Защита персональных данных в Евросоюзе: анализ судебной практики

Европейская конвенция о защите прав человека и основных свобод (далее - Конвенция) принималась в послевоенные годы, когда еще не было права на защиту данных. Однако с течением времени ЕСПЧ, следуя доктрине "живого организма" (living instrument), обязан был путем интерпретации норм Конвенции ответить на вызовы времени. Статья 8 о праве на уважение частной и семейной жизни служит основной нормой, которая применяется в делах, связанных с вопросами защиты данных. Возможно применение и ст. 13, так как она обеспечивает право каждого на эффективное средство правовой защиты в случае предполагаемого нарушения Конвенции: каждый, кто считает, что нарушено его право на защиту персональных данных, имеет право на средство правовой защиты в национальной правовой системе. 

Суд в Постановлении P.G. and J.H. v. the United Kingdom от 25 января 2001 г. (§ 56 - 59) подчеркнул, что личная жизнь является широким термином, не поддающимся исчерпывающему определению. Так, возможно наличие элементов, касающихся личной жизни человека и отражающих процессы вне его жилища или частных помещений. Люди иногда сознательно или преднамеренно вовлекаются в деятельность, которая регистрируется или может быть опубликована либо представлена в публичной форме. Разумные ожидания человека в отношении конфиденциальности могут быть существенным, хотя и не обязательно убедительным фактором. Суд признал принципы, лежащие в основе защиты данных в соответствии с Конвенцией, в частности право на неприкосновенность частной жизни, подчеркивая, что сбор личных данных, таких как стенограмма телефонных переговоров, фотографии, больничные записи и тканевые материалы, также подпадает под действие права на неприкосновенность частной жизни. 

Суд определил также, что должно быть законное основание для обработки персональных данных, что обработчики должны проявлять осторожность при передаче персональных данных третьим лицам и, где это возможно, персональные данные должны быть удалены, когда они больше не соответствуют цели, для которой были собраны. В деле Kopke v. Germany Суд к названным принципам добавил, что государства - участники Конвенции обязаны установить адекватные правила защиты данных в их национальном законодательстве.

В своей практике Суд исходит из того, что защита персональных данных распространяется на различные формы коммуникации, будь то обычная переписка, телефонные переговоры, переписка по электронной почте, любые сообщения через Интернет, информация, полученная при наблюдении с помощью глобальной системы навигации GPS, электронные письма с рабочего места и информация, полученная при использовании Интернета на рабочем месте, отпечатки пальцев и ДНК, видеозаписи, на которых есть изображения человека. Таким образом, Суд вносит свой вклад в защиту прав человека в цифровую эпоху.

В деле L.H. v. Latvia заявитель предполагал, что сбор его личных медицинских данных государственным агентством - Инспекцией контроля качества медицинской помощи и работоспособности - без его согласия нарушило право на уважение частной жизни. В этом постановлении Суд напомнил о важности защиты медицинских данных и, установив нарушение ст. 8 Конвенции, обратил внимание на то, что примененное право не предусматривало с достаточной ясностью объем усмотрения, предоставленного компетентным органам, а также способ его осуществления. Суд отметил, что право Латвии не ограничивает сферу личных данных, которые могли бы быть собраны указанным агентством. Были собраны медицинские данные о заявителе, относящиеся к семилетнему периоду, причем без разбора и предварительной оценки того, могут ли они иметь потенциально решающее значение и важность для достижения какой-либо цели, которая могла быть достигнута в результате данного расследования (Постановление от 29 апреля 2014 г.).

В деле Klass and Others v. Germany пятеро юристов обжаловали законодательство Германии, позволяющее властям контролировать их переписку и телефонную связь, не обязывая впоследствии информировать их о принимаемых против них мерах. Суд не обнаружил нарушения ст. 8 Конвенции, посчитав, что законодатель оправданно рассматривает вмешательство в осуществление права, гарантированного п. 1 ст. 8 Конвенции, необходимым в демократическом обществе в интересах национальной безопасности и предотвращения беспорядков или преступлений (п. 2 ст. 8 Конвенции). Суд подчеркнул, что полномочия тайного наблюдения за гражданами, характерного для полицейского государства, допускаются в соответствии с Конвенцией только при крайней необходимости для защиты демократических институтов, отметив, что демократическим обществам в настоящее время угрожают изощренные формы шпионажа и терроризма, в результате чего государство должно быть способным эффективно противостоять таким угрозам, осуществлять тайное наблюдение за подрывными элементами, действующими в пределах его юрисдикции. Суд посчитал, что существование соответствующего законодательства с предоставлением полномочий секретного наблюдения за почтой, сообщениями и телекоммуникациями в исключительных условиях было необходимо в интересах национальной безопасности и для предотвращения беспорядков или преступлений (Постановление от 6 сентября 1978 г.).

В деле Malone v. the United Kingdom заявитель жаловался не только на то, что полиция прослушивала его телефонные разговоры, но и на то, что почтамт тайно соединил его телефон с устройством, которое автоматически регистрировало все номера, которые он набирал на своем телефоне, время набора и длительность звонка. Данная информация передавалась полиции. Суд отметил, что использование почтамтом названного устройства в целом было законным для целей предоставления телекоммуникационных услуг и отличается от скрытого перехвата полицией телефонных звонков. Однако Суд одновременно подчеркнул, что наличие права у почтового отделения записывать информацию об использовании заявителем телефона в своих целях не означает, что самой информации не должна быть обеспечена защита по ст. 8 Конвенции (Постановление от 2 августа 1984 г., § 84).

Решение Суда по делу Malone означало переход прецедентного права о наблюдении за коммуникациями на новую ступень развития, указав на необходимость защиты конфиденциальности информации относительно общения лица как неотъемлемого элемента самого сообщения. Такая позиция Суда выгодно отличалась от узкого подхода, принятого за пять лет до него Верховным Судом США в деле Smith v. Maryland (442 US 735 (1979)). В то же время Суд установил, что коммуникационным данным требуется меньшая защита, чем содержанию сообщений, на том основании, что информация о сообщении лица не так чувствительна, как то, что лицо на самом деле говорит и пишет.

Постановление по делу Roman Zakharov v. Russia от 4 декабря 2015 г. касалось системы секретного перехвата сообщений сотовой телефонной связи. Заявитель предполагал, что российские операторы мобильной связи на основании действующих норм могли установить оборудование, позволяющее правоохранительным органам проводить оперативно-розыскные мероприятия при отсутствии достаточных гарантий, разрешающих осуществлять общий перехват сообщений.

Суд пришел к выводу о нарушении ст. 8 Конвенции, поскольку правовые нормы, регулирующие перехват сообщений, не предусматривали адекватных и эффективных гарантий против произвола и риска злоупотреблений, которые были присущи системе тайного наблюдения, предоставляя, в частности, возможности спецслужбам и полиции иметь прямой доступ с использованием технических средств к мобильной телефонной связи. Были отмечены следующие недостатки в правовом отношении: обстоятельства, при которых органы власти имели право прибегнуть к секретным мерам наблюдения; определение длительности таких мер, оснований, при которых они подлежали прекращению; установление процедуры для разрешения проведения перехвата, а также хранения и уничтожения полученных таким образом данных, надзора за выполнением тайного наблюдения. Эффективность средств правовой защиты, доступных для оспаривания перехвата сообщений, была снижена тем, что они были доступны только лицам, которые могли представить доказательства, получение которых было невозможно при отсутствии какой-либо системы уведомлений или доступа к информации о перехвате. Таким образом, Суд особое внимание для формирования прецедента уделил хорошо разработанному им критерию "качество закона".

Постановление Libert v. France от 22 февраля 2018 г. касается увольнения работника французской национальной железнодорожной компании (SNCF) после изъятия его рабочего компьютера, в котором были обнаружены порнографические файлы и поддельные сертификаты, составленные для третьих лиц. Заявитель утверждал, что работодатель открыл его личные файлы, хранящиеся на жестком диске его рабочего компьютера. Суд не нашел нарушения ст. 8 Конвенции, подчеркнув, что в данном деле французские власти действовали в рамках закона (margin of appreciation). Он отметил, что файлы просматривались работодателем с законной целью защиты прав работодателей, которые вправе требовать, чтобы их сотрудники использовали компьютеры, предоставленные в их распоряжение, в соответствии с их договорными обязательствами и применяемыми правилами.

