Защита персональных данных в цифровой среде

Становление цифровой экономики и задачи права по обеспечению ее развития не ограничиваются совершенствованием и перестройкой сложившегося правового регулирования, обеспечивающего функционал аналоговой экономики в условиях материального производства.

Защита персональных данных в цифровой среде

В условиях тотальной цифровизации информационного общества защиту персональных данных приходится совершенствовать, и совершенству, как известно, нет предела. Ужесточается ответственность за нарушение требований о локализации и вводятся многомиллионные штрафы, пристальное внимание уделяется передаче персональных данных за границу, проверки компаний становятся более тщательными.

Расширяется само понятие персональных данных: например, суды теперь рассматривают в качестве персональных данных геоидентификаторы и данные, позволяющие отслеживать активность пользователя в Интернете. Диджитализация, с одной стороны, создает возможности для оптимизации многих процессов компании, а с другой — многочисленные риски, связанные со сбором, хранением и передачей персональных данных.

В современной мировой практике можно выделить европейскую и американскую модели правового регулирования персональных данных.

Европейская модель, в свою очередь, имеет особенности, связанные с правовыми системами Совета Европы и Европейского Союза. В целом указанная модель основана на Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 г. (далее - Конвенция 1981 г.) (в настоящее время модернизированная Протоколом о внесении изменений в Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, который был подписан от имени Российской Федерации в Страсбурге 10 октября 2018 г. N 294-рп).

Рекомендация Комитета министров Совета Европы "О защите данных, связанных со здоровьем" 2019 года охватывает принципы обработки персональных данных, связанных со здоровьем, с целью обеспечения гарантий уважения прав и основных свобод каждого человека в части права на неприкосновенность частной жизни и защиту персональных данных о состоянии здоровья по мере необходимости. К вышеназванным персональным данным Рекомендация относит: данные о нерожденных детях; генетические данные; обмен данными, связанными со здоровьем, в целях предоставления и управления медицинским обслуживанием.

Значительное влияние на развитие международного и национального законодательства в области защиты персональных данных оказывает Европейский суд по правам человека. Практика ЕСПЧ развивает современное представление о правах человека и устанавливает стандарты их обеспечения и защиты: "Практику ЕСПЧ, в ходе которой вырабатываются правовые позиции Суда, характеризует привнесение в современное научно-технологическое развитие фундаментальных ограничителей, что позволяет осуществить баланс между интересами научно-технологического развития и интересами человека" (см.: Шугуров М.В. Защита прав человека в условиях современного научно-технического прогресса: практика Европейского суда по правам человека // Международное публичное и частное право. 2011. N 1. С. 5).

В этих условиях несомненный интерес представляет прецедентная практика ЕСПЧ по толкованию норм, содержащихся в ст. 8 Европейской конвенции о защите прав человека и основных свобод 1950 года, которая закрепляет право на уважение частной и семейной жизни:

"1. Каждый имеет право на уважение его личной и семейной жизни, его жилища и его корреспонденции.

2. Не допускается вмешательство со стороны публичных властей в осуществление этого права, за исключением случая, когда такое вмешательство предусмотрено законом и необходимо в демократическом обществе в интересах национальной безопасности и общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности или защиты прав и свобод других лиц".

Остановимся немного на европейском механизме защиты персональных данных с помощью ЕСПЧ и Конвенции по правам человека.

Дело "Кэтт против Соединенного Королевства" касалось сбора и хранения личных данных заявителя (который являлся активистом) в одной из баз данных полиции под названием "внутренние экстремисты". ЕСПЧ признал нарушение ст. 8 Европейской конвенции. Аргументация Суда заслуживает особого внимания, так как он подходит к вопросу оценки обстоятельств с позиции различных критериев. Так, материалы, собранные и включенные в базу, касались политических взглядов заявителя, а следовательно, относились к категории политических прав (в части выражения политических взглядов и собственно права придерживаться их). Также был учтен возраст заявителя (94 года) и тот факт, что не было предшествующих фактических обстоятельств, касающихся совершения насилия.

В деле "Барбулеску против Румынии" ЕСПЧ также признал нарушение ст. 8 Европейской конвенции. Гражданин Барбулеску использовал оборудованный на рабочем месте компьютер для личной переписки, впоследствии был уволен. В данном казусе румынские суды не смогли установить справедливый баланс между правом на уважение частной жизни (право на переписку) и правом работодателя на эффективный производственный результат в работе. ЕСПЧ установил, что румынские суды не смогли определить, получал ли гражданин предварительное уведомление от своего работодателя о возможности мониторинга его сообщений. В толковании не обошлось без рассмотрения вопросов публичной власти и пределов ее вмешательства, было подчеркнуто, что государство может использовать режим массового перехвата, если оно считает это необходимым в интересах национальной безопасности. Однако государство должно четко указывать характер преступлений, которые могут повлечь судебное постановление о перехвате, категорий людей, которые могут входить в зону перехвата, процедуру, применяемую для изучения и использования полученных данных, продолжительность перехвата полученных данных, меры предосторожности, которые должны быть приняты, и т.д. Так, было признано нарушение ст. 8 Европейской конвенции ввиду необоснованности решения о доступе к частной переписке.

Обстоятельства дела "Годелли против Италии" касались конфиденциальной информации о рождении ребенка и невозможности получить данную информацию из медицинского учреждения. Заявительница утверждала, что хотела получить информацию о том, кто ее мать, и в этом ей было отказано как на уровне медицинского учреждения, так и на судебном уровне. Заявительница утверждала, что ей был причинен серьезный ущерб в результате непредоставления данной информации и истории о ее кровной линии. ЕСПЧ постановил, что действительно имело место нарушение ст. 8 Европейской конвенции, учитывая, в частности, что справедливый баланс между позицией законодателя относительно конфиденциальной информации о рождении ребенка и возможности получения заявителем хотя бы частичной информации о своих родственных корнях, безусловно, должен решаться в пользу последнего (заявителя).

20 января 2021 г. было принято заявление Комитета министров Совета Европы по случаю 40-летия Конвенции 1981 г. "Защита права на защиту данных в цифровой среде", в котором отмечен потенциал Конвенции 1981 г., обновленной Протоколом о внесении поправок, принятым в 2018 г., стать международным и широко распространенным эталоном с глобальным охватом вопросов конфиденциальности и защиты данных в цифровую эпоху, облегчая трансграничные потоки персональных данных при одновременном обеспечении гарантий и соответствующего уровня защиты и поддержки лучшего сотрудничества в области регулирования на международном уровне.

Американская модель защиты персональных данных достаточно серьезно отличается от европейской в первую очередь тем, что ключевым механизмом, в отличие от европейских комиссаров по защите данных, является судебная защита. Кроме того, в рамках американской модели осуществляется защита личной и семейной тайны (институт privacy), а не собственно персональных данных как таковых. Вместе с тем идет расширение и законодательного регулирования, особенно на уровне штатов США: в Калифорнии в 2020 г. вступил в силу Закон CCPA - California Consumer Privacy Act, обязывающий компании сообщать своим клиентам о том, кому еще передаются их персональные данные. Этот Закон в определенной мере воспринял подходы, характерные для европейского регулирования. В Палате представителей штата Оклахома в марте 2021 г. был принят Oklahoma Computer Data Privacy Act (OCDPA), который регулирует передачу (продажу) персональных данных потребителей третьим лицам в рамках осуществления маркетинговой деятельности. Закон Оклахомы распространяется в том числе на компании, чей валовый годовой доход составляет более $10 млн.

РФ очевидным образом идет по пути имплементации в национальное законодательство именно европейской модели цифровизации personal data. В качестве примера можно привести вопрос, касающийся обезличенных данных. Дело в том, что в рамках Европейского Союза в Общем регламенте по защите данных (GDPR) проводится четкое различие между анонимизированными, т.е. полностью (необратимо) обезличенными, и псевдонимизированными данными. Анонимизированные данные необратимо утратили связь с физическим лицом и поэтому не являются персональными, а псевдонимизированные данные относятся к категории персональных. Аналогичный подход характерен и для Руководящих принципов Совета Европы по "большим данным": пока данные позволяют идентифицировать отдельных лиц, действуют принципы защиты данных.

При этом если для обработки обезличенных персональных данных сохраняется ряд ограничений, установленных для режима персональных данных (получение согласия на обезличивание, запрет передачи информации, с использованием которой становится возможно определить принадлежность обезличенных персональных данных конкретному субъекту персональных данных), то действия по получению обезличенных данных, а также обработка обезличенных данных могут осуществляться без согласия субъекта персональных данных. Обезличенные данные могут быть использованы свободно, в том числе в целях, связанных с осуществлением предпринимательской деятельности.

Федеральный закон от 24 апреля 2020 г. N 123-ФЗ "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации — городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных" ввел новую категорию - персональные данные, полученные в результате обезличивания персональных данных. Их обработка осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, определенных названным Законом.

Еще один Федеральный закон — от 30 декабря 2020 г. N 519-ФЗ ввел новое определение: персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом. Кроме того, Закон установил, что согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Законодательство о персональных данных при всех его недостатках дает возможность контролировать, кто и что про нас знает, и тем самым выбирать различные модели поведения с различными людьми с целью оптимизации наших социальных отношений. В условиях, когда все большее количество социальных взаимодействий происходит в электронной среде, на первый план выходит цифровая личность человека.

По сути, человек в онлайн-пространстве представляет собой только совокупность данных: нули и единицы начинают определять его статус в обществе. Давать возможность бесконтрольного формирования и изменения этих нулей и единиц коммерческим компаниям для достижения ими своих прагматичных целей — означает создавать условия для диктата данных в отношении жизни людей и превращения последних в топливо для экономики.

Тем самым право на защиту персональных данных имеет ценность не само по себе, а в контексте средства обеспечения автономии личности и ее проявления в электронной среде — цифровой личности.

Публикация подготовлена при поддержке юристов DRC.

Защита персональных данных в цифровой среде
Начать дискуссию