Ссылка для цитирования: Чикишев Н.А. Базовые принципы Генерального регламента о защите персональных данных Европейского Союза // Медиаскоп. 2019. Вып. 1. Режим доступа: http://www.mediascope.ru/2528
DOI: 10.30547/mediascope.1.2019.8
© Чикишев Николай Анатольевич
выпускник аспирантуры факультета журналистики МГУ имени М.В. Ломоносова (г. Москва, Россия), kuormasto@gmail.com
Аннотация
Принятие нового Регламента о защите персональных данных Европейского Союза открывает новую страницу в сфере защиты данных в Европе. Действие документа распространяется на все государства-члены ЕС, а также затрагивает пользователей и компании в третьих странах, с которыми сотрудничают европейские обработчики данных. В настоящем исследовании проанализированы принципы действия нового механизма защиты, права и обязанности сторон, рассмотрены нововведения отрасли и дана оценка правовым противоречиям Регламента. В выводах подведен итог исследованию и показаны преимущества нового законодательства Европейского Союза.
Ключевые слова: право на забвение, персональные данные, Интернет, цифровые права, Генеральный регламент о защите персональных данных ЕС.
25 мая 2018 г. вступил в силу принятый Европейской Комиссией Генеральный регламент о защите персональных данных (англ. General Data Protection Regulation)1. Документ прямого действия, Регламент стал результатом интенсивных переговоров между различными европейскими структурами и заменил предыдущий документ – Директиву ЕС по защите данных 95/46/ЕС, которая регулировала сферу защиты данных на протяжении более двадцати лет.
В данной статье мы остановимся на основополагающих принципах и элементах защиты данных упомянутого Регламента с целью проанализировать их действие, выявить достоинства и недостатки нового документа. Следует добавить, что под базовыми принципами Регламента мы понимаем отраслевые правовые принципы, которые распространяются на всю сферу законодательства, связанного с защитой информации. Эти сформулированные принципы выражают некоторые закономерности права и представляют собой наиболее общие нормы правового регулирования. Таким образом, описанные нами принципы являются некими общими идеями, которыми руководствовались авторы Регламента при составлении документа. Благодаря этим базовым положениям становится возможной адаптация законодательных норм к интересам и потребностям пользователя и общества в информационную эпоху. Принципы систематизируют правила и обеспечивают необходимую связь между различными правовыми нормами, выступают ориентиром в правотворческом процессе, направляют применение юридических норм и являются связующим звеном между закономерностями развития общества и правовой системы.
Введение
Регламент открывает новый законотворческий этап в деятельности европейских структур. Амбициозная задача − заменить все предыдущие законодательные акты в сфере защиты персональных данных одним, общим документом − была достигнута путем длительных переговоров, дискуссий и компромиссов между основными контрагентами законотворческого процесса в Европейском Союзе: Европейским Парламентом, Европейским Советом, Европейской комиссией (далее – Комиссией), Рабочей группой 292 и Европейским инспектором по защите данных.
Предыдущие документы, регламентирующие сферу защиты данных, носили рекомендательный характер. В первую очередь, это Директива ЕС по защите данных 95/46/ЕС3 – основополагающий документ, который, однако, не имел прямого действия. Каждое государство-член ЕС имел право на разработку собственного национального законодательства о защите персональных данных. Далее – Директива по защите данных полиции и уголовного правосудия4. Третий документ – рамочное соглашение 2008/977/JHA5 – не вносил значительных изменений в общую конструкцию защиты данных в Европе и скорее был подготовительным этапом в принятии настоящего Регламента.
Остановимся на Директиве 95/46/ЕС. Основные элементы и принципы документа имеют длинную, сорокалетнюю, историю, начавшуюся задолго до его принятия (De Hert, Papakonstantinou, 2012: 131). Начиная с принятия в федеральной земле Гессен в 1970-х гг. первого закона о защите данных все государства-члены ЕС ориентировались в национальном законодательстве на данную схему, которая оставалась неизменной и была принята в Директиве.
Суть этой схемы заключается в следующем: формализуется определенный тип обработки персональных данных, к нему применяется разработанная специализированная правовая система с определениями, правилами и ограничениями. Набор принципов описывает, каким образом должна происходить обработка данных, какие субъекты данных наделяются специфическим набором прав при осуществлении этой обработки. Специальный механизм соблюдения прав контролирует применение всего вышеперечисленного.
Несмотря на то что система защиты данных сложилась на протяжении 1960−1970-х гг., эксперты высоко оценивают ее возможности при серьезных изменениях, которые затронули элементы и – особенно − технологии системы (De Hert, Papakonstantinou, 2012: 131).
Даже за последние пять лет обсуждения проекта Регламента технологии изменились: пользование смартфонами и приложениями растет быстрыми темпами, Интернет окончательно разделился на «открытый» и «темный» (англ. dark web), «большие данные», беспилотные летательные аппараты, Интернет вещей и другие нишевые технологии ставят вопрос о пределах регулирования в данной сфере (De Hert, Papakonstantinou, 2016: 2).
При разработке данной Директивы количество вычислительных операций было ограниченно, легко прослеживалось и идентифицировалось. Но с развитием информационных технологий, увеличением вычислительных возможностей и появлением облачных данных, с увеличением числа контрагентов, занимающихся обработкой одних и тех же персональных данных концепция их регулирования все чаще входит в противоречие с технологическими реалиями. Эксперты заявляют о «моральном износе» Директивы, о неприменимости ее положений в таких сферах, как трансграничная передача данных и уведомительный характер обработки данных (Mayer-Schönberger, Padova, 2016: 318). Таким образом, призванная смягчить разногласия на уровне национальных законодательств, Директива не достигла требуемого уровня гармонизации и отражает скорее мир «малых данных», эпоха которых уже закончилась (Mayer-Schönberger, Padova, 2016: 326).
В рамках реформирования системы управления ЕС принятый в 2009 г. Лиссабонский договор официально закрепил право на защиту данных в качестве фундаментального права, разграничив его с правом на неприкосновенность частной жизни. Возникла возможность пересмотра Директивы и всей системы защиты персональных данных в ЕС с целью устранения недостатков в европейском законодательстве.
Таким же образом авторы Регламента в положении 1 Преамбулы ссылаются на параграф 1 статьи 8 Хартии основных прав ЕС6 и параграф 1 статьи 16 Договора о функционировании ЕС7, подтверждая, что «любой человек имеет право на защиту своих персональных данных».
Процесс внесения поправок в Директиву начался в 2009 г. Первоначально проект Регламента был основан на предложении, опубликованном Европейской комиссией (Комиссией) в 2012 г. Европейский парламент утвердил свою собственную версию в 2014 г. После того, как Совет также утвердил свою версию (известную как «Общий подход») в июне 2015 г., институты ЕС были готовы выйти на заключительный этап законодательного процесса. Этот последний шаг, известный как «трехсторонние переговоры» (англ. trilogue), − переговоры между представителями Совета, Комиссии и Парламента, в которых три учреждения стремились достичь соглашения по тексту Регламента (Burton, de Boel, Kuner, Pateraki et al., 2016: 2).
Кардинальная переработка Директивы – логичный процесс, связанный с основной трудностью, с которой столкнулась Европейская Комиссия при подготовке нового документа.8 Отсутствие согласованности в действиях национальных органов по защите данных создавало правовую неопределенность между контрагентами, «фрагментация» законодательства наносила ущерб правам отдельных лиц, парадоксально при этом защищая их данные (Kuner, 2012: 3). Поэтому Комиссия выбрала Регламент как более подходящий путь к разрешению конфликта, расширяя, таким образом, юрисдикцию нового органа по защите данных в пределах всего ЕС и принимая документ прямого действия, минуя национальных уровень.
В положении 9 Преамбулы Регламента говорится: « Директива 95/46/EC не позволила избежать фрагментации внедрения защиты данных в Союзе, правовой неопределенности или широко распространенного мнения общественности о том, что значительные риски для защиты людей по-прежнему существуют, особенно в отношении онлайн-среды». «Различия в уровне защиты прав и свобод физических лиц, – пишут авторы документа, – в частности права на защиту персональных данных, в отношении обработки персональных данных в государствах-членах ограничивают свободное распространение таких данных по всему Союзу. Таким образом, эти различия могут стать препятствием для осуществления экономической деятельности на уровне Союза, могут влиять на конкуренцию и мешать властям исполнять свои обязательства по законодательству Союза. Эти различия в уровне защиты обусловлены наличием расхождений в осуществлении и применении Директивы 95/46/EC»9.
Общее законодательство в виде Регламента подразумевает не только единые структуры защиты данных по всей Европе, но также и единый уровень этой защиты. В положении 10 Преамбулы Регламента обозначено: «Для того чтобы обеспечить последовательный и высокий уровень защиты людей и устранить препятствия на пути потоков персональных данных в рамках ЕС, уровень защиты прав и свобод человека в отношении обработки таких данных должен быть эквивалентным во всех государствах-членах». Однако в положении 16 утверждается, что «настоящие Правила не применяются к фундаментальным вопросам защиты прав и свобод или свободного потока персональных данных, выходящих за рамки законодательства ЕС, − таким, как деятельность, связанная с национальной безопасностью». Не ясно, какие именно правила будут регулировать национальную безопасность, которая оставлена на усмотрение национального законодательства – это предмет для отдельного разбирательства (Kuner, 2012: 4).
В основе этого подхода лежит различие, которое эксперты назвали «неуловимым» (De Hert, Papakonstantinou, 2012: 132): с одной стороны, стремление регулировать коммерческое применение данных и связанные с этим риски и, с другой стороны, все возрастающие требования к их безопасности и защите. Комиссия после Лиссабонского договора пошла, казалось бы, по второму пути, увеличивая двусмысленность и непонимание между коммерческим сектором и правоохранительными структурами.
В 2 статье Регламента указана сфера применения документа, которая довольно обширна, но ограничена несколькими пунктами, не подпадающими под его юрисдикцию. Это файлы, касающиеся национальной безопасности – они остаются в ведении государств-членов ЕС. Также Регламент не регулирует обработку данных физическим лицом «в домашних условиях» и деятельность, которая касается предотвращения и обнаружения уголовных преступлений, поскольку это объект отдельных юридических постановлений.
Персональные данные: общие и конфиденциальные данные
Определение, что же такое в представлении авторов Регламента «персональные данные», является основополагающим для анализа его базовых принципов. Для того чтобы определенная обработка регулировалась Регламентом, информация должна быть персональной и относиться к определенному физическому лицу10. В этом отношении Регламент в статье 4 следует определению Директивы 95/46/ЕС, где «персональные данные означают любую информацию, относящемуся к субъекту данных»11.
Лицо, поддающееся опознанию, может быть установлено прямо или косвенно путем идентификации. Инструменты для этого самые разные: путем идентификации имени, данных локализации, по его деятельности в Интернете или с помощью других специфических элементов – таких, как физических, психологических, генетических, психических, экономических, культурных или социальных. В Преамбуле прямо указаны способы идентификации − такие, как IP-адреса и идентификаторы файлов cookie. Под косвенными способами могут подразумеваться даже метки RFID12 или рекламные профили в Интернете. Комиссия, таким образом, довольно ясно указывает качество этих данных и методы их сбора.
Перенесенным из Директивы оказалось разделение персональных данных на «общие» и «конфиденциальные». Если обработка первых и составляет основной предмет Регламента, то обработка вторых практически запрещена. Что подразумевается под конфиденциальными данными? К ним относятся такие аспекты частной жизни, как религия, политические и философские убеждения, сексуальная жизнь и судимость.
В этом отношении европейские законодатели не пошли по «американскому пути». В правовой базе США конфиденциальными данными (англ. sensitive data) принято называть те данные, кража которых приводит к значительным нарушениям в сфере безопасности: например, данные кредитной карты или водительских прав (Gilbert, 2012: 830).
Новшеством Регламента стало добавление в список конфиденциальных данных генетической и биометрической информации, сексуальной ориентации и здоровья. Однако возникает вопрос, насколько этот список полный и каковы рамки обработки данных, при которых эта информация становится явной? Например, при сборе информации о предпочтениях в еде мы можем выяснить религиозные убеждения, информация об увлечениях говорит о наших философских убеждениях. Таким образом, часто мы не можем точно выяснить, какие данные являются общими, а какие – конфиденциальными.
Регламент позволяет государствам-членам принимать дополнительные условия, включая ограничения, для обработки генетических данных, биометрических данных или данных о здоровье (статья 9)13. В этом решении есть некоторая опасность для европейского законодательства, поскольку принятие различных национальных законов приведет к его фрагментации. В положении 42 Преамбулы Регламента предусмотрен компромиссный вариант: законы государств-членов ЕС, регулирующие эти типы данных, не должны препятствовать свободному потоку данных в ЕС (Burton, de Boel, Kuner, Pateraki et al., 2016: 4).
Авторы Регламента предусмотрели случаи обработки и передачи конфиденциальных данных (статья 9)14. К ним относятся случаи:
Отдельно в статье прописано: государства-члены могут ввести дополнительные условия для генетических, биометрических или медицинских данных. Однако общественный интерес как повод не может быть применен, если обработка предполагает другие цели третьих сторон − таких, как работодатели, или компании, или банки. Как мы видим, для национального законодательства оставлено пространство для маневра.
С появлением новых, интенсивных способов обработки данных или анализа «больших данных» возникает возможность на основе персональных данных получать конфиденциальную информацию. Каким образом регулировать данную обработку – вопрос остается открытым.
Для разрешения спорных ситуаций Комиссия в рекомендациях к принятию Регламента предлагала ввести так называемый «тест пропорциональности»: идентификацию следует рассматривать как «средство, используемое, вероятно, в разумных пределах» с учетом «всех объективных факторов – таких, как технологии, затраченные усилия и стоимость идентификации». Иными словами, обработчик данных должен сам определить, насколько пропорциональны прилагаемые усилия и эффект от идентификации. Однако регулирующих этот процесс документов пока не существует (De Hert, Papakonstantinou, 2016: 4).
