CC BY
60
ИНТЕГРАЦИОННОЕ ПРАВО
М. С. Крылова*
Особенности правовой охраны персональных данных несовершеннолетних в сфере электронной связи в Европейском Союзе
Аннотация. В статье рассмотрены особенности правовой охраны персональных данных несовершеннолетних в сфере электронной связи в Европейском Союзе. Обоснованы причины целесообразности введения дифференцированных правил в отношении несовершеннолетних в контексте реализации права на охрану персональных данных. Кроме того, в статье проанализированы положения вступившего в силу в мае 2018 г. Регламента (ЕС) 2016/679 о защите физических лиц при обработке персональных данных и о свободном движении таких данных, отражены его новации, коснувшиеся условий применения к несовершеннолетним концепции осознанного согласия на обработку и мер верификации возраста субъектов данных, в том числе при оказании услуг в сфере электронной связи.
Ключевые слова: защита прав несовершеннолетних, право на охрану персональных данных, обработка персональных данных, Европейский Союз, сфера электронной связи, согласие на обработку, верификация возраста.
001: 10.17803/1994-1471.2019.100.3.194-199
Несовершеннолетние — категория физических лиц, на которую в полном объеме распространяется весь диапазон прав человека. Однако представляется рациональным выделение детей в отдельную группу, если речь идет о таких правах и свободах человека, при реализации которых несовершеннолетние лица нуждаются в большей степени защиты, чем
взрослые. К подобным правам можно отнести, в частности, право на охрану персональных данных.
Европейские статистические исследования показывают, что среди молодежи в возрасте от 16 до 24 лет 96 % являются постоянными пользователями сети Интернет1. В то же время из общего количества пользователей сети Ин-
1 Eurostat statistics explained. Internet access and use statistics — households and individuals // URL: http:// ec.europa.eu/eurostat/statistics-explained/index.php?title=Archive:Internet_access_and_use_statistics_-_ households_and_individuals (дата обращения: 26.06.2018).
© Крылова М. С., 2019
* Крылова Мария Сергеевна, соискатель кафедры интеграционного и европейского права Московского государственного юридического университета имени О.Е. Кутафина (МГЮА) mariya.s.krylova@gmail.com
125993, Россия, г. Москва, ул. Садовая-Кудринская, д. 9
тернет около 30 % — это дети в возрасте до 18 лет2. Таким образом, в силу закономерностей развития современного общества процент несовершеннолетних, интегрированных в сетевую среду, с каждым годом возрастает (как и степень их интегрированности) и, соответственно, увеличивается количество персональных данных, субъектами которых они являются.
Для процесса поступательной цифровизации общественных отношений характерно, что подавляющее количество информации обрабатывается с использованием цифровых технологий. В основном к нарушениям при обработке персональных данных в сфере электронной связи относятся: обеспечение недостаточной безопасности информации, ее нецелевое использование, неправомерная передача данных третьим лицам, отсутствие достаточной прозрачности и информирования субъекта данных о действиях с его персональной информацией и т.д. Широкий диапазон и специфика нарушений при обработке информации (свойственных для виртуальной среды) обусловливают необходимость с особым вниманием отнестись к построению эффективной модели правового регулирования в данной области.
Защита прав детей является одной из задач, которые ставит перед собой Европейский Союз (далее — ЕС)3. Положение о содействии Союза охране прав ребенка наряду с обеспечением
в целом защиты прав человека было добавлено в Договор о Европейском Союзе в 2007 г. Лиссабонским договором4. Он же интегрировал Хартию ЕС об основных правах5 (далее — Хартия) в систему источников первичного права ЕС, вследствие чего приобрел юридическую силу диапазон прав, установленный Хартией, в том числе и право на охрану персональных данных.
Таким образом, при реализации в ЕС права на охрану персональных данных в отношении несовершеннолетних нужно рассматривать его в контексте ст. 24 Хартии, которая устанавливает, что «во всех действиях, которые совершают публичные власти или частные учреждения по отношению к детям, первостепенное внимание должно придаваться обеспечению высших интересов ребенка»6. В частности, данная норма трактуется как необходимость создания особых условий в отношении несовершеннолетних при регулировании вопросов обработки персональных данных7. На это также указывает Европейская стратегия по формированию лучшего Интернета для детей8, утвержденная Европейской комиссией в 2012 г.
Ранее в актах вторичного права ЕС, регулирующих отношения, возникающие при обработке персональных данных, не были напрямую предусмотрены меры дополнительной защиты прав несовершеннолетних при обработке их личной информации9.
2 См. подробнее: Livingstone S., Carr J., Byrne J. One in Three: Internet Governance and Children's Rights // Commission on Internet Governance Paper Series. 2015. No. 2. Pp. 6—8.
3 Consolidated version of the Treaty on European Union // OJ C 326. 26.10.2012. Pp. 13—390. Art. 3.
4 Treaty of Lisbon amending the Treaty on European Union and the Treaty establishing the European Community // OJ C 306. 17.12.2007. Pp. 1—271.
5 Charter of Fundamental Rights of the European Union // OJ C 326. 26.10.2012. Pp. 391—407.
6 Charter of Fundamental Rights of the European Union // OJ C 326. 26.10.2012. Pp. 391—407. Art. 24.
7 О дифференциации защиты прав совершеннолетних и несовершеннолетних в области обработки персональных данных см. подробнее: Savirimuthu J. Networked Children, Commercial Profiling and the EU Data Protection Reform Agenda: In the Child's Best Interests? // Ingi Iusmen, Helen Stalford (eds.) The EU as a Children's Rights Actor, Law, Policy and Structural Dimensions. Opladen. Berlin, Toronto : Barbara Budrich Publishers, 2016. Pp. 221—224.
8 Communication from the Commission to the European parliament, the Council, the European economic and social committee and the Committee of the regions «European Strategy for a Better Internet for Children» // COM/2012/0196 final.
9 Несмотря на отсутствие в Директиве 95/46/ЕС, предшествующей Регламенту 2016/679, четкого указания на необходимость особой защиты несовершеннолетних лиц при обработке персональных данных,
В настоящее время во вступившем в силу в мае 2018 г. Регламенте (ЕС) 2016/679 о защите физических лиц при обработке персональных данных и о свободном движении таких данных10 (далее — Регламент 2016/679) указано, что «дети заслуживают особой защиты в отношении их персональных данных, так как они могут быть менее осведомлены о рисках, последствиях и гарантиях, а также их правах в связи с обработкой персональных данных»11. Помимо включения базового положения о необходимости дополнительной защиты несовершеннолетних, Регламент 2016/679 содержит некоторые новации относительно конкретных механизмов защиты прав детей при обработке их персональных данных.
В ЕС установлен закрытый перечень оснований правомерности12 обработки персональных данных. Ключевым из них выступает наличие согласия субъекта данных на обработку для одной или нескольких конкретных целей13. Применение данного основания к несовершеннолетним конкретизируется в ст. 8 Регламента 2016/679, которая называется «Условия, применимые к согласию ребенка в отношении услуг информационного общества»14.
Дефиниция «услуга информационного общества» для целей Регламента толкуется в соответ-
ствии с п. 1 ст. 1 Директивы ЕС 2015/153515, где приведено понятие услуги как «любой услуги информационного общества, то есть любой услуги, обычно предоставляемой за вознаграждение, на расстоянии, посредством электронных средств и по индивидуальному запросу получателя услуги»16. В европейских исследованиях, посвященных данной проблематике, отмечается, что так как большинство услуг, предоставляемых в информационном обществе, прямо не требуют от пользователей вознаграждения (например, бесплатные социальные сети, он-лайн-игры, развлекательные сайты, сервисы электронной почты и мгновенного обмена сообщениями и т.п.), то положение «обычно предоставляемая за вознаграждение» должно толковаться расширительно»17. В контексте защиты прав ребенка безвозмездность большинства предоставляемых в сети Интернет услуг усложняет получение и подтверждение наличия осознанного согласия несовершеннолетнего на обработку, а также осуществление верификации возраста субъекта данных.
Таким образом, в свете технологических особенностей сферы электронной связи можно отметить, что при установлении правомерности обработки персональных данных несовершеннолетнего в информационно-коммуникацион-
косвенно это предусматривалось в п. 1 ст. 1 Директивы. См. Case C-13/16 Valsts policijas Rigas regiona pärvaldes Kärtibas policijas pärvalde v Rigas pasvaldibas SIA 'Rigas satiksme' // ECLI:EU:C:2017:336.
10 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) // OJ L 119. 04.05.2016. Pp. 1—88.
11 Регламент (ЕС) 2016/679. П. 38 преамбулы.
12 Регламент (ЕС) 2016/679. П. 1 ст. 5.
