Защита персональных данных осуществляется в соответствии с правом на неприкосновенность частной жизни, предусмотренном в международных договорах в области прав человека. Например, Европейский суд по правам человека постановил, что данные, относящиеся к использованию телефона, электронной почты и Интернета ( Copland v . United Kingdom, 2007 §§ 41-42), и данные, хранящиеся на компьютерных серверах ( Wieser and Bicos Beteiligungen GmbH v . Austria, § 45), подпадают под сферу действия статьи 8(1) Европейской конвенции по правам человека. Само по себе хранение личных данных может рассматриваться как нарушение права пользователя на неприкосновенность частной жизни. Факт наличия нарушения зависит от контекста, в котором данные были получены, метода их сбора, обработки и использования, а также результатов, которые могут быть при этом получены ( S . and Marper v . the United Kingdom , 2008). Более того, в деле Trist án Donoso v . Panama and Escher et al . v . Brazil(2009) Межамериканский суд по правам человека постановил, что данные, собранные и переданные с использованием новых цифровых технологий и Интернета, подпадают под действие статьи 11 Американской конвенции о правах человека 1969 года. Кроме того, статья 8 Конвенции Африканского союза о кибербезопасности и защите личных данных 2014 года охватывает право на «защиту персональных данных». Наконец, статья 8(1) Хартии основных прав Европейского союза 2000 года и статья 16(1) Договора о функционировании Европейского союза 1957 года (также известного как Римский договор) предусматривают право на защиту персональных данных в качестве одного из основных прав человека.
Защита данных распространяется на процессы создания, сбора, хранения, анализа, использования личной информации и обмена ею. Эта защита распространяется на создание и сбор персональных данных, потому что «[п]раво на неприкосновенность частной жизни затрагивается не только в ходе анализа или использования информации о физическом лице человеком или алгоритмом…[(Bernal, 2016), но и]… самим фактом подготовки и сбора данных, касающихся личности, семьи и жизни конкретного человека…(см. A/HRC/27/37, пункт 20…[; Rotaru v . Romania, 2000; Kopp v . Switzerland, 1998; и Roman Zakharov v . Russia, 2015)]" ( A/HRC/39/29, пункт 7).
Базы данных, содержащие персональные данные, доступны для запросов, поиска, редактирования, обновления и просмотра местными и зарубежными государственными и частными организациями. Процедуры управления сбором, хранением, использованием информации и обменом ею частными и государственными организациями варьируют в зависимости от конкретной страны. Согласно докладу Верховного комиссара Организации Объединенных Наций по правам человека за 2018 год, «[р]астущая взаимосвязь между обработкой общественных и личных данных и накопленный опыт, свидетельствующий о массовых и неоднократных злоупотреблениях личными данными некоторыми компаниями, подтверждают, что для обеспечения надлежащего уровня защиты частной жизни необходимы законодательные меры» (цитата из A/HRC/RES/34/7, пункт 5(f) и A/HRC/RES/38/7, пункт A/HRC/39/29, пункт 27). Личные данные могут обрабатываться странами со строгими законами о защите данных, странами со слабым законодательством о защите данных или странами, где не существует законов о защите данных. Например, в Гане статья 60 Закона о защите данных 2012 года позволяет правительству получать доступ к персональным данным без ордера или иного законного распоряжения (например, судебного приказа) в интересах национальной безопасности.
Практические методы защиты данных также варьируют между различными государственными и частными организациями. Например, в Соединенных Штатах под действие регламента подпадают лишь некоторые типы данных, которые собираются, хранятся, анализируются и обмениваются частными компаниями (например, финансовые данные, данные о состоянии здоровья, образовании и данные детей; Maras and Wandt, 2019). Кроме того, в некоторых странах меры защиты варьируют в зависимости от типа данных (например, содержанию электронных сообщений обеспечивается более высокая степень защиты, чем адресу электронной почты отправителя или получателя). Законы о защите данных различаются с точки зрения типов и источников данных (например, отраслевые данные, данные в режиме онлайн, данные в режиме офлайн и конфиденциальные данные) и субъектов персональных данных (например, взрослые и дети). В Мексике действуют два закона о защите данных, один из которых регулирует частный сектор - Федеральный закон о защите персональных данных, находящихся в распоряжении частных компаний 2010 года, - а другой регулирует государственный сектор - Общий закон о защите персональных данных, находящихся в распоряжении обязавшихся структур 2017 года. В Мексике также действуют некоторые положения в законодательстве, которые регулируют частные данные, связанные с облачными сервисами, и регламентируют доступ правоохранительных органов к данным, хранящимся в облачных хранилищах, и обращение с данными после прекращения действия облачных услуг.
Трансграничный характер Интернета требует принятия транснационального регламента по защите данных, выходящего за рамки национальных систем и законодательств. Примерами могут служить Конвенция Африканского союза о кибербезопасности и защите личных данных 2014 года и Дополняющий закон A/SA.1/01/10 к закону о защите данных личного характера в рамках Экономического сообщества западноафриканских государств (ЭКОВАС). Принятие этих региональных законов и рамочных документов было обусловлено принятием Директивы ЕС о защите данных ( Директива 1995/46/EC) (Greenleaf, 2011; Orji, 2017; Makulilo, 2013a; Makulilo, 2013b). Директива 1995/46/EC была заменена Общим регламентом ЕС по защите данных (ОРЗД) от 25 мая 2018 года. Этот единый закон о защите данных регламентирует обработку, хранение, использование данных и обмен данными в государствах-членах ЕС и других странах, учреждениях и частных организациях за пределами ЕС, которые предоставляют товары и услуги ЕС и обрабатывают данные резидентов ЕС. Цель ОРЗД заключается в унификации процессов безопасной обработки, хранения, использования персональных данных и обмена ими. Этот регламент сводит к минимуму объем цифровых следов пользователей и способы, при помощи которых приложения, технологии, Интернет-сервисы и платформы используют эти следы в своих интересах. ОРЗД укрепляет права физических лиц на неприкосновенность частной жизни и способствует свободному потоку персональных данных через границы благодаря унификации практики защиты данных. ОРЗД внес ясность в отношении того, что представляют собой персональные данные, установил правила обращения с данными, четко определил роли и обязанности тех, кто контролирует и обрабатывает персональные данные, установил более строгие меры наказания за несоблюдение требований и ввел обязательное требование в отношении уведомления об утечке персональных данных в течение 72 часов после инцидента.
Этот регламент устанавливает новые обязательства для контролеров данных (т.е. организаций, которые определяют обоснования для обработки данных и методы, используемые для обработки данных), и для лиц, обрабатывающих данные (т.е. организаций, которые отвечают за обработку данных на основе методов, определенных контролером данных). ОРЗД регулирует доступ к данным, их исправление, удаление, прозрачность контролеров данных и лиц, обрабатывающих данные; предусматривает право на возражение против формирования профиля; налагает обязательства по обеспечению безопасности данных на компании, которые обрабатывают данные; и предоставляет расширенные полномочия органам по защите данных и способствует координации и сотрудничеству в области обработки и защиты данных. Этот регламент также предусматривает крупные штрафы и меры наказания за несоблюдение требований.
В деле Google Spain SL, Google Inc. v. Agencia Española de Protección de Datos, Mario Costeja González (2014) Европейский Суд определил операторов поисковых систем, таких как Google, в качестве контролеров данных, поскольку они контролируют персональные данные, находящиеся на веб-сайтах третьих сторон, делая эти веб-сайты доступными для других лиц и принимая решения о способах предоставления доступа к этим веб-сайтам.
Пользователи имеют право на получение информации об обработке данных; право на доступ к обработанным данным; право на исправление обработанных данных; право на удаление данных («право на забвение»; субъект данных имеет право требовать удаления своих данных из журналов контролеров данных, а также не допускать дальнейшего использования и передачи персональных данных субъекта данных третьими лицами); право на возражение против обработки данных; право на ограничение обработки данных; право на переносимость данных (т.е. субъект данных имеет право получить свои персональные данные, которые он предоставил контролеру, и передать эти данные другому контролеру); и право на возражение против автоматизированного процесса принятия решения (например, формирование профиля).
В деле Google Spain SL, Google Inc. v. Agencia Española de Protección de Datos, Mario Costeja González (2014) Европейский суд истолковал Директиву 1995/46/EC как позволяющую пользователям требовать прекращения индексации их персональных данных в поисковых системах и браузерах. В частности, суд постановил, что физические лица имеют право требовать, чтобы контролеры данных (например, операторы браузеров и поисковых систем, таких как Google) удалили ссылки на сторонние веб-сайты, которые содержат неверные, неполные, неактуальные, устаревшие или недействительные сведения о них. Например, физическое лицо может потребовать, чтобы ссылки, которые появляются в результате поиска по имени пользователя в этом контенте, были удалены. Такое прекращение индексации ограничивается контентом, который был индексирован под именем пользователя. Прекращение индексации не прекращает доступность этого контента, индексированного под другими поисковыми запросами, основанным на контенте, публикации или другом источнике либо издателе или авторе контента.
ОРЗД распространяется на учреждения ЕС, которые расширительно толкуются Европейским судом как организации, которые обрабатывают данные в контексте своей деятельности, даже если такая деятельность является минимальной ( Weltimmo v . NAIH, 2014). Если такой процесс обработки данных осуществляется в контексте некоторой договоренности, действующей в Европейском союзе, то он подпадает под действие ОРЗД. Организации, имеющие свои конторы в ЕС, а также организации, которые продвигают или продают маркетинговые или рекламные услуги, ориентированные на резидентов ЕС, также подпадают под действие ОРЗД. Действие ОРЗД распространяется даже на организации, не учрежденные в ЕС, если они обрабатывают персональные данные с целью предложения товаров и услуг резидентам ЕС и мониторинга поведения потребителей в ЕС для составления профиля потребителей, определения тенденций и прогнозирования личных предпочтений потребителей.
ОРЗД не распространяется на обработку персональных данных в рамках деятельности, связанной с национальной безопасностью, а также деятельности, касающейся общей внешней политики и политики безопасности ЕС (т.е. вопросов, связанных с обороной и безопасностью). ОРЗД также не распространяется на данные, обрабатываемые учреждениями ЕС, которые регулируются Регламентом (EC) №.45/2001 Европейского парламента и Совета от 18 декабря 2000 года «О защите физических лиц при обработке персональных данных, осуществляемой институтами и органами Сообщества, и о свободном обращении таких данных». Кроме того, ОРЗД не распространяется на данные, обрабатываемые государственными органами в целях предупреждения, выявления, расследования преступлений и судебного преследования виновных, которые регулируются Директивой (ЕС) 2016/680 Европейского парламента и Совета от 27 апреля 2016 года «О защите физических лиц при обработке персональных данных компетентными органами в целях предупреждения, расследования, выявления уголовных преступлений или привлечения к ответственности, или приведения в исполнение уголовных наказаний, и о свободном движении таких данных».
Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 года (ETS №.108) является юридически обязывающим международным договором о защите данных. Дополнительный факультативный протокол к этой конвенции - Дополнительный протокол к Конвенции о защите физических лиц при автоматизированной обработке персональных данных, касающийся надзорных органов и трансграничных потоков данных, 2001 года - содержит призыв к созданию надзорных органов для обеспечения защиты данных и неприкосновенности частной жизни при обмене данными. Еще один протокол (CETS No. 223) внес изменения и дополнения в Конвенцию 1981 г. (а именно Протокол о внесении изменений в Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке данных 2018 года). Согласно заявлению Совета Европы (дата не указана), модернизация конвенции «преследовала две основные цели: решить проблемы, порождаемые использованием новых информационных и коммуникационных технологий, и усилить механизмы конвенции для обеспечения ее эффективного осуществления» (для ознакомления с основными новыми положениями измененной конвенции см. здесь ; а для ознакомления со сравнительной таблицей с указанием различий между конвенцией 1981 года и измененной конвенцией см. здесь ).
В дополнение к национальным, региональным и международным законам о защите данных существуют руководящие указания и принципы, которые были разработаны странами и межправительственными организациями и реализованы учреждениями государственного и частного секторов по всему миру, такие как Руководство по защите неприкосновенности частной жизни и трансграничной передаче персональных данных Организации экономического сотрудничества и развития (ОЭСР) (1980; 2013).
В Руководстве по защите неприкосновенности частной жизни и трансграничной передаче персональных данных 2013 года изложены следующие принципы защиты данных и неприкосновенности частной жизни:
Объем собираемых персональных данных должен иметь определенные пределы; все эти данные должны быть получены законным и честным образом - если возможно, то с ведома или согласия субъекта данных.
Персональные данные должны соответствовать целям, в которых они будут использоваться; в той мере, в которой это необходимо в соответствии с упомянутыми целями, персональные данные должны быть точными, полными и регулярно обновляемыми.
Цели, в которых собираются персональные данные, должны быть конкретизированы не позднее момента сбора указанных данных, а их последующее использование должно ограничиваться достижением упомянутых либо сходных (совместимых) целей, которые должны указываться каждый раз, когда эти цели пересматриваются.
Персональные данные не должны разглашаться, предоставляться в пользование или иным образом использоваться в иных целях, чем те, что перечислены в пункте 9, за исключением случаев, когда:
Персональные данные должны быть обеспечены должными механизмами защиты от рисков, связанных с потерей, несанкционированным доступом, уничтожением, использованием, изменением или разглашением данных.
Должна существовать общая политика открытости в области практики и политик в отношении персональных данных. В постоянной готовности должны быть средства для установления факта наличия и характера персональных данных, основных целей их использования, а также личности и обычного местонахождения распорядителя данных.
Каждый субъект данных (индивид) должен обладать следующими правами:
Распорядитель данных должен нести ответственность за принятие мер, обеспечивающих соблюдение вышеперечисленных принципов.
Схожие принципы были приняты в национальном законодательстве некоторых стран. См., например, Закон Новой Зеландии о неприкосновенности частной жизни 1993 года и Закон Австралии Закон о неприкосновенности частной жизни 1988 года.