Книга Руководство по GDPR - читать онлайн бесплатно, автор Мария Беляева. Cтраница 3
bannerbanner
Вы не авторизовались
Войти
Зарегистрироваться
Руководство по GDPR
Руководство по GDPR
Добавить В библиотекуАвторизуйтесь, чтобы добавить
Оценить:

Рейтинг: 4

Добавить отзывДобавить цитату

Руководство по GDPR

Взаимодействие с другими правами и законными интересами

Право на защиту персональных данных не является абсолютным правом, условия законного ограничения этого права были подробно изложены выше. Одним из критериев законного ограничения прав субъекта, признанных как в соответствии с законодательством Совета Европы, так и в ЕС, является защита прав и свобод других субъектов при вмешательстве в защиту данных. Там, где защита данных взаимодействует с другими правами, как Европейский суд по правам человека, так и Суд Европейского Союза неоднократно заявляли, что для сохранения баланса с другими правами необходимо при применении и толковании статьи 8 Европейской конвенции по правам человека и статьи 8 Хартии основных прав ЕС.

В целях соблюдения баланса правовых систем государства ЕС могут внедрить необходимые нормы закона для согласования права на защиту данных с другими правами субъектов данных. По этой причине в Общем регламенте по защите данных существует ряд областей права, в котором предусмотрено отступление на национальном уровне.

Что касается свободы выражения мнений, то Общий регламент по защите данных требует от государств Евросоюза законодательно согласовать «право на защиту персональных данных с правом на свободу выражения мнений и получения/распространения информации, включая обработку в целях журналистики, академического, художественного и литературного выражения». Государства ЕС могут также принять законы для совмещения защиты данных с публичным доступом к официальным документам и обязательствами сохранения профессиональной тайны, защищенными как форма права на уважение частной жизни.


Свобода самовыражения


Право, которое в наибольшей степени взаимодействует с правом на защиту данных, – право на свободу выражения мнения.

Свобода выражения мнений защищена статьей 11 Хартии Основных прав («Свобода выражения мнений и информации»). Это право включает «свободу придерживаться своего мнения, получать и распространять информацию и идеи без вмешательства со стороны публичных властей и независимо от государственных границ». Свобода информации, как в соответствии со статьей 11 Хартии, так и в соответствии со статьей 10 Европейской конвенции по правам человека, защищает право не только передавать, но и получать информацию.

Ограничение свободы выражения мнений должно соответствовать критериям, предусмотренных статьей 52 (1) Хартии основных прав ЕС. В соответствии со статьей 52 (3) Хартии, «значение и объем этих прав должны быть таким же, как и установленные указанной конвенцией». Ограничения, которые могут на законных основаниях быть наложены на право, гарантированное статьей 11 Хартии, не могут превышать ограничения, предусмотренные статьей 10 (2) Европейской конвенции по правам человека. Такие права включают, в частности, право на неприкосновенность частной жизни и права на защиту персональных данных.

Взаимосвязь между защитой личных данных и свободой выражения мнений регулируются статьей 85 «Обработка, свобода выражения и информации» Общего регламента по защите данных ЕС 2016/679. Согласно этой статье, государства ЕС должны согласовывать право на защиту персональных данных с правом на свободу выражения мнений и информации. Исключения и отступления от норм Общего регламента по защите данных могут быть сделаны для целей журналистики или для академического, художественного или литературного выражения, так как они необходимы для баланса права на защиту персональных данных с правом выражения мнения и информации.

В прецедентном праве Европейского суда по правам человека одним из важнейших критериев, касающихся сбалансированности этих прав, является вопрос о том, удовлетворяет ли данное решение интересы широкой общественности.

Право на свободу выражения мнения и право на защиту персональных данных не всегда конфликтуют друг с другом. Есть случаи, когда эффективная защита данных гарантирует свободу выражения мнений.

Право на получение информации, которое также является частью свободы выражения мнений, зачастую определяет прозрачность действий правительства для функционирования демократического общества. Прозрачность – цель интереса общественности, которая может оправдать вмешательство в право на защиту данных, если это необходимо и соразмерно. В результате за последние два десятилетия право на доступ к документам, находящимся в распоряжении государственных органов, было признано важным правом каждого гражданина ЕС и любого физического и юридического лица, проживающего или имеющего зарегистрированное юридическое лицо на территории государств Евросоюза.

Законодательство Совета Европы ссылается на принципы, закрепленные в «Конвенции Совета Европы по доступу к официальным документам» (CETS 205).

