Право быть забытым

25 января 2012 года Европейская Комиссия предложила проект постановления «О защите [персональных] данных» — General Data Protection Regulation (PDF ^[1]). Документ призван заменить действующую в настоящее время "Директиву о защите данных ^[2]" от 1995 года. Это достаточно знаковый документ, имеющий далеко идущие последствия и непосредственно затрагивающий интересы огромного числа пользователей сети.

Изначально я планировал максимально сжато изложить наиболее важные аспекты ожидаемых изменений, однако позже обнаружил, что не только на хабре, но даже в русскоязычном сегменте сети практически отсутствуют материалы по большинству вопросов, затрагиваемых в документе. Более того, мне показалось, что большинство русскоязычных читателей врядли вообще представляют о чем идет речь, кто действующие лица, каков статус документа, почему и как он появился, какова его дальнейшая судьба. Поэтому я добавил несколько разделов, представляющих собой некое «введение в историю вопроса» и призванных объяснить многие моменты, которые до сих пор с большой вероятностью находятся вне поля зрения русскоязычной аудитории, а также попытался несколько более развернуто рассказать о самом документе.

В результате статья получилась достаточно пространной, но, как мне кажется, и более интересной. Мне очень хотелось дать не сухую выжимку фактов, а показать сам процесс, немного объяснить как работают законодательные механизмы современной Европы, обозначить некоторые тенденции и дать необходимый минимум знаний для размышлений, сравнений и обоснованных выводов.

Что происходит?

Тем, кто не знаком со структурой европейских институтов их документообротом, может быть не совсем понятен статус обсуждаемого документа, равно как и протекающие в недрах европейского бюрократического аппарата процессы. Однако это важно и для понимания некоторых частей этого текста, и для того, чтобы просто установить рамки обсуждения: все ли уже решено? Проявлять бурные эмоции или нет?

Европейская Комиссия — высший орган исполнительной власти ЕС, обладающий практически эксклюзивным правом законодательной инициативы. Предлагаемые Комиссией законодательные акты вносятся на рассмотрение в Европейский Совет и Парламент, а после их утверждения и вступления в силу, Комиссия следит за их исполнением.

Директива — законодательный акт ЕС, который, в общем случае, обязывает все (или отдельные) страны-члены в установленные сроки принять меры для достижения описанных в ней целей, оставляя на усмотрение национальных властей используемые средства и механизмы. Постановления же являются инструментом прямого действия, не предполагают принятия дополнительных законодательных актов государствами-членами и, как правило, обязательны для исполнения всеми странам-членами ЕС.

Таким образом, предлагаемая реформа заменит ныне действующую директиву 95/46/EC от 1995 года [2] и приведет к унификации европейского законодательства в области защиты и обработки персональных данных. В случае принятия документа, он приобретет статус закона и будет являтся обязательным для исполнения на всей территории ЕС. Если не произойдет никаких неожиданностей, документ в его нынешнем виде или с некоторыми изменениями вступит в силу приблизительно в середине 2014 года.

Кто это придумал?

В состав Европейской Комиссии входят 27 Комиссаров (министров), представляющих интересы Европейского Союза. Каждый Комиссар отвечает за определенное направление деятельности и руководит работой соответствующих административных служб, образующих его кабинет. Под руководством Комиссаров и их кабинетов создаются проекты законодательных актов ЕС. Это достаточно протяженный во времени и трудоемкий процесс, во время которого проводятся различные конференции, консультации с национальными и собственными экспертами Европейской Комиссии, опросы общественного мнения, анализ существующих законодательных актов, правоприменительной практики и т.д.

С 2010 года в Европейской Комисии появился пост Комиссара по вопросам юстиции, фундаментальных прав и гражданству. Можно сказать, данный Комиссар является высшим должностным лицом ЕС, курирующим и ответственным за права человека на территории ЕС. С момента введения должности ее занимает Вивиан Рединг ^[3]. Именно госпожа Рединг и является автором предлагаемой реформы.

Who is Mrs. Reding?

Госпожа Вивиан Рединг — известный европейский политик. Родилась в 1951 году в Люксембурге, получила степень доктора в области гуманитарных наук в Сорбонне, возглавляла люксембургский Союз журналистов, была членом люксембургского парламента, а с 1989 в течение десяти лет — европейского. С 1999 года работает в Европейской Комиcсии. Занимала должности Комиссара по вопросам образования, культуры, молодёжи, СМИ и спорта, Комиссара по вопросам информационного общества и СМИ. Как уже упоминалось выше, с 2010 года Вивиан Рединг занимает пост Комиссара по вопросам юстиции, фундаментальных прав и гражданству.

Хотя имя госпожи Рединг может оказаться и незнакомым, уверен, большинство из вас слышали о некоторых позитивных изменениях в европейском правовом поле, котороые произошли при ее участии. Более того, многие инициативы и проекты госпожи Рединг непосредственно касаются и оказывают вляияние на вас, — специалистов, имеющих отношение к IT-сфере.

Именно госпожа Рединг является инициатором и вдохновителем нашумевшего постановления No 717/2007 ^[4], которое на 70% снизило цены на роуминг в переделах ЕС. При участии госпожи Рединг был запущен домен верхнего уровня .eu ^[5], ICANN была выведена ^[6] из-под контроля министерства торговли США и стала более открытой для контороля со стороны мировго сообщества, была принята общеевропейская стратегия развития ^[7] широкополосного доступа к сети Интернет, инвестированы ^[8] занчительные средства в развитие LTE, были освобождены необходимые частоты для беспроводных сервисов 4-го поколения. Именно голосом госпожи Рединг объединенная Европа напомнила ^[9], что основные права такие как презумпция невиновновсти и право на защиту личной жизни, выраженные Европейской Конвенции о защите прав человека и основных свобод, остаются актуальными для Евпропы и по сей день — в эру сети Интернет.

Это всего лишь краткий и далеко не полный список сделанного госпожой Редниг для развития современных технологий и защиты прав граждан объединенной европы (и не только). Если вы впервые слышите о госпоже Рединг и не знакомы с результатами ее работы в качестве Европейского Комиссара, потратьте некоторое время, чтобы узнать об этой замечательной женщине побольше:

— официальная страничка ^[10];
— Digital Europe — a vision for the next 5 years ^[11] — лекция, прочитанная Госпожой Рединг в 2009 году;
— архив пресс-релизов ^[12] за 2010-2012 годы;
— архив пресс-релизов ^[13] за 2004-2009 годы;

Переходя к сути дела

Давайте посмотрим на отдельные эпизоды, происходящего вокруг нас. Не претендуя на полноту картины, так как это совершенно не нужно, просто постмотрим на ряд эпизодов, так или иначе связанных с медиа-корпорациями, и вызвывших бурную и неоднозначную реакцию.

Гугл кардинальным и спорными образом меняет ^[14] свои privacy policies, попадается ^[15] на манипуляциях с «печеньками» в Safari, а позже и в IE ^[16], нелегально собирает данные ^[17] о Wi-Fi точках. Цукреберг в очередной раз делает мессианские заявляения ^[18] о построении «нового более открытого мира» и изменении модели взаимодействия граждан с правительствами. Facebook отказывается ^[19] от privacy policies и вводит «Data use» policies, в соответствии с которыми приложения ваших друзей будут иметь доступ к вашей личной информации, с печеньками у Facebook отношения тоже оказываются весьма нетривиальными ^[20]. Amazon попадает в «шелковый сканадл» ^[21], подаются иски протви Гугла ^[22] и Apple ^[23] о незаконном сборе информации на их устройствах, утекают данные о кредитных картах, личная переписка, базы пользователей с десятков популярных сайтов… Интернет обезумел. Корпорации, кажется, все больше и больше игнорируют интересы отдельных пользователей. Сеть пестрит статьями о происходящем, не утихают споры и жаркие дискуссии. Кто-то за, кто-то против, кто-то защищает медиа-корпорации, кто-то становится параноиком, кому-то вообще все равно.

На этом замечательном пестром фоне, 25 января 2012 года, госпожа Вивиан Рединг выступает с пресс-релизом о новом законопроекте: «Дамы и Господа, мы сделали это! Сегодня Европейская Комиссия приняла постановление об обширной и всесторонней реформе законодательства в области защиты данных».

Ее слова разительно отличаются от самоувернной риторики медиа-корпораций и подводят черту во всех жарких спорах о «правах и обязанностях», различных «открытых обществах» и законности и незаконности определенных действий:

Если вы владете английским, не пожалейте полчаса и посмотрите всю пресс-конференцию. Для тех, у кого нет столько времени или кому сложно воспринимать английскую речь, я сделал выдержку из наиболее важных моментов:

Дамы и Господа, мы сделали это! Сегодня Европейская Комиссия приняла постановление об обширной и всесторонней реформе законодательства в области защиты данных. С помощью этой реформы Европейская Комиссия создаст единый цифровой рынок, доступный и понятный как для компаний, так и для покупателей. Реформа позволит Европе стать более конкурентоспособной и сделает нас законодателем международных станадртов в области современной защиты данных.

В современном мире персональная информация стала валютой единого цифрового рынка, и как любая валюта, она должна быть стабильной и заслуживающей доверия. Только если потребитель будет уверен в том, что его персональные данные надежно защищены, он будет доверять компаниям и государственным учреждениям и пользоваться предлагаемыми ими интерент-сервисами.

Почему назрела необходимость реформы законодательства в этой области? Прежде всего потому, что действующие сейчас правила и законы были приняты в 1995 году, можно сказать, еще до появления Интернета. Сегодня же Интернет, облачные технологии, мобильные устройства позволяют нам получать доступ к данным в любом месте и в любое время. Новые технологии изменили нашу жизнь, создав новый мир потрясающих возможностей, и этот мир должен остаться миром инноваций.

Но, конечно же, с новоыми технологиями появились и новые опасности, прежде всего связанные с потерей контроля над личными данными. Люди взолнованны — согласно нашим данным, 72% процента граждан ЕС обеспокоены возможностью злоупотреблений, связанных с использованием их личных данных. Их беспокоит, что компании могут без разрешения передавать персональные данные другим компаниям. Это мешает людям чувствовать себя свободно, мешает давать информацию о себе и приобретать товары и сервисы в сети.

Кроме того, мы знаем, что множество пользователей, в особенности дети и подростки не осознают и не понимают существующие политики безопасности [сайтов], когда создают профиль в одной из социальных сетей и не осознают, что их истрия поиска может быть использована третьими сторонами.

Таковы в общих чертах причины беспокойства отдельных пользователей. Однако у компаний тоже есть причины для недовольства. Компании сталкиваются с огромным числом различных, иногда даже противоречивых требований в области защиты персональных данных, что просиходит из-за различий национальных законодательств и из-за отличий в правоприметительной практике национальных государственных органов. Это ведет к «правовой неуверенности» компаний, создает значительные преграды ведению бизнеса, в особенности небольшим компаниям и стартапам, требует ощутимых дополнительных затрат и мешает еропейскому цифровому рынку полностью реализовать свой потенциал.

Что же мы делаем, чтобы решить эти проблемы? Наша реформа устранит излишние административные процедуры и снизит затраты на ведение документации. Будет принят единый дкумент, единая директива, которая даст возможность вести бизнес на едином внутреннем рынке Европейского Союза. Будут приняты единые правила для 27 стран-членов и 500 млн. человек, единые и ясные правила передачи данных внутри транснациональных корпораций и создана единая контролирующая структура, что позволит компаниям ежегодно экнономить около 3.2 млрд. евро.

В то же время реформа гарантирует более высокий уровень защищенности конечным пользователям. Реформа защитит личные данные пользователей и гарантирует, что они будут получать полную и корректную информацию о том, что происходит с их даннными. Мы основываемся на том, что «личные данные принадлежат личности» и предлагаем ряд правил:

1. Прозрачность, — политики безопасности должны быть ясными и написаны понятным и простым языком. Граждане должны знать как обрабатывается их персональная информация.

2. Согласие, — для использования персональных должно быть получено явное и прямое согласие пользователя.

3. Переносимость и мобильность, — персональные данные принадлежат пользовтаелю и он должен иметь возможность забарть свои данные у одного поставщика услуг и передать их другому.

4. Компании и организации будут обязаны в течение 24 часов уведомлять пользователей о возникших проблемах, связанных с безопасностью их личных данных. Также в известность должны быть поставлены надзорные органы.

5. И, наконец, «Право быть забытым». Оно связано с утверждением, что персональные данные принадлежат индивидууму. Если пользователь хочет отказаться от услуг сервиса и забрать свои данные, у него должна быть возможность сделать это. У пользователей появится возможность стереть данные, ранее предоставленные сервису.

Для реализации этих правил необоходимо создать независимую контролирующую организацию. Независимую от полтичиеских и бизнес-структур, хорошо оснащенную технологически, имеющую возможности предлагать возможные решения возникающих проблемных ситуаций и имеющую право налагать санкции.

Дамы и Господа, я обрисовала общие границы строгой и последовательной системы, которая в следующие десятилетия будет внедряться и применяться на территории всех стран-членов Европейского Союза. Это критически важный для обеспечения развития и безопасности Европейского Союза законодательный документ.

Что осталось за кадром

За кадром осталось многое. Наиболее интересное — это влияние реформы на бизнес, отдельные требования для небольших компаний, отличия подхода ЕС и законодательных актов, принимаемых в США, реакция других стран, в частности тех же США, реакция корпораций и прессы, конфликт ЕС и Google, вопросы о цензуре. Публикаций по этим темам огромное количество, но большинство из них на английском языке. К сожалению, очень сложно втиснуть в одну небольшую статью такой гигантский объем информации, касающийся абсолютно разных аспектов реформы, каждый из которых достоин отдельного подробного рассмотрения. Если вам стало интересно, тег Data Protection ^[24] на сайте «Fondation EurActiv PoliTech» можит послужить хорошей стартовой точкой для более детального ознакомления с ситуацией.

Ссылки и источники

1. General Data Protection Regulation Draft (PDF) → ^[1]
2. Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data → ^[2]
3. Wiki: Viviane Reding → ^[25]
4. Viviane Reding, official webpage → ^[10]
5. Video: «Digital Europe — a vision for the next 5 years» — лекция, прочитанная Госпожой Рединг в 2009 году → ^[11]

Автор: lek