Основные принципы защиты персональных данных в практике Европейского суда по правам человека

Размещено на http://allbest.ru

Контрольная работа

Основные принципы защиты персональных данных в практике Европейского суда по правам человека



Содержание

1. Персональные данные как составляющая личной жизни в практике ЕСПЧ

2. Основные принципы защиты личных данных в практике Европейского суда

2.1 Принцип справедливой и законной обработки данных

2.2 Стандарты безопасной обработки данных

2.3 Права субъектов данных

2.4 Независимый надзор

Заключение

Литература



1. Персональные данные как составляющая личной жизни в практике ЕСПЧ

Хранение данных личного характера попадает в сферу частной жизни человека, защищенной статьей 8 Европейской конвенции.

Статья 8 устанавливает:

1. Каждый имеет право на уважение его личной и семейной жизни, его жилища и его корреспонденции.

2. Не допускается вмешательство со стороны публичных властей в осуществление этого права, за исключением случаев, когда такое вмешательство предусмотрено законом и необходимо в демократическом обществе в интересах национальной безопасности и общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности или защиты прав и свобод других лиц.

Пункт 1 статьи 8 Конвенции охраняет отдельные, но связанные между собой и потенциально пересекающиеся права, а именно: право на уважение частной жизни; право на уважение семейной жизни; право на уважение жилища; и право на уважение корреспонденции.

В практике Европейского Суда по правам человека понятие «личная жизнь» охватывает физическую и психологическую неприкосновенность личности ECtHR, Pretty v. the United Kingdom, Judgment of 29 April 2002. и включает в себя многочисленные аспекты физической и социальной самоидентификации человека ECtHR, Mikuliж v. Croatia, Judgment of 29 7 February 2002..

Такие элементы, как причисление себя к определенному полу, имя, сексуальная ориентация и половая жизнь попадают в личную сферу, охраняемую статьей 8 Конвенции ECtHR, Bensaid v. the United Kingdom, Judgment of 6 May 2001..

Помимо имени человека, личная и семейная жизнь может включать в себя иные средства самоидентификации и поддержания связей с семьей ECtHR, Burghartz v. Switzerland, Judgment of 22 February 1994..

Важным элементом личной жизни может быть информация о состоянии здоровья человека ECtHR, Z. v. Finland, Judgment of 25 February 1997., его национальной принадлежности В частности, в статье 6 Конвенции о защите данных персональные данные, касающиеся национальной принадлежности субъекта, отнесены к особым категориям данных наряду с иной конфиденциальной информацией о человеке..

Помимо этого, статья 8 Конвенции защищает право человека на личностное развитие, а также его право устанавливать и развивать отношения с другими людьми и внешним миром ECtHR, Friedl v. Austria, Judgment of 31 January 1995 г.. Понятие личной жизни также включает элементы, относящиеся к праву человека на свое изображение ECtHR, Sciacca v. Italy, Judgment of 11 January 2005..

В решениях по делам Klaas & others v. Germany от 6 сентября 1978 г., Schenk v Switzerland от 12 июля 1988 г., Kruslin v. France от 24 апреля 1990 г. ЕСПЧ указал, что при решении вопроса о допустимом вмешательстве в частную жизнь необходимо соотносить находящиеся в конфликте интересы: публичный интерес в установлении истины по делу и частный интерес в сохранении конфиденциальности личной жизни.

Такая позиция подтверждена Европейским судом по правам человека в последующих решениях.

В общем виде условия вмешательства в право на неприкосновенность частной жизни, проводимое без согласия лица, можно сформулировать следующим образом:

· Юридическим основанием для такого ограничения должен быть реальный конфликт частного интереса сохранения тайны неприкосновенности частной жизни и более значимых публичных интересов государственной безопасности, общественной безопасности (общественного спокойствия), экономической безопасности государства (экономического благосостояния страны), предотвращения беспорядков, предотвращения преступлений, охраны здоровья или нравственности, защиты прав и свобод других лиц.

· Вмешательство должно быть необходимым, т.е. в каждом случае должно быть доказано, что без ограничения права на неприкосновенность частной жизни вред защищаемым публичным интересам будет причинен неминуемо.

· Ограничение права на неприкосновенность частной жизни должно быть предусмотрено национальным законом, при этом в национальном законе должны быть четким и исчерпывающим образом указаны основания такого ограничения.

Введение ограничения личного права может быть осуществлено только по решению компетентного судебного органа.

· Ограничение права на неприкосновенность частной жизни не может быть абсолютным - оно может осуществляться в течение строго определенного времени, законодательно должны быть установлены меры судебного контроля за данным ограничением.

· Кроме того, Европейский суд по правам человека указал, что вмешательство в частную жизнь допустимо только при наличии процедур, гарантирующих соответствие мер наблюдения установленным законом условиям. неприкосновенность конфиденциальность информация

Европейский Суд указал, что защита данных личного характера имеет важнейшее значение для возможности лица осуществлять право на неприкосновенность частной и семейной жизни ECtHR, S. and Marper v. the United Kingdom, Judgment of 4 December 2008..

Простое хранение информации, относящейся к личной жизни лица, является вмешательством в осуществление его прав по смыслу положений статьи 8 Конвенции: «Сохранение органом публичной власти информации о частной жизни лиц является вмешательством с точки зрения статьи 8. Последующее использование сохраненной информации не меняет этого вывода» ECtHR, Leander v. Sweden, Judgment of 26 March 1987..

Тем не менее, всякий раз отвечая на вопрос о том, затрагивают ли хранимые властями персональные данные какие-то стороны личной жизни человека, Европейский Суд принимает во внимание условия, в которых была получена информация, характер информации и то, каким образом она используется.

В практике ЕСПЧ рассмотрено множество дел, в которых поднимался вопрос о защите данных, в том числе касающихся перехвата коммуникаций Например, ECtHR, Malone v. the United Kingdom, Judgment of 2 August 1984., различных форм наблюдения ECtHR, Klass and Others v. Germany, Judgment of 6 September 1978., хранения персональных данных органами власти ECtHR, Leander v. Sweden, Judgment of 26 March 1987..

ЕСПЧ установил, что статья 8 Европейской конвенции не только обязывает государства воздерживаться от действий, нарушающих право на неприкосновенность личной жизни, но и - при определенных обстоятельствах - нести позитивные обязательства для обеспечения эффективного уважения частной и семейной жизни ECtHR, I. v. Finland, Judgment of 17 July 2008..

В соответствии с Конвенцией Совета Европы 1981 года о защите частных лиц в отношении автоматизированной обработки данных личного характера, «данные личного характера» определяются как любая информация, касающаяся определенного или поддающегося определению физического лица («субъекта данных») Конвеция 108, статья 2 (a)..

Поскольку право на защиту «личных данных» развилось из права на уважение частной жизни, основными бенефициарами защиты данных являются физические лица.

Однако судебная практика ЕСПЧ показывает, как трудно бывает разделить личную и профессиональную жизнь ECtHR, Rotaru v. Romania [GC], Judgment of 4 May 2000, para. 43.. Более того, согласно правовым позициям ЕСПЧ конвенциальные права гарантируются не только физическим лицам, а каждому.

Таким образом, вопрос о том, распространяется ли защита данных только на физических лиц, является дискуссионным. Однако в деле Bernh Larsen Holding AS and Others v. Norway ECtHR, Bernh Larsen Holding AS and Others v. Norway, Judgment of 14 March 2013. Европейский суд, приняв жалобу юридических лиц о нарушении права на защиту данных, рассмотрел ее с точки зрения нарушения права на уважение жилища и корреспонденции, а не права на защиту данных.

Жалоба норвежских компаний касалась обязательства налогового органа предоставить аудиторам копии всех данных с сервера, который компании использовали совместно. ЕСПЧ решил, что такое обязательство является вмешательством в право компаний-заявителей на уважение «жилища» и «корреспонденции» в соответствии со статьи 8 ЕКПЧ.

При этом суд пришел к выводу, что налоговые органы представили эффективные и адекватные гарантии против злоупотреблений (о требовании компании были уведомлены заранее; представители компаний присутствовали при ревизии; данные подлежали уничтожению сразу после завершения налоговой проверки).

Таким образом, справедливый баланс между правом компаний-заявителей на уважение «жилища» и «корреспонденции» и потребностью в защите персональных данных сотрудников, с одной стороны, и общественным интересом в обеспечении эффективного налогового контроля, с другой стороны, был соблюден. Суд не нашел нарушений.

Конвенция 108 распространяет право на защиту данных на физических лиц, однако страны-участницы договора могут распространить его на юридических лиц, предусмотрев соответствующие гарантии во внутреннем законодательстве.

В соответствии с практикой ЕСПЧ информация содержит персональные данные, если:

(1) физическое лицо идентифицируется по имеющейся информации; или

(2) лицо обладает признаком «идентифицируемости», то есть может быть идентифицировано с помощью дополнительных данных.

Относительно второго критерия Комитет Министров Совета Европы указывал в рекомендациях Council of Europe, Committee of Ministers, Recommendation No. R Rec(90) 19 on the protection of personal data used for payment and other related operations, 13 September 1990. , что человек не может рассматриваться как обладающий признаком «идентифицируемости», если его «узнавание» требует неопределенных временных или иных затрат.

Оба вида информации защищены в одинаковой степени. ЕСПЧ неоднократно указывал, что понятие «персональные данные» одинаково понимается Европейской конвенцией и Конвенцией 108 ECtHR, Amann v. Switzerland [GC], Judgment of 16 February 2000, para. 65..

Идентификация лица предполагает наличие элементов, описывающих человека уникальным, отличным от других образом и делающих его узнаваемым. Ярким примером «идентификатора» является имя человека. В случае с публичными лицами достаточным для идентификации маркером может быть указание на должность человека.

Природа «личных данных» такова, что к ним в разных ситуациях может быть отнесена любая информация, имеющая отношение к человеку. Например, информацией личного характера является заключение о качестве работы сотрудника, хранящееся в его личном деле, даже если оно отражает лишь оценочное суждение руководителя.

Так называемые «специальные категории» персональных данных - или «чувствительные данные» - нуждаются в повышенной степени защиты. Конвенция 108 к таким данным относит следующие:

* данные о расовой или этнической принадлежности;

* данные о политических взглядах, религиозные или иные убеждения;

* данные о здоровье или сексуальной жизни;

* данные о судимости человека.

Персональные данные могут быть представлены в любой форме - письменные или устные сообщения; изображения ECtHR, Von Hannover v. Germany, Judgment of 24 June 2004.; видео ECtHR, Peck v. the United Kingdom, Judgment of 28 January 2003.; звук ECtHR, P.G. and J.H. v. the United Kingdom, Judgment of 25 September 2001, paras. 59, 60.; информация в электронном виде; а также образцы тканей человека, поскольку они несут в себе уникальную информацию о ДНК.



2. Основные принципы защиты личных данных в практике Европейского суда

Европейское право в сфере защиты данных основывается на принципах (справедливая обработка, четкое определение ограничение целей, минимизация данных, качество данных, защита данных), правах (права субъектов данных) и средствах правовой защиты (надзор со стороны независимого органа защиты данных) - все это является конкретным выражением общих принципов «верховенства права», разработанных Европейским судом по правам человека.

