В статье автор пытается рассмотреть конфиденциальность персональных данных в период распространения коронавирусной инфекции COVID-19, также описать «право быть забытым» и проанализировать его имплементацию в нормативно-правовую базу Российской Федерации.
Ключевые слова: персональные данные, пандемия, коронавирусная инфекция, COVID-19, защита персональных данных, «право быть забытым», общий регламент по защите данных.
Возрастающие международные угрозы толкают правительства разных стран прибегать к более жестким мерам обеспечения безопасности суверенитета своих государств, безопасности здоровья и благополучия граждан, примером стала пандемия COVID-19. В связи с ее распространением правительства нарушают границы частной жизни своих граждан, вторгаются в конфиденциальную жизнь: собирают и использует персональные данные, отслеживают местоположения и маршруты своих граждан, конечно, для благой цели — контроля распространения коронавируса. В связи с накаляющейся обстановкой в странах очень остро стоит вопрос о том, как сочетать конфиденциальность персональных данных, соблюдение границ частной жизни граждан и необходимости всех этих условий для выполнения функций государства — защите своего населения.
В международном праве существует конвенция, которая защищает физических лиц от злоупотреблений их персональными данными. «Конвенция о защите физических лиц при автоматизированной обработке персональных данных» (Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data) была ратифицирована 55 странами, включая членов Совета Европы и иных стран, не являющимися членами Совета Европы (Уругвай, Аргентина, Мексика, Тунис и т. д.) [1].
Данная конвенция — первый обязывающий международный инструмент, защищающий физических лиц от злоупотреблений, которые могут иметь место при сборе и обработке данных, и ставящий в то же время задачу регулировать трансграничный поток персональных данных.
Конвенция не только дает гарантии применительно к сбору и обработке персональных данных, но и запрещает обработку «чувствительных» данных относительно расовой принадлежности лица, его политических взглядов, здоровья, религии, сексуальной жизни, уголовного прошлого и т. п., если национальное право не обеспечивает надлежащих гарантий.
Конвенция также дает лицу право знать, что данные о нем собраны, и в случае необходимости иметь возможность их исправить. Ограничения изложенных в Конвенции прав возможны только в случае, когда под угрозой оказываются высшие интересы (т. е. безопасность государства, интересы обороны и т. д.). Конвенция также предписывает определенные ограничения применительно к трансграничным потокам личных данных в те государства, где правовое регулирование не обеспечивает их должной защиты.
Законодательство различных стран постепенно адаптируется под запросы реальности, и сегодня существуют такое понятие как «право быть забытым» и законодательные рамки в виде общего регламента по защите данных (General Data Protection Regulation), действующего на территории Европейского Союза [2].
Так называемое «право быть забытым» базируется на идее, что каждый человек имеет право «стирать» свои персональные данные, которые доступны в Интернете, при условии, что эти данные могут навредить его личной жизни, или, точнее, исключить эти данные из результатов поиска.
Граждане Европейского Союза имеют законное право бороться с клеветой в Интернете, это и есть так называемое «право быть забытым». Оно позволяет требовать, чтобы поисковые системы по типу Google удаляли результаты поиска, являющиеся клеветническими.
«Право быть забытым» неоднозначно воспринималось во многих странах и неоднократно подвергалась критике. Более 75 % европейцев поддерживают «право быть забытым», в то же время, Палата лордов Великобритании назвала его «неработающим». Аналогичное мнение было высказано в Европарламенте, а сам механизм указанного права подвергался критике за счет своего несбалансированного подхода и превалирования частного интереса над публичным.
Российский вариант «права быть забытым» предусматривает удаление недостоверной, неактуальной или утратившей значение информации. Европейские правовые нормы содержат четкую отсылку к законодательству о защите персональных данных, тогда как российский законодатель наделил наших граждан подобным правом в отрыве от персональных данных и необходимости их защиты.
В 2016 году был принят Общий регламент по защите данных (General Data Protection Regulation (GDPR)), действие которого распространяется не только на все 28 стран ЕС, но и на международные компании, работающие на территории ЕС [2]. Регламент объединяет регулирование в таких вопросах как конфиденциальность персональных данных, «право быть забытым», правила хранения и обработки данных. Согласно регламенту, должны соблюдаться следующие принципы сбора, хранения и обработки персональных данных:
1) законная, справедливая и прозрачная обработка данных в отношении субъекта данных;
2) сбор данных осуществляется для определенных, явных и законных целей;
3) минимизация данных: собираются лишь те данные, которые необходимы;
4) точность: храниться должны только точные, актуальные данные. Неточные данные должны быть удалены или исправлены;
5) ограничение хранения: персональные данные должны храниться не более, чем это необходимо для поставленных целей;
6) целостность и конфиденциальность: при сборе, хранении и обработке данных компании должны обеспечить безопасность персональных данных.
В соответствии с GDPR компании, учрежденные в ЕС для передачи личных данных за пределы ЕС в рамках группы предприятий, должны соблюдать политику защиты данных и ввести Обязательные корпоративные правила (BCR) [2]. Такие правила должны включать все общие принципы защиты данных и осуществимые права для обеспечения надлежащих мер защиты при передаче данных.
Общее регулирование защиты данных ЕС является примером широкого и строго регламентирующего подхода к конфиденциальности и безопасности данных. При этом, как заявила Европейская комиссия, на фоне пандемии COVID-19 государства должны стремиться использовать данные для отслеживания распространения COVID-19 с целью улучшения мер реагирования, продолжая при этом придерживаться GDPR.
Комитет eHealth Network ЕС, занимающийся развитием электронной медицины в Евросоюзе, 15 апреля 2020 года выпустил инструкцию для разработки такого приложения, которым могут воспользоваться все 28 страны ЕС [4]. Двумя неделями ранее была анонсирована Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT) — Панъевропейская система отслеживания дистанции. Этот стандарт технологии отслеживания предполагает сохранение конфиденциальности персональных данных при разработке приложения для отслеживания перемещений инфицированных [5].
В России ратифицирована «Конвенция о защите физических лиц при автоматизированной обработке персональных данных» (Заключена в г. Страсбурге 28.01.1981) [1].
Данная конвенция имплементирована в Федеральном законе от 27.07.2006 N 152-ФЗ [3], но есть пункты, которые не были освещены в законе, например, любому лицу должна быть предоставлена возможность:
1) знать о существовании автоматизированного файла персональных данных, знать его основные цели, а также название и место обычного проживания или местонахождение контролера файла;
2) получить через разумный промежуток времени и без чрезмерной задержки или чрезмерных расходов подтверждение того, хранятся ли касающиеся его персональные данные в автоматизированном файле данных, а также получить такие данные в доступной для понимания форме;
3) добиваться в случае необходимости исправления или уничтожения таких данных, если они подвергались обработке в нарушение норм внутреннего законодательства;
4) прибегать к средствам правовой защиты в случае невыполнения просьбы о подтверждении или в случае необходимости предоставлении данных, их изменении или уничтожении.
В заключение хотелось бы отметить, что международное право особо акцентирует внимание на защите персональных данных, регламентируя формат и необходимые условия работы с персональными данными как в коммерческих компаниях, так и в государственном секторе. Большая роль именно данной сфере отводится не только в условиях развития цифрового пространства в целом, но и в условиях распространения коронавирусной инфекции COVID-19, когда особенно остро стоит проблема защиты персональных данных. Российская Федерация имплементирует «новые тенденции» в сфере права, адаптируя под свою правовую систему, однако многие аспекты защиты персональных данных в законодательстве России не предусмотрены либо рассмотрены не полностью.
Литература:
- Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Заключена в г. Страсбурге 28.01.1981) (вместе с Поправками к Конвенции о защите физических лиц при автоматизированной обработке персональных данных (СДСЕ N 108), позволяющими присоединение европейских сообществ, принятыми Комитетом Министров в Страсбурге 15.06.1999). // СПС «Консультант плюс» — URL: http://www.consultant.ru/document/cons_doc_LAW_121499/ (дата обращения: 11.12.2020).
- О персональных данных: Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 2.12.2020). // СПС «Консультант плюс» — URL: http://www.consultant.ru/document/cons_doc_LAW_61801/ (дата обращения:10.12.2020).
- Регламент N 2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных)». // СПС «Консультант плюс» — URL: http://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=INT&n=60453#003767032763740463 (дата обращения: 11.12.2020).
- Common EU Toolbox for Member States. Version 1.0. — URL: https :// ec . europa . eu / health / sites / health / files / ehealth / docs / covid -19_ apps _ en . pdf (дата обращения: 09.12.2020).
- Pan-European Privacy-Preserving Proximity Tracing. — URL: https://www.science4covid19.pt/pan-european-privacy-preserving-proximity-tracing/ (дата обращения: 10.12.2020).
