Право на мобільність як новий стандарт захисту персональних даних в ЄС

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

УДК 347.121.2

Право на мобільність як новий стандарт захисту персональних даних в ЄС

Юлія Бєлова *

Анотація

мобільність право персональний захист

Аннотация

Статья касается исследования содержания и границ права на мобильность персональных данных. Проведен анализ Общего регламента о защите данных 2016/679 Европейского Парламента и Совета от 27 апреля 2016 года по вопросам закрепления права на мобильность персональных данных. Определено место права на мобильность среди других прав субъекта персональных данных.

Annotation

Article deals with research right to data portability as new standard of personal data protection in EU. General Data Protection Regulation 2016/679 of the European Parliament and of the Council of 27 April 2016 in the scope of right to data portability is analysed. The place of the right to data portability among other rights of the data subject is characterized.

Постановка проблеми. 27 квітня 2016 року прийнято Регламент (Євросоюз) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб стосовно обробки персональних даних та про вільне переміщення таких даних (Загальний регламент про захист даних) [1]. Згідно з положеннями Загального регламенту про захист даних (далі - Загальний регламент), скасовується Директива 95/46/ЄС Європейського Парламенту та Ради Європи від 24 жовтня 1995 року про захист фізичних осіб стосовно обробки персональних даних та про вільне переміщення таких даних [2]. Загальний регламент набирає чинності на 20-й день після його опублікування в «Офіційному віснику Європейського Союзу» та застосовується з 25 травня 2018 року. Положення цього Регламенту спрямовані на гармонізацію захисту основних прав і свобод фізичних осіб щодо діяльності з переробки персональних даних і на забезпечення вільного потоку персональних даних між державами-членами ЄС. Загальний регламент покликаний сприяти розбудові простору свободи, безпеки, справедливості й економічного союзу; економічного і соціального прогресу; зміцненню законності і зближення економік в рамках внутрішнього ринку, а також загальному добробуту фізичних осіб держав-членів ЄС. Регламент значно розширює вже існуючі права фізичної особи як суб'єкта персональних даних та вводить нові, такі як право бути забутим та право на мобільність персональних даних. Актуальність дослідження нових стандартів вказаного Регламенту для Україні обумовлена не тільки євроінтеграційними процесами та Угодою про асоціацію між Україною та ЄС. Відповідно до Регламенту, транскордонна передача персональних даних за межами ЄС буде дозволена лише за умови достатнього рівня захисту персональних даних, що надається в юрисдикції, в яку здійснюється передача даних.

Аналіз останніх досліджень і публікацій. Загальний регламент про захист персональних даних став предметом широкої наукової дискусії серед іноземних вчених-юристів, серед яких Свіре П., Ґраеф І., Лундквіст Б., Слоот Б., Лінскей О. та інші. Вказаний регламент вже досліджувався вітчизняними науковцями, серед яких Баранов О. А., Брижко В. М., Пилипчук В. Г., Сухорольський П. М. та інші. Однак такі дослідження допоки носять одиничний характер.

Завданням цієї статті є дослідити зміст, межі права на мобільність як нового стандарту захисту персональних даних в ЄС та його співвідношення з іншими правами.

Виклад основного матеріалу. Право на мобільність персональних даних (right to data portability) закріплено в ст. 20 Загального регламенту про захист даних [1]. Під мобільністю персональних даних розуміється здатність їх перенесення між різними володільцями. Введення цього права обумовлене широким поширенням обробки персональних даних в мережі Інтернет та покликане забезпечити можливість вільного переміщення персональних даних від одного володільця (провайдера, соціальної мережі) до іншого. Це в свою чергу сприятиме вільній конкуренції шляхом створення рівних можливостей для існуючих компаній та появи нових компаній на ринку.

Зв'язок права на мобільність персональних даних та правових засад захисту економічної конкуренції може бути продемонстрований двома шляхами. По-перше, право на мобільність покликане запобігати зловживанню монопольного становища на ринку шляхом обмеження виробництва, ринків товарів, техніко-технологічного розвитку, інвестицій або встановлення контролю над ними. По-друге, право на мобільність персональних даних надасть споживачам можливість вільного вибору виконавця та перевагу в отриманні додаткових послуг від останнього [3].

Проаналізуємо зміст вказаного права відповідно до Загального регламенту про захист даних.

Право особи на мобільність персональних даних включає три аспекти. По-перше, суб'єкт має право отримати персональні дані у структурованому форматі, який звичайно використовується, та у формі, придатній для введення в комп'ютер, зберігати їх для подальшого використання на особистих пристроях без передачі іншому володільцю. Вимоги до формату даних встановлюються з метою забезпечення їх подальшого використання, у тому числі шляхом передачі іншому володільцю. Поняття «структурованого формату» законодавчо не визначене, однак під ним слід розуміти формат даних, що мають певну структуру, відповідно до якої вони можуть бути оброблені. Наприклад, до структурованих можна віднести файли XML-документів [4]. Крім того, формат даних повинен бути таким, що звичайно використовується, тобто бути достатньо поширеним. У той же час, персональні дані повинні бути надані у формі, яка дозволяє їх автоматичне розпізнавання за допомогою комп'ютерних програм. Зауважимо, що всі вказані вимоги до формату даних недостатньо конкретизовані. Це, з одного боку, зумовить необхідність встановлення відповідності формату даних цим вимогам в кожному окремому випадку, а з іншого, робить основним критерієм відповідності формату даних досягнення ними мобільності, тобто можливості у відповідному форматі бути перенесеними до іншого володільця. Таким чином, Загальний регламент про захист даних сприяє розробці володільцями взаємних форматів даних, які б забезпечували право на мобільність, хоча і не покладає обов'язку використовувати сумісне програмне забезпечення.

По-друге, суб'єкт має право безперешкодно перенести отримані у структурованому форматі, який звичайно використовується, та у формі, придатній для введення в комп'ютер, персональні дані до іншого володільця. Цьому праву кореспондує обов'язок володільця даних не створювати технічних перешкод, які унеможливлюють або ускладнюють перенесення персональних даних. З технічної точки зору, володілець персональних даних може запропонувати різні варіанти імплементації права на мобільність. У літературі також можна зустріти широке тлумачення такого обов'язку, яке полягає в необхідності розробки програмного забезпечення, яке б дозволяло експортувати та імпортувати користувачем свої персональні дані [5, с. 344].

По-третє, суб'єкт вправі вимагати безпосереднього перенесення персональних даних від одного володільця до іншого, коли це технічно можливо. Відмінність цього права від попередніх полягає у тому, що суб'єкту персональних даних не потрібно самостійно копіювати та завантажувати дані, достатньо тільки звернутися з такою вимогою до володільця персональних даних. При цьому, це право не обумовлене форматом персональних даних, однак може бути здійснено лише за наявності технічної можливості. Знову ж таки, розуміння «технічної можливості» не розкривається, що є предметом справедливої критики в науковій літературі [6, с. 61], оскільки залишає на розсуд володільця персональних даних - запроваджувати таку технічну можливість чи ні.

Право на мобільність не охоплює всього обсягу персональних даних, які перебувають у володільця, а лише ті з них, які були надані (створені) самим суб'єктом персональних даних. До таких слід віднести дані, безпосередньо завантажені чи опубліковані суб'єктом: фотографії, статуси, контактна інформація, резюме тощо. Наприклад, поштовий сервіс може дозволяти суб'єкту створювати директорії контактів, друзів, родичів та ширше коло оточення. Оскільки такі дані стосуються суб'єкта, безпосередньо ним створені, то він повинен мати можливість перенести їх до іншого поштового сервісу [7]. Однак очевидним є те, що персональні дані, які знаходяться у володільця, не обмежуються тільки наданими їх суб'єктом. Так, володілець може зберігати статистику використання сайту, створювати дані для аналітичних цілей і таке інше. Зрозуміло, що такі персональні дані виходять за межі права на мобільність. Однак чітка демаркаційна лінія між двома видами даних (ті, що надаються суб'єктом, та ті, що створюються володільцем) відсутня. Значна частина даних будуть мати, так би мовити, комбіноване походження, особливо це стосується створення персональних даних з використанням програмного забезпечення володільця, наприклад, графічне відображення користувача (аватарка).

Більше того, термін «дані, створені суб'єктом» може охоплювати дві категорії: дані безпосередньо та свідомо створені суб'єктом персональних даних (наприклад, поштова адреса, ім'я користувача, вік тощо); дані, створені внаслідок фіксування використання суб'єктом сервісу або пристрою (наприклад, історія пошуку, дані трафіку тощо). Натомість, персональні дані, створені володільцем, є похідними та базуються на даних, створених самим суб'єктом [8].

Крім того, право на мобільність може бути здійснено лише за наявності двох умов.

По-перше, право на мобільність персональних даних має місце лише у випадках, коли їх обробка здійснюється на підставі вільного волевиявлення суб'єкта даних, тобто коли: суб'єкт даних недвозначно дав свою згоду; обробка необхідна для виконання контракту, стороною якого є суб'єкт даних, чи для вживання заходів на прохання суб'єкта даних до підписання контракту

По-друге, право на мобільність персональних даних можливе лише тоді, коли їх обробка здійснюється повністю із застосуванням автоматизованих засобів, тобто включає такі операції: зберігання даних, виконання логічних та (або) арифметичних операцій із цими даними, їхня зміна, знищення, вибірка або поширення.

Загальний регламент також визначає межі здійснення права на мобільність персональних даних. Так, здійснення права на мобільність не може перешкоджати реалізації права бути забутим («right to be forgotten»), закріпленого у ст. 17 вказаного Регламенту. Тобто право на мобільність не може бути використано як аргумент для відстрочки чи відмови у задоволені права бути забутим [8]. Під правом бути забутим розуміють право суб'єкта даних вимагати видалення персональних даних, які його стосуються, і відповідний обов'язок видалити ці дані з боку володільця даних у випадку, якщо суб'єкт даних заперечує проти обробки даних і відсутні легітимні підстави для такої обробки, які переважають інтереси, права та свободи суб'єкта даних. Так само здійснення права на мобільність не повинно обмежувати реалізацію інших прав суб'єкта персональних даних та не звільняє володільця від покладених на нього обов'язків.

Також право на мобільність не застосовується, якщо обробка персональних даних необхідна для виконання завдання, здійснюваного в суспільних інтересах, чи при виконанні офіційних повноважень, якими наділений контролер або третя сторона, якій надаються дані. Тобто, право на мобільність персональних даних не повинно перешкоджати володільцям, які обробляють персональні дані, виконуючи свої публічно-правові обов'язки.

Крім того, забороняється здійснювати право на мобільність персональних даних, якщо це може завдати шкоди правам та свободам третіх осіб. Отже, якщо конкретні дані будуть концентрувати персональні дані двох і більше суб'єктів, то права кожного з них повинні бути дотримані. Так само, це право не повинно негативно впливати на комерційну таємницю чи інтелектуальну власність і, зокрема, на авторське право, що захищає програмне забезпечення; водночас, врахування цих факторів не повинно призвести до відмови суб'єкта даних у наданні всієї інформації.

Тепер спробуємо з'ясувати правову природу права на мобільність персональних даних шляхом встановлення співвідношення з іншими суб'єктивними цивільними правами. Насамперед визначимо місце цього права в системі прав, якими наділений суб'єкт персональних даних. Запровадження права на мобільність в першу чергу посилює контроль суб'єкта над своїми персональними даними, які знаходяться у володільця. За своїм змістом, право на мобільність найбільш дотичне до права на доступ до своїх персональних даних. Справедливим є твердження, що право на мобільність частково базується на праві суб'єкта персональних даних одержувати будь-які відомості про себе у будь-якого суб'єкта відносин, пов'язаних з персональними даними [9, с. 315].

Однак системний аналіз свідчить, що це різні права, які відрізняються такими ознаками:

по-перше, обсяг права на доступ не обмежується лише персональними даними, наданими суб'єктом даним. Доступ реалізується шляхом подання запиту, обов'язковим реквізитом якого є перелік персональних даних, що запитуються. Тобто, суб'єкту даних надається можливість або вимагати надання усіх персональних даних, які знаходяться у володільця, або конкретизувати їх певним чином;

по-друге, реалізація права на доступ до персональних даних не обтяжена вказаними вище вимогами до формату даних. Так, у відповідь на запит щодо доступу до персональних даних фактично надається паперова чи електронна копія персональних даних, які знаходяться у володільця. Тому, навпаки, така копія повинна надаватися у форматі, призначеному для подальшого використання людиною [human-readable), а не для їх автоматичного розпізнавання за допомогою комп'ютерних програм.

Право на мобільність тісно пов'язано із правом на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи. Зокрема, володілець персональних даних повинен здійснювати відповідні технічні й організаційні заходи для захисту персональних даних від випадкового або незаконного знищення чи випадкової втрати, зміни, несанкціонованого розкриття чи доступу, зокрема, якщо обробка включає передачу даних через мережу, і від усіх інших незаконних форм обробки. Такі заходи, з урахуванням нинішнього стану речей і вартості їхнього здійснення, повинні забезпечувати рівень безпеки, співвідносний з ризиком, що супроводжує обробку, і з природою даних, що захищаються. Вказані запобіжні заходи повинні бути аналогічними тим, які застосовуються при наданні особі доступу до її персональних даних. Наприклад, це може бути вимога вказувати прізвище, ім'я та по батькові, місце проживання [місце перебування) і реквізити документа, що посвідчує фізичну особу, яка виявила бажання реалізувати своє право на мобільність персональних даних. Таким чином, реалізація права на мобільність персональних даних повинна бути узгоджена із забезпеченням права на захист своїх персональних даних.

Право на мобільність персональних даних, як один з елементів механізму захисту персональних даних, спрямоване на захист основоположних прав і свобод людини і громадянина, зокрема права на невтручання в особисте життя, у зв'язку з обробкою персональних даних. Зауважимо, що співвідношення права на недоторканість особистого життя та права на захист персональних даних потребує окремого дослідження. Так, із буквального тлумачення Хартії основних прав Європейського Союзу [10], право на повагу до особистого та сімейного життя, житла та кореспонденції (ст. 7) та право на захист персональних даних (ст. 8) розглядаються як два відокремлених права. У науковій літературі це обґрунтовують тим, що право на захист персональних даних забезпечує ширший контроль над ширшим колом персональних даних, ніж право на приватність. При цьому вказують на два ключових моменти права на захист персональних даних: по- перше, воно сприяє інформаційній самовизначеності особи, по-друге, зменшує негативний інформаційний вплив на вільний розвиток особистості [11, с. 597].

Натомість практика Європейського суду з прав людини тлумачить ст. 8, що передбачає право на повагу до свого приватного і сімейного життя, до свого житла і кореспонденції, як таку, яка охоплює право на захист персональних даних. Так, у справі Леандер проти Швеції Суд зазначив: немає сумнівів, що інформація з секретного поліцейського реєстру містила інформацію про приватне життя заявника, а її зберігання, повідомлення, а також відмова надати можливість спростувати її становили втручання в право на повагу до приватного життя, гарантоване пунктом 1 статті 8 Конвенції [12]. У подальшому цей підхід було підтверджено і щодо персональних даних, обробка яких здійснюється автоматизованими засобами (справа С. і Марпер проти Сполученого Королівства [13]). Незалежно від того, як розглядати право на захист персональних даних, - як складову частину змісту права на приватність чи як окреме суб'єктивне право, - його нові елементи, в тому числі і право на мобільність персональних даних, будуть набувати статусу фундаментальних прав, оскільки воно закріплене на рівні норм міжнародних договорів, що мають вищу юридичну силу порівняно з іншими джерелами права національної правової системи [14, с. 125].

Висновки

Отже, право на мобільність персональних даних може бути охарактеризоване таким чином:

Зміст права на мобільність персональних даних включає в себе можливість суб'єкта персональних даних: отримати від володільця персональні дані у форматі, придатному для подальшого використання; передати такі персональні дані іншому володільцю; вимагати від володільця безпосередньої передачі таких персональних даних іншому володільцю при технічній можливості.

Межі права на мобільність персональних даних обумовлені: предметом (мобільності підлягають лише персональні дані, створені самим суб'єктом); умовами (мобільність персональних даних можлива лише, якщо персональні дані обробляються на підставі вільного волевиявлення суб'єкта даних із застосуванням автоматизованих засобів); межами здійснення (право на мобільність не може здійснюватися на шкоду іншим правам суб'єкта персональних даних, правам інших суб'єктів персональних даних, правам та свободам третіх осіб).

Право на мобільність слід розглядати як окреме право в системі прав суб'єкта персональних даних, відмінне від права на доступ, права на забуття, та тісно пов'язане з правом на захист персональних даних.

Список використаних джерел

1. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) [Електронний ресурс]. - Режим доступу: http://eur-lex.europa.eu/legalcontent/EN/TXT/ PDF/?uri=CELEX:32016R0679&from =ENм

2. Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних : Директива 95/46/ЄС Європейського Парламенту і Ради від 24 жовтня 1995 р. [Електронний ресурс]. - Режим доступу: http://zakon5.rada.gov.ua/laws/show/994 242

3. Privacy and competitiveness in the age of big data: The interplay between data protection, competition law and consumer protection in the Digital Economy: Preliminary Opinion of the European Data Protection Supervisor, March 2014 [Електронний ресурс]. - Режим доступу: https://secure.edps.europa.eu/EDPSWEB/edps/Consultation/big data

4. Вимоги до структури та змісту XML-схеми архівних електронних документів, затверджені Наказом Міністерства юстиції України від 11.11.2014 р. № 1886/5 [Електронний ресурс]. - Режим доступу: http://zakon2.rada.gov.ua/ laws/show/z1423-14/ print1476733629827296

5. Swire P. Why the Right to Data Portability Likely Reduces Consumer Welfare: Antitrust and Privacy Critique / Peter Swire, Yianni Lagos // Maryland Law Review. - 2013. - Volume 72, Issue 2. - P. 335-380.

6. Graef I. Putting the right to data portability into a competition law perspective / Inge Graef, Jeroen Verschakelen & Peggy Valcke // Law. The Journal of the Higher School of Economics, Annual Review. - 2013. - Р. 53-63.

7. Lundqvist B. Big Data, Open Data, Privacy Regulations, Intellectual Property and Competition Law in an Internet of Things World (December 29, 2016) // Faculty of Law, University of Stockholm Research Paper No. 1 [Електронний ресурс]. - Режим доступу: https://ssrn.com/ abstract=2891484

8. Guidelines on the right to data portability, Adopted on 13 December 2016 by Article 29 Data Protection Working Party [Електронний ресурс]. - Режим доступу: http://ec.europa.eu/justice/ data-protection/index_en.htm

9. Sloot B. Do data protection rules protect the individual and should they? An assessment of the proposed General Data Protection Regulation / Bart van der Sloot // International Data Privacy Law. - 2014. - Vol. 4. - No. 4. - Р. 307-325.

10. Хартія основних прав Європейського Союзу від 07.12.2000 [Електронний ресурс]. - Режим доступу: http://zakon3.rada.gov.ua/laws/show/994 524

11. Lynskey 0. Deconstructing data protection: the «added-value» of a right to data protection in the EU legal order / 0. Lynskey // International and Comparative Law Quarterly. - Vol. 63 (3). - Р. 569-597.

12. Case of Leander v. Sweden, App. No. 9248/81 [Електронний ресурс]. - Режим доступу: http://hudoc.echr.coe.int/eng?i=001-57519

13. Case of S. And Marper v. The United Kingdom App. No(s). 30562/04, 30566/04 [Електронний ресурс]. - Режим доступу: http://hudoc.echr.coe.int/eng?i=001-117631

14. Посикалюк О. О. Захист особистих немайнових прав фізичної особи Європейським Судом з прав людини / О. О. Посикалюк // Університетські наукові записки. - 2008. - № 3 (27). - С. 124-128.

* Бєлова Юлія Дмитрівна - аспірант кафедри цивільного права та процесу Хмельницького університету управління та права.

Стаття надійшла до редакції20.03.2017р.