Статья 1 в качестве цели Конвенции о защите данных провозглашает, «обеспечение на территории каждой Стороны для каждого физического лица, независимо от его гражданства или местожительства, уважения его прав и основных свобод, и в частности его права на неприкосновенность частной жизни, в отношении автоматизированной обработки касающихся его персональных данных («защита данных»)».

Таким образом, Конвенция 108 регулирует, в первую очередь, обработку данных в автоматизированных базах данных Конвенция 108, статья 2 (b)., но также предусматривает возможность распространения защиты данных на ручную обработку в национальном законодательстве стран-участниц. Многие участники Конвенции 108 воспользовались этой возможностью, о чем заявили Генеральному секретарю Совета Европы.

Термин «обработка данных» означает любую операцию (сбор, запись, хранение, изменение, извлечение, использование, раскрытие путем передачи третьим лицам или распространения, комбинирование, уничтожение), выполняемую с персональными данными. «Обработкой» называются также действия, в результате которых данные переходят из сферы ответственности одного контролера в сферу ответственности другого контролера.

В Конвенции определены следующие понятия:

a) «персональные данные» ? любая информация об определенном или поддающемся определению физическом лице («субъект данных»);

b) «автоматизированный файл данных» ? любой набор данных, подвергающийся автоматизированной обработке;

c) «автоматизированная обработка» включает в себя следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение;

d) «контроллер файла» ? физическое или юридическое лицо, орган государственной власти, учреждение или любой другой орган, компетентный в соответствии с внутренним законодательством решать, какова должна быть цель автоматизированного файла данных, какие категории персональных данных подлежат хранению или какие операции должны производиться с ними.

2.1 Принцип справедливой и законной обработки данных

Данный принцип закреплен в статье 5(а) Конвенции 108:

«Статья 5. Качество данных

Персональные данные, подвергающиеся автоматизированной обработке:

a) собираются и обрабатываются на справедливой и законной основе <…>».

(1) Законная обработка данных: В Конвенции нет определения понятия «законная обработка данных», для понимания принципа законной обработки данных необходимо обратиться к условиям законного ограничения права на защиту данных в свете статьи 8 (2) Европейской конвенции. Соответственно, обработка персональных данных является законной и справедливой, если она:

* производится в соответствии с законом;

* преследует законную цель;

* необходима в демократическом обществе для достижения законной цели.

Доступность и предсказуемость: По мнению Европейского Суда, из выражения «предусмотренный законом» вытекают требования «доступности» и «предсказуемости» закона ECtHR, Amann v. Switzerland [GC], Judgment of 16 February 2000, para. 50..

Во-первых, закон должен быть достаточно доступным: гражданин должен быть способен найти указание, являющееся достаточным в данных обстоятельствах, на то, какие правовые нормы применяются в конкретном случае ECtHR, Amann v. Switzerland [GC], Judgment of 16 February 2000, para. 56..

Во-вторых, норма не может рассматриваться как «закон», если она не сформулирована с точностью, достаточной для того, чтобы гражданин мог регулировать свое поведение: он должен быть способен (при необходимости с помощью соответствующих консультаций) предвидеть с разумной степенью точности последствия, которые в зависимости от обстоятельств может повлечь конкретное действие ECtHR, The Sunday Times v. the United Kingdom, Judgment of 26 April 1979, para. 49..

Такие последствия не должны быть предсказуемы с абсолютной точностью: опыт показывает, что это недостижимо. В то время как определенность является крайне желательной, она может повлечь за собой чрезмерную жесткость, а закон должен быть способен соответствовать меняющимся обстоятельствам.

Соответственно, многие законы с неизбежностью используют формулировки, которые, в большей или меньшей степени, являются неопределенными, и толкование и применение которых зависит от практики ECtHR, The Sunday Times v. the United Kingdom, Judgment of 26 April 1979..

В деле Rotaru v. Romania ECtHR, Rotaru v. Romania [GC], Judgment of 4 May 2000, para. 57. ЕСПЧ признал нарушение статьи 8 ЕКПЧ, поскольку румынский закон, разрешающий сбор, запись и архивирование в секретных базах информации, касающейся национальной безопасности, не устанавливал ограничений на эти действия, оставляя этот вопрос на усмотрение властей.

В частности, законодательство Латвии не определяло тип подлежащей обработке информации, категорию лиц, в отношении которых может вестись негласное наблюдение, обстоятельства его проведения и регулирующие его процедуры. Приняв во внимание данные дефекты, Суд пришел к выводу о несоответствии внутреннего законодательства требованию предсказуемости.

В деле Taylor-Sabori v. the United Kingdom ECtHR, Taylor-Sabori v. the United Kingdom, Judgment of 22 October 2002. заявитель был объектом надзора со стороны полиции, которая перехватывала сообщения с его пейджера. Позже заявитель был арестован и обвинен в распространении наркотиков. В число доказательств по делу входили перехваченные сообщения с пейджера.

Однако на момент судебного разбирательства в британском законодательстве не существовало нормы, регулирующей перехват сообщений, переданных через частную телекоммуникационную систему связи. Следовательно, вмешательство в права заявителя не было осуществлено «в соответствии с законом». Европейский суд признал нарушение статьи 8 ЕКПЧ.

В деле Amann v. Switzerland ECtHR, Amann v. Switzerland, Judgment of 16 February 2000. заявителю, занимавшемуся продажей приборов для эпиляции, поступил телефонный звонок из бывшего советского посольства с заказом на прибор. Прокуратура перехватила звонок и попросила службу разведки собрать информацию о заявителе. Суд установил нарушение статьи 8 Европейской конвенции ввиду неопределенности швейцарского законодательства, в котором не были законодательно определены полномочия государства в области сбора и хранения информации о частном лице.

Законная цель: Необходимо отметить, что никакое вмешательство в осуществление прав, гарантированных статьями 8-11 Конвенции не будет допустимым, если оно не преследует одну из целей, указанных во втором пункте этих положений, то есть «в интересах национальной безопасности и общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности или защиты прав и свобод других лиц».

В деле Peck v. the United Kingdom ECtHR, Peck v. the United Kingdom, Judgment of 28 January 2003, para. 85. заявитель пытался совершить самоубийство на улице, перерезав себе вены, и этот момент зафиксировала камера видеонаблюдения.

После того как полицейские его спасли, видео было передано средствам массовой информации и опубликовано без маскировки лица заявителя. ЕСПЧ пришел к выводу, что в деле нет достаточных оснований, которые оправдали бы передачу видеоматериала СМИ без согласия заявителя или трансляцию видеозаписи без маскировки лица. Суд пришел к выводу о нарушении статьи 8 ЕКПЧ.

Необходимо в демократическом обществе: Согласно практике ЕСПЧ «необходимость» вмешательства подразумевает соответствие его насущной общественной потребности и соразмерность преследуемой законной цели ECtHR, Leander v. Sweden, Judgment of 26 March 1987, para. 58.. Применение этого требования сосредоточивается на воздействии, которое оказывает обжалуемое ограничение на соответствующее право, поскольку необходимо установить, что ограничение действительно «необходимо в демократическом обществе».

Должна не только существовать настоятельная общественная необходимость, на достижение которой направлено ограничение, но и должен быть соблюден принцип соразмерности. При определении того, является ли ограничение «необходимым в демократическом обществе», Европейский суд принимает во внимание особую важность затронутого права и существенные характеристики демократического общества. Суд также учитывает такие факторы, как значимость и достаточность вмешательства, общие последствия ограничения (отменяет ли оно право полностью или оставляет некоторые возможности для его осуществления) и существование или отсутствие менее строгих альтернативных мер по разрешению определенной проблемы.

На практике применение этого требования может быть достаточно гибким. При оценке допустимости определенного ограничения Европейский Суд примет во внимание не только особые обстоятельства, существующие в государстве-участнике, но также будет готов признать наличие у государства некоторой свободы усмотрения. Пределы свободы усмотрения могут меняться в зависимости от характера права и/или оснований вмешательства и могут, в некоторых случаях, быть достаточно широкими.

В деле Khelili v. Switzerland ECtHR, Khelili v. Switzerland, Judgment of 18 October 2011. полиция обнаружила у заявительницы визитные карточки следующего содержания: «Привлекательная женщина старше тридцати лет хотела бы познакомиться с мужчиной для встреч. Номер телефона». Полиция внесла в свои базы данных ее данные как проститутки, хотя занятие проституцией заявительница отрицала и просила удалить ее имя из базы. Европейский суд в определенных обстоятельствах признает допустимость сохранения личных данных лица на основании подозрений о возможности совершения им преступления.

Однако в данном случае обвинение в проституции было беспочвенным и не подтвержденным фактами, поскольку заявительница никогда не была осуждена за незаконное занятие проституцией. Таким образом, вторжение в ее право на частную жизнь не могло рассматриваться как удовлетворяющее «насущной общественной потребности» от отвечающее «необходимости в демократическом обществе» по смыслу статьи 8 Европейской конвенции. Суд пришел к выводу о нарушении статьи 8 ЕКПЧ.

В деле Leander v. Sweden ECtHR, Leander v. Sweden, Judgment of 26 March 1987, paras. 59, 67. ЕСПЧ постановил, что скрытое наблюдение за лицами, претендующими на работу в должностях, имеющих значение для национальной безопасности, само по себе не противоречит требованию «необходимости в демократическом обществе». Кроме того, законодательство Швеции предусмотрело меры для защиты интересов субъектов данных (осуществление контроля за скрытым наблюдением со стороны парламента и министра юстиции).

Суд пришел к выводу, что шведские кадровая система контроля отвечает требованиям статьи 8 (2) ЕКПЧ. Принимая во внимание широкие пределы усмотрения, государство-ответчик вправе полагать, что в данном случае интересы национальной безопасности преобладают над частными интересами.

В деле B.B. v. France B.B. v. France, Judgment of 17 December 2009 г. и Gardel v. France Gardel v. France, Judgment of 17 December 2009 г. вопрос заключался в том, было ли включение в национальную базу данных лиц, совершивших преступления сексуального характера, нарушением статьи 8. По обстоятельствам дел хранение данных осуществлялось в течение 20-30 лет в зависимости от тяжести совершенного преступления. Европейский суд пришел к выводу, что ни в одном из дел не было допущено нарушения статьи 8, принимая во внимание наличие процедуры предъявления требований об изъятии информации из базы данных. Европейский суд учел очень серьезный характер совершенных преступлений и заинтересованность общества в существовании таких баз данных.

В соответствии с рекомендациями Совета Европы, дополняющими Конвенцию о защите данных, обработка персональных данных произведена на законном основании, если:

* получено согласие субъекта данных на обработку; или

* обработка отвечает жизненно важным интересам субъекта данных; или

* причиной обработки данных являются законные интересы других лиц, но только в той степени, в какой они не ущемляют основных прав субъекта данных.

(2) Справедливая обработка данных: Принцип справедливой обработки данных предполагает, что:

* процесс обработки является прозрачным, особенно для субъекта данных;

* перед началом обработки субъект данных информируется о цели обработки, личности контролера и его местонахождении;

* обработка персональных данных не является секретной, если иного не предусмотрено законом;

* субъекты данных имеют доступ к своим персональным данным.

Таким образом, принцип справедливой обработки данных регулирует, прежде всего, отношения между контролером и субъектом данных. Перед тем, как начать обработку персональных данных, контролер должен информировать субъекта данных о своей личности и цели обработки.

Данное обязательство не зависит от запроса субъекта данных и должно быть выполнено контролером независимо от того, показывает ли субъект персональных данных интерес к этой информации.

В тех случаях, когда данные предоставлены третьей стороной, информировать субъект данных не требуется, если (1) обработка данных предусмотрена законом или (2) предоставление информации невозможно или требует непропорциональных усилий. Перед началом обработки контролер дополнительно должен (1) уведомить контролирующий орган о планируемых операциях или (2) предоставить данные для документирования независимому должностному лицу, если национальное законодательство предусматривает такие процедуры.

Прозрачность: Принцип прозрачности подразумевает обязательство контролера информировать субъекта данных о том, как используются его персональные данные.

В деле Haralambie v. Romania ECtHR, Haralambie v. Romania, Judgment of  27 October 2009. заявитель обратился за доступом к личной информации, хранящейся в секретной службе, его просьба была удовлетворена через пять лет. ЕСПЧ установил, что субъект данных был жизненно заинтересован в доступе к личной информации.

Государство имело обязательство обеспечить доступа заявителя к данным. Суд счел, что ни объем хранимых данных, ни недостатки в системе их архивирования не могут оправдать пятилетнюю задержку в получении доступа заявителя к личным данным. Поскольку власти не предоставили заявителю доступ к данным в разумный срок, имело место нарушение статьи 8 Европейской конвенции. Субъект данных, кроме того, имеет право запросить у государства информацию о том, находятся ли его данные в обработке и какие именно данные.

Требование прозрачности также предусматривает обязанность контролера документально подтверждать законность и прозрачность обработки личных данных, а также оперативно реагировать на пожелания субъекта данных, особенно когда его согласие на обработку определяет правовую основу для нее.

В деле K.H. and Others v. Slovakia ECtHR, K.H. and Others v. Slovakia, Judgment of  28 April 2009. обращение в суд подали восемь женщин, которые во время беременности и родов наблюдались в двух больницах в восточной части Словакии. Впоследствии никто из них не смог зачать ребенка вновь, несмотря на неоднократные попытки.

Национальные суды обязали медицинские учреждения обеспечить женщинам доступ к медицинским архивам и возможность делать рукописные копии документов, однако запретили делать фотокопии документов. Позитивные обязательства государств, в соответствии со ст. 8 Европейской конвенции, включают обязательство предоставить субъектам данных возможность делать копии своих данных. Задача государства - определить механизм копирования данных или, в случае необходимости, предусмотреть причина отказа в копировании. В данном деле национальные суды обосновали запрет на копирование медицинских документов необходимостью защитить информацию от злоупотреблений, однако государство не смогло объяснить, каким образом заявители могли злоупотребить личной информацией медицинского характера. Суд пришел к выводу о нарушении статьи 8 Конвенции.

Принцип определенных и законных целей хранения данных закреплен в статье 5(b) Конвенции 108:

«Персональные данные, подвергающиеся автоматизированной обработке:

<…> b) хранятся для определенных и законных целей и не используются иным образом, несовместимым с этими целями <…>».

Данный принцип подразумевает, что:

* цель обработки данных должна быть четко определена до начала обработки;

* обозначение цели обработки должно регламентироваться внутренним законодательством стран-участниц;

* обработка данных с неопределенной целью и/или неограниченным количеством целей не является законной;

* дальнейшее использование обработанных данных с иной целью требует дополнительной правовой основы, если новая цель обработки отличается от исходной;

* передача данных третьим лицам является новой целью и требует дополнительной правовой основы.

Раскрытие данных третьим лицам, как правило, представляют собой новую цель и, следовательно, требует новой правовой основы. Например, если авиакомпания собирает данные пассажиров, чтобы корректно выстроить управление полетом, ей для этого необходимы номера посадочных мест, а также информация о физических ограничениях и особых потребностях пассажиров. Если миграционные службы захотят воспользоваться данными авиакомпании для иммиграционного контроля, передача данных потребует новой правовой основы. При рассмотрении вопроса о пределах конкретной цели Конвенция 108 прибегает к концепции совместимости: для совместимых целей допускается использование данных на первоначальной правовой основе. Однако само понятие «совместимой цели» остается открытым для интерпретаций.

Понятие качества данных основано на принципах адекватности данных и точности данных, а также принципе ограниченного хранения данных, закрепленных в статье 5(c,d,e) Конвенции 108:

«Персональные данные, подвергающиеся автоматизированной обработке:

<…> c) являются адекватными, относящимися к делу и не чрезмерными для целей их хранения;

d) являются точными и, когда это необходимо, обновляются;

e) сохраняются в форме, позволяющей идентифицировать субъекты данных, не дольше, чем это требуется для целей хранения этих данных».

Адекватные, относящиеся к делу и не чрезмерные для целей их хранения

Объем обрабатываемых данных должен быть ограничен лишь той информацией, которая имеет непосредственное отношение к цели их обработки. Современные информационные технологии позволяют кодировать данные, сохраняя их полную конфиденциальность и позволяя существенно минимизировать собираемую информацию.

Точные и обновляемые по мере необходимости: С точки зрения Конвенции о защите данных использование неточной персональной информации недопустимо. Требование к точности данных следует рассматривать в совокупности с целью их обработки.

В некоторых случаях, когда целью обработки является документирование событий, их обновление должно быть запрещено. В частности, недопустимо «обновлять» медицинские записи о прошедших операциях. Но в них могут быть внесены дополнения с указанием времени их внесения. Напротив, в других случаях регулярная проверка точности данных и их обновление абсолютно необходимы во избежание потенциального ущерба, который может быть причинен субъекту данных, если информация останется неточной.

Так, банки обычно проверяют данные о платежеспособности потенциальных клиентов, используя специализированные базы данных с информацией о кредитной истории частных лиц. Если такая база содержит неверные или устаревшие сведения, человек может столкнуться с проблемами при оформлении кредита.

Ограниченное хранение данных: Статья 5 (е) Конвенции 108 требует, чтобы персональные данные «сохранялись в форме, позволяющей идентифицировать субъекты данных, не дольше, чем это требуется для целей хранения этих данных». Таким образом, когда цель достигнута - данные должны быть удалены.

В деле S. and Marper ЕСПЧ подтвердил, что хранение данных должно быть пропорционально цели их обработки и ограничено во времени, в частности, при использовании персональных данных полицией ECtHR, S. and Marper v. the United Kingdom, Judgment of  4 December 2008..

Принцип ограниченного хранения персональных данных применим, однако, только если данные хранятся в форме, позволяющей идентифицировать субъект данных. Хранение данных сверх установленной необходимости может быть допустимо, если данные анонимны или зашифрованы.

Дальнейшее использование данных с научными, историческими или статистическими целями освобождает контролера от следования принципу ограниченного хранения данных. Однако хранение персональных данных с любой целью должно сопровождаться специальными гарантиями, предусмотренными национальным законодательством. Исключения из принципа ограниченного хранения также должны быть предусмотрены законом и содержать специальные меры безопасности для защиты таких данных.

2.2 Стандарты безопасной обработки данных

Согласно Конвенции 108, «для защиты персональных данных, хранящихся в автоматизированных файлах данных, принимаются надлежащие меры безопасности, направленные на предотвращение их случайного или несанкционированного уничтожения или случайной потери, а также на предотвращение несанкционированного доступа, их изменения или распространения таких данных» Конвенция 108, статья 7..

Правила безопасной обработки данных обязывают контролера соблюдать технические и организационные меры с целью предотвращения любого несанкционированного вмешательства в процесс обработки. Последующее обеспечение безопасности и конфиденциальности данных при обработке является общей обязанностью всех участвующих в обработке лиц.

Стандарты безопасности подразумевают наличие как определенного технического оборудования, так и организационных правил, которые должны охватывать следующие вопросы:

* регулярное информирование сотрудников о мерах безопасности при обработке данных и их обязательствах в соответствии с законодательством о защите данных, особенно в части их конфиденциальности;

* четкое распределение обязанностей и полномочий в вопросах обработки данных, особенно в отношении принятия решений о передаче данных третьим лицам;

* использование персональных данных только в соответствии с установленными правилами;

* защита доступа к аппаратному и программному обеспечению контролера;

* обеспечение того, чтобы доступ к данным предоставляло компетентное лицо, и для такого доступа требовалась надлежащая документация;

* наличие автоматизированных протоколов о доступе к данным и их регулярных проверок;

* тщательное документирование всех форм раскрытия данных вне автоматизированного доступа для предотвращения нелегальной передачи данных.

В деле I. v. Finland ECtHR, I. v. Finland, Judgment of  17 July 2008. заявительница не смогла доказать в национальной юрисдикции, что к ее медицинским записям имели незаконный доступ другие сотрудники больницы, в которой она работала. Европейский суд пришел к выводу о нарушении статьи 8 ЕКПЧ, поскольку система регистрации и учета медицинских документов больницы не соответствовала требованиям национального законодательства.

Обеспечение конфиденциальности данных является составляющей понятия безопасности данных, согласно статье 7 Конвенции о защите данных. Нарушение конфиденциальности при выполнении профессиональных обязанностей должно наказываться в соответствии с уголовным законодательством стран-участниц Конвенции 108.

2.3 Права субъектов данных

Субъекты данных должны иметь право, установленное внутренним законодательством:

* доступа к личной информации через контролера, в чьей обработке находятся данные;

* корректировать свои данные (или заблокировать их, в зависимости от обстоятельств) через контролера, если данные являются неточными;

* удалить или заблокировать данные, если контролер обрабатывает их незаконно.

Кроме того, субъекты данных имеют право возразить против:

* автоматизированной обработки персональных данных;

* обработки, приводящей к непропорциональным результатам;

* использования данных с целью прямого маркетинга.

В соответствии со статьей 9 Конвенции 108, доступ субъекта данных к личной информации может быть ограничен, «когда такое отступление предусматривается законодательством Стороны и является необходимой в демократическом обществе мерой, принимаемой в интересах:

a) защиты безопасности государства, общественной безопасности, валютно-кредитных интересов государства или пресечения уголовных преступлений;

b) защиты субъекта данных или прав и свобод других лиц».

Право на доступ к информации о личных данных закреплено в статье 8 Конвенции о защите данных:

«Любому лицу должна быть предоставлена возможность:

a) знать о существовании автоматизированного файла персональных данных, знать его основные цели, а также название и место обычного проживания или местонахождение контроллера файла;

b) получить через разумный промежуток времени и без чрезмерной задержки или чрезмерных расходов подтверждение того, хранятся ли касающиеся его персональные данные в автоматизированном файле данных, а также получить такие данные в доступной для понимания форме;

c) добиваться в случае необходимости исправления или уничтожения таких данных, если они подвергались обработке в нарушение норм внутреннего законодательства, воплощающего основополагающие принципы, изложенные в статьях 5 и 6 настоящей Конвенции;

d) прибегать к средствам правовой защиты в случае невыполнения просьбы о подтверждении или в случае необходимости предоставления данных, их изменении или уничтожении, как это предусмотрено в пунктах b) и с) настоящей статьи».

Европейский суд по правам человека неоднократно подтверждал право на доступ к информации о своих персональных данных, хранящихся у других или используемых другими, возникающее из права на уважение частной жизни ECtHR, Gaskin v. the United Kingdom, Judgment of  7 July 1989; ECtHR, K.H. and Others v. Slovakia, 28 April 2009; ECtHR, Godelli v. Italy, Judgment of  25 September 2012.. В деле Leander v. Sweden ECtHR, Leander v. Sweden, Judgment of  26 March 1987. ЕСПЧ установил, что право на доступ к личным данным, хранящимся государством, в определенных обстоятельствах может быть ограничено.

Внутреннее законодательство должно предусматривать право субъектов данных корректировать персональные данные или заблокировать их, если данные некорректны. В деле Cemalettin Canli v. Turkey ECtHR, Cemalettin Canli v. Turkey, Judgment of  18 November 2008, paras. 33, 42, 43. ЕСПЧ признал нарушение статьи 8 Европейской конвенции из-за некорректного отчета полиции в уголовном деле. Заявитель дважды фигурировал в материалах уголовного дела в связи с предполагаемым членством в незаконных организациях, но не был осужден. Когда его вновь арестовали по обвинению в другом преступлении, полиция представила суду справку «о дополнительных преступлениях», где представила заявителя как члена двух нелегальных организаций.

Ходатайство заявителя о доступе к полицейскому отчету и корректировке информации суд отклонил. Европейский суд указал, что информация из полицейского отчета подпадает в сферу действия статьи 8 Европейской конвенции как «общественная информация», но также может быть рассмотрена как составляющая «частной жизни». Поскольку отчет полиции был неточным, его представление в суде нельзя признать законным. Суд пришел к выводу о нарушении права на частную жизнь.

В деле Segerstedt-Wiberg and Others v. Sweden ECtHR, Segerstedt-Wiberg and Others v. Sweden, Judgment of 6 June 2006, paras. 89, 90. заявители - члены политических партий - подозревали, что информация о них содержится в полицейских базах данных. ЕСПЧ установил, что хранение данных имело правовую основу и преследовало законную цель. Однако в отношении некоторых заявителей ЕСПЧ решил, что хранение их данных было несоразмерным вмешательством в личную жизнь. В частности, власть хранила информацию о том, что один из заявителей в 1969 году - предположительно - выступал за насильственное сопротивление полицейским во время демонстраций. Данная информация не отвечала интересам национальной безопасности, особенно с учетом ее давнего характера. ЕСПЧ признал нарушение статьи 8 ЕКПЧ в отношении нескольких заявителей.

В некоторых случаях субъекту данных достаточно лишь сделать запрос на корректировку информации - например, когда речь идет о написании имени, адреса или номера телефона. Если запрос связан с правовыми вопросами, контролер может затребовать доказательства о необходимости корректировки.

Однако данное требование не должно стать для субъекта данных непосильным бременем и тем самым заблокировать саму возможность корректировки личных данных. ЕСПЧ установил нарушение статьи 8 Европейской конвенции в нескольких делах, где заявители не смогли корректировать информацию, хранящейся в секретных базах ECtHR, Rotaru v. Romania, Judgment of 4 May 2000.. Так, в деле Ciubotaru v. Moldova ECtHR, Ciubotaru v. Moldova, Judgment of  27 April 2010, paras. 51, 59. заявитель не смог изменить информацию об этнической принадлежности в официальных документах, поскольку «не смог должным образом обосновать свою просьбу». ЕСПЧ счел приемлемым для государства требовать от субъекта данных доказательства его или ее этнической принадлежности.

В данном деле заявитель имел возможность опосредованно обосновать связь с румынской этнической группой (через язык, имя), однако в соответствии с национальным законодательством должен был представить формальное доказательства принадлежности родителей к румынской группе. Такое требование стало непреодолимым барьером для регистрации этнической принадлежности заявителя. ЕСПЧ посчитал, что государство не выполнило позитивные обязательства по обеспечению уважения личной жизни заявителя, и признал нарушение статьи 8 ЕКПЧ.

Незаконность обработки данных является основанием для запроса субъекта данных об удалении информации - в частности, когда не было получено согласия на обработку или хранение данных больше не соответствует заявленной цели.

Предполагается, что контролер должен быть в состоянии в любое время показать законность использования данных. В противном случае субъект данных, в соответствии с принципом справедливой обработки, имеет право требовать «заморозки» данных до того момента, пока спорная ситуация не будет разрешена, особенно если дальнейшее нелегитимное использование данных или их неточность могут причинить вред субъекту данных. Регулирование данного вопроса осуществляется в рамках национального законодательства.

Субъект данных имеет право возразить против автоматизированной обработки данных, против спорной ситуации и против использования данных с целью прямого маркетинга.

Право на защиту персональных данных не подразумевает возможности возражать против обработки данных в целом См., например: ECtHR, M.S. v. Sweden, Judgment of  27 August 1997.. В рекомендациях Совета Европы указано на право субъекта данных возражать против законности оснований для обработки данных в конкретной ситуации.

Право возражать против использования данных с целью прямого маркетинга закреплено в соответствующей рекомендации Совета Европы Рекомендация Комитета министров Совета Европы № R(85)20, 25 октября 1985, статья 4 (1).. Субъект данных должен иметь возможность возразить против передачи его данных третьей стороне с маркетинговыми целями прежде, чем такая передача будет осуществлена.

2.4 Независимый надзор

Надзор за эффективностью защиты данных должны осуществлять независимые органы, в чьи задачи должно входить следующее:

* мониторинг и содействие защите данных на национальном уровне;

* консультация субъектов данных и контролеров, а также правительства и общественности;

* рассмотрение жалоб и оказание помощи субъекту данных, чьи права предположительно нарушены;

* контроль за обработкой данных и вмешательство в случае необходимости;

* наложение санкций на контролеров;

* обращение в суд.

В соответствии с Конвенцией 108 создание национальных надзорных органов является обязательным. Правовую основу для этого обязательства содержит статья 10 Конвенции: «Каждая Сторона обязуется предусмотреть надлежащие санкции и средства правовой защиты на случай нарушения норм внутреннего законодательства, воплощающих основополагающие принципы защиты данных, изложенные в настоящей главе».

В соответствии с Конвенцией 108, национальное законодательство должно содержать надлежащие средства правовой защиты и предусматривать санкции в отношении нарушителей права на защиту данных.

В то время как основной целью статьи 8 является, главным образом, защита лица от произвольного вмешательства государственных органов, неотъемлемой частью эффективного обеспечения неприкосновенности частной и семейной жизни могут быть позитивные обязательства государства ECtHR, Airey v. Ireland, Judgment of  9 October 1979, para. 32..

Они могут подразумевать принятие государством мер, предназначенных для обеспечения неприкосновенности частной жизни, даже в области взаимоотношений частных лиц, например, пользователя Интернета и тех, кто предоставляет доступ к конкретному сайту в Интернете. Другими словами, государство несет позитивное обязательство по установлению эффективного сдерживающего средства против серьезных посягательств на личные данные лица иногда посредством применения эффективных уголовно-правовых положений ECtHR, X and Y v. the Netherlands, Judgment of  26 March 1985, paras. 23-24, 27.. Относительно Интернета государство, возможно, могло бы нести ответственность за поведение третьих сторон, осуществляющих хранение информации для частных лиц.

В деле K.U. v. Finland ECtHR, K.U. v. Finland, Judgment of  2 December 2008. несовершеннолетний заявитель жаловался на то, что на сайте интернет-знакомств от его имени была размещена реклама сексуального характера. Провайдер не смог представить сведения о личности человека, разместившего объявление, поскольку данная информация носила конфиденциальный характер, в соответствии с законодательством Финляндии.

Заявитель утверждал, что законы Финляндии не обеспечили ему достаточной защиты от злоупотреблений со стороны частных лиц. ЕСПЧ установил, что государство несет позитивные обязательства по защите прав, которые должны предусматривать «меры, направленные на обеспечение уважения частной жизни даже в области межличностных отношений». В случае заявителя защита его прав требовала эффективных мер по выявлению и привлечению к ответственности нарушителя. Поскольку такая защита государством не была предоставлена, Суд пришел к выводу о нарушении статьи 8 ЕКПЧ.

В деле Kцpke v. Germany ECtHR, Kцpke v. Germany (dec.), Judgment of  5 October 2010. заявитель подозревался в краже на рабочем месте, в связи с чем находился под негласным видеонаблюдением. ЕСПЧ пришел к выводу, что в данном случае был обеспечен «справедливый баланс между правом заявителя на уважение частной жизни и интересом работодателя в защите имущественных прав, а также общественным интересом в надлежащем отправлении правосудия». В связи с этим жалоба заявителя была признана неприемлемой.



Заключение

Таким образом, защита данных личного характера важнейшее значение для возможности лица осуществлять право на неприкосновенность частной и семейной жизни.

Простое хранение информации, относящейся к личной жизни лица, является вмешательством в осуществление его прав по смыслу положений статьи 8 Конвенции. Тем не менее, всякий раз отвечая на вопрос о том, затрагивают ли хранимые властями персональные данные какие-то стороны личной жизни человека, Европейский суд принимает во внимание условия, в которых была получена информация, характер информации и то, каким образом она используется.

В соответствии с Конвенцией Совета Европы 1981 года о защите частных лиц в отношении автоматизированной обработки данных личного характера, «данные личного характера» определяются как любая информация, касающаяся определенного или поддающегося определению физического лица («субъекта данных»).

Персональные данные могут быть представлены в любой форме - письменные или устные сообщения; изображения; видео; звук; информация в электронном виде; а также образцы тканей человека, поскольку они несут в себе уникальную информацию о ДНК.

Европейское право в сфере защиты данных основывается на принципах (справедливая обработка, четкое определение ограничение целей, минимизация данных, качество данных, защита данных), правах (права субъектов данных) и средствах правовой защиты (надзор со стороны независимого органа защиты данных) - все это является конкретным выражением общих принципов «верховенства права», разработанных Европейским судом по правам человека.

В практике ЕСПЧ рассмотрено множество дел, в которых поднимался вопрос о защите данных, в том числе касающихся перехвата коммуникаций, различных форм наблюдения, хранения персональных данных органами власти.

Статья 8 Европейской конвенции не только обязывает государства воздерживаться от действий, нарушающих право на неприкосновенность личной жизни, но и - при определенных обстоятельствах - нести позитивные обязательства для обеспечения эффективного уважения частной и семейной жизни.



Литература

1) Заман Ш.Х. Гражданско-правовой статус физических лиц в Германии, Италии, Франции и России // Диссертация на соискание ученой степени кандидата юридических наук. - Москва, 2009.