Персональные данные в праве Европейского Союза

Основой для европейской концепции защиты персональных данных послужила ст. 8 Конвенции о защите прав человека и основных свобод 1950 г., устанавливающая, что «каждый человек имеет право на уважение его личной и семейной жизни, неприкосновенности его жилища и тайны корреспонденции». Причем в ст. 10 закрепляется основное право на свободу выражения мнения. Это право явно включает в себя «свободу получать и распространять информацию и идеи без какого-либо вмешательства со стороны государственных органов и независимо от государственных границ». Свобода получения информации, установленная ст. 10, предполагает «свободу искать информацию». Права, предусмотренные ст. 8 и 10, не противоречат, а дополняют друг друга. Однако осуществление одного из них часто ограничивается осуществлением другого. Европейский Суд по правам человека очертил в своих постановлениях, на которых основана дальнейшая работа Совета Европы и ЕС по этому вопросу, границы реализации каждого из прав. Так, в частности по делу М. С. против Швеции^[1] суд «повторяет, что защита персональных данных … фундаментально важна для осуществления лицом права на уважение частной и семейной жизни как гарантировано статьей 8 Конвенции». Тем не менее позднее, с развитием прогресса в области обработки баз данных и банков данных, стало необходимым более детальное и системное развитие правовой защиты частной жизни.

В 1980 г. ОЭСР опубликовала Рекомендации по охране частной жизни и трансграничной передаче персональных данных^[2], в которых закрепила некоторые принципы, которые должны применяться на территории стран — членов ОЭСР, а также при передаче между ними персональных данных.

После некоторых промежуточных шагов^[3] и акта ОЭСР в 1981 г. была принята Конвенция о защите физических лиц в отношении автоматизированной обработки персональных данных. Основными принципами Конвенции стали честный и законный сбор и автоматическая обработка данных, их хранение для определенных законных интересов и не для использования для целей, несовместимых с такими интересами, не для сохранности дольше, чем это необходимо. Конвенция затрагивает вопросы качества данных, они должны быть соответствующими, релевантными, не чрезмерными (пропорциональными), их точности, конфиденциальности, информации о субъекте данных, его нраве на доступ и исправление. Сторонам предоставляется право на беспрепятственную передачу персональных данных между ними кроме случаев, когда защита у другой стороны не «эквивалентна» или когда государство не является стороной Конвенции. На начало 2012 г. Конвенцию подписали 46 государств, из них три — Армения, Россия и Турция — не ратифицировали ее.

В 1999 г. были разработаны поправки, позволяющие ЕС присоединиться к этой Конвенции, а в 2001 г. был принят Дополнительный протокол, который создал надзорные органы и запретил передачу данных государствам или организациям, не предоставляющим адекватный уровень защиты. В 2012 г. был разработан проект изменений в Конвенцию^[4], основными целями которых являются контроль субъекта над своими данными и своей целостностью, право на защиту персональных данных, которое за 30 лег стало автономным в дополнение к праву на защиту частной жизни, а также уточнение и расширение понятий в связи с развитием новых информационных технологий.

На основе этих европейских актов развивалось законодательство в области персональных данных в ЕС. В 1990 г. был подготовлен проект^[5], а в 1995 г. принята Директива № 95/46 об охране физических лиц в отношении обработки персональных данных и свободного перемещения таких данных ([ Рамочная] Директива об охране данных)^[6]. Директива, являясь базовым актом в сфере регулирования обработки персональных данных, действует в отношении любой обработки персональных данных — автоматизированной и неавтоматизированной. Так, Директивой об охране данных даны определения важнейшим понятиям в своей сфере применения.

Персональными данными являются «любые данные, относящиеся к идентифицированным или идентифицируемым физическим лицам — субъектам данных. Идентифицируемым лицом является тот, кто может быть прямо или косвенно идентифицирован, в частности посредством ссылки на идентификационный номер или на одну или несколько характеристик, относящихся к его физической, физиологической, ментальной, экономической, культурной или социальной личности». Данное определение является очень широким, позволяющим отнести информацию к персональным данным, даже в случае отсутствия возможности оператора данных связать информацию с физическим лицом, если такая возможность может быть у других лиц. Такими данными являются данные о судимости, адресе, телефонных номерах, кредитных карточках и т. д.

Обработкой является «операция или несколько операций, совершаемых с персональными данными, автоматическими или иными средствами, такие как сбор, запись, организация, хранение, адаптация или изменение, получение, консультирование, использование, раскрытие посредством передачи, распространения или иным обеспечением доступа, выравнивание или сопоставление, блокирование, стирание или уничтожение».

Оператором данных является «физическое или юридическое лицо, государственный орган, служба или любой другой орган, который самостоятельно или совместно с другими определяет средства и цели обработки персональных данных; там, где средства и цели обработки определяются национальными или союзными^[7] законами или регламентами, оператор или определяемый по определенному признаку для наименования может быть назначен национальным или союзным законодательством». При этом в соответствии со ст. 4 действие Директивы № 95/46 распространяется не только на операторов данных, имеющих место жительства или местонахождения в ЕС, но также и на тех операторов вне ЕС, которые используют оборудование, находящееся в ЕС и используемое при обработке данных (за исключением случаев, когда такое оборудование используется только для транзита через территорию Союза). Данное положение является в настоящее время спорным в связи с тем, что так или иначе почти любой сайт при оилайн-торговле во взаимоотношениях с гражданами ЕС использует их компьютер и обрабатывает их персональные данные, т. е. подпадает под действие Директивы, даже находясь вне ЕС и не заботясь об этом.

Основным принципом регулирования, установленным в ЕС, стал запрет любой обработки персональных данных без соблюдения трех условий: законности целей, прозрачности и пропорциональности. Законность обработки должна быть уточнена государствами-членами (ст. 5) и может быть соблюдена без согласия субъекта данных в целях защиты жизни субъекта данных, публичного интереса, исполнения обязательства, стороной которого является субъект данных и некоторых иных (ст. 7). Персональные данные могут быть обработаны только для определенных явно выраженных и законных целей и не могут быть обработаны путем, несовместимым с этими целями (ст. 6).

Прозрачность обеспечивается правом быть информированным при обработке персональных данных. Так, оператор должен указать свое наименование, адрес, цель обработки, получателей данных и иную информацию, требуемую для обеспечения честности обработки (ст. 10 и 11). Субъект данных имеет право доступа ко всем данным, обрабатываемым в отношении него. Он также вправе потребовать исправить, удалить или заблокировать неполную, неточную или обрабатываемую с нарушением правил охраны данных информацию.

Принцип пропорциональности обеспечивается требованиями к обработке: она должна быть адекватной, релевантной и не избыточной, но отношению к целям, для которых данные собираются и обрабатываются. Данные должны быть точными, и в случае необходимости, обновляемыми. Оператор должен предпринимать любое разумное (обоснованное) усилие, чтобы обеспечить точность данных. Данные не должны храниться в форме, позволяющей идентифицировать лиц дольше, чем эго требуется целями обработки.

Государства-члены должны установить достаточные меры охраны для персональных данных, хранимых в течение длительного времени в целях исторического, статистического или научного использования (ст. 6). Более строгая охрана при обработке предоставляется специальным категориям данных: касающихся расового или этнического происхождения, политических мнений, религиозных или философских убеждений, членства в профсоюзах, данных о здоровье и сексуальной жизни (ст. 8). Субъект данных в любое время может возразить против обработки его данных в целях прямого маркетинга (ст. 14). Решение, которое имеет юридическое значение или значительно влияет на субъект данных, не может основываться только на автоматической обработке данных (ст. 15).

Позднее Европейской комиссией были опубликованы стандартные договорные положения о передаче персональных данных в третьи страны в целях удобства и установления единообразия таких оговорок для физических и юридических лиц^[8].

В 1997 г. была принята Директива № 97/66 относительно обработки персональных данных и охраны частной жизни в секторе телекоммуникаций^[9][10] — Директива об охране данных в телекоммуникациях, закрепившая принципы и дополнившая Директиву № 95/46 об охране данных специализированными правилами для телекоммуникационного сектора. В 2002 г. принята се новая версия — Директива № 2002/58 относительно персональных данных и охраны частной жизни в секторе электронных телекоммуникаций³ в связи с принятием «Телеком-пакета» в 2002 г. и необходимостью установить регулирование в области охраны персональных данных для новой технологичной среды. Вопросы, явно не урегулированные Директивой об охране данных, попали в сферу действия этой Директивы, в частности «право на частную жизнь в секторе электронных коммуникаций» и свободного перемещения данных, коммуникационного оборудования и услуг. Директива об охране данных в телекоммуникациях не применяется к деятельности в областях общественной безопасности, обороны, государственной безопасности и сфере уголовного права.

Одним из главных отличий является сфера действия Директивы 2002/58: в соответствии со ст. 1 она применяется нс только к физическим, но и юридическим лицам. В частности, дается такое определение, как «электронная почта»: «любое текстовое, голосовое, звуковое или визуальное сообщение, посланное через публичную сеть электронных коммуникаций, которое может храниться в сети или на терминальном оборудовании получателя до своего получения им».

Директива об охране данных в телекоммуникациях обязывает адресатов — провайдеров услуг электронных коммуникаций — обеспечивать безопасность своих услуг в техническом и организационном плане, включая обязанность информировать подписчиков о таких рисках, как атака вирусов или иных наносящих вред программ, а в случае риска утечки персональных данных — компетентный национальный орган. Провайдерам услуг надлежит обеспечить конфиденциальность коммуникаций и связанного трафика данных.

В частности, им запрещено прослушивание, в том числе с использованием спецсредств, хранение и другие виды внедрения или наблюдения за трафиком без разрешения затрагиваемых пользователей, кроме случаев законной деятельности такого рода. Например, для технических целей, целей национальной безопасности, предотвращения преступлений или иных целей, указанных в Директиве 2002/58. Она же обязывает провайдеров удалять или анонимизировать обрабатываемый объем данных в случае отсутствия необходимости указанных видов надзора за трафиком (ст. 6). Хранение данных разрешается только в целях их учета, а также по разрешению пользователя для маркетинговых или иных связанных услуг, например электронной почты и т. д. В любом случае субъект данных должен быть информирован, почему и как долго данные будут обрабатываться (храниться). Конфиденциальность должна сохраняться даже при посылке счетов: пользователи имеют право на недетализированный счет (ст. 7). Пользователи также могут отказаться от определения номера (ст. 8). Обработка данных относительно местонахождения пользователя или его трафика допускается, только если такие данные обезличены, в случае наличия согласия или в случае предоставления связанных услуг, а также только с информацией относительно факта обработки такой информации и возможностью отказаться от нее.

Статья 13 запрещает рассылку маркетинговых сообщений, включая рассылаемые по электронной почте, СМС, и им подобные, без предварительного разрешения получателя, т. е. спам. Лицо, собравшее адреса при продаже товара или услуге, получает право использовать адрес с целью маркетинга, однако пользователь имеет право отклонить такие коммуникации. Государствачлены обязаны определить условия, при которых незаирошенные коммуникации запрещаются.

Директива 2002/58 также регулирует использование так называемых «куки»^[11], о важности, необходимости использования, а также опасности которых упоминается в преамбуле. Куки (положения статьи технологически нейтральны, поэтому любое иное хранение информации также подпадает под ее действие, что позволяет применить такой режим регулирования для технологического развития в будущем) на терминале клиента разрешены только с согласия пользователя, обладающего ясной и полной информацией о таком хранении. Таким образом, устанавливаются требования к информации на сайтах, работающих для жителей стран ЕС, однако не дается четкого разъяснения или иного рода рекомендаций по реализации этих правил в современных условиях информационного наполнения и дизайна сайтов. Тем не менее разрешаются куки, «определенно необходимые с целью оказания провайдером услуги информационного общества явно запрошенной подписчиком или пользователем услуги» (ст. 5), что обыкновенно происходит при нажатиях пользователей на кнопки «добавить в корзину», «купить» при онлайн-торговле.

Принимая принцип охраны персональных данных в качестве базового, в учредительные документы Союза были внесены изменения. Так, Амстердамским договором была внесена ст. 213Ь, позднее ст. 286 Договора об учреждении Европейского сообщества, а в настоящее время — ст. 16 ДФЕС^[12]. Сейчас в ней указано, что каждый имеет право на охрану относящихся к нему персональных данных, а также то, что Европейский парламент и Совет должны принять правила по охране физических лиц в отношении обработки персональных данных институтами, органами, бюро и службами Союза и государствами-членами при любой деятельности, подпадающей иод действие права ЕС, а также правила свободного перемещения таких данных. Соблюдение этих правил должно быть предметом контроля со стороны независимых органов.

Таким актом стал Регламент № 45/2001 об охране физических лиц в отношении обработки персональных данных институтами и органами Сообщества и о свободном перемещении таких данных^[13]. Целью Регламента является обеспечение охраны персональных данных при их обработке институтами и органами ЕС. Положения акта гарантируют высокий уровень охраны обрабатываемых персональных данных, а также учреждение независимого надзорного органа, следящего за соблюдением этих положений.

Такой надзорный орган в ЕС был создан. Это Европейский контролер по охране данных^[14]. Его основная функция состоит в надзоре за деятельностью органов ЕС с помощью сети офицеров по охране данных — минимум одного должностного лица, назначаемого в каждом органе ЕС. Такие лица отвечают за политику охраны персональных данных, а также выражение мнений в своей сфере ведения по тем проектам актов, которые принимаются органами ЕС. Так, в частности, в качестве примеров деятельности Европейского контролера по охране данных является наблюдение за обработкой данных в базе Eurodac — базе отпечатков пальцев лиц, ходатайствующих об убежище в ЕС, заключение относительно законности заключения соглашения с США по вопросу о передаче данных авиапассажиров, путешествующих в США и страны ЕС.

После террористических атак в Мадриде в 2004 г. и Лондоне в 2005 г. обмен данными лиц стал одной из основ национального сотрудничества правоохранительных органов государств — членов ЕС в области сотрудничества в борьбе против терроризма и организованной преступности. В 2008 г. было принято Рамочное решение № 2008/977 об охране персональных данных, обрабатываемых в рамках сотрудничества полиций и судебных органов в уголовной сфере^[14]. Акт защищает права субъектов данных при предотвращении, расследовании, выявлении и пресечении преступлений и исполнении наказаний и трансграничной передаче данных при такой деятельности, при этом оставляя вне своей сферы деятельности обычную работу органов в рамках своих государств (в том числе дактилоскопирование и взятие образцов ДНК). Рамочным решением вводится такой же режим, что и базовой Директивой № 95/46 об охране данных: большинство его положений копируют соответствующие положения Директивы. Таким образом, Союзом обеспечивается реализация права на охрану данных и в этой области компетенции Союза, ранее — третьей опоре.

В конце 2000;х гг. высокий темп развития технологий заставил органы ЕС начать пересматривать законодательную базу данной области. В 2010 г. Комиссией был предложена новая стратегия развития регулирования, а в начале 2012 г. — полноформатная реформа^[16] с проектами новых нормативных актов. Так, в частности, представлены проект Регламента^[17], заменяющего собой базовую Директиву № 95/46 об охране данных, и Директивы^[18], заменяющей Рамочное решение № 2008/977. Акты вводят некоторые важные изменения в принципы охраны персональных данных в ЕС.

«Право быть забытым» — явное требование к операторам персональных данных (включая социальные сети как основной источник вопросов о законности действий) минимизировать объем персональных данных пользователей. Настройки по умолчанию должны обеспечивать непубличность данных. Явное обязательство для операторов данных удалить персональные данные физического лица, если оно явно требует их удалить, и когда нет иного законного основания их оставить.

Уведомления об уязвимости данных — обязательство операторов усилить меры безопасности с целью предотвращения и избежания уязвимостей, уведомлять об уязвимостях в национальный орган по охране данных в течение 24 часов с момента обнаружения уязвимости, и затронутых физических лиц — незамедлительно.

Улучшение прав физических лиц достигается за счет обеспечения получения добровольного согласия либо посредством явного волеизъявления, либо ясным утвердительным действием соответствующего лица; предоставления доступа к своим данным в виде получения копии хранимых данных от оператора и свободы их перемещения от одного провайдера к другому без помех; совершенствования права на информацию посредством обеспечения полного понимания лицами того, как обрабатываются их данные, в особенности в случаях, когда затрагиваются права детей.

Улучшение средств, используемых для реализации своих прав физическими лицами осуществляется следующим образом: обеспечивается увеличение компетенции национальных органов по охране данных с целью более эффективного реагирования на жалобы (например, жалоба на оператора вне ЕС может быть подана в национальный орган по месту жительства гражданина ЕС); осуществляется проведение расследований, принятие обязывающих решений и наложение эффективных и сдерживающих санкций, расширение административных и судебных средств в случае нарушения охраны данных (в частности, право соответствующим образом зарегистрированной ассоциации подать иск от имени физического лица).

Усиление безопасности данных осуществляется за счет стимулирования использования технологий, минимизирующих хранение персональных данных и тем самым расширяющих право на неприкосновенность частной жизни. Это также дружественные к обеспечению права на частную жизнь схемы сертификации и настроек по умолчанию, требования к операторам данных, имеющих более 250 работников или в силу деятельности представляющих риски для прав и свобод физических лиц, назначить офицера по охране данных. Сюда же можно отнести введение принципа «Частная жизнь при разработке», используемого с целью принятия во внимание гарантий охраны данных на стадии планирования процедур и систем.

С целью установить единый набор правил по охране данных во всем ЕС Комиссией выбран Регламент как инструмент, унифицирующий нормы в соответствующей области. Мотивацией и отходом от принципа гармонизации с помощью директивы для этого послужили результаты опроса, согласно которым граждане ЕС хотели бы иметь единые правила на всей территории Союза. Так, Комиссией также были учтены интересы бизнеса: компании-операторы данных, находящиеся в ЕС, будут работать только с единственным национальным органом по охране данных — по их местонахождению, а также более не будет требоваться уведомление о том, что компании обрабатывают персональные данные (в 2010 г. было предложено не отказываться от уведомлений, а лишь гармонизировать их и подавать по единой форме), введено закрепляющее сложившуюся практику понятие «обязательные корпоративные правила»^[19] — документ, добровольно принимаемый компанией или группой компаний и регулирующий движение персональных данных внутри компании или группы компаний, а также меры по их охране.

Предложенный проект Директивы, заменяющей Рамочное решение № 2008/977 об охране персональных данных, обрабатываемых в рамках полицейского и судебного сотрудничества в уголовной сфере, расширяет охрану персональных данных в своей области. Так, предложено распространить режим охраны данных не только на трансграничную их передачу, но и на любые операции, осуществляемые национальными органами в сфере предупреждения, расследования и пресечения преступлений, а также исполнения наказаний. В проект введены иные дополнения, увеличивающие уровень охраны данных на всех этапах их обработки.

Подводя итог обозрению правовой базы охраны персональных данных в ЕС, стоит отметить позицию Суда ЕС по делу Volker und Markus Schecke and Eifert^[20], указавшему, что «право на охрану персональных данных — не абсолютное право, оно должно быть рассмотрено относительно своей функции в обществе».

