Шрифт:
1) что их данные будут использоваться в контексте профилирования;
2) о целях проведения профилирования;
3) о категориях персональных данных;
4) о контролере и при необходимости о ее/его представителе;
5) о наличии надлежащих гарантий.
Также контролер должен предоставить указанным лицам всю информацию, необходимую для гарантий добросовестности при проведении профилирования, такую как:
6) категории лиц или органов, которым могут быть переданы персональные данные, и в каких целях;
7) возможность, когда это целесообразно, для субъекта данных отказать в публикации или отозвать согласие на публикацию и о последствиях отзыва;
8) условия применения права доступа, возражения или поправок, а также о праве подать жалобу в компетентные органы;
9) лица или органы, от которых личные данные собираются или будут собираться;
10) обязательный или факультативный характер ответов на вопросы, которые будут использованы для сбора персональных данных, а также последствия для субъектов данных в случае отказа отвечать на такие вопросы;
11) длительность хранения;
12) предполагаемые последствия присвоения профиля субъекту данных.
1.2.9. Трансграничная передача данных
Статья 12 Конвенции СЕ № 108 устанавливает следующие требования к трансграничной передаче персональных данных: сторона (страна, подписавшая Конвенцию СЕ № 108) не должна запрещать или обусловливать специальным разрешением трансграничные потоки персональных данных, идущие на территорию другой стороны, с единственной целью защиты частной жизни.
Тем не менее каждая сторона вправе отступать от вышеуказанного положения:
1) в той степени, в какой ее внутреннее законодательство включает специальные правила в отношении определенных категорий персональных данных или автоматизированных файлов персональных данных в силу характера этих данных или этих файлов, за исключением случаев, когда правила другой стороны предусматривают такую же защиту;
2) когда передача осуществляется с ее территории на территорию государства, не являющегося стороной настоящей Конвенции, через территорию другой стороны, в целях недопущения такой передачи, которая позволит обойти законодательство страны – участницы Конвенции.
1.3. Великобритания
1.3.1. Регулирование
Наднациональное регулирование Великобритании определяется членством данной страны в Совете Европы и в ЕС, в связи с чем нормы Конвенции СЕ № 108 «О защите прав физических лиц в отношении автоматизированной обработки персональных данных» и Директивы ЕС 95/46/ЕС имплементированы в национальное законодательство данной страны.
Кроме того, Великобритания входит в Организацию по экономическому сотрудничеству и развитию и выполняет требования Директивы ОЭСР о защите неприкосновенности частной жизни и международных обменов персональными данными [44] .
44
Основные положения Организации по экономическому сотрудничеству и развитию (ОЭСР) о защите неприкосновенности частной жизни и международных обменов персональными данными. URL: http://www.uipdp.com/upload/legis-lation/international/directiveoesrl.pdf
Среди основных национальных нормативных актов, которые регламентируют вопросы защиты персональных данных в Великобритании, можно назвать следующие:
Акт о защите данных 1998 г. (Data Protection Act 1998) [45] , принятый во исполнение Директивы ЕС 95/46/ЕС;
Акт о свободе информации (Freedom of Information Act 2000) [46] ;
Акт о свободах 2012 (The Protection of Freedoms Act 2012, включающий положения об уничтожении, удалении и использовании биометрических данных, а также дополнения к данному акту, касающиеся передачи данных (Amendment) (No. 2) Order 2013) [47] ;
45
Data Protection Act 1998. URL:contents
46
Freedom of Information Act 2000. URL:2000/36/contents
47
Protection of Freedoms Act 2012. URL:2012/9/contents/enacted
Кодекс об уголовных преступлениях (The Criminal Justice and Data Protection (Protocol No. 36) Regulations 2014) [48] ;
Регламент о свободе информации и защите данных (необходимые ограничения и штрафы) (The Freedom of Information and Data Protection (Appropriate Limit and Fees) Regulations 2004 [49] ).
В п. 1 ч. 1 «Акта о защите данных» представлены следующие определения, имеющие значение для настоящего исследования:
48
The Criminal Justice and Data Protection (Protocol No. 36) Regulations 2014. URL: http://www.legislation.gov.uk/ukdsi/2014/9780111122723/contents
49
The Freedom of Information and Data Protection (Appropriate Limit and Fees) Regulations 2004. URL:uksi_20043244_en.pdf
а) «данные» означают информацию, которая обрабатывается и записывается автоматически с помощью оборудования, является частью соответствующей системы или доступной записью, в том числе находится в распоряжении государственного органа;
б) «контролер данных», «субъект данных», «обработчик данных»;
в) «персональные данные»;
г) «переработка» (в отношении информации или данных) означает получение, запись или сохранение информации или данных, а также проведение какой-либо операции или набора операций с этими данными или информацией, в том числе при организации, адаптации или изменении информации или данных, в случае поиска, консультации или использования информации или данных, в случаях раскрытия информации или данных путем их передачи, распространения или иным образом, что делает эти данные или информацию доступными, а также комбинирование, блокирование, стирание или уничтожение информации или данных.