Директива 95/46/ЕС, в отличие от Закона о персональных данных, устанавливает требование к результату (например, критерии оптимального уровня защиты), который должен быть достигнут в результате принятия оператором персональных данных надлежащих мер по защите персональных данных.
Закон о персональных данных не устанавливает однозначных требований для всех операторов, направленных на обеспечение защиты персональных данных, для случаев, когда уведомление Роскомнадзора об обработке персональных данных не требуется.
В отличие от Директивы 95/46/ЕС и законодательств некоторых стран – членов ЕС, Закон о персональных данных не предусматривает проведение уполномоченным органом в области защиты персональных данных предварительных проверок в отношении случаев обработки персональных данных, создающих конкретные риски для прав и свобод субъектов данных.
В качестве примера можно рассмотреть распоряжение Правительства Москвы от 12 мая 2011 г. № 376-РП, которым утверждено положение о Базовом регистре информации, необходимой для предоставления государственных услуг в городе Москве (далее – Базовый регистр). Данный регистр содержит большой объем сведений о жителях Москвы, являющихся персональными данными. Обработка персональных данных посредством их включения в Базовый регистр и обработки нарушает следующие положения Конвенции «О защите физических лиц при автоматизированной обработке персональных данных» ETS № 108:
– Требование сообщать субъектам персональных данных о включении их персональных данных, полученных от третьих лиц, в Базовый регистр нарушает право субъектов персональных данных, предусмотренное пунктом «а» ст. 8 Конвенции. Согласно пункту «а» ст. 8 Конвенции, любое лицо вправе знать о существовании автоматизированного файла данных личного характера, знать его основные цели, а также название и место обычного проживания или место делового обзаведения контролера файла.
В нарушение этого принципа персональные данные получаются не у субъектов персональных данных, при этом сами субъекты персональных данных о включении их данных в Базовый регистр и об обработке их персональных данных в составе Регистра не уведомляются, им не сообщается предусмотренная Законом о персональных данных информация об обработке персональных данных.
– Принцип, согласно которому персональные данные, подвергающиеся автоматизированной обработке, собираются и обрабатываются на справедливой и законной основе (пункт «а» ст. 5).
Персональные данные, которые включаются в Базовый реестр, изначально были предоставлены субъектами этих данных для других целей (как правило, для целей предоставления конкретной государственной или муниципальной услуги, а не для целей