21.04.15
В понедельник состоялась расширенная коллегия Роскомнадзора, на которой выступил помощник президента РФ Игорь Щёголев. Сославшись на положительный опыт законодательства Евросоюза, он предложил расширить понятие «персональные данные» и обеспечить защиту таковых на территории РФ, вплоть до предоставления гражданину право на сетевое забвение. За несколько лет Роскомнадзор поспособствовал очищению Рунета от детской порнографии, наркотиков, пропаганды суицида, контрафактного цифрового контента, экстремистских материалов и ложной («злокачественной») информации, сказал Игорь Щёголев.
Теперь стала актуальной задача «защита личного сетевого пространства каждого из нас, защита наших персональных данных», и эта задача важна не менее, чем защита информационного пространства страны. Помощник президента цитировал главу Deutsche Telekom Тимотеуса Хеттгеса (Timotheus Höttges): «Интернет утратил невинность. Раньше он был инструментом свободы, а теперь стал инструментом контроля. Вы теперь не потребитель, вы — продукт потребления». Игорь Щёголев повторил высказанную ранее в интервью нашему изданию мысль о том, что «персональные данные превратились в виртуальную валюту, большое количество сервисов в Интернете потому и бесплатны, что собранные данные о пользователях можно продать значительно дороже, чем стоит сам сервис. Когда человек окружён устройствами и сервисами, собирающими, в том числе тайно, информацию о нем, нет никакой проблемы в том, чтобы узнать о его интересах и пристрастиях».
Понятие «персональные данные» нуждается в совершенствовании – теперь это не только ваше имя и реквизиты ваших документов: «Неважно, что у вас в паспорте, важно, что вы делаете в Сети. Важен ваш профиль. С помощью набора уникальных поведенческих характеристик и происходит идентификация».
Право на уважение частной жизни предусмотрено европейской Конвенцией о защите прав человека и основных свобод. Конституция РФ предоставляет каждому право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
Глобальные компании, фактически оказывая услуги на территории других стран, ссылаются на законодательство своих, а «при сборе данных право на уважение частной жизни часто не просто не учитывается, а намеренно нарушается».
После Сноудена ЕС начал создавать единый правовой механизм в области защиты данных – Генеральный регламент по защите персональных данных. Он призван регулировать не только обработку персональных данных в ЕС, но за его пределами. Проект документа дополняет перечень идентификаторов личности человека: это не только имя субъекта персональных данных, но и сведения о месте его нахождения и «онлайн-идентификатор» (очевидно, речь об учётных записях пользователей онлайн-сервисов – ред.).
Европейский опыт защиты персональных данных – примеры
В марте 2015 года австрийский студент Макс Шремс (Max Schrems) обратился в Высший суд ЕС с заявлением о том, что американо-европейское соглашение «О безопасной гавани» более не гарантирует конфиденциальности для европейских жителей при передаче персональных данных граждан Евросоюза на серверы в США, и должно быть отменено. В случае, если суд примет сторону Шремса, американским IT-корпорациям придется строить дата-центры в Европе.
То, что персональные данные обладают ценностью, косвенно подтверждается тем, что они всё чаще становятся объектом кражи – так, более половины случаев финансового мошенничества в Британии составляют кражи персональных данных. Тенденция к увеличению преступлений против персональных данных продолжается с прошлого года.
По данным Еврокомиссии, полученным опросом граждан 28 стран ЕС старше 15 лет в октябре 2014 года, 90% европейцев не хотят раскрывать персональную информацию в Интернете.
Год назад суд ЕС обязал Google удалять из поиска персональную информацию по запросу пользователей. Добровольно Google, в отличие от Apple и Microsoft, от сбора персональных данных отказываться не собирается даже на родине и даже по призыву президента своей страны.
Большинство людей желают, чтобы их персональные данные защищались по законам их страны, выяснило исследование Microsoft (большая часть опрошенных – граждане ЕС).
