Конвенция Совета Европы ETS №108
Конвенция Совета Европы ETS №108 (полное название — Конвенция о защите физических лиц при автоматизированной обработке персональных данных, англ. Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data) — это международный договор, принятый в рамках Совета Европы 28 января 1981 года в Страсбурге. Конвенция является первым юридически обязывающим международным актом, устанавливающим принципы защиты персональных данных в условиях автоматизированной обработки. Она заложила основы для национального законодательства многих стран, включая Российскую Федерацию, и стала базой для последующего развития правовых норм в области информационной приватности.
История принятия
Разработка Конвенции началась в 1970-х годах на фоне стремительного развития компьютерных технологий и автоматизированных систем обработки данных. В 1973 году Комитет министров Совета Европы принял Резолюцию (73) 22, касающуюся защиты данных в частном секторе, а в 1974 году — Резолюцию (74) 29, касающуюся государственного сектора. Эти документы стали предшественниками Конвенции.
Проект Конвенции готовился Комитетом экспертов по защите данных (CJ-PD) под эгидой Европейского комитета по правовому сотрудничеству (CDCJ). Окончательный текст был одобрен Комитетом министров Совета Европы 17 сентября 1980 года и открыт для подписания 28 января 1981 года. Дата подписания впоследствии стала отмечаться как Международный день защиты персональных данных (Data Protection Day). Конвенция вступила в силу 1 октября 1985 года после получения пяти ратификаций.
Структура и содержание
Конвенция состоит из преамбулы, семи глав (статьи 1–27) и заключительных положений. Основные разделы охватывают общие положения, основные принципы защиты данных, трансграничные потоки данных, взаимную помощь, консультативный комитет и поправки.
Основные принципы (Глава II)
Статья 5 Конвенции устанавливает ключевые требования к обработке персональных данных:
- Законность и добросовестность: данные должны получаться и обрабатываться законным и добросовестным способом.
- Целевое ограничение: данные собираются для конкретных, явных и законных целей и не используются в несовместимых с ними целях.
- Адекватность и релевантность: данные должны быть адекватными, релевантными и не чрезмерными по отношению к целям обработки.
- Точность: данные должны быть точными и, при необходимости, обновляться.
- Ограничение хранения: данные хранятся в форме, позволяющей идентифицировать субъектов, не дольше, чем это необходимо для целей обработки.
- Безопасность: принимаются меры для защиты данных от случайного или несанкционированного уничтожения, потери, изменения, раскрытия или доступа.
Особые категории данных (Статья 6)
Конвенция выделяет категории данных, обработка которых требует повышенной защиты: данные о расовой принадлежности, политических взглядах, религиозных или иных убеждениях, состоянии здоровья, а также данные, касающиеся сексуальной жизни или судимостей. Обработка таких данных допускается только при наличии соответствующих гарантий, предусмотренных национальным законодательством.
Права субъекта данных (Статья 8)
Каждому лицу гарантируется право:
- знать о факте автоматизированной обработки его данных;
- получать информацию о целях обработки, категориях данных и получателях;
- требовать исправления или удаления неточных данных;
- иметь средства правовой защиты в случае нарушения его прав.
Трансграничные потоки данных (Глава III)
Статья 12 устанавливает, что сторона Конвенции не может запрещать или ограничивать трансграничную передачу персональных данных на территорию другой стороны только на основании защиты данных, если другая сторона обеспечивает эквивалентный уровень защиты. Исключения допускаются в случаях, когда национальное законодательство предусматривает особые правила для определённых категорий данных, или если передача осуществляется из страны, не имеющей эквивалентной защиты.
Дополнительный протокол (2001 год)
8 ноября 2001 года был принят Дополнительный протокол к Конвенции (ETS №181), который внёс два ключевых дополнения:
- Надзорные органы: стороны должны создать один или несколько независимых органов, контролирующих соблюдение законодательства о защите данных.
- Трансграничные потоки в третьи страны: передача данных в государства, не являющиеся сторонами Конвенции, допускается только при условии обеспечения адекватного уровня защиты в стране-получателе или при наличии исключительных обстоятельств (например, согласие субъекта данных).
Дополнительный протокол вступил в силу 1 июля 2004 года.
Модернизация Конвенции (Конвенция 108+)
В 2018 году, после многолетних переговоров, был принят Протокол о внесении изменений в Конвенцию (CETS №223), известный как «Конвенция 108+». Он был открыт для подписания 10 октября 2018 года. Основные нововведения:
- Расширение принципов: добавлены принципы прозрачности, минимизации данных, ответственности контролёра и оценки рисков.
- Усиление прав субъектов: введены права на переносимость данных, на возражение против обработки, на автоматизированное принятие решений, включая профилирование.
- Обязанности контролёра и обработчика: закреплены требования к уведомлению об утечках данных, проведению оценки воздействия на защиту данных и назначению сотрудника по защите данных.
- Укрепление надзорных органов: расширены полномочия и независимость национальных органов.
- Глобальный характер: Конвенция 108+ открыта для присоединения не только государств — членов Совета Европы, но и любых других стран, при условии соблюдения её принципов.
По состоянию на 2025 год, Конвенция 108+ ещё не вступила в силу, так как требует ратификации всеми сторонами, подписавшими её. Однако она уже оказывает влияние на национальное законодательство и практику.
Участие Российской Федерации
Российская Федерация подписала Конвенцию ETS №108 7 ноября 2001 года, а ратифицировала её 19 декабря 2005 года (Федеральный закон № 160-ФЗ). Конвенция вступила в силу для России 1 марта 2006 года. Дополнительный протокол (ETS №181) был подписан Россией 7 ноября 2001 года, но не был ратифицирован. В 2018 году Россия подписала Протокол о внесении изменений (CETS №223), но также не ратифицировала его.
Внутреннее законодательство России, в частности Федеральный закон «О персональных данных» (№ 152-ФЗ от 27 июля 2006 года), в значительной степени основано на принципах Конвенции. Однако после 2022 года, в связи с выходом России из Совета Европы (15 марта 2022 года), действие Конвенции для России было прекращено. 1 марта 2023 года Россия официально денонсировала Конвенцию ETS №108. Тем не менее, её принципы продолжают влиять на российское законодательство, которое во многом сохранило преемственность с международными стандартами.
Значение и влияние
Конвенция ETS №108 стала основой для формирования глобального режима защиты персональных данных. Её принципы были восприняты:
- Европейским союзом: Директива 95/46/EC (заменена Общим регламентом по защите данных — GDPR) и GDPR (2016/679) во многом основаны на Конвенции.
- Национальными законодательствами: законы о защите данных в десятках стран, включая страны Латинской Америки, Африки и Азии, были разработаны с учётом Конвенции.
- Международными организациями: ОЭСР, ООН и другие организации использовали Конвенцию как модель для своих рекомендаций.
Конвенция также способствовала созданию сети независимых надзорных органов (Data Protection Authorities) и развитию механизмов международного сотрудничества в области защиты данных.
Критика
Основные замечания к Конвенции ETS №108 (до модернизации) включали:
- Недостаточная детализация: принципы были сформулированы слишком общо, что допускало широкое толкование.
- Слабая система правоприменения: отсутствовали эффективные санкции за нарушения, а надзорные органы не имели достаточных полномочий.
- Ограниченная сфера действия: Конвенция касалась только автоматизированной обработки, оставляя за рамками ручную обработку данных.
- Проблемы с трансграничными потоками: механизм эквивалентной защиты не всегда работал на практике, особенно в отношении стран за пределами Европы.
Модернизация 2018 года (Конвенция 108+) была направлена на устранение этих недостатков, однако её вступление в силу затягивается из-за необходимости ратификации.
Источники
- Конвенция о защите физических лиц при автоматизированной обработке персональных данных (ETS №108). Страсбург, 28 января 1981 года.
- Дополнительный протокол к Конвенции о защите физических лиц при автоматизированной обработке персональных данных (ETS №181). Страсбург, 8 ноября 2001 года.
- Протокол о внесении изменений в Конвенцию о защите физических лиц при автоматизированной обработке персональных данных (CETS №223). Страсбург, 10 октября 2018 года.
- Федеральный закон от 19 декабря 2005 года № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
- Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».
- Пояснительный доклад к Конвенции 108+ (CM(2018)2-addfinal). Совет Европы, 2018.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →