Руководство по GDPR
Таким образом, заявитель не имел возможности оспорить снятие статуса конфиденциальности или каких-либо средств правовой защиты. Из-за отсутствия процессуальных гарантий и эффективного судебного контроля за мерой, приостанавливающей обязанность соблюдения конфиденциальности, Европейский суд по правам человека пришел к выводу, что имело место нарушение статьи 8 Европейской конвенции по правам человека.
Свобода вероисповедания и убеждений
В деле Sinak Isik против Турции заявитель был членом религиозной общины алевитов, чья вера находится под влиянием суфизма и других исламских верований и рассматривается некоторыми учеными, как отдельная религия, а другими – как часть исламской религии. Заявитель жаловался на то, что, несмотря на его возражения, в удостоверении личности содержалась строка с указанием его религии как «ислам», а не «алеви». Национальные суды отклонили его ходатайство о смене удостоверения личности на том основании, что «алеви» обозначает подгруппу ислама, а не отдельную религию. Заявитель пожаловался в Европейский суд по правам человека на то, что вынужден был раскрыть веру без его согласия, потому что это было обязательным при оформлении удостоверения личности и это нарушало его право на свободу вероисповедания и убеждений. Кроме того, формулировка «ислам» в удостоверении личности не соответствовало вере заявителя.
Европейский суд по правам человека подтвердил, что свобода вероисповедания влечет за собой свободу исповедовать религию вместе с другими индивидами, как публично и в кругу лиц, разделяющих ту же веру, а также в частном порядке и одному. Действующее в то время национальное законодательство обязывало физических лиц иметь при себе удостоверение личности – документ, который должен был быть предъявлен по требованию любого государственного органа, с обязательным указанием религии субъекта данных. По мнению Европейского Суда, сам факт обращения с вопросом удаления записи о вероисповедании может привести к раскрытию информации об отношении субъектов к религии.
Кроме того, наличие поля для внесения данных о вероисповедании субъекта может также внести дисбаланс в обществе: владельцы удостоверений личности с пустым полем будут выделяться среди тех, у кого есть удостоверение с заполненным полем. Европейский суд по правам человека пришел к выводу, что внутренне законодательство нарушает статью 9 Европейской конвенции о правах человека.
Защита интеллектуальной собственности
Дело Promusicae против Telefónica de España касалось отказа испанского провайдера раскрыть некоммерческой организации личные данные определенных лиц, которым провайдер предоставлял доступ. Организация добивалась раскрытия персональных данных с целью возбуждения гражданского дела против лиц, которые использовали программу обмена файлами. Права на использование файлов принадлежало компании Promusicae.
Испанский суд передал в Суд Европейского Союза запрос о том, должны ли такие персональные данные передаваться в соответствии с законодательством ЕС в контексте гражданского судопроизводства для обеспечения эффективной защиты авторских прав. Испанский суд сослался на Директивы 2000/31, 2001/29 и 2004/48, которые также рассматриваются в свете статей 17 и 47 Хартии основных прав ЕС. Суд Европейского Союза пришел к выводу, что эти три директивы, а также Директива о цифровой конфиденциальности (Директива 2002/58) не запрещают государствам Евросоюза устанавливать обязательство о раскрытии персональных данных в контексте гражданского судопроизводства для обеспечения эффективной защиты авторских прав.
При рассмотрении дела рассматривался вопрос о согласовании права на неприкосновенность частной жизни с правом на защиту собственности и правом на эффективные средства правовой защиты.
Суд Европейского Союза пришел к следующему выводу: «при имплементации упомянутых выше Директив государства должны позаботиться о том, чтобы найти сбалансированное решение для защиты основных прав в соответствии с нормами законодательства ЕС. Кроме того, органы власти и суды государств Евросоюза должны не только толковать свое национальное право в соответствии с этими Директивами, но также следить за тем, чтобы не были нарушены основные принципы законодательства ЕС, например, принцип соразмерности (пропорциональности).
Дело Bonnier Audio AB и другие против Perfect Communication Sweden AB касалось соблюдения баланса прав при защите интеллектуальной собственности и личных данных. Заявители, пять издательских компаний, обладающих авторскими правами на 27 аудиокниг, возбудили дело в шведском суде. Заявители утверждали, что были нарушены авторские права посредством доступа к FTP-серверу с аудиокнигами. Заявители просили Интернет-провайдера раскрыть персональные данные субъекта на основании IP-адреса, с которого были отправлены файлы. Интернет-провайдер оспорил решение, поскольку оно нарушало Директиву 2006/24 (Директива хранения данных – аннулирована в 2014 году).
Шведский суд направил запрос в Суд Европейского Союза с целью установить, ограничивает ли Директива 2006/24 применение национального положения, основанного на статье 8 Директивы 2004/48 (Директива по защите интеллектуальной собственности).
Статья 8 Директивы по защите интеллектуальной собственности позволяет выдать судебный приказ, в рамках которого Интернет-провайдеры обязаны передавать правообладателям информацию об Интернет-пользователях, с чьих IP-адресов были совершены правонарушения в области интеллектуальной собственности. Запрос основывался на предположении, что заявитель предоставил четкие доказательства нарушения определенного авторского права и что такая мера согласована с основными правами.
Суд Европейского Союза постановил, что Директива 2006/24 касается исключительно обработки и хранения данных, сгенерированных поставщиками услуг электронной связи с целью расследования, выявления и преследования уголовных преступлений и их передачи компетентным национальным органам. Таким образом, национальное законодательство, имплементирующее Директиву по защите интеллектуальной собственности, не ограничивается нормами Директивы 2006/24.
Что касается предоставления персональных данных, о которых просят заявители, Суд Европейского Союза постановил, что такое действие представляет собой обработку персональных данных и подпадает под действие Директивы 2002/58 (Директива о цифровой конфиденциальности). Суд Европейского Союза отметил, что передача этих данных требуется в гражданском судопроизводстве в интересах правообладателей для обеспечения эффективной защиты авторских прав и, таким образом, подпадает под действие основных целей в контексте применения Директивы 2004/48.
Защита данных и экономические интересы
В деле Google против Испании Суд Европейского Союза указал, что при определенных условиях субъекты данных имеют право обращаться в поисковые системы с запросом об удалении своих индексов из результатов поиска. В заключении Суд Европейского Союза указал на тот факт, что использование поисковых систем и результатов поиска позволяет установить подробный профиль человека. Эта информация может касаться аспектов частной жизни, что представляет собой серьезное вмешательство в основные права субъектов данных на неприкосновенность частной жизни и защиту персональных данных.
Суд Европейского Союза проверил оправданность такого вмешательства. Что касается экономической заинтересованности поисковой системы в проведении обработки, то Суд Европейского Союза постановил, что «вмешательство не может быть оправданно только с точки зрения экономической заинтересованности в результате обработки таких данных» и что «как правило, основные права в соответствии со статьями 7 и 8 Хартии основных прав ЕС имеют приоритет над такими экономическими интересами и интересами общественности при использовании поисковой системы для профилирования пользователей».
Законодательная база
Право на защиту данных
Европейское законодательство
– статья 16 Договора о функционировании Европейского Союза, статья 8 Хартии основных прав Европейского Союза;
– Регламент ЕС 2016/679 о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмена Директивы 95/46/ЕС (Общее положение о защите данных), OJ 2016 L 119;
– Директива ЕС 2016/680 о защите физических лиц в отношении обработки персональных данных компетентными органами в целях предотвращения, расследования, выявления или преследования уголовных преступлений или исполнения уголовных наказаний, а также о свободе движения таких данных и отмена Рамочного решения Совета 2008/977/JHA (Защита данных для органов полиции и юстиции), OJ 2016 L 119;
– Директива 2002/58/ЕС, касающаяся обработки персональных данных и защиты конфиденциальности в секторе электронных коммуникаций (Директива о конфиденциальности и электронных коммуникациях), OJ 2002 L 201;
– Регламент ЕС №45/2001 о защите отдельных лиц в отношении обработки персональных данных учреждениями и органами Сообщества и о свободном перемещении таких данных (Регламент о защите данных учреждений ЕС), OJ 2001 L 8.
Закон Совета Европы
– статья 8 Европейской конвенции по правам человека (право на неприкосновенность частной и семейной жизни, жилища и корреспонденции);
– Конвенция 108 – Модернизированная Конвенция о защите физических лиц в отношении автоматической обработки персональных данных.
Российская Федерация
– Европейская конвенция по правам человека;
– Модернизированная Конвенция 108 с оговорками в части пунктов 2а и 2с;
– статья 2, п. 2 статьи 17, статья 23, п. 1 статьи 24 Конституции РФ;
– статья 2 Федерального закона от 27.06.2006 №152-ФЗ «О персональных данных».
