О новом правовом режиме защиты персональных данных в Европе

Предлагаем вашему вниманию анализ протокола о внесении изменений в Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, известная как “Convention 108”). Министры иностранных дел государств–членов Совета Европы приняли его 18 мая 2018 в датском Хельсингёре. В разработке протокола приняла участие Россия, её предложения были приняты.

Положения протокола после его ратификации станут неотъемлемой частью новой редакции конвенции, которая расширяет и дополняет действующую с 1981 года конвенцию №108, предоставляя правовые механизмы защиты персональных данных, в том числе при их трансграничной передаче. В этом случае конвенция сможет защитить законные интересы субъектов персональных данных в ЕС и в России от транснациональных IT-компаний, которые стремятся распространить правила обработки персональных данных, принятые в их «домашней» юрисдикции, на страны, где они ведут бизнес.

В преамбуле новой редакции конвенции содержится призыв учитывать диверсификацию, интенсификацию и глобализацию обработки данных и потоков персональных данных, право человека контролировать персональные данные и их обработку («принцип личной автономии»).

Определение обработки данных охватывает более широкий комплекс операций с персональными данными по сравнению с действующей конвенцией, включая их сбор, обеспечение сохранности, извлечение, обнародование, доступность и удаление.

Вводятся понятия «контролёр», «получатель» и «лицо, осуществляющее обработку данных».

Положения конвенции распространяются на обработку персональных данных в рамках национальных юрисдикций для всех физических лиц независимо от их гражданства или местожительства, включая иностранных лиц, лиц без гражданства и иных субъектов данных, обратившихся в компетентные органы государства-участника конвенции за защитой своих персональных данных.

В сферу применения конвенции входит обработка данных в государственных и частных сферах, однако конвенция не распространяется на обработку данных, осуществляемую физическим лицом для сугубо личных или бытовых надобностей.

Вопросы обработки персональных данных, относящихся к сведениям, составляющим государственную тайну, фактически выведены за скобки новой редакции конвенции по настоянию РФ.

Конвенция допускает исключения и ограничения по такой категории данных (статья 11) в случаях защиты национальной безопасности, обороны, общественной безопасности, общественных интересов, важных экономических и финансовых интересов государства, обеспечения беспристрастности и независимости судебной власти, предотвращения, расследования и наказания преступлений, исполнения наказания по уголовным делам, а также для защиты субъекта данных или прав и основных свобод других лиц.

Вопросы, связанные с государственной тайной, не будут рассматриваться при мониторинге выполнения конвенции, при осуществлении трансграничной передачи данных и в деятельности предусмотренных конвенцией национальных надзорных органов (в России такая категория данных относится к ведению специальных служб).

В модернизированной конвенции на государства возложены дополнительные обязательства (по сравнению с действующей конвенцией) – обеспечивать обработку данных на основе добровольного, чётко выраженного, информированного и однозначного согласия субъекта данных.

Появляются новые требования в отношении обработки данных в целях архивации в общественных интересах, научных, историко-исследовательских или статистических целях.

Расширен перечень данных, обработка которых отнесена к «специальной категории данных» и может быть осуществлена только в том случае, если законом установлены соответствующие гарантии. Теперь к ним дополнительно отнесены генетические данные, биометрические данные, персональные данные, касающиеся правонарушений, уголовного судопроизводства, а также связанных с ними мер безопасности.

Модернизированная конвенция уполномочивает контролёра своевременно уведомлять компетентный надзорный орган об утечках данных, которые могут привести к серьёзным нарушениям прав и основных свобод субъектов данных.

В вопросе о трансграничной передаче персональных данных в новой редакции конвенции подтверждается положение о том, что государства не должны запрещать или обусловливать выдачей специального разрешения передачу таких данных получателю, находящемуся в юрисдикции другого государства, единственно с целью защиты персональных данных (статья 14).

Однако, учитывая возрастающую угрозу экстерриториального применения законодательства ряда стран, легализующих доступ своих транснациональных компаний и правоохранительных органов к персональным данным граждан других стран (CLOUD Act), государства-члены Совета Европы согласились с предложением РФ отказаться от трансграничной передачи персональных данных, если имеется реальный и серьёзный риск того, что передача данных другому государству или от упомянутого другого государства стране, не являющейся участницей конвенции, приведёт к несоблюдению положений конвенции.

В новой редакции конвенции вводится требование учредить один или несколько надзорных органов, ответственных за её выполнение, с чётким описанием их полномочий.

В частности, надзорные органы уполномочены проводить расследования, выносить решения в отношении нарушений положений конвенции, накладывать административные штрафы, принимать участие в судебном процессе, предоставлять консультации относительно предложений о разработке любых законодательных или административных актов в области обработки персональных данных, рассматривать запросы и жалобы субъектов данных, а также запрещать, приостанавливать или ограничивать трансграничную передачу данных в целях защиты прав и основных свобод субъектов данных.

В своей работе надзорные органы должны быть полностью независимыми и действовать беспристрастно, не запрашивая и не получая указаний, при должном финансировании, позволяющем эффективно выполнять свои функции.

Новшеством повой редакции конвенции стало учреждение комитета сторон – органа, уполномоченного проводить выездные проверки, оценивать степень выполнения конвенции и выносить рекомендации о более эффективной реализации государствами требований конвенции.

Помимо мониторинга в задачи комитета сторон входят вопросы толкования и применения конвенции, внесения поправок и содействия в урегулировании разногласий между государствами.

Комитет сторон конвенции созывается Генеральным секретарём Совета Европы через год после вступления конвенции в силу.

Итоги каждого заседания, которые проводятся не реже одного раза в год, комитет сторон докладывает комитету министров Совета Европы.

Каждое государство назначает в комитет сторон представителя и его заместителя, которые уполномочены голосовать (каждое государство имеет один голос).

Решения по вопросам, относящимся к деятельности комитета сторон (статья 23), принимаются большинством в четыре пятых голосов, а по докладам о выполнении государствами положений конвенции (пункт h статьи 23) – большинством в четыре пятых, включая большинство голосов государств, не являющихся членами организации региональной интеграции (Европейский союз), которая является участницей конвенции.

Такой высокий количественный показатель для голосования (80%) предложен российской стороной для обеспечения равноправного участия всех государств–участников конвенции в принятии решений, без каких-либо попыток блокового голосования со стороны Европейского союза от имени всех своих государств.

Оговорки в отношении конвенции (односторонние заявления принявших конвенцию государств, сделанные с целью оговорить условия, при которых государство не будет соблюдать положения конвенции – ред.) не допускаются.

Для вступления модернизированной конвенции в силу необходимо, чтобы все участники действующей конвенции (51 государство) выразили согласие на обязательность для них протокола, устанавливающего новую редакцию конвенции.

Если в течение пяти лет с даты открытия протокола к подписанию 51 государство его не ратифицирует, то количество государств, требуемое для вступления протокола в силу, будет уменьшено до 38 государств.

Новая редакция конвенции стала результатом совместной работы стран Европы, в ходе которой Россия отстояла принципиальные для себя вопросы взаимодействия с Европейским союзом в сфере защиты персональных данных.

Обеспечены равные права при голосовании государств, а также единые правила для отказа в трансграничной передаче персональных данных в третьи страны. Действие новой редакции конвенции фактически не будет распространяться на обработку персональных данных, содержащих сведения, составляющие государственную тайну.

Документ открывает хорошие перспективы для легитимного международного влияния на страны, произвольно распространяющие действие своего законодательства в сфере персональных данных на весь мир.