Автор рассматривает особенности сбора данных о клиентах со стороны Банка России. Насколько правомерными являются действия Банка России в отношении реализации проекта удаленной аутентификации (запись голоса и образа лица)? (Комментарий в отношении материала «Планы ЦБ по сбору данных россиян потерпели крах» от 06.08.2018. https://lenta.ru/news/2018/08/06/cb_no_result/)
Конвенция о защите физических лиц при автоматизированной обработке персональных данных от 28.01.1981 (CETS № 108, далее Конвенция № 108) устанавливает стандарты защиты данных в сфере автоматизированной обработки персональных данных в публичном и частном секторах. Она предусматривает (статья 8) в качестве дополнительных гарантий для субъекта данных, что любому лицу должна быть предоставлена возможность: знать о существовании автоматизированного файла персональных данных, знать его основные цели, а также название и место обычного проживания или местонахождение контролера файла; получить через разумный промежуток времени и без чрезмерной задержки или чрезмерных расходов подтверждение того, хранятся ли касающиеся его персональные данные в автоматизированном файле данных, а также получить такие данные в доступной для понимания форме; добиваться в случае необходимости исправления или уничтожения таких данных, если они подвергались обработке в нарушение норм внутреннего законодательства, воплощающего основополагающие принципы, изложенные в статьях 5 и 6 Конвенции № 108; прибегать к средствам правовой защиты в случае невыполнения просьбы о подтверждении или в случае необходимости предоставления данных, их изменения или уничтожения, как это предусмотрено в пунктах «b» и «c» статьи 8.
Статья 9 Конвенции № 108 («Изъятия и ограничения») допускает изъятия из положений статей 5, 6 и 8 только в пределах, определенных в данной статье: с целью защиты безопасности государства, общественной безопасности, валютно-кредитных интересов государства или пресечения уголовных преступлений; защиты субъекта данных или прав и свобод других лиц.
Конвенция N 108 была ратифицирована Российской Федерацией 15 мая 2013 г. и вступила в силу в отношении Российской Федерации 1 сентября 2013 г. В документе о ратификации Конвенции № 108, депонированном Российской Федерацией 15 мая 2013 г., содержится следующая оговорка:
Российская Федерация заявляет, что в соответствии с подп. «а» пункта 2 статьи 3 Россия не будет применять Конвенцию к персональным данным, отнесенным к государственной тайне в порядке, установленном законодательством Российской Федерации о государственной тайне; в соответствии с подп. «c» пункта 2 статьи 3 Конвенции Россия будет применять ее к персональным данным, которые не подвергаются автоматизированной обработке, если применение Конвенции соответствует характеру действий, совершаемых с персональными данными без использования средств автоматизации; в соответствии с подп. «a» пункта 2 статьи 9 Конвенции Россия оставляет за собой право устанавливать ограничения права субъекта персональных данных на доступ к персональным данным о себе в целях защиты безопасности государства и общественного порядка.
Рекомендация Комитета министров Совета Европы о защите данных в области телекоммуникационных услуг, принятая 07.02.1995 N R(95)4 в соответствующих частях предусматривает следующее: «Вмешательство публичных органов в содержание коммуникации, включая использование средств прослушивания или записи или иных средств надзора или перехвата коммуникаций, должно осуществляться, только если оно предусмотрено законом и составляет необходимую меру в демократическом обществе в интересах: a) защиты государственной безопасности, общественного порядка, денежных интересов государства или подавления преступлений; b) защиты субъекта данных или прав и свобод других лиц.
В случае вмешательства публичных органов в содержание коммуникации национальное законодательство должно регулировать: a) осуществление права субъекта данных на доступ и исправление; b) при каких обстоятельствах компетентные публичные органы имеют право отказывать в предоставлении информации заинтересованному лицу или откладывать ее предоставление; c) хранение или уничтожение таких данных.
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных), принятый в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, устанавливает принципы и условия обработки персональных данных (глава 2). В силу статьи 5 Закона о персональных данных такая обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей; не допускается обработка персональных данных, несовместимая с целями сбора персональных данных; обработке подлежат только персональные данные, которые отвечают целям их обработки; содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки; обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки (части 2, 4 и 5).
Из системного толкования норм Закона о персональных данных следует, что сбор, обработка, передача, распространение персональных данных возможны только с согласия субъекта персональных данных, при этом согласие должно быть конкретным. Под персональными данными понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (Определение Верховного Суда РФ от 01.08.2017 № 78-КГ17-45).
Исходя из соответствующих положений статьи 24 Конституции РФ сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
Возникает вопрос, насколько действия Банка России будут разумными и пропорциональными в отношении сведений о гражданине (клиенте)?
В первую очередь Банк России не проработал вопрос, который касается технических требований к оборудованию, которое должно быть установлено операторами связи, эти требования не были опубликованы и были недоступны для широкой общественности. Поскольку они (требования) определяют полномочия Банка России (кредитных учреждений) в отношении сбора данных о клиентах, они затрагивают права граждан.
Существует риск того, что система сбора данных (например, с целью защиты национальной безопасности) может умалять или даже уничтожить демократические ценности под предлогом их защиты. Со стороны государства необходимо создание адекватных и эффективных гарантий против превышения полномочий со стороны кредитных учреждений.
На сегодняшний день положения законодательства Российской Федерации о персональных данных не содержат адекватных и эффективных гарантий против произвола и риска превышения полномочий, которые присущи любой системе сбора данных. Российское законодательство, разрешая автоматическое хранение базы данных, недостаточно четко определяет обстоятельства, при которых информация о гражданах будет храниться и уничтожаться. Эффективность средства правовой защиты умаляется отсутствием какого-либо уведомления о передаче данных или адекватного доступа к документам, касающимся передачи данных (Постановление ЕСПЧ от 04.12.2015 по делу «Роман Захаров против Российской Федерации»).
Другими словами, недопустима ситуация, при которой государство, пользуясь неограниченной свободой действий, подвергает людей, находящихся под его юрисдикцией, тотальному сбору информации. Создается опасность, что такой закон может подорвать и даже уничтожить демократию под предлогом ее защиты.
Таким образом, система сбора данных Банком России (отслеживание сообщений, передаваемых по электронным средствам связи и при помощи компьютера, а также осуществление записи любых данных, полученных в результате применения методов сбора данных, могут быть рассмотрены в свете понятия «личная жизнь»), потенциально может охватывать всех жителей Российской Федерации, о чем граждане не будут поставлены в известность, если не будет иметь места какая-либо утечка информации. В этой степени процедура сбора биометрических данных россиян прямо затрагивает всех пользователей. Данную ситуацию можно рассматривать как прямое вмешательство государства в осуществление прав, гарантированных статьей 8 «Право на уважение частной и семейной жизни» Конвенции о защите прав человека и основных свобод» от 04.11.1950 (Постановление ЕСПЧ от 06.09.1978 по делу «Класс и другие против Федеративной Республики Германии»).
Защита персональных данных имеет основополагающее значение для осуществления лицом права на уважение его личной и семейной жизни, гарантированного статьей 8 Конвенции о защите право человека. Соответственно, внутригосударственное законодательство должно предусматривать достаточные гарантии защиты персональных данных от их использования с нарушением гарантий, предоставляемых статьей 8 Конвенции.
Необходимость в таких гарантиях выше тогда, когда речь идет о защите информации личного характера, которая подвергается автоматизированной обработке, и не в последнюю очередь тогда, когда ее используют для своих целей государственные (надзорные) органы (в данном случае Банк России является надзорным органом с возложенными на него государственными функциями).
Внутригосударственное законодательство должно, в частности, обеспечивать, чтобы эти данные являлись достаточными и не чрезмерными для целей их хранения и хранились в форме, позволяющей установить субъектов данных не дольше, чем это требуется для достижения целей хранения этих данных. Кроме того, внутригосударственное законодательство должно предусматривать достаточные гарантии эффективной защиты хранящихся персональных данных от ненадлежащего использования и злоупотреблений.
Особую озабоченность может вызывать опасность стигматизации, т. е. ситуации, когда добросовестные граждане могут оказаться в положении недобросовестных (которые преступили закон) и с ними будут обращаться как с недобросовестными гражданами (Постановление ЕСПЧ от 18.04.2013 по делу «M.K. против Франции»).
В случаях, когда власть, возложенная на орган исполнительной власти, осуществляется тайно, риски произвола очевидны. Поэтому крайне важно иметь четкие, подробные правила для прослушивания телефонных разговоров, особенно когда доступная для использования технология становится все более изощренной.
Вместе с тем в вопросах, затрагивающих основные права, противоречило бы принципу верховенства права, — одному из основных принципов демократического общества, воплощенных в Конвенции — если бы полномочия надзорных органов были выражены в форме неограниченных юридических полномочий. Следовательно, закон должен с достаточной ясностью указывать пределы любого подобного усмотрения, предоставленного компетентным органам, и способы его реализации с учетом законной цели.
По аналогии с методологией Европейского суда, следует выделить целевую группу граждан, чтобы нивелировать риски, связанные с потенциальным получением информации о любом гражданине. Иначе может возникнуть ситуация, когда понятие «лиц, идентифицированных… в качестве определенного круга лиц» в действительности может быть применено к любому лицу и истолковано как подготавливающее основу для получения информации в отношении неограниченного количества граждан.
При поиске данных контента должны применяться повышенные требования к обоснованию и процессуальные гарантии. В противном случае может возникнуть недопустимая ситуация, связанная с неизбирательным широкомасштабным и систематическим сбором персональных данных лиц, зачастую включающих информацию интимного характера.
В Постановлении по объединенным делам Digital Rights Ireland и Seitinger and Others Суд Европейского союза признал недействительной Директиву о хранении данных 2006/24/EC, устанавливающую обязанность поставщиков общедоступных услуг электронной связи или сетей связи общего пользования хранить весь трафик и данные о местоположении на период от шести месяцев до двух лет для обеспечения доступности данных для целей расследования, обнаружения и уголовного преследования за совершение тяжких преступлений, определенных каждым государством-членом в его внутригосударственном законодательстве. По отдельности и в совокупности эти возможности слежения могут позволить государствам сделать очень точные выводы, касающиеся самых интимных моментов частной жизни любого лица. Потенциальная угроза неприкосновенности частной жизни вследствие обязательного неизбирательного и не основанного на подозрениях хранения данных, порождающего у затронутых им лиц ощущение, что их жизнь находится под постоянным контролем, представляет собой нарушение Хартии Европейского союза по правам человека от 12.12.2007.
Спасибо за ваш голос!
Вы уже проголосовали!