Ограничение права на защиту данных
Европейское законодательство
– статья 52 (1) Хартии основных прав ЕС;
– статья 23 Общего регламента по защите данных ЕС 2016/679;
– Суд Европейского Союза, объединенные дела C-92/09 и C-93/09.
Закон Совета Европы
– статья 8 (2) Модернизированной Конвенции 108;
– статья 11 Европейского суда по правам человека;
– дело Marper против Соединенного Королевства [GC], №30562/04 и 30566/04, 2008 г.
Российская Федерация
– Судебное решение.
Свобода самовыражения
Европейское законодательство
– Суд Европейского Союза, C-131/12, Google Испания SL, Google Inc. против Агентства Испании по защите прав (AEPD).
Закон Совета Европы
– Европейский суд по правам человека, Axel Springer АG против Германии [GC], №39954/08, 2012 г;
– Европейский суд по правам человека, Mosley против Великобритании, №48009/08, 2011 г;
– Европейский суд по правам человека, Bohlen против Германии, №53495/09, 2015 г.
Российская Федерация
– статьи 17 и 29 Конституции РФ.
Доступ к информации
Европейское законодательство
– Суд Европейского Союза, C-28/08 P, Европейская комиссия против Bavarian Lager Co. Ltd [GC], 2010;
– Суд Европейского Союза, C-615 / 13P, ClientEarth, PAN Europe против EFSA, 2015.
Закон Совета Европы
– Европейский суд по правам человека, Magyar Helsinki Bizottság против Венгрии [GC], №18030/11, 2016.
Российская Федерация
– статья 8 Федерального закона от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
– статья 14 Федерального закона от 27.06.2006 №152-ФЗ «О персональных данных».
Профессиональная тайна
Европейское законодательство
– статья 90 Общего регламента по защите данных ЕС 2016/679.
Закон Совета Европы
– Европейский суд по правам человека, Pruteanu против Румынии, №30181/05, 2015.
Российская Федерация
– п. 5 статьи 9 от 27.07.2006 №149-ФЗ Федерального закона «Об информации, информационных технологиях и о защите информации» и перечень федеральных законов.
Свобода религии или убеждений
Европейское законодательство
– статья 91 Общего регламента по защите данных ЕС 2016/679.
Закон Совета Европы
– прецедентное право отсутствует.
Российская Федерация
– статья 28 Конституции РФ;
– статья 3 Федерального закона от 26.09.1997 125-ФЗ «О свободе совести и о религиозных объединениях».
Свобода искусств и наук
Европейское законодательство
– прецедентное право отсутствует.
Закон Совет Европы
– Европейский суд по правам человека, Vereinigung bildender Künstler против Австрии, №68345/01, 2007.
Российская Федерация
– статья 44 Конституции РФ.
Защита собственности
Европейское законодательство
– Суд Европейского Союза, C-275/06 Promusicae против Telefónica de España SAU [GC], 2008.
Закон Совета Европы
– прецедентное право отсутствует.
Российская Федерация
– часть четвертая Гражданского кодекса РФ.
Экономические интересы и защита данных
Европейское законодательство
– Суд Европейского Союза, C-131/12, Google Spain SL, Google Inc. против Agencia Española de Protección de Datos (AEPD), 2014;
– Суд Европейского Союза, C-398/15, Camera di Commercio, Industria, Artigianato e Agricoltura di Lecce против Salvatore Manni, 2017.
Закон Совета Европы
– прецедентное право отсутствует.
Российская Федерация
– судебное решение.
Законодательная практика РФ
Право на защиту данных:
– в соответствии с пунктом 1 статей 23 и 24 Конституции РФ гражданин Российской Федерации имеет право на неприкосновенность частной жизни, личную и семейную тайну защиту своей части и доброго имени. Ограничения по решению суда могут быть наложены на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Конституционно критерии таких ограничений не закреплены, критерии и условия ограничения такого права указаны на уровне федерального законодательства;
– Российская Федерация ратифицировала Европейскую конвенцию по правам человека Федеральным законом от 30.03.1998 «О ратификации Конвенции и о защите прав человека и основных свобод и Протоколов к ней» с ограничениями, указанными в федеральном законе. Модернизированная Конвенция 108 была ратифицирована Российской Федерацией 15 мая 2013 года с оговорками по подпунктам «a», «с» пункта 2 статьи 3 и подпункту «a» пункта 2 статьи 9;
– в соответствии с Конституцией РФ защита персональных данных не является конституционным правом гражданина и защищается на федеральном уровне;
– регулирование правил обработки персональных данных в Российской Федерации и правил защиты информации были приняты в 2006 году;
– с 2006 года федеральные законодательства по регулированию правил обработки персональных данных и регулирование защиты данных периодически дополняются;
– регулирование доступа к информации, правил ее защиты, требований к обработке персональных данных и ограничений указано более чем в 20 федеральных законах и подзаконных актах, единого документа нет, что существенно затрудняет их правоприменение.
