Директива о защите данных - Data Protection Directive

Директива 95/46 / EC
Директива Европейского Союза
ЗаголовокДиректива о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных
СделанЕвропейский парламент и Совет
Журнал ссылкаL281, 23 ноября 1995 г., стр. 31–50
История
Дата изготовления24 октября 1995 г.
Вступил в силу13 декабря 1995 г.
Дата внедрения24 октября 1998 г.
Подготовительные тексты
Комиссия предложениеC311, 27 ноября 1992 г., стр. 30–61
Другое законодательство
С поправкамиРегламент (ЕС) № 1882/2003
Аннулирован

В Директива о защите данных, официально Директива 95/46 / EC, принятая в октябре 1995 г., является Директива Европейского Союза который регулирует обработку персональных данных в Евросоюз (ЕС) и свободное перемещение таких данных. Директива о защите данных является важным компонентом ЕС. Конфиденциальность и право прав человека.

Принципы, изложенные в Директиве о защите данных, направлены на защиту основных прав и свобод при обработке персональных данных.[1] В Общие правила защиты данных, принятая в апреле 2016 года, заменила Директиву о защите данных и вступила в силу 25 мая 2018 года.[2]

Контекст

Право на Конфиденциальность - это высокоразвитая область права в Европе. Все государства-члены Евросоюз (ЕС) также подписали Европейская конвенция о правах человека (ЕСПЧ). Статья 8 ЕКПЧ обеспечивает право на уважение «частной и семейной жизни, его жилища и его корреспонденции» с некоторыми ограничениями. В Европейский суд по правам человека дал этой статье очень широкое толкование в своей юриспруденции.

В 1980 году, пытаясь создать комплексную систему защиты данных по всей Европе, Организация экономического сотрудничества и развития (ОЭСР) выпустила «Рекомендации Совета относительно руководящих принципов, регулирующих защиту конфиденциальности и трансграничных потоков личных данных».[3] Семь принципов, регулирующих ОЭСР Рекомендации по защите личных данных:

  1. Уведомление - субъекты данных должны быть уведомлены, когда их данные собираются;
  2. Цель - данные должны использоваться только для заявленной цели, а не для каких-либо других целей;
  3. Согласие - данные не должны разглашаться без согласия субъекта данных;
  4. Безопасность - собранные данные должны быть защищены от любых потенциальных злоупотреблений;
  5. Раскрытие информации - субъекты данных должны быть проинформированы о том, кто собирает их данные;
  6. Доступ - субъекты данных должны иметь доступ к своим данным и вносить исправления в любые неточные данные.
  7. Подотчетность - субъекты данных должны иметь доступный метод для привлечения сборщиков данных к ответственности за несоблюдение вышеуказанных принципов.[4]

В ОЭСР Руководящие принципы, однако, не имели обязательной силы, и конфиденциальность данных законы в Европе по-прежнему сильно различались. Между тем Соединенные Штаты, поддерживая ОЭСР рекомендации, ничего не сделали для их реализации в Соединенных Штатах.[4] Однако первые шесть принципов были включены в Директиву ЕС.[4]

В 1981 г. Конвенция о защите физических лиц при автоматической обработке персональных данных велись переговоры в Совет Европы. Эта конвенция обязывает подписавших принять законодательство, касающееся автоматической обработки персональных данных, что многие и сделали должным образом.

В 1989 году с воссоединением Германии данные, собранные Штази в Восточной Германии, стали широко известны, что повысило спрос на конфиденциальность в Германии. В то время в Западной Германии уже были законы о конфиденциальности с 1977 года (Bundesdatenschutzgesetz ). В Европейская комиссия осознал, что расхождение в законодательстве о защите данных в странах-членах ЕС препятствует свободному потоку данных в ЕС, и, соответственно, предложил Директиву о защите данных.

Содержание

Директива регулирует обработку персональных данных независимо от того, автоматизирована ли такая обработка или нет.

