4.3 ЕВРОПЕЙСКИЙ ПОДХОД К ЗАЩИТЕ ДАННЫХ В КОНТЕКСТЕ ПАНДЕМИИ

Автор раздела:
Я. Э. Гейн
Время чтения: 8 мин.
Пандемия COVID-19 и вызванное ею ускорение цифрового развития привлекли внимание граждан и властей к защите данных. Разработка стандартов и правил обращения с персональными данными необходима для того, чтобы избежать вторжения в частную жизнь граждан, не допустить нецелевого использования данных и их утечек. Европейское регулирование, основанное на регламенте GDPR, в период пандемии показало себя как взвешенный подход к работе с ПДн.

4.3.1 КОНВЕНЦИЯ 108+ И РЕГЛАМЕНТ GDPR

В 1981 году Совет Европы выпустил Конвенцию о защите физических лиц при автоматизированной обработке персональных данных, известную как Конвенция 108 — «первый обязывающий международный инструмент, защищающий физических лиц от злоупотреблений, которые могут иметь место при сборе и обработке данных, и ставящий задачу регулирования трансграничного потока персональных данных». Документ разъясняет функции и обязанности участников цифровой среды, уделяет особое внимание защите человеческого достоинства и личной автономии при обработке ПДн. Конвенция запрещает обработку чувствительной информации: о расовой принадлежности, здоровье, политических и религиозных взглядах, — если национальное право не обеспечивает надлежащих гарантий защиты этой информации. Также Конвенция дает физическим лицам право знать о факте сбора данных и о содержании собранных данных и в случае необходимости гарантирует возможность внести в них исправления.
Поправки 2018 года ввели более строгие ограничения для сбора данных, расширили понятие чувствительных данных (включив в них генетическую, биометрическую и этническую информацию), обязали организации информировать об утечках данных. Обновленная Конвенция 108+ предполагала более прозрачную обработку данных и в целом расширила права субъекта данных за счет повышения ответственности операторов ПДн. К 2021 году Конвенцию 108+ подписали 55 стран; международный характер делает ее открытой для дальнейшего развития.
Врезка
В России Конвенция вступила в силу в 2013 году, а в октябре 2018 года постоянный представитель России при Совете Европы подписал протокол СДСЕ No 223 об изменениях в Конвенцию. В примечании к договору отмечено, что Россия допускает возможность ограничивать права субъектов данных в случае, если это необходимо для обеспечения государственной безопасности и общественного правопорядка.
Наиболее значимый из европейских документов — Общий регламент защиты персональных данных (General Data Protection Regulation, GDPR). Регламент должен обеспечивать баланс между правами субъектов данных и государственными и коммерческими интересами при использовании ПДн: «Право на защиту персональных данных не является абсолютным; оно должно рассматриваться исходя из его функций в обществе и должно быть уравновешено другими основными правами в соответствии с принципом пропорциональности».
Конференция ООН по торговле и развитию (ЮНКТАД) высоко оценила GDPR, заявив, что он «в настоящее время является примером наиболее комплексного подхода к защите данных» и тем самым может претендовать на роль эталона защиты ПДн.

4.3.2 ЗАЩИТА ДАННЫХ В УСЛОВИЯХ ПАНДЕМИИ

При том что регламент GDPR довольно гибок, во время пандемии европейские страны не рассматривали возможность использования данных о местоположении и передвижении пользователей для ограничения контактов. Подобные приложения реализовали Китай и Израиль, чем вызвали подозрения в передаче данных правоохранительным органам. Основными аргументами против таких приложений были вмешательство в частную жизнь и посягательство на свободы, а также вероятность организации системы массового наблюдения, которая позволяла бы правительствам продолжать сбор конфиденциальной информации сверх необходимости, в том числе после завершения чрезвычайной ситуации (ЧС).
Во время пандемии большинство стран — участниц Евросоюза запустили национальные сервисы (мобильные приложения) для оповещения пользователей в случае контактов с носителями вируса. Приложения устанавливаются добровольно, применяют технологию Bluetooth и не отслеживают местонахождение и передвижение пользователей.
В апреле 2020 года Еврокомиссия выпустила Рекомендацию 2020/518 о наборе технологий и данных для борьбы с кризисом COVID-19. Следует, в частности, предотвращать деанонимизацию и идентификацию лиц посредством соответствующего уровня защиты данных, провести оценку рисков повторной идентификации при сопоставлении анонимизированных данных с другими данными; гарантировать немедленное и необратимое удаление всех случайно собранных и обработанных данных, позволяющих идентифицировать пользователей, ограничить обработку данных целями, указанными выше, и исключить передачу данных третьим лицам.
Европейский совет по защите данных (European Data Protection Board, EDPB) признал, что даже в условиях ЧС должна быть обеспечена защита личных данных, а любые принимаемые меры должны соответствовать общим принципам права. Закон позволяет ограничить права граждан, если эти ограничения соразмерны и действуют только в условиях ЧС.
EDPB подчеркнул, что широкомасштабный мониторинг контактов между физическими лицами является «серьезным вторжением в частную жизнь людей». Поэтому установка приложений должна быть добровольной, а те, кто их не использует, не должны испытывать неудобства.
Директива 2002/58/EC разъясняет, что данные о местоположении могут законно обрабатываться только после того, как были обезличены (анонимизированы). Обезличивание данных не допускает возможности обратного действия, то есть деанонимизации. Тем самым агрегированные статистические данные об использовании приложений для отслеживания контактов, не позволяющие идентифицировать конкретных физических лиц, не считаются личными данными и не подпадают под действие GDPR. Это верно и для агрегированных статистических данных о здоровье.
Врезка
В большинстве случаев сервисы работают децентрализованно без агрегации данных в единую базу. При использовании централизованных решений данные хранят на защищенных серверах национального органа здравоохранения. Схема работы сервиса представлена на рисунке 11.
Мобильные приложения, запущенные для борьбы с пандемией, обрабатывают не только данные о контактах пользователей; они также используют данные тестирования на COVID-19, которые пользователи самостоятельно загружают в приложение. Последние относятся к данным о здоровье, которые Еврокомиссия классифицирует как чувствительную информацию; их использование требует соблюдения особых условий. Согласно ст. 9 GDPR обработка данных о здоровье возможна только при согласии субъекта данных на их обработку для одной или нескольких обозначенных целей.

Рисунок 11. Схема централизованной и децентрализованной моделей цифрового отслеживания контактов

Основные принципы работы мобильных приложений для отслеживания контактов в странах — участницах ЕС (Рекомендация 2020/518) выглядят следующим образом.
  • Добровольность установки и использования приложения; отсутствие негативных последствий для тех, кто отказался от его использования.

  • Минимизация используемых данных: собираются только те данные, которые необходимы для работы сервиса, и не более того.

  • Приложения должны использовать данные о дистанции между пользователями, полученные с помощью технологии Bluetooth (приложение не запрашивает и не использует данные о местоположении, не отслеживает передвижения людей).

  • Данные должны быть защищены с помощью современных методов, включая шифрование.

  • Данные не должны храниться дольше необходимого.

  • Приложения должны быть централизованно деактивированы, как только пандемия закончится.
Регламент GDPR прошел первое серьезное испытание, продемонстрировав, как можно поддерживать баланс между сохранением конфиденциальности и общественными интересами в чрезвычайных обстоятельствах.
Ram N., Gray D. Mass surveillance in the age of COVID-19 // Journal of Law and the Biosciences. V. 7. I. 1. 2020.
What is personal data? // European Commission. 2021.