Ограничение права на защиту персональных данных:
– право на защиту персональных данных не является абсолютным правом в соответствии с Конституцией РФ. Оно может быть ограничено, в соответствии с федеральным законодательством и решением судов Российской Федерации;
– условия ограничения прав на уважение частной жизни и защиту персональных данных перечислены в статье 8 Федерального закона от 12.08.1995 №144-ФЗ «Об оперативно-розыскной деятельности»;
– в соответствии с пунктом 6 статьи 16 Федерального закона от 27.07.2007 №149-ФЗ «Об информации, информационных технологиях и защите информации» Российская Федерация вправе ограничить принятыми оговорками подпункта. a пункта 2 статьи 9 указанными при ратификации Модернизированной Конвенции 108 Российская Федерация вправе ограничить на уровне федерального законодательства использование отдельных средств защиты информации и осуществление отдельных видов деятельности в области защиты информации.
Взаимодействие с другими правами и законными интересами:
Взаимодействие с другими правами и законными интересами в Российской Федерации реализовано на уровне Конституции РФ, нормативно-правовых актов федерального значения и решений судов. Критерии таких взаимодействий основываются на решении органов власти и судебных решениях, выносимых в строгом соответствии с законом и внутренним убеждением судьи (п. 3, статьи 8 главы 3 Кодекса судейской этики).
Глава 2
Европейский Союз: основные аспекты концепции персональных данных, механизмы анонимизации, псевдонимизации и аутентификации.
Специальные категории персональных данных, персональные данные в контексте правонарушений и приговоров судов.
Концепция обработки данных, автоматизированная и ручная обработка персональных данных.
Контроллеры и совместные контроллеры, процессоры, взаимодействие контроллер – процессор, получатели и третьи лица, согласие.
Законодательство ЕС и РФ в области защиты данных.
В соответствии с законодательством ЕС и Совета Европы, персональные данные определяются как информация, относящаяся к идентифицированному или идентифицируемому физическому лицу. Это относится к информации о лице, чья личность либо идентифицирована, либо может быть установлена посредством дополнительной информации. Для определения является ли физическое лицо идентифицируемым, контроллер или другое лицо должны принять во внимание все разумные меры, которые могут быть использованы для прямой или косвенной идентификации личности (например, дополнительные атрибуты данных, позволяющие отличить одного субъекта от другого).
Основные аспекты концепции персональных данных
Субъект данных
В контексте Общего регламента по защите данных к персональным данным относится любая информация, относящаяся к идентифицированному или идентифицируемому лицу. В соответствии с законодательством ЕС физические лица (субъекты данных) являются единственными владельцем своих данных в контексте права на защиту данных. Действие Общего регламента по защите данных распространяется на субъектов данных в ЕС и не применяется к защите персональных данных умерших лиц.
Закон Совета Европы в части Модернизированной Конвенции 108 также регламентирует защиту физических лиц в отношении обработки их персональных данных. Терминология законодательства о защите данных, в части правовых систем ЕС, идентична.
Юридические лица имеют право на защиту данных. Европейский суд по правам человека принимает заявления от юридических лиц касательно нарушений их прав на защиту данных в соответствии со статьей 8 Европейской конвенции по правам человека.
В Пояснительном докладе к Модернизированной Конвенции 108 отмечается, что национальное законодательство может применяться для защиты законных интересов юридических лиц. Общий регламент по защите данных ЕС 2016/679 не распространяется на обработку данных юридических лиц, включая форму собственности и названия, а также контактных данных такого субъекта. Тем не менее Директива о конфиденциальности и электронных коммуникациях защищает конфиденциальность сообщений и законные интересы юридических лиц в отношении автоматизированной обработки и хранения данных субъектов.
Данные
Любые данные считаются персональными при условии, что они относятся к идентифицированному или идентифицируемому лицу. Персональные данные включают информацию, относящуюся к личной, профессиональной и общественной жизни субъекта данных.
Например, оценочный лист работника, хранящийся в его личном деле, представляет собой персональные данные работника. Мнение руководителя, зафиксированное в данном оценочном листе, будет считаться косвенной информацией о субъекте, а значит данные, такие как «лояльность работника» и факты, которые можно отнести к субъекту «работник отсутствовал 2 недели в течение года», будут считаться персональными данными работника.
Европейский суд по правам человека интерпретирует термин «персональные данные» как не ограничивающиеся вопросами личности субъекта, поскольку разделение вопросов частной и профессиональной жизни не всегда возможно. Данная интерпретация применяется и в Общем регламенте по защите данных.
Согласно законодательству ЕС и Совета Европы, информация содержит данные о субъекте, в случае если:
– лицо идентифицировано или может быть идентифицировано с помощью этой информации;
– субъект данных хотя и не идентифицирован, но может быть идентифицирован при последующей обработке.
Европейский суд по правам человека неоднократно заявлял, что понятие «персональные данные» в Европейской конвенции по правам человека идентично понятию в Модернизированной Конвенции 108, особенно в отношении идентифицированного или идентифицируемого лица.
В Общем регламенте по защите данных указано, что физическое лицо может быть идентифицировано в случае, если субъекта «можно идентифицировать прямо или косвенно, в частности, с помощью таких атрибутов, как имя, идентификационный номер, данные о местоположении, сетевой идентификатор (IP – адрес), по каждому из факторов или в совокупности, специфичных для физической, физиологической, генетической, психической, экономической, культурной или социальной идентичности субъекта». Имя субъекта данных является ярким примером такого описания и может непосредственно идентифицировать субъекта в связке с дополнительным атрибутом данных.
В некоторых случаях атрибуты, аналогичные имени, косвенно могут идентифицировать субъекта данных. Номер телефона, номер карточки социального страхования и регистрационный номер транспортного средства – все это примеры информации, которая может сделать субъект идентифицируемым. Также могут быть использованы и иные атрибуты, такие как – файлы персонального компьютера, файлы cookie и инструменты наблюдения за веб-трафиком для выделения субъектов путем определения их поведения и привычек. По мнению Рабочей группы по ст. 29 Общего регламента по защите данных, «без запроса имени и адреса лица его можно классифицировать на основе социально-экономических, психологических, философских или иных критериев и атрибутов». Определение персональных данных как в Совете Европы, так и в Европейском Союзе достаточно широкое и охватывает различные степени идентификации.
Так как многие имена не являются уникальными, в целях установления личности человека могут потребоваться другие атрибуты для гарантии точной идентификации субъекта. Иногда прямые и косвенные атрибуты могут быть объединены, чтобы провести точную идентификацию, например, дата и место рождения. Кроме того, в некоторых странах на государственном уровне введены персонализированные номера (аналог серии и номера паспорта гражданина РФ) для отождествления физических лиц. Переданные налоговые данные, данные на получение вида на жительство, сведения в административных документах, банковские данные и информация о здоровье могут быть отнесены к персональным данным. Биометрические данные, такие как отпечатки пальцев, цифровые отпечатки или радужная оболочка глаз, данные о местоположении и онлайн-атрибуты все чаще используются для идентификации субъектов в цифровом пространстве.
Для применения Общего регламента по защите данных не требуется фактической идентификации субъекта данных, достаточно, чтобы субъект был потенциально идентифицируемым. Субъект считается потенциально идентифицируемым, если имеется достаточно атрибутов данных, с помощью которых его можно прямо или косвенно идентифицировать. Согласно разделам 2 и 3 Общего регламента по защите данных все идентифицируемые данные, хранящиеся у обработчика, должны быть доступны субъекту данных, равно как и все сведения об обработке, включая третьих лиц, которым такие данные доступны.
Например, местный орган власти собирает данные об автомобилях на улицах города. По его указанию происходит автоматическая фотофиксация времени и местоположения автотранспортного средства с целью оформления штрафов, в случаях выявления нарушений. Субъект данных подает жалобу, заявляя, что местный орган власти не имеет правовых оснований в соответствии с законодательством о защите данных. Местный орган власти утверждает, что не осуществляет сбор персональных данных, поскольку номерные знаки автомашин обрабатываются без других идентификаторов и орган власти не имеет доступа к реестру полиции для идентификации субъекта.