Открыть сервис

Конвенция Совета Европы № 108

Конвенция Совета Европы № 108 (полное название — «Конвенция о защите физических лиц при автоматизированной обработке персональных данных», Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data) — это международный договор Совета Европы, устанавливающий обязательные для государств-участников стандарты и принципы обработки персональных данных, а также права субъектов данных. Принята 28 января 1981 года в Страсбурге, вступила в силу 1 октября 1985 года. Является первым юридически обязывающим международным актом в области защиты персональных данных и основой для национальных законов многих стран, включая Россию. В 2018 году был принят Модернизированный протокол (CETS № 223), который внёс существенные изменения в текст конвенции.

История

Предпосылки создания

В 1970-х годах с развитием компьютерных технологий и автоматизированных баз данных возникла угроза массового сбора и использования личной информации без согласия граждан. В ряде европейских стран (Германия, Франция, Швеция) были приняты первые национальные законы о защите данных. Совет Европы, стремясь гармонизировать законодательство своих членов и обеспечить свободное движение информации, инициировал разработку единого международного стандарта.

Принятие и подписание

Конвенция № 108 была открыта для подписания 28 января 1981 года. Ключевыми разработчиками выступили эксперты Совета Европы при участии представителей стран-членов. Дата 28 января впоследствии стала отмечаться как Международный день защиты персональных данных (Data Protection Day). Конвенция вступила в силу после ратификации пятью государствами.

Модернизация (Протокол CETS № 223)

К 2010-м годам конвенция устарела: она не учитывала развитие интернета, глобализацию обработки данных, появление биометрических и генетических данных, а также усиление контроля со стороны государства. В 2012 году начался процесс модернизации. 18 мая 2018 года Комитет министров Совета Европы принял Протокол о внесении изменений (CETS № 223), который вступил в силу 11 октября 2023 года после ратификации восемью государствами. Модернизированная конвенция (Конвенция 108+) существенно расширила требования к прозрачности, ответственности и правам субъектов, приблизившись по уровню защиты к Общему регламенту ЕС о защите данных (GDPR).

Содержание и структура

Конвенция № 108 состоит из преамбулы, 27 статей (в оригинальной версии) и заключительных положений. Модернизированный протокол дополнил текст новыми статьями и изменил нумерацию.

Основные принципы обработки данных (статья 5)

Конвенция устанавливает фундаментальные принципы, которые должны соблюдаться при автоматизированной обработке персональных данных:

  • Законность и добросовестность: данные должны обрабатываться законно и добросовестно.
  • Целевое ограничение: данные собираются для конкретных, явных и законных целей и не используются в несовместимых с ними целях.
  • Адекватность и релевантность: данные должны быть адекватными, релевантными и не избыточными по отношению к целям обработки.
  • Точность: данные должны быть точными и при необходимости обновляться.
  • Ограничение срока хранения: данные хранятся в форме, позволяющей идентифицировать субъектов, не дольше, чем это необходимо для целей обработки.

Права субъекта данных (статья 8)

Конвенция гарантирует каждому физическому лицу (субъекту данных) следующие права:

  • Право на информацию: знать о факте обработки, целях, категориях данных и получателях.
  • Право на доступ: получать подтверждение обработки, копию данных и информацию об их происхождении.
  • Право на исправление: требовать исправления неточных или неполных данных.
  • Право на удаление (право на забвение): в определённых случаях, например, если данные обрабатывались незаконно или цели обработки достигнуты.
  • Право на возражение: возражать против обработки данных по уважительным причинам, связанным с конкретной ситуацией.

Дополнительные требования (Модернизированный протокол)

Протокол CETS № 223 ввёл новые обязательства:

  • Принцип подотчётности (accountability): контролёр данных обязан соблюдать принципы и демонстрировать это (например, вести документацию, проводить оценку рисков).
  • Уведомление об утечках данных: обязанность уведомлять надзорный орган и субъектов данных о серьёзных утечках.
  • Оценка воздействия на защиту данных: обязательное проведение оценки рисков для обработки, которая может привести к высокому риску для прав субъектов.
  • Права на переносимость данных: право получать свои данные в структурированном, машиночитаемом формате и передавать их другому контролёру.
  • Автоматизированное принятие решений: право не быть субъектом решения, основанного исключительно на автоматизированной обработке, если это влечёт юридические последствия или существенно затрагивает лицо.

Участники и статус

По состоянию на 2024 год Конвенцию № 108 ратифицировали 55 государств, включая все страны-члены Совета Европы (кроме Монако и Сан-Марино, которые её подписали, но не ратифицировали), а также несколько неевропейских стран: Аргентина, Буркина-Фасо, Кабо-Верде, Маврикий, Марокко, Мексика, Сенегал, Тунис, Уругвай. Россия подписала конвенцию 7 ноября 2001 года, ратифицировала 19 мая 2005 года (Федеральный закон № 152-ФЗ «О персональных данных» был принят в 2006 году во исполнение обязательств по конвенции). После выхода России из Совета Европы в 2022 году действие конвенции для неё прекращено, однако нормы национального законодательства остаются в силе. Модернизированный протокол (CETS № 223) Россия не подписывала.

Значение и влияние

Влияние на национальное законодательство

Конвенция № 108 послужила моделью для законов о защите данных в десятках стран мира. Её принципы легли в основу:

  • Директивы ЕС 95/46/EC (заменена GDPR).
  • Федерального закона РФ № 152-ФЗ «О персональных данных».
  • Законов о защите данных в странах Латинской Америки, Африки и Азии.

Роль в международном обмене данными

Конвенция № 108 является ключевым инструментом для обеспечения свободного трансграничного потока данных между государствами-участниками. Она устанавливает, что ни одно государство не может ограничивать передачу данных в другую страну-участницу только на том основании, что уровень защиты данных в ней ниже. В то же время, конвенция позволяет вводить ограничения, если это необходимо для защиты национальной безопасности, обороны или прав и свобод других лиц.

Связь с другими международными актами

Конвенция № 108 дополняется другими документами Совета Европы, в частности:

  • Рекомендация R (87) 15 — о защите персональных данных в полицейской сфере.
  • Рекомендация CM/Rec(2010)13 — о защите данных в сфере электронного здравоохранения.
  • Конвенция Совета Европы о киберпреступности (Будапештская конвенция) — затрагивает вопросы доступа к данным в рамках уголовных расследований.

Критика и ограничения

Несмотря на свою значимость, Конвенция № 108 подвергалась критике:

  • Устаревший характер: до модернизации 2018 года конвенция не учитывала реалии интернета, облачных технологий и глобальных корпораций.
  • Недостаточная гибкость: отсутствие механизмов для быстрого реагирования на новые угрозы (например, массовая слежка).
  • Слабые санкции: конвенция не предусматривает прямых штрафов для нарушителей, оставляя это на усмотрение национальных законов.
  • Ограниченная юрисдикция: конвенция не распространяется на обработку данных неавтоматизированными способами (например, бумажные архивы), что критиковалось в эпоху цифровизации.

Интересные факты

  • Дата 28 января выбрана не случайно: в этот день в 1981 году конвенция была открыта для подписания, и с 2006 года Совет Европы отмечает этот день как День защиты персональных данных.
  • Конвенция 108+ (модернизированная версия) стала первым международным договором, который прямо закрепил принцип «подотчётности» (accountability) и требование уведомления об утечках данных.
  • Россия была одной из первых стран, ратифицировавших конвенцию, и её положения легли в основу Федерального закона № 152-ФЗ, который до сих пор остаётся основным актом в этой сфере.
  • Конвенция № 108 является единственным международным договором, который позволяет странам, не входящим в Совет Европы, присоединиться к нему (при условии единогласного одобрения всех участников). Это сделано для расширения глобального охвата защиты данных.

Источники

  • Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS No. 108). Council of Europe, 1981.
  • Protocol amending the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (CETS No. 223). Council of Europe, 2018.
  • Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».
  • Explanatory Report to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data. Council of Europe, 1981.
  • Handbook on European data protection law. European Union Agency for Fundamental Rights and Council of Europe, 2018.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →