Страх персональных данных
Автор: Елена Себякина - консультант, эксперт в области приватности, член RPPA.
Рецензент: Олег Блинов.
22.10.2020
Роскомнадзор, да и все гражданское общество лелеет надежду на признание Российской Федерации юрисдикцией с адекватным режимом защиты персональных данных в соответствии со ст.45(2) GDPR, требующей от стран соблюдения и эффективной защиты прав человека. На этом фоне участившиеся в последние годы тяжбы в ЕСПЧ по вопросам возможного нарушения ст. 8 Европейской конвенции по правам человека «Право на уважение частной и семейной жизни» эту надежду не слишком подкрепляют [с 2003 года по этой статье рассмотрено 724 дела по искам граждан к России, из которых 23 было рассмотрено в 2020 году (делаем скидку на пандемию), более 40 в 2019 году и более 50 в 2018 году].
Доктринальный вакуум
Вместе с нарушителями ст. 8 Европейской конвенции по правам человека, забивают мяч в свои ворота и те, кто не считает номер телефона, автомобиля, социальных карт и прочих объектов-принадлежностей человека — персональными данными. В частности, московские региональные власти отказываются признавать персональные данные-идентификаторы персональными данными: «Обращаем внимание на то, что номера телефонов, транспортных карт и государственных регистрационных знаков автомобилей без указания Ф.И.О. или иных сведений, позволяющих установить личность конкретного гражданина, не являются персональными данными», — заявили в пресс-службе Департамента информационных технологий города Москвы. Предлагается презюмировать, что это якобы некие номера, неких предметов, не имеющих отношения к выделению их владельца из некоего множества лиц.
Тем не менее, номер — это самый популярный атрибут для поиска и обнаружения в любой картотеке: от библиотеки до ЕГРЮЛ, от kad.arbitr до кассовой системы 1С в магазине.
Помимо того, что указанное мнение об «имперсонализме» номеров противоречит нормам закона [поскольку номера объектов или живых существ, связанных с человеком, являются персональными данными, а именно: информацией, косвенно определяющей этого человека] и лишает граждан прав на реализацию их прав из законодательства о защите персональных данных, оно также обнаруживает проблему доктринального вакуума в праве приватности. Точнее отсутствие права приватности как систематизированной отрасли права, по крайней мере в России.
За редкими исключениями в виде комментариев Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ), а также прикладных трудов в области трудового, информационного права, и других узкоспециальных работ, право приватности не получило официального названия и пока не было облечено в учебник. У практикующих юристов не так много авторитетных источников российской доктрины для выработки своих подходов к насущным вопросам.
Рецепция права => рецепция доктрины?
В Европейском союзе сформировалась обширная и детальная доктрина по праву приватности. Учитывая дословное заимствование некоторых концепций из европейской Конвенции 108, российский закон о персональных данных, будучи потомком, может смело быть истолкован в соответствии с мнениями, позициями и руководствами, принятыми в развитие своего прародителя – европейского права приватности.
Во-первых, эти концепции развивались и совершенствовались около 30 лет. Во-вторых, они не противоречат российскому законодательству, если концепции были рецепированы без изменений, как, например, концепция персональных данных.
В-третьих, Директивой 95/46/EC была создана Рабочая группа 29, призванная изучать действие Директивы и давать консультации, заключения и рекомендации. В состав группы входили главы независимых органов по защите персональных данных каждой страны ЕС, Европейский супервайзер по защите персональных данных и все члены Европейской комиссии (экспертный орган законодательной ветви власти ЕС, формируемый на основании компетенции и независимости кандидатов).
В-четвертых, независимость контролирующих органов в области защиты персональных данных закрепляется и проходит красной нитью по европейскому праву приватности, начиная с Хартии основных прав ЕС и Договора о функционировании Европейского союза.
Таким образом, видится допустимым использование в качестве источника для российской доктрины—европейской доктрины, учитывая ее универсальность, и при непротиворечии местному законодательству.
На кого надеяться?
Когда толкованием закона занимается коллегиальный орган, включающий в себя независимых экспертов и представителей всех стран-участниц, в том числе, занимающихся правоприменением, мы вполне можем рассчитывать на их здоровую мотивацию при анализе практических кейсов и судебной практики. Мы можем ожидать свободного принятия решений и неангажированности их точки зрения. Лоббирование интересов бизнеса в Рабочей группе недопустимо, что наглядно подтверждалось непопулярными, но справедливыми с точки зрения защиты прав и свобод, подходами. Разъяснения и толкования Рабочей группы стали источником права для GDPR.
Сейчас Рабочую группу 29 заменил Европейский совет по защите данных, принципами деятельности которого являются: независимость и беспристрастность, честность, прозрачность, эффективность, модернизация и проактивность. А одной из основных задач Совета является разработка руководящих принципов, рекомендаций и передового опыта для применения и разъяснения закона.
Ввиду заимствования концепций права приватности из ЕС, европейская доктрина права приватности может и должна лечь в основу российской доктрины. Иные подходы и толкования российских (=европейских) концепций приватности будут попросту входить в противоречие с российским законодательством, что мы явным образом и наблюдаем в толкованиях российского надзорного органа, которые порой даются в полном отрыве от подходов права-прародителя.
Могут ли субъекты персональных данных доверять органу исполнительной власти по защите прав субъектов персональных данных, который не только не является независимым, но для которого деятельность по защите субъектов персональных данных не является единственной и профильной? Мог ли такой надзорный орган за 12 лет своего существования сформировать доктрину, если разъяснения не являются его основной функцией, а являются правом?
Можно ли рассчитывать на независимость и защиту контролирующего органа, который посчитал обоснованными лишь 7,6% из 25 768 жалоб, полученных от субъектов в 2019 году, а остальные 92,4% необоснованными? Для сравнения: в казино шансы, что выпадет семерка в кости, почти в два раза выше (0,16), чем шансы субъекта на защиту его конституционных прав (0,076).
Персональные данные или Бабайка: что страшнее?
Давайте разберемся, чьи интересы защищает позиция непризнания номера телефона или email персональными данными, и чья жизнь от этого становится безопаснее: а) субъекта, который лишается правовой защиты по 152-ФЗ и теряет контроль над распространением своих данных [а значит, риски его информационной безопасности растут по экспоненте]; или б) операторов, не желающих исполнять требования закона 152-ФЗ, считая их обременительными для себя?
Ответ очевиден: оператору такая позиция выгодна и в разное время лобби удается убедить в ее правильности исполнительную власть и вывести определенные обработки персональных данных из-под действия 152-ФЗ. Только вот субъекты от такого подхода, к сожалению, защищеннее не становятся, о чем свидетельствует рост жалоб и запросов, поступающих в надзорный орган.
Что приводят в качестве аргумента адепты «имперсонализма» в области приватности: “если мы все подряд будем признавать персональными данными, страну ждет экономический коллапс!”
То есть исполнение требований закона неизбежно приведет к краху экономики. Можно ли поподробнее узнать какие именно «разорительные» расходы ждут компанию, которая все же признает обрабатываемые данные – персональными? Список не полный, но скорее всего, расходы будут такими: увеличение штата сотрудников в офисе информационной безопасности и в офисе защиты персональных данных, обучение сотрудников, внедрение нового и доработка имеющегося программного обеспечения, принятие мер защиты информации, составление и ведение документации, коммуникации с клиентами и пользователями, внедрение программы приватности.
Обычно, компания, которая обрабатывает только данные о своих сотрудниках, уже несет большую часть из указанных расходов. Если у оператора больше субъектов, то такие расходы пойдут в конечном счете на создание новых рабочих мест, вклад в отечественную IT индустрию, развитие интерфейсов и инфраструктуры самой компании, улучшение имиджа компании, повышение ее клиентоориентированности, вклад в развитие отечественной культуры приватности.
Таким образом, отказываясь считать персональные данные персональными, а себя операторами персональных данных, компании и надзорный орган не только противоречат закону, но и лишают бизнес развития, а внутреннюю экономику страны—роста. Надежда на признание российской юрисдикции местом с адекватным режимом защиты персональных данных при такой мотивации меркнет.
Зато этот подход очень выгоден для конечных бенефициаров операторов. Вот кто на самом деле боится персональных данных. И этот страх деструктивен для всех.
Кто пугает бенефициаров и топ-менеджмент персональными данными?
В компаниях, где подход к развитию не проактивный (жить), а реакционный (выживать), выработка подходов к исполнению законодательства происходит под влиянием сложного комплекса факторов: бюджет, прибыль, штрафы, издержки, расходы, ресурсы, репутация, планы, характер CEO, уровень культуры топ-менеджеров компании и так далее. В результате чего, применение законодательства происходит не в соответствии с идеей и посылом законодателя, а в соответствии с интересами собственников бизнеса.
Эндогенность права – это искаженное правоприменение вследствие интерпретаций [сделанных юристами, комплаенс офицерами, менеджерами, собственниками, акционерами, судьями, надзорными органами], нацеленных, прежде всего, на снижение издержек и санкций для компаний, вопреки исходной воле законодателя, направленной, как правило, на уравновешивание интересов слабых участников отношений с интересами сильных, на защиту прав и свобод человека (рекомендую к прочтению Privacy Law's False Promise by Ari Ezra Waldman, Professor of Law and Computer Science, Princeton University).
Законодательство толкуется, обсуждается, применяется армией консультантов, комплаенс-офицеров, аудиторов, риск-менеджеров, адвокатов. Многие из них ставят форму выше содержания, чтобы адаптировать закон и облечь его в удобную для менеджмента компании форму. Обычно менеджмент и собственники компании спускают по компании задачу экономии расходов и минимального выполнения лишь необходимых требований закона. Зачастую, это приводит к символическому соответствию с единственной целью, минимизации риска для компании, строительству “юридических потемкинских деревень”, обкладыванию компании тоннами бумаг и чек-листов, далеких от духа и цели закона. Судьи и контролирующие органы под давлением адвокатов и лобби принимают такую видимость за приемлемый способ соответствия, в отсутствие альтернативных примеров правоприменения.
Таким образом, сами юристы и консультанты пугают бизнес персональными данными, поскольку вынуждены выбирать в работе так называемый риск-ориентрованный подход, который не приводит компании к полному соответствию, а лишь помогает избежать санкций за его нарушение.
На какое-то время…
Громкие судебные дела последних лет, связанные с защитой персональных данных, демонстрируют тягу даже крупных глобальных компаний к символическому соответствию, которое рано или поздно разбивается о реальные нарушения прав субъектов и требований законодательства. Предпочтение карточных домиков реальной приватности стОит компаниям баснословных штрафов, групповых исков (class actions), судебных издержек, глобальных репутационных потерь, падения котировок, снижения инвестиционной и клиентской привлекательности.
Может быть построить программу приватности согласно духу закона и разумным ожиданиям субъектов было бы дешевле? Почему бы не собрать фокус-группу субъектов персональных данных и не учесть их опасения и пожелания при выстраивании процессов и систем?
Откуда ноги растут?
К сожалению, заимствование развитых и проверенных практик из европейских источников идет не так быстро, как хотелось бы. При этом многие страны мира решили последовать примеру ЕС и принять схожее с европейским законодательство о защите персональных данных, внедрив свободный обмен данными, отменив обязанность уведомлять контролирующие органы (эффективность для защиты прав субъектов не доказана), повысив контроль субъекта над своими данными, внедрив систему подотчетности и открытости оператора, предоставив компаниям новые законные основания обработки, например, легитимный интерес, публичный интерес, публичное здоровье.
Отсутствие в 152-ФЗ таких механизмов эффективной работы с персональными данными, их неполноценный перенос вынуждают участников правоотношений прибегать к противозаконным логическим уловкам. В частности, квалификация номера паспорта гражданина в качестве не персональных данных, а в качестве номера бланка. Либо квалификация номера мобильного телефона как номера устройства, телефонного аппарата, а не как персональных данных, косвенно определяющих субъекта персональных данных.
Все это следствие нехватки правовых оснований для усложнившихся современных типов обработок, которые компаниям по-прежнему приходится легализовывать путем получения согласия. При этом согласие в ЕС уже уступило первенство популярных оснований новым законным основаниям — более мобильным, более легким в использовании.
Как только российское законодательство будет гармонизировано с мировыми трендами, или хотя бы позаимствует недостающие концепции для ускорения оборота данных, — страх персональных данных неизбежно утихнет.
План по преодолению страха персональных данных:
1. Компания принимает решение жить, а не выживать. Когда бизнес строится в соответствии с духом права и лучшими практиками, вытекающими из принципов справедливости и разумности. Создает желаемую среду для себя и своих клиентов, становится авангардом и примером для других. Не тратит ресурсы на бесконечное реагирование и подстройку к изменчивым внешним факторам и мнению регулятора, а извлекает выгоды из позиционирования как эмпатичный, заботливый и справедливый оператор. Действует на опережение, соответствуя не только законодательству, но и ожиданиям субъектов персональных данных и регуляторов.
2. Компания внедряет менеджмент приватности и занимает на рынке проактивную позицию в политике защиты прав и свобод граждан.
3. Для внедрения новых оснований от законодательной власти потребуется доработка и дополнение оснований (больше свободы операторам), которые уравновешиваются дополнениями законодательства по расширению прав субъектов, внедрению дополнительной подотчетности и открытости операторов, приоритизации прав и свобод субъектов персональных данных.
4. Операторы и регулятор отказываются от старой парадигмы приватности как противостояния субъектов и операторов. Вместо этого внедряют новую концепцию приватности: как доверительных отношений субъекта и оператора. Подробнее об этой концепции в следующей статье.
Заключение
Попытки признать какие-либо данные не персональными лишь на основании их содержания — не только неправомерны, но и тщетны. Поскольку содержание данных еще не делает их персональными, а их обладателя оператором. Квалифицирующим критерием для персональных данных является намерение и возможность обладателя данных принимать решения в отношении определенных или определяемых субъектов, влиять на их поведение, права и свободы.
Профессионалы в области приватности разрываются между защитой прав субъектов персональных данных и необходимостью корпорации получать прибыль. Они – слуги двух господ: прав субъектов и своего менеджмента. Говоря «нет» второму слишком часто, они рискуют потерять доверие бизнеса или работу.
Выход видится в трех глобальных усовершенствованиях: 1) профильный независимый орган или организация, объединяющая экспертов в области приватности, выпускает разъяснения и рекомендации по правоприменению, которые можно было бы использовать в качестве аргументов против символического соответствия и в пользу реальной защиты прав субъектов персональных данных; 2) выведение роли ответственных за организацию обработки персональных данных в организациях на уровень Совета директоров, приравнивание их по уровню независимости и полномочий к внутреннему аудитору, риск-менеджеру или комплаенс-офицеру; 3) для устранения дисбаланса сил между гражданами и государственными органами/корпорациями, создание в качестве противовеса независимого супервайзера приватности с полномочиями надзора и контроля соблюдения прав и свобод граждан при обработке их персональных данных государственными органами и госкомпаниями, а также с функцией толкования права и выпуска разъяснений.