В соответствии с законодательством ЕС право на доступ к документам гарантируется Регламентом 1049/2001 ЕС и касается публичного доступа к документам Европейского парламента, Совета Европы и к документам Комиссии ЕС. Документы Комиссии (Положение о доступе к документам), статья 42 Хартии основных прав ЕС и статья 15 (3) Договора о функционировании Европейского Союза расширили право на доступ «к документам учреждений, органов и агентств Союза независимо от их формы».

Это право может вступать в конфликт с правом на защиту данных, если доступ к документу может раскрыть личные данные других лиц. Статья 86 Общего регламента по защите данных четко предусматривает, что персональные данные в официальных документах, находящихся в распоряжении государственных органов, могут быть раскрыты соответствующими институтами в соответствии с законодательством ЕС или государства Евросоюза.

Подобные запросы о доступе к документам или информации должны быть соотнесены с правом на защиту лиц, чьи данные содержатся в запрашиваемых документах.

Подход Европейского суда по правам человека в отношении конфиденциальности и доступа к документам оценивается с учетом следующих критериев:

– цель запроса информации;

– характер запрашиваемой информации;

– роль заявителя;

– готовность и доступность информации.


Профессиональная тайна


Профессиональную тайну можно понимать, как особый этический долг, который влечет за собой юридическое обязательство, присущее определенным профессиям и функциям, основанным на вере и доверии. Лица и учреждения, выполняющие эти функции, обязаны не разглашать конфиденциальную информацию, полученную ими в ходе выполнения своих обязанностей. Профессиональная тайна прежде всего относится к врачебной тайне и привилегированным отношениям между адвокатом и клиентом, во многих юрисдикциях также признается обязательство профессиональной тайны в финансовом секторе.

Профессиональная тайна не является фундаментальным правом, но защищается как форма права на неприкосновенность частной жизни. Суд Европейского Союза постановил, что в некоторых случаях «превалирует запрет разглашения определенной информации, которая классифицируется как конфиденциальная, для защиты основного права на уважение частной жизни, закрепленное в статье 8 Европейской конвенции по правам человека и статьей 7 Хартии основных прав ЕС». Европейский суд по правам человека также принимает решения о том, являются ли ограничения профессиональной тайны нарушением статьи 8 Европейской конвенции о правах человека.

Взаимодействие между правом на профессиональную тайну и правом на защиту данных неоднозначно. С одной стороны, правила защиты данных и гарантии, установленные в законодательстве, обеспечивают право на профессиональную тайну. Правила для контроллеров и процессоров, направленные на реализацию надежных мер безопасности, в том числе касаются сохранности конфиденциальных личных данных, защищенных профессиональной тайной. Кроме того, Общий регламент по защите данных ЕС позволяет обрабатывать данные о состоянии здоровья, которые представляют собой специальную категорию персональных данных, но при этом делают обязательным применение усиленных мер по защите прав субъектов данных, в том числе при обеспечении профессиональной тайны.

С другой стороны, обязательство сохранения профессиональной тайны, налагаемое на контроллеров и процессоров в отношении определенных персональных данных, могут ограничивать права субъекта данных, в частности, право на получение информации. Несмотря на то что Общий регламент по защите данных содержит обширный список информации, которая должна быть предоставлена субъекту данных в соответствии с правовыми системами ЕС и национальным законодательством, требование о раскрытии данных не применяется в случае, если данные были получены от третьих лиц и существует обязательство по сохранению профессиональной тайны.

Общий регламент по защите данных предусматривает возможность принятия государствами ЕС специальных правил для защиты профессиональных или эквивалентных обязательств в отношении примирения права на защиту персональных данных и профессиональной тайны.

В рамках Общего регламента по защите данных предусмотрено, что государства Евросоюза могут принимать правила о полномочиях надзорных органов в отношении контроллеров и процессоров, на которых распространяется обязанность соблюдения профессиональной тайны. Эти правила относятся к возможности получения доступа к помещению контроллера или процессора, его системам и оборудованию для обработки и хранения таких данных, если такие данные были получены в ходе деятельности по соблюдению профессиональной тайны. Таким образом, надзорные органы, на которые возложена защита данных, обязаны соблюдать профессиональную тайну и обязательства, которые связывают контроллеров и процессоров. Статья 54 (2) Общего регламента по защите данных четко предусматривает, что надзорные органы обязаны соблюдать профессиональную тайну в отношении такой конфиденциальной информации, в том числе после прекращения их полномочий.

Кроме того, государства Евросоюза обязаны уведомлять Комиссию ЕС о правилах, которые они принимают для согласования норм защиты данных и о принципах, установленных в национальных законодательствах касательно обязательств по сохранению профессиональной тайны.


Свобода вероисповедания и убеждений


Свобода вероисповедания и убеждений защищена статьей 9 Европейской конвенции о правах человека и статьей 10 Хартии основных прав ЕС. Личные данные, раскрывающие религиозные или философские убеждения, считаются специальными категориями персональных данных в соответствии с законодательством ЕС и Совета Европы, а их обработка и использования подлежат усиленным мерам защиты.

Согласно Общему регламенту по защите данных ЕС и Модернизированной Конвенции 108, персональные данные, обрабатываемые для целей научных и исторических исследований, могут храниться в течение более длительных периодов времени. Кроме того, независимо от первоначальной цели обработки, последующее использование персональных данных для научных исследований не должно считаться несовместимой целью. Однако в целях защиты прав и свобод субъектов данных при такой обработке должны быть приняты соответствующие меры предосторожности. Законодательство ЕС или национальное право страны Евросоюза может предусматривать отступление от прав субъекта, таких как право на доступ, исправление, ограничение обработки и возражений против такой обработки, в случае обработки их персональных данных в целях научных, исторических или статистических исследований.


Защита интеллектуальной собственности


Интеллектуальная собственность охватывает не только художественные, литературные или музыкальные произведения, но также патенты, товарные знаки и смежные права.

Право на защиту интеллектуальной собственности закреплено в статье 1 Первого Протокола к Европейской конвенции по правам человека, а также в статье 17 (1) Хартии основных прав ЕС. Одним из аспектов права, который особенно важен для защиты данных, является защита интеллектуальной собственности, прямо упомянутая в статье 17 (2) Хартии основных прав ЕС. Некоторые нормативные документы ЕС, такие как Директива ЕС №92/100/EEC, №93/83/EEC и другие, направлены на эффективную защиту интеллектуальной собственности, в частности авторского права. Защита интеллектуальной собственности также должна быть сбалансирована с другими основными правами, в частности с правом на защиту данных.


Защита данных и экономические интересы


Некоторые компании полагают, что нормативные требования в части защиты личных данных, на практике, приведут к чрезмерно обременительным обязательствам. Таким образом, возникает вопрос о том, могут ли экономические интересы контроллеров/процессоров или общественности превалировать над ограничением права на защиту данных.

Предоставление физическим лицам большего контроля над своими личными данными является одним из приоритетов законодательства ЕС о защите данных. Существует дисбаланс между возможностями компаний, которые обрабатывают и имеют доступ к огромным объемам персональных данных, и возможностями физических лиц, которым эти персональные данные принадлежат. Суд Европейского Союза использует индивидуальный подход при корреляции права на защиту данных и экономических интересов, таких как интересы третьих сторон в отношении акционерных обществ и компаний с ограниченной ответственностью.

В правовых системах ЕС, законодательных актах и рекомендациях соответствующих органов огромное значение придается достижению целей законодательного регулирования. Суд Европейского Союза и Европейский суд по правам человека призваны соблюдать баланс принципов и прав при достижении целей законодательства.

Таким образом, мы можем говорить о том, что правовые системы ЕС направлены на соблюдение основных прав субъектов данных и общественности и ни одна норма закона не должна трактоваться вразрез с указанными целями и принципами.

Ключевые моменты

Право на защиту персональных данных:

– Конвенция Совета Европы является первым и единственным международным, юридически обязательным документом, касающимся защиты данных. Конвенция прошла модернизацию, завершившуюся принятием поправки к Протоколу СДСЕ №223, далее Модернизированная Конвенция 108;

– в соответствии с законодательством ЕС защита данных была признана в качестве отдельного фундаментального права (статья 16 Договора о функционировании ЕС, а также статья 8 Хартии основных прав ЕС);

– право человека на защиту в отношении обработки персональных данных является частью права на неприкосновенность частной и семейной жизни, жилища и переписки (тайна личной переписки) в соответствии со статьей 8 Европейской конвенции по правам человека;

– Общий регламент по защите данных вступил в силу в мае 2018 года, отменив Директиву о защите данных;

– при обработке персональных данных государственными органами для правоохранительных целей применяется Директива (ЕС) 2017/680.


Ограничение права на защиту персональных данных:

– право на защиту персональных данных не является абсолютным правом, оно может быть ограничено, если это необходимо, для целей общего интереса или для защиты прав и свобод других лиц;

– условия ограничения прав на уважение частной жизни и защиту персональных данных перечислены в статье 8 Европейской конвенции о правах человека и статье 52 (1) Хартии основных прав ЕС. Соответствующие условия были разработаны и интерпретированы в рамках прецедентного права Европейского суда по правам человека и Суда Европейского Союза;

– в соответствии с Общим регламентом по защите данных обработка персональных данных представляет собой законное вмешательство в право на неприкосновенность частной жизни и может осуществляться, только если оно соответствует закону, основным правам и свободам; преследует законные цели; необходимо и соразмерно целям демократического общества;

– правовой порядок ЕС налагает аналогичные условия на ограничения в осуществлении основных прав, защищаемых Хартией основных прав ЕС. Любое ограничение любого основного права, в том числе защиты персональных данных, может быть законным, только если оно соответствует закону, основным правам и свободам; пропорционально и соразмерно цели обработки; преследует цель общего интереса, признанного в ЕС или необходимостью защищать права других субъектов данных.


Взаимодействие с другими правами и законными интересами:

– право на защиту данных часто взаимодействует с другими правами, такими как свобода выражения мнений, право на получение и распространение информации;

– взаимодействие с другими правами зачастую противоречит конкретному праву. Существуют ситуации, когда право на защиту персональных данных эффективно обеспечивает соблюдение иного права. Например, свобода выражения мнений является составляющим компонентном неприкосновенности частной жизни, ее защита обеспечивается фундаментальным правом;

– необходимость защиты прав и свобод других лиц является одним из критериев, используемых для оценки законного ограничения права на защиту персональных данных;

– суды обязаны соблюдать баланс при использовании двух правовых систем;

– Общий регламент по защите данных ЕС требует, чтобы государства Евросоюза согласовывали право на защиту персональных данных с правом на свободу выражения мнения, получения и распространения информации;

– государства ЕС обязаны внедрять конкретные нормы в национальном законодательстве для обеспечения права на защиту персональных данных с публичным доступом к официальным документам.

Выдержки из решений Суда Европейского Союза и Европейского суда по правам человека

Неприкосновенность частной жизни


Судом Европейского Союза рассматривалось дело о соответствии законодательству Директивы 2006/24/ЕС в части основных прав на защиту личных данных и неприкосновенности частной жизни. Директива обязывала поставщиков услуг электронной связи или сетей общего пользования хранить данные цифровой связи граждан сроком до двух лет для обеспечения доступа к этим данным в целях предотвращения, расследования и судебного преследования серьезных преступлений. Мера касалась только метаданных, данных о местоположении и информации, необходимой для идентификации абонента или пользователя и не распространялась на содержание электронных сообщений.

Суд Европейского Союза посчитал это вмешательством в основополагающее право на защиту персональных данных. Кроме того, Суд установил, что Директива нарушала право на неприкосновенность частной жизни в целом. Предоставляемые персональные данные позволяли «сделать точные выводы о частной жизни лиц, такие как поведенческие привычки, постоянные или временные места жительства, ежедневные или иные перемещения, социальные отношения этих лиц и часто посещаемая ими социальная среда». Вмешательство в эти два права является достаточно серьезным и широкомасштабным.

Суд Европейского Союза объявил Директиву 2006/24/ЕС недействительной. Хотя она преследовала законную цель, вмешательство в право на защиту личных данных было достаточно серьезным и не ограничивалось строгой необходимостью.


Вмешательство в права субъекта данных, осуществляемые в соответствии с законодательством


В деле Rotaru против Румынии заявитель утверждал о нарушении его права на неприкосновенность частной жизни в связи с получением и использованием Румынской разведывательной службой файла, содержащего личную информацию субъекта. Европейский суд по правам человека установил, что хотя национальное законодательство Румынии разрешает сбор, запись и архивирование в закрытых файлах информации, затрагивающей вопросы национальной безопасности, оно не устанавливает каких-либо ограничений на осуществление таких полномочий, оставляя данный вопрос на усмотрение властей. Например, национальное законодательство не определяет тип информации, которую можно обрабатывать, обстоятельства и категории субъектов данных, в отношении которых могут быть приняты меры наблюдения или процедуры, которым необходимо следовать.

Таким образом, Европейский суд по правам человека пришел к выводу, что национальное законодательство не соответствовало принципам предсказуемости в соответствии со статьей 8 Европейской конвенции о правах человека и данная норма была нарушена.

В деле Taylor-Sabori против Соединенного Королевства заявитель был объектом надзора правоохранительных органов. Используя «клон» пейджера заявителя, полиция смогла перехватить отправленные ему сообщения. Заявитель был арестован и обвинен в продаже запрещенного наркотического вещества. Часть обвинения строилась на расшифрованных сообщениях личного средства коммуникации.

Однако на момент судебного разбирательства в британском законодательстве не было положения, регулирующего перехват электронных сообщений. Таким образом, вмешательство в его права не было произведено «в соответствии с законом». Европейский суд по правам человека пришел к выводу, что это нарушает статью 8 Европейской конвенции о правах человека.


Преследуемые законные цели


В деле Peck против Соединенного Королевства заявитель пытался покончить жизнь самоубийством на улице, порезав запястья. Полиции, которая наблюдала за происходящим через камеры уличного видеонаблюдения, удалось спасти пострадавшего. Впоследствии отснятый материал был передан в средства массовой информации и был опубликован без маскировки лица заявителя.

Европейский суд по правам человека установил, что не было соответствующих или достаточных причин, которые оправдывали прямое раскрытие материалов властям и общественности без получения согласия заявителя или сокрытия его личности. Суд пришел к выводу, что имело место нарушение статьи 8 Европейской конвенции о правах человека.


Необходимость вмешательства в демократическом обществе


Дело Khelili против Швейцарии. Во время проверки полиция обнаружила у заявителя при себе визитные карточки следующего содержания: «Милая, симпатичная женщина, бальзаковского возраста хотела бы встретиться с мужчиной для приятного времяпрепровождения, телефона нет». Заявитель утверждала, что после задержания полиция внесла ее данные в карточку учета как лица, занимающегося проституцией, хотя она отрицала такой род занятий.

Заявитель просила удалить слово «проститутка» из карточки учета полиции. Европейский суд по правам человека признал, что сохранение личных данных лица на том основании, что это лицо может преступить закон, не является соразмерными действиями. Утверждение о незаконном занятии проституцией выглядело расплывчатым и не подкреплялось конкретными фактами. Заявитель никогда не была осуждена за занятие незаконной проституцией и потому факт внесения рода занятий в полицейскую карточку не удовлетворял «насущной социальной потребности» в рамках трактовки статьи 8 Европейской конвенции о правах человека.

Касательно серьезности вмешательства в права заявителя и того факта, что власти должны доказать точность хранящихся данных, Суд постановил, что формулировка «проститутка» в материалах полиции на протяжении многих лет не было необходимым в демократическом обществе. Суд пришел к выводу, что имело место нарушение 8 Европейской конвенции о правах человека.


По делу S. and Marper против Соединенного Королевства оба заявителя были арестованы и обвинены в уголовных преступлениях. Полиция взяла их отпечатки пальцев и образцы ДНК, как это предусмотрено Законом о полиции и обстоятельствами уголовного дела. Заявители не были осуждены за преступления: один был оправдан в зале суда, уголовное дело в отношении второго было прекращено. Тем не менее их отпечатки, профили и образцы ДНК были сохранены в базе данных полиции и национальное законодательство разрешило их хранение без ограничения по срокам.

Соединенное Королевство утверждало, что задержание помогло установить личности предполагаемых преступников, и, таким образом, преследовало законную цель предупреждения и раскрытия уголовных преступлений. Однако Суд постановил, что вмешательство в право заявителей на неприкосновенность частной жизни неоправданно. Он напомнил, что основные принципы защиты данных требуют, чтобы сохранение персональных данных было пропорционально по отношению к цели сбора и что сроки хранения должны быть ограничены. Суд согласился с тем, что расширение базы данных полиции с целью включения в нее профилей ДНК не только осужденных, но и подозреваемых в совершении уголовных преступлений могло бы способствовать выявлению и предотвращению преступлений в Соединенном Королевстве. Тем не менее фундаментальное право субъектов было нарушено. Учитывая огромное количество генетической и медицинской информации, содержащейся в клеточных образцах, вмешательство в право заявителя на частную жизнь было чрезмерным. Отпечатки пальцев и образцы могут быть взяты у арестованных и храниться в базе полиции неограниченное количество времени, в случае если арестованный впоследствии будет осужден.