Открыть сервис

Директива 95/46/ЕС

Директива 95/46/ЕС (официальное полное название — Директива Европейского парламента и Совета Европейского союза 95/46/EC от 24 октября 1995 года о защите физических лиц при обработке персональных данных и о свободном обращении таких данных) — это нормативный правовой акт Европейского союза, устанавливавший общие правила обработки персональных данных граждан стран-членов ЕС. Директива стала первым всеобъемлющим и обязательным к исполнению законом в сфере защиты персональных данных на уровне всего Европейского союза, заложив основы для современного европейского регулирования конфиденциальности. Она была принята 24 октября 1995 года, вступила в силу 13 декабря 1995 года и требовала от стран-членов ЕС имплементировать её положения в национальное законодательство до 24 октября 1998 года. Директива утратила силу 25 мая 2018 года в связи с вступлением в силу Общего регламента по защите данных (GDPR).

История принятия

Предпосылки

К началу 1990-х годов в Европе существовала значительная разница в подходах к защите персональных данных. Некоторые страны, такие как Германия (земля Гессен приняла первый в мире закон о защите данных в 1970 году, а федеральный закон — в 1977 году), Франция (1978) и Великобритания (1984), уже имели развитое национальное законодательство. Другие государства либо не имели законов вовсе, либо их регулирование было фрагментарным. Это создавало препятствия для свободного движения информации в рамках единого европейского рынка, поскольку компании сталкивались с разными требованиями в разных юрисдикциях. Европейская комиссия начала работу над проектом директивы в 1990 году, стремясь гармонизировать законодательство стран-членов.

Разработка и принятие

Проект директивы был представлен Европейской комиссией в 1990 году. После длительных обсуждений и консультаций, включая рассмотрение в Европейском парламенте и Совете ЕС, текст был согласован. 24 октября 1995 года Директива 95/46/EC была официально принята Европейским парламентом и Советом Европейского союза. Она была опубликована в Официальном журнале Европейских сообществ 23 ноября 1995 года.

Основные положения

Сфера применения

Директива распространялась на обработку персональных данных, осуществляемую:

  • Автоматизированными средствами (например, с помощью компьютеров);
  • Неавтоматизированными средствами, если данные составляли часть картотеки или были предназначены для включения в неё.

Она не применялась к обработке данных в рамках личных или домашних дел, а также к деятельности, связанной с государственной безопасностью, обороной и уголовным правосудием.

Определения

Директива ввела ключевые определения, которые стали основой для последующего законодательства:

  • Персональные данные — любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъекту данных). Идентифицируемым считалось лицо, которое можно определить прямо или косвенно, в частности, по идентификационному номеру, одному или нескольким факторам, характерным для его физической, физиологической, психической, экономической, культурной или социальной идентичности.
  • Обработка персональных данных — любая операция или совокупность операций, совершаемых с персональными данными (сбор, запись, систематизация, накопление, хранение, уточнение, использование, распространение, обезличивание, блокирование, уничтожение).
  • Контролёр — физическое или юридическое лицо, орган государственной власти, учреждение или иной орган, который определяет цели и средства обработки персональных данных.
  • Обработчик — физическое или юридическое лицо, которое осуществляет обработку персональных данных от имени контролёра.

Принципы обработки данных

Директива устанавливала следующие принципы:

  1. Законность и справедливость — данные должны обрабатываться законно и справедливо.
  2. Целевое ограничение — данные должны собираться для определённых, явных и законных целей и не обрабатываться далее способом, несовместимым с этими целями.
  3. Пропорциональность и минимизация — данные должны быть адекватными, релевантными и не избыточными по отношению к целям их сбора.
  4. Точность — данные должны быть точными и, при необходимости, обновляться.
  5. Ограничение хранения — данные должны храниться в форме, позволяющей идентифицировать субъектов данных, не дольше, чем это необходимо для целей их обработки.
  6. Целостность и конфиденциальность — должны приниматься технические и организационные меры для защиты данных от случайного или незаконного уничтожения, потери, изменения, несанкционированного доступа или раскрытия.

Права субъектов данных

Директива предоставляла субъектам данных следующие права:

  • Право на информацию — субъект данных имел право знать, кто является контролёром, какие данные обрабатываются, для каких целей и кому они могут быть раскрыты.
  • Право доступа — субъект данных мог запросить у контролёра подтверждение того, обрабатываются ли его данные, и получить к ним доступ.
  • Право на исправление — субъект данных мог требовать исправления неточных или неполных данных.
  • Право на удаление (право на забвение) — в определённых случаях (например, если данные обрабатывались незаконно) субъект данных мог требовать их удаления.
  • Право возражать — субъект данных имел право возражать против обработки его данных в определённых ситуациях, особенно в случае прямого маркетинга.

Условия законности обработки

Обработка персональных данных считалась законной только при наличии хотя бы одного из следующих оснований:

  • Согласие субъекта данных;
  • Обработка необходима для исполнения договора, стороной которого является субъект данных;
  • Обработка необходима для выполнения юридического обязательства, лежащего на контролёре;
  • Обработка необходима для защиты жизненно важных интересов субъекта данных;
  • Обработка необходима для выполнения задач, осуществляемых в общественных интересах или при осуществлении официальных полномочий;
  • Обработка необходима для целей законных интересов контролёра или третьей стороны, за исключением случаев, когда такие интересы перевешиваются интересами или основными правами и свободами субъекта данных.

Передача данных в третьи страны

Одним из наиболее значимых положений Директивы был запрет на передачу персональных данных в страны, не входящие в Европейскую экономическую зону (ЕЭЗ), если эти страны не обеспечивали «адекватный уровень защиты». Европейская комиссия уполномочивалась определять, какие страны обеспечивают такой уровень. Это привело к созданию механизмов, таких как «Безопасная гавань» (Safe Harbor) между США и ЕС (2000 год), а затем и «Щит конфиденциальности» (Privacy Shield) (2016 год), которые позволяли американским компаниям получать данные из ЕС при условии соблюдения определённых принципов.

Национальная имплементация

Каждое государство-член ЕС было обязано принять национальные законы, реализующие положения Директивы. Это привело к появлению национальных законов о защите данных, таких как:

  • Великобритания — Закон о защите данных 1998 года (Data Protection Act 1998);
  • Германия — Федеральный закон о защите данных (Bundesdatenschutzgesetz, BDSG) в новой редакции;
  • Франция — Закон № 78-17 от 6 января 1978 года об информатике, картотеках и свободах (Loi Informatique et Libertés) в редакции 2004 года;
  • Италия — Законодательный декрет № 196 от 30 июня 2003 года (Codice in materia di protezione dei dati personali).

Надзорные органы

Директива требовала от каждого государства-члена создать независимый надзорный орган (Data Protection Authority, DPA), который бы контролировал соблюдение национального законодательства о защите данных. Эти органы обладали полномочиями по расследованию жалоб, проведению проверок и наложению санкций. Примеры таких органов: Комиссия по защите данных (Ирландия), Комиссия по защите личных данных (Бельгия), Уполномоченный по вопросам информации (Великобритания).

Критика и недостатки

Несмотря на свою значимость, Директива 95/46/EC подвергалась критике по нескольким причинам:

  1. Фрагментация — из-за того, что Директива требовала национальной имплементации, в разных странах ЕС возникли различные трактовки и уровни защиты. Это создавало правовую неопределённость для бизнеса и затрудняло единое применение правил.
  2. Устаревание — Директива была принята в середине 1990-х годов, до эпохи интернета, социальных сетей, облачных вычислений и больших данных. Её положения не всегда адекватно регулировали современные технологии и бизнес-модели.
  3. Сложность для бизнеса — многообразие национальных требований и процедур повышало административные издержки для компаний, работающих в нескольких странах ЕС.
  4. Недостаточная эффективность правоприменения — надзорные органы имели ограниченные ресурсы и полномочия, что затрудняло эффективное наказание нарушителей.

Замена на GDPR

Осознавая недостатки Директивы, Европейская комиссия в 2012 году предложила реформу законодательства о защите данных. Результатом стало принятие в апреле 2016 года Общего регламента по защите данных (GDPR) — Регламента (ЕС) 2016/679. GDPR является регламентом, а не директивой, что означает его прямое применение во всех странах-членах ЕС без необходимости национальной имплементации. Он вступил в силу 25 мая 2018 года, заменив Директиву 95/46/EC. GDPR сохранил и усилил многие принципы Директивы, но также ввёл новые требования, такие как:

  • Более строгие правила получения согласия;
  • Расширенные права субъектов данных (право на переносимость данных, право на забвение);
  • Обязанность назначать сотрудника по защите данных (DPO) для определённых организаций;
  • Обязанность уведомлять о нарушениях;
  • Значительно более высокие штрафы (до 4% от годового глобального оборота или 20 миллионов евро — в зависимости от того, что больше).

Значение и наследие

Директива 95/46/EC стала фундаментальным документом, который установил общеевропейские стандарты защиты персональных данных. Она оказала влияние на законодательство многих стран за пределами ЕС, включая Россию (Федеральный закон «О персональных данных» № 152-ФЗ от 27 июля 2006 года), страны Латинской Америки, Азии и Африки. Её принципы легли в основу GDPR, который в настоящее время является наиболее влиятельным и строгим законом о защите данных в мире.

Источники

  1. Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data. Official Journal of the European Communities, L 281, 23.11.1995, p. 31–50.
  2. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). Official Journal of the European Union, L 119, 4.5.2016, p. 1–88.
  3. Christopher Kuner. European Data Protection Law: Corporate Compliance and Regulation. Oxford University Press, 2007.
  4. Lee A. Bygrave. Data Protection Law: Approaching Its Rationale, Logic and Limits. Kluwer Law International, 2002.
  5. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →