.
В соответствии с положениями ст. 8а необходимо, чтобы всегда было возможно установить лицо, являющееся контролером данных.
CAHDATA под контролером данных понимает физическое или юридическое лицо, государственный орган, службу, агентство или любой другой орган, который – один или совместно с другими – имеет власть принятия решения относительно обработки данных.
Согласно п. «с» ст. 2 Конвенции СЕ № 108 под автоматизированной обработкой понимаются следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение. Однако понятие обработчика в Конвенции не приводится, что объясняется ее наднациональным характером и предполагает закрепление при необходимости этого понятия и компетенции обработчиков персональных данных в национальном законодательстве стран – участниц Конвенции. Статьей 5 Конвенции предусмотрена обязанность осуществлять обработку персональных данных на законных основаниях.
Предлагаемый модернизированный вариант Конвенции № 108 под обработкой персональных данных понимает операцию или набор операций, которые выполняются с персональными данными: сбор, хранение, изменение, поиск, раскрытие, стирание или уничтожение данных, логические и/или арифметические операции.
1.2.4. Ответственность за нарушения в области персональных данных и запрет на передачу данных третьим лицам
Сама Конвенция СЕ № 108 не содержит санкций за предоставление неправомерного доступа к персональным данным неограниченного круга лиц. Однако ст. 10 Конвенции установлено, что каждая сторона обязуется предусмотреть надлежащие санкции и средства правовой защиты на случай нарушения норм внутреннего законодательства, воплощающих основополагающие принципы защиты данных.
Конвенция предполагает закрепление норм, запрещающих несанкционированный доступ третьих лиц к персональным данным, в национальном законодательстве стран-участниц.
В российском законодательстве последствия предоставления доступа неограниченному кругу третьих лиц или ограниченному кругу являются одинаковыми.
Модернизированный вариант Конвенции № 108 предлагает установить на национальном уровне обязанность оператора незамедлительно уведомить контролирующий орган по защите персональных данных обо всех случаях нарушения безопасности персональных данных, если это может повлечь нарушение прав субъектов персональных данных.