных»).
Субъект данных вправе добиваться от контролера ограничения обработки персональных данных, если имеет место одно из следующих условий: точность персональных данных оспаривается субъектом данных в течение периода, позволяющего контролеру проверить точность этих персональных данных; обработка является незаконной, и субъект данных вместо удаления данных требует ограничения их использования; контролеру больше не нужны персональные данные для целей обработки, но они требуются субъекту данных для установления, осуществления прав или их защиты (ст. 18 «Право на ограничение обработки данных»).
Новеллой Регламента является положение о том, что субъект данных имеет право на получение персональных данных о себе, которые он предоставил контролеру в структурированном, обычно используемом или машиночитаемом формате (ст. 20 «Право на портативность данных»).
Право на возражение (секция 4) заключается в том, что субъект данных имеет право возражать против обработки его персональных данных, за исключением случаев, если эта обработка необходима для обеспечения общественных интересов или для осуществления полномочий, возложенных на контролера.
Методология
Методологическую основу исследования составляют общенаучные и частнонаучные методы, такие как диалектический материализм, системный, структурно-функциональный, исторический, общелогический, формально-юридический, сравнительно-правовой. Их применение в сочетании с современными достижениями философской, политологической, социологической и юридической мысли позволило провести всесторонний анализ правового статуса субъекта персональных данных в Европейском союзе и Российской Федерации.
Результаты
Анализ Регламента ЕС позволяет сделать вывод о том, что в этом документе содержится обширный перечень прав субъектов данных, которые детально регламентированы. Вместе с тем, не менее подробно Регламент устанавливает и ограничения прав субъектов данных, применяющиеся в особых случаях.
Сфера прав, предусмотренных в Регламенте, может быть ограничена в той мере, в какой ограничение является необходимой и пропорциональной мерой для обеспечения национальной и общественной безопасности и иных публичных интересов. При этом любая законодательная мера должна содержать конкретные положения относительно: целей обработки или категорий обработки; категорий персональных данных; объема введенных ограничений; гарантий предотвращения злоупотреблений или незаконного доступа или передачи данных; характеристик контролера или категорий контролеров; периодов хранения и применимых гарантий с учетом характера, объема и целей обработки или категорий обработки; рисков, связанных с правами и свободами субъектов данных.
Заключение
Новый Общий Регламент по защите данных более подробно раскрывает сущность прав субъектов данных, которые были предусмотрены в Директиве 1995 г., а также вводит регламентацию следующих прав субъекта: право на исправление, право на удаление (право на забвение), право на ограничение обработки данных, уведомление об исправлении или удалении личных данных или ограничении обработки, право на портативность данных. Все эти права закреплены в отдельной гл. 3 Регламента «Права субъекта данных», где помимо этого установлены условия осуществления прав субъекта данных, информация и доступ к персональным данным, обязанности контролера, связанные с осуществлением субъектом своих прав. Необходимо отметить, что в особых случаях законодательство ЕС или государства-члена может предусмотреть ограничения вышеуказанных прав, которые могут быть введены в действие только по основаниям, исчерпывающий перечень которых содержится в Регламенте. Включение данного перечня оснований в Регламент является важным элементом механизма правового регулирования защиты персональных данных в Европейском союзе.
1. Vel'der I.A. Sistema pravovoy zaschity personal'nyh dannyh v Evropeyskom Soyuze. Dissertaciya na soiskanie uchenoy stepeni kandidata yuridicheskih nauk. − Kazan', 2006. − 143 s.
2. Ivanskiy V.P. Pravovaya zaschita informacii o chastnoy zhizni grazhdan. Opyt sovremennogo pravovogo regulirovaniya. − Moskva: RUDN, 1999. - 276 s.
3. Kucherenko A.V. Pravovoe regulirovanie personal'nyh dannyh v Rossiyskoy Federacii. Avtoreferat dissertacii na soiskanie uchenoy stepeni kandidata yuridicheskih nauk. Chelyabinsk, 2010. - 23 s.
4. Pravo Evropeyskogo Soyuza: uchebnik dlya akademicheskogo bakalavriata / S.Yu. Kashkin, P.A. Kalinichenko, A.O. Chetverikov; pod red. S.Yu. Kashkina. - 4-e izd., pererab. i dop. − Moskva: Izdatel'stvo Yurayt, 2019. − 386 s.
5. Garfinkel S.L. Database Nation; the Death of Privacy in the 21st Century. O'Reilly and Associates, 2000. - 319 p.