В России практика применения Федерального закона от 27 июля 2006 года (152-ФЗ) «О персональных данных» показывает что к персональным данным относят, как правило, идентификаторы субъекта персональных данных (ФИО, дата рождения и др.). Однако владельцами онлайн-сервисов накапливаются иные данные, характеризующие поведение человека, его предпочтения, перемещение со временем в пространстве, мировоззрение, связи. «Такая «глубокая» идентификация личности приводит к тому, что человек и его личная жизнь становятся беззащитны, поскольку указанные сведения не подпадают под действующую практику, к их обработке и хранению особые требования не предъявляются, — сказал Игорь Щёголев. — Необходимы меры, чтобы обеспечить защиту персональных данных граждан, регулируя их обработку в национальном сегменте сети Интернет и определяя их доступность из глобальной сети».
Это дело государства, поскольку «рынок обработки данных не способен обеспечить саморегулирование». Докладчик сравнил ситуацию с саморегулированием в области безопасности при транспортировании ядовитых отходов – «никто кроме государства не способен этим всерьёз заняться». Точно так же, согласно документам Совета Европы, обязательство государства уважать, защищать и поддерживать права человека включает в себя, в том числе, надзор за частными компаниями».
Технологический прогресс не отменяет фундаментальных прав и свобод граждан, а также обязанности государства обеспечить их безопасности без ущерба для их частной жизни.
Следует, сказал далее Щёголев, урегулировать вопрос выдачи согласия на обработку личных данных – оно должно даваться в явном виде, а не подразумеваться.
При этом изменения в соглашениях по обработке наших персональных данных не должны навязываться пользователям, ранее давшим согласие на обработку персональных данных по иным правилам.
Изначально для каждого интернет-сервиса требовалось отдельное соглашение на использование персональных данных в определенных целях. Но со временем компании начали обновлять эти соглашения. Сейчас, имея один аккаунт в социальной сети, вы автоматически отдаете свои данные всей системе сервисов – и на публикацию фотографий, и на чтение поисковой системой своей почты, и на хранение всех ваших поисковых запросов. Бывает, такое делается даже вопреки тому, что пользователь разрешает, а что запрещает владельцам онлайн-сервисов.
Последнее, что предложил помощник президента – гражданин должен иметь возможность удаления в Сети информации о себе, обладать правом быть забытым.
В Европе многие воспользовались правом на забвение
В ЕС в первый же день после представления пользователям Интернета возможности удалять ссылки на собственное имя в результатах поиска было подано 12 тысяч заявок.
Согласно требованию британского органа по надзору за соблюдением законодательства в сфере защиты персональных данных, интернет-корпорациям придется ясно и недвусмысленноинформировать пользователей о сборе и использовании их персональных данных.
В Италии надзорный орган получил полномочия инспектировать объекты зарубежных интернет-компаний.
Голландия штрафует компании за ведение скрытой слежки за пользователями и тайный сбор конфиденциальных сведений.
Глава Роскомнадзора Александр Жаров назвал эти предложения «глубокими и содержательными», заявив, что Роскомнадзор будет над ними работать в кооперации с Советом Федерации и Госдумой, передаёт «Интерфакс».
Комментируя инициативу Игоря Щёголева пересмотреть определение понятия «персональные данные», глава Роскомнадзора сказал, что этот вопрос требует «изучения и возможного законодательного регулирования, необходимо обсуждать его со всеми заинтересованными сторонами – законодателями, правоприменителями и участниками рынка, анализировать международный опыт». Однако с тем, что понятие персональных данных «становится шире, его конфигурация будет меняться», Александр Жаров согласен.
Защита персональных данных: документы ЕС
Приведём выдержки из двух официальных документов Евросоюза – предложений по модернизации Конвенции Совета Европы о защите физических лиц в отношении автоматизированной обработки персональных данных(конвенция принята в 1981 году, предложения по её модификации подготовлены в 2012-м) и проекта Директивы Европейского парламента и Совета Европейского союза о защите физических лиц при обработке персональных данных компетентными органами в целях предотвращения, расследования, обнаружения или судебного преследования уголовных преступлений или исполнения уголовных наказаний и свободного движения таких данных.
Изменения Конвенции Совета Европы о защите физических лиц в отношении автоматизированной обработки персональных данных направлены на ограничение сферы обработки персональных данных (в первую очередь — их сбора, передачи, раскрытия, совершения с данными действий, позволяющих моделировать поведение индивида) теми случаями, когда обработка является необходимой для достижения законных целей, а также на повышение уровня гарантий обеспечения прав субъектов персональных данных при их автоматизированной обработке.
Предлагается:
расширить перечень чувствительных данных, включив в него генетические и биометрические данные (при этом в тексте предлагается сохранить оценочное требование об установлении надлежащих гарантий прав субъектов персональных данных при обработке таких данных);
установить на национальном уровне обязанность оператора незамедлительно уведомить контролирующий орган по защите персональных данных обо всех случаях нарушения безопасности персональных данных, если это может повлечь нарушение прав субъектов персональных данных;
установить требования к обеспечению прозрачности обработки персональных данных, включая обязанность операторов обеспечить доступ без излишних затрат к сведениям о себе, включая адрес оператора, информацию об осуществляемой им обработке данных и о получателях данных;
раскрыть содержание права субъектов персональных данных на доступ к своим персональным данным и на возражение против обработки персональных данных (это право не предусмотрено Конвенцией в существующей редакции, однако в директивах ЕС, национальном законодательстве европейских государств, Мадридской резолюции, Федеральном законе «О персональных данных» и ряде других документов оно закреплено), право субъекта персональных данных знать об алгоритме принятия автоматизированных решений, затрагивающих его права.
Действующая редакция ограничивает передачу персональных данных на территорию государства, не являющегося стороной Конвенции, случаями, когда государством или получателем не обеспечивается адекватная защита данных, либо предусмотренными национальным правом случаями передачи для целей реализации определённых частных или государственных интересов.
Предлагаемая к включению в модернизированный текст Конвенции норма затрагивает не только отношения, связанные с передачей данных в государства, не являющимися сторонами Конвенции, но и с обменом данными между сторонами Конвенции.
Требование обеспечения адекватной защиты данных распространяется на любых получателей. При этом в предложениях раскрываются требования к обеспечению адекватного уровня защиты, включая необходимость закрепления внутренним правом норм, направленных на защиту данных, а также выполнение получателем правил и реализацию процедур, направленных на защиту данных.
В соответствии с проектом Директивы Европейского парламента и Совета Европейского союза о защите физических лиц при обработке персональных данных компетентными органами в целях предотвращения, расследования, обнаружения или судебного преследования уголовных преступлений или исполнения уголовных наказаний и свободного движения таких данных государства – члены ЕС должны:
защищать основные права и свободы физических лиц и, в частности, их право на защиту персональных данных;
обеспечивать, чтобы обмен персональными данными между компетентными органами в рамках Европейского Союза не ограничивался и не запрещался по причинам, связанным с защитой физических лиц при обработке персональных данных.
Проект Директивы, как и проект Регламента Европейского союза о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, дополняется перечнем идентификаторов, с помощью которых возможно определение личности конкретного лица (именем субъекта персональных данных, сведениями о месте его нахождения и онлайн-идентификатором).
Отдельная глава проекта Директивы посвящена оператору и обработчику данных, в том числе вопросам разделения обязанностей между операторами персональных данных. Оператор должен обеспечить необходимые технические и организационные меры в соответствии с проектом Директивы таким образом, чтобы гарантировать защиту прав субъекта данных. По умолчанию должны обрабатываться только те данные, которые необходимы в целях обработки.
Обработка данных должна осуществляться на основании правового акта, взаимносвязывающего оператора и обработчика и предусматривающего, в частности, что обработчик должен действовать только согласно инструкции оператора, в особенности в случаях, когда передача используемых данных запрещена. В случае нарушения операторской инструкции обработчик считается оператором обработки данных и несет ответственность совместно с оператором, предоставившим ему данные.
Оператор и обработчик, а также любое лицо, действующее под их руководством, имеющие доступ к личным данным, должны осуществлять обработку персональных данных исключительно на основании операторской инструкции или при необходимости на основе национального законодательства или законодательства ЕС.
В рамках собственной компетенции операторы и обработчики обязуются вести документацию, касающуюся систем и процедур обработки персональных данных. Такая документация должна содержать имя оператора или оператора и обработчика (при совместной компетенции), цели обработки, информацию о получателях или категориях получателей персональных данных, сведения о передаче данных в третьи страны или международным организациям, с указанием таких стран и организаций. По запросу надзорного органа эти сведения должны быть представлены оператором и обработчиком.
Согласно проекту Директивы будет сформирована новая система взаимодействия оператора или обработчика и надзорного органа в отношении хранения специальных категорий данных и видов обработки, в том числе с использованием новых технологий, механизмов и процедур, создающих специфические риски для основных прав и свобод, в частности, защиты данных и субъектов таких данных.
Передача персональных данных в страны, не являющиеся членами ЕС, или международные организации, может иметь место только при исполнении двух условий:
передача необходима для предотвращения, расследования, обнаружения, судебного преследования уголовных преступлений или выполнения уголовных наказаний;
оператором и обработчиком соблюдаются условия, установленные проектом Директивы.
http://d-russia.ru/pomoshhnik-prezidenta-vyskazalsya-za-peresmotr-rossijskogo-zakonodatelstva-o-zashhite-personalnyx-dannyx.html
http://creativecommons.org/licenses/by/3.0/legalcode
В понедельник состоялась расширенная коллегия Роскомнадзора, на которой выступил помощник президента РФ Игорь Щёголев. Сославшись на положительный опыт законодательства Евросоюза, он предложил расширить понятие «персональные данные» и обеспечить защиту таковых на территории РФ, вплоть до предоставления гражданину право на сетевое забвение. За несколько лет Роскомнадзор поспособствовал очищению Рунета от детской порнографии, наркотиков, пропаганды суицида, контрафактного цифрового контента, экстремистских материалов и ложной («злокачественной») информации, сказал Игорь Щёголев.
Теперь стала актуальной задача «защита личного сетевого пространства каждого из нас, защита наших персональных данных», и эта задача важна не менее, чем защита информационного пространства страны. Помощник президента цитировал главу Deutsche Telekom Тимотеуса Хеттгеса (Timotheus Höttges): «Интернет утратил невинность. Раньше он был инструментом свободы, а теперь стал инструментом контроля. Вы теперь не потребитель, вы — продукт потребления». Игорь Щёголев повторил высказанную ранее в интервью нашему изданию мысль о том, что «персональные данные превратились в виртуальную валюту, большое количество сервисов в Интернете потому и бесплатны, что собранные данные о пользователях можно продать значительно дороже, чем стоит сам сервис. Когда человек окружён устройствами и сервисами, собирающими, в том числе тайно, информацию о нем, нет никакой проблемы в том, чтобы узнать о его интересах и пристрастиях».
Понятие «персональные данные» нуждается в совершенствовании – теперь это не только ваше имя и реквизиты ваших документов: «Неважно, что у вас в паспорте, важно, что вы делаете в Сети. Важен ваш профиль. С помощью набора уникальных поведенческих характеристик и происходит идентификация».
Право на уважение частной жизни предусмотрено европейской Конвенцией о защите прав человека и основных свобод. Конституция РФ предоставляет каждому право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
Глобальные компании, фактически оказывая услуги на территории других стран, ссылаются на законодательство своих, а «при сборе данных право на уважение частной жизни часто не просто не учитывается, а намеренно нарушается».
После Сноудена ЕС начал создавать единый правовой механизм в области защиты данных – Генеральный регламент по защите персональных данных. Он призван регулировать не только обработку персональных данных в ЕС, но за его пределами. Проект документа дополняет перечень идентификаторов личности человека: это не только имя субъекта персональных данных, но и сведения о месте его нахождения и «онлайн-идентификатор» (очевидно, речь об учётных записях пользователей онлайн-сервисов – ред.).
Европейский опыт защиты персональных данных – примеры
В марте 2015 года австрийский студент Макс Шремс (Max Schrems) обратился в Высший суд ЕС с заявлением о том, что американо-европейское соглашение «О безопасной гавани» более не гарантирует конфиденциальности для европейских жителей при передаче персональных данных граждан Евросоюза на серверы в США, и должно быть отменено. В случае, если суд примет сторону Шремса, американским IT-корпорациям придется строить дата-центры в Европе.
То, что персональные данные обладают ценностью, косвенно подтверждается тем, что они всё чаще становятся объектом кражи – так, более половины случаев финансового мошенничества в Британии составляют кражи персональных данных. Тенденция к увеличению преступлений против персональных данных продолжается с прошлого года.
По данным Еврокомиссии, полученным опросом граждан 28 стран ЕС старше 15 лет в октябре 2014 года, 90% европейцев не хотят раскрывать персональную информацию в Интернете.
Год назад суд ЕС обязал Google удалять из поиска персональную информацию по запросу пользователей. Добровольно Google, в отличие от Apple и Microsoft, от сбора персональных данных отказываться не собирается даже на родине и даже по призыву президента своей страны.
Большинство людей желают, чтобы их персональные данные защищались по законам их страны, выяснило исследование Microsoft (большая часть опрошенных – граждане ЕС).
В России практика применения Федерального закона от 27 июля 2006 года (152-ФЗ) «О персональных данных» показывает что к персональным данным относят, как правило, идентификаторы субъекта персональных данных (ФИО, дата рождения и др.). Однако владельцами онлайн-сервисов накапливаются иные данные, характеризующие поведение человека, его предпочтения, перемещение со временем в пространстве, мировоззрение, связи. «Такая «глубокая» идентификация личности приводит к тому, что человек и его личная жизнь становятся беззащитны, поскольку указанные сведения не подпадают под действующую практику, к их обработке и хранению особые требования не предъявляются, — сказал Игорь Щёголев. — Необходимы меры, чтобы обеспечить защиту персональных данных граждан, регулируя их обработку в национальном сегменте сети Интернет и определяя их доступность из глобальной сети».
Это дело государства, поскольку «рынок обработки данных не способен обеспечить саморегулирование». Докладчик сравнил ситуацию с саморегулированием в области безопасности при транспортировании ядовитых отходов – «никто кроме государства не способен этим всерьёз заняться». Точно так же, согласно документам Совета Европы, обязательство государства уважать, защищать и поддерживать права человека включает в себя, в том числе, надзор за частными компаниями».
Технологический прогресс не отменяет фундаментальных прав и свобод граждан, а также обязанности государства обеспечить их безопасности без ущерба для их частной жизни.
Следует, сказал далее Щёголев, урегулировать вопрос выдачи согласия на обработку личных данных – оно должно даваться в явном виде, а не подразумеваться.
При этом изменения в соглашениях по обработке наших персональных данных не должны навязываться пользователям, ранее давшим согласие на обработку персональных данных по иным правилам.
Изначально для каждого интернет-сервиса требовалось отдельное соглашение на использование персональных данных в определенных целях. Но со временем компании начали обновлять эти соглашения. Сейчас, имея один аккаунт в социальной сети, вы автоматически отдаете свои данные всей системе сервисов – и на публикацию фотографий, и на чтение поисковой системой своей почты, и на хранение всех ваших поисковых запросов. Бывает, такое делается даже вопреки тому, что пользователь разрешает, а что запрещает владельцам онлайн-сервисов.
Последнее, что предложил помощник президента – гражданин должен иметь возможность удаления в Сети информации о себе, обладать правом быть забытым.
В Европе многие воспользовались правом на забвение
В ЕС в первый же день после представления пользователям Интернета возможности удалять ссылки на собственное имя в результатах поиска было подано 12 тысяч заявок.
Согласно требованию британского органа по надзору за соблюдением законодательства в сфере защиты персональных данных, интернет-корпорациям придется ясно и недвусмысленноинформировать пользователей о сборе и использовании их персональных данных.
В Италии надзорный орган получил полномочия инспектировать объекты зарубежных интернет-компаний.
Голландия штрафует компании за ведение скрытой слежки за пользователями и тайный сбор конфиденциальных сведений.
Глава Роскомнадзора Александр Жаров назвал эти предложения «глубокими и содержательными», заявив, что Роскомнадзор будет над ними работать в кооперации с Советом Федерации и Госдумой, передаёт «Интерфакс».
Комментируя инициативу Игоря Щёголева пересмотреть определение понятия «персональные данные», глава Роскомнадзора сказал, что этот вопрос требует «изучения и возможного законодательного регулирования, необходимо обсуждать его со всеми заинтересованными сторонами – законодателями, правоприменителями и участниками рынка, анализировать международный опыт». Однако с тем, что понятие персональных данных «становится шире, его конфигурация будет меняться», Александр Жаров согласен.
Защита персональных данных: документы ЕС
Приведём выдержки из двух официальных документов Евросоюза – предложений по модернизации Конвенции Совета Европы о защите физических лиц в отношении автоматизированной обработки персональных данных(конвенция принята в 1981 году, предложения по её модификации подготовлены в 2012-м) и проекта Директивы Европейского парламента и Совета Европейского союза о защите физических лиц при обработке персональных данных компетентными органами в целях предотвращения, расследования, обнаружения или судебного преследования уголовных преступлений или исполнения уголовных наказаний и свободного движения таких данных.
Изменения Конвенции Совета Европы о защите физических лиц в отношении автоматизированной обработки персональных данных направлены на ограничение сферы обработки персональных данных (в первую очередь — их сбора, передачи, раскрытия, совершения с данными действий, позволяющих моделировать поведение индивида) теми случаями, когда обработка является необходимой для достижения законных целей, а также на повышение уровня гарантий обеспечения прав субъектов персональных данных при их автоматизированной обработке.
Предлагается:
расширить перечень чувствительных данных, включив в него генетические и биометрические данные (при этом в тексте предлагается сохранить оценочное требование об установлении надлежащих гарантий прав субъектов персональных данных при обработке таких данных);
установить на национальном уровне обязанность оператора незамедлительно уведомить контролирующий орган по защите персональных данных обо всех случаях нарушения безопасности персональных данных, если это может повлечь нарушение прав субъектов персональных данных;
установить требования к обеспечению прозрачности обработки персональных данных, включая обязанность операторов обеспечить доступ без излишних затрат к сведениям о себе, включая адрес оператора, информацию об осуществляемой им обработке данных и о получателях данных;
раскрыть содержание права субъектов персональных данных на доступ к своим персональным данным и на возражение против обработки персональных данных (это право не предусмотрено Конвенцией в существующей редакции, однако в директивах ЕС, национальном законодательстве европейских государств, Мадридской резолюции, Федеральном законе «О персональных данных» и ряде других документов оно закреплено), право субъекта персональных данных знать об алгоритме принятия автоматизированных решений, затрагивающих его права.
Действующая редакция ограничивает передачу персональных данных на территорию государства, не являющегося стороной Конвенции, случаями, когда государством или получателем не обеспечивается адекватная защита данных, либо предусмотренными национальным правом случаями передачи для целей реализации определённых частных или государственных интересов.
Предлагаемая к включению в модернизированный текст Конвенции норма затрагивает не только отношения, связанные с передачей данных в государства, не являющимися сторонами Конвенции, но и с обменом данными между сторонами Конвенции.
Требование обеспечения адекватной защиты данных распространяется на любых получателей. При этом в предложениях раскрываются требования к обеспечению адекватного уровня защиты, включая необходимость закрепления внутренним правом норм, направленных на защиту данных, а также выполнение получателем правил и реализацию процедур, направленных на защиту данных.
В соответствии с проектом Директивы Европейского парламента и Совета Европейского союза о защите физических лиц при обработке персональных данных компетентными органами в целях предотвращения, расследования, обнаружения или судебного преследования уголовных преступлений или исполнения уголовных наказаний и свободного движения таких данных государства – члены ЕС должны:
защищать основные права и свободы физических лиц и, в частности, их право на защиту персональных данных;
обеспечивать, чтобы обмен персональными данными между компетентными органами в рамках Европейского Союза не ограничивался и не запрещался по причинам, связанным с защитой физических лиц при обработке персональных данных.
Проект Директивы, как и проект Регламента Европейского союза о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, дополняется перечнем идентификаторов, с помощью которых возможно определение личности конкретного лица (именем субъекта персональных данных, сведениями о месте его нахождения и онлайн-идентификатором).
Отдельная глава проекта Директивы посвящена оператору и обработчику данных, в том числе вопросам разделения обязанностей между операторами персональных данных. Оператор должен обеспечить необходимые технические и организационные меры в соответствии с проектом Директивы таким образом, чтобы гарантировать защиту прав субъекта данных. По умолчанию должны обрабатываться только те данные, которые необходимы в целях обработки.
Обработка данных должна осуществляться на основании правового акта, взаимносвязывающего оператора и обработчика и предусматривающего, в частности, что обработчик должен действовать только согласно инструкции оператора, в особенности в случаях, когда передача используемых данных запрещена. В случае нарушения операторской инструкции обработчик считается оператором обработки данных и несет ответственность совместно с оператором, предоставившим ему данные.
Оператор и обработчик, а также любое лицо, действующее под их руководством, имеющие доступ к личным данным, должны осуществлять обработку персональных данных исключительно на основании операторской инструкции или при необходимости на основе национального законодательства или законодательства ЕС.
В рамках собственной компетенции операторы и обработчики обязуются вести документацию, касающуюся систем и процедур обработки персональных данных. Такая документация должна содержать имя оператора или оператора и обработчика (при совместной компетенции), цели обработки, информацию о получателях или категориях получателей персональных данных, сведения о передаче данных в третьи страны или международным организациям, с указанием таких стран и организаций. По запросу надзорного органа эти сведения должны быть представлены оператором и обработчиком.
Согласно проекту Директивы будет сформирована новая система взаимодействия оператора или обработчика и надзорного органа в отношении хранения специальных категорий данных и видов обработки, в том числе с использованием новых технологий, механизмов и процедур, создающих специфические риски для основных прав и свобод, в частности, защиты данных и субъектов таких данных.
Передача персональных данных в страны, не являющиеся членами ЕС, или международные организации, может иметь место только при исполнении двух условий:
передача необходима для предотвращения, расследования, обнаружения, судебного преследования уголовных преступлений или выполнения уголовных наказаний;
оператором и обработчиком соблюдаются условия, установленные проектом Директивы.
http://d-russia.ru/pomoshhnik-prezidenta-vyskazalsya-za-peresmotr-rossijskogo-zakonodatelstva-o-zashhite-personalnyx-dannyx.html
http://creativecommons.org/licenses/by/3.0/legalcode
