Комитет экспертов Совета Европы по защите данных
Комитет экспертов Совета Европы по защите данных (англ. Committee of Experts on Data Protection, сокращённо CEPD) — это межправительственный орган, созданный в рамках Совета Европы для разработки и мониторинга реализации стандартов в области защиты персональных данных и неприкосновенности частной жизни. Комитет действует под эгидой Европейского комитета по правовому сотрудничеству (CDCJ) и является ключевым институтом, обеспечивающим развитие и актуализацию Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Конвенция 108, 1981 год) и её модернизированного протокола (Конвенция 108+).
История
Предпосылки создания
Необходимость в международном регулировании защиты данных возникла в 1960–1970-х годах с развитием компьютерных технологий и трансграничных потоков информации. Первые национальные законы о защите данных (например, в земле Гессен, ФРГ, 1970 год, и в Швеции, 1973 год) выявили потребность в гармонизации подходов на европейском уровне. Совет Европы, как ведущая межправительственная организация в области прав человека, взял на себя инициативу по разработке единого правового инструмента.
Создание и первые годы
В 1978 году Комитет министров Совета Европы учредил Комитет экспертов по защите данных (CEPD) для подготовки проекта конвенции. Первое заседание комитета состоялось в 1979 году. Результатом работы стало принятие 28 января 1981 года Конвенции 108 — первого юридически обязательного международного договора, полностью посвящённого защите данных. Дата открытия конвенции для подписания впоследствии стала отмечаться как Международный день защиты данных (Data Protection Day).
Развитие и модернизация
В 1990-х годах, с расширением интернета и электронной коммерции, CEPD начал работу над дополнительными протоколами к Конвенции 108. В 2001 году был принят Дополнительный протокол, касающийся надзорных органов и трансграничных потоков данных. В 2010-х годах, в ответ на вызовы цифровой экономики, больших данных и массового наблюдения, комитет инициировал процесс модернизации Конвенции 108. Результатом стало принятие в 2018 году Протокола об изменении (CETS № 223), известного как «Конвенция 108+». Этот протокол усилил принципы прозрачности, ответственности, права на возражение и автоматизированное принятие решений, а также ввёл более строгие требования к уведомлению об утечках данных.
Состав и структура
Членство
Комитет состоит из представителей государств — членов Совета Европы, а также государств-наблюдателей и других заинтересованных сторон. В его работе могут участвовать:
- Представители национальных органов по защите данных (DPA).
- Эксперты из министерств юстиции, внутренних дел, цифрового развития.
- Представители Европейского союза (ЕС) — Европейской комиссии и Европейского совета по защите данных (EDPB).
- Наблюдатели от стран, не входящих в Совет Европы, но присоединившихся к Конвенции 108 (например, Аргентина, Уругвай, Тунис, Марокко, Кабо-Верде).
- Представители международных организаций (ОЭСР, ЮНЕСКО, Международная организация по миграции).
Руководство
Комитет избирает председателя и заместителя председателя сроком на два года. Руководство отвечает за координацию работы, подготовку повесток заседаний и взаимодействие с другими органами Совета Европы.
Рабочие группы
Для решения конкретных задач CEPD может создавать временные или постоянные рабочие группы. Например, в разное время действовали группы по:
- Искусственному интеллекту и защите данных.
- Трансграничным потокам данных и механизмам адекватности.
- Защите данных в сфере здравоохранения.
- Взаимодействию с Общим регламентом ЕС по защите данных (GDPR).
Основные функции и задачи
Разработка стандартов
Главная функция CEPD — разработка и актуализация правовых инструментов Совета Европы в области защиты данных. Это включает:
- Подготовку проектов конвенций, протоколов и рекомендаций.
- Разработку руководств (guidelines) по применению Конвенции 108 и её протоколов.
- Формулирование позиций по новым технологическим и правовым вызовам (например, по обработке биометрических данных, профилированию, использованию алгоритмов).
Мониторинг и оценка
Комитет осуществляет мониторинг выполнения Конвенции 108 государствами-участниками. В рамках этого:
- Проводится анализ национальных законов и практик.
- Организуются взаимные оценки (peer reviews) и консультативные визиты.
- Разрабатываются рекомендации по устранению выявленных недостатков.
Содействие присоединению
CEPD активно работает над расширением географии Конвенции 108, привлекая к присоединению страны за пределами Европы. Это особенно важно для создания глобального стандарта защиты данных, альтернативного или дополняющего подходы ЕС и ОЭСР. По состоянию на 2024 год к Конвенции 108 присоединились более 55 государств, включая страны Африки, Латинской Америки и Азии.
Взаимодействие с другими органами
Комитет поддерживает тесные связи с:
- Европейским судом по правам человека (ЕСПЧ) — предоставляет экспертные заключения по делам, связанным с защитой данных (статья 8 Европейской конвенции по правам человека).
- Европейским комитетом по правовому сотрудничеству (CDCJ) — отчитывается о своей работе.
- Европейским союзом — координирует позиции по вопросам, имеющим взаимный интерес (например, по адекватности уровня защиты данных в третьих странах).
- Международными организациями — участвует в совместных проектах и конференциях.
Ключевые документы и результаты
Конвенция 108 (1981)
Оригинальный текст Конвенции 108 установил основные принципы обработки данных: законность, справедливость, целевое ограничение, точность, ограничение хранения, безопасность, прозрачность и права субъекта данных (доступ, исправление, удаление). Конвенция также ввела ограничения на трансграничные потоки данных в страны, не обеспечивающие адекватный уровень защиты.
Конвенция 108+ (2018)
Протокол об изменении (CETS № 223) внёс существенные изменения:
- Усиление принципа подотчётности (accountability) — обязанность контролёров данных демонстрировать соблюдение правил.
- Введение обязательного уведомления об утечках данных.
- Расширение прав субъектов данных: право на возражение, право на автоматизированное принятие решений, право на переносимость данных.
- Ужесточение требований к трансграничным потокам — введение механизмов «адекватности» и «стандартных договорных положений».
- Создание Консультативного комитета (Consultative Committee) для содействия применению конвенции.
Рекомендации и руководства
CEPD подготовил ряд рекомендаций Комитета министров Совета Европы, в том числе:
- Рекомендация CM/Rec(2010)13 о защите данных в сфере электронного здравоохранения.
- Рекомендация CM/Rec(2019)2 о защите данных в сфере социальных сетей.
- Руководство по искусственному интеллекту и защите данных (2020).
Критика и вызовы
Недостаточная обязательность
Хотя Конвенция 108 является юридически обязательным договором, её механизмы принуждения и санкции ограничены по сравнению с GDPR. Комитет не имеет полномочий налагать штрафы или блокировать потоки данных — его роль в основном консультативная и мониторинговая.
Медленная ратификация
Процесс ратификации Конвенции 108+ идёт медленно. По состоянию на 2024 год протокол ратифицировали лишь около 30 государств, что затрудняет вступление в силу новых норм на глобальном уровне.
Конкуренция с GDPR
GDPR, принятый в 2016 году, стал более жёстким и детализированным регулятором, чем Конвенция 108+. Это привело к тому, что многие страны ЕС и третьи государства ориентируются в первую очередь на GDPR, а не на конвенцию Совета Европы. CEPD вынужден искать свою нишу, делая акцент на глобальном охвате и универсальности.
Технологические вызовы
Быстрое развитие технологий (искусственный интеллект, интернет вещей, квантовые вычисления) ставит перед комитетом задачу оперативной адаптации стандартов. Однако бюрократические процедуры Совета Европы часто замедляют этот процесс.
Значение и влияние
Глобальный стандарт
Конвенция 108 остаётся единственным международным договором, открытым для присоединения любого государства мира. Это делает CEPD ключевой площадкой для диалога между странами с разными правовыми традициями и уровнями развития в области защиты данных.
Влияние на национальные законы
Многие страны, не входящие в ЕС, при разработке своих законов о защите данных (например, в Бразилии, ЮАР, Индии) опирались на принципы Конвенции 108. Комитет предоставляет техническую помощь и экспертизу в этом процессе.
Взаимодействие с ЕСПЧ
Решения ЕСПЧ по делам, связанным с защитой данных (например, дела «S. and Marper v. the United Kingdom», «Big Brother Watch and Others v. the United Kingdom»), часто ссылаются на Конвенцию 108 и рекомендации CEPD. Это усиливает правовую защиту граждан на уровне Европейской конвенции по правам человека.
Источники
- Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108), 1981.
- Протокол об изменении Конвенции о защите физических лиц при автоматизированной обработке персональных данных (CETS № 223), 2018.
- Доклады Комитета экспертов по защите данных (CEPD) — Совет Европы, Страсбург.
- Рекомендации Комитета министров Совета Европы по защите данных (CM/Rec).
- «Handbook on European data protection law» — Агентство Европейского союза по основным правам (FRA) и Совет Европы, 2018.
- Официальный сайт Совета Европы — раздел «Data Protection» (www.coe.int/data-protection).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →