Европейский подход к регулированию обработки персональных данных в условиях чрезвычайного положения
Алексей Мунтян
Соучредитель и член Правления в Russian Privacy Professionals Association - RPPA.ru
Регулирование различных аспектов обработки персональных данных [1] для целей защиты национальной безопасности, общественного порядка и интересов населения в условиях режима чрезвычайного положения (ЧП) всегда является крайне важным вопросом для любого общества.
Причиной такого пристального внимания является
само существо чрезвычайного положения — особого правового режима деятельности органов государственной власти и управления, предприятий, учреждений и организаций, вводимого в стране или отдельных её районах для защиты от внешней или внутренней угрозы и поддержания общественного порядка. Режим ЧП предполагает ограничение прав и свобод граждан, юридических лиц, а также возложение на них дополнительных обязанностей.
Одной из наиболее чувствительных для общества сфер, защита которой подпадает под ограничения в рамках режима ЧП, является оборот информации о частной жизни физических лиц (личная и семейная тайна). Иначе говоря, возможность правоохранительных органов и спецслужб ограничивать право на информационную приватность человека должна быть сбалансирована необходимостью соблюдать права и свободы человека в их фундаментальной сути. Учитывая, что практика правового регулирования обработки персональных данных зародилась на рубеже 60-х и 70-х годов ХХ века в Европе, и государства-участники Европейской экономической зоны (ЕЭЗ) обладают более чем пятидесятилетним опытом регулирования указанной сферы, представляется разумным изучить указанный опыт для целей возможной рецепции некоторых европейских подходов в контексте режима ЧП, имевшего место на территории Казахстана в январе 2022 года.
С точки зрения европейского права, любая обработка персональных данных должна регулироваться (в т.ч. дозволяться и ограничиваться) набором принципов, закреплённых в нормативных правовых актах. В Европе такими базовыми актами являются Конвенция Совета Европы СДЕ 108 [2] (Конвенция) и GDPR[3]. Согласно указанным актам, защита физических лиц в отношении обработки персональных данных является фундаментальным правом. Принципы и правила защиты физических лиц в отношении обработки их персональных данных должны, независимо от гражданства или места жительства лиц, уважать их права и свободы, в частности их право на защиту персональных данных. Следует отметить, что положения Конвенции потенциально могут стать для Казахстана юридически обязательными — при условии присоединения страны к Конвенции в рамках надлежащей правовой процедуры (так, участниками Конвенции уже являются РФ, Украина, Молдова, Грузия, Азербайджан, Армения).

[1] Персональные данные означают информацию, касающуюся конкретного или могущего быть идентифицированным лица («субъекта данных»).
[2] Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных СДЕ 108
[3] Общий регламент защиты персональных данных в ЕС (англ. General Data Protection Regulation, GDPR; Постановление Европейского Союза 2016/679).
Принципы обработки персональных данных в ЕЭЗ
Конвенция
Законность
Справедливость, транспарентность
Ограниченность целей
Адекватность и неизбыточность по отношению к целям
Точность и актуальность
Ограниченность времени хранения
-
-
Законность, справедливость,
транспарентность
Минимизация данных
Подотчётность
Безопасность обработки
GDPR
Ограниченность целей
Точность и актуальность
Ограниченность времени хранения
Статья 11 Конвенции предусматривает следующие случаи ограничения действия принципов обработки персональных данных, а также действия основных прав и свобод субъектов данных:
a) защита национальной безопасности, обороны, общественного порядка, важных экономических и финансовых интересов государства, беспристрастности и независимости судебной системы или предотвращения, расследования и привлечения к ответственности за уголовные преступления и исполнения уголовных наказаний, а также для других важнейших целей защиты интересов населения;
b) защита субъекта данных или прав и основных свобод других лиц, в частности, свободы выражения мнения.
При этом должна соблюдаться суть основных прав и свобод и устанавливаться необходимость и пропорциональность таких ограничительных мер в демократическом обществе.
Вышеописанный подход реализуется в регулярной нормотворческой деятельности органов Совета Европы. Так, согласно «Руководству по распознаванию лиц» (T-PD(2020)03rev4), принятому 28 января 2021 года Консультативным комитетом Конвенции, правомерность использования технологий распознавания лиц, включая ситуацию ЧП, должна быть основана на целях биометрической обработки, предусмотренных законом, и на необходимых гарантиях, дополняющих Конвенцию. Могут быть предусмотрены различные тесты необходимости и соразмерности в зависимости от того, является ли целью идентификация или проверка, с учётом потенциальных рисков для основных прав, при условии, что изображения физических лиц получены законно. Для целей идентификации требование строгой необходимости и соразмерности должно соблюдаться и на стадии создания базы данных (списка наблюдения), и на стадии развёртывания технологий распознавания лиц (онлайн) в неконтролируемой обстановке. Обеспечение безопасности в контролируемой и неконтролируемой обстановке, в том числе в школах и других общественных зданиях, не должно считаться строго необходимым и соразмерным при наличии менее интрузивных альтернативных механизмов.
Аналогичную позицию заняли два ведомства Евросоюза, которые 21 июня 2021 года призвали полностью запретить применение искусственного интеллекта (ИИ) для распознавания лиц и других способов идентификации людей в общественных местах. Ранее Еврокомиссия предложила жестко ограничить, но не запрещать полностью использование ИИ в этой области. «Если мы хотим сохранить наши свободы и создать ориентированное на человека законодательство об ИИ, то начать следует с общего запрета на системы распознавания лиц в общественных местах», — сказано в совместном заявлении глав Европейского совета по защите данных (The European Data Protection Board, EDPB) и Европейского надзорного органа по защите данных (European Data Protection Supervisor, EDPS) Андреа Елинек и Войцеха Вевёровского. Они призвали запретить в общественных местах программы идентификации людей и по лицу, и по походке, по голосу, отпечаткам пальцев, ДНК и прочим биометрическим и поведенческим признакам.
Можно рекомендовать властям Казахстана изучить механизм контроля над ограничением основных прав и свобод субъектов данных согласно статье 23 GDPR, в которой закреплены требования к обязательному наличию правового акта, устанавливающего ограничения в отношении основных прав и свобод субъектов данных (включая ситуации введения режима ЧП), а также к содержанию в акте специальных положений в отношении:
(a) целей обработки или категорий обработки;
(b) категорий персональных данных;
(c) объема введенных ограничений;
(d) гарантий против злоупотребления или несанкционированных доступа или передачи;
(e) определения контролёра [4] или категорий контролёров;
(f) сроков хранения и применимых гарантий, принимая во внимание характер, объем и цели обработки или категории обработки;
(g) рисков для прав и свобод субъектов данных;
(h) прав субъекта данных на получение информации об ограничениях в той мере, в которой это не вредит цели ограничения.

[4] Любое физическое или юридическое лицо, государственный орган, учреждение или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных.
Хотя в настоящее время в Европе отсутствует актуальная практика применения режима ЧП, будет полезным обратиться к правоприменительной и судебной практике ЕЭЗ в отношении контроля над ограничением основных прав и свобод субъектов данных в целом.
Показательным является предписание EDPS, выданное в январе 2022 года в адрес Европола, удалить в течение 1 года персональные данные, непосредственно не связанные с преступлениями. Причиной является общий объём сведений, хранящийся в базах Европола, который приблизительно оценивается в 4 петабайта. В базах содержатся сведения о как минимум четверти миллиона подозреваемых в террористической активности и серьёзных преступлениях, а также информация о других людях, связанных с подозреваемыми. Данные получены из всевозможных правоохранительных ведомств

:
стран ЕС. Персональные данные зачастую хранились и обрабатывались без достаточных оснований, в результате чего резиденты ЕС могли быть ошибочно связаны с криминальной активностью. База данных Европола как минимум частично состоит из сведений о людях, не являющихся «подозреваемыми», «потенциальными будущими преступниками», «лицами, находящимися в контакте или связанными с преступниками», «жертвами», «свидетелями» или «информаторами».
Суд Европейского Союза (Court of Justice of the European Union, CJEU), в свою очередь, вынес несколько резонансных решений, ограничивающих возможности правоохранительных органов и спецслужб по обработке персональных данных физических лиц.
Так, в октябре 2020 года cуд постановил [5], что безудержное массовое наблюдение за телефонными и интернет-данными является незаконным, и что необходимо ограничить полномочия спецслужб во Франции и других странах ЕС. Суд заявил, что общее и неизбирательное хранение таких данных может быть разрешено только тогда, когда правительства сталкиваются с «серьезной угрозой национальной безопасности». В такой ситуации полный доступ к данным пользователей телефона и интернета должен быть ограничен периодом, который «строго необходим». Постановление суда также разрешило сбор и хранение IP-адресов в тех же пределах, когда это «строго необходимо». Как заявил Суд ЕС, национальные суды не должны принимать во внимание информацию, собранную властями, которые не соблюдают принципы, изложенные в данном постановлении.
В марте 2021 года Суд ЕС постановил [6], что доступ к данным о местонахождении, полученным из электронных сообщений, может быть использован только правоохранительными органами при расследовании тяжких преступлений и для «предотвращения серьезных угроз общественной безопасности». Суд установил, что закон ЕС имеет приоритет над национальным законодательством, которое даёт прокуратуре право на доступ к таким данным в ходе уголовного расследования.
Общие выводы (рекомендации) для существующего в Республике Казахстан подхода к регулированию режима ЧП, которые представляется возможным сделать на основе изучения европейского опыта контроля над ограничением основных прав и свобод субъектов данных:
1. должна соблюдаться суть основных прав и свобод и устанавливаться необходимость и пропорциональность таких ограничительных мер в демократическом обществе;
2. должны быть приняты правовые акты, устанавливающие пропорциональную меру ограничений в отношении основных прав и свобод субъектов данных (включая ситуацию введения режима ЧП);
3. субъектам данных должна своевременно предоставляться информация о сути и содержании ограничений их основных прав и свобод (в той мере в которой это не вредит цели ограничения);
4. должно быть обеспечено наличие эффективного и независимого от государства надзора в сфере защиты прав субъектов данных и судебной системы для обеспечения контроля над соблюдением правоохранительными органами и спецслужбами основных прав и свобод физических лиц в условиях режима ЧП.

[5] Judgments in Case C-623/17, Privacy International, and in Joined Cases C-511/18, La Quadrature du Net and Others, C-512/18, French Data Network and Others, and C-520/18, Ordre des barreaux francophones et germanophone and Others
[6] Judgment in Case C-746/18 H. K. v Prokuratuur