Рус Eng Cn Перевести страницу на:  
Please select your language to translate the article


You can just close the window to don't translate
Библиотека
ваш профиль

Вернуться к содержанию

Международное право
Правильная ссылка на статью:

Международные стандарты защиты персональных данных в условиях информационного общества

Фомина Лилия Юрьевна

кандидат юридических наук

доцент, кафедра организации судебной и правоохранительной деятельности, федеральное государственное бюджетное образовательное учреждение высшего образования "Российский государственный университет правосудия"

117418, Россия, г. Москва, ул. Новочеремушинская, 69

Fomina Liliya Yurievna

PhD in Law

Docent, the department of Arrangement of Judicial and Law Enforcement Activity, Russian Academy of Justice

117418, Russia, g. Moscow, ul. Novocheremushinskaya, 69

fominalilja@mail.ru
Другие публикации этого автора
 

 

DOI:

10.25136/2644-5514.2019.4.31828

Дата направления статьи в редакцию:

18-12-2019


Дата публикации:

25-12-2019


Аннотация: Статья посвящена международным стандартам защиты персональных данных в условиях информационного общества. Автор исследует международное регулирование вопросов защиты персональных данных, отдельные аспекты его реализации в российском праве. Изучает понятие персональных данных в соответствии с действующими в этой сфере международными актами и документами. Рассматривает основные требования, которые должны соблюдаться при обработке персональных данных согласно действующим международным актам и документам, и обязательства государств, направленные на обеспечение их соблюдения. Выявляет права и обязанности субъектов правоотношений, возникающих в связи с защитой персональных данных. Для проведения исследования использованы диалектический, логический, формально-юридический и иные методы познания при соблюдении в целом системного подхода. Констатирована возможность применения международных норм, охраняющих сферу частной жизни, к защите персональных данных, а также распространения норм и рекомендаций, принятых в указанной сфере в рамках международных организаций, на государства, не являющиеся их членами, на граждан и организации из таких стран. Сделаны выводы о широком понимании персональных данных в соответствии с действующими международными нормами, прежде всего, Конвенцией о защите физических лиц при автоматизированной обработке персональных данных 1981 г., необходимости разграничения псевдонимизированных и анонимных данных, соблюдения минимальных общих требований обработки персональных данных и поведения субъектов таких правоотношений.


Ключевые слова:

персональные данные, защита персональных данных, международные стандарты, частная жизнь, неприкосновенность частной жизни, субъект персональных данных, обработка персональных данных, анонимные данные, информационное общество, позитивные обязательства государства

Исследование выполнено при финансовой поддержке РФФИ в рамках научного проекта № 18-011-01080

Abstract: This article is dedicated to the international standards of personal data protection in the conditions of information society. The author examines the international regulation on the questions of personal data protection, as well as the separate aspects of its implementation in the Russian law; analyzes the concept of personal data in accordance with the existing international act and documents in this sphere. The study also considers the key requirements that must be complied with in processing of personal data based on the existing international acts and documents, as well as responsibilities of the state aimed at ensuring their compliance. The rights and responsibilities of the subjects of legal relations emerging due to personal data protection are revealed. The author underlines the possibility of applicability of international norm protecting the private sphere to the protection of personal data, as well as distribution of the norms and recommendations onto the states that are not their members, along with citizens and organizations of such countries. The conclusion is made on the broad understanding of personal data in accordance with the existing international norms, primarily the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, signed in 1981; need for demarcation of the pseudo-minimized and anonymous data; compliance with the minimum general requirements to the processing of personal data, and behavior of the subjects of such legal relations.


Keywords:

personal data, persona data protection, international standards, private life, privacy, subject of personal data, personal data processing, anonymous data, information society, positive obligations of the state

Развитие информационного общества, то есть общества, в котором информация и уровень ее применения и доступности кардинальным образом влияют на экономические и социокультурные условия жизни граждан [1, п. 4], невозможно без широкого использования информационных технологий, предполагающих обработку самых разных персональных данных. Не случайно обеспечение правомерного использования персональных данных в Стратегии развития информационного общества в Российской Федерации на 2017-2030 годы названо в качестве одного из национальных интересов в области цифровой экономики [1, п. 42].

Особенно важны в этом смысле международные стандарты защиты персональных данных, воплощающие в себе ее основополагающие начала, находящие впоследствии отражение в национальном законодательстве.

Можно сказать, что к настоящему времени сложилось определенное международное регулирование данной сферы, говоря о которой представляется необходимым обратить внимание на следующие важные аспекты.

Во-первых, вопросы защиты персональных данных преимущественно рассматриваются в качестве одного из аспектов сферы частной жизни. Это положение нашло отражение в актах главных органов ООН [2, п. 6,10], в актах и документах иных органов, действующих в сфере защиты прав человека на универсальном уровне [3, п. 10].

Подобный подход характерен и для межрегиональных и региональных международных организаций. Например, Конвенция о защите прав человека и основных свобод 1950 г. (далее – ЕКПЧ, Европейская конвенция, Конвенция) [4], принятая в рамках Совета Европы, в статье 8 гарантирует право на уважение частной и семейной жизни. Европейский суд по правам человека (далее также – Суд, ЕСПЧ) в своей практике в рамках второго элемента частной жизни – конфиденциальности – защищает в том числе персональные данные [5, p. 159-172]. Парламентская Ассамблея Совета Европы, определяя право на уважение личной жизни указывает на дополнение его правом на контроль личных данных лица [6, п. 5].

Те же позиции демонстрируются в рамках Организацииэкономического сотрудничества и развития (далее – ОЭСР) [7, с. 125].

Важно обратить внимание на определенные особенности регулирования вопросов защиты персональных данных в Европейском союзе. В праве Европейского союза право на защиту персональных данных гарантируется в качестве самостоятельного права статьей 8 Хартии ЕС об основных правах [8], статьей 16 Договора о функционировании Европейского союза [9]. Кроме того, указанная сфера достаточно детально регламентирована в актах вторичного права Европейского союза [10; 11; 12; 13]. Основным таким документом является Регламент «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС» от 27 апреля 2016 г. № 2016/679 (далее также – Регламент ЕС) [10], основные положения которого достаточно подробно рассмотрены в юридической литературе [7, с. 127–131; 14; 15; 16].

Второе, на что необходимо обратить внимание, – это наличие единственной в своем роде специальной Конвенции, посвященной вопросам защиты персональных данных, – Конвенции о защите физических лиц при автоматизированной обработке персональных данных 1981 г. (Конвенция № 108) [17]. Указанная конвенция применяется в отношении автоматизированных файлов персональных данных и автоматизированной обработки персональных данных в государственной и частной сферах (п. 1 ст. 3) [17]. В настоящее время данный документ модернизируется. 10 октября 2018 г. подписан Протокол о внесении изменений в Конвенцию о защите физических лиц при автоматизированной обработке персональных данных [18], предполагающий распространение ее действия на обработку персональных данных в целом. Россия является участником Конвенции № 108 с 02.01.2006 г. [19], Протокол от 10.10.2018 г. подписала [20], но пока не ратифицировала.

В рамках Африканского союза принята Конвенция о кибербезопасности и защите личных данных (Конвенция Малабо) [21], но она до настоящего времени не вступила в силу ввиду отсутствия необходимого количества ратификаций [22].

В остальном международные стандарты защиты персональных данных получили выражение в основном в практике межгосударственных органов, действующих в рамках применения норм, гарантирующих защиту сферы частной жизни, международных актах и документах, принятых органами ООН, иных международных организаций и объединений (Совета Европы, Европейского союза, ОЭСР и др.).

Третий важный аспект регулирования вопросов персональных данных на международном уровне, – это возможность распространения определенных норм и рекомендаций на государства, не являющиеся членами соответствующих организаций, а также на граждан и организации из таких государств. Например, в отношении правил, выработанных ОЭСР, Коллегия Евразийской экономической комиссии рекомендует государствам-членам рассмотреть возможность учета наилучших практик данной организации, в том числе опыта, направленного на определение единых подходов к установлению минимальных требований к обработке и защите персональных данных [23]. В свою очередь, уже указанный Регламент ЕС распространяет свое действие в ряде случаев на физические и юридические лица из третьих стран, в том числе России. Скажем, если речь идет о предоставлении товаров и услуг субъектам данных в ЕС вне зависимости от того, требуется ли оплата от указанного субъекта данных [10, п. 3 (2)].

Далее, говоря о международных стандартах защиты персональных данных, содержащихся в указанных источниках, представляется необходимым определить само понятие персональных данных.

Конвенция № 108 определяет персональные данные как любую информацию об определенном или поддающемся определению физическом лице («субъекте данных») (ст. 2) [17]. Именно это определение используется ЕСПЧ в процессе применения статьи 8 ЕКПЧ в части защиты персональных данных [24, § 65]. Хотя к контрольному механизму Конвенции № 108 ЕСПЧ не относится, некоторые ее статьи он применяет для оценки обстоятельств по делу [25, с. 41], а также руководствуется ее принципами при определении того, имело ли место вмешательство в реализацию права на уважение частной и семейной жизни [25, с. 25]. Аналогичные определения используются и в документах иных международных организаций [10, ст. 4; 26, p. 13; 27, ст. 2], и в российском законодательстве [28, ст. 3].

В некоторых случаях определение может содержать примерный перечень данных, отнесенных к персональным. Например, Регламент ЕС указывает следующие возможные идентификаторы лица: имя, идентификационный номер, сведения о местоположении, идентификатор в режиме онлайн, один или несколько признаков, характерных для физической, психологической, генетической, умственной, экономической, культурной или социальной идентичности указанного физического лица [10, п. 4 (1)]. В определении персональных данных в Конвенции о кибербезопасности и защите личных данных 2014 г. также содержится указание на идентификационный номер или на один или несколько факторов, характерных для физической, физиологической, психической, экономической, культурной или социальной идентичности человека (ст.1) [21].

Существовал такой примерный перечень и в первоначальной редакции Федерального закона «О персональных данных» [29].

Отдельная информация, подлежащая защите в качестве персональных данных, также может быть названа в тексте соответствующего документа [17, ст. 6; 28, ст. 10, 11].

Применяя сложившийся на основании Конвенции № 108 подход к пониманию персональных данных, ЕСПЧ в своей практике в качестве таковых рассматривал, например, сведения о состоянии здоровья, ДНК, политической деятельности, судимости, местонахождении, а также сведения, содержащиеся в банковских документах, вообще любые сведения о лице, собранные и хранящиеся в различных базах данных, и т.д. [5, п. 139-151].

В российской судебной практике персональными признавались данные о месте жительства, телефонах, паспортных данных, ИНН, СНИЛС, уровне заработной платы, семейном положении [30], адресе электронной почты, привязанный к конкретному телефонному номеру [31], об уголовных делах, возбужденных по заявлению определенных лиц или в отношении определенных лиц [32].

Таким образом, подобная позиция не предполагает наличие какого-либо закрытого перечня персональных данных, что отличается, к примеру, от подхода США, основанного на перечислении «на уровне нормативного регулирования конкретных сведений, совокупность которых образует персональные данные в той или иной сфере» [33].

Конечно, наличие исчерпывающего перечня данных, которые являются персональными, облегчает процесс правоприменения, но, представляется, что в современных условиях сформировать таковой вряд ли удастся. Верно и то, что «косвенно к определенному физическому лицу при таком подходе может относиться абсолютно любая информация» [33], но важным критерием отнесения данных к персональным является именно возможность идентификации конкретного лица, а не категории лиц, в том числе и посредством использования различных технических средств. Даже многие имена не являются уникальными, для установления личности человека могут потребоваться дополнительные признаки, чтобы гарантировать, что человек не будет принят за кого-то другого [34, p. 90].

