Диссертация (1138927), страница 16
Текст из файла (страница 16)
Им нужно иметь адекватные метаданные (реквизиты) и возможность уточнения своих архивов, чтобы находить всю имеющуюся информацию о субъекте персональных данных, а также знать, были ли данные, обработанные ими, действительно анонимизированы или их все равно можно связать сконкретными личностями. 118Прим.: С 1 января 2016 года в России начали действовать поправки в Федеральный закон «Об информации, информационных технологиях и о защите информации» и статьи 29 и 402 Гражданского процессуального кодекса Российской Федерации в соответствии с которыми каждый субъект персональных данных может потребовать от оператора поисковой системы прекратить выдачу недостоверной, а также неактуальной, утратившей значение для заявителяинформации. Подчеркнем, что данное право реализовано только в отношении поисковых систем.
См.: Федеральныйзакон от 13 июля 2015 года № 264-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и статьи 29 и 402 Гражданского процессуального кодекса Российской Федерации» // Собрание законодательства Российской Федерации. 2015. № 29 (часть I). Ст. 4390. 70 Некоторые организации уже предоставили своим клиентам доступ к даннымпо запросу или проактивно на своем сайте в личном кабинете. В Соединенных Штатах Америки брокер данных Acxiom запускает пилотный интернет-портал, дающийвозможность пользователям определить, какие их данные хранятся и источникиэтих данных.
Если возможно предоставлять персональные данные таким способом,это поможет операторам выполнять обязанности по защите данных, а также предоставить информацию субъекту данных о том, какой в их отношении имеется объеми вид информации.Принцип «портативности данных» должен обеспечиваться возможностью переноса любой информации личного характера по требованию соответствующего лица (например, фотографии, список данных и пр.) насколько это технически возможно быстро и беспрепятственно.
Одним из примеров исполнения данного требованияявляется организованная компанией Гугл возможность переноса сведений о пользовательских настройках RSS-журнала «Гугл-ридер» (англ. Google Reader)119 при егозакрытии в распознаваемым другими аналогичными программами формате120.Большинство провайдеров облачных технологий пока не используют стандартные форматы данных и услуг, а также интерфейсы содействия совместимости ипереносимости данных между различными информационными системами.
Такимобразом, если заказчик решает сменить провайдера облачных технологий, это можетстать практически невозможно или крайне сложно в силу трудности передачи данных.Особое внимание в аспекте гарантии прав пользователей должно быть уделенотак называемому «праву быть забытым» (англ., the right to be forgotten)121. Правобыть забытым включает в себя обеспечение провайдерами и в целом всеми субъектами на стороне исполнителя возможности удаления персональных данных в полном объеме по окончании необходимости их использования в легальных целях, после отзыва согласия на их обработку, или по окончании срока их дозволенного хра 119Справка о порядке управления информацией в связи с окончанием функционирования информационного ресурсаGoogle Reader // http://www.google.com/reader/about/.120Извещение о порядке управления информацией в связи с окончанием функционирования информационного ресурса Google Reader // http://googlereader.blogspot.ru/.121Mantelero A.
The European Right to Be Forgotten. Comparative Private Law. IAITL, 2012. P. 93. 71 нения122 (это право может быть реализовано, например, в случае удаления пользователем своего аккаунта в социальной сети — вся размещенная им ранее в социальнойсети информация, по его желанию, должна быть полностью удалена)123. Данныйпринцип получил уже свое практическое применение в ряде судебных решений российских и иностранных судов124.Удаление данных, соответствующее принципам безопасности, требует, чтобылибо носители данных были полностью уничтожены или размагничены, или хранимые на них данные были удалены посредством перезаписи.
Для перезаписи персональных данных должно использоваться специальное программное обеспечение дляперезаписи данных несколько раз в соответствии с согласованными спецификациями. При этом, в контексте специфических технических характеристик облачныхтехнологий, в частности, что персональные данные могут быть содержаться одновременно в нескольких копиях в территориально удаленных центрах обработкиданных, необходимо обеспечить и удостовериться, что каждый экземпляр данныхстерт безвозвратно (т.е.
включая предыдущие версии, временные файлы и дажефрагменты файла). В случае если полное уничтожение данных невозможно в силузакона (например, налогового законодательства), доступ к этим данным долженбыть заблокирован. Таким образом, нажатие кнопки «удалить» в информационнойсистеме не всегда это означает полное уничтожение информации125.Вопрос качественности данных также должен быть учтен провайдером облачных технологий, в том числе, целостности данных, их подлинности и относительнойнезависимости от умышленных или случайных изменений в процессе их обработки,хранения или передачи. Понятие целостности может быть распространено на облачные информационные системы и требует, чтобы при обработке персональных данных в этих системах они оставались неизменными. 122Korff D., Brown I.
New Challenges to Data Protection - Final Report // European Commission DG Justice: Freedom andSecurity Report. 2010. P. 109-113.123По этому вопросу в Европейском Союзе выработана достаточна объемная прецедентная практика. См.:124Прим.: в том числе, Решение Одинцовского городского суда по делу № 2-2715/2017, М-998/2017 Скрынник Е.Б. кООО «Яндекс»; Case C-131/12, Google Spain v. AEPD and Mario Costeja González. 2014. ECLI:EU:C:2014:317,http://curia.europa.eu/juris/document/document.jsf?text=&docid=152065&pageIndex=0&doclang=en&mode=lst&dir=&occ=firs t&part=1&cid=53949, (дата обращения: 17 августа 2018 года); Melvin v. Reid, 112 Cal.App. 285, 297 P.
91 (1931);Sidis v F-R Publishing Corporation 311 U.S. 711 61 S. Ct. 393 85 L. Ed. 462 1940 U.S. и др.125Шмидт Э., Коэн Д. Новый цифровой мир. – М.: Манн, Иванов и Фербер, 2013. С. 66-67. 72 Ряд государств принимает меры по достижению высокого качественногоуровня предоставления услуг облачных технологий с точки зрения работы с информацией, подпадающей под понятие персональных данных. Среди подходов, которыхпридерживаются государства при общем регулировании использования персональных данных, встречаются крайние подходы: от максимальной защиты таких данныхдо почти полного отрицания права на анонимность в сетевых коммуникациях126.Прежде всего, для обеспечения безопасности облачных информационных систем на международном уровне по аналогии используются нормы соглашений, которые имеют универсальный характер относительно защиты информации ограниченного доступа. Между тем, исходя из содержания аналитических работ западныхисследователей, можно сделать вывод, что не всегда понятен порядок применениянорм права к использованию систем, созданных на основе облачных технологий127.В отечественной науке также неоднократно поднимался вопрос разрыва междупрактикой организации сетевых информационных систем и соответствия этой практике реализуемых подходов правового регулирования формирующихся информационных правоотношений.
При наличии большого массива регулятивных документов,все же отмечается их недостаточность для разрешения объективных проблем128.Сейчас, когда количество пользователей облачных информационных систем и сетиИнтернет растет во всем мире беспрецедентно высокими темпами, многим традиционным институтам и иерархическим структурам придется измениться, или они существенно устареют, перестав отвечать требованиям современного общества129.В Соединенных Штатах Америки специальным документом, определяющимособенности защиты информации ограниченного доступа при использовании об 126Прим.: В рамках данного исследования основное внимание будет уделено анализу наиболее интересных специфических аспектов защиты персональных данных при использовании облачных технологий в иностранных государствах.Вопросы регулирования обработки персональных данных в сети Интернет рассматривались нами, в том числе, в книге: Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах вусловиях развития систем обработки данных в сети Интернет.
Под ред. А.С. Дупан. – М. : Изд.дом Вышей школыэкономики, 2016. – 334 с.127Gonsalves M.E., Jesus I.A. Security Policies and the Weakening of Personal Data Protection in the European Union. Comparative Private Law. Copenhagen. 2012. P.40, (дата обращения: 15 октября 2017 года).128Бачило И.Л. Методологические проблемы идентификации и правовой поддержки развития социальных сетей. Информационное общество и социальное государство. Сборн. научн. работ. М.: ИГП РАН, ИПО «У Никитских ворот»,2011. С. 28; Быстрицкий А. Свобода и последствия // Эксперт. 2010.
№ 44. С. 75-77; Щербаков В. Пространство виртуальное, борьба реальная // Военно-промышленный курьер. 2010. №. 40. С. 3.129Шмидт Э., Коэн Д. Новый цифровой мир. – М.: Манн, Иванов и Фербер, 2013. С.12. 73 лачных технологий, является уже упоминаемая нами Федеральная программа Соединенных Штатов Америки по управлению рисками и авторизацией при отборепровайдеров облачных технологий для государственных органов 2012 года. Данныйдокумент, помимо прочего, описывает выбранную правительственную концепциюзащиты информации в облачных информационных системах, используемых дляобеспечения деятельности органов государственной власти и устанавливает полномочия органов исполнительной власти по реализации программных положений,направленных на разработку, внедрение, эксплуатацию и обслуживание облачныхинформационных систем130.Чтобы получить разрешение на предоставление полезных свойств облачныхтехнологий федеральным органам государственной власти, провайдеры обязаны самостоятельно обеспечивать условия обработки персональных данных и иной информации ограниченного доступа, в соответствии с принятыми органами государственной власти документами, в том числе, рекомендательного характера131.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
