Правовой режим сбора, хранения и защиты персональных данных

СОДЕРЖАНИЕ

Введение

Глава 1. Концепция privacy в философском и правовом дискурсе

1.1. Развитие понятий privacy и защиты личных данных: история и современность

1.2. Развитие концепции защиты личных данных в правовой системе Совета Европы

Глава 2. Основные принципы защиты персональных данных в практике Европейского суда по правам человека

2.1. Персональные данные как составляющая личной жизни в практике ЕСПЧ

2.2. Основные принципы защиты личных данных в практике Европейского суда

Глава 3. Защита данных и публичные интересы государства в области уголовного правосудия и национальной безопасности

3.1. Хранение и использование персональных данных правоохранительными органами и органами национальной безопасности

3.2. Получение персональных данных с использованием методов скрытого наблюдения

Заключение

Библиография

ВВЕДЕНИЕ

Актуальность темы исследования. В условиях информационного общества и бурного роста развития технологий угроза вторжения в осуществления права на неприкосновенность частной жизни выше, чем когда-либо, как со стороны государств, так и со стороны частных лиц и организаций. В различных базах данных и Интернете собирается информация о кредитных историях людей, их медицинские данные, сведения о покупках и телефонных звонках. Способность частных лиц и государственных органов получать доступ к базам данных бесконтрольно или с минимальным уровнем контроля является серьезным вызовом для осуществления права на «информационную приватность».

Современные исследования в области информационного права сосредоточены на поиске баланса между уважением частной жизни и использованием новейших технологий. В результате террористических актов в США 11 сентября 2001 года, недавних терактов в Европе исследования в области права на неприкосновенность частной жизни также фокусируются на том, чтобы сбалансировать «информационную приватность» с необходимостью обеспечения общественной безопасности в эпоху распространения терроризма. Развитие информационно-коммуникационных технологий облегчает доступ государств к персональным данным граждан, использование правоохранительными органами методов скрытого наблюдения и контроль за коммуникациями. В документах ООН и Совета Европы говорится об опасной практике запросов правоохранительных органов в различные корпорации, работающие в сфере IT-технологий (Microsoft, SkyDrive, Google, Yahoo, Facebook и др.) на выдачу персональной информации и данных[1].

Таким образом, концепция защиты персональных данных, стандарты их хранения и распространения постоянно уточняются – и, прежде всего, в прецедентной практике Европейского суда по правам человека (ЕСПЧ).

В соответствии с Конвенцией Совета Европы 1981 года о защите частных лиц в отношении автоматизированной обработки данных личного характера, «данные личного характера» определяются как любая информация, касающаяся определенного или поддающегося определению физического лица («субъекта данных»). Персональные данные могут быть представлены в любой форме – письменные или устные сообщения; изображения; видео; звук; информация в электронном виде; а также образцы тканей человека, поскольку они несут в себе уникальную информацию о ДНК.

Для выстраивания баланса между интересами индивида в области защиты данных и публичными интересами в сфере борьбы с преступностью, обеспечения национальной и общественной безопасности Совет Европы принял несколько правовых документов. Деятельность органов уголовного преследования и органов правосудия часто требует обработки персональных данных. Рекомендация № R (87) 15, принятая Советом Европы в 1987 году, разъясняет сторонам, как эффективно следовать принципам Конвенции №108 в контексте обработки персональных данных правоохранительными органами[2]. Конвенция Совета Европы о киберпреступности (Будапештская конвенция) является обязательным правовым договором в сфере борьбы с преступлениями, совершенными против и с помощью электронных средств.

Цель представленной работы – исследование сущности понятия «персональных данных», а также связанных с ним понятий («личные данные», «информационная приватность»), стандартов правовой защиты личных данных в документах Совета Европы и правового режима сбора и хранения персональных данных в свете правовых позиций Европейского суда по правам человека (ЕСПЧ).

Задачами данного исследования явились:

1. Исследование концепции privacy в философском и правовом дискурсе.
2. Анализ развития правовой концепции защиты личных данных в конвенциях и рекомендациях Совета Европы.
3. Анализ практики Европейского суда по правам человека на предмет интерпретации судом основных принципов защиты персональных данных.
4. Формулирование и описание правовых стандартов защиты персональных данных в судебной практике ЕСПЧ.
5. Анализ практики Европейского суда по правам человека на предмет установления судом справедливого баланса между защитой личных данных и публичными интересами государств в области уголовного правосудия и национальной безопасности.

Объект исследования – правовые документы Совета Европы и судебная практика ЕСПЧ.

Предмет исследования – правовой режим сбора и хранения персональных данных, правовые стандарты защиты данных личного характера.

Методология исследования: диссертация написана с использованием общенаучного диалектического метода познания, метода юридического анализа; исторического, компаративистского, системного методов, метода анализа научных концепций (логического метода).

Информационная база исследования: научная и учебная литература, периодические издания, правовые документы Совета Европы, материалы судебной практики Европейского суда по правам человека, акты законодательства Российской Федерации и зарубежных государств.

Теоретическая основа исследования.

Проблемы правового режима сбора и хранения персональных данных в свете правовых позиций Европейского Суда по правам человека до настоящего времени не являлись предметом самостоятельного исследования в российской правовой науке. Вместе с тем, данная проблематика в смежных сферах затрагивалась в исследованиях следующих отечественных ученых в контексте исследования защиты персональных данных в российском конституционном, уголовном и гражданском праве: Белгородцева Н.Г., Заман Ш.Х., Телина Ю.С., Хуаде А.Х. В зарубежных правовых исследованиях проблема защиты персональных данных затрагивалась в трудах следующих правоведов: Brandeis L., Bygrave L., DeCew J., Gavison R., Prosser W., Regan P., Warren S., Westin A.

Научная новизна исследования. В отечественной правовой доктрине исследование правового режима сбора и хранения персональных данных в свете правовых позиций Европейского Суда по правам человека до настоящего времени не получила глубокой теоретической разработки. Вместе с тем, отдельные аспекты защиты личных данных, в частности, данных биологического характера, клеточного материала и ДНК в свете практики ЕСПЧ, а также правовые стандарты хранения и обработки персональных данных, изложенные в документах Совета Европы, нашли отражение на страницах отечественной юридической печати.

При помощи проведенного автором практического исследования, осуществленного путем анализа правовых позиций Европейского суда по правам человека и документов Совета Европы, посвященных вопросу защиты персональных данных, в настоящей диссертации осуществлена попытка описать особенности правового режима сбора и хранения персональных данных в свете правовых позиций ЕСПЧ, в том числе на стыке конфликтующих в этой сфере интересов частного и публичного характера.

Кроме того, на основании проведенного исследования, автором наряду с понятием «персональные данные» описаны следующие дефиниции: «информационная приватность», «право на информационное определение», которые в отечественной правовой науке исследователями практически не употребляются.

На основе проведенного исследования, на защиту выносятся следующие теоретические положения:

• Понятие «защита личных (персональных) данных» не сводится к обеспечению мер технической безопасности сбора, хранения и обработки данных, то есть к качеству их использования, а понимается как право индивида контролировать все информационные процессы, связанные со сбором и использованием персональных данных, собираемых о нем частными и государственными организациями, а также способы обработки личной информации и ее распространения.
• Европейское право в сфере защиты данных основывается на принципах (справедливая обработка, четкое определение ограничение целей, минимизация данных, качество данных, защита данных), правах (права субъектов данных) и средствах правовой защиты (надзор со стороны независимого органа защиты данных), которые являются конкретным выражением общих принципов «верховенства права», разработанных Европейским судом по правам человека.
• Правовой режим сбора и хранения персональных данных в свете правовых позиций ЕСПЧ подразумевает, что простое хранение информации, относящейся к личной жизни лица, является вмешательством в осуществление его прав по смыслу положений статьи 8 Конвенции. Тем не менее, всякий раз отвечая на вопрос о том, затрагивают ли хранимые властями персональные данные какие-то стороны личной жизни человека, Европейский суд принимает во внимание условия, в которых была получена информация, характер информации и то, каким образом она используется.
• Статья 8 Европейской конвенции не только обязывает государства воздерживаться от действий, нарушающих право на неприкосновенность личной жизни, но и – при определенных обстоятельствах – нести позитивные обязательства для обеспечения эффективного уважения частной и семейной жизни.
• При рассмотрении вопросов хранения и обработки персональных данных правоохранительными органами и органами национальной безопасности ЕСПЧ оценивает соблюдение государствами требований к защите данных, соблюдения прав субъектов данных – в частности, обеспечения доступа к данным, возможности их удаления и корректировки, ограниченный характер хранения данных.
• Современные вызовы в области защиты персональных данных направлены на установление баланса между растущими возможностями информационных технологий, используемыми государствами для защиты публичных интересов в сфере уголовного преследования и национальной безопасности, и индивидуальными интересами каждого в защите личных.

Значение результатов исследования. Предпринятая попытка описать особенности правового режима сбора и хранения персональных данных в свете правовых позиций ЕСПЧ имеет целью не только развитие правовой науки, но и направлена на решение ряда следующих практических задач:

• правового просвещения граждан Российской Федерации, направленного на повышение уровня гарантий защиты прав и свобод человека и гражданина;
• повышения квалификации судей федеральных судов общей юрисдикции, адвокатов, прокурорских работников.

Глава 1. Концепция privacy в философском и правовом дискурсе

1.1. Развитие понятий privacy и защиты личных данных: история и современность

Общим эквивалентом понятия «неприкосновенность частной жизни» и термина «