Конвенция Совета Европы ETS № 108
Конвенция Совета Европы ETS № 108 (полное название — «Конвенция о защите физических лиц при автоматизированной обработке персональных данных») — это международный договор Совета Европы, принятый 28 января 1981 года в Страсбурге. Конвенция стала первым юридически обязывающим многосторонним актом в области защиты персональных данных, устанавливающим минимальные стандарты для стран-участниц по обеспечению конфиденциальности и безопасности информации, обрабатываемой автоматизированными способами. Документ вступил в силу 1 октября 1985 года. Конвенция ETS № 108 является основой для национальных законов о защите данных во многих европейских странах, включая Россию (Российская Федерация ратифицировала конвенцию в 2005 году).
История принятия
Предпосылки
В 1970-х годах в странах Западной Европы началось активное внедрение компьютеров для обработки личной информации граждан — в банковской сфере, здравоохранении, социальном обеспечении и государственном управлении. Возникла необходимость в гармонизации правовых норм, чтобы предотвратить утечки и злоупотребления данными, а также обеспечить свободный трансграничный обмен информацией. Совет Европы (международная организация, основанная в 1949 году) взял на себя роль инициатора разработки единых принципов.
Разработка и принятие
Проект конвенции готовился Комитетом экспертов Совета Европы по защите данных (CJ-PD) в течение нескольких лет. 28 января 1981 года текст был открыт для подписания государствами-членами Совета Европы. Дата 28 января впоследствии стала отмечаться как Международный день защиты персональных данных. Конвенция ETS № 108 стала первым международным договором, который прямо признал право на защиту персональных данных как самостоятельное право человека.
Ратификация и распространение
К началу 2020-х годов конвенцию ратифицировали более 50 государств, включая все страны Европейского союза, а также неевропейские страны, такие как Уругвай, Аргентина, Марокко, Тунис и другие. Российская Федерация подписала конвенцию 7 ноября 2001 года, а ратифицировала — 19 декабря 2005 года (Федеральный закон № 160-ФЗ). С этого момента Россия обязалась соблюдать положения конвенции в национальном законодательстве.
Структура и основные положения
Конвенция состоит из преамбулы и 27 статей, сгруппированных в несколько глав. Её ключевое содержание — установление принципов обработки персональных данных и механизмов контроля.
Основные принципы обработки (Глава II)
Статья 5 конвенции закрепляет следующие требования к персональным данным:
- Добросовестность и законность — данные должны собираться и обрабатываться честно и в соответствии с законом.
- Целевое ограничение — данные собираются только для определённых, явных и законных целей и не используются иначе.
- Адекватность и релевантность — данные должны быть адекватными, не избыточными по отношению к целям обработки.
- Точность — данные должны быть точными и при необходимости обновляться.
- Ограничение срока хранения — данные хранятся не дольше, чем это необходимо для целей обработки.
Права субъекта данных (Глава II)
Субъект данных (физическое лицо) имеет право:
- знать о факте обработки своих данных, целях и получателях;
- получать доступ к своим данным в разумные сроки без чрезмерных затрат;
- требовать исправления или уничтожения неточных данных;
- использовать средства правовой защиты в случае нарушения его прав.
Конфиденциальность и безопасность (Глава II)
Статья 7 требует от контролёров данных (операторов) принятия «надлежащих мер безопасности» для защиты данных от случайного или несанкционированного уничтожения, случайной утраты, а также от несанкционированного доступа, изменения или распространения. Меры должны соответствовать характеру обрабатываемых данных и степени возможного риска.
Трансграничная передача данных (Глава III)
Статья 12 устанавливает, что передача персональных данных в другую страну допускается только в том случае, если эта страна обеспечивает «адекватный уровень защиты». Исключения возможны, если субъект данных дал явное согласие, передача необходима для защиты жизненно важных интересов субъекта или предусмотрена законом. Этот принцип лёг в основу правил трансграничной передачи данных в законодательстве ЕС (GDPR) и России (ФЗ № 152).
Национальные надзорные органы (Глава III)
Конвенция предписывает создание независимых национальных органов, контролирующих соблюдение её положений. В России таким органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Дополнительный протокол (ETS № 181)
В 2001 году был принят Дополнительный протокол к Конвенции ETS № 108 (ETS № 181), который вступил в силу в 2004 году. Он ввёл два ключевых новшества:
- Обязанность создания независимых надзорных органов (уточнение и усиление требования из основной конвенции).
- Запрет на передачу данных в страны, не обеспечивающие адекватный уровень защиты, если только не применяются исключения (например, согласие субъекта).
Россия подписала Дополнительный протокол в 2001 году, но не ратифицировала его. В 2014 году Россия заявила о выходе из процедуры ратификации, что вызвало критику со стороны Совета Европы. Однако в 2019 году Россия возобновила процесс ратификации, и в 2020 году протокол был ратифицирован (Федеральный закон № 123-ФЗ от 24 апреля 2020 года).
Модернизация конвенции (Конвенция 108+)
В 2018 году Комитет министров Совета Европы одобрил проект модернизированной версии конвенции, известной как Конвенция 108+ (официальное название — «Протокол о внесении изменений в Конвенцию о защите физических лиц при автоматизированной обработке персональных данных»). Протокол был открыт для подписания в 2018 году и вступил в силу 11 октября 2023 года.
Основные изменения в Конвенции 108+
- Усиление принципа подотчётности (accountability) — операторы должны не только соблюдать правила, но и доказывать это.
- Введение требования оценки воздействия на защиту данных (DPIA) для высокорисковых операций.
- Уточнение прав субъектов: право на забвение, право на переносимость данных.
- Обязательное уведомление о нарушениях безопасности (data breaches).
- Усиление роли независимых надзорных органов и их сотрудничества.
- Распространение действия конвенции на неавтоматизированные системы обработки (например, бумажные картотеки), если они структурированы.
Россия подписала Протокол 108+ в 2019 году, но на начало 2024 года процесс ратификации не завершён.
Значение и влияние
Влияние на законодательство Европейского союза
Конвенция ETS № 108 послужила основой для Директивы ЕС 95/46/EC о защите персональных данных (1995 год), а затем и для Общего регламента по защите данных (GDPR), вступившего в силу в 2018 году. Многие принципы GDPR (целевое ограничение, адекватность, безопасность, права субъектов) напрямую восходят к конвенции.
Влияние на российское законодательство
Ратификация конвенции в 2005 году стимулировала принятие Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных». Закон № 152-ФЗ в значительной степени воспроизводит принципы конвенции: добросовестность, целевое ограничение, адекватность, точность, ограничение срока хранения, а также требования к безопасности и трансграничной передаче. Роскомнадзор, как надзорный орган, выполняет функции, предусмотренные конвенцией.
Международное сотрудничество
Конвенция ETS № 108 является единственным открытым международным договором в области защиты данных, к которому могут присоединиться государства, не являющиеся членами Совета Европы. Это делает её глобальным стандартом. На её основе создан Консультативный комитет (T-PD), который разрабатывает рекомендации и интерпретации.
Критика и ограничения
Несмотря на историческое значение, конвенция подвергалась критике за:
- Слабость механизмов обеспечения — отсутствие прямых санкций за нарушения, полагаясь на национальные законы.
- Устаревание — до модернизации (Конвенция 108+) документ не учитывал современные технологии (интернет, большие данные, облачные вычисления, искусственный интеллект).
- Проблемы с трансграничной передачей — принцип «адекватного уровня защиты» создавал препятствия для свободного потока данных, особенно между Европой и США (до принятия Privacy Shield).
- Различия в имплементации — разные страны трактовали положения по-разному, что приводило к фрагментации правового поля.
Интересные факты
- Дата принятия конвенции — 28 января 1981 года — ежегодно отмечается как Международный день защиты персональных данных (Data Protection Day).
- Конвенция ETS № 108 стала первым международным актом, который признал право на защиту данных как самостоятельное право человека, а не просто аспект права на неприкосновенность частной жизни.
- В 2023 году, после вступления в силу Протокола 108+, конвенция стала первым глобальным юридически обязывающим актом в области защиты данных, который включает принципы подотчётности и оценки воздействия.
- Российская Федерация была одной из первых стран, ратифицировавших конвенцию (2005 год), но процесс ратификации Дополнительного протокола и Протокола 108+ затянулся на годы.
Источники
- Конвенция Совета Европы ETS № 108 «О защите физических лиц при автоматизированной обработке персональных данных» (1981).
- Дополнительный протокол к Конвенции ETS № 108 (ETS № 181) (2001).
- Протокол о внесении изменений в Конвенцию ETS № 108 (Конвенция 108+) (2018).
- Федеральный закон РФ от 19 декабря 2005 года № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
- Федеральный закон РФ от 24 апреля 2020 года № 123-ФЗ «О ратификации Дополнительного протокола к Конвенции о защите физических лиц при автоматизированной обработке персональных данных».
- Федеральный закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных».
- Официальные документы и отчёты Консультативного комитета Совета Европы по защите данных (T-PD).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →