CC BY
125
О КОНСТИТУЦИОНАЛИЗАЦИИ ПРАВА НА ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ: ИЗ ЗАРУБЕЖНОГО ОПЫТА
В.И. Чехарина, канд. юрид. наук, доцент, ст. науч. сотр., сектор прав человека Институт государства и права Российской академии наук (Россия, г. Москва)
DOI: 10.24411/2500-1000-2020-10299
Аннотация. Исследуются проблемы защиты персональных данных в европейских государствах, анализируется конституционное и иное законодательство о праве на защиту персональных данных. Конституционные права на неприкосновенность частной жизни, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, право на неприкосновенность жилища рассматриваются с точки зрения процесса конституционализации права на защиту персональных данных. В условиях распространения цифровых технологий встают новые вопросы защиты персональных данных, в европейских государствах принимаются единые акты, новый регламент обязательного характера по защите персональных данных. Перспективной является разработка и совершенствование российской модели конституционализации права на защиту персональных данных с учетом анализа эффективного зарубежного опыта и отечественной практики.
Ключевые слова: право на защиту персональных данных, право на неприкосновенность частной жизни, конституционные права, конституционализация, законодательство о защите персональных данных, регламент, европейские государства.
Проблема защиты персональных данных возникла в конце XIX века как один из элементов появившегося в тот момент понятия права на неприкосновенность частной жизни, когда суды сочли неприемлемыми ряд действий по отношению к личности, которые по своей сути нарушали конфиденциальность [1]. Это касалось публикаций, высмеивавших информацию относительно частной жизни индивидуума, наносящую вред репутации по причине использования имени и изображения лица без его согласия. Таким образом, начало формироваться право человека на частную жизнь и конфиденциальность как состояние, в рамках которого человек получает определенную самостоятельность по передаче информации и судебную защиту доброго имени, неприкосновенности переписки, свободы вероисповедания и т.д. [2]. Право человека на частную жизнь постепенно наполняется правовым содержанием, которое с течением времени получает отражение в конституционном регулировании и модификацию в действующем законодательстве. Целью исследования является рассмотрение и анализ конституционного и действующего европейского за-
конодательства относительно права на защиту персональных данных и его консти-туционализации. В данном контексте речь идет о праве на неприкосновенность частной жизни, праве на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений и праве на неприкосновенность жилища, рассматривается содержание этих конституционных прав с точки зрения развития конституционно-правовой защиты персональных данных.
Изменение подходов к правовому регулированию происходило, начиная в 60-х гг. XX века как следствие технологического развития, что обосновывалось также появлением первых компьютеров, когда стало легче собирать, обрабатывать и передавать персональные данные, а субъект этих данных постепенно утрачивал контроль над тем, кто, с какой целью собирает данные и какие его данные обрабатываются. Возник новый тип угрозы для личности и общественных интересов, связанный с неконтролируемым сбором данных. В результате защита персональных данных постепенно образует отдельную систему норм, включая конституционный и межго-
сударственный уровень, а также нормы законодательства различных отраслей права. Целью правового регулирования становится определение условий, на которых происходит обработка персональных данных. Первый закон о защите персональных данных был принят в Земле Гессен (ФРГ) в 1970 г., первым государством, которое приняло соответствующее правовое регулирование стала Швеция (1973 г.). Затем законодательство было принято в ФРГ (1977 г.), Франции, Австрии, Дании, Норвегии (1978 г.), Люксембурге (1979 г.), других странах. К концу десятилетия наличие закона о защите персональных данных становится стандартом в Западной Европе.
Параллельно проходят интеграционные процессы в Европе и принимаются акты (рекомендации, резолюции, директивы) европейских органов по защите персональных данных по отношению к вызовам, главным образом, связанным с появлением и развитием «автоматизированных банков данных». Значимым в этом направлении актом, имеющим конституирующее значение, явилась «Конвенция о защите физических лиц при автоматизированной обработке персональных данных» (заключена в г. Страсбурге 28.01.1981) (вместе с Поправками к Конвенции о защите физических лиц при автоматизированной обработке персональных данных (СДСЕ N 108), вступившими в силу 01.10.1985 г. [3]. Она рассматривается как общеевропейский стандарт в сфере защиты персональных данных на общеевропейском уровне. В документе определено, что персональные данные, касающиеся расовой принадлежности, политических взглядов или религиозных или других убеждений, а также персональные данные, касающиеся здоровья или половой жизни, не могут подвергаться автоматизированной обработке, если внутреннее законодательство не устанавливает соответствующих гарантий. Данная Конвенция является первым обязывающим международным инструментом, защищающим физических лиц от злоупотреблений, которые могут иметь место при сборе и обработке данных, и в то же время ставящим задачу регулировать
трансграничный поток персональных данных. Конвенция не только дает гарантии применительно к сбору и обработке персональных данных, но и устанавливает запреты, когда национальное право не обеспечивает надлежащих гарантий, обработку «чувствительных» данных относительно расовой принадлежности лица, его политических взглядов, здоровья, религии, сексуальной жизни, уголовного прошлого и т.п. Конвенция также дает лицу право знать, что данные о нем собраны, и в случае необходимости иметь возможность их исправить. Ограничения изложенных в Конвенции прав возможны только в случае, когда под угрозой оказываются высшие интересы (т.е. безопасность государства, интересы обороны и т.д.). Конвенция также предписывает определенные ограничения применительно к трансграничным потокам личных данных в те государства, где правовое регулирование не обеспечивает их должной защиты.
В 1995 г. Европейский Парламент и Совет Европейского Союза приняли Директиву 95/46/ЕС о защите физических лиц в отношении обработки персональных данных и свободного обращения этих данных [4]. Директива являлась до 2016 г. основным документам в странах ЕС, регулирующим вопросы обработки персональных данных, включая разрешение споров между странами и судебными органами ЕС. Символическим моментом в 2000 г. становится также включение права на защиту персональных данных в Конвенцию по правам человека (7 декабря 2000 г.) Директива предусматривает более высокие стандарты безопасности и гарантирует более оптимальные механизмы расследования претензий. Таким образом, формируется равномерное правовое пространство защиты персональных данных (вся территории ЕС), где конституирующее значение имеют конвенциональные и директивные положения.
В то же время требования становятся более высокими и нуждаются в появлении нового конституционно-правового регулирования, предусматривающего конкретизацию конституционных норм в области защиты данных. Защита персональных
данных получает развитие в конституционно-правовом регулировании национальных государств. Конституционные основания защиты персональных данных предстают в виде определенных конституционных прав, объектом защиты которых являются в том числе персональные данные. В конституционных актах традиционно речь идет, как правило, о праве на неприкосновенность частной жизни, праве на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений и о праве на неприкосновенность жилища. На понимании персональных данных как объекта защиты указанных прав основываются модели конституционно-правовой защиты персональных данных. Как отмечается в литературе, различается несколько моделей конституционного регулирования права на частную жизнь: конституции государств, где зафиксирована общая норма о праве на неприкосновенность частной жизни, а также закреплено право на неприкосновенность жилища и некоторые другие составляющие права на частную жизнь; конституции, где общая формулировка о праве на неприкосновенность частной жизни в целом отсутствует, но содержатся нормы об отдельных элементах права на частную жизнь: право на неприкосновенность жилища, право на семью, право на защиту информации о частной жизни; конституции, в которых правовому регулированию подвергнута непосредственно частная жизнь (а не ее отдельные элементы, например, неприкосновенность) [5, с. 7]. При этом обращается внимание на то, что та или иная модель находится под влиянием соотношения горизонтальных и вертикальных элементов регулирования. Современная европейская защита неприкосновенности частной жизни берет свое начало в установлении автономии в отношении персональной информации, а точнее в праве на информационное определение, которое признано Федеральным Конституционным Судом Германии в решении по переписи населения в 1983 г. В литературе также утверждается, что различное отношение к защите персональных данных в европейских странах и США базируется на
разных подходах к конституционным правам. Европейские государства, следуя примеру Федерального Конституционного Суда Германии, устанавливают правовые нормы о конфиденциальности и защите данных как принципы с широким охватом защиты, которые приводят к «процедурам балансирования» в отличие от защиты персональных данных в США, основанной на правилах [6].
Практика европейских стран свидетельствует о формировании общих принципиальных и концептуальных подходов к конституционно-правовому регулированию права на защиту персональных данных. Так, в Швейцарии защита конфиденциальности, включая защиту персональных данных была гарантирована и реализована на практике, начиная еще с 1963 г. Кроме того, в 1974 г. она, как многие другие европейские государства, ратифицировала Конвенцию о защите прав человека и основных свобод, в которой в ст. 8 закреплено, в частности, право на уважение частной жизни и что вмешательство в осуществление этого права государственной власти допускается только в соответствии с законом и в исключительных случаях, обусловленных интересами государственной безопасности. Следует также отметить, что Швейцария в 80-х гг. начала разрабатывать идею права на «информационное самоопределение», что происходило, прежде всего, под влиянием судебной практики Федерального Конституционного Суда Германии и его решения от 15 декабря 1983 г. о конституционности закона от 25 марта 1982 г. о переписи населения, в котором было указано, что каждый должен иметь право решать, какие его персональные данные будут переданы, кому они предоставляются и в каких целях используются. В условиях современной обработки защита персональных данных от неограниченного сбора, хранения, использования и их передачи охватывается всеобщим личным правом, предусмотренным абз. 1 ст. 2 Основного закона во взаимосвязи с абз. 1 ст. 1 Основного закона. В этом смысле основное право гарантирует каждому человеку самостоятельно определять возможность раскрытия и использования
его личных данных. Ограничение права на «информационное самоопределение» допустимо лишь при наличии преобладающего общественного интереса. Такое ограничение требует наличия соответствующих конституционных оснований, которые должны удовлетворять требованиям правового государства и ясности норм. Также законодатель при осуществлении правового регулирования должен учитывать принцип соразмерности. Кроме того, он призван принимать организационные и процессуальные меры, направленные на предупреждение нарушения личных прав [7, с. 75]. Конституционный Суд Германии признал, что лишение индивидуума этих прав порождает негативные последствия не только для нее самой, но и для всего демократического общества. Таким образом, самоопределение в отношении собственных персональных данных определялось как основное условие функционирования демократического общества, реализующего идеи свободы и гражданского участия. Отсутствие защиты персональных данных может повлечь негативные последствия и умаление прав, что, в свою очередь, может негативно сказаться на развитии общества в целом.
После периода политической трансформации в странах Восточной Европы также обозначилась тенденция к обеспечению прав на неприкосновенность частной жизни на конституционном уровне в горизонтальных и в вертикальных взаимосвязях государственных органов. Подчеркивалась необходимость признания и закрепления защиты персональных данных на конституционном уровне как необходимого элемента правового государства.
Примером в этом контексте может быть решение Конституционного Трибунала Польши от 24 июня 1997 г. по вопросу банковской тайны, связанным с налоговыми обязательствами, в котором конфиденциальность обосновывалась положениями о демократическом правовом государстве и Конвенцией о защите прав человека и основных свобод и в отношении. В этом решении признается конституционный ранг за правом на конфиденциальность, которое де-юре связано с конституцион-
ным правом на частную жизнь и с принципом верховенства права [8].
Принятый 25 мая 2016 г. и вступивший в силу 25 мая 2018 г. Генеральный регламент ЕС о защите персональных данных (General Data Protection Regulation, GDPR) вносит изменения и усовершенствует принципы, закрепленные в принятой в 1995 г. Директиве о защите персональных данных, которая отменяется [9]. Новый документ имеет целью эффективнее гарантировать право граждан на неприкосновенность частной жизни и обеспечить единообразное действие его норм на европейском пространстве.
Задачи Регламента направлены на стремление к минимализации, точности, ограничению хранения, целостности и конфиденциальности персональных данных, ответственности за их обработку. Важным моментом является то, что Регламент применим к тому, кто обрабатывает данные, а также к тому, кто собирает данные. Тот, кто собирает данные, определяет цель и значение обработки персональных данных, обработчик ответственен за непосредственную обработку данных, но оба несут ответственность за соблюдение норм Регламента.
В то же время, как отмечается в литературе, Регламент предоставляет возможность государствам-членам принимать собственные правила по большому кругу вопросов, в том числе для обработки особых категорий персональных данных (sensitive data), а также устанавливать обстоятельства, при которых обработка особых категорий персональных данных, несмотря на чрезвычайность ситуации и отсутствие согласия субъекта, будет признана правомерной [10].
Предполагается также, что правотворческая деятельность государств-членов будет осуществляться параллельно с правотворческой деятельностью Европейского Парламента и Европейского Совета, обладающими в силу ст. 16 (2) Договора о функционировании Европейского Союза полномочиями устанавливать правила, которые касаются защиты физических лиц в отношении обработки персональных дан-
ных и правил о свободном перемещении общих директив, регламента, иных доку-персональных данных. ментов ЕС, решений Суда ЕС по вопросам
Заключение. В условиях распростра- защиты персональных данных свидетель-нения цифровых технологий преобразуют- ствуют о выработке наиболее общих, еди-ся устоявшиеся государственные и обще- ных принципов в регламентации защиты ственные институты, встают новые вопро- персональных данных. Перспективной с сы о защите идентификации личности в учетом изложенного является разработка и связи с обработкой персональных дан- совершенствование российской модели ных [11]. Конституционно-правовые рам- конституционализации права на защиту ки защиты персональных данных в евро- персональных данных на основе анализа пейских государствах определяются в со- эффективного зарубежного опыта и отече-ответствии с установленными конституци- ственной практики. онными правами. В то же время принятие
Библиографический список
1. Warren S.D., Brandeis L.D. The Right to Privacy // Harvard Law Review. - 1890. - Vol. 4. № 5. - P. 193-220.
2. Bratman B.E. Brandeis and Warren's the Right to Privacy and the Birth of the Right to Privacy // Tennessee Law Review. - 2002. - № 69. - P. 623-651.
3. Конвенция о защите физических лиц при автоматизированной обработке персональных данных. (Заключена в г. Страсбурге 28.01.1981) (вместе с Поправками к Конвенции о защите физических лиц при автоматизированной обработке персональных данных (СДСЕ N 108), позволяющими присоединение европейских сообществ, принятыми Комитетом Министров в Страсбурге 15.06.1999). - [Электронный ресурс]. - Режим доступа: https://www.coe.int/ru/web/conventions/full-list/-/conventions/treaty/223 (дата обращения 10.03.2020).
4. Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data// Official Journal of the European Communities. L 281. 23 November 1995.
5. Кротов А.В. Конституционализация права на частную жизнь в решениях органов конституционного правосудия // Журнал зарубежного законодательства и сравнительного правоведения. - 2018. - №2. - С. 5-14.
6. Tschentscher A. Privacy and Data Protection by Rules Rather than Principles (August 4, 2017). - [Электронный ресурс]. - Режим доступа: http://dx.doi.org/10.2139/ssrn.3013830 (дата обращения 20.03.2020).
7. Избранные решения Федерального Конституционного Суда Германии. - М.: Инфо-тропик Медиа, 2018. - 1028 c.
8. Wyrok Trybunalu Konstytucyjnego z dnia 24 czerwca 1997 r. Sygn. akt K 21/96. Z.U. 1997/2/23.
9. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). OJ L 119, 4.5.2016. P. 1-88.
10. Шебанова Н.А. Охрана персональных данных: опыт Европейского сообщества // Журнал Суда по интеллектуальным правам. - [Электронный ресурс]. - Режим доступа: http://ipcmagazine.ru/legal-issues/personal-data-protection-european-community-experience (дата обращения 20.02.2020).
11. Талапина Э.В. Право и цифровизация: новые вызовы и перспективы // Журнал российского права. - 2018. - №2. - С. 1-13.
ON THE CONSTITUTIONALIZATION OF THE RIGHT TO PROTECTION OF PERSONAL DATA: FROM FOREIGN EXPERIENCE
V.I. Chekharina, Candidate of Law, Associate Professor, Senior Researcher, Human Rights Sector
Institute of State and Law of the Russian Academy of Sciences (Russia, Moscow)
Abstract. The problems of the protection of personal data in European countries are examined, the constitutional and other legislation on the right to protection of personal data is analyzed. The constitutional rights to privacy, the secrecy of correspondence, telephone conversations, postal, telegraph and other communications, the right to inviolability of the home are ex-aminedfrom the point of view of constitutionalization processes of the right to protection ofpersonal data. In the context of the spread of digital technologies, new issues of personal data protection arise, in European states unified acts are adopted, a new regulation of a binding nature for the protection of personal data. Promising is the development and improvement of the Russian model of constitutionalization of the right to protect personal data, taking into account the analysis of effective foreign experience and domestic practice.
Keywords: right to protection of personal data, right to privacy, constitutional rights, constitutionalization, legislation on the protection of personal data, regulations, European states.