По мнению Суда, французское право содержит механизм защиты конфиденциальности, который хотя и позволяет открывать профессиональные файлы, однако предусматривает ограничения, касающиеся файлов, идентифицированных как личные. Такие файлы возможно открыть в присутствии работника. Национальные суды решили, что указанный механизм не помешал бы работодателю открыть и эти файлы, поскольку они были должным образом определены как частные. Наконец, Суд посчитал, что местные суды должным образом оценили предположение заявителя о нарушении его прав и в их решениях достаточно оснований.

В деле Antovic and Mirkovic v. Montenegro (Постановление от 28 ноября 2017 г.) Суд рассматривал жалобу двух профессоров университета на вмешательство в их частную жизнь путем установления видеонаблюдения в местах их преподавания. Они утверждали, что не осуществлялся эффективный контроль над собранной информацией и само наблюдение велось незаконно. Национальные суды отказали в иске о компенсации на том основании, что вторжение в личную жизнь не установлено, а видеонаблюдение велось только в аудиториях, которые являются публичным пространством. Суд признал, что видеонаблюдение осуществлялось незаконно и нарушило право на частную жизнь. Во-первых, было отвергнуто утверждение правительства о неприемлемости, повторившее по существу позицию национальных судов о публичном пространстве. Как отметил Суд, частная жизнь может включать также профессиональную деятельность, что соответствует требованиям ст. 8 Конвенции. Во-вторых, по мнению Суда, использование камеры наблюдения образует вмешательство в право на неприкосновенность частной жизни и названные действия властей нарушили положения национального права. Последнее никогда не было предметом рассмотрения местных судов, отвергающих саму идею вмешательства в частную жизнь.

В Постановлении по делу Brunet v. France от 18 сентября 2014 г. отмечалось, что заявитель в своей жалобе подчеркивал, что вмешательство в частную жизнь стало результатом внесения его имени в полицейскую базу данных (система обработки зарегистрированных правонарушений - STIC), содержащих информацию из отчетов о расследовании с указанием лиц, причастных к делу, потерпевших, и после прекращения уголовного дела против него. Суд посчитал, что государство в нарушение ст. 8 Конвенции вышло за пределы усмотрения: хранение может быть рассмотрено в качестве непропорционального нарушения права заявителя на частную жизнь и не было необходимым в демократическом обществе; заявитель не имел реальной возможности добиться удаления из базы данных информации относительно себя, длительность хранения которой в течение 20 лет может быть воспринята как хранение если не на неопределенный срок, то по крайней мере в качестве нормы.

Дело Leander v. Sweden (Постановление от 23 марта 1987 г.) касалось использования секретного досье полиции при найме заявителя в качестве столяра. Он временно работал в военно-морском музее в г. Карлскроне рядом с запретной зоной и долгое время жаловался на хранение данных, связанных с его профсоюзной деятельностью, что, как он полагал, привело к его отстранению от работы. По мнению заявителя, ничто в личном или политическом отношении не может рассматриваться как дающее основание для его регистрации в отделе безопасности как лица, представляющего "угрозу безопасности".

Суд пришел к выводу о ненарушении требований ст. 8 Конвенции, отметив, в частности, что хранение секретного реестра и выдача информации относительно частной жизни лица подпадает под действие ст. 8 Конвенции. В демократическом обществе, по мнению Суда, существование разведывательных служб и хранение данных может быть законным и преобладать над интересами граждан при условии, что оно преследует законные цели: предупреждение беспорядков или преступлений либо защита национальной безопасности. В данном деле Суд установил, что гарантии, содержащиеся в системе личного контроля в Швеции, соответствуют требованиям ст. 8 Конвенции и правительство Швеции имело право руководствоваться принципом преобладания интересов национальной безопасности над личными интересами заявителя.

Нельзя не отметить дело Maximillian Schrems v. Data Protection Comissioner (Постановление Суда ЕС от 6 октября 2015 г.). Суд ЕС лишил законной силы так называемое соглашение между Европейской комиссией и Соединенными Штатами Америки о "безопасной гавани" (Safe Harbor), передаче данных между двумя сторонами Атлантики. Заявитель - австрийский юрист, который сначала обращался с жалобой к властям Ирландии и затем в Суд ЕС, чтобы передача его личных данных была объявлена незаконной. Трансграничный трафик цифровых данных уже давно является фундаментальным инструментом в торговых отношениях между Европой и Америкой. В целях реализации Директивы 95/46/ЕС, разрешающей передачу данных из ЕС, компании США ратифицировали соглашение о "безопасной гавани" (принятие принципов защиты конфиденциальности, предусмотренных в европейском праве). 

Суд ЕС в вышеуказанном Постановлении в итоге признал это решение недействительным, указав, что оно "не может помешать лицам, чьи личные данные были или могут быть переданы в третью страну, подать в национальные надзорные органы иск... о защите прав и свобод в отношении обработки данных" (§ 53). Такой подход усиливает власть национальных органов, которые должны быть способны независимо оценить, соответствует ли Директиве передача личных данных в страну за пределы ЕС. Суд ЕС признал также недействительным решение Комиссии, поскольку правило, "позволяющее государственным органам на обобщенной основе иметь доступ к содержанию электронных сообщений", ставит под угрозу "суть основного права на уважение частной жизни" (§ 94), когда он не предусматривает "какой-либо возможности для лица прибегать к средствам правовой защиты для получения доступа к относящимся к нему личным данным или для исправления или удаления таких данных" (§ 95).

Рассмотренное Судом дело Soro v. Estonia (Постановление от 3 сентября 2015 г.) касается жалобы относительно опубликованной в 2004 г. в государственной газете Эстонии информации о работе заявителя в КГБ в качестве водителя. Суд посчитал это нарушением ст. 8 Конвенции, поскольку данная мера не была пропорциональна преследуемой цели. По мнению Суда, согласно национальному законодательству информация относительно работников бывших специальных служб, включая водителей, была опубликована безотносительно конкретной функции, которую они выполняли.

Рассматриваемая информация в отношении заявителя была опубликована в 2004 г. и без всякой оценки того, представляет ли заявитель какую-либо угрозу. Наконец, хотя Закон о раскрытии информации не налагал никаких ограничений на работу, заявитель согласно его утверждениям был высмеян его коллегами и был вынужден уволиться. Суд отметил, что достигнутый результат тем не менее свидетельствует о том, насколько серьезным оказалось вмешательство в право заявителя на уважение его частной жизни.

Постановление по делу Rotaru v. Romania от 4 мая 2000 г. касается утверждений заявителя о том, что невозможно было опровергнуть неверную информацию, хранящуюся в файле румынской разведывательной службы (RIS). Он был осужден к одному году лишения свободы в 1948 г. за критику коммунистического режима. Суд пришел к выводу о нарушении ст. 8 Конвенции на том основании, что хранение и использование разведслужбой информации о личной жизни заявителя не соответствовало закону. Он также отметил, что публичная информация, относящаяся к сфере частной жизни, может систематически собираться и храниться в файлах, принадлежащих органам власти. Это касается информации, относящейся к прошлому человека. В национальном праве нет положений, определяющих, какой вид информации может быть зарегистрирован, категории людей, в отношении которых могут быть приняты такие меры наблюдения, процедуры сбора и хранения информации, обстоятельства, в которых подобные меры могут быть приняты, или процедуры, которым необходимо следовать. Соответствующий национальный закон не устанавливает ограничений по сроку давности информации или сроку ее хранения. Наконец, не было четкого, подробного положения, касающегося лиц, уполномоченных просматривать файлы, характера самих файлов, процедур и использования полученной таким образом информации.

Суд посчитал, что румынское законодательство не указывает с достаточной ясностью объем и способ применения предоставленного органам государственной власти соответствующего усмотрения. В данном деле Суд определил также нарушение ст. 13 Конвенции, поскольку заявитель не имел возможности оспорить хранение данных или опровергнуть правдивость рассматриваемой информации.

Все эти судебные решения, в конечном итоге, послужили усилению гарантий прав и свобод человека посредством эффективной защиты персональных данных, отвечая одновременно на вызовы времени (каждое — в свою эпоху) путем поддержания надежного баланса между защитой национальной безопасности и общественного порядка, с одной стороны, и соблюдением цифровой конфиденциальности личных данных индивида — с другой.

Публикация подготовлена при поддержке юристов DRC.