Волнение в «безопасной» гавани

Американские компании не обеспечивают адекватной защиты персональных данных – этот, в общем-то, очевидный после разоблачений Сноудена вывод теперь нашел отражение в серьезном юридическом документе Евросоюза. Потенциально это может означать, что американским компаниям Facebook, Microsoft и Google запретят трансграничную передачу данных и обяжут хранить и обрабатывать данные пользователей только в Европе. Хотя, скорее всего, будет достигнут какой-то компромисс, под «честное слово» не наносить вреда.

Европейский суд выпустил 23 сентября 2015 года пресс-релиз, в котором излагается мнение генерального адвоката Европейского суда Ива Бо (Yves Bot) по делу С-362/14 по иску Максимиллиана Шремса. Суть в следующем. Ещё в 2013 году этот австрийский гражданин, который пользовался Facebook с 2008 года, пожаловался ирландскому регулятору (серверы Facebook находятся в Ирландии, и оттуда пересылают данные в США), что в свете разоблачений Сноудена «законодательство и практика США не предоставляют никакой реальной защиты против слежки США в отношении данных, переданных в эту страну».

Жалоба австрийца была отклонена на том основании, что действия Facebook соответствовали ранее утвержденным принципам так называемой «безопасной гавани», они утверждены специальным решением 520/2000/ЕС. Если технологические компании следуют этим принципам, то, согласно этому решению, защита персональных данных пользователей в США признается адекватной.

Принципы «безопасной гавани» требуют, в частности, чтобы участвующими технологическими компаниями была обеспечена:

(а) прозрачность политик конфиденциальности;

(б) включение принципов «безопасной гавани» в политики конфиденциальности;

(в) защиту (enforcement), в том числе обеспечиваемую государственными органами.

По состоянию на 27 ноября 2013 года 3246 компаний, включая Facebook, заявляли о соблюдении ими принципов «безопасной гавани».

Шремс не удовлетворился отказом ирландского регулятора и подал апелляцию в Высокий суд Ирландии, а тот в свою очередь обратился в Европейский суд с запросом.

И вот сейчас в этом деле предано публичной огласке мнение генерального адвоката.

Генеральный адвокат считает, что национальные регуляторы вправе заблокировать трансграничную передачу данных, если признают защиту данных неадекватной. Национальные регуляторы «должны иметь возможность принимать необходимые меры для защиты основных прав, в соответствии с Хартией об основных правах Евросоюза, включая право на защиту частной и семейной жизни и право на защиту персональных данных».

Генеральный адвокат приходит к выводу, что закон и практика США позволяет осуществлять масштабный сбор персональных данных граждан Евросоюза, при котором данные передаются без обеспечения эффективной юридической защиты. Доступ спецслужб США к данным противоречит праву на защиту частной жизни и персональных данных, которые гарантированы Хартией об основных правах ЕС.

То, что граждане Евросоюза лишены возможности высказываться на тему слежки и перехвата данных в США, по мнению генерального адвоката, является нарушением права граждан Евросоюза на получение эффективной компенсации (effective remedy) – оно также установлено упомянутой Хартией.

Не существует никакого органа, который бы осуществлял независимый мониторинг нарушений принципов защиты персональных данных, совершаемых органами власти США, такими как спецслужбы США, в отношении граждан Евросоюза.

Генеральный адвокат предельно жестко формулирует вывод из всего вышесказанного: в связи с выявленными нарушениями основных прав, Еврокомиссия должна признать ранее принятое решение по «безопасной гавани» недействительным, даже несмотря на то, что сейчас ведутся переговоры об устранении ошибок. И если Еврокомиссия вступит в переговоры с США, такие переговоры должны строиться на презумпции, что адекватной защиты персональных данных с США более на существует, и решение от 2000 года о «безопасной гавани» более не соответствует реальностям сегодняшнего дня.

Представляется интересным и важным провести аналогии с отечественным IT-рынком, и регулированием деятельности иностранных компаний. Процессы, которые идут в России, очень сходны с европейскими. Позиции сторон тоже схожи.

В частности, требование о хранении персональных данных в России (Закон о внесении изменений в отдельные законодательные акты РФ, в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях) вызвало волну активного противодействия (лоббирования) со стороны технологических компаний. При этом, в частности, мнение РАЭК (Российской ассоциации электронных коммуникаций) отражающее позицию технологических компаний, базируется на отсылках к Конституции России – дескать, в ней нет ничего противоречащего существующему положению дел с трансграничной передачей данных.

Мнение генерального адвоката европейского суда позволяет сейчас пересмотреть эту тему под другим углом.

Статья 23 Конституции России гласит:

1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.

2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.

Российские граждане, так же, как и граждане Евросоюза, к сожалению, лишены возможности отстаивать свои права в отношении сбора и обработки персональных данных в США.

С проблемами столкнулась недавно и Microsoft – в истории со сбором персональных данных в новой операционной системе Windows 10.

Однако российский регулятор, Роскомнадзор, в результате проверки не нашёл нарушений, сославшись на то, что граждане сами согласились передать свои данные по гражданско-правовому договору.

Теперь Роскомнадзору придётся более серьёзно относиться к подготовке своих заключений, проводить их юридический и технический анализ с учётом европейского прецедента. То, что генеральный адвокат Европейского суда назвал незаконной передачу в США данных пользователей Facebook, должно иметь серьезные последствия для IT-индустрии. Это сигнализирует об отказе европейцев впредь принимать как данность слежку за собой со стороны США.

См. также «Борьба с Google в России: запрягали медленно, поехали быстрее Европы» >>