Текст книги "Руководство по GDPR"

Выдержки из решений Суда Европейского Союза и Европейского суда по правам человека

Защита юридических лиц

В деле Bernh Larsen Holding AS и другие против Норвегии Суд рассматривал жалобу трех норвежских компаний на решение налогового органа, предписывающего им представить налоговым аудиторам копии всех данных, хранящихся на общем сервере.

Европейский суд по правам человека установил, что такое обязательство компаний-заявителей представляло собой вмешательство в их право на уважение частной и семейной жизни, неприкосновенность жилища и тайну переписки в соответствии со статьей 8 Европейской конвенции по правам человека.

При этом Суд установил, что налоговые органы имели эффективные и адекватные гарантии против злоупотреблений: компании-заявители были уведомлены заблаговременно, присутствовали при проверке налогового органа и могли вносить предложения во время вмешательства в право на уважение частной жизни на месте и заявить об уничтожении копии данных после завершения проверки. В данных обстоятельствах суд учел баланс между правом компаний-заявителей на уважение права на защиту частной жизни и их заинтересованностью в защите персональных данных работников, и наличием общественного интереса в обеспечении эффективной работы налоговых органов. Суд постановил, что нарушение статьи 8 Европейской конвенции по правам человека не было.

В деле Volker, Markus Schecke и Hartmut Eifert против земли Гессен Суд Европейского Союза, ссылаясь на публикацию личных данных бенефициаров фондов сельскохозяйственной помощи, постановил, что «юридические лица могут требовать защиты в соответствии со статьями 7 и 8 Хартии основных прав ЕС в случае возможной идентификации физического лица на основе данных о юридическом лице, так как физическое лицо имеет право на уважение частной жизни».

Коррелируя право Европейского Союза в обеспечении прозрачности при распределении помощи с основными правами на неприкосновенность частной жизни и защиту персональных данных субъекта, Суд Европейского Союза посчитал, что вмешательство в основные права субъекта было непропорционально интересам общественности. По мнению Суда, цель обеспечения интересов общественности ЕС была достигнута с помощью мероприятий, которые в значительной мере ущемили права субъектов данных.

При рассмотрении публикации о юридическом лице Суд Европейского Союза постановил, что данная публикация не нарушает принципов соразмерности (баланса) прав. Суд заявил, что «серьезность нарушения права на защиту персональных данных для физических лиц и для юридических лиц не одинакова по своей сути». Юридические лица обременены постоянным обязательством относительно публикации сведений о своей деятельности. Суд Европейского Союза посчитал, что налагать на национальные органы требование об установке взаимосвязей между юридическими и физическими лицами (например, конечными бенефициарами) является необоснованной административной нагрузкой.

Персональные данные

В деле Volker, Markus Schecke и Hartmut Eifert против земли Гессен Суд Европейского Союза заявил, что «не имеет значения, что публикуемые данные касаются деятельности профессионального характера». Европейский суд по правам человека со ссылкой на статью 8 Модернизированной конвенции 108, постановил, что термин «частная жизнь» не должен толковаться ограниченно и что нет оснований для исключения аспектов профессионального характера из понятия частной жизни.

В рассматриваемом деле ЕС против Службы по делам иммигрантов (Integratie en Asiel против M и S) Суд Европейского Союза постановил, что правовой анализ, содержащийся в проекте решения Службы иммиграции и натурализации, касающееся заявлений на получение вида на жительство, сам по себе не является персональными данными, хотя и может содержать в себе таковые.

Частная жизнь и профессиональная деятельность

В деле Bărbulescu против Румынии заявитель был уволен с работы за использование в рабочее время сети Интернет работодателя в личных целях и за нарушение внутренних правил. Работодатель следил за действиями работника, и в ходе внутреннего разбирательства были представлены сообщения работника личного характера. Считая, что в данном случае применима статья 8 Европейской конвенции по правам человека, Европейский суд по правам человека оставил открытым вопрос о том, понимает ли заявитель разумность ограничения права на уважение частной жизни.

Суд определил, что никакие внутренние инструкции не могут ограничить человека в общении в течение рабочего дня. По существу вопроса, государствам ЕС должна быть предоставлена возможность выбора при оценке необходимости создания правовой основы, регулирующей подобные вопросы. Тем не менее национальное законодательство должно обеспечить адекватные и эффективные меры защиты от злоупотреблений при таком виде контроля, независимо от масштабов и продолжительности таких мер.

Данное вмешательство в право на уважение частной жизни было существенным и Европейский суд по правам человека определил ряд характерных факторов: степень контроля работодателя за работниками, степень вмешательства в частную жизнь, последствия для работника и наличие адекватных гарантий. Кроме того, национальные власти должны были обеспечить право работника на эффективный доступ к правовой защите для определения законности таких мер со стороны работодателя. В этом случае Европейский суд по правам человека установил факт нарушения статьи 8, так как национальные власти не предоставили адекватной защиты права заявителя на неприкосновенность его частной жизни и переписки, а следовательно, не было корреляции общественного интереса с основным правом субъекта.

Идентификация

В деле Promusicae против Telefónica de Españа Суд Европейского Союза заявил, что «запрос Promusicae имен и адресов определенных пользователей файлообменного ресурса, подразумевает предоставление личных данных», то есть информации, относящейся к идентифицированным или идентифицируемым физическим лицам согласно определению статьи 4 (1) Общего регламента по защите данных. Передача информации, хранящейся у Telefónica, является обработкой персональных данных.

Дело Scarlet Extended SA против Société касалось отказа Интернет-провайдера Scarlet установить систему фильтрации электронных сообщений в пиринговой системе обмена файлов. Данная мера была необходима для предотвращения совместного использования файлов, что нарушает авторское право авторов и композиторов, защищенных управляющей компанией SABAM. Суд Европейского Союза постановил, что IP-адреса пользователей «являются защищенными личными данными, поскольку они позволяют точно идентифицировать таких пользователей».

Ресурсы при идентификации

В деле Breyer против Федеративной Республики Германия, Суд Европейского Союза рассмотрел понятие косвенной идентификации субъектов данных. В данном случае речь шла о динамических IP-адресах, которые меняются при каждом новом подключении к сети Интернет. Веб-сайты, находящиеся в ведении федеральных учреждений Германии, регистрируют и хранят динамические IP-адреса для предотвращения кибератак и вычисления возможных злоумышленников. Один из Интернет-провайдеров, предоставляющих услуги м-ру Breyer, хранил дополнительную информацию дольше, чем это необходимо было для идентификации.

Суд Европейского Союза посчитал, что динамический IP-адрес является дополнительным атрибутом данных, который регистрируется и хранится у Интернет-провайдера при получении субъектом доступа к сайтам. Данный атрибут может служить косвенным идентификатором, обрабатываемым только третьей стороной (Интернет-провайдером). Суд Европейского Союза постановил, что хранение достаточного количества косвенных идентификаторов позволяет идентифицировать субъекта данных и что такое хранение и обработка не соответствует целям, указанным в законодательстве. Субъекты данных могут быть идентифицированы по таким атрибутам, но в рамках законных целей. Например, в случае уголовного преследования или отражения киберугрозы. Согласно решению Суда при идентификации физического лица провайдер может использовать атрибуты данных, преследуя исключительно законную цель, поэтому такие дополнительные атрибуты являются персональными данными.

Концепция обработки персональных данных

В деле František Ryneš, г-н Ryneš сделал снимок двух людей, которые разбили окна в его доме, посредством системы внутреннего видеонаблюдения, которую он установил для защиты своей собственности. Суд Европейского Союза определил, что видеонаблюдение, включающее запись и хранение персональных данных, представляет собой автоматическую обработку персональных данных и подпадает под юрисдикцию законодательства ЕС о защите данных.

Дело г-на Manni касалось запроса на удаление его личных данных из реестра, в котором находились сведения об участии заявителя в банкротстве компании. По его мнению, эти данные оказывали негативное влияние на его репутацию. Суд Европейского Союза постановил, что «хранение такой информации в реестре и ее передача по запросу третьим лицам, ответственным за ведение такого реестра представляет обработку персональных данных, для которой он является контроллером».

Автоматизированная обработка персональных данных

Дело Bodil Lindqvist касалось Интернет-страницы, содержащей дополнительные атрибуты информации, позволявшие идентифицировать субъекта данных. Суд Европейского Союза постановил, что «размещение данных на Интернет-странице, идентификация по имени или, например, предоставление номера телефона или информации о трудоустройстве или хобби, является обработкой персональных данных» в значении статьи 3 (1) Общего регламента по защите данных.

В деле Google Spain SL, Mario Costeja González попросил удалить или изменить ссылку в поисковой системе Google на две новостные страницы, содержащих информацию об аукционе недвижимости по взысканию долгов социального страхования. Суд Европейского Союза заявил, что «при автоматическом, постоянном и систематическом изучении сети Интернет в поисках информации, которая там публикуется, оператор поисковой системы собирает такие данные, которые впоследствии извлекает, регистрирует и систематизирует в рамках структуры индексации информации». Оператор поисковой системы хранит данные на своих серверах, раскрывает и предоставляет своим пользователям данные в виде результатов поиска.