Интересен подход авторов документа к псевдонимизации данных. Псевдонимизация определяется как способ деидентификации, когда одновременно удаляется связь с субъектом данных и добавляется связь между определенным набором относящихся к субъекту данных характеристик и одним или несколькими псевдонимами. На практике псевдонимизация относится к мерам по повышению конфиденциальности, которые направлены на снижение риска выделения одного человека в пуле данных. Это инструмент, помогающий контролерам данных и обработчикам выполнять свои обязательства по защите данных (Burton, de Boel Kuner, Pateraki et al., 2016: 3−4). В статье 4 четко сказано, что данные, ставшие объектом псевдонимизации, через которые был идентифицирован человек с помощью дополнительной информации, должны рассматриваться как информация, касающаяся физического лица, поддающегося опознанию. Иначе говоря, обработка данных, подвергнутых псевдонимизации, должна рассматриваться как обработка общих данных.
Дополнительным моментом является вопрос анонимизации данных. Статья 10 Регламента указывает, что обработчики данных не должны идентифицировать субъектов данных только лишь для того, чтобы соответствовать положениям документа15. Положение 23 Преамбулы утверждает, что «принципы защиты данных не должны применяться к анонимным данным таким образом, чтобы субъект данных более не идентифицировался»16. Это дает мощный стимул для использования обработчиками методов анонимизации (Kuner, 2012: 5).
Законные основания обработки персональных данных
Исходя из вышесказанного, мы можем охарактеризовать принцип законности обработки, или соответствие обработки, по следующим критериям17:
Для краткости: обработка должна соответствовать принципам законности, честности, прозрачности, ограниченности целями, минимизации данных, точности, ограниченности по времени, неприкосновенности, конфиденциальности и подотчетности. Зачастую бывает трудно найти четкую правовую основу для обработки персональных данных для целей сетевой и информационной безопасности, и положения этой статьи являются «приветственным шагом», который должен способствовать деятельности по повышению уровня информационной безопасности в ЕС (Kuner, 2012: 5−6).
Принцип ответственности обработчика данных становится определяющим и фундаментальным. В отличие от предыдущих законодательных актов, уведомительный характер действий обработчика заменен внутренним распорядком в отношении обработки персональных данных: таким образом, обработчик должен продемонстрировать должный уровень защиты данных. Демонстрация и бремя доказывания необходимого уровня также является прерогативой обработчика.
В статье 6 Регламента18 принцип законности дополняется несколькими положениями, согласно которым обработку можно признать законной, если она соответствует хотя бы одному из них:
Критерий законного интереса является самым спорным положением из представленных, и, чтобы избежать очевидного дисбаланса, необходимо определить, как законный интерес превалирует над интересами, свободами и фундаментальными правами физического лица (например, ребенка). В гипотетическом случае защита его интересов всегда будет преобладать над интересами третьей стороны. Также законный интерес перестает действовать, если данные обработаны в обстоятельствах, когда заинтересованное лицо «не ожидает дальнейшей необходимой обработки данных» (Nicolaidou, Georgiades, 2017: 8).
Тем не менее предотвращение мошенничества, безопасность информационных систем (в том числе борьба с DDoS-атаками) или обработка в следственных целях по умолчанию считаются законным интересом (47 положение Преамбулы). Но государствам-членам предложено самим предусмотреть специфические положения в отношении законных обязательств или касающихся общественного интереса.
Обработка властями/государственными структурами не входит в этот перечень просто потому, что эти действия входят в другую юридическую базу и регулируются законодательством в отношении обработки персональных данных государственными структурами.
Ответственный за обработку обязан отслеживать уголовные нарушения или угрозы для публичной безопасности и передавать компетентным органам персональные данные в каждом конкретном случае. Исключение из правила – это профессиональная тайна (медицинская, журналистская, адвокатская и т. д.).
Контрагенты в сфере защиты данных
Регламент описывает традиционную схему обработки персональных данных, в которой оператор, или контроллер данных, принимает решение обработать данные физического лица, или субъекта данных, с помощью своих собственных средств и инструментов или с привлечением обработчика данных. Новшеством документа можно назвать появление еще одного контрагента, или «совместных контроллеров». При сложной структуре интернет-среды и взаимоотношений контрагентов иногда довольно трудно определить полномочия и ответственность сторон (Lambrinoudakis, 2018: 4). Комиссия не стала разделять зоны ответственности контроллеров при спорных ситуациях и оставила ее также «совместной».
Эксперты называют принятую схему, действующую с 1980-х гг., устаревшей. Несомненно, в стандартной схеме обработки данных оператор или контроллер занимает центральную роль, но сама обработка бывает разных типов и форматов. Зачастую поставщики интернет-услуг предоставляют платформу, на которой выполняется обработка данных, однако не всегда очевидно, что они сами вовлечены в обработку. Особенно это характерно для облачных вычислений, где ответственность за обработку распределена между многочисленными контрагентами (De Hert, Papakonstantinou, 2012: 134). Регламент не регулирует данную область и придерживается традиционной схемы обработки данных.
Действовавшее в 1990-х гг. четкое разграничение между оператором и обработчиком данных сегодня размывается, и нет ясной границы между данными понятиями. Обработчики могут быть получателями аутсорсинговой работы и действовать от лица оператора/контроллера. Запутанная схема, подразумевающая субподрядчика, может иметь негативные последствия как на законодательном, так и на судебном уровне. Выход из положения – совмещение понятий, прав и ответственности контрагентов и наделение их полномочиями обработчика данных, независимо от степени участия в процессе обработки (Lambrinoudakis, 2018: 5). Предпочтительно было бы удаление всех второстепенных ролей в процессе обработки персональных данных, поскольку предложенная Комиссией схема имеет высокие риски тяжб и долгосрочных расследований, когда надзорный орган пытается выяснить, кто же является нарушителем среди контроллеров и обработчиков и чья ответственность превалирует в этом нарушении.
Принцип подотчетности и спецификации цели
Принципы честности и прозрачности, указанные в статье 5 Регламента, значительно усиливают защиту индивидуальных прав физического лица, или субъекта данных. Они подразумевают доверие к персональной информации и механизму его обработки, позволяют заинтересованному лицу эффективно применять свои права и учитывать взятые обязательства.
Следовательно, из данной концепции вытекает следующий принцип Регламента – принцип подотчетности ответственного за обработку данных. В широком смысле этот принцип накладывает бремя внедрения в рамках своих организаций мер, которые обеспечат соответствующий уровень защиты данных. Это может быть появление сотрудника по защите данных, анализ потенциального риска для защиты или создание архитектуры системы защиты. С точки зрения субъекта данных, физического лица – это возможность эффективно отстаивать свои права в компетентных органах.
Следующий принцип, широко обсуждавшийся при подготовке документа – это принцип спецификации цели. В статье 5 Регламента указано, что данные могут быть «собраны для определенных целей, ясных и легитимных, и не должны быть обработаны в дальнейшем способом, противоречащим этим целям»19. Такая трактовка принципа вызвала существенные возражения среди интернет-компаний, поскольку персональные данные могут использоваться во множестве случаев, включая анализ «больших данных», профилирование и т.д. Однако авторы Регламента нашли некий компромисс между интересами бизнеса и защитой прав субъектов данных. В статье 6 упоминается режим «совместимости» целей, который позволяет интернет-компаниям обойти принцип спецификации, поскольку авторы документа предлагают самому обработчику решить, что совместимо, а что нет с его целями. Как отмечают эксперты, такой дисбаланс в ответственности сторон может привести к тому, что данное положение статьи станет неактуальным (De Hert, Papakonstantinou, 2012: 135).
Принцип согласия
Согласие физического лица – основополагающий принцип обработки и защиты данных. Согласие позволяет пользователю убедиться, что его данные обрабатываются таким образом, который был указан во время их сбора, когда было получено согласие. Во многом эта концепция схожа с концепцией информационного самоопределения20 (Koops, 2014: 3).
Во время обсуждения проекта Регламента определение согласия было усилено характеристикой «явного» положительного ответа физического лица, что, однако, не нашло отражения в конечном тексте Регламента. В статье 7 устанавливается несколько условий для получения законного индивидуального согласия: «Вопрос должен быть представлен ясно, понятно и легкодоступно, сформулирован в четких и простых терминах»21. Также простой должен быть и процесс отмены согласия, в этом случае «отмена согласия не подрывает законность обработки, сделанной по согласию до его отмены». Лицо должно быть проинформировано об этом до предоставления согласия на обработку.
Таким образом, согласие на сбор персональных данных должно быть различимым, и оно может быть отозвано в любое время физическим лицом. Кроме того отсутствие ответа или бездействие субъекта данных не означают предоставление согласия на обработку данных. Свобода согласия не соблюдена, если в контракте стоит условие согласия, однако в нем нет необходимости. Когда сайту необходима обработка персональных данных, он должен требовать «позитивного ясного действия» с целью удостовериться, что заинтересованное лицо «демонстрирует свое согласие свободно, ясно и однозначно»22. Кроме того в Регламенте предусмотрено, что обработчики несут бремя доказывания того, что согласие было фактически дано физическими лицами23. Экспертное сообщество видит в этом положительные стороны: это заставит компании пересмотреть свои формы согласия и включить конкретные разделы по защите данных (Burton, de Boel, Kuner, Pateraki et al., 2016: 5).
Основные трудности с определением согласия связаны со специфическими отношениями субъекта данных и обработчиков данных. Зачастую политика конфиденциальности интернет-компаний не уделяет должного внимания правам и обязанностям пользователя, и соглашение, в котором субъект данных дает свое согласие, остается ему непонятным. Информированное и осознанное согласие − то, к чему призывает Регламент, − во многом заменяется формальным, неосознанным.
«Общепризнанно, что с помощью интернет-сервисов большинство людей просто подписывают поля согласия без чтения или понимания заявлений о конфиденциальности; поставщики услуг иногда предполагают, что посетители сайта каким-то чудом информированы о заявлении на обработку, и автоматически дают согласие, просто посещая веб-сайт» (Koops, 2014: 3). Таким образом, речь идет об ограниченной способности людей принимать рациональные решения: люди не настроены тратить время и интеллектуальные усилия на чтение заявлений о конфиденциальности каждого веб-сайта, приложения или услуги, которые он использует.
Какой выход можно найти из сложившейся ситуации? Это ясные и четкие формулировки, более доступная подача при заключении соглашения, возможно, принятие других законодательных актов, регулирующих эту сферу всеобъемлюще.
Кроме проблем пользовательского соглашения на протяжении всего времени обсуждения проекта Регламента авторов документа критиковали за приверженность самой норме и механизму согласия, поскольку требование индивидуального соглашения затрудняется в онлайн-среде с каждым годом. В эпоху больших данных, социальных сетей, Интернета вещей идея того, что на каждое действие обработчика должно быть получено согласие субъекта данных, становится все более абсурдной (De Hert, Papakonstantinou, 2016: 8).
Для компаний принятие такого механизма означает, что им, возможно, придется искать способы отслеживать согласие, полученное от их клиентов, пользователей, посетителей и других субъектов данных, или они будут вынуждены запрашивать это согласие каждый раз, когда компания получает какие-либо данные (Gilbert, 2012: 829). Возможно, использование согласия в качестве правовой основы для обработки данных сотрудников в дальнейшем будет затруднено (Kuner, 2012: 6) или вовсе будет невозможно в рамках заданного правового поля (Mayer-Schönberger, Padova, 2016: 329).
В отдельной статье 8 Регламента прописано право на согласие детей, поскольку «они могут быть менее знакомы с рисками, последствиями и гарантиями, их правами в отношении обработки персональных данных»24. Ключевой вопрос в этой статье – способность дать согласие и возраст пользователя. Статья устанавливает порог предоставления индивидуального согласия в 16 лет, но государство-член может снизить этот порог до 13 лет.
За неимением лучшего, Facebook и другие компании должны стараться разумно верифицировать согласие, данное или авторизованное тем, кто несет родительскую ответственность в отношении детей, «принимая во внимание технологические средства». 38 положение Преамбулы добавляет: родительское согласие не требуется в случае сервисов «горячей линии» или постоянной помощи ребенку. Например, в случае употребления наркотиков или использования контрацепции25.
Специфические права субъекта данных
В дополнение к уже упомянутым принципам честности и прозрачности Регламент наделяет субъекта данных набором прав на защиту данных, без которых защита личной информации оказалась бы невозможной. Обработка данных в подавляющем большинстве случаев происходит в закрытом режиме, и пользователь не имеет доступа непосредственно к процессу обработки. С этой целью в тексте Регламента были внесены некоторые изменения по сравнению с Директивой 95/46/ЕС: право на получение информации о том, что их данные собираются, право доступа к хранящимся данным и деталям процесса обработки и право на отказ в случае незаконной обработки и т. д. Третья глава Регламента предлагает целый перечень индивидуальных прав, многие из которых применяются впервые в законодательной практике. Взамен довольно кратких формулировок Директивы Регламент описывает законотворческие нормы, которым еще предстоит стать универсальными в практике защиты данных в интернет-среде.
Право на информирование является одним из краеугольных камней Регламента, поскольку заинтересованные стороны «должны быть проинформированы о том, несет ли требование предоставления персональных данных нормативный или договорной характер; должно ли заинтересованное лицо предоставить персональные данные; каковы возможные последствия отказа от предоставления таких данных»26.
В этом отношении интересен подход, выраженный в статье 14 Регламента. «Ответственный за обработку должен предоставить копию всех обработанных данных, но в случае необходимости он может взимать разумную плату за издержки и все дополнительные копии, запрошенные заинтересованным лицом»27. Но как понять, что запрос исходит именно от того лица? 64 положение Преамбулы объясняет, что ответственный должен применить все разумные меры чтобы верифицировать личность, которая запрашивает данные, в частности в случае онлайн-запроса. Данные положения – отражение принципа подотчетности, и субъект данных может в режиме онлайн проверить количество и качество предоставляемой оператору данных информации. В случае ошибки заинтересованное лицо вправе добиваться исправления неточных и неполных данных как можно скорее.
Отсюда вытекает одно из главных новшеств в сфере правоприменения Регламента – это право на забвение. В этом случае речь идет о поисковой индексации. Регламент предлагает следующие причины использования права на забвение:
Сайт, поисковик или другое лицо должно предпринять разумные меры, чтобы проинформировать всех заинтересованных лиц о том, какие данные были исключены из поиска. Это право не является абсолютным: оно не применяется в том случае, когда обработка необходима для осуществления свободы слова и информации и является результатом соблюдения законных обязательств.
Цели, связанные с общественным интересом, медицинскими, архивными, научными и историческими исследованиями могут быть расширены, и в данной статье мы не можем полностью проанализировать все последствия принятия этой статьи. Укажем лишь, что при обсуждении Регламента и Европейская Комиссия, и Рабочая группа 29 высказывались за включение права на забвение в текст Регламента, Европейский инспектор по защите данных выразил своеобразную точку зрения: он связал данное право с портативностью данных и призвал обязать обработчиков данных удалять информацию, как только она не представляет больше ценности для обработки. По его мнению, «информация может автоматически исчезать после определенного периода времени, даже если субъект данных не принимает никаких мер или даже не знает, что данные когда-либо были сохранены»29. Такой новаторский подход не нашел отражения в окончательном тексте Регламента, однако подобная концепция может быть использована в дальнейшем, при принятии новых законодательных инициатив (De Hert et al., 2018: 197).
Формулировать какие-то выводы о применении права на забвение преждевременно, однако стоит оценить усилия Комиссии по внедрению данного права в судебную практику. Комиссия стремилась соблюсти баланс между правом на забвение и свободой выражения мнения и распространения информации. В эпоху массового использования в онлайн-бизнесе персональных данных подобное право становится одним из актуальнейших для пользователей.
К праву на забвение как специфическому праву субъекта данных следует прибавить права на ограничение и запрет обработки. Статья 18 предписывает: «Когда точность обработки оспаривается и эта обработка незаконна, лицо может попросить ограничить использование данных. Ограниченные данные могут быть использованы только с согласия заинтересованного лица. Эта статья может быть применена при перенесении данных в другую систему обработки как временная мера для предотвращения доступа к ней третьим лицам»30. Таким образом, ответственность за ограничение обработки несут обработчики данных, и пользователь может сослаться на данную статью.
Еще более суровое для обработчиков условие – это запрет физического лица на обработку данных. «Всякое физическое лицо может в любой момент выступить против обработки своих персональных данных «по причинам, связанным с его конкретной ситуацией»31.
Должны существовать достаточно «законные и веские» причины, чтобы они преобладали над интересами, правами и свободами заинтересованного лица, например, в ситуации судебного разбирательства. В этом случае в ожидании судебного решения любая обработка данных должна быть прервана. Из статьи следует, что не всякая просьба на запрет обработки субъектом данных может быть удовлетворена. В особенности это касается сферы общественного интереса, в данном случае, по-видимому, такой казус должен рассматриваться в судебном порядке. В отношении же онлайн-сервисов заинтересованное лицо может осуществлять свое право на отмену обработки автоматически.
Еще одно новшество Регламента − это право на портативность данных. В частности, он предоставляет отдельным лицам право на получение копии своих профилей, загруженных на интернет-платформы, в подходящем формате для дальнейшей обработки и использования самостоятельно, а также для того, чтобы такой профиль не содержал технических или других препятствий для его последующей загрузки на интернет-платформу другого поставщика услуг (по существу, конкурента первой) (De Hert, Papakonstantinou, 2012: 138).
Вопрос функциональной совместимости интернет-систем становится все острее с развитием интернет-технологий. Пока системная совместимость между контрагентами отсутствует не только в Европе, но и во всем мире (De Hert, Papakonstantinou, 2016: 11). Привлечение новых пользователей интернет-услуг часто делает невозможным перенос их персональных данных на другие платформы – во многом этому препятствует жесткая конкуренция на рынке. Особенно такое положение актуально для социальных сетей.
Право на портативность данных является сигналом для обработчиков и призывом создавать и продвигать совместимые форматы при обработке персональных данных. Также данное право политически мотивировано, и мы можем предположить, что следует ждать более подробных законодательных актов в этой сфере (Burton, de Boel, Kuner, Pateraki et al., 2016: 6).
Таким образом, речь идет в первую очередь о защите прав потребителей и механизме против недобросовестной конкуренции, а не о защите данных. Как и в случае с правом на забвение, пока рано давать оценки правоприменению данного положения. Постоянно меняющийся и непредсказуемый рынок социальных сетей, как мы видим, слабо поддается регулированию. Многочисленные нарушения защиты персональных данных в Facebook говорят о том, что процесс регулирования находится на ранней стадии, если не отсутствует совсем (De Hert et al., 2018: 201).
Заключение
Генеральный регламент о защите персональных данных, пришедший на смену Директиве 95/46/ЕС, значительно изменяет как европейское законодательство по защите персональных данных, так и положение контрагентов среды. Некоторые исследователи называют данное событие «коперниканским переворотом» в сфере защиты данных (Kuner, 2012: 14). Принятие Регламента следует оценивать согласно заявленным целям и задачам документа: насколько стали защищены персональные данные граждан ЕС? Способствует ли Регламент свободному потоку данных между странами? Гармонизирует ли документ национальные законодательства в указанной сфере?
Главным остается вопрос: способен ли Регламент целиком и полностью регулировать сферу защиты данных в Европе? Напрашивается вывод: нет, так как сама концепция защиты данных в современных условиях становится подвижной, ее положения устаревают раньше, чем оформляются законодательные нормы (Nicolaidou, Georgiades, 2017: 15). Как заявляют исследователи, «практика защиты данных – это сфера, которая всегда шире закона и, в частности, шире одного закона» (Koops, 2014: 7).
Однако Комиссия и заинтересованные стороны в Европейском Союзе проделали обширную работу, чтобы вывести европейское законодательство по защите данных на современный уровень. Закон в значительной степени гармонизирует законодательство государств-членов ЕС с положениями правил, применяющихся в масштабах всего ЕС. Компании будут подпадать под юрисдикцию одного органа по защите данных, а сама юрисдикция над обработчиками данных за пределами ЕС будет изменена. Более строго законодательство будет применяться в случаях согласия субъекта данных. Бюрократические требования – такие, как уведомление об обработке данных, − будут отменены, но будут усилены меры по поддержанию внутренней документации по обработке данных. Введен ряд новых основополагающих прав (таких, как право на забвение, ограничение и запрет на обработку и др.). Принцип уведомления о нарушениях обработки также нацелен на ужесточение правил защиты данных. Во многом усилена независимость национальных органов по защите данных, Комиссия стремится к их единообразию и создает единый орган по защите данных в ЕС. Административные штрафы и наказания также значительно повышены и расширены.
Основным достижением принятия Регламента мы считаем его прямое действие для граждан ЕС, в обход национальных законодательств. Возникает вопрос: каким образом согласовать положения Регламента с правовыми системами государств-членов ЕС? Это длительный и, возможно, не такий легкий процесс, который, однако, позволит странам Европейского Союза способствовать свободному обмену данных между государствами, что положительно скажется не только на правоприменении, но также и на экономике, культуре и т.д. Как утверждают эксперты, «ничто в здании защиты ЕС не останется прежним» (De Hert, Papakonstantinou, 2016: 2).
Настоящий Регламент – это второе поколение правовых актов по защите данных в Европе, и процесс, начавшийся в 2012 г., будет иметь длительные и широкие последствия не только для Европейского Союза, но и для каждого пользователя Интернета.
Примечания
Библиография
Burton C., de Boel L., Kuner C., Pateraki A. et al. (2016) The Final European Union General Data Protection Regulation. Bloomberg BNA Privacy and Security Law Report, pp. 1−14.
De Hert P., Papakonstantinou V. (2016) The New General Data Protection Regulation: Still a Sound System for the Protection of Individuals? Computer Law & Security Review, pp. 1−16.
De Hert P., Papakonstantinou V. (2012) The Proposed Data Protection Regulation Replacing Directive 95/46/EC: A Sound System for the Protection of Individuals. Computer Law & Security Review,pp. 130−142.
De Hert P. et al. (2018) The Right to Data Portability in the GDPR: Towards User-centric Interoperability of Digital Services. Computer Law & Security Review 34 (2): 193−203.
Gilbert F. (2012) European Data Protection 2.0: New Compliance Requirements in Sight − What the Proposed EU Data Protection Regulation Means for U.S. Companies. Santa Clara High Technology Law Journal 5: 815−863.
Koops B.-J. (2014) The Trouble with European Data Protection Law. International Data Privacy Law, pp. 1−14.
Kuner C. (2012) The European Commission's Proposed Data Protection Regulation: A Copernican Revolution in European Data Protection Law. Bloomberg BNA Privacy and Security Law Report, pp. 1−15.
Lambrinoudakis C. (2018) The General Data Protection Regulation (GDPR) Era: Ten Steps for Compliance of Data Processors and Data Controllers. International Conference on Trust and Privacy in Digital Business. Springer, Cham, pp. 3−8.
Mayer-Schönberger V., Padova Y. (2016) Regime Change? Enabling Big Data Through Europe's New Data Protection Regulation. Columbia Science and Technology Law Review, pp. 317−334.
Nicolaidou I.L., Georgiades C. (2017) The GDPR: New Horizons. EU Internet Law. Springer, Cham, pp. 3−18.