Международно-правовое регулирование обработки персональных данных
1 сентября 2023 г.
Право граждан на личную и семейную тайну признается конституциями большинства стран мира, а защита персональных данных физических лиц является важной задачей государства и общества.
Базовые принципы защиты прав человека и гражданина были сформулированы в европейском законодательстве и законодательстве США еще в конце 19 – начале 20 века. На международном уровне в 1948 года была принята Всеобщая декларация прав человека, в 1950 году – Европейская конвенция о защите прав человека и основных свобод. Вместе с тем долгое время вопросы обработки и защиты персональных данных национальные законодательства большинства стран мира практически не регулировали.
С 80-х годов прошлого века при обработке данных стали активно использоваться электронно-вычислительные машины и информационные технологии, а с 90-х годов – широкое распространение получает глобальная информационная сеть «Интернет», в которой начинается сбор и передача персональных данных физических лиц. Такое развитие научно-технического процесса требовало регламентации правил сбора, хранения и распространения персональных данных, особенно осуществляемых с использованием средств автоматизации. Для упорядочивания правового регулирования, введения единых подходов в терминологии и принципах обработки персональных данных были приняты несколько международных актов.
В статье рассмотрим основные международные правовые акты в сфере обработки и защиты персональных данных, их влияние на российское законодательство, а также судебную практику с участием российских граждан.
Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных
Первым международным актом, регулирующих принципы обработки и защиты персональных данных при автоматизированной обработке, стала Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (далее по тексту – «Конвенция», «Конвенция Совета Европы»). Она была заключена в г. Страсбург 28.01.1981, впоследствии в 1999 году в нее были внесены поправки, касающиеся трансграничной передачи данных. Целью принятия Конвенция Совета Европы стало обеспечение для каждого физического лица независимо от его гражданства или местожительства права на неприкосновенность частной жизни при автоматизированной обработке персональных данных.
Конвенция была ратифицирована всеми государствами – членами Совета Европы, а также к ней присоединились и другие страны, как Россия, Аргентина, Мексика, Марокко, Уругвай и другие. Российской Федерацией Конвенция была ратифицирована Федеральным законом от 19.12.2005 № 160-ФЗ, но вступила в силу только с 1 сентября 2013 года. При ратификации были установлены следующие изъятия, касающиеся сферы ее применения:
- Конвенция не применяется к персональным данным, обрабатываемым физическими лицами исключительно для личных и семейных нужд, или отнесенным к государственной тайне;
- Конвенция будет применяться и при неавтоматизированной обработке, если она осуществляется так же, как и автоматизированная;
- Российская Федерация оставляет за собой право устанавливать ограничения права субъекта на доступ к своим персональным данным в целях защиты безопасности государства и общественного порядка.
Рассмотрим основные положения Конвенция Совета Европы.
В Конвенции были даны определения терминам «персональные данные» и «автоматизированная обработка». Так, согласно статье 2 Конвенции под «персональными данными» следует понимать любую информацию об определенном или поддающемся определению физическом лице, под «автоматизированной обработкой» – операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение.
Основополагающие принципы обработки персональных данных изложены в главе 2 Конвенции. Персональные данные, подвергающиеся автоматизированной обработке:
- собираются и обрабатываются на справедливой и законной основе;
- хранятся для определенных и законных целей и не используются иным образом, несовместимым с этими целями;
- являются адекватными, относящимися к делу, и не чрезмерными для целей их хранения;
- являются точными и, когда это необходимо, обновляются;
- сохраняются в форме, позволяющей идентифицировать субъекта ПД не дольше, чем это требуется для целей хранения этих данных.
Специальные категории персональных данных (данные, касающиеся расовой принадлежности, политических взглядов, религиозных или других убеждений, судимости, здоровья или половой жизни) не могут подвергаться автоматизированной обработке, если внутреннее законодательство не устанавливает соответствующих гарантий.
Также Конвенцией были регламентированы вопросы трансграничной передачи персональных данных (передачи персональных данных на территорию иностранного государства). Согласно статье 12 Конвенции Совета Европы государство не должно запрещать или обусловливать специальным разрешением трансграничные потоки персональных данных с единственной целью защиты частной жизни. Отступить от этого положения можно в случае, если государство-получатель не предоставляет надлежащей защиты или когда есть риск передачи таких данных третьему государству, не предоставляющему такой защиты.
Конвенция устанавливает, что для защиты персональных данных должны приниматься надлежащие меры защиты, направленные на предотвращение их случайного или несанкционированного уничтожения или потери, а также несанкционированного доступа, изменения или распространения данных. Кроме того, статьей 8 Конвенции Совета Европы субъекту персональных данных предоставляются дополнительные гарантии, как- то:
- знать о существовании автоматизированного файла персональных данных, его основные цели, а также название и место проживания или местонахождения лица или органа государственной власти, который вправе определять судьбу автоматизированного файла (в российском законодательстве такое лицо носит название «Оператор персональных данных»);
- получить через разумный промежуток времени и без чрезмерной задержки или чрезмерных расходов подтверждение того, хранятся ли касающиеся его персональные данные в автоматизированном файле данных, а также получить такие данные в доступной для понимания форме;
- добиваться исправления или уничтожения таких данных, если они подвергались обработке в нарушение норм внутреннего законодательства и принципов Конвенции;
- прибегать к средствам правовой защиты в случае невыполнения просьбы о подтверждении или предоставлении данных, их изменении или уничтожении.
Отступление от принципов обработки и защиты персональных данных, предусмотренных Конвенцией Совета Европы, допускается только в случаях, предусмотренных внутренним законодательством в интересах безопасности государства, общественной безопасности, валютно-кредитных интересов государства, пресечения уголовных преступлений, а также защиты владельца персональных данных или прав и свобод других лиц.
Отметим, что положения статьи 8 Конвенции положены в основу многих решений Европейского Суда по правам человека (далее по тексту – «ЕСПЧ», «Европейский суд»), в том числе и с участием российских граждан. Рассмотрим некоторые из них.
Дело «Роман Захаров против Российской Федерации» (жалоба №47143/06)[1]. Роман Захаров являлся главным редактором издательства и председателем Санкт-Петербургского отделения Фонда защиты гласности. В 2003 году истец Роман Захаров обратился в российский суд с заявлением на трех операторов мобильной связи по поводу вмешательства в его право на тайну телефонных переговоров со ссылкой на то, что операторы мобильной связи осуществляли прослушивание его телефонных переговоров с разрешения ФСБ России. Суд решил, что Р. Захаров не доказал, что операторы мобильной связи передавали какую-либо защищенную информацию посторонним лицам.
Обжалование решения в вышестоящие российские суды не увенчалось успехом, в связи с чем Захаров обратился с жалобой в ЕСПЧ. Требовал 9000 (девять тысяч) евро в качестве компенсации морального вреда. Европейский Суд по правам человека решил, что заявитель имеет право считаться жертвой нарушения Конвенции, хотя при этом не может доказать, что его телефонные переговоры действительно прослушивались. Указал, что предусмотренная российским Федеральным законом «Об оперативно-розыскной деятельности» процедура получения санкции суда на прослушивание переговоров не может гарантировать, что скрытое наблюдение не применяется беспорядочно. Российский суд, по мнению ЕСПЧ, не осуществляет полноценного контроля при принятии решения, разрешающего прослушивание, что недопустимо в демократическом обществе, а также нарушает статью 8 Конвенции. В части компенсации морального вреда решил, что установление факта нарушения Конвенции само по себе будет являться достаточной справедливой компенсацией, который мог понести заявитель, но присудил возместить Захарову судебные расходы в размере 40 000 евро.
Общие выводы, сформулированные в «деле Романа Захарова», неоднократно применялись в других Постановлениях ЕСПЧ. Так, в 2017 году ЕСЧП рассмотрел 7 жалоб российских граждан на нарушение статьи 8 Конвенции.
Одно из них – дело «Ахлюстин против Российской Федерации» (жалоба № 21200/05)[2]. Ахлюстин являлся членом областной избирательной комиссии. В помещении, где он работал, велось скрытое видеонаблюдение. Впоследствии он был осужден по статье 285 УК РФ за превышение должностных полномочий к двум годам лишения свободы. Ахлюстин обратился в ЕСПЧ, требовал выплаты 10 000 евро в качестве компенсации морального вреда. В жалобе указал, что скрытое наблюдение на рабочем месте производилось незаконно. ЕСПЧ решил, что работодатель не предупредил заявителя о видеонаблюдении, поэтому негласное наблюдение в этом случае представляет собой вмешательство в частную жизнь и нарушает статью 8 Конвенции. Европейский суд по правам человека присудил заявителю 7 500 евро в качестве компенсации морального вреда.
Несмотря на неоднозначность выводов решений ЕСПЧ и прекращение их исполнения на территории России с 2022 года[3], с уверенностью стоит отметить необходимость изучения международных актов и их правоприменительной практики с целью минимизации рисков при работе с персональными данными.
Рассматривая влияние Конвенции на российское законодательство, отметим, что после присоединения к Конвенции во исполнение принятых международных обязательств началось формирование нормативной базы в сфере использования и защиты персональных данных. В 2006 году был принят Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту – «Закон о персональных данных»), базирующийся на принципах, установленных Конвенцией, а также значительное количество подзаконных нормативных актов.
Отмечая значение Конвенции как первого международного документа, посвященного защите персональных данных, согласимся с мнением Д.И. Гороховой, что она отвечает интересам владельцев персональных данных, правам и свободам личности, а также общедемократическим ценностям. Вместе с тем также она содержит очень много неопределенных правил и не регламентирует конкретных мер защиты данных, принятие которых переложено на национальные законодательства стран-участниц[4].
Директивы ЕС о защите персональных данных № 95/46/EC
Достаточная неконкретность Конвенции и расширение сфер использования персональных данных потребовало принятия иных международных актов.
В 1995 году была принята первая Европейская Директива № 95/46/EC «О защите физических лиц применительно к обработке персональных данных и свободном движении таких данных» (далее по тексту – «Директива 95/46/EC»). Общие принципы Директивы были аналогичны принципам Конвенции. Директива 95/46/EC регулировала обработку персональных данных на территории Евросоюза независимо от того, осуществляется она автоматизированным способом или нет. Однако в 2018 году она была отменена в связи с принятием Общего регламента о защите данных.
В 2002 году была принята Директива 2002/58/ЕС «Об обработке персональных данных и защите конфиденциальности и личной тайны в сфере электронных коммуникаций» (далее по тексту – «Директива 2002/58/ЕС»), регламентирующая использование персональных в сфере общедоступных услуг электронной связи. В частности, Директива 2002/58/ЕС устанавливала обязанности провайдера общедоступных услуг связи, как-то:
- предпринимать необходимые технические и организационные меры для обеспечения безопасности предоставляемых услуг;
- защищать персональные данные от случайного или незаконного уничтожения, случайной потери или изменения, несанкционированного хранения, обработки, доступа или раскрытия;
- информировать абонентов при наличии определенной угрозы повреждения системы безопасности сети и возможных средствах защиты.
Также были регламентированы порядок обработки данных о местоположении абонента, использование персональных данных в справочниках абонентах.
Общий регламент о защите данных (GDPR)
Одним из важнейших международных актов Евросоюза, регулирующих защиту персональных данных, стал Общий регламент по защите данных или General Data Protection Regulation (далее по тексту – «Регламент», «GDPR»). Он был принят 27 апреля 2016 года и вступил в силу 25 мая 2018 года. Целью его принятия стала гармонизация национальных правил стран Евросоюза (далее также по тексту – «ЕС») по обработке персональных данных в один унифицированный регламент, установление правил передачи данных за пределы ЕС и защита прав субъектов персональных данных.
Данный документ имеет прямое действие и является обязательным к применению для всех лиц, осуществляющих обработку персональных данных граждан Евросоюза, вне зависимости осуществляется она на территории Евросоюза, так и за его пределами. Обратим внимание, что российские компании – операторы персональных данных также могут попасть под действие Регламента в следующих случаях:
- если имеют филиалы и представительства на территории стран Евросоюза, а также офис или рабочее место, где осуществляется обработка персональных данных;
- оказывают услуги/продают товары гражданам из Евросоюза, в том числе онлайн, вне зависимости от того, требуется ли оплата от субъекта персональных данных (далее по тексту – «субъект ПД») (при этом по GDPR достаточно даже намерения к предложению услуг/товаров: например, если на сайте компании используется национальный язык или валюта государства – члена ЕС, возможен заказ на этом языке);
- осуществляют мониторинг действий граждан ЕС. Под мониторингом следует понимать наблюдение и прогнозирования предпочтений, личностных характеристик, особенностей поведения физических лиц в маркетинговых, статистических и иных целях.
Рассмотрим подробнее терминологию и ключевые положения GDPR.
Под «персональными данными» GDPR понимает любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу. К таковой относится имя, идентификационный номер, сведения о местоположении, идентификатор в режиме онлайн, IP-адрес, данные, полученные при использовании «cookie», и т.д. Под обработкой персональных данных GDPR понимает любую операцию или набор операций, которые совершаются с персональными данными с использованием автоматизированных средств и без таковых, в числе которых сбор, запись, организация, структурирование, хранение, переработка или изменение, поиск и выборка, экспертиза, использование, раскрытие посредством передачи, рассылка или иной способ предоставления для доступа, группировка ил комбинирование, отбор, стирание или уничтожение.
Регламент выделяет два вида Операторов персональных данных: обработчики и контролёры. Первые непосредственно обрабатывают данные, вторые — определяют цели и средства обработки персональных данных и проверяют их корректность.
