Переходя к рассмотрению вопросов защиты персональных данных, следует отметить, что они остаются неизменно острыми на протяжении последних лет, поскольку касаются каждого из нас, вне зависимости от гражданства и должности.
Безопасность персональных данных, в зарубежной интерпретации privacy, уходит корнями в обеспечение неотъемлемых прав и свобод граждан развитых стран — например, в некоторых европейских странах достаточно спорным был вопрос указания имени и фамилии проживающих рядом с почтовыми ящиками и дверными звонками.
С приходом информационных технологий защита личных данных стала еще более актуальной.
Так появилась «Конвенция №108 Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», подписанная в 1981 году и ратифицированная Российской Федерацией в 2001 году.
Уже на тот момент в ней были заложены международные основы законной обработки персональных данных, применяемые и по сей день: использование персональных данных только для определенных целей и в пределах определенных сроков, неизбыточность и актуальность обрабатываемых персональных данных и особенности их трансграничной передачи, защита данных, гарантированные права гражданина — обладателя личных данных.
В этом же документе дано и само определение персональных данных, которое затем «перекочует» в первую редакцию отечественного Федерального закона №152 «О персональных данных» от 27.07.2006: «персональные данные» означают любую информацию об определенном или поддающемся определению физическом лице. Целью ратификации данной Конвенции было выполнение международных нормативных требований при вступлении России в ВТО (Всемирная Торговая Организация), которое состоялось в 2012 году.
Совместная работа стран-участников Конвенции продолжается и по сей день. Так, в конце 2018 года Российская Федерация совместно с другими странами-участницами подписала «Протокол №223 о внесении изменений в Конвенцию Совета Европы о защите персональных данных», который актуализирует Конвенцию в части соответствия вызовам текущего времени: защита биометрических и генетических данных, новые права физических лиц в контексте алгоритмического принятия решений искусственным интеллектом, требования защиты данных уже на этапе проектирования информационных систем, обязанность уведомлять уполномоченный надзорный орган об утечках данных. Граждане отныне имеют возможность получать квалифицированную защиту по вопросам их персональных данных со стороны надзорного органа, а российские компании, вынужденные соответствовать требованиям европейских норм GDPR (General Data Protection Regulation, мы поговорим о них далее), не будут вынуждены применять дополнительные меры по защите, поскольку соответствие нормам Конвенции означает, что страна-участник обеспечивает адекватный правовой режим обработки персональных данных.
Роскомнадзор изменил перечень стран, обеспечивающих адекватный уровень защиты прав субъектов персональных данных (см. Приказ от 14.09.2021г.).
Исключены из перечня:
1. Аргентинская Республика,
2. Королевство Марокко,
3. Республика Чили,
4. Тунисская Республика.
Включены в перечень:
1. Народная Республика Бангладеш,
2. Республика Беларусь,
3. Республика Замбия,
4. Республика Нигер,
5. Республика Таджикистан,
6. Республика Узбекистан,
7. Республика Чад,
8. Социалистическая Республику Вьетнам,
9. Тоголезская Республика,
10. Федеративная Республика Бразилия,
11. Федеративная Республика Нигерия.
В случае передачи данных в указанные страны, необходимо изменить порядок обработки в соответствии с принятыми изменениями. Возможно, больше не нужно собирать согласия в письменной форме (если передаются данные в Беларусь), либо наоборот, потребуется это делать (если передаются данные в Аргентину).