Войти
| Директива Европейского Союза | |
 | |
| Заголовок | Директива о защите физических лиц в отношении обработки личных данных и свободного перемещения таких данных |
|---|---|
| Сделано | Европейским парламентом и Советом |
| Журнал ссылка | L281, 23 ноября 1995 г., стр. 31–50 |
| История | |
| Дата создания | 24 октября 1995 г. |
| Вступил в силу | 13 декабря 1995 г. |
| Дата внедрения | 24 октября 1998 г. |
| Подготовительные тексты | |
| Предложение Комиссии | C311, 27 ноября 1992 г., стр. 30–61 |
| Другое законодательство | |
| Изменено | Регламентом (ЕС) № 1882/2003 |
| Отменено | |
Директива о защите данных, официально Директива 95/46 / EC, вступившая в силу в октябре 1995 года, является директивой Европейского Союза, которая регулирует обработку персональных данных в пределах Европейского Союза (ЕС) и свободное перемещение таких данных. Директива о защите данных является важным компонентом конфиденциальности и закона ЕС о правах человека.
. Принципы, изложенные в Директиве о защите данных, направлены на защиту основных прав и свобод при обработке личные данные. Общий регламент по защите данных, принятый в апреле 2016 года, заменил Директиву о защите данных и вступил в силу 25 мая 2018 года.
Право на неприкосновенность частной жизни - это высокоразвитая область права в Европе. Все государства-члены Европейского Союза (ЕС) также подписали Европейскую конвенцию о правах человека (ЕКПЧ). Статья 8 ЕКПЧ предусматривает право на уважение «частной и семейной жизни, его жилища и его корреспонденции» с некоторыми ограничениями. Европейский суд по правам человека дал этой статье очень широкое толкование в своей юриспруденции.
В 1980 году, стремясь создать комплексную систему защиты данных по всей Европе, Организация экономического сотрудничества и развития (ОЭСР) выпустила свои «Рекомендации Совета относительно руководящих принципов Защита конфиденциальности и трансграничные потоки персональных данных ». Семь принципов, регулирующих рекомендации ОЭСР по защите личных данных, были следующими:
Однако OECD Руководящие принципы не имели обязательной силы, и В Европе законы о конфиденциальности по-прежнему сильно различаются. Между тем Соединенные Штаты, одобрив рекомендации ОЭСР, ничего не сделали для их выполнения в Соединенных Штатах. Однако первые шесть принципов были включены в Директиву ЕС.
В 1981 г. Конвенция о защите частных лиц в отношении автоматической обработки персональных данных была согласована в рамках Совет Европы. Эта конвенция обязывает подписавших принять законодательство, касающееся автоматической обработки личных данных, что многие и сделали должным образом.
В 1989 году с воссоединением Германии данные, собранные Штази в Восточной Германии, стали широко известны, что увеличило спрос на конфиденциальность в Германии. В то время в Западной Германии уже были законы о конфиденциальности с 1977 года (Bundesdatenschutzgesetz ). Европейская комиссия осознала, что различия в законодательстве о защите данных в странах-членах ЕС препятствуют свободному потоку данных в ЕС, и, соответственно, предложила Директиву о защите данных.
Директива регулирует обработку персональных данных независимо от того, автоматизирована ли такая обработка или нет.
Персональные данные определяются как «любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (« субъект данных »); идентифицируемое лицо - это лицо, которое может быть идентифицированный, прямо или косвенно, в частности, посредством ссылки на идентификационный номер или на один или несколько факторов, характерных для его физической, физиологической, умственной, экономической, культурной или социальной идентичности "; (статья 2 а).
Это определение должно быть очень широким. Данные являются «личными данными», когда кто-то может связать информацию с человеком, даже если лицо, владеющее данными, не может сделать эту ссылку. Некоторые примеры «личных данных»: адрес, номер кредитной карты, выписки из банка, сведения о судимости и т. Д.
Понятие «обработка» означает «любую операцию или набор операций, которые выполняются персональные данные, независимо от того, используются ли они автоматическими средствами, такими как сбор, запись, организация, хранение, адаптация или изменение, поиск, консультация, использование, раскрытие путем передачи, распространения или иного предоставления, согласования или комбинирования, блокирования, стирания или уничтожения; " (статья 2 b).
Ответственность за соблюдение требований лежит на плечах «контролера», то есть физического или искусственного лица, государственного органа, агентства или любого другого органа, который единолично или совместно с другими определяет цели и способы обработки персональных данных; (ст. 2 d)
Правила защиты данных применимы не только тогда, когда контролер находится в ЕС, но и всякий раз, когда контролер использует оборудование, расположенное на территории ЕС, для обработки данных. (статья 4) Контроллеры из-за пределов ЕС, обрабатывающие данные в ЕС, должны будут соблюдать правила защиты данных. В принципе, любая онлайн-торговля с резидентами ЕС будет обрабатывать некоторые личные данные и будет использовать оборудование в ЕС для обработки данных (то есть компьютер клиента). Как следствие, оператор веб-сайта должен будет соблюдать европейские правила защиты данных. Директива была написана до прорыва Интернета, и на сегодняшний день юриспруденции по этому вопросу мало.
Персональные данные не должны обрабатываться вообще, за исключением случаев, когда выполняются определенные условия. Эти условия делятся на три категории: прозрачность, законная цель и соразмерность.
Субъект данных имеет право быть проинформированным, когда его личные данные обрабатываются. Контроллер должен указать свое имя и адрес, цель обработки, получателей данных и всю другую информацию, необходимую для обеспечения справедливой обработки. (статьи 10 и 11)
Данные могут обрабатываться только в том случае, если выполняется хотя бы одно из следующих условий (статья 7):
Персональные данные могут обрабатываться только для определенных явных и законных целей и не могут обрабатываться в дальнейшем способом, несовместимым с этими целями. (ст. 6 b) Персональные данные должны иметь защиту от неправомерного использования и соблюдение «определенных прав владельцев данных, которые гарантированы законодательством ЕС».
Персональные данные могут быть обрабатываются только в той мере, в какой они являются адекватными, актуальными и не чрезмерными по отношению к целям, для которых они собираются и / или в дальнейшем обрабатываются. Данные должны быть точными и при необходимости обновляться; должны быть предприняты все разумные шаги для обеспечения того, чтобы данные, которые являются неточными или неполными, с учетом целей, для которых они были собраны или для которых они обрабатываются, были удалены или исправлены; Данные не должны храниться в форме, позволяющей идентифицировать субъектов данных, дольше, чем это необходимо для целей, для которых данные были собраны или для которых они обрабатываются. Государства-члены должны установить соответствующие гарантии для личных данных, хранящихся в течение более длительных периодов для исторического, статистического или научного использования. (статья 6).
Когда обрабатываются конфиденциальные личные данные (например, религиозные убеждения, политические взгляды, состояние здоровья, сексуальная ориентация, раса, членство в прошлых организациях), применяются дополнительные ограничения. (статья 8).
Субъект данных может в любое время возразить против обработки персональных данных в целях прямого маркетинга. (статья 14)
Алгоритмическое решение, которое имеет юридические последствия или существенно влияет на субъект данных, не может быть основано исключительно на автоматизированной обработке данных. (статья 15) При использовании автоматических процессов принятия решений должна быть предусмотрена форма апелляции.
Каждое государство-член должно создать надзорный орган, независимый орган, который будет контролировать уровень защиты данных в этом государстве-члене, давать рекомендации правительство об административных мерах и правилах, а также возбуждать судебные дела в случае нарушения правил защиты данных. (статья 28) Физические лица могут подавать жалобы о нарушениях в надзорный орган или в суд.
Контроллер должен уведомить надзорный орган, прежде чем он начнет обрабатывать данные. Уведомление содержит как минимум следующую информацию (статья 19):
Эта информация хранится в публичном реестре.
Третьи страны - это термин, используемый в законодательстве для обозначения стран за пределами Европейского Союза. Персональные данные могут быть переданы в третьи страны только в том случае, если эта страна обеспечивает адекватный уровень защиты. Предусмотрены некоторые исключения из этого правила, например, когда сам контролер может гарантировать, что получатель будет соблюдать правила защиты данных.
Статья 29 Директивы создала «Рабочую группу по защите физических лиц в отношении обработки персональных данных», широко известную как «Рабочая группа по статье 29 ». Рабочая группа дает советы об уровне защиты в Европейском Союзе и третьих странах.
Рабочая группа провела переговоры с представителями США о защите личных данных, результатом которых стали Принципы Safe Harbor. По мнению критиков, принципы Safe Harbor не обеспечивают адекватного уровня защиты, поскольку они содержат меньше обязательств для контролера и допускают договорный отказ от определенных прав.
В октябре 2015 года Европейский суд постановил, что режим Safe Harbor был недействителен в результате иска австрийского участника кампании по обеспечению конфиденциальности в отношении экспорта данных подписчиков европейским бизнесом Facebook в Facebook в Соединенные Штаты Америки. Власти США и Европы работали над заменой Safe Harbor, и в феврале 2016 года было достигнуто соглашение, в результате которого Европейская комиссия приняла 12 июля 2016 года структуру EU-US Privacy Shield.
В июле 2007 года было подписано новое противоречивое соглашение об именах пассажиров (PNR) между США и ЕС.
В феврале 2008 года Джонатан Фолл, глава Комиссии внутренних дел ЕС, пожаловался на двустороннюю политику Соединенных Штатов в отношении PNR. США подписали в феврале 2008 г. меморандум о взаимопонимании (MOU) с Чешской Республикой в обмен на безвизовый режим без предварительной консультации с Брюсселем. Напряженность между Вашингтоном и Брюсселем в основном вызвана более низким уровнем защиты данных в США, особенно потому, что иностранцы не пользуются преимуществами Закона США о конфиденциальности 1974 года. К другим странам, к которым обращались за двусторонними меморандумами о взаимопонимании, относятся Великобритания, Эстония, (Германия) и Греция.