В европейском праве проводится разграничение анонимных данных, не относящихся к идентифицированному или идентифицируемому физическому лицу, или предоставленных анонимно таким образом, что субъект данных не идентифицируется (п. 26 Преамбулы Регламента ЕС) [10], и псевдонимизированных данных, которые не могут быть больше отнесены к определенному субъекту данных без использования дополнительной информации, при условии, что дополнительная информация хранится отдельно и подлежит техническим и организационным мерам, гарантирующим, что персональные данные не отнесены к идентифицированному или идентифицируемому физическому лицу (ст. 4 (5) Регламента ЕС) [10]. Соответственно первый вид указанных данных не подлежит защите в качестве персональных, второй – подлежит. При разграничении указанных категорий данных и оценке возможности идентификации конкретного лица учитываются необходимые на нее расходы, количество времени с учетом имеющихся на момент обработки технологий и технологических разработок (п. 26 Регламента ЕС) [10].

В иных документах, принятых на международном уровне, подобный подход развивается, выделяются идентифицированные, псевдонимизированные, несвязанные псевдонимизированные, анонимизированные и агрегированные (статистические) данные [35].

В российском праве в настоящее время используется термин «обезличивание персональных данных» [28, ст. 3], указанные выше термины не используются. В этой связи в юридической литературе справедливо отмечается, что в случае появления категории анонимных данных в российском законодательстве «у оператора появляется выбор: придерживаться консервативного подхода и относить определенный массив данных к персональным или же заготовить аргументы в пользу того, что этот массив является анонимными данными, и коммерциализировать его по своему усмотрению» [36].

В соответствии с указанными выше международными и национальными актами и документами можно выделитьследующие требования, которые должны соблюдаться при обработке персональных данных.

Прежде всего, нужно оговориться, что в обобщенное содержание понятия «обработка персональных данных» включаются любые действия с использованием таких данных. В модернизированной Конвенции № 108 «обработка данных» означает любую операцию или набор операций, произведенных в отношении персональных данных, например: сбор, накопление, хранение, изменение, исправление, распространение, разглашение, удаление или уничтожение, а также осуществление логических и/или арифметических операций с этими данными (ст. 3 (b)) [17]. В практике ЕСПЧ рассматриваются вопросы сбора персональных данных, хранения, использования, раскрытия, доступа к ним, удаления или уничтожения [37].

Итак, обработка персональных данных должна осуществляться с учетом ряда требований: быть справедливой, законной и транспарентной; основываться на информировании лиц, чьи персональные данные проходят обработку, об их обработке, ее обстоятельствах, характере и масштабах; осуществляться на основании свободного, конкретного, осознанного и недвусмысленного согласия затронутых лиц или ином законном основании, предусмотренном в законе; быть необходимой и соразмерной законной цели, которая должна быть указана субъектом, осуществляющим эту обработку и др. [38, п. 29].

Конечно, указанные требования и их содержание, исходя из потребностей общества и уровня развития информационных технологий, могут корректироваться. В эпоху Больших данных это может быть, к примеру, дебюрократизация требований к согласию на обработку персональных данных [39].

Субъектам персональных данных международными актами и документами, национальным законодательством должны предоставляться определенные права. К субъектам персональных данных относятся физические лица [34, p. 85], но здесь важно обратить внимание на следующие аспекты.

Во-первых, международные акты и национальное законодательство о персональных данных могут не применяться в отношении умерших лиц. Подобное положение предусмотрено, к примеру, Регламентом ЕС, но его государствам-членам предоставлено право предусмотреть соответствующие положения в национальном законодательстве (п. 27 Преамбулы) [10].

В-вторых, во внимание могут быть приняты и законные интересы юридических лиц. Защита интересов юридических лиц возможна в соответствии с национальным законодательством (п. 27 Преамбулы Регламента ЕС) [10]. Кроме того, может быть принят во внимание законный интерес юридического лица в обеспечении защиты частной жизни их работников [40, § 107].

Что касается минимальных прав субъектов персональных данных, то к ним относятся следующие: знать о сборе и обработке данных; иметь к ним доступ; исправлять неточные или устаревшие данные и уничтожать или исправлять данные, которые хранятся незаконно или необоснованно; возражать против обработки личных данных, по крайней мере в тех случаях, когда осуществляющая обработку организация не смогла доказать наличия законных и веских оснований для такой обработки [38, п. 30].

В свою очередь, у субъектов, осуществляющих обработку личных данных, есть определенные обязанности. Прежде всего, конечно, речь идет о соблюдении ими существующих принципов и правил обработки персональных данных. «Эти требования охватывают не только организационные аспекты, такие как создание внутреннего механизма надзора, но и обязательные меры, такие как уведомления о нарушении конфиденциальности данных и оценки воздействия на неприкосновенность частной жизни» [38, п. 31]. Также к ним отнесены требования, касающиеся разработки продуктов и услуг, таких как обеспечение встроенной конфиденциальности и конфиденциальности по умолчанию [38, п. 31].

Наконец, определенные обязанности возлагаются и на государства, включая и те случаи, когда они не участвуют в обработке персональных данных.

Государства в рамках обеспечения защиты сферы частной и семейной жизни несут позитивные обязательства, направленные на недопущение вмешательства со стороны физических или юридических лиц, принятие действенных законодательных и других мер в этом направлении [41, п. 1, 9].

Государствам рекомендуется, например: уделять особое внимание предоставлению надежной защиты от нарушений права на неприкосновенность частной жизни, связанных с профилированием и автоматизированным принятием решений [38. п. 30], сосредоточить внимание на способах защиты личных данных, передаваемых другому государству [38, п. 32]; создать независимые надзорные органы в сфере обработки личных данных, обеспечив их деятельность соответствующей законодательной базой, необходимыми техническими, финансовыми и людскими ресурсами, предоставив им достаточные полномочия для выполнения своих функций [38, п. 33].

Таким образом, в настоящее время на международном уровне выработаны определенные нормы и созданы механизмы для обеспечения защиты персональных данных, соблюдение и использование которых имеет большое значение для обеспечения минимального уровня защиты основных прав человека в эпоху цифровых технологий, воплощение которых в национальной юридической практике, безусловно, будет способствовать самому высокому уровню защиты основных прав и свобод.

Библиография
1. О Стратегии развития информационного общества в Российской Федерации на 2017-2030 годы: Указ Президента РФ от 9 мая 2017 г. № 203. Доступ из справ.-правовой системы «КонсультантПлюс».
2. Право на неприкосновенность частной жизни в цифровую эпоху: Резолюция Генеральной Ассамблеи ООН № 73/179 от 17 декабря 2018 г. URL: https://undocs.org/ru/A/RES/73/179 (дата обращения: 03.11.2019).
3. Доклад Специального докладчика по вопросу о праве на неприкосновенность частной жизни от 25 октября 2018 г. URL: https://documents-dds-ny.un.org/doc/UNDOC/GEN/G18/324/49/PDF/G1832449.pdf?OpenElement (дата обращения: 03.11.2019).
4. Конвенция о защите прав человека и основных свобод от 4 ноября 1950 г. (в ред. от 13.05.2004). Доступ из справ.-правовой системы «КонсультантПлюс».
5. Guide on Article 8 of the European Convention on Human Rights Right to respect for private and family life, home and correspondence (Updated on 31 August 2019). URL: https://www.echr.coe.int/Documents/Guide_Art_8_ENG.pdf
6. Резолюция № 1165 (1998) Парламентской Ассамблеи Совета Европы о праве на неприкосновенность частной жизни от 26 июня 1998 г. URL: http://assembly.coe.int/nw/xml/XRef/Xref-XML2HTML-en.asp?fileid=16641&lang=en. (дата обращения: 03.11.2019).
7. Талапина Э.В. Защита персональных данных в цифровую эпоху // Труды Института государства и права РАН. 2018. Т. 13. № 5. С. 117–150.
8. Хартия Европейского Союза об основных правах (2007/С 303/01) (Вместе с «Разъяснениями...» (2007/С 303/02)) от 12 декабря 2007 г. Доступ из справ.-правовой системы «КонсультантПлюс».
9. Договор о функционировании Европейского Союза от 25 марта 1957 года (в ред. Лиссабонского договора от 13 декабря 2007 г.). Доступ из справ.-правовой системы «КонсультантПлюс».
10. О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных): Регламент Европейского парламента и Совета Европейского Союза № 2016/679 от 27 апреля 2016 г. Доступ из справ.-правовой системы «КонсультантПлюс».
11. О защите физических лиц при обработке персональных данных компетентными органами в целях предотвращения, расследования, обнаружения или преследования уголовных преступлений или исполнения уголовных наказаний и о свободном обращении таких данных, а также об отмене Рамочного Решения Совета Европейского союза № 2008/977/JHA: Директива Европейского парламента и Совета Европейского союза от 27 апреля 2016 г. № 2016/680. Доступ из справ.-правовой системы «КонсультантПлюс».
12. Директива Европейского парламента и Совета Европейского Союза в отношении обработки персональных данных и защиты конфиденциальности в секторе электронных средств связи (Директива о конфиденциальности и электронных средствах связи) (с посл. изм. и доп.) от 12 июля 2002 г. № 2002/58/ЕС. Доступ из справ.-правовой системы «КонсультантПлюс».
13. О защите физических лиц при обработке персональных данных, осуществляемой учреждениями, органами, службами и агентствами Союза, и о свободном обращении таких данных, а также об отмене Регламента (ЕС) 45/2001 и Решения 1247/2002/EC: Регламент Европейского парламента и Совета Европейского Союза от 23 октября 2018 г. № 2018/1725. Доступ из справ.-правовой системы «КонсультантПлюс».
14. Постникова Е.В. Некоторые аспекты правового регулирования защиты персональных данных в рамках внутреннего рынка Европейского союза // Право. Журнал Высшей школы экономики. 2018. № 1. С. 234–254;
15. Чурилов А.Ю. Принципы Общего регламента Европейского союза о защите персональных данных (GDPR): проблемы и перспективы имплементации // Вестник Омской юридической академии. 2019. № 1. С. 29–35.
16. Tikkinen-Piri C, Rohunen A., Markkula J. EU General Data Protection Regulation: Changes and implications for personal data collecting companies // Computer Law & Security Review. 2018. Vol. 34. Issue 1. Р. 134–153.
17. Конвенция о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108) от 28 января 1981 г. Доступ из справ.-правовой системы «КонсультантПлюс».
18. Протокол о внесении изменений в Конвенцию о защите физических лиц при автоматизированной обработке персональных данных (Вместе с «Элементами регламента Конвенционного комитета» от 10 октября 2018 г. Доступ из справ.-правовой системы «КонсультантПлюс».
19. О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных: Федеральный закон от 19 декабря 2005 г. № 160-ФЗ. Доступ из справ.-правовой системы «КонсультантПлюс».
20. О подписании Протокола о внесении изменений в Конвенцию о защите физических лиц при автоматизированной обработке персональных данных: Распоряжение Президента РФ от 10 октября 2018 г. № 294-рп. Доступ из справ.-правовой системы «КонсультантПлюс».
21. African Union Convention on Cyber Security and Personal Data Protection of 24 June 2014. URL: https://au.int/en/treaties/african-union-convention-cyber-security-and-personal-data-protection (дата обращения: 03.11.2019).
22. List of Countries which have signed, ratified/acceded to the African Union Convention on Cyber Security and Personal Data Protection. URL: https://au.int/sites/default/files/treaties/29560-sl-AFRICAN%20UNION%20CONVENTION%20ON%20CYBER%20SECURITY%20AND%20PERSONAL%20DATA%20PROTECTION.pdf (дата обращения: 03.11.2019).
23. О целесообразности имплементации и использования в рамках Евразийского экономического союза наилучших практик Организации экономического сотрудничества и развития: Рекомендация № 32 Коллегии Евразийской экономической комиссии от 13 декабря 2017 г. Доступ из справ.-правовой системы «КонсультантПлюс».
24. Постановление Европейского суда по правам человека от 16 февраля 2000 г. по делу «Аманн (Amann) против Швейцарии». Доступ из справ.-правовой системы «КонсультантПлюс».
25. Отчет «Использование соглашений Совета Европы в практике Европейского Суда по правам человека». Совет Европы, Европейский суд по правам человека, 2011. URL: https://www.echr.coe.int/Documents/Research_report_treaties_CoE_RUS.pdf (дата обращения: 03.11.2019).
26. OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data. URL: http://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf (дата обращения: 03.11.2019).
27. Модельный закон о персональных данных: принят 29 ноября 2018 г. Постановлением 48-9 на 48-ом пленарном заседании Межпарламентской Ассамблеи государств-участников СНГ. Доступ из справ.-правовой системы «КонсультантПлюс».
28. О персональных данных: Федеральный закон от 27 июля 2006 г. № 152-ФЗ (ред. от 31.12.2017). Доступ из справ.-правовой системы «КонсультантПлюс».
29. О персональных данных: Федеральный закон от 27 июля 2006 г. № 152-ФЗ // Российская газета. № 165. 29.07.2006.
30. Апелляционное определение Санкт-Петербургского городского суда от 11.10.2017 № 33-19446/2017 по делу № 2-2998/2017. Доступ из справ.-правовой системы «КонсультантПлюс».
31. Апелляционное определение Новосибирского областного суда от 27 сентября 2016 г. № 33-9626/2016. Доступ из справ.-правовой системы «КонсультантПлюс».
32. Определение Верховного Суда РФ от 20 февраля 2019 г. № 303-ЭС19-56 по делу № А59-1219/2018. Доступ из справ.-правовой системы «КонсультантПлюс».
33. Наумов В.Б., Архипов В.В. Понятие персональных данных: интерпретация в условиях развития информационно-телекоммуникационных технологий // Российский юридический журнал. 2016. № 2. С. 186-196. Доступ из справ.-правовой системы «КонсультантПлюс».
34. Handbook on European data protection law-2018 edition. URL: https://www.echr.coe.int/Documents/Handbook_data_protection_ENG.pdf (дата обращения: 03.11.2019).
35. Enhancing Access to and Sharing of Data Reconciling Risks and Benefits for Data Reuse across Societies. Published on November 26, 2019. URL: https://www.oecd-ilibrary.org/sites/276aaca8-en/1/2/2/index.html?itemId=/content/publication/276aaca8-en&mimeType=text/html&_csp_=a1e9fa54d39998ecc1d83f19b8b0fc34&itemIGO=oecd&itemContentType=book#section-d1e1463 (дата обращения: 03.11.2019).
36. Савельев А.И. На пути к концепции регулирования данных в условиях цифровой экономики // Закон. 2019. № 4. С. 174-195. Доступ из справ.-правовой системы «КонсультантПлюс».
37. Factsheet – Personal data protection. URL: https://www.echr.coe.int/Documents/FS_Data_ENG.pdf (дата обращения: 03.12.2019).
38. Доклад Верховного комиссара Организации Объединенных Наций по правам человека «Право на неприкосновенность частной жизни в цифровой век» от 3 августа 2018 г. URL: https://documents-dds-ny.un.org/doc/UNDOC/GEN/G18/239/60/PDF/G1823960.pdf?OpenElement (дата обращения: 03.11.2019).
39. Савельев А.И. Направления регулирования Больших данных и защита неприкосновенности частной жизни в новых экономических реалиях // Закон. 2018. № 5. С. 122-144. Доступ из справ.-правовой системы «КонсультантПлюс».
40. Постановление Европейского суда по правам человека по делу «Бернх Ларсен холдинг АС» и другие (Bernh Larsen Holding AS and Others) против Норвегии». URL: http://hudoc.echr.coe.int/eng?i=001-117133(дата обращения: 03.11.2019).
41. Замечание общего порядка № 16 – Статья 17 (право на личную жизнь) (1988). URL: https://tbinternet.ohchr.org/_layouts/treatybodyexternal/Download.aspx?symbolno=INT%2fCCPR%2fGEC%2f6624&Lang=ru (дата обращения: 03.11.2019).
References
1. O Strategii razvitiya informatsionnogo obshchestva v Rossiiskoi Federatsii na 2017-2030 gody: Ukaz Prezidenta RF ot 9 maya 2017 g. № 203. Dostup iz sprav.-pravovoi sistemy «Konsul'tantPlyus».
2. Pravo na neprikosnovennost' chastnoi zhizni v tsifrovuyu epokhu: Rezolyutsiya General'noi Assamblei OON № 73/179 ot 17 dekabrya 2018 g. URL: https://undocs.org/ru/A/RES/73/179 (data obrashcheniya: 03.11.2019).
3. Doklad Spetsial'nogo dokladchika po voprosu o prave na neprikosnovennost' chastnoi zhizni ot 25 oktyabrya 2018 g. URL: https://documents-dds-ny.un.org/doc/UNDOC/GEN/G18/324/49/PDF/G1832449.pdf?OpenElement (data obrashcheniya: 03.11.2019).
4. Konventsiya o zashchite prav cheloveka i osnovnykh svobod ot 4 noyabrya 1950 g. (v red. ot 13.05.2004). Dostup iz sprav.-pravovoi sistemy «Konsul'tantPlyus».
5. Guide on Article 8 of the European Convention on Human Rights Right to respect for private and family life, home and correspondence (Updated on 31 August 2019). URL: https://www.echr.coe.int/Documents/Guide_Art_8_ENG.pdf
6. Rezolyutsiya № 1165 (1998) Parlamentskoi Assamblei Soveta Evropy o prave na neprikosnovennost' chastnoi zhizni ot 26 iyunya 1998 g. URL: http://assembly.coe.int/nw/xml/XRef/Xref-XML2HTML-en.asp?fileid=16641&lang=en. (data obrashcheniya: 03.11.2019).
7. Talapina E.V. Zashchita personal'nykh dannykh v tsifrovuyu epokhu // Trudy Instituta gosudarstva i prava RAN. 2018. T. 13. № 5. S. 117–150.
8. Khartiya Evropeiskogo Soyuza ob osnovnykh pravakh (2007/S 303/01) (Vmeste s «Raz''yasneniyami...» (2007/S 303/02)) ot 12 dekabrya 2007 g. Dostup iz sprav.-pravovoi sistemy «Konsul'tantPlyus».
9. Dogovor o funktsionirovanii Evropeiskogo Soyuza ot 25 marta 1957 goda (v red. Lissabonskogo dogovora ot 13 dekabrya 2007 g.). Dostup iz sprav.-pravovoi sistemy «Konsul'tantPlyus».
10. O zashchite fizicheskikh lits pri obrabotke personal'nykh dannykh i o svobodnom obrashchenii takikh dannykh, a takzhe ob otmene Direktivy 95/46/ES (Obshchii Reglament o zashchite personal'nykh dannykh): Reglament Evropeiskogo parlamenta i Soveta Evropeiskogo Soyuza № 2016/679 ot 27 aprelya 2016 g. Dostup iz sprav.-pravovoi sistemy «Konsul'tantPlyus».
11. O zashchite fizicheskikh lits pri obrabotke personal'nykh dannykh kompetentnymi organami v tselyakh predotvrashcheniya, rassledovaniya, obnaruzheniya ili presledovaniya ugolovnykh prestuplenii ili ispolneniya ugolovnykh nakazanii i o svobodnom obrashchenii takikh dannykh, a takzhe ob otmene Ramochnogo Resheniya Soveta Evropeiskogo soyuza № 2008/977/JHA: Direktiva Evropeiskogo parlamenta i Soveta Evropeiskogo soyuza ot 27 aprelya 2016 g. № 2016/680. Dostup iz sprav.-pravovoi sistemy «Konsul'tantPlyus».
12. Direktiva Evropeiskogo parlamenta i Soveta Evropeiskogo Soyuza v otnoshenii obrabotki personal'nykh dannykh i zashchity konfidentsial'nosti v sektore elektronnykh sredstv svyazi (Direktiva o konfidentsial'nosti i elektronnykh sredstvakh svyazi) (s posl. izm. i dop.) ot 12 iyulya 2002 g. № 2002/58/ES. Dostup iz sprav.-pravovoi sistemy «Konsul'tantPlyus».
13. O zashchite fizicheskikh lits pri obrabotke personal'nykh dannykh, osushchestvlyaemoi uchrezhdeniyami, organami, sluzhbami i agentstvami Soyuza, i o svobodnom obrashchenii takikh dannykh, a takzhe ob otmene Reglamenta (ES) 45/2001 i Resheniya 1247/2002/EC: Reglament Evropeiskogo parlamenta i Soveta Evropeiskogo Soyuza ot 23 oktyabrya 2018 g. № 2018/1725. Dostup iz sprav.-pravovoi sistemy «Konsul'tantPlyus».
14. Postnikova E.V. Nekotorye aspekty pravovogo regulirovaniya zashchity personal'nykh dannykh v ramkakh vnutrennego rynka Evropeiskogo soyuza // Pravo. Zhurnal Vysshei shkoly ekonomiki. 2018. № 1. S. 234–254;
15. Churilov A.Yu. Printsipy Obshchego reglamenta Evropeiskogo soyuza o zashchite personal'nykh dannykh (GDPR): problemy i perspektivy implementatsii // Vestnik Omskoi yuridicheskoi akademii. 2019. № 1. S. 29–35.
16. Tikkinen-Piri C, Rohunen A., Markkula J. EU General Data Protection Regulation: Changes and implications for personal data collecting companies // Computer Law & Security Review. 2018. Vol. 34. Issue 1. R. 134–153.
17. Konventsiya o zashchite fizicheskikh lits pri avtomatizirovannoi obrabotke personal'nykh dannykh (ETS № 108) ot 28 yanvarya 1981 g. Dostup iz sprav.-pravovoi sistemy «Konsul'tantPlyus».
18. Protokol o vnesenii izmenenii v Konventsiyu o zashchite fizicheskikh lits pri avtomatizirovannoi obrabotke personal'nykh dannykh (Vmeste s «Elementami reglamenta Konventsionnogo komiteta» ot 10 oktyabrya 2018 g. Dostup iz sprav.-pravovoi sistemy «Konsul'tantPlyus».
19. O ratifikatsii Konventsii Soveta Evropy o zashchite fizicheskikh lits pri avtomatizirovannoi obrabotke personal'nykh dannykh: Federal'nyi zakon ot 19 dekabrya 2005 g. № 160-FZ. Dostup iz sprav.-pravovoi sistemy «Konsul'tantPlyus».
20. O podpisanii Protokola o vnesenii izmenenii v Konventsiyu o zashchite fizicheskikh lits pri avtomatizirovannoi obrabotke personal'nykh dannykh: Rasporyazhenie Prezidenta RF ot 10 oktyabrya 2018 g. № 294-rp. Dostup iz sprav.-pravovoi sistemy «Konsul'tantPlyus».
21. African Union Convention on Cyber Security and Personal Data Protection of 24 June 2014. URL: https://au.int/en/treaties/african-union-convention-cyber-security-and-personal-data-protection (data obrashcheniya: 03.11.2019).
22. List of Countries which have signed, ratified/acceded to the African Union Convention on Cyber Security and Personal Data Protection. URL: https://au.int/sites/default/files/treaties/29560-sl-AFRICAN%20UNION%20CONVENTION%20ON%20CYBER%20SECURITY%20AND%20PERSONAL%20DATA%20PROTECTION.pdf (data obrashcheniya: 03.11.2019).
23. O tselesoobraznosti implementatsii i ispol'zovaniya v ramkakh Evraziiskogo ekonomicheskogo soyuza nailuchshikh praktik Organizatsii ekonomicheskogo sotrudnichestva i razvitiya: Rekomendatsiya № 32 Kollegii Evraziiskoi ekonomicheskoi komissii ot 13 dekabrya 2017 g. Dostup iz sprav.-pravovoi sistemy «Konsul'tantPlyus».
24. Postanovlenie Evropeiskogo suda po pravam cheloveka ot 16 fevralya 2000 g. po delu «Amann (Amann) protiv Shveitsarii». Dostup iz sprav.-pravovoi sistemy «Konsul'tantPlyus».
25. Otchet «Ispol'zovanie soglashenii Soveta Evropy v praktike Evropeiskogo Suda po pravam cheloveka». Sovet Evropy, Evropeiskii sud po pravam cheloveka, 2011. URL: https://www.echr.coe.int/Documents/Research_report_treaties_CoE_RUS.pdf (data obrashcheniya: 03.11.2019).
26. OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data. URL: http://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf (data obrashcheniya: 03.11.2019).
27. Model'nyi zakon o personal'nykh dannykh: prinyat 29 noyabrya 2018 g. Postanovleniem 48-9 na 48-om plenarnom zasedanii Mezhparlamentskoi Assamblei gosudarstv-uchastnikov SNG. Dostup iz sprav.-pravovoi sistemy «Konsul'tantPlyus».
28. O personal'nykh dannykh: Federal'nyi zakon ot 27 iyulya 2006 g. № 152-FZ (red. ot 31.12.2017). Dostup iz sprav.-pravovoi sistemy «Konsul'tantPlyus».
29. O personal'nykh dannykh: Federal'nyi zakon ot 27 iyulya 2006 g. № 152-FZ // Rossiiskaya gazeta. № 165. 29.07.2006.
30. Apellyatsionnoe opredelenie Sankt-Peterburgskogo gorodskogo suda ot 11.10.2017 № 33-19446/2017 po delu № 2-2998/2017. Dostup iz sprav.-pravovoi sistemy «Konsul'tantPlyus».
31. Apellyatsionnoe opredelenie Novosibirskogo oblastnogo suda ot 27 sentyabrya 2016 g. № 33-9626/2016. Dostup iz sprav.-pravovoi sistemy «Konsul'tantPlyus».
32. Opredelenie Verkhovnogo Suda RF ot 20 fevralya 2019 g. № 303-ES19-56 po delu № A59-1219/2018. Dostup iz sprav.-pravovoi sistemy «Konsul'tantPlyus».
33. Naumov V.B., Arkhipov V.V. Ponyatie personal'nykh dannykh: interpretatsiya v usloviyakh razvitiya informatsionno-telekommunikatsionnykh tekhnologii // Rossiiskii yuridicheskii zhurnal. 2016. № 2. S. 186-196. Dostup iz sprav.-pravovoi sistemy «Konsul'tantPlyus».
34. Handbook on European data protection law-2018 edition. URL: https://www.echr.coe.int/Documents/Handbook_data_protection_ENG.pdf (data obrashcheniya: 03.11.2019).
35. Enhancing Access to and Sharing of Data Reconciling Risks and Benefits for Data Reuse across Societies. Published on November 26, 2019. URL: https://www.oecd-ilibrary.org/sites/276aaca8-en/1/2/2/index.html?itemId=/content/publication/276aaca8-en&mimeType=text/html&_csp_=a1e9fa54d39998ecc1d83f19b8b0fc34&itemIGO=oecd&itemContentType=book#section-d1e1463 (data obrashcheniya: 03.11.2019).
36. Savel'ev A.I. Na puti k kontseptsii regulirovaniya dannykh v usloviyakh tsifrovoi ekonomiki // Zakon. 2019. № 4. S. 174-195. Dostup iz sprav.-pravovoi sistemy «Konsul'tantPlyus».
37. Factsheet – Personal data protection. URL: https://www.echr.coe.int/Documents/FS_Data_ENG.pdf (data obrashcheniya: 03.12.2019).
38. Doklad Verkhovnogo komissara Organizatsii Ob''edinennykh Natsii po pravam cheloveka «Pravo na neprikosnovennost' chastnoi zhizni v tsifrovoi vek» ot 3 avgusta 2018 g. URL: https://documents-dds-ny.un.org/doc/UNDOC/GEN/G18/239/60/PDF/G1823960.pdf?OpenElement (data obrashcheniya: 03.11.2019).
39. Savel'ev A.I. Napravleniya regulirovaniya Bol'shikh dannykh i zashchita neprikosnovennosti chastnoi zhizni v novykh ekonomicheskikh realiyakh // Zakon. 2018. № 5. S. 122-144. Dostup iz sprav.-pravovoi sistemy «Konsul'tantPlyus».
40. Postanovlenie Evropeiskogo suda po pravam cheloveka po delu «Bernkh Larsen kholding AS» i drugie (Bernh Larsen Holding AS and Others) protiv Norvegii». URL: http://hudoc.echr.coe.int/eng?i=001-117133(data obrashcheniya: 03.11.2019).
41. Zamechanie obshchego poryadka № 16 – Stat'ya 17 (pravo na lichnuyu zhizn') (1988). URL: https://tbinternet.ohchr.org/_layouts/treatybodyexternal/Download.aspx?symbolno=INT%2fCCPR%2fGEC%2f6624&Lang=ru (data obrashcheniya: 03.11.2019).

Результаты процедуры рецензирования статьи

В связи с политикой двойного слепого рецензирования личность рецензента не раскрывается.
Со списком рецензентов издательства можно ознакомиться здесь.

Предмет исследования - международные «стандарты защиты персональных данных в условиях информационного общества».
Методология исследования – ряд методов, используемых автором: «анализ догмы, историко-правовой, социально-культурный, психологический сравнительно-правовой, формально-юридический, анализ и синтез, логика и др.
Актуальность хорошо обоснована автором и выражается в следующем: «обеспечение правомерного использования персональных данных в Стратегии развития информационного общества в Российской Федерации на 2017-2030 годы названо в качестве одного из национальных интересов в области цифровой экономики [1, п. 42]. Особенно важны в этом смысле международные стандарты защиты персональных данных, воплощающие в себе ее основополагающие начала, находящие впоследствии отражение в национальном законодательстве».
Научная новизна хорошо обоснована в исследовании автора. Она заключается в теоретическом обосновании международных и национальных стандартов «защиты персональных данных в условиях информационного общества».
Стиль, структура, содержание заслуживают особого внимания. Исследование имеет все необходимые структурные элементы: актуальность, постановка проблемы, цели и задачи, методология, предмет, основная часть и выводы. Что может только приветствоваться.
Стиль работы хороший, она легко читается и носит исследовательский характер.
Содержание отражает существо статьи.
Автор логично подводит читателя к существующей проблеме. В начале статьи автор акцентирует внимание читателя на предмете статьи. Он показывает, что «…к настоящему времени сложилось определенное международное регулирование данной сферы, говоря о которой представляется необходимым обратить внимание на следующие важные аспекты. … вопросы защиты персональных данных преимущественно рассматриваются в качестве одного из аспектов сферы частной жизни…, наличие единственной в своем роде специальной Конвенции, посвященной вопросам защиты персональных данных, – Конвенции о защите физических лиц при автоматизированной обработке персональных данных 1981 г. (Конвенция № 108) [17]», «…возможность распространения определенных норм и рекомендаций на государства, не являющиеся членами соответствующих организаций, а также на граждан и организации из таких государств».
Автор отмечает, исследуя акты международных организаций «сферы частной жизни», что «Это положение нашло отражение в актах главных органов ООН [2, п. 6,10], в актах и документах иных органов, действующих в сфере защиты прав человека на универсальном уровне [3, п. 10]», а по второй части «международные стандарты защиты персональных данных получили выражение в основном в практике межгосударственных органов, действующих в рамках применения норм, гарантирующих защиту сферы частной жизни, международных актах и документах, принятых органами ООН, иных международных организаций и объединений (Совета Европы, Европейского союза, ОЭСР и др.)».
Далее автор переходит к описанию проводимых в этой области исследований, анализу международных актов (конвенций, регламентов и др.) и отмечает: «Далее, говоря о международных стандартах защиты персональных данных, содержащихся в указанных источниках, представляется необходимым определить само понятие персональных данных».
Он также пишет: «Таким образом, подобная позиция не предполагает наличие какого-либо закрытого перечня персональных данных, что отличается, к примеру, от подхода США, основанного на перечислении «на уровне нормативного регулирования конкретных сведений, совокупность которых образует персональные данные в той или иной сфере» [33]».
Далее автор замечает, опираясь на НПА, международные акты (конвенций, регламентов и др.) и работы оппонентов: «Конечно, наличие исчерпывающего перечня данных, которые являются персональными, облегчает процесс правоприменения, но, представляется, что в современных условиях сформировать таковой вряд ли удастся», «В европейском праве проводится разграничение анонимных данных, не относящихся к идентифицированному или идентифицируемому физическому лицу, или предоставленных анонимно таким образом, что субъект данных не идентифицируется (п. 26 Преамбулы Регламента ЕС) [10], и псевдонимизированных данных…», «В иных документах, принятых на международном уровне, подобный подход развивается, выделяются идентифицированные, псевдонимизированные, несвязанные псевдонимизированные, анонимизированные и агрегированные (статистические) данные [35]», «В российском праве в настоящее время используется термин «обезличивание персональных данных» [28, ст. 3], указанные выше термины не используются…».
При этом автор, анализируя работы ученых, международные акты делает правильный вывод: «В соответствии с указанными выше международными и национальными актами и документами можно выделитьследующие требования, которые должны соблюдаться при обработке персональных данных».
Автор замечает: «В практике ЕСПЧ рассматриваются вопросы сбора персональных данных, хранения, использования, раскрытия, доступа к ним, удаления или уничтожения [37]» и делает правильный вывод: «Итак, обработка персональных данных должна осуществляться с учетом ряда требований: быть справедливой, законной и транспарентной; основываться на информировании лиц, чьи персональные данные проходят обработку, об их обработке, ее обстоятельствах, характере и масштабах» и др.
Автор отмечает, что «Субъектам персональных данных международными актами и документами, национальным законодательством должны предоставляться определенные права» и делает правильный вывод: «К субъектам персональных данных относятся физические лица [34, p. 85], но здесь важно обратить внимание на следующие аспекты»: «международные акты и национальное законодательство о персональных данных могут не применяться в отношении умерших лиц…, во внимание могут быть приняты и законные интересы юридических лиц…».
И переходя к анализу вопроса «… у субъектов, осуществляющих обработку личных данных, есть определенные обязанности», автор замечает, что «Прежде всего, конечно, речь идет о соблюдении ими существующих принципов и правил обработки персональных данных».
Автор правильно показывает, что «…определенные обязанности возлагаются и на государства, включая и те случаи, когда они не участвуют в обработке персональных данных».
В заключение автор подводит итог: «Таким образом, в настоящее время на международном уровне выработаны определенные нормы и созданы механизмы для обеспечения защиты персональных данных, соблюдение и использование которых имеет большое значение для обеспечения минимального уровня защиты основных прав человека в эпоху цифровых технологий, воплощение которых в национальной юридической практике, безусловно, будет способствовать самому высокому уровню защиты основных прав и свобод».
Как нам кажется, приведены конкретные, значащие и дающие для практики и теории выводы.
Необходимо констатировать, что журнал, в который представлена статья является научным, и автор направил в издательство статью, соответствующую требованиям, предъявляемым к научным публикациям, в частности для научной полемики он обращается к текстам научных статей оппонентов. Библиография достаточно полная и содержит помимо международных и российских нормативных актов, решений судов, большое количество современных научных исследований, как российских, так и зарубежных ученых, к которым автор обращается. Это позволяет автору правильно определить проблемы. Он, исследовав их, раскрывает предмет статьи.
Апелляция к оппонентам в связи с вышесказанным присутствует. Автором используется материал других исследователей.
Выводы – работа заслуживает опубликования, интерес читательской аудитории будет присутствовать.