Експерти ОЕСР підготували «Огляд сучасних підходів до регулювання персональних даних і потоків даних». Документ доступний для ознайомлення на сайті ОЕСР.
Поширення мобільних пристроїв, експоненціальне зростання потужності обчислювальної техніки, різке зниження витрат на зберігання даних та зростаючі можливості доставляти більше даних з більшою швидкістю визначили стрімкий розвиток цифрової економіки. Змінилася конфігурація глобальних виробничо-збутових ланцюжків, утворилися нові інформаційні галузі, такі як хмарні обчислення, 3D-друк, інтернет речей, змінюється спосіб виробництва, надання послуг і торгівлі. Ці перетворення отримали своє відображення у правовому регулюванні персональних даних як базового компонента цифрової економіки.
Правове регулювання охоплює як традиційні питання конфіденційності та безпеки, так і питання захисту інтелектуальної власності, контролю за перетином потоку даних різних юрисдикцій. Ключовим питанням на порядку G20 з цифрової економіки саме стало регулювання потоків даних.
На основі аналізу національних практик ОЕСР виділяє чотири підходи до регулювання потоків даних за рівнем вимог і обмежень.
Перший і найпростіший – відсутність будь-якого регулювання цього питання, що найчастіше пов’язане з відсутністю законодавчо встановленого режиму персональних даних.
Другий підхід визначається як «ex post accountability» – держава не забороняє транскордонну передачу даних і не вимагає виконання будь-яких конкретних умов, але передбачає відповідальність експортера даних у разі порушення захисту відправлених за кордон даних.
Третій підхід обумовлює потік даних виконанням вимог безпеки (flows conditional on safeguards), тобто наданням гарантій захисту перадачі даних державним органом або приватними компаніями.
Четвертий, найбільш жорсткий підхід, встановлює порядок передачі даних, обумовлений отриманням санкції відповідного компетентного органу на індивідуальній основі (flows conditional on ad-hoc authorization).
Вимоги про локалізацію даних – окремий блок питань щодо обмежень потоків даних, оскільки їх виконання пов’язане з витратами на утримання локальних серверів. ОЕСР виділяє три види цієї вимоги. По-перше, може бути встановлена вимога зберігання копій конкретних даних, але не встановлюються обмеження з точки зору передачі або обробки копій даних за кордоном. По-друге, може бути встановлений порядок вільної передачі даних із забороною зберігання даних за кордоном. По-третє (найсуворіший варіант) має місце комбінація вимог про зберігання даних на території країни та умов передачі даних. ОЕСР відзначає, що застосування такого підходу може бути обумовлено цілями промислової політики, орієнтованої на розвиток секторів, пов’язаних з інформаційним обслуговуванням.
Множинність правових режимів може створити невизначеність для урядів, підприємств та приватних осіб у розумінні, які саме правила керують ситуацією. Для подолання регуляторних відмінностей ОЕСР виділяє чотири інструменти: багатосторонні угоди і домовленості; торгові угоди; односторонні інструменти; угоди та ініціативи всередині приватного сектора. Дані інструменти не є винятковими: країни можуть використовувати різні підходи щодо різних партнерів, типів даних або у різних ситуаціях. Обсяг даних, які охоплюються кожним підходом, також варіюється.
Детальніше: https://www.oecd.org/sti/mapping-approaches-to-data-and-data-flows.pdf, https://oecd-russia.org/analytics/personalnye-dannye-karta-podhodov-ot-oesr.html, http://www.oecd.org/sti/