Суд Европейского Союза пришел к выводу, что такие действия представляют собой обработку данных, «независимо от того, что оператор поисковой системы также выполняет аналогичные операции в отношении других типов информации и не проводит различий между операциями», это все обработка персональных данных.

Контроллер

В деле Google Spain заявитель, гражданин Испании, обратился с запросом на удаление из поисковой системы Google старого отчета о своей финансовой истории.

Суду Европейского Союза было необходимо определить, является ли Google оператором поисковой системы в контексте статьи 2 (d) Директивы о защите данных. Суд Европейского Союза рассмотрел понятие «контроллер» в контексте «обеспечения эффективной и полной защиты субъектов данных».

Суд Европейского Союза обнаружил, что оператор поисковой системы определил цели и средства деятельности и что он предоставляет просмотр веб-страниц посредством реализации функционала поисковой системы. Таким образом, Суд Европейского Союза определил, что в данном случае Google является контроллером.

Законодательная база

Правовое определение защиты данных

Европейское законодательство

– статьи 4 (1, 5), 5 (1e) и 9 Общего регламента по защите данных ЕС 2016/679;

– решение Суда Европейского Союза, Joined cases C-92/09 and C-93/09, Volker und Markus Schecke GbR and Hartmut Eifert v. Land Hessen [GC], 2010;

– решение Суда Европейского Союза, C-275/06, Productores de Música de España (Promusicae) v. Telefónica de España SAU [GC], 2008;

– решение Суда Европейского Союза, C-70/10, Scarlet Extended SA v. Société belge des auteurs, compositeurs et éditeurs SCRL (SABAM), 2011;

– решение Суда Европейского Союза, C-582/14, Patrick Breyer v. Bundesrepublik Deutschland, 2016;

– решение Суда Европейского Союза, Joined cases C-141/12 and C-372/12, YS v. Minister voor Immigratie, Integratie en Asiel and Minister voor Immigratie, Integratie en Asiel v. M and S, 2014.

Закон Совета Европы

– статья 2 (a) Модернизированной Конвенции 108;

– решение Европейского суда по правам человека, Bernh Larsen Holding AS and Others v. Norway, No. 24117/08, 2013;

– решение Европейского суда по правам человека, Uzun v. Germany, No. 35623/05, 2010; ECtHR, Amann v. Switzerland [GC], No. 27798/95, 2000.

Российская Федерация

– п. 1 статьи 17, п. 1 статьи 24 Конституции РФ;

– статьи 2, 19, 20, 22 Федерального закона от 27.06.2006 №152-ФЗ «О персональных данных»;

– прецедентное право в Российской Федерации отсутствует.

Специальные категории персональных данных

Европейское законодательство

– решение Суда Европейского Союза, C-101/01, Criminal proceedings against Bodil Lindqvist, 2003;

Закон Совета Европы

– статья 6 (1) Модернизированной Конвенции 108;

Российская Федерация

– статья 10 Федерального закона от 27.06.2006 №152-ФЗ «О персональных данных».

Анонимные и обезличенные данные

Европейское законодательство

– решение Суда Европейского Союза, C-434/16, Peter Nowak v. Data Protection Commissioner, 2017;

Закон Совета Европы

– статья 5 (4e) Модернизированной Конвенции 108;

– параграф 50 Пояснительного доклада к Модернизированной Конвенции 108;

Российская Федерация

– применимо, но на уровне федерального законодательства не декларированы.

Законодательная практика РФ

Персональные данные:

– в соответствии с федеральным законодательством по защите данных для операторов персональных данных отсутствует регулирование по определению возможности идентификации физического лица, законодатель лишь указывает, в каких целях обработка является законной, и указывает на минимизацию данных при такой обработке. Другими словами, в случае идентификации физического лица, оператор определяет необходимые атрибуты, необходимые для целей такой обработки, не использую другие атрибуты в целях минимизации данных. Цели законной обработки персональных данных перечислены в пункте 1 статьи 6 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»;

– аутентификация, то есть процедура проверки подлинности, как мера защиты персональных данных не декларирована федеральным законодательством по защите данных. В соответствии с пунктом 1 статьи 19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» оператор обязан принимать необходимые правовые, организационные и технические меры по обеспечению защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Аутентификация может служить одной из таких мер.

