Конституционная природа права на защиту персональных данных и европейское влияние

Всегда, а в эпоху стремительного развития новых информационных технологий особенно, персональные данные нуждаются в защите. Можно сказать, что эволюция информационно-коммуникационных технологий требует адекватного по скорости и технической разработанности развития мер защиты персональных данных. В юридическом плане такие меры защиты нуждаются в правовом закреплении. Высшей гарантией является конституционное урегулирование права на защиту персональных данных. Именно в таком контексте французская доктрина и судебная практика подходят к данному феномену. Можно сказать, что права, связанные с защитой персональных данных, имеют конституционное происхождение, с одной стороны, с другой — их интерпретация и применение, в особенности судебные, находятся под сильнейшим влиянием европейского права.

Конституционные права и свободы составляют сердцевину современного европейского общества. Даже страны со «старыми» конституциями, к которым относится и Франция, все более адаптируют те права, которые известны со времен буржуазных революций, к проблематике фундаментальных прав и свобод человека, возникшей после окончания Второй мировой войны.

Впрочем, это совсем не означает, что конституционные тексты формулируют особое право на защиту персональных данных. К такому результату не привели даже многочисленные в последние годы изменения Конституции Франции 1958 г. Так, в апреле 2008 г. предлагался проект изменений Преамбулы Конституции (именно там содержатся нормы о правах человека), с тем чтобы пополнить перечень фундаментальных прав правом на уважение частной жизни и защиту персональных данных (общепризнанными в доктрине и судебной практике, т.е. речь шла лишь об их конституционной формализации). Однако в конечном итоге этот проект не был поддержан комиссией, занимавшейся подготовкой конституционных изменений.

Во французской юридической литературе подчеркивается конституционное происхождение защиты персональных данных (именно так это истолковывается судами) через особо тесную связь с уважением частной жизни. Частная жизнь является традиционным объектом юридической защиты во Франции. Право на уважение частной жизни вытекает из ст. 2 Декларации прав человека и гражданина 1789 г. (вошедшей в текст современной французской Конституции). Если говорить о законах, то наиболее отчетливо право на защиту частной жизни регулируется в Гражданском кодексе Франции, ст. 9 которого в ред. 1970 г. предоставляет каждому право на уважение его частной жизни.

Общеевропейские тексты более четко и непосредственно формулируют право на уважение частной жизни (например, ст. 8 Европейской конвенции о защите прав человека и основных свобод 1950 г.). Кроме того, развитие новых технологий подчеркнуло необходимость специальной защиты персональных данных. Вот почему (вдохновившись Рекомендацией об основных направлениях защиты частной жизни и трансграничной передаче данных персонального характера Совета ОЭСР 1980 г.) Совет Европы принял Конвенцию о защите физических лиц в отношении автоматизированной обработки данныхличного характера от 28 января 1981г. Вслед за этим европейское право пополнилось директивами Европейского союза о защите персональных данных физических лиц и их свободной циркуляции (95/46/СЕ от 24 октября 1995 г.), о частной жизни и электронных коммуникациях (2002/58/СЕ от 12 июля 2002 г.), о сохранении данных, собранных или обработанных в рамках предоставления общедоступных электронно-коммуникационных услуг или через коммуникационные сети общего пользования (2006/24/СЕ от 15 марта 2006 г.).

Разумеется, европейские директивы должны были быть имплементированы в национальное законодательство. Как отмечалось, право на защиту персональных данных выводится французской доктриной и судебной практикой из права на уважение частной жизни. В судебном толковании проблем, связанных с персональными данными, значительную роль сыграл Конституционный Совет, являющийся основным проводником европейской политики во Франции. Согласно Конституции законы до их принятия направляются в Конституционный Совет для оценки их соответствия Конституции. Именно в его решениях было широко интерпретировано право на уважение частной жизни¹Décision № 99-416 DC du 23 juillet 1999. Loi portant création d’une couverture maladie universelle; Décision № 99-419 DC du 9 novembre 1999. Loi relative au pacte civil de solidarité., а также оценено законодательство о персональных данных²Décision № 2004-499 DC du 29 juillet 2004. Loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi № 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés; Décision № 2009-580 DC du 10 juin 2009. Loi № 2009- 669 du 12 juin 2009 favorisant la diffusion et la protection de la création sur internet; Décision № 2009-590 DC du 22 octobre 2009. Loi № 2009-1311 du 28 octobre 2009 relative à la protection pénale de la propriété littéraire et artistique sur internet.. В решении от 10 июня 2009 г. (под влиянием доклада Европейского парламента от 25 февраля 2009 г. об усилении безопасности и фундаментальных свобод в Интернете) Конституционный Совет выразил мнение, что свобода выражений и коммуникаций включает и свободу доступа в Интернет. Ис
следователи оценивают этот шаг как осознание необходимости новой фазы регламентации в области защиты данных, так как в условиях Интернета помимо лица, персональные данные которого обрабатываются, и ответственного лица, занятого такой обработкой, появляется третий персонаж — терминал и сеть³См.: Poullet Yves. Pour une troisième génération de réglementation de protection des données // Défis du droit à la protection de la vie privée / Perspectives du droit européen et nord-américain, coll. Cahiers du Centre de Recherches Informatique et Droit. Bruylant, 2008. Р. 66..

В итоге под влиянием европейских директив французское законодательство было изменено, пополнившись уже нормативным определением персональных данных. Таким образом, именно европейское право подстегнуло развитие национального законодательства в данной области. При этом ни право на уважение частной жизни, ни право на защиту персональных данных не вошли в текст французской конституции.

Французское законодательство о защите персональных данных

Базовым законом в рассматриваемой области является Закон от 6 января 1978 г. об информатике, досье (картотеках) и свободах (с многочисленными изменениями, далее — Закон 1978 г.). В нем персональные данные определяются как любая информация относительно физического лица, которое идентифицировано или может быть идентифицировано, прямо или косвенно, со ссылкой на идентификационный номер или на один или несколько присущих ему элементов. Чтобы определить, может ли лицо быть идентифицировано, необходимо рассмотреть совокупность средств, позволяющих идентифицировать данное лицо, которыми располагает или к которым может иметь доступ лицо, ответственное за обработку данных, или любое другое лицо. Европейская директива 95/46/СЕ трактует персональные данные более широко (через любые элементы, позволяющие идентифицировать лицо, — физические, физиологические, экономические, культурные или социальные). Во Франции идентификация ставится в зависимость от средств, которыми располагает тот, кто испол ьзует эти данные (чаще всего это органы власти, поэтому французский закон остается «привязанным» к администрации).

Если говорить о конкретных примерах персональных данных, то их круг весьма широк — от традиционных имени и даты рождения, адреса и телефона до банковских счетов, заработной платы, медицинского и страхового досье, электронного адреса. Что касается аспекта защиты персональных данных, то законная обработка персональных данных должна отвечать следующим условиям:

• данные были собраны и обработаны правильно и законно;


• данные собраны с определенной, ясной и законной целью и обработаны именно с этой поставленной целью (при этом возможна дальнейшая обработка данных в статистических, научных или исторических целях при соблюдении принципов и процедур, установленных законом, и если такая обработка не будет использована при принятии решений в отношении заинтересованных лиц);


• данные являются адекватными, существенными и не излишними по отношению к цели их сбора и обработки;


• данные точны и полны, а также при необходимости обновлены (соответствуют сегодняшнему дню); любые неточные или неполные данные должны быть уничтожены или исправлены;


• данные сохраняются в форме, позволяющей идентифицировать лиц, которых они касаются, в течение срока, необходимого для достижения цели, поставленной при их сборе и обработке.

Статья 7 Закона 1978 г. предусматривает, что обработка персональных данных должна производиться с согласия лица, которого они касаются, или удовлетворять одному из следующих условий:

• выполнение законной обязанности, возложенной на лицо, ответственное за обработку данных;


• сохранение жизни лица, данные о котором обрабатываются;


• выполнение миссии публичной службы, которой наделено лицо, ответственное за обработку, или адресат обработки;


• исполнение контракта, стороной в котором является лицо, данные о котором обрабатываются, или предконтрактных мер, принятых по просьбе этого лица;


• реализация законного интереса, преследуемого лицом, ответственным за обработку, или адресатом обработки, при условии, что не нарушаются интересы или фундаментальные права и свободы лица, данные о котором обрабатываются.

Таким образом, по общему правилу, на обработку персональных данных требуется либо согласие (причем предварительное) лица, чьи данные будут обрабатываться, либо соблюдение одного из пяти условий, установленных законом. Если досье предусматривает, что персональные данные должны быть переданы другим лицам или организациям, заинтересованное лицо должно быть об этом проинформировано, самое позднее, при первой передаче этих данных. Персональные данные не могут быть переданы или коммерциализированы без информирования заинтересованного лица. Это право основано на ст. 38 Закона 1978 г.: всякое физическое лицо имеет право запретить, по законным основаниям, чтобы его персональные данные были объектом обработки (право оппозиции). Оно имеет право запретить (не неся при этом расходов) использование его данных в целях изучения рынка, в частности коммерческого, лицом, ответственным за обработку, в настоящий момент или в будущем. Единственное исключение предусмотрено ч. 3 данной статьи: нормы первой части статьи не применяются, если обработка данных отвечает законному обязательству или предусмотрена актом, разрешающим такую обработку.

Лицо, данные о котором были собраны, должно быть проинформировано в момент сбора данных о характеристиках их обработки (личность ответственного за обработку, цель обработки, факультативный или обязательный характер ответов, адресаты ответов, передача данных за пределы Европейского союза) и о правах, которыми оно обладает (право доступа, исправления или уничтожения данных, право оппозиции (запрета) тому, что эти данные будут предметом обработки, и, начиная с 6 августа 2004 г., тому, что эти данные будут использованы в целях изучения рынка (в коммерческих целях)). Такая оппозиция (запрет) совершается безмотивно и бесплатно⁴См.: Fauchoux V., Deprez P. Le droit de l’internet. Lois, contrats et usages. Litec, 2008. Р. 96..

Во французской литературе часто подчеркивается, что преимуществом Закона 1978 г. является то, что он адресован как частным, так и публичным лицам. Это означает, что обработка персональных данных в публичном и частном секторах одинакова, правовой режим един; особенности могут быть установлены только названным законом. В соответствии со ст. 3 лицо, ответственное за обработку персональных данных, — это лицо, орган публичной власти, служба или организация.

Таким образом, во всех случаях обработка персональных данных подчинена Закону 1978 г. и его общим правилам. Закон предусматривает и некоторые особые виды обработки данных, например обработка данных, связанных с правонарушениями: обработка персональных данных, связанных с правонарушениями, осуждением и мерами безопасности, может проводиться исключительно судебными инстанциями, органами публичной власти и юридическими лицами, предоставляющими публичные услуги, действующими в рамках своих законных полномочий (ст. 9). Имеется также Декрет от 7 ноября 2011 г. № 2011-1447 об автоматизированной обработке персональных данных по исполнению наказаний, согласно которому право оппозиции не применяется в рамках такой обработки.

Добавим, что Закон 1978 г. запрещает сбор или обработку персональных данных, которые указывают, прямо или косвенно, на расовое или этническое происхождение, политические, философские или религиозные убеждения, профсоюзную принадлежность, сведения о здоровье или сексуальной жизни.

Национальная комиссия по информатике и свободам

Франция стала одной из первых демократических стран, в которой был установлен правовой режим для персонализированной информации, наряду с Германией (1970), Швецией (1972) и США (1974). В литературе описаны пять главных характеристик Закона 1978 г.:

• защита граждан в условиях развития информатики (информационнокоммуникационных технологий);


• правовое регулирование всех видов автоматизированной обработки данных во Франции, как в публичном, так и в частном секторах;


• возникновение новых субъективных прав, таких как право на «забывание» (или забвение), делающего из каждого физического лица бухгалтера, контролера, архивариуса или «могильщика» своей персональной информации;


• принятие новых норм, касающихся легального использования информатики (информационно-коммуникационных технологий), с различением «чувствительной» информации и информации, обработка которой имеет цели, определяемые предварительными формальностями;


• создание новой структуры, имеющей функцию «примирить» технические достижения и защиту частной жизни без вмешательства судебной власти⁵См.: Bensoussan Alain. Informatique et libertés. P.: Francis Lefebvre, 2010. Р. 15–16..

Этой новой структурой стала Национальная комиссия по информатике и свободам (CNIL, далее — Комиссия). Это первый орган независимой административной власти во Франции. Его задачами, в частности, являются:

• информирование лиц, персональные данные которых собираются, и лиц, ответственных за обработку, об их правах и обязанностях;


• наблюдение за правильностью процесса обработки персональных данных (выдача разрешений и заключений на обработку данных, издание нормативных актов, рассмотрение рекламаций, петиций и жалоб, дача заключений по обращениям органов публичной власти и судов, информирование прокурора Республики о правонарушениях);


• дача заключений на профессиональные регламенты по обращениям профессиональных организаций и объединений;


• публичное информирование о развитии информационных технологий (в том числе дача заключений на проекты законов, связанных с защитой лиц при автоматизированной обработке данных, дача предложений правительству о законодательных или регламентарных мерах по адаптации защиты свобод к эволюции информационных технологий⁶В литературе данное положение оценивается критически в том смысле, что никаких заключений и консультаций с Комиссией не предусматривается, если меры по защите свобод в области персональных данных исходят от правительства напрямую. См.: Flauss J.-F. Convention européenne des droits de l’homme et droit administratif (septembre 1996 — septembre 1997) // AJDA. 1998. Р. 37., участие в разработках, связанных с защитой данных, по обращениям других органов независимой административной власти, участие по поручению премьер-министра в подготовке и оформлении французской позиции в международных переговорах в области защиты персональных данных).

Для выполнения своих функций Комиссия имеет право давать рекомендации и принимать индивидуальные решения, а также издавать регламентарные акты (нормативные акты исполнительной власти — декреты и постановления, издающиеся по вопросам, не входящим в сферу законодательства).

Частная жизнь и защита персональных данных (на примере медицинской информации)

Очевидно, что громадное число административных документов содержит персональные данные. В некоторых случаях их обработка подпадает под режим охраняемой законом тайны — медицинский секрет (врачебная тайна). Врачебная тайна известна законодательству всех развитых стран.

Если обратиться к европейскому праву, то становится ясно, как судебная практика Европейского суда по правам человека (далее — ЕСПЧ) обогатила концепцию персональных данных, в том числе за счет медицинской информации. Так, в решении от 25 февраля 1997 г. Z. c/Finlande ЕСПЧ провозглашает основные принципы, применимые, в соответствии с конвенцией, к защите врачебной тайны⁷Sur la jurisprudence de la Commission, V. Actualité de la CEDH // AJDA. 1996. Р. 1019.. Констатируя, что соблюдение конфиденциального характера информации составляет основной принцип правовых систем всех стран, присоединившихся к конвенции, ЕСПЧ заключает: внутреннее законодательство должно обеспечить гарантии с тем, чтобы воспрепятствовать любой передаче или обнародованию персональных данных, связанных со здоровьем, в соответствии с гарантиями, предусмотренными ст. 8 конвенции. Таким образом, право Совета Европы, является ли оно конвенционным или проистекающим из soft law, все сильнее воздействует на толкование конвенции.

Однако защита конфиденциальности медицинской информации не рассматривается в качестве абсолютного права в свете обостренно эгоистичной концепции частной жизни. Именно поэтому ЕСПЧ постарался определить законные исключения из режима врачебной тайны. Так, медицинские сведения могут циркулировать между различными учреждениями (решение от 27 августа 1997 г. М. S. c/Sudde), а именно передаваться публичной больницей учреждению социальной защиты. В данном случае средство коммуникации должно быть значительно ограничено в целях эффективного гарантирования от злоупотреблений: обязательство конфиденциальности в отношении передающейся медицинской информации, равно как передача сведений в объеме, строго соответствующем цели запроса.

Примеры законного нарушения врачебной тайны содержит и французское законодательство, например ст. L.3113-1 Кодекса здравоохранения об обязательной передаче данных. Предусматривается, что врачи и ответственные лица лабораторий, проводящих медицинские анализы (публичных и частных), должны в обязательном порядке передавать санитарным властям сведения персонального характера, касающиеся: 1) болезней, требующих немедленного локального, национального или международного вмешательства; 2) болезней, наблюдение за которыми необходимо для проведения и оценки политики здравоохранения. Перечень таких болезней определяется Высшим советом здравоохранения, а Государственный Совет своим декретом определяет условия передачи данных при сохранении анонимности.

В других случаях действует общее правило — информация о состоянии здоровья лица является его персональными данными и ее разглашение нарушает тайну частной жизни. Правда, лицо может само передать такую информацию для достижения собственных целей. Это подтверждено Решением Конституционного Совета⁸Décision № 2011-631 DC du 9 juin 2011. Loi relative à l’immigration, à l’intégration et à la nationalité.. Ст. 26, 40 и 70 французского Закона об иммиграции, интеграции и гражданстве изменяют Кодекс о въезде и проживании иностранцев и праве убежища с целью модификации условий, при которых тяжело больной иностранец может в исключительном порядке получить право пребывания на французской территории. Это объясняется невозможностью для такого иностранца получить эффективное лечение в стране происхождения; право пребывания дается ввиду исключительного человеческого (сострадательного) отношения, по оценке органа административной власти с учетом заключения генерального директора регионального агентства здравоохранения.

Данные законодательные положения были опротестованы в Конституционном Совете. Заявители жалобы утверждали, что подобная процедура, предусматривающая оценку и мнение органа административной власти в отношении состояния здоровья физического лица, нарушает врачебную тайну и тайну частной жизни. Конституционный Совет признал оспариваемые нормы не противоречащими Конституции. Согласно позиции Совета, говоря об исключительном человеческом (сострадательном) отношении, законодатель желал, чтобы были приняты во внимание индивидуальные обстоятельства, которые могут обеспечить пребывание заинтересованного лица на французской территории. При этом только само заинтересованное лицо может передать органу административной власти данные о состоянии своего здоровья, которые ложатся в основу его заявления. В итоге тайна частной жизни не нарушается.

Защита персональных данных через призму прав потребителей

Тенденция к усилению защиты персональных данных является общей для европейских стран. Во Франции она особенно наглядна в нормах, посвященных защите прав потребителей⁹См.: Piedelièvre S. Les dispositions relatives au Code de la consommation de l’ordonnance № 2011- 1012 du 24 août 2011 // Communication Commerce électronique. Décembre 2011. № 12, étude 22.. Так, Ордонанс № 2011-1012 от 24 августа 2011г. модернизирует нормативное регулирование электронных коммуникаций, а именно вносит изменения в Кодекс почты и электронных коммуникаций (разумеется, под влиянием европейских директив, касающихся Paquet Telecom). Требования Ордонанса отвечают четырем целям:

• обеспечить наилучшее регулирование электронных коммуникаций;


• сделать более эффективным управление радиоэлектрическим спектром;


• усилить защиту потребителей и их частной жизни;


• сохранить безопасность сетей и электронно-коммуникационных служб.

Можно процитировать несколько основных механизмов, предусмотренных этим Ордонансом. Согласно ст. 8 запрещено прямое изучение рынков сбыта при помощи автоматизированных систем коммуникации, телекопирования или электронной почты, с использованием координат физического лица, абонента или пользователя, который не выразил свое предварительное согласие на получение подобных данных электронным путем. Ст. 37 Ордонанса ограничивает использование cookies тем, что оно должно быть предварительно согласовано и одобрено пользователем. Операторы Интернета, ответственные за обработку персональных данных, должны получить согласие пользователей Интернета, предварительно предоставив им ясную и полную информацию (в частности, цель cookies и описание способов отказаться от них), до установления cookies в своих системах. Ст. 38 вводит обязательство для поставщика услуг сигнализировать о нарушениях в области персональных данных.

После внесения названным Ордонансом изменений в Кодекс потребления его новая ст. L. 121-83 содержит впечатляющий перечень информации, которая должна фигурировать в контракте. Согласно этой статье всякий контракт, подписанный потребителем с поставщиком электронно-коммуникационных услуг в соответствии со ст. L.32 Кодекса почты и электронных коммуникаций, должен содержать помимо прочего информацию, выраженную в ясной, детализированной и легкодоступной форме, поясняющую возможности, которые предоставляются абоненту для дачи разрешения на фигурирование его персональных данных в справочниках или дачи запрета на такое фигурирование.

Со своей стороны, новая ст. С.121-83-1 Кодекса потребления устанавливает, что каждый поставщик электронно-коммуникационных услуг предоставляет в распоряжение потребителей (и актуализирует эту информацию в своих пунктах продажи и посредством телефонных или электронных коммуникаций, доступных в реальном времени по разумным тарифам) следующую информацию: способы защиты против возможной угрозы индивидуальной безопасности, частной жизни и персональным данным во время использования электронно-коммуникационных услуг.

Необходимо отметить, что потребитель должен иметь возможность легко предохраняться от покушений. Для этого закон устанавливает, что рекламные сообщения должны ясно и четко напоминать, что потребитель может бесплатно запретить использование его персональных данных в целях изучения рынка (ст. L.311-5 Кодекса потребления).

Безопасность обработки данных

Ордонанс № 2011-1012 от 24 августа 2011 г. имеет целью усилить обязательства поставщиков электронно-коммуникационных услуг, чтобы наиболее эффективно отвечать на серьезные угрозы безопасности информационных систем. Ордонанс вводит в Закон 1978 г. новую ст. 34 bis, которая логически связана со ст. 34, устанавливающей требования безопасности, которую должны обеспечить лица, ответственные за обработку персональных данных. В такой ситуации общество, ставшее жертвой правонарушения в области персональных данных (кража, пиратство, утрата и т.п.), должно немедленно предупредить об этом Национальную комиссию по информатике и свободам¹⁰См.: Caprioli É.A. Notification des violations de données à caractère personnel // Communication Commerce électronique. Décembre 2011. № 12, comm. 116..

Меры безопасности должны всегда сопровождаться мерами ответственности¹¹См.: Chassigneaux C. Regards sur la violation de données à caractère personnel // Communication Commerce électronique. Décembre 2011. № 12, étude 23.. Ордонанс от 24 августа 2011 г. вводит во французское право обязательство декларировать нарушения защиты персональных данных (а именно — любое нарушение безопасности, случайное или намеренное, повлекшее за собой разрушение, утрату, изменение, обнародование или неправомерный доступ к персональным данным, являющимся объектом обработки в рамках предоставления электроннокоммуникационных услуг). Это заявление (декларация) должно быть сделано в комиссию немедленно, в противном случае поставщику услуг грозят пять лет тюремного заключения и штраф в размере 300 тыс. евро, как то устанавливает новая ст. 226-17-1 Уголовного кодекса.

Рассматривая эту декларацию, комиссия констатирует, что поставщик услуг отреагировал правильно и что соответствующие меры защиты данных с целью сделать их непонятными для любого лица, не имеющего разрешенного доступа, были применены к данным, затронутым правонарушением. В этом случае комиссия может заключить, что аналогичная декларация не должна быть заявлена абоненту или заинтересованному физическому лицу. В противном случае комиссия может обязать поставщика это сделать, чтобы позволить заинтересованным лицам минимизировать последствия такого нарушения, а именно продекларировать утечку своих персональных данных финансовым учреждениям, кредитным агентствам, обратиться с жалобой в полицию и к адвокату, чтобы защищаться против любого дальнейшего использования персональных данных.

В то же время эта декларация в комиссию и последующее расследование не должны привести к уменьшению ответственности поставщиков услуг по отношению к их абонентам. Поставщики сохраняют возможность самостоятельно информировать заинтересованных лиц в любое время об обнаруженном нарушении, даже если комиссия считает, что они предприняли все необходимые меры с целью ограничения нарушения. Такой подход соответствует доверительным отношениям, устанавливающимся между поставщиком электронно-коммуникационных услуг и его абонентами.

Требования обеспечения безопасности предъявляются как к частным, так и к публичным лицам, как, например, при электронной обработке персональных данных в органах власти. Постановление от 23 декабря 2011г. об обменах электронным способом данными персонального характера, содержащимися в актах гражданского состояния, призвано уточнить гарантии, которым должны отвечать безопасные процедуры, осуществляемые электронным способом. Все запросы на верификацию и ответы на них должны направляться через платформу электронной коммуникации данных гражданского состояния (COMEDEC).

Организации или лица, желающие осуществить верификацию данных гражданского состояния электронным путем, так же как и органы местной власти, желающие ответить электронным путем на эти запросы, должны предварительно подписать соглашение об услуге (convention de service) с министерством юстиции и Национальным агентством безопасных (гарантированных) документов (FAgence nationale des titres securises — ANTS), которые эксплуатируют COMEDEC под ответственность министерства. Платформа отвечает требованиям Ордонанса № 2005-1516 от 8 декабря 2005 г. об электронных обменах между пользователями и административными властями и между самими административными властями. Постановление также уточняет возможности использования электронной подписи офицерами гражданского состояния¹²См.: Bruggeman M. Vers une dématérialisation généralisée des données de l’état civil // Droit de la famille. Février 2012. № 2, alerte 9..

Европейские подходы к обработке персональных данных

Вопросы обработки данных в объединенной Европе неизменно выходят на проблему передачи данных государствам — членам Европейского союза, а также третьим странам. В принципе, согласно европейским актам, передача данных возможна только стране, которая имеет адекватный уровень защиты данных (Швейцария, Исландия, Аргентина, Канада). Россия в этот перечень не входит. Однако из данного правила существуют исключения, например, когда персональные данные авиапассажиров передаются в антитеррористических целях. Свободная циркуляция персональных данных внутри Евросоюза настораживает исследователей, которые предлагают Франции сохранить предварительный контроль в этой сфере и меры по обеспечению более высокого уровня защиты персональных данных¹³См.: Ponthoreau M.-C. La directive 95/46 CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données // RFDA. 1997. Р. 125..

Европейское право фиксирует строгие лимиты для сбора и использования персональных данных, а также требует от каждого государства ЕС создания национального независимого органа по защите таких данных. Независимость данного органа является принципиальной позицией, отстаиваемой и судами.

Это наглядно иллюстрирует решение Европейского суда справедливости (CJUE 9 mars 2010, Commission c/Allemagne, aff. C-518/07)¹⁴См.: Aubert M., Broussy E., Donnat F. Chronique de jurisprudence communautaire // AJDA. 2010. Р. 937.. Еврокомиссия выступила против Германии по мотиву некорректной имплементации директивы 95/46/СЕ, нормы которой предписывают полную независимость органа по защите персональных данных и, соответственно, не допускают контроля со стороны государства. В Германии правила организации этих органов и их интеграции в систему государственного контроля определялись на уровне земель и частично различались в разных землях. Суд подчеркнул, что любая форма государственного контроля несовместима с идеей независимости органа. Суд использовал теорию независимых административных властей, которые должны подчиняться не администрации, а подпадать только под судебный контроль.

Во Франции такой независимой административной властью является Национальная комиссия по информатике и свободам. Ее независимость обеспечивается способом формирования (от различных органов и гражданского общества), сроком мандата (5 лет), запретом конфликта интересов, отсутствием предварительного финансового контроля за расходами комиссии (такие расходы контролируются только Счетной палатой). Остается добавить, что Россия не входит в перечень стран с адекватным уровнем защиты персональных данных в том числе и по причине отсутствия независимого органа по защите данных.

Если говорить о перспективах европейского регулирования, то вскоре вместо европейской директивы 95/46/СЕ будет принят регламент (предположительно, в конце 2012 г.). Планируется также разработка других актов. Согласно Коммюнике Еврокомиссии ІР/12/46 от 25 января 2012 г.¹⁵Projet de réforme de la réglementation européenne en matière de protection des données // La Semaine Juridique Entreprise et Affaires. 9 Février 2012. № 6, act. 96. реформа включает Коммуникацию, определяющую цели комиссии, а также два нормативных акта — регламент, определяющий общее регулирование защиты данных в Европейском союзе, и директиву по защите персональных данных, обрабатываемых в целях предупреждения и обнаружения уголовных преступлений, расследования и преследования, судебной деятельности.

Среди основных направлений реформы — минимизация сбора данных, уничтожение ряда формальностей за счет обязательства обоснования необходимости каждого запроса данных, обязательство задать защитные параметры по умолчанию, выражение согласия на применение cookies, распределение ответственности за нарушения между лицом, осуществляющим обработку, и «субподрядчиком» обработки, система европейского «одного окна». Предприятия и организации должны будут в кратчайшие сроки (при возможности — в течение 24 часов) заявлять национальному органу контроля о значительных нарушениях, связанных с передачей персональных данных.

* * *

Таким образом, французский подход к защите персональных данных представляет собой своеобразный коктейль из национальных и европейских норм и судебных положений. Административные традиции, столь характерные для французского государства, борются с европейским либерализмом, продиктованным в том числе нейтральностью информационных технологий и все более широким участием частных лиц в регулировании Интернета. Необходимость защиты персональных данных как элемент концепции индивидуализма, лежащего в основе теории фундаментальных прав и свобод, не вызывает сомнений на доктринальном уровне, но требует принятия адекватных правовых и, прежде всего, технических мер, что пока не полностью реализовано на практике.