Уполномоченный в сфере защиты персональных данных и свободы информации является верховным органом по обеспечению защиты персональных данных (§ 22 ff Закона о защите персональных данных). Он контролирует соблюдение норм о защите персональных данных. Служебный надзор над уполномоченным в сфере защиты персональных данных и свободы информации производят Министерство внутренних дел и правительство Германии. Профессионального надзора над уполномоченным нет.

Кроме того, в каждой земле созданы органы надзора (§ 38 Закона о защите персональных данных). Орган надзора контролирует соблюдение норм Закона о защите персональных данных и других нор по защите персональных данных. Он консультирует и оказывает поддержку уполномоченным по защите персональных данных и ответственным лицам, а также служебную помощь органам надзора других государств – членов Европейского союза.

На наднациональном уровне прямое регулирование персональных данных относится к сфере ведения двух организаций – Совета Европы и ЕС и включает основные в данной сфере акты: Конвенцию № 108, Директиву 95/46/ЕС и более поздний Регламент ЕС № 45/2001 о защите персональных данных при их обработке органами и учреждениями Европейского союза, который отразил основные положения Директивы 95/46/ЕС.

На национальном уровне персональные данные прямо регламентируются Законом о защите персональных данных от 6 июля 2000 г. (далее – Закон), имплементирующим Директиву 95/46/ЕС [80] , и принятым в соответствии с ним Указом об изъятиях из Закона применительно к требованию о предварительном уведомлении об обработке; косвенно – Законом о телекоммуникациях от 19 октября 1998 г. и Законом об уведомлениях о нарушениях данных от 26 мая 2015 г. (The Law on Data Breach Notifications), вступающим в силу 1 января 2016 г. Основные положения указанных законов будут проанализированы ниже.

Так как Закон о защите персональных данных следует модели Конвенции 1981 г. и Директивы о персональных данных, их регулирование схоже. Определение персональных данных заимствовано из Директивы: согласно нидерландскому закону персональные данные означают любую информацию, относящуюся к определенному или определяемому физическому лицу.

Если сравнивать данное понятие с аналогичным понятием в российском Федеральном законе от 27 июля 2006 г. № 152-ФЗ «О персональных данных», то следует отметить даже более широкое значение в последнем за счет дополнения «прямо или косвенно определяемого». Полностью данный термин в российском законе приведен следующим образом: персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

В законе Нидерландов дефиниция не детализируется и не поясняется с помощью примеров или перечислений составных элементов, поэтому носит абстрактный характер. Однако из последующего текста Закона можно вывести отдельную категорию «особых» («чувствительных») и «непрямых чувствительных данных». В российском законе они соответствуют специальным категориям персональных данных. Под чувствительными – точнее, особо выделенными персональными – данными закон Нидерландов подразумевает данные о религии, жизненной философии, расе, политических убеждениях, здоровье, сексуальной жизни и членстве в профсоюзе, обращение с которыми требует более строгого режима (что совпадает с определением специальных персональных данных в российском законе). В ст. 16 закона устанавливается прямой общий запрет на обработку «особых персональных данных».

В законе Нидерландов определение персональных данных, как и в России, носит максимально широкий характер, что, по мнению исследователей, является, скорее, недостатком, чем достоинством.

Как отмечают комментаторы российского закона о персональных данных, «при буквальном толковании (применяемом в правоприменительной практике по умолчанию) рассматриваемой нормы к понятию “персональные данные” можно отнести широкий круг информации, в том числе выходящий за рамки разумно ожидаемого в данном контексте. В частности, в нем нет указания на связь между информацией и прямой или косвенной определенностью или “определяемостью” физического лица. Соответственно, отсутствует однозначное понимание того, в каких случаях собираемые и обрабатываемые данные будут относиться к персональным, а в каких – нет». Поэтому члены специальной рабочей группы, созданной по инициативе Роскомнадзора для обсуждения данного вопроса, согласились в том, что, «если совокупность данных необходима и достаточна для идентификации лица, такие данные следует считать персональными данными, даже если они не включают данные документов, удостоверяющих личность. При этом данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо. Изложенный подход допустимо рассматривать как учитывающий баланс интересов всех участников отношений»81.

Рабочая группа также обратила внимание на не вполне ясную природу идентификатора персональных данных (что делает его таковым – однозначное формальное определение в качестве идентификатора или фактическая возможность идентифицировать субъекта данных) и пришла к выводу о затруднительности формулирования адекватного (менее широкого) определения персональных данных.

Согласно ст. 1 нидерландского закона «субъект данных» означает лицо, к которому относятся персональные данные. В российском же законе данный термин поясняется косвенно через определение понятия персональных данных, что, возможно, не совсем верно, так [81] как это ключевое понятие в законе, направленном на защиту его прав.

Что касается прав субъекта персональных данных, то они связаны с предоставлением ему юридической возможности контролировать обращение со своими данными. Право контроля в первую очередь обосновано его условным согласием на их последующую обработку (условным, т. е. не абсолютным, а ограниченным заявленными целями и объемами) и возможностью отозвать это согласие в случае нарушения порядка обработки или потребовать его соблюдения.