Открыть сервис

Комитет экспертов Совета Европы по защите данных

Комитет экспертов Совета Европы по защите данных (англ. Committee of Experts on Data Protection, сокращённо CEPD) — это межправительственный орган, созданный в рамках Совета Европы для разработки и мониторинга реализации стандартов в области защиты персональных данных и неприкосновенности частной жизни. Комитет действует под эгидой Европейского комитета по правовому сотрудничеству (CDCJ) и является ключевым институтом, обеспечивающим развитие и актуализацию Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Конвенция 108, 1981 год) и её модернизированного протокола (Конвенция 108+).

История

Предпосылки создания

Необходимость в международном регулировании защиты данных возникла в 1960–1970-х годах с развитием компьютерных технологий и трансграничных потоков информации. Первые национальные законы о защите данных (например, в земле Гессен, ФРГ, 1970 год, и в Швеции, 1973 год) выявили потребность в гармонизации подходов на европейском уровне. Совет Европы, как ведущая межправительственная организация в области прав человека, взял на себя инициативу по разработке единого правового инструмента.

Создание и первые годы

В 1978 году Комитет министров Совета Европы учредил Комитет экспертов по защите данных (CEPD) для подготовки проекта конвенции. Первое заседание комитета состоялось в 1979 году. Результатом работы стало принятие 28 января 1981 года Конвенции 108 — первого юридически обязательного международного договора, полностью посвящённого защите данных. Дата открытия конвенции для подписания впоследствии стала отмечаться как Международный день защиты данных (Data Protection Day).

Развитие и модернизация

В 1990-х годах, с расширением интернета и электронной коммерции, CEPD начал работу над дополнительными протоколами к Конвенции 108. В 2001 году был принят Дополнительный протокол, касающийся надзорных органов и трансграничных потоков данных. В 2010-х годах, в ответ на вызовы цифровой экономики, больших данных и массового наблюдения, комитет инициировал процесс модернизации Конвенции 108. Результатом стало принятие в 2018 году Протокола об изменении (CETS № 223), известного как «Конвенция 108+». Этот протокол усилил принципы прозрачности, ответственности, права на возражение и автоматизированное принятие решений, а также ввёл более строгие требования к уведомлению об утечках данных.

Состав и структура

Членство

Комитет состоит из представителей государств — членов Совета Европы, а также государств-наблюдателей и других заинтересованных сторон. В его работе могут участвовать:

  • Представители национальных органов по защите данных (DPA).
  • Эксперты из министерств юстиции, внутренних дел, цифрового развития.
  • Представители Европейского союза (ЕС) — Европейской комиссии и Европейского совета по защите данных (EDPB).
  • Наблюдатели от стран, не входящих в Совет Европы, но присоединившихся к Конвенции 108 (например, Аргентина, Уругвай, Тунис, Марокко, Кабо-Верде).
  • Представители международных организаций (ОЭСР, ЮНЕСКО, Международная организация по миграции).

Руководство

Комитет избирает председателя и заместителя председателя сроком на два года. Руководство отвечает за координацию работы, подготовку повесток заседаний и взаимодействие с другими органами Совета Европы.

Рабочие группы

Для решения конкретных задач CEPD может создавать временные или постоянные рабочие группы. Например, в разное время действовали группы по:

  • Искусственному интеллекту и защите данных.
  • Трансграничным потокам данных и механизмам адекватности.
  • Защите данных в сфере здравоохранения.
  • Взаимодействию с Общим регламентом ЕС по защите данных (GDPR).

Основные функции и задачи

Разработка стандартов

Главная функция CEPD — разработка и актуализация правовых инструментов Совета Европы в области защиты данных. Это включает:

  • Подготовку проектов конвенций, протоколов и рекомендаций.
  • Разработку руководств (guidelines) по применению Конвенции 108 и её протоколов.
  • Формулирование позиций по новым технологическим и правовым вызовам (например, по обработке биометрических данных, профилированию, использованию алгоритмов).

Мониторинг и оценка

Комитет осуществляет мониторинг выполнения Конвенции 108 государствами-участниками. В рамках этого:

  • Проводится анализ национальных законов и практик.
  • Организуются взаимные оценки (peer reviews) и консультативные визиты.
  • Разрабатываются рекомендации по устранению выявленных недостатков.

Содействие присоединению

CEPD активно работает над расширением географии Конвенции 108, привлекая к присоединению страны за пределами Европы. Это особенно важно для создания глобального стандарта защиты данных, альтернативного или дополняющего подходы ЕС и ОЭСР. По состоянию на 2024 год к Конвенции 108 присоединились более 55 государств, включая страны Африки, Латинской Америки и Азии.

Взаимодействие с другими органами

Комитет поддерживает тесные связи с:

  • Европейским судом по правам человека (ЕСПЧ) — предоставляет экспертные заключения по делам, связанным с защитой данных (статья 8 Европейской конвенции по правам человека).
  • Европейским комитетом по правовому сотрудничеству (CDCJ) — отчитывается о своей работе.
  • Европейским союзом — координирует позиции по вопросам, имеющим взаимный интерес (например, по адекватности уровня защиты данных в третьих странах).
  • Международными организациями — участвует в совместных проектах и конференциях.

Ключевые документы и результаты

Конвенция 108 (1981)

Оригинальный текст Конвенции 108 установил основные принципы обработки данных: законность, справедливость, целевое ограничение, точность, ограничение хранения, безопасность, прозрачность и права субъекта данных (доступ, исправление, удаление). Конвенция также ввела ограничения на трансграничные потоки данных в страны, не обеспечивающие адекватный уровень защиты.

Конвенция 108+ (2018)

Протокол об изменении (CETS № 223) внёс существенные изменения:

  • Усиление принципа подотчётности (accountability) — обязанность контролёров данных демонстрировать соблюдение правил.
  • Введение обязательного уведомления об утечках данных.
  • Расширение прав субъектов данных: право на возражение, право на автоматизированное принятие решений, право на переносимость данных.
  • Ужесточение требований к трансграничным потокам — введение механизмов «адекватности» и «стандартных договорных положений».
  • Создание Консультативного комитета (Consultative Committee) для содействия применению конвенции.

Рекомендации и руководства

CEPD подготовил ряд рекомендаций Комитета министров Совета Европы, в том числе:

  • Рекомендация CM/Rec(2010)13 о защите данных в сфере электронного здравоохранения.
  • Рекомендация CM/Rec(2019)2 о защите данных в сфере социальных сетей.
  • Руководство по искусственному интеллекту и защите данных (2020).

Критика и вызовы

Недостаточная обязательность

Хотя Конвенция 108 является юридически обязательным договором, её механизмы принуждения и санкции ограничены по сравнению с GDPR. Комитет не имеет полномочий налагать штрафы или блокировать потоки данных — его роль в основном консультативная и мониторинговая.

Медленная ратификация

Процесс ратификации Конвенции 108+ идёт медленно. По состоянию на 2024 год протокол ратифицировали лишь около 30 государств, что затрудняет вступление в силу новых норм на глобальном уровне.

Конкуренция с GDPR

GDPR, принятый в 2016 году, стал более жёстким и детализированным регулятором, чем Конвенция 108+. Это привело к тому, что многие страны ЕС и третьи государства ориентируются в первую очередь на GDPR, а не на конвенцию Совета Европы. CEPD вынужден искать свою нишу, делая акцент на глобальном охвате и универсальности.

Технологические вызовы

Быстрое развитие технологий (искусственный интеллект, интернет вещей, квантовые вычисления) ставит перед комитетом задачу оперативной адаптации стандартов. Однако бюрократические процедуры Совета Европы часто замедляют этот процесс.

Значение и влияние

Глобальный стандарт

Конвенция 108 остаётся единственным международным договором, открытым для присоединения любого государства мира. Это делает CEPD ключевой площадкой для диалога между странами с разными правовыми традициями и уровнями развития в области защиты данных.

Влияние на национальные законы

Многие страны, не входящие в ЕС, при разработке своих законов о защите данных (например, в Бразилии, ЮАР, Индии) опирались на принципы Конвенции 108. Комитет предоставляет техническую помощь и экспертизу в этом процессе.

Взаимодействие с ЕСПЧ

Решения ЕСПЧ по делам, связанным с защитой данных (например, дела «S. and Marper v. the United Kingdom», «Big Brother Watch and Others v. the United Kingdom»), часто ссылаются на Конвенцию 108 и рекомендации CEPD. Это усиливает правовую защиту граждан на уровне Европейской конвенции по правам человека.

Источники

  1. Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108), 1981.
  2. Протокол об изменении Конвенции о защите физических лиц при автоматизированной обработке персональных данных (CETS № 223), 2018.
  3. Доклады Комитета экспертов по защите данных (CEPD) — Совет Европы, Страсбург.
  4. Рекомендации Комитета министров Совета Европы по защите данных (CM/Rec).
  5. «Handbook on European data protection law» — Агентство Европейского союза по основным правам (FRA) и Совет Европы, 2018.
  6. Официальный сайт Совета Европы — раздел «Data Protection» (www.coe.int/data-protection).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →