Руководство по GDPR

Конвенция Совета Европы

С началом стремительного развития информационных технологий в 60-х годах прошлого столетия возникла потребность в более детализированных правилах защиты персональных данных. В период с 60-е по 80-е годы Комитеты Совета Европы приняли несколько профильных резолюций о защите персональных данных. В 1981 году Совет Европы утвердил единый документ о защите данных физических лиц в отношении автоматической обработки персональных данных – Конвенция 108. Конвенция о защите данных физических лиц в отношении автоматической обработки персональных данных была и остается единственным юридически обязывающим международным документом по защите данных.

Положения Конвенция 108 распространяются на любые операции по обработке персональных данных, осуществляемых как в частном, так и в государственном секторе, включая обработку данных судебными и правоохранительными органами. Цели Конвенции направлены на защиту операций по обработке персональных данных и регулирование трансграничной передачи данных.

Принципы, изложенные в Конвенции 108, касаются, в частности, справедливого и законного сбора данных и применения автоматизированной обработки в определенных целях. Принципы раскрываются в следующих требованиях:

– запрет на использование обработки для целей, несовместимых с законными целями;

– запрет на хранение персональных данных дольше, чем это необходимо для целей законной обработки;

– принцип качества данных, который включает в себя понятия адекватности и актуальности данных;

– соразмерность обрабатываемых данных заявленным целям и их точность.

Принципы Конвенции 108 указывают на запрет обработки специальных категорий персональных данных в отсутствии адекватных правовых гарантий и обязательств по обеспечению безопасности персональных данных, к таким данным относятся:

– этническое происхождение,

– политические взгляды,

– данные о здоровье,

– вероисповедание,

– сексуальная жизнь,

– информация о наличии судимости.

Конвенция также закрепляет право человека знать, какая информация хранится о нем, и право на внесение в нее исправлений. Ограничение прав и свобод субъекта данных возможно только в случае угрозы государственной безопасности. Положения Конвенции 108 направлены на регулирование потоков персональных данных между сторонами, ратифицировавшими Конвенцию, и диктуют определенные ограничения для передачи в страны, где правовое регулирование не обеспечивает адекватной защиты данных.

На сегодняшний день участниками Конвенции 108 является 51 страна. К ним относятся все государства – члены Совета Европы (47 стран), Уругвай (первая неевропейская страна, присоединившаяся в августе 2013 года), Маврикий, Сенегал и Тунис, которые присоединились в 2016 и 2017 годах. Российская Федерация ратифицировала Конвенцию и некоторые протоколы в марте 1998 года. Протоколы 6, 12, 13, и 16 не были ратифицированы РФ.

Следует отметить, что Конвенция 108 открыта для присоединения и является обязательным документом для государств, которые ее ратифицировали. Она не подлежит судебному надзору со стороны Европейского суда по правам человека, но ее требования учитываются Судом в контексте статьи 8 Европейской конвенции по правам человека. Практика Европейского Суда указывает, что защита личных данных является важной частью права на неприкосновенность частной жизни. В своей деятельности судебные органы руководствуются принципами Европейской конвенции по правам человека при определении факта вмешательства в основные права.

Для модернизации общих принципов и правил, изложенных в Конвенции 108, Комитеты Совета Европы приняли несколько рекомендаций, не имеющих статуса юридического документа, но тем не менее оказывающих влияние на развитие законодательства о защите данных в Европе.

На протяжении многих лет единственным документом ЕС в части использования персональных данных в правоохранительном секторе были рекомендации полицейского департамента. Положения, содержащиеся в рекомендациях, касаются способов хранения данных и необходимости осуществления регулирования для доступа к данным субъектов. В последующем данные принципы легли в основу законодательных актов по защите данных в ЕС.

В 2001 году был принят дополнительный протокол к Конвенции 108. В рамках протокола были введены положения о трансграничных потоках данных государств, не являющихся сторонами Конвенции (так называемые третьи страны) и об обязательном создании надзорных органов по защите данных.

В 2011 году по итогам публичных консультаций были закреплены две основные цели: усиление защиты конфиденциальности пропорционально развитию технологий и укрепление механизма последующей деятельности в рамках Конвенции. Процесс модернизации был направлен на достижение этих целей и завершился принятием протокола о внесении изменений в Конвенцию 108 (Протокол СДСЕ №223). Работы проводились параллельно с другими реформами международных инструментов защиты данных, а также с реформой правил защиты данных ЕС.

Регуляторы на уровне Совета Европы и ЕС приложили все усилия для обеспечения последовательности и совместимости между двумя правовыми системами. Модернизация позволила сохранить общий и гибкий характер Конвенции 108, и усилила ее потенциал как универсального инструмента в области законодательства о защите данных. Модернизированная Конвенция поддерживает важные принципы и предоставляет новые права субъектам данных, нацелена на повышение уровня ответственности организаций, обрабатывающих персональные данные и поднадзорность таких действий. Лица, чьи персональные данные обрабатываются, имеют право на получение информации о причинах такой обработки и право на возражение против такой обработки. В целях соблюдения прав субъектов данных Конвенция устанавливает право физического лица возражать против принятия решения на основе исключительно автоматизированной обработки без учета мнения субъекта данных. Одним из ключевых аспектов Конвенции 108 является эффективное соблюдение правил защиты данных независимыми надзорными органами ратифицировавших ее сторон. Статьи Конвенции 108 прямо указывают на эффективность полномочий, функций и независимость надзорных органов при осуществлении свой деятельности.

Ограничение права на защиту персональных данных

Право на защиту персональных данных, в соответствии со статьей 8 Хартии основных прав ЕС, не является абсолютным правом, «но оно должно рассматриваться с точки зрения его применения в обществе». В статье 52 (1) Хартии говорится, что ограничения на права, аналогичные изложенным в статьях 7 и 8 Хартии основных прав ЕС, могут налагаться при условии, что:

– подобные ограничения предусмотрены законом;

– уважают суть этих прав и свобод;

– связаны с соблюдением принципа соразмерности;

– соответствуют целям, представляющим общий интерес, признанный в ЕС;

– существует необходимость защищать такие права.

Аналогичным образом Европейская конвенция о правах человека гарантирует защиту данных физических лиц при обработке. Осуществление данного права может быть ограничено для достижения законных целей.

Требования к обоснованному вмешательству в соответствии с Европейской Конвенцией о правах человека

Обработка персональных данных может представлять собой вмешательство в право субъекта данных на неприкосновенность частной жизни. Вопреки правовому порядку ЕС Европейская конвенция о правах человека не признает защиту персональных данных как фундаментальное право.

Действие статьи 8 Европейской конвенции о правах человека не распространяется на операции по обработке персональных данных, если не установлено, что частная жизнь человека была скомпрометирована.

В прецедентном праве Европейского суда по правам человека понятие «частная жизнь» охватывает также аспекты профессиональной деятельности и общественного поведения. Несмотря на широкое толкование понятия «частная жизнь», не все виды обработки сами по себе могут поставить под угрозу права, защищаемые статьей 8 Европейской конвенции о правах человека.

При рассмотрении дел о несоблюдении права на неприкосновенность частной жизни Европейскому суду по правам человека необходимо, установить являлось ли вмешательство оправданным. Право на неприкосновенность частной жизни не является абсолютным, но коррелирует с другими законными интересами и правами, будь то права других лиц (частные интересы) или общества в целом (общественные интересы).

Вмешательство может быть оправдано, если оно:

• осуществлено в соответствии с законом.

Согласно прецедентному праву, Европейский суд по правам человека осуществляет вмешательство на основании положений национального законодательства, которое определяет такое вмешательство. Закон должен быть «доступен для заинтересованных лиц и предсказуем в отношении его последствий». Прецедентным правом предусмотрено, что «правило сформулировано с достаточной точностью, для того чтобы дать возможность любому лицу определить свое поведение в той или иной ситуации». Кроме того, применение нормы закона в данном контексте будет зависеть от конкретного случая;

• преследовало законные цели.

Законные цели, которые могли бы оправдать вмешательство, в соответствии со статьей 8 (2) Европейской Конвенции о правах человека:

– интересы национальной безопасности;

– интересы общественной безопасности;

– интересы экономического благосостояния государства;

– предотвращение беспорядков и преступлений;

– охрана здоровья или нравственных устоев;

– защита прав и свобод других лиц;

• необходимо в демократическом обществе.

Европейский суд по правам человека заявил, что «понятие необходимости подразумевает, что вмешательство соответствует насущной социальной необходимости и соразмерно преследуемой законной цели».

При оценке необходимости вмешательства Европейский суд по правам человека изучает необходимость такого вмешательства и соответствие преследуемой цели. Также принимается во внимание, пытается ли вмешательство решить проблему, которая в случае бездействия может иметь негативные последствия для общества; есть ли доказательство того, что вмешательство может смягчить пагубный эффект и наличие общественного интереса.