• [1] М. S. vs. Sweden. ЕС HR August 28, 1997, Reports of Judgments and Decisions1997;IV.
• [2] Recommendation of the Council concerning guidelines governing the protectionof privacy and transborder flows of personal data. 23.09.1980. Документ опубликован на сайте 03CP//http://www.oecd.org/document/18/0,2340, cn_2649_34 255_1815186_l_l_l_l, 00.html.
• [3] Таковыми стали принятие Резолюций 22 и 29 в 1973 и 1974 гг. соответственно, которые устанавливали принципы охраны персональных данных в автоматизированных банках данных в частном и публичном секторах. При подготовкеактов стало понятно, что эффективное развитие национального законодательствастран Европы возможно лишь при принятии соответствующих международныхактов, что было заявлено на конференции министров юстиции Европы в 1972 г.
• [4] Modernisation of Convention 108: new proposals. The consultative committeeof the convention for the protection of individuals with regard to automatic processingof personal data [ETS no. 1081. Strasbourg, lSJanuary 2012//http://www.coe.int/t/dghl/standardsetting/dataprotection/TPD_documents/T-PD-BUR_2012₀₁_EN.pdf
• [5] Proposal for a Council Directive concerning the protection of individuals inrelation to the processing of personal data./* COM/90/314 FINAL — SYN 287//OJ. 1990. C 277.
• [6] Directive 95/46/EC of the European Parliament and of the Council of24 October 1995 on the protection of individuals with regard to the processing ofpersonal data and on the free movement of such data // OJ. 1995. L 281.
• [7] В оригинале Community, имеется в виду Европейское сообщество (European Community), которое в силу Лиссабонского договора перестало существовать. Автор руководствуется целесообразностью перевода с учетом реалий.
• [8] Commission Decision 2001/497/ЕС of 15 June 2001 on standard contractualclauses for the transfer of personal data to third countries under Directive 95/46/EC. OJ. L 181, 4.7.2001. P. 19, Commission Decision 2004/915/EC of 27 December2004 amending Decision 2001/497/EC as regards the introduction of an alternativeset of standard contractual clauses for the transfer of personal data to third countries //OJ. 2004. L 385.
• [9] Directive 97/66/EC of the European Parliament and of the Council of15 December 1997 concerning the processing of personal data and the protection ofprivacy in the telecommunications sector // OJ. 1998. L 24.
• [10] Также называемая E-Privacy Directive. Directive 2002/58/EC concerningthe processing of personal data and the protection of privacy in the electroniccommunications sector // OJ. 2002. L 201.
• [11] Куки (от англ, cookie — печенье) — небольшой фрагмент данных, созданный веб-сервером или веб-страницей, используется веб-серверами для различения пользователей и хранения данных о них. Используется подавляющим большинством сайтов в Интернете.
• [12] Примечательно, что эта статья находится в разд. II ДФЕС — Положения, имеющие общее применение, — наряду с положениями и равенстве полов, неди-скриминации, охране окружающей среды и т. д., что лишь показывает изменениестатуса в течение более чем 50 лет до фундаментального права и современноепонимание важности охраны лиц в отношении обработки их персональных данных.
• [13] Regulation (ЕС) No 45/2001 of the European Parliament and of the Councilof 18 December 2000 on the protection of individuals with regard to the processingof personal data by the Community institutions and bodies and on the free movementof such data//О J. 2001. L 8.
• [14] Англ., European Data Protection Supervisor, фр., Controleur europeen de laprotection des donnees. 2 Council Framework Decision 2008/977/JHA of 27 November 2008 onthe protection of personal data processed in the framework of police and judicialcooperation in criminal matters // OJ. 2008. L 350.
• [15] Англ., European Data Protection Supervisor, фр., Controleur europeen de laprotection des donnees. 2 Council Framework Decision 2008/977/JHA of 27 November 2008 onthe protection of personal data processed in the framework of police and judicialcooperation in criminal matters // OJ. 2008. L 350.
• [16] Communication from the Commission to the European Parliament, theCouncil, the European Economic and Social Committee and the Committee of theRegions Safeguarding Privacy in a Connected World. A European Data ProtectionFramework for the 21 st Century. COM (2012) 9 final 25.1.2012 // http://ec.europa.eu/justice/data-protection/document/review2012/com_2012₉_en.pdf.
• [17] Proposal for a Regulation of the European Parliament and of the Council on theprotection of individuals with regard to the processing of personal data and on the freemovement of such data (General Data Protection Regulation) COM (2012) 11 final25.1.2012 // http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_ll_en.pdf.
• [18] Proposal for a Directive of the European Parliament and of the Council on theprotection of individuals with regard to the processing of personal data by competentauthorities for the purposes of prevention, investigation, detection or prosecution ofcriminal offences or the execution of criminal penalties, and the free movement of suchdata. COM (2012) 10 final 25.1.2012 / /http://ec.europa.eu/justice/data-protection/document/review2012/com_2012₁₀_en.pdf.
• [19] Binding corporate rules, англ., regies d‘entreprise contraignantes, фр.
• [20] Court of Justice of the EU, judgment of 9.11.2010, Joined Cases C-92/09 andC-93/09 Volker und Markus Schecke and Eifert [2010] ECR 1−0000.