Объем

Личные данные определяются как "любая информация, относящаяся к идентифицированному или идентифицируемому физическое лицо («субъект данных»); идентифицируемое лицо - это лицо, которое может быть идентифицировано прямо или косвенно, в частности, по идентификационному номеру или одному или нескольким факторам, характерным для его физической, физиологической, умственной, экономической, культурной или социальной идентичности; "(статья 2 а ).

Это определение должно быть очень широким. Данные являются «личными данными», когда кто-то может связать информацию с человеком, даже если лицо, владеющее данными, не может сделать эту ссылку. Вот некоторые примеры «личных данных»: адрес, Номер кредитной карты, банковские выписки, судимости и т. д.

Понятие обработка означает «любую операцию или набор операций, которые выполняются с персональными данными, будь то автоматические средства или нет, такие как сбор, запись, организация, хранение, адаптация или изменение, поиск, консультация, использование, раскрытие путем передачи, распространения или иным образом доступность, выравнивание или комбинация, блокирование, стирание или уничтожение "; (статья 2 b).

Ответственность за соблюдение требований лежит на плечах «контролера», то есть естественный или же искусственный человек, государственный орган, агентство или любой другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных; (статья 2 d)

Правила защиты данных применимы не только тогда, когда контролер находится в ЕС, но и всякий раз, когда контролер использует оборудование, расположенное на территории ЕС, для обработки данных. (статья 4) Контроллеры из-за пределов ЕС, обрабатывающие данные в ЕС, должны будут соблюдать правила защиты данных. В принципе, любой онлайн-бизнес, торгующий с резидентами ЕС, будет обрабатывать некоторые личные данные и будет использовать оборудование в ЕС для обработки данных (то есть компьютер клиента). Как следствие, оператор веб-сайта должен будет соблюдать европейские правила защиты данных. Директива была написана до прорыва Интернета, и на сегодняшний день мало юриспруденция по этому поводу.

Принципы

Персональные данные не должны обрабатываться вообще, за исключением случаев выполнения определенных условий. Эти условия делятся на три категории: прозрачность, законная цель и соразмерность.

Прозрачность

Субъект данных имеет право быть проинформированным, когда его персональные данные обрабатываются. Контроллер должен указать свое имя и адрес, цель обработки, получателей данных и всю другую информацию, необходимую для обеспечения справедливой обработки. (статьи 10 и 11)

Данные могут обрабатываться только в том случае, если выполняется хотя бы одно из следующих условий (статья 7):

  • когда субъект данных дал свое согласие.
  • когда обработка необходима для выполнения или заключения договора.
  • когда обработка необходима для соблюдения юридических обязательств.
  • когда обработка необходима для защиты жизненно важных интересов субъекта данных.
  • обработка необходима для выполнения задачи, выполняемой в общественный интерес или при осуществлении официальных полномочий, предоставленных контроллеру или третьей стороне, которой раскрываются данные.
  • обработка необходима для целей законных интересов, преследуемых контролером или третьей стороной или сторонами, которым раскрываются данные, за исключением случаев, когда такие интересы преобладают над интересами основных прав и свобод субъекта данных. Субъект данных имеет право на доступ ко всем обрабатываемым данным о нем. Субъект данных даже имеет право требовать исправления, удаления или блокировки данных, которые являются неполными, неточными или не обрабатываются в соответствии с правилами защиты данных. (статья 12)

Законная цель

Персональные данные могут обрабатываться только для указанных явных и законных целей и не могут обрабатываться в дальнейшем способом, несовместимым с этими целями. (ст. 6 b) Персональные данные должны иметь защиту от неправомерного использования и уважение «определенных прав владельцев данных, которые гарантированы законодательством ЕС».[5]

Пропорциональность

Персональные данные могут обрабатываться только в той мере, в какой они являются адекватными, актуальными и не чрезмерными по отношению к целям, для которых они собираются и / или в дальнейшем обрабатываются. Данные должны быть точными и, при необходимости, обновляться; Необходимо предпринять все разумные шаги для обеспечения того, чтобы данные, которые являются неточными или неполными, с учетом целей, для которых они были собраны или для которых они обрабатываются, были удалены или исправлены; данные не должны храниться в форме, которая позволяет идентифицировать субъектов данных дольше, чем это необходимо для целей, для которых данные были собраны или для которых они обрабатываются. Государства-члены должны установить соответствующие гарантии для личных данных, хранящихся в течение более длительных периодов для исторического, статистического или научного использования. (статья 6).

