Внимание! Вы используете устаревшую версию браузера.
Для корректного отображения сайта настоятельно рекомендуем Вам установить более современную версию одного из браузеров, представленных справа. Это бесплатно и займет всего несколько минут.
Попробовать Оформить подписку
Попробовать Оформить подписку
Сбор персональных данных и информационная безопасность
Александр Зозуля, доктор философии в области права, старший юрист, PhD in Law IBC Legal Services

Проблема регулирования процесса сбора персональных данных, сохранения информационной безопасности и другие сопутствующие вопросы, связанные с работой с персональными данными в нашей стране, сейчас является относительно решенной и известной широкому кругу юристов. Очевидно, что законодательство не совершенно и нуждается в улучшении, однако основные положения регулируются Законом Украины "О защите персональных данных" от 1 июня 2010 года № 2297-VI. Так, в соответствии со ст. 12 указанного Закона сбор персональных данных является составляющей процесса их обработки, который предусматривает действия по подбору или упорядочению сведений о физическом лице. Субъект персональных данных уведомляется о собственнике персональных данных, составе и содержании собранных персональных данных, своих правах, определенных Законом, цели сбора персональных данных и лицах, которым передаются его персональные данные: в момент сбора персональных данных, если они собираются у субъекта персональных данных, и в других случаях – в течение тридцати рабочих дней со дня сбора персональных данных. Кроме вышеприведенного Закона, юридические и физические лица имеют возможность решать вопросы, связанные с собственной информационной безопасностью, используя положения Гражданского кодекса Украины, Закона Украины "Об информации" и другие акты законодательства Украины.

Менее исследованным и более интересным вопросом с точки зрения шагов в будущее и евроинтеграционных амбиций Украины является ознакомление, изучение и анализ регулирования защиты персональных данных, в частности их сбор в странах Европейского Союза. Наиболее актуальной и активно развиваемой сейчас является проблематика защиты персональных данных и информационной безопасности в Интернете. Так, 25 мая 2018 года вступили в силу Правила нового Закона о защите персональных данных в Интернете для пользователей, находящихся на территории Европейской экономической зоны (ЕЭЗ). Здесь необходимо понимать, что ЕЭЗ охватываются не только страны собственно Европейского Союза, но и страны Европейской ассоциации свободной торговли (ЕАСТ), кроме Швейцарии.

Соглашение о создании Европейской экономической зоны подписано в 1992 году и вступило в силу 1 января 1994 года. ЕЭЗ основывается на тех же "четырех свободах", что и Европейское Сообщество: свободное передвижение товаров, лиц, услуг и капитала между странами ЕЭЗ. Таким образом, страны ЕАСТ, входящие в ЕЭЗ, имеют режим свободной торговли с Европейским Союзом. Это позволяет странам – участницам ЕАСТ, таким как Исландия, Норвегия и Лихтенштейн, принимать участие в едином европейском рынке без вступления в ЕС. В соответствии с Соглашением о Европейской экономической зоне, расширение ЕС влечет за собой расширение Европейской экономической зоны. Поэтому сейчас Европейская экономическая зона охватывает 30 стран.

Новые вышеприведенные правила обозначаются аббревиатурой GDPR (The General Data Protection Regulation, Общие правила защиты данных) и распространяются на всех участников всемирной сети Интернет, принимающих участие в сборе, хранении или обработке персональных данных. Хотя Закон принят для защиты европейских данных, глобальный характер Интернета означает, что GDPR устанавливается стандарт конфиденциальности данных во всем мире. Практически все крупнейшие интернет-компании, включая Facebook, Twitter и Google, подпадают под регулирование требований GDPR.

Важно указать, что GDPR – это давно назревший набор современных методов обеспечения и соблюдения конфиденциальности в бизнесе и особенно в Интернете, который является сверхважным в новых условиях развития глобальной экономики. Он призван научить нас относиться к данным пользователей с такой же тщательностью и уважением, с которой мы относимся к собственным.

В целях GDPR – обеспечивать еще большую защиту персональных данных лица, включая, но не ограничиваясь, его религиозные или политические убеждения. Наказания за несоблюдение правил существенные: до 20 млн евро или 4 % от общего оборота за нарушение. Кроме того, GDPR обеспечивается пользователям возможность компенсации любого материального и/или нематериального нарушения GDPR.

Целью настоящей статьи является обзор новых правил GDPR, поскольку на сегодняшний день практически каждый сайт в Интернете тем или иным образом работает с персональными данными пользователей. Если предприниматель будет знать, что ваш сайт соответствует требованиям GDPR, он продемонстрирует, что серьезно относится к конфиденциальности своих пользователей.

К чему/кому применяются правила GDPR?

GDPR применяются к данным, которые собираются, обрабатываются и/или хранятся в Европе независимо от того, где собраны данные. Если, например, у физического лица есть интернет-магазин в Украине с информационной рассылкой и хотя бы один потенциальный клиент из Европейского Союза подписался на нее, тогда на такой интернет-магазин распространяются правила GDPR, что открывает юристам новые возможности для улучшения своих знаний и предоставления помощи клиентам.

Важным условием GDPR является то, что с момента вступления в силу данного Закона запрещена передача данных за пределы Европейского Союза в любую страну, которую ЕС не считает соответствующей требованиям законодательства о защите персональных данных. Если данные передаются лично за пределы ЕС для обработки или хранения, то необходимо получить явное согласие на это от пользователя, которому принадлежат данные.

Стоит обратить внимание на то, что многоуровневый характер юрисдикций всемирной сети Интернет и такие технологии, как CDN, приведут к тому, что в определенный момент данные, которые собираются и хранятся лицом, будут передаваться за пределы Европейского Союза и одобренных стран. Поэтому независимо от того, какие другие разрешения запрашиваются у своих пользователей, желательно всегда получать разрешение на хранение данных за пределами ЕС и данные должны быть защищены.

GDPR различает два основных типа данных, которые должны быть защищены: личные и деликатные.

Личные данные – это любые данные, идентифицирующие человека. Ваше имя, адрес электронной почты, местоположение, биометрические данные, логин (другие онлайн-идентификаторы) – все это личные данные.

Деликатные данные – это то, что, по мнению ЕС, более личное, чем имя. Этническое происхождение, религиозные убеждения, сексуальные предпочтения, политические взгляды, криминальная история – все это можно отнести к деликатным данным. Новые правила призваны уделять больше внимания защите и деликатных данных.

Также GDPR ставятся условия для данных, которые могут собираться из разных источников. Лучшее поведение в таком случае заключается в том, чтобы никогда не спрашивать больше данных, чем вам нужно – чем меньше данных вы храните, тем меньше риска их потерять.

Права пользователей согласно правилам GDPR

В любой ситуации, когда вы запрашиваете данные пользователя, сначала спросите себя: как это повлияет на права собственника этих данных? GDPR определяются следующие официальные права, которыми владеют собственники данных: право доступа, право на объект, право быть проинформированным, право на исправление, право на перенос данных, право на удаление данных, право не подвергаться автоматическому принятию решений, право ограничить обработку данных.

Однако лица, хранящие данные, также имеют права. Например, если пользователь подписался на вашу рассылку. Со временем он решает, что больше не хочет получать рассылку и отписывается. В таком случае вы просто обязаны навсегда стереть адрес электронной почты данного пользователя. Однако, когда пользователь подписывается на рассылку, вы должны знать его IP-адрес, чтобы сопоставить с его согласием получать рассылку (как и обязаны), ведь вы вправе сохранить эти данные, чтобы подтвердить выполнение своим сайтом правил GDPR.

Практические шаги по обеспечению соответствия требованиям

Важно понимать, что регулирующий орган Европейского Союза не обязан доказывать ваше несоблюдение правил. Это ваша юридическая обязанность доказывать, что вы соответствуете правилам, а неспособность сделать это само по себе является несоответствием требованиям. Также следует выходить из принципа конфиденциальности по умолчанию: пользователю не нужно предпринимать никаких действий для обеспечения конфиденциальности. Если пользователь ничего не делает, его данные обрабатываются как частные. Внедрение конфиденциальности в проект: конфиденциальность не добавляется к проекту задним числом, она является неотъемлемым компонентом любого продукта или системы. Также необходимо осуществлять оценку влияния на конфиденциальность, насущной необходимостью для крупных компаний также станет необходимость принятия на работу сотрудника по защите данных. Кроме этого, следует указать, что в соответствии с GDPR согласие тщательно определено для обеспечения защиты прав пользователей: оно должно быть явным, поддающимся проверке и должно быть предоставлено по доброй воле. Согласие на цифровые услуги от ребенка в возрасте до 16 лет требует также согласия родителей.

Необходимо понимать, что если согласием, полученным вами от ваших пользователей, не выполняются какие-либо из этих требований, тогда будет считаться, что у вас нет согласия, независимо от намерений ваших пользователей. Также GDPR, в частности, требует конкретную декларацию о конфиденциальности.

Завершая краткий обзор материальных норм по сбору персональных данных и соблюдению информационной безопасности в Европейском Союзе, считаю необходимым остановиться на некоторых практических аспектах, связанных с судебной практикой относительно вопросов, касающихся тематики настоящей статьи.

Так, интересным с точки зрения понимания баланса между защитой персональных данных и свободой выражения взглядов является дело "Аксель Шпрингер АГ против Германии" ("Axel Sprinder AG v. Germany"), 7 февраля 2012 г., № 39954/08.

Соглашение о строительстве "Северного потока" было подписано в присутствии Шредера и Путина в апреле 2005 года, а договор о строительстве – при их же присутствия в сентябре 2005 года. Через 10 дней после этого состоялись досрочные национальные выборы, инициированные Шредером путем постановки перед Бундестагом вопроса о доверии правительства, в котором ему было отказано, в результате чего президент Германии распустил парламент. Опубликованный газетой Bild вопрос был поставлен заместителем председателя парламентской фракции Свободной демократической партии Германии Карл-Людвиг Тиле. Жалобу против Германии подал в ЕСПЧ издатель газеты – компания "Аксель Шпрингер АГ".

ЕСПЧ пришел к выводу, что сведения о личной жизни Герхарда Шредера были опубликованы газетой не с целью удовлетворения любопытства читателей. Они касались действий Шредера на должности федерального канцлера и его спорного назначения председателем комитета акционеров германо-российского консорциума вскоре после увольнения со своей должности. Воспроизведенный в статье комментарий господина Тиле о причинах инициирования Шредером национальных выборов был ближе к оценочному суждению, нежели утверждением о факте, требующем доказательств.

Исследуя материалы дела, Страсбургский суд указал, что обсуждаемый вопрос поднялся в рамках политического контекста, привлекаемого внимание общественности, и Шредер не обвинялся в совершении преступления. Вопрос, поставленный Карлом-Людвигом Тиле, основывался на ряде фактов, а новое назначение Шредера широко освещалось в прессе и обсуждалось в парламенте. Вопрос господина Тиле также не был единственным комментарием, опубликованным газетой, наоборот, он сопровождался целым рядом заявлений политиков от разных партий. ЕСПЧ указал, что он не может согласиться с мнением немецких судов о том, что статья должна была также содержать сведения в поддержку Шредера. Бывший федеральный канцлер, занимавший один из высших политических постов Германии, обязан демонстрировать намного большую степень терпимости, чем частное лицо.

Кроме того, несмотря на то, что комментарий господина Тиле был опубликован газетой, сделан он был политиком и членом парламента. Призвание СМИ заключается в том, чтобы распространять информацию и идеи по всем вопросам, привлекающим общественное внимание. На политическом поприще свобода выражения мнения наиболее важна и пресса здесь играет ключевую роль "сторожевого пса". Наказание журналиста за помощь в распространении заявлений, сделанных другим лицом, серьезно помешало бы СМИ вносить свой вклад в обсуждение вопросов, вызывающих интерес со стороны общества. ЕСПЧ указал, что от газеты нельзя требовать постоянной проверки содержания каждого комментария, высказанного одним политиком в отношении другого, если такой дается в контексте публичной политической полемики.

Таким образом, ЕСПЧ пришел к выводу, что газета не вышла за пределы журналистской свободы в распространении спорного комментария. Немецкие суды не установили со всей убедительностью, что имела место насущная общественная необходимость поставить защиту репутации бывшего федерального канцлера Герхарда Шредера выше гарантированной заявителю свободы выражения мнения и общего интереса в том, чтобы способствовать этой свободе, когда речь идет о вопросах, привлекающих общественное внимание. Соответственно, было нарушение свободы выражения мнения, гарантированное ст. 10 Конвенции о защите прав человека и основоположных свобод.

Также актуальным и интересным с точки зрения защиты персональных данных относительно отслеживания за перемещением лица с помощью средств GPS является дело "Узун против Германии" ("Uzun v. Germany"), 2 сентября 2010 г., № 35623/05, а также другие связанные с этим дела, в котором ЕСПЧ установил, что наблюдение за заявителем с помощью глобальной системы позиционирования, обработки и использования полученной таким образом информации было вмешательством в осуществление им своего права на неприкосновенность частной жизни, защищенной п. 1 ст. 8 Конвенции.

Тогда, как основной целью ст. 8 Конвенции является главным образом защита лица от произвольного вмешательства государственных органов, а неотъемлемой частью эффективного обеспечения неприкосновенности частной и семейной жизни могут быть положительные обязательства (см. решение в деле "Эйри против Ирландии", постановление от 9 октября 1979 г., серия А, № 32). Этими обязательствами подразумевается принятие государством мер, призванных обеспечить неприкосновенность частной жизни, даже в сфере отношений частных лиц, например пользователя Интернета и тех, кто предоставляет доступ к конкретному сайту. Иначе говоря, государство несет положительную обязанность по установлению эффективного сдерживающего средства против серьезных посягательств на личные данные лица, иногда с помощью применения эффективных уголовно-правовых положений. Сбор, хранение и раскрытие информации личного характера государством, например относительно полицейского реестра, является вмешательством в осуществление права лица на неприкосновенность частной жизни, гарантированную п. 1 ст. 8 Конвенции.

В случае хранения информации личного характера в интересах национальной безопасности должны существовать надлежащие и эффективные гарантии от злоупотреблений со стороны государства. Когда такие гарантии существуют, ЕСПЧ может и не установить нарушение ст. 8 Конвенции. Информация о пользовании средствами телекоммуникации широко используется властью государства для целей осуществления наблюдения, поскольку для доступа к ней и ее хранения требуются наименьшие расходы.

Завершить обзор европейской судебной практики хотелось бы не менее актуальным и интересным делом, связанным с регулированием проблем защиты персональных данных и информационной безопасностью лица.

"К. У. против Финляндии" ("K. U. v. Finland") от 02 декабря 2008 г., заявление № 2872/02: национальным законодательством должно предусматриваться положение об отступлении от конфиденциальности с целью предупреждения преступлений и защиты прав и свобод других лиц (ст. 8 Конвенции).

Фабула судебного акта: неустановленное лицо разместило объявление сексуального характера на интернет-сайте знакомств от лица заявителя без его согласия, которому на тот момент было 12 лет.

Национальные суды отказали в истребовании от интернет-провайдера информации о лице, разместившем объявление, поскольку злонамеренное введение в заблуждение не было тем составом правонарушения, которое позволяло требовать выдачу такой информации. Кроме того, провайдер отказался сообщить данные о лице-нарушителе, утверждая, что это будет нарушением законодательства о конфиденциальности.

Заявитель обратился с жалобой по ст. 8 Конвенции за вмешательство в его частную жизнь и отсутствие действенного средства правовой защиты, которое позволяло бы установить лицо, разместившее объявление в Интернете, порочащее его достоинство, от его имени в нарушение ст. 13 Конвенции.

ЕСПЧ установил, что имело место нарушение ст. 8 Конвенции: факты, изложенные в жалобе, охватывают понятие "частная жизнь", в которое включается физический и моральный облик человека.

ЕСПЧ решил, что это объявление носило преступный характер, касалось несовершеннолетнего гражданина и делало его объектом внимания педофилов.

ЄСПЛ постановил, что эффективное расследование не могло начаться из-за наличия обязательного условия соблюдения конфиденциальности. Законодательством должно предусматриваться положение об отказе в конфиденциальности с целью предупреждения нарушения порядка и преступлений, а также защиты прав и свобод других лиц. Учитывая заключение относительно ст. 8 Конвенции, ЕСПЧ постановил, что отсутствует необходимость рассматривать вопрос о том, было ли в этом деле также нарушение ст. 13 Конвенции.

ВЫВОД:

Подводя итоги, хотелось бы указать, что в Украине система защиты персональных данных, в том числе их сбор и вопрос информационной безопасности, нуждаются в развитии, причем вектор этого развития должен быть западным. Поскольку страны Европейского Союза уже прошли этот путь, постепенно выстраивали системы, устраняли слабые места и адаптировались к новым условиям. Осложняет ситуацию низкая осведомленность граждан, в частности и правовая, однако решение этих проблем – продолжительный процесс, который может длиться годами, и он является неизбежным, если наше государство планирует занять свое место среди передовых демократий мира.

_____________________________________________
© ТОВ "ІАЦ "ЛІГА", ТОВ "ЛІГА ЗАКОН", 2018

У разі цитування або іншого використання матеріалів, розміщених у цьому продукті ЛІГА:ЗАКОН, посилання на ЛІГА:ЗАКОН обов'язкове.
Повне або часткове відтворення чи тиражування будь-яким способом цих матеріалів без письмового дозволу ТОВ "ЛІГА ЗАКОН" заборонено.

Получить полный доступ ко всем номерам и статьям издания Вы сможете оформив подписку на электронное издание ЮРИСТ&ЗАКОН
Контакты редакции:
uz@ligazakon.ua