Директив ЕС адресованы членам государства и не являются юридически обязательными для физических лиц в принципе. Государства-члены должны перенести директиву во внутреннее право. Директива 95/46 / EC о защите персональных данных должна была быть перенесена к концу 1998 года. Все государства-члены приняли собственное законодательство о защите данных.
По состоянию на 2003 год в США нет единого закона о защите данных, сопоставимого с Директивой ЕС о защите данных.
Законодательство США о конфиденциальности как правило, принимается на разовой основе, когда законодательство возникает, когда этого требуют определенные секторы и обстоятельства (например, Закон о защите конфиденциальности видео от 1988 г., Закон о защите и конкуренции кабельного телевидения 1992 г. и Закон о переносимости и подотчетности медицинского страхования 1996 г., HIPAA (США)). Следовательно, хотя некоторые отрасли уже могут удовлетворять требованиям Директивы ЕС, большинство из них не удовлетворяет. Соединенные Штаты предпочитают то, что они называют «секторальным» подходом к законодательству о защите данных, который опирается на сочетание законодательства, регулирования и саморегулирования, а не только на государственное регулирование. Бывший президент США Билл Клинтон и бывший вице-президент Эл Гор прямо рекомендовали в своих «Основах глобальной электронной торговли», что частный сектор должен возглавить, а компании должны внедрить саморегулирование в реакция на проблемы, порождаемые Интернет-технологиями.
Аргументы в пользу этого подхода связаны как с американской экономикой laissez-faire, так и с другими социальными перспективами. Первая поправка к Конституции Соединенных Штатов гарантирует право на свободу слова. В то время как свобода слова является прямым правом, гарантированным Конституцией США, неприкосновенность частной жизни - это подразумеваемое право, гарантированное Конституцией в интерпретации Верховного суда Соединенных Штатов, хотя часто и прямо во многих государственных конституциях.
Обширное регулирование конфиденциальности в Европе оправдано со ссылкой на опыт Второй мировой войны -эра фашистских правительств и послевоенных коммунистических режимов, где широко распространено неконтролируемое использование личной информации. Вторая мировая война и послевоенный период были в Европе временем, когда раскрытие расы или этнической принадлежности привело к тайным обвинениям и конфискациям, в результате которых друзья и соседи отправлялись в рабочие и концентрационные лагеря. В эпоху компьютеров бережное отношение европейцев к секретным правительственным файлам вылилось в недоверие к корпоративным базам данных, и правительства в Европе предприняли решительные шаги для защиты личной информации от злоупотреблений в годы после Второй мировой войны. (Германия) и Франция, в частности, издали всеобъемлющие законы о защите данных.
Однако критики европейской политики в отношении данных заявили, что они препятствуют возможности Европы монетизировать данные пользователей в Интернете и являются основная причина, по которой в Европе нет крупных компаний, большинство из которых находятся в США. Более того, с появлением Alibaba и Tencent, которые за последние годы вошли в число 10 самых ценных технологических компаний мира, даже Китай опережает Европу по показателям цифровой экономики, которая была оценивается в 5,09 триллиона долларов в 2019 году (35,8 триллиона юаней).
Китай и США вместе составляют 75% всех зарегистрированных патентов, связанных с ведущими информационными технологиями, такими как блокчейн, 50% мировых расходов на Интернет of Things, более 75% мирового рынка облачных вычислений и 90% рыночной капитализации 70 крупнейших мировых цифровых платформ. Доля ЕС составляет всего 4%.
Между тем озабоченность Европы США, вероятно, в первую очередь неуместна, поскольку европейские политики все чаще называют Китай и Россию агрессорами с "гибридной угрозой", используя комбинацию следующих факторов: пропаганда в социальных сетях и взломы с целью преднамеренного подрыва функционирования европейских институтов.
25 января 2012 года Европейский Комиссия (ЕС) объявила, что будет унифицировать закон о защите данных в едином Европейском Союзе посредством законодательства, которое называется «Общий регламент по защите данных ». Цели ЕС в связи с этим законодательством включали:
Исходное предложение также диктовало, что законодательство теоретически «применимо ко всем компаниям, не входящим в ЕС, без каких-либо представительств в ЕС, при условии, что обработка данных адресовано резидентам ЕС ", что является одним из самых больших изменений в новом законодательстве. Это изменение продолжилось до окончательного утверждения законодательства 14 апреля 2016 года и коснулось организаций по всему миру. «Регламент применяется к обработке за пределами ЕС, которая связана с предложением товаров или услуг субъектам данных (физическим лицам) в ЕС или мониторингом их поведения», - сказал У. Скотт Блэкмер из InfoLawGroup, хотя он добавил »[ Сомнительно, будут ли европейские надзорные органы или потребители на самом деле пытаться подать в суд на американских операторов за нарушение Правил ». Дополнительные изменения включают более строгие условия для согласия, более широкое определение конфиденциальных данных, новые положения о защите конфиденциальности детей и включение «права на забвение».
Затем ЕС установил дату соответствия 25 мая 2018 г., предоставление предприятиям по всему миру возможности подготовиться к соблюдению требований, изучить формулировки защиты данных в контрактах, рассмотреть вопрос о переходе на международные стандарты, обновить политики конфиденциальности и изучить маркетинговые планы.