Когда обрабатываются конфиденциальные личные данные (например, религиозные убеждения, политические взгляды, здоровье, сексуальная ориентация, раса, членство в прошлых организациях), применяются дополнительные ограничения. (статья 8).

Субъект данных может в любое время возразить против обработки персональных данных в целях прямого маркетинга. (статья 14)

Решение, основанное на алгоритмах, которое имеет юридические последствия или существенно влияет на субъект данных, не может быть основано исключительно на автоматизированной обработке данных. (статья 15) При использовании автоматических процессов принятия решений должна быть предусмотрена форма апелляции.

Надзорный орган и публичный реестр процессинговых операций

Каждое государство-член должно создать надзорный орган, независимый орган, который будет контролировать уровень защиты данных в этом государстве-члене, давать рекомендации правительству об административных мерах и правилах и начинать судебные разбирательства в случае нарушения нормативных положений о защите данных. (статья 28) Физические лица могут подавать жалобы о нарушениях в надзорный орган или в суд.

Контроллер должен уведомить надзорный орган, прежде чем он начнет обрабатывать данные. Уведомление содержит как минимум следующую информацию (статья 19):

  • имя и адрес контролера и его представителя, если таковой имеется;
  • цель или цели обработки;
  • описание категории или категорий субъектов данных и данных или категорий данных, относящихся к ним;
  • получатели или категории получателей, которым могут быть раскрыты данные;
  • предлагаемые передачи данных в третьи страны;
  • общее описание мер, принятых для обеспечения безопасности обработки.

Эта информация хранится в публичном реестре.

Передача личных данных в третьи страны

Третьи страны термин, используемый в законодательстве для обозначения стран за пределами Евросоюз.Персональные данные могут быть переданы в третьи страны только в том случае, если эта страна обеспечивает адекватный уровень защиты. Предусмотрены некоторые исключения из этого правила, например, когда сам контролер может гарантировать, что получатель будет соблюдать правила защиты данных.

Статья 29 Директивы создала «Рабочую группу по защите частных лиц в отношении обработки персональных данных», широко известную как «Статья 29 Рабочая группа ". Рабочая группа дает советы об уровне защиты в Европейском Союзе и третьих странах.

Рабочая группа провела переговоры с представителями США о защите личных данных, Принципы Safe Harbor были результатом. По мнению критиков, Принципы Safe Harbor не обеспечивают адекватного уровня защиты, поскольку они содержат меньше обязательств для контролера и допускают договорный отказ от определенных прав.

В октябре 2015 года Европейский суд постановил, что режим Safe Harbor был недействителен в результате иска австрийского участника кампании по обеспечению конфиденциальности в отношении экспорта данных подписчиков европейским бизнесом Facebook в Facebook в США.[6] Власти США и Европы работали над заменой Safe Harbor, и в феврале 2016 года было достигнуто соглашение, в результате которого Европейская комиссия приняла Защита конфиденциальности ЕС-США framework от 12 июля 2016 г.

В июле 2007 г. появилась новая спорная[7] запись имени пассажира (PNR) соглашение между США и ЕС было подписано ниже.[8]

В феврале 2008 г. Джонатан Фаулл, глава Комиссии внутренних дел ЕС, пожаловался на двустороннюю политику Соединенных Штатов в отношении PNR.[9] США подписали в феврале 2008 г. меморандум о взаимопонимании.[10] (MOU) с Чехия в обмен на безвизовый режим без предварительной консультации с Брюсселем.[7] Напряженность между Вашингтоном и Брюсселем в основном вызвана более низким уровнем защита данных в США, тем более что иностранцы не получают выгоды от США Закон о конфиденциальности 1974 г.. К другим странам, подписавшим двусторонние меморандумы о взаимопонимании, относятся Великобритания, Эстония, (Германия) и Греция.[11]

Реализация странами-членами

Директивы ЕС адресованы государствам-членам и в принципе не являются юридически обязательными для физических лиц. Страны-члены должны перенести директиву во внутреннее право. Директива 95/46 / EC о защите личных данных должна была быть перенесена к концу 1998 года. Все государства-члены приняли собственное законодательство о защите данных.

Сравнение с законом о защите данных США

По состоянию на 2003 год, в США нет единого закона о защите данных, сопоставимого с Директивой ЕС о защите данных.[12]

Законодательство США о конфиденциальности обычно принимается для этого случая основы, с законодательством, возникающим, когда того требуют определенные сектора и обстоятельства (например, Закон о защите конфиденциальности видео 1988 г. Закон о защите и конкуренции кабельного телевидения 1992 г.,[13] в Закон о справедливой кредитной отчетности, а 1996 Медицинское страхование Портативность и Акт об ответственности, HIPAA (США)). Следовательно, хотя некоторые отрасли уже могут удовлетворять требованиям Директивы ЕС, большинство из них не удовлетворяет.[14] Соединенные Штаты предпочитают то, что они называют "секторальным" подходом.[15] к законодательству о защите данных, которое опирается на сочетание законодательства, регулирования и саморегулирования, а не только на государственное регулирование.[16][17] Бывший президент США Билл Клинтон и бывший вице-президент Альберт Гор в своих «Основах для глобальной электронной торговли» прямо рекомендовано, что частный сектор должен возглавить, а компании должны осуществлять саморегулирование в ответ на проблемы, порождаемые интернет-технологиями.[18]

Обоснование этого подхода имеет прямое отношение к американским свободная экономика как и с разными социальными перспективами.[19] В Первая поправка из Конституция Соединенных Штатов гарантирует право на свободу слова.[20] Хотя свобода слова является явным правом, гарантированным Конституция Соединенных Штатов, неприкосновенность частной жизни является имплицитным правом, гарантированным Конституцией в толковании Верховный суд США,[21] хотя часто это явное право во многих конституциях штатов.[22]

Обширное регулирование конфиденциальности в Европе оправдано со ссылкой на опыт Вторая Мировая Война -эра фашистские правительства и послевоенные Коммунист режимы, в которых широко использовалось неконтролируемое использование личной информации.[23][24][25] Вторая мировая война и послевоенный период были временем в Европе, когда раскрытие расы или этнической принадлежности привело к тайным обвинениям и конфискациям, в результате которых друзья и соседи отправлялись в рабочие и концентрационные лагеря.[4] В эпоху компьютеров бережное отношение европейцев к секретным правительственным файлам вылилось в недоверие к корпоративным базам данных, и правительства Европы предприняли решительные шаги для защиты личной информации от злоупотреблений в последующие годы. Вторая Мировая Война.[26] (Германия) и Франция, в частности, приняли всеобъемлющие законы о защите данных.[27]

Однако критики европейской политики в отношении данных заявляют, что они препятствуют возможности Европы монетизировать данные пользователей в Интернете и являются основной причиной того, что нет Big Tech компании в Европе, причем большинство из них находится в Соединенных Штатах. [28] Кроме того, с Алибаба и Tencent пополнение списка 10 самых ценных технологических компаний мира за последние годы,[29] даже Китай опережает Европу по показателям цифровой экономики,[30] который был оценен в 5,09 триллиона долларов в 2019 году (35,8 триллиона юаней).[31]

На Китай и США вместе приходится 75% всех зарегистрированных патентов, связанных с ведущими информационными технологиями, такими как блокчейн, 50% глобальных расходов на Интернет вещей, более 75% мирового рынка облачные вычисления и 90% рыночной капитализации 70 крупнейших мировых цифровых платформ. Доля ЕС составляет всего 4%.[30]

Между тем, озабоченность Европы США, вероятно, в первую очередь неуместна, поскольку европейские политики все чаще называют Китай и Россию агрессорами с "гибридной угрозой", используя сочетание пропаганда в социальных сетях и хакерских атаках с целью преднамеренного подрыва функционирования европейских институтов.[32]

Замена Общим регламентом защиты данных

25 января 2012 г. Европейская комиссия (ЕК) объявили, что будут унифицировать закон о защите данных в едином Европейском Союзе посредством законодательства, называемого "Общие правила защиты данных. "Цели ЕС в связи с этим законодательством включали:[33]

  • гармонизация 27 национальных правил защиты данных в один единый регламент;
  • совершенствование правил передачи корпоративных данных за пределы Европейского Союза; и
  • улучшение пользовательского контроля над личными идентификационными данными.

Первоначальное предложение также требовало, чтобы законодательство теоретически «применялось ко всем компаниям, не входящим в ЕС, без каких-либо представительств в ЕС, при условии, что обработка данных направлена ​​на резидентов ЕС», что является одним из самых больших изменений в новом законодательстве.[33] Это изменение продолжилось до окончательного утверждения законодательства 14 апреля 2016 года и коснулось организаций по всему миру. «Регламент применяется к обработке за пределами ЕС, которая связана с предложением товаров или услуг субъектам данных (физическим лицам) в ЕС или мониторингом их поведения», - сказал У. Скотт Блэкмер из InfoLawGroup, хотя он добавил »[ Сомнительно, будут ли европейские надзорные органы или потребители на самом деле пытаться подать в суд на американских операторов за нарушения Регламента ».[2] Дополнительные изменения включают более строгие условия согласия, более широкое определение конфиденциальных данных, новые положения о защите конфиденциальности детей и включение «права на забвение».[2]

Затем ЕК установила дату соответствия 25 мая 2018 года, давая компаниям по всему миру возможность подготовиться к соблюдению, пересмотреть формулировки защиты данных в контрактах, рассмотреть вопрос о переходе на международные стандарты, обновить политику конфиденциальности и пересмотреть маркетинговые планы.

Смотрите также

Рекомендации

  1. ^ Кеннеди, Венди (2020). Закон о конфиденциальности данных: практическое руководство (Третье изд.). Дж. Э. Кеннеди и Л. С. П. Прабху. п. 45. ISBN  978-0-9995127-4-6.
  2. ^ а б c Блэкмер, У.С. (5 мая 2016 г.). «GDPR: подготовка к новому общему регламенту ЕС по защите данных». Информационно-правовая группа. ТОО «ИнфоЛавГруп». Архивировано из оригинал 14 мая 2018 г.. Получено 22 июн 2016.
  3. ^ Руководство по защите конфиденциальности и трансграничным потокам персональных данных Организация экономического сотрудничества и развития, последнее изменение 5 января 1999 г.
  4. ^ а б c d Шиманек, Анна Е. (2001). «Хотите молока с этими файлами cookie ?: Соблюдение принципов конфиденциальности Safe Harbor». Журнал корпоративного права. 26 (2): 455, 462–463.
  5. ^ «Защита личных данных - Европейская комиссия». Европейская комиссия.
  6. ^ «Решение Суда (Большая Палата) - 6 октября 2015 г.». InfoCuria. 6 октября 2015 г.. Получено 22 июн 2016.
  7. ^ а б Разделенная Европа хочет защитить свои личные данные, разыскиваемые США., Rue 89, 4 марта 2008 г.
  8. ^ «Новое соглашение PNR между ЕС и США об обработке и передаче данных записей регистрации пассажиров (PNR)». libertysecurity.org. Архивировано из оригинал 12 января 2012 г.
  9. ^ Брюссель атакует новые требования безопасности США, EUobserver. Смотрите также Информационный бюллетень Statewatch Февраль 2008 г.
  10. ^ http://www.statewatch.org/news/2008/mar/us-czech-mou-visas-etc.pdf
  11. ^ Statewatch, Март 2008 г.
  12. ^ См. Джулия М. Фромхольц, Директива Европейского Союза о конфиденциальности данных, 15 Berkeley Tech. L.J. 471, 472 (2000); Декан Уильям Харви и Эми Уайт, Влияние регулирования компьютерной безопасности на американские компании, 8 Tex. Wesleyan L. Rev. 505 (2002); Камаал Заиди, Гармонизация закона США и ЕС о конфиденциальности в Интернете: на пути к всеобъемлющему режиму США для защиты личных данных, 12 Mich.St. J. Int'l L. 169 (2003).
  13. ^ Законодательство США (1992). "ЗАКОН О ЗАЩИТЕ ПОТРЕБИТЕЛЕЙ И КОНКУРЕНЦИИ КАБЕЛЬНОГО ТЕЛЕВИДЕНИЯ 1992 ГОДА" (PDF). Получено 18 марта 2010.
  14. ^ Fromholz, см. Выше
  15. ^ Ллойд, Ян Дж. (2011). Закон об информационных технологиях (6-е изд.). Оксфорд [и др.]: Издательство Оксфордского университета. п. 26. ISBN  978-0199588749.
  16. ^ Клинтон, Уильям Дж .; Гор-младший, Альберт (1 июля 1997 г.). «Основы глобальной электронной торговли». technology.gov. Архивировано из оригинал 21 декабря 2006 г.. Получено 18 декабря 2006.
  17. ^ Р., Шрайвер, Роберт (20 февраля 2018 г.). «Вы обманули, вы солгали: Соглашение о безопасной гавани и обеспечение его соблюдения Федеральной торговой комиссией». Обзор закона Фордхэма. 70 (6).
  18. ^ Клинтон и Гор, см. Выше
  19. ^ Фатема, К. (2016). «Полуавтоматическая методология извлечения правил контроля доступа из Европейской директивы о защите данных». 25 (32). Цитировать журнал требует | журнал = (помощь)
  20. ^ США Const. исправлять. Я.
  21. ^ См., Например, Роу против Уэйда, 410 США 113 (1973)
  22. ^ См., Например, статью 1 Конституция Калифорнии: «Все люди по своей природе свободны и независимы и обладают неотъемлемыми правами. Среди них… конфиденциальность».
  23. ^ Райан Мошелл, ... И затем был один: Перспективы саморегулирования США на фоне глобальной тенденции к комплексной защите данных., 37 текс. Техн. Л. Rev.357, 358
  24. ^ «Место истории - Вторая мировая война в Европе. Хронология: 9/10 ноября 1938 года - Хрустальная ночь, ночь разбитых стекол». historyplace.com.
  25. ^ Коцкер, Джейсон А. «The Great Cookie Caper: Конфиденциальность в Интернете и целевой маркетинг дома и за рубежом. Примечания и комментарии 15». Закон о Сент-Томасе. Закон о Сент-Томасе, 2002–2003 гг. 15: 727.
  26. ^ Марша Коуп Хьюи, Стивен Ф. Лариби и Стивен Д. Хоган, Право на конфиденциальность и личные данные: ЕС подталкивает США, и споры продолжаются, 9 Tulsa J. Comp. И Int'l L. 391, 441 (2002)
  27. ^ Идентификатор. в сноске 4.
  28. ^ «Нечеткие правила анонимности могут помешать идеям ЕС по обмену большими данными». Журнал CPO. 1 мая 2020.
  29. ^ «Битва Пекина за контроль над своими доморощенными технологическими гигантами». СЕГОДНЯ онлайн.
  30. ^ а б https://unctad.org/en/PublicationsLibrary/der2019_overview_en.pdf
  31. ^ «Добавленная стоимость цифровой экономики Китая в 2019 году составила 5 триллионов долларов США: информационный документ - Синьхуа | English.news.cn». www.xinhuanet.com. Получено 23 октября 2020.
  32. ^ «ЕС обещает более жесткую реакцию на гибридные угрозы». ПОЛИТИКО. 24 июля 2020.
  33. ^ а б «Новый проект европейского режима защиты данных». м юридическая группа. 2 февраля 2012 г.. Получено 22 июн 2016.

внешняя ссылка