13 Подробнее о новациях Регламента (ЕС) 2016/679 в отношении согласия несовершеннолетнего на обработку см.: KunerC. The European Commission's Proposed Data Protection Regulation: A Copernican Revolution in European Data Protection Law // Bloomberg BNA Privacy and Security Law Report. 2012. P. 5 ; Voss G. W. One Year and Loads of Data Later, Where Are We? An Update on the Proposed European Union General Data Protection Regulation // Journal of Internet Law. 2013. Vol. 16. № 10. Pp. 15, 20—21.
14 Регламент (ЕС) 2016/679. Ст. 8.
15 Регламент (ЕС) 2016/679. П. 25 ст. 4.
16 Directive (EU) 2015/1535 of the European Parliament and of the Council of 9 September 2015 laying down a procedure for the provision of information in the field of technical regulations and of rules on Information Society services (codification) // OJ L 241/1. 17.09.2015. Pp. 1—15.
17 Macenaite M., Kosta E. Consent for processing children's personal data in the EU: following in US footsteps? // Information & Communications Technology Law. 26.02.2017. Pp. 166—168, 170—175.
ных сетях публичного доступа неизбежно столкновение с определенными обусловленными цифровой средой сложностями, среди которых в качестве основной можно выделить проверку получения согласия субъекта данных на обработку. В Регламенте 2016/679 указано, что «если ребенок еще не достиг возраста 16 лет, то обработка является правомерной, только если согласие было дано или одобрено лицом, обладающим родительской ответственностью в отношении ребенка»18, т.е. обычно родителем или законным представителем19. Государства-члены могут предусмотреть в законодательстве более низкий возраст для этих целей, но не ниже 13 лет20. Следовательно, контроль со стороны родителя или иного законного представителя в сочетании с проверкой регистрационных данных пользователя, а именно — указанного возраста должны обеспечить необходимый уровень защиты личной информации несовершеннолетних, не налагая при этом дополнительные обязанности на контролера данных.
Помимо прочего, когда речь идет о несовершеннолетних, особое значение приобретает способ внешнего выражения условий охраны персональных данных. Необходимо обеспечение доступности для понимания ребенком всех аспектов информации об обработке его персональных данных. Более уязвимое положение в сети Интернет несовершеннолетних по сравнению с взрослыми обусловлено, в частности, не только специфическими, присущими несовершеннолетним поведенческими характеристиками (такими как импульсивность и эмоциональная волатильность)21, но и недоступными для понимания детей в силу их возраста формулировками при информировании субъектов
данных об обработке их персональной информации, а также в некоторых случаях отсутствием осознания детьми (особенно младшего возраста) самого факта обработки персональных данных и связанных с этим угроз.
Требования к форме, предъявляемые к информированию субъекта данных об обработке, являются составным элементом принципа прозрачности. Применительно к указанному принципу в отношении несовершеннолетних установлены дополнительные гарантии: «принимая во внимание, что дети заслуживают особой защиты, любая информация и передача данных, которая имеет отношение к обработке персональных данных ребенка, должна быть выражена таким ясным и простым языком, который будет понятен ребенку»22. «Контролер принимает надлежащие меры для предоставления какой-либо информации... субъекту данных в краткой, прозрачной, понятной и легко доступной форме, используя ясный и простой язык, в частности для любой информации, адресованной конкретно к ребенку»23.
Это требование приобретает особую актуальность в сфере электронной связи, для которой в настоящее время характерно повсеместное использование технологий автоматизированной обработки персональных данных для создания пользовательских профилей (например, в целях распространения таргетированной рекламы). В отношении применения к детям технологий профилирования с использованием персональных данных важным фактором является своевременное информирование несовершеннолетнего в доступной форме о целях обработки, а также обеспечение дополнительных мер защиты24. «Такая особая защита должна, в частно-
18 Регламент (ЕС) 2016/679. П. 1 ст. 8.
19 В некоторых национальных нормативных правовых актах, регулирующих обработку персональных данных, содержатся положения, позволяющие давать согласие на обработку данных несовершеннолетних не только родителем (или законным представителем), но и другими лицами, например близкими родственниками.
20 Регламент (ЕС) 2016/679. П. 1 ст. 8.
21 Macenaite M., Kosta E. Ор. at. Pp. 146—147.
22 Регламент (ЕС) 2016/679. П. 58 преамбулы.
23 Регламент (ЕС) 2016/679. П. 1 ст. 12.
24 Подробнее см. Lievensa E., Verdoodt V. Looking for needles in a haystack: Key issues affecting children's rights in the General Data Protection Regulation // Computer Law & Security Review. 2018. No. 34. Pp. 275—277.
сти, относиться к использованию персональных данных детей для целей маркетинга, создания виртуальной личности или профилирования пользователей»25.
Также в данном контексте важное значение имеет разъяснение субъектам данных информации, которая фактически является расширенной законодателями трактовкой «права на забвение». «Это право относится, в частности, к случаям, когда субъект данных дал согласие на обработку, будучи ребенком, не осознавая в должной мере риски, связанные с обработкой, и в дальнейшем пожелал изъять свои персональные данные, особенно из сети Интернет. Субъект данных должен иметь возможность воспользоваться данным правом, даже учитывая тот факт, что он больше не является ребенком»26.
Современные цифровые технологии открывают перед детьми широкий диапазон возмож-
ностей для общения, обучения, развлечения, а также в целом для поиска любой необходимой информации. В то же время угрозы виртуальной среды порождают иррациональность отождествления несовершеннолетних со взрослыми в контексте правовой охраны персональных данных и необходимость применения особых механизмов защиты прав детей при обработке их персональных данных, в частности в информационно-коммуникационных сетях публичного доступа.
Таким образом, учитывая трансграничность предоставления услуг в сфере электронной связи и тот факт, что дети являются их активными потребителями, в настоящее время особое значение приобретает обеспечение свободного передвижения персональных данных несовершеннолетних лиц при правильном сочетании с необходимыми мерами дополнительной защиты их прав.
БИБЛИОГРАФИЯ
1. Kuner C. The European Commission's Proposed Data Protection Regulation: A Copernican Revolution in European Data Protection Law // Bloomberg BNA Privacy and Security Law Report. — 2012. — Pp. 1—15.
2. Lievensa E., Verdoodt V. Looking for needles in a haystack: Key issues affecting children's rights in the General Data Protection Regulation // Computer Law & Security Abstract. — 2018. — No. 34. — Pp. 269—278.
3. Livingstone S., Carr J., Byrne J. One in Three: Internet Governance and Children's Rights // Commission on Internet Governance Paper Series. — 2015. — No. 2. — Pp. 6—8.
4. Macenaite M., Kosta E. Consent for processing children's personal data in the EU: following in US footsteps? // Information & Communications Technology Law. — 26.02.2017. — Pp. 146—197.
5. Savirimuthu J. Networked Children, Commercial Profiling and the EU Data Protection Reform Agenda: In the Child's Best Interests? // Ingi Iusmen, Helen Stalford (eds.) The EU as a Children's Rights Actor, Law, Policy and Structural Dimensions. — Opladen. Berlin, Toronto : Barbara Budrich Publishers, 2016. — Pp. 221—224.
6. Voss G. W. One Year and Loads of Data Later, Where Are We? An Update on the Proposed European Union General Data Protection Regulation // Journal of Internet Law. — 2013. — Vol. 16. — № 10.
Материал поступил в редакцию 26 июня 2018 г.
25 Регламент (ЕС) 2016/679. П. 38 преамбулы.
26 Регламент (ЕС) 2016/679. П. 65 преамбулы.
PECULIARITIES OF LEGAL PROTECTION OF PERSONAL DATA OF MINORS IN THE FIELD OF ELECTRONIC COMMUNICATION IN THE EUROPEAN UNION
KRYLOVA Maria Sergeevna, PhD candidate of the Department of Integration and European Law
of the Kutafin Moscow State Law University (MSAL)
mariya.s.krylova@gmail.com
125993, Russia, Moscow, ul. Sadovaya-Kudrinskaya, d. 9
Abstract. The paper considers the peculiarities of the legal protection of personal data of minors in the field of electronic communications in the European Union. The reasons for the expediency of introducing differentiated rules for minors in the context of the realization of the right to protection of personal data are substantiated. In addition, the article analyzes the provisions of Regulation (EC) 2016/679 on the protection of individuals in the processing of personal data and on the free movement of such data which entered into force in May 2018. The author reflects its innovations regarding the conditions for applying to the minors the concept of informed consent for processing and measures to verify the age of data, including the provision of services in electronic communications.
Keywords: protection of the rights of minors, right to protection of personal data, processing of personal data, European Union, sphere of electronic communication, consent to processing, verification of age.
