В статье автор рассматривает механизмы защиты персональных данных в правовой парадигме Европейского союза при чрезвычайной ситуации в области здравоохранения на примере пандемии коронавирусной инфекции COVID-19.
Ключевые слова: персональные данные, коронавирусная инфекция COVID-19, Европейский союз, GDPB, GDPS, защита персональных данных, GDPR.
На данный момент существует неоднозначность взглядов и отсутствие четкого консенсуса по теме наднациональности. На взгляд автора, а также ряда исследователей данной сферы, таких как В. Василенко, И. Кунц, П. Хэй, Г. Тункин, М. Королев, В. Муравьев, А. Шибаева, Л. Фалалеева, С. Михайлова, Д. Кулеба и др. [1], основываясь на структуре международной организации, а также ее политике и осуществляемой деятельности Европейский союз (далее — ЕС) является наднациональной международной организацией. ЕС является одной из самых влиятельных международных организаций и имеющей значительный вес на международной арене.
Отличительной чертой ЕС от других международных организаций является наличие собственной уникальной правовой системы, распространяющейся на государства члены, а также юридических и физических лиц данных государств и др.
Относительно сферы персональных данных в правовой системе ЕС существует принятый в 2016 году Общий регламент по защите персональных данных, в английской версии — General Data Protection Regulation (GDPR) [2]. Данный регламент, как было сказано выше, распространяется на государства члены Европейского союза, юридических и физических лиц Европейского союза, вдобавок к данному перечню согласно ст. 3 GDPR:
« Регламент применяется к обработке персональных данных субъектов данных, находящихся в Союзе, контролёром или процессором, не имеющими организационной единицы в Союзе, если процессы обработки данных касаются:
(a) предложения товаров и услуг субъектам данных, находящимся в Союзе, независимо от того, требуется ли от них оплата, или нет, либо
(b) мониторинга их поведения, если такое поведение происходит в Союзе.
Регламент применяется к обработке персональных данных контролёром, не имеющим организационной единицы в Союзе, но имеющим организационную единицу в том месте, где, согласно международному публичному праву, действует законодательство государства-члена » [2].
Таким образом, регламент носит экстерриториальный характер и кроме резидентов ЕС распространяется на юридические лица стран, которые не входят в ЕС, но ведущие деятельность через постоянную структурную единицу в ЕС, а также неевропейские компании, которые предлагают свои товары и услуги резидентам ЕС или осуществляют мониторинг собственных клиентов на территории ЕС.
В соответствии с GDPR был учрежден независимый европейский орган, который способствует последовательному применению правил защиты данных во всем Европейском союзе и способствует сотрудничеству между органами защиты данных ЕС — Европейский совет по защите данных, в английской версии European Data Protection Board (EDPB) [3]. EDPB находится в Брюсселе.
EDPB состоит из представителей национальных органов ЕС по защите данных (национальных надзорных органов) и Европейского надзорного органа по защите данных — European Data Protection Supervisor (EDPS) [4]. У EDPB есть Секретариат, который обеспечивается EDPS. Меморандум о взаимопонимании определяет условия сотрудничества между EDPB и EDPS [5].
Миссией EDPB является обеспечение и последовательное применение в Европейском союзе Общего регламента по защите данных [2] и Директивы о правоприменении [6].
Основные задачи и обязанности EDPB выглядят следующим образом:
— предоставление общих указаний (включая руководства, рекомендации и лучшие практики) для разъяснения законодательства и содействия общему пониманию законов ЕС о защите данных;
— принятие заключений, адресованных Европейской комиссии или национальным надзорным органам:
- консультирование Европейской комиссии по любому вопросу, связанному с защитой персональных данных и новым предлагаемым законодательством в Европейском союзе (ст. 70 GDPR). В некоторых случаях выпускаются Совместные заключения вместе с EDPS (ст. 42 Регламента 2018/1725) [7];
- для обеспечения согласованности действий национальных надзорных органов по трансграничным вопросам (ст. 64 GDPR). Если органы власти не соблюдают мнение, выданное EDPB, принимается обязательное решение;
— принятие обязательных решений, адресованных национальным надзорным органам и направленных на урегулирование споров, возникающих между ними при сотрудничестве по применению GDPR, с целью обеспечения правильного и последовательного применения GDPR в отдельных случаях;
— продвигать и поддерживать сотрудничество между национальными надзорными органами [3].
EDPB не обеспечивает соблюдение законов ЕС о защите данных и не оказывает индивидуальных консультационных услуг. Важно обратить внимание, что за консультациями частным лицам или организациям нужно обращаться не в EDPB, а непосредственно в надзорный орган страны, в которой они находятся.
Помимо EDPB, как говорилось выше, существует Европейский надзорный орган по защите данных (EDPS). Европейский надзорный орган по защите данных (EDPS) является независимым органом ЕС по защите данных.
Миссия и непосредственно задачи EDPS выглядят так:
— контролировать и обеспечивать защиту личных данных и конфиденциальности, когда учреждения и органы ЕС обрабатывают личную информацию физических лиц;
— консультировать учреждения и органы ЕС по всем вопросам, связанным с обработкой персональных данных, по запросу или по собственной инициативе. В частности, Европейская комиссия консультируется с EDPS по предложениям по законодательству, международным соглашениям, а также по выполнению и делегированию актов, влияющих на защиту данных и конфиденциальность;
— отслеживать новые технологии, которые могут повлиять на защиту личной информации;
— обращаться в Суд ЕС для предоставления экспертных консультаций по толкованию закона о защите данных;
— сотрудничать с национальными надзорными органами и другими надзорными органами для повышения согласованности в защите личной информации [4].
EDPS становится все более влиятельным независимым надзорным органом в Европейском Союзе, который в настоящее время возглавляется супервайзером (инспектор по защите данных, который назначается на 5 лет совместным решением Европейского парламента и Совета) и поддерживается офисом (секретариатом) опытных юристов, ИТ-специалистов и администраторов.
В компетенцию EDPS также входит:
— разработка и передача общего видения, мышления в глобальном масштабе и предложения конкретных рекомендаций и практических решений;
— предоставление рекомендаций по политике для решения новых и непредвиденных проблем в области защиты данных;
— работа на высшем уровне, развитие и поддержание эффективных отношений с разнообразным сообществом заинтересованных сторон в других учреждениях ЕС, государствах-членах, странах, не входящих в ЕС, и других национальных или международных организациях [4].
Однако, как говорилось в одной из статей автора (Конфиденциальность персональных данных в период распространения коронавирусной инфекции COVID-19. «Право быть забытым», 2020 г. [8]), возрастающие международные угрозы вынуждают правительства разных стран прибегать к более жестким мерам обеспечения безопасности суверенитета своих государств, безопасности здоровья и благополучия граждан.
Несмотря на это в Европе конфиденциальность и защита данных считаются жизненно важными компонентами устойчивой демократии. В ЕС человеческое достоинство признано абсолютным фундаментальным правом. В этом понятии достоинства, неприкосновенности частной жизни или права на частную жизнь, быть автономным, контролировать информацию о себе, «быть забытым», играет ключевую роль. Конфиденциальность — это не только личное право, но и общественная ценность.
Исторически сложилось так, что в других частях мира, таких как США, неприкосновенность частной жизни часто рассматривалась как элемент свободы, право быть свободным от вторжений со стороны государства. Это различие между Европой и другими частями мира относительно, поскольку это также элемент конфиденциальности в ЕС.
Конфиденциальность признана международным сообществом универсальным правом человека, а защита данных — нет — по крайней мере, пока.
На протяжении десятилетий ЕС придерживался высоких стандартов законодательства о защите данных. Закон дает людям право осуществлять определенные права на защиту данных и обязывает организации (государственного или частного сектора), которые обрабатывают их данные, соблюдать эти права.
В большинстве стран национальные органы по защите данных в английской версии — Data protection authority (DPA) или регулирующие органы были созданы для обеспечения защиты данных.
Для обеспечения эффективного соблюдения законов о защите данных DPA наделены полномочиями расследовать, обнаруживать и наказывать нарушения, а также обязаны повышать осведомленность о правах и обязанностях по защите данных в целом.
В ЕС эта эффективность усиливается требованием, чтобы DPA были независимы от какого-либо политического, правительственного или иного влияния.
Кроме того, хорошее сотрудничество между национальными органами о защите данных обеспечивает большую согласованность защиты данных в ЕС.
В ЕС требование о независимости DPA закреплено в законе: статья 16(2) Договора о функционировании ЕС (TFEU) [9] и статья 8(3) Хартии основных прав ЕС [10].
Расширение доступа к европейским базам данных, а также к коммерческим данным даже для мирных целей ставит под сомнение баланс между конфиденциальностью и безопасностью, особенно остро этот момент был затронут в период пандемии коронавирусной инфекции COVID-19.
Органы по защите данных в целом должны играть ключевую роль в обеспечении баланса между конфиденциальностью и другими интересами. К примеру, 1 мая 2017 года EDPS взяла на себя надзор за защитой данных Европола, органа ЕС, активно сотрудничающего с правоохранительными органами в борьбе с международной преступностью и терроризмом.
На 23-м пленарном заседании EDPB принял руководство по обработке медицинских данных в исследовательских целях в контексте вспышки COVID-19 и руководство по геолокации и другим инструментам отслеживания в контексте распространения COVID-19.
Руководство по обработке медицинских данных в исследовательских целях в контексте пандемии призвано пролить свет на наиболее актуальные правовые вопросы, касающиеся использования медицинских данных, такие как правовая основа обработки, дальнейшая обработка медицинских данных в целях научных исследований, реализация адекватных гарантий и осуществление прав субъектов данных.
В руководстве говорится, что GDPR содержит ряд положений, касающихся обработки медицинских данных в целях научных исследований, которые также применимы в контексте пандемии COVID-19, в частности, касающихся согласия и соответствующих национальных законодательств. GDPR предусматривает возможность обработки некоторых специальных категорий персональных данных, таких как данные о здоровье, если это необходимо для целей научных исследований.
Кроме того, в руководстве рассматриваются правовые вопросы, касающиеся международной передачи данных с использованием медицинских данных в исследовательских целях, связанных с борьбой против COVID-19, в частности, в отсутствие решения об адекватности или других соответствующих гарантий.
Андреа Елинек, председатель EDPB, сказала: «В настоящее время в борьбе с COVID-19 прилагаются большие исследовательские усилия. Исследователи надеются получить результаты как можно быстрее. GDPR не стоит на пути научных исследований, а позволяет законно обрабатывать медицинские данные с целью поиска вакцины или лечения COVID-19» [11].
Руководство по геолокации и другим средствам отслеживания в контексте пандемии COVID-19 направлено на разъяснение условий и принципов соразмерного использования данных о местоположении и средств отслеживания контактов для двух конкретных целей:
1) использование данных о местонахождении для поддержки мер реагирования на пандемию путем моделирования распространения вируса для оценки общей эффективности мер по содержанию животных;
2) использование отслеживания контактов, целью которого является оповещение лиц, которые могли находиться в непосредственной близости от человека, подтвержденного как носителя вируса для того, чтобы как можно раньше разорвать цепочки заражения.
EDPB поддерживает и подчеркивает позицию, выраженную в своем письме в Европейскую комиссию (14 апреля), согласно которой использование приложений для отслеживания контактов должно быть добровольным и не должно основываться на отслеживании индивидуальных перемещений, а скорее на информации о близости пользователей.
Доктор Елинек добавил: «Приложения никогда не смогут заменить медсестер и врачей. Хотя данные и технологии могут быть важными инструментами, мы должны помнить, что они имеют внутренние ограничения. Приложения могут лишь дополнить эффективность мер общественного здравоохранения и самоотверженность медицинских работников, которые необходимы для борьбы с COVID-19. В любом случае, люди не должны выбирать между эффективным реагированием на кризис и защитой основных прав» [11].
Кроме того, в качестве приложения к руководству EDPB принял руководство для приложений по отслеживанию контактов. Цель этого руководства заключается в предоставлении общих рекомендаций разработчикам и исполнителям приложений для отслеживания контактов, подчеркивая, что любая оценка должна проводиться в каждом конкретном случае.
Таким образом, можно сделать вывод о том, что несмотря на эффективные институциональные механизмы, регулирующие сферу защиты персональных данных, для сохранения персональных данных в период распространения коронавирусной инфекции COVID-19 были в экстренном порядке сформулированы дополнения в виде руководств/сводов правил к существующим нормативно-правовым актам. По мнению автора, данная характеристика механизма является впечатляющей, т. к. была осуществлена быстрая и эффективная реакция на вызовы современного общества с учетом приоритета принципов и ценностей Европейского союза.
Литература:
- Шпакович, О. Н. Наднациональность в праве международных организаций // Вестник международных организаций: образование, наука, новая экономика. — URL: https://cyberleninka.ru/article/n/nadnatsionalnost-v-prave-mezhdunarodnyh-organizatsiy (дата обращения: 21.11.2021).
- Регламент N 2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных)» // СПС «Консультант плюс» — URL: http://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=INT&n=60453#003767032763740463 (дата обращения: 21.11.2021).
- Официальный сайт Европейского совета по защите данных (European Data Protection Board). — 2021. — URL: https://edpb.europa.eu/edpb_en (дата обращения: 22.11.2021).
- Официальный сайт Европейского надзорного органа по защите данных (European Data Protection Supervisor). — 2021. — URL: https://edps.europa.eu/_en (дата обращения: 22.11.2021).
- Меморандум о взаимопонимании // Официальный сайт Европейского совета по защите данных (European Data Protection Board). — URL: https://edpb.europa.eu/our-work-tools/our-documents/memorandum-understanding/memorandum-understanding_en (дата обращения: 22.11.2021).
- Директива (ЕС) 2016/680 Европейского парламента и Совета от 27 апреля 2016 г. // Официальный сайт Европейского союза. — URL: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32016L0680 (дата обращения: 22.11.2021).
- Регламент Европейского Парламента и Совета Европейского Союза 2018/1725 от 23 октября 2018 г. о защите физических лиц при обработке персональных данных, осуществляемой учреждениями, органами, службами и агентствами Союза, и о свободном обращении таких данных, а также об отмене Регламента (ЕС) 45/2001 и Решения 1247/2002/EC // Информационная правовая система ГАРАНТ. — URL: https://base.garant.ru/72759520/#ixzz7DEX8MRjy (дата обращения: 25.11.2021).
- Киселева, А. В. Конфиденциальность персональных данных в период распространения коронавирусной инфекции COVID-19. «Право быть забытым» // Молодой ученый. — 2020. — № 51 (341). — С. 223–225. — URL: https://moluch.ru/archive/341/76864/ (дата обращения: 21.11.2021).
- Договор о функционировании Европейского Союза (Рим, 25 марта 1957 г.) (в редакции Лиссабонского договора 2007 г.) (2016/C 202/01) // Информационная правовая система ГАРАНТ. — URL: https://base.garant.ru/71715364/ (дата обращения: 25.11.2021).
- Хартия Европейского Союза об основных правах (Страсбург, 12 декабря 2007 г.) (2016/C 202/02) // Информационная правовая система ГАРАНТ. — URL: https://base.garant.ru/71672404/ (дата обращения: 24.11.2021).
- European Data Protection Board — Twenty-third Plenary session: EDPB adopts further COVID-19 guidance // Официальный сайт Европейского совета по защите данных (European Data Protection Board). — URL: https://edpb.europa.eu/news/news/2020/european-data-protection-board-twenty-third-plenary-session-edpb-adopts-further_en (25.11.2021).