Принципы обработки персональных данных согласно GDPR:
- законность, справедливость и открытость;
- целевое ограничение (данные собираются для конкретных, ясных и законных целей и не должны в дальнейшем обрабатываться способом, несовместимым с этими целями);
- минимизация данных (использование минимально необходимого объёма данных для выполнения поставленных целей);
- точность (данные должны быть точными, ошибочные данные должны быть исправлены или удалены);
- ограничение хранения (данные должны храниться не дольше, чем нужно для достижения целей);
- целостность и конфиденциальность (данные должны обрабатываться способом, обеспечивающим безопасность, включая защиту от несанкционированной или незаконной обработки с использованием соответствующих технических и организационных мер);
- подотчётность (оператор персональных данных должен подтвердить выполнение всех принципов GDPR).
Обработка персональных данных допускается только в случаях, предусмотренных в статье 6 GDPR, а именно:
- наличие согласия субъекта ПД на обработку;
- обработка необходима для исполнения договора, в котором субъект ПД является одной из сторон;
- обработка необходима для соблюдения требований закона;
- обработка осуществляется для защиты жизненных интересов субъекта ПД или иного физического лица;
- обработка осуществляется в общественных интересах;
- обработка необходима для целей обеспечения законных интересов контролёра.
При отсутствии одного из указанных оснований обработка будет признана неправомерной.
Когда обработка осуществляется на основании согласия, контролёр должен быть способен подтвердить его наличие. Обработка персональных данных ребенка при оказании ему услуг информационного общества будет правомерной, если он достиг 16 лет, в иных случаях согласие должно быть дано или одобрено родителем или иным уполномоченным лицом.
Отдельно статьей 9 GDPR регламентируются основания для обработки особых категорий персональных данных, касающихся расового или этнического происхождения, политических взглядов, религиозных или философских воззрений, членстве в профсоюзе, генетических и биометрических данных, информации о состоянии здоровья, половой жизни или сексуальной ориентации.
Одним из важнейших положений Регламента являются права, которыми наделяются субъекты ПД, которым посвящены глава 3, а также 8 Регламента, в именно:
1. Право на доступ к своим персональным данным. Субъект ПД имеет право получить от контролера информацию о наличии у него персональных данных, которые предоставил сам субъект, так и которые контролер собрал из других источников или создал сам. В частности, может быть запрошена информация о целях обработки, категориях обрабатываемых данных, получателях, кому данные могут быть раскрыты и т.п. Данные предоставляются в пределах одного месяца после обращения в запрашиваемой субъектом форме, в том числе и электронной.
2. Право на уточнение персональных данных. Субъект ПД вправе потребовать исправления неточных данных или дополнения неполных.
3. Право на удаление персональных данных (право «быть забытым»). Субъект ПД вправе потребовать от контролера удалить его данные в случаях, перечисленных GDPR. Например, если персональные данные больше не нужны для целей обработки, субъект ПД данных отозвал свое согласие на обработку или персональные данные были обработаны неправомерно.
Также Регламентом предусмотрены правовые основания, когда допускается продолжать обработку ПД без согласия субъекта: для архивных и статистических целей, в научных или исторических исследовательских целях, для осуществления права на свободу выражения мнения и т.п.
3. Право на ограничение обработки персональных данных. Субъект ПД вправе потребовать от контролёра ограничить обработку в перечисленных GDPR случаях. Например, если оспаривается их точность или обработка является неправомерной, но субъект ПД возражает против их удаления персональных данных и т.п.
4. Право на переносимость персональных данных. Субъект ПД имеет право получать ПД в машиночитаемом формате, если обработка осуществляется автоматизированным способом.
5. Право на возражение. Субъект ПД имеет право возражать против обработки персональных данных, а контролер обязан прекратить их обработку. Исключение: если контролер может доказать наличие иных правовых оснований для обработки. Если персональные данные обрабатываются для целей прямого маркетинга, субъект ПД имеет безусловное право на возражение против обработки его данных.
6. Право лично влиять на автоматизированные системы сбора и профилирования. Регламент позволяет субъектам ПД возразить против решений, которые принимают компьютеризированные системы без участия человека.
7. Право подать жалобу в надзорный орган. Субъект ПД вправе подать жалобу в надзорный орган по месту жительства, по месту работы или по месту нарушения. Надзорный орган обязан рассмотреть жалобу и проинформировать заявителя о результатах разбирательства. Кроме того, субъект ПД вправе обжаловать решение надзорного органа в суде.
8. Право на компенсацию. При нарушении GDPR Оператор обязан предоставить субъекту ПД компенсацию за любой ущерб, нанесенный в результате обработки его персональных данных.
Также скажем несколько слов об обеспечении безопасности персональных данных, предусмотренных Регламентом. Операторы ПД обязаны принимать соответствующие технические и организационные меры, обеспечивающие надлежащий уровень безопасности, включая следующие:
- криптографическую защиту персональных данных;
- применение средств для обеспечения постоянной конфиденциальности данных, а также средств для своевременного восстановления доступа к данным в случае инцидентов;
- регулярную проверку и оценку эффективности принимаемых технических и организационных мер.
Кроме того компании-Операторы обязаны уведомлять регулирующие органы, а в ряде случаях и субъектов ПД, о любых нарушениях в течение 72 часов после обнаружения такого нарушения.
Для соблюдения прав и защиты персональных данных оператору ПД, подпадающему под действие норм GDPR, как минимум, необходимо разработать и внедрить ряд документов:
1. Соглашение об обработке данных (DPA). Данное соглашение заключается между контролером и обработчиком и должно содержать объем, характер и продолжительность обработки, перечень категорий персональных данных и субъектов ПД, права и обязанности сторон, технические и организационные меры защиты, условия по привлечению других обработчиков. Требования к содержанию DPA предусмотрены в статье 28 Регламента.
2. Политику приватности (Privacy notice). В данной политике должна содержаться информация о целях и основаниях обработки персональных данных, категориях обрабатываемых данных, правах субъектов ПД, периоде хранения ПД. Политика должна быть написана простым и понятным языком, без использования сложной терминологии.
Статьи 13 – 14 Регламента обязывают Оператора информировать субъектов ПД об их правах. Как правило, это осуществляется путем публикации в открытых источниках Политики приватности.
3. Согласие на обработку персональных данных (Consent). Регламент устанавливает, что оно должно быть как легко получено, так и легко отозвано.
4. Оценку воздействия на защиту данных (DPIA). Статья 35 GDPR требует, чтобы оценка включала в себя следующее:
- описание операций и целей обработки данных;
- оценку необходимости и соразмерности операций обработки по отношению к целям;
- оценку рисков в отношении прав и свобод субъектов ПД;
- меры для устранения рисков, гарантии безопасности, а также механизмы для обеспечения защиты персональных данных.
Для соблюдения требований Регламента компания – оператор персональных данных должна назначить представителя компании в ЕС и инспектора по защите персональных данных.
Представитель должен быть расположен в стране ЕС, в которой находятся субъекты данных, и осуществлять взаимодействие как с субъектами персональных данных, так и с надзорными органами ЕС. Инспектором по защите персональных данных может выступать как сотрудник компании, так и иное лицо на основании договора об оказании услуг. Задачами инспектора по защите персональных данных являются:
- информирование оператора персональных данных относительно его обязанностей, предусмотренных Регламентом и контроль за их соблюдением;
- консультирование по вопросу оценки воздействия на защиту персональных данных и мониторинг ее осуществления;
- взаимодействие с надзорными органами ЕС.
За несоблюдение GDPR на оператора персональных данных может быть штраф в размере до 20 000 000 Евро или до 4 % от годового оборота (статья 83 GDPR). Его размер варьируется в зависимости от тяжести нарушения, его продолжительности и последствий. Кроме того, если даже российской компании удастся избежать экономических санкций, к ней могут быть применены и другие меры воздействия, как ограничение на доступ к европейским сайтам, запрет на въезд в страны ЕС и т.п.
Оценивая значение GDPR отметим, что он, в отличие от Конвенции, подробно регламентирует требования к обработке и защите персональных данных. Также стоит отметить, что, несмотря на некоторые отличия, Закон о персональных данных и GDPR базируются на идентичных принципах, имеют схожие нормы и нацелены на защиту персональных данных физических лиц.
Подводя итоги, еще раз обратим внимание российских компаний, являющихся операторами персональных данных, на необходимость учета положений международно-правовых актов, особенно если предполагается обработка данных иностранных граждан. Кроме того, соблюдение норм международного права, базирующихся на праве граждан на неприкосновенность личной жизни, положительно повлияет на репутацию компании, увеличит степень доверия со стороны клиентов и партнеров, повысит шансы на выход на зарубежные рынки.
______________________
[1] Постановление ЕСПЧ от 04.12.2015 «Роман Захаров против Российской Федерации» (жалоба №47143/06).
[2] Постановление ЕСПЧ от 07.11.2017 «Ахлюстин против Российской Федерации» (жалоба № № 21200/05).
[3] Федеральный закон от 11 июня 2022 г. № 183-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации».
[4] Д.И. Горохова «Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» // Национальная безопасность, 2013, 1 (24).
1 сентября 2023 г.