– в российском законодательстве по защите данных существуют специальные категории данных, статья 10 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» перечисляет, что относится к специальным категориям персональных данных и в каких целях допускается их обработка. Интересный факт, в российском законодательстве биометрические данные (статья 11 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных») выделены в отдельную категорию, однако и специальные категории данных и биометрические данные нуждаются в усиленной защите и особых правовых мерах:

– анонимизация и псевдонимизация, как операции по защите данных, прямо не упомянуты в федеральном законодательстве, однако на уровне Постановлений Правительства РФ и приказов надзорных органов существуют требования к шифрованию.

Нормативные акты Правительства РФ и надзорных органов декларируют обязательные требования, оператор вправе их дополнить, но не уменьшить.

Обработка персональных данных:

– понятие обработки персональных данных, указанное в пункте 3 статьи 3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», идентично понятию, используемому в правовых системах ЕС;

– идентично законодательству ЕС российское законодательство по защите данных включает в понятие обработки персональных данных автоматизированные и неавтоматизированные виды обработки.

Субъект данных:

– в российском законодательстве понятие оператор персональных данных идентично понятию контроллер, указанному в статье 4 (7) Общего регламента по защите данных ЕС 2016/679, понятие включает в себя совместную, с другими физическими и/или юридическими лицами, а также государственными и муниципальными органами, обработку данных и определение целей;

– понятие процессор не заложено в определениях Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», однако пункты 3, 4 и 5 статьи 6 Закона прямо указывают на такую возможность;

– статья 3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» не имеет определения получателя или третьего лица в значении статьи 4 (9, 10) Общего регламента по защите данных ЕС 2016/679, однако пункт 6 статьи 3 Закона указывает на действие по передаче данных определенному лицу или группе лиц;

– согласие, как правовая основа в российском законодательстве по защите данных декларирована подпунктом 1 пункта 1 статьи 6 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных». Законодательство не раскрывает критерии согласия, что приводит к спорным моментам в правоприменительной практике российских судов, например, Постановление Первого Арбитражного суда от 12.10. 2011 №01 АП-4438/11, спор, связанный с получением согласия субъекта данных в сфере оказания услуг связи. Пункт 4 статьи 9 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» указывает на предоставления письменного согласия субъекта данных, с указанием обязательных атрибутов, что может считаться явным, информированным, совершенным без принуждения согласием субъекта;

– обработка специальных категорий данных на основе согласия требует явного согласия на обработку таких данных в контексте подпункта 1 пункта 1 статьи 10 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», критерии такого согласия описаны в пункте 4 статьи 9 Закона.

Глава 3

Принципы законодательства ЕС и Совета Европы в части защиты данных: законность, справедливость, прозрачность, ограничение целей обработки, минимизация и точность данных, ограничение хранения данных, безопасность данных, принцип подотчетности.

Законодательство ЕС и РФ в области защиты данных.

Статья 5 Общего регламента по защите данных ЕС 2016/679 устанавливает принципы, регулирующие обработку персональных данных. Эти принципы охватывают понятия:

– законности, справедливости и прозрачности;

– ограничения цели обработки;

– минимизации данных;

– точности данных;

– ограничения хранения данных;

– целостности и конфиденциальности.

Принципы являются основой для нормативных требований Общего регламента по защите данных. Они также закреплены в статьях 5, 7, 8 и 10 Модернизированной Конвенции 108. Все законодательные акты о защите данных на уровне Совета Европы или законодательства ЕС должны соответствовать этим принципам и их следует учитывать при толковании законодательства о защите данных.

Ограничения, в отношении принципов обработки данных, допускаются только в той мере, в которой они соответствуют правам и обязанностям согласно статьям 12—22 Общего регламента по защите данных. Любые исключения и ограничения этих принципов могут быть предусмотрены на уровне ЕС или в национальном праве страны Евросоюза, однако такие ограничения должны быть отражены в законодательстве, преследовать законную цель, быть необходимыми и соразмерными в демократическом обществе. Ограничения и исключения возможны только при соблюдении всех условий, перечисленных выше.

Законность процесса обработки данных

Общий регламент по защите данных ЕС 2016/679 требует законной обработки и защиты персональных данных. Для законной обработки требуется согласие субъекта данных или иное законное основание, предусмотренное статьей 6 (1) Общего регламента по защите данных.

Статья 6 (1) включает пять законных оснований для обработки в дополнение к согласию:

– обработка данных необходима для выполнения договорных обязательств,

– выполнение задач при исполнении полномочий государственными органами,

– соблюдение законного обязательства,

– соблюдение законных интересов контроллеров и третьих лиц

– или необходимость защиты жизненного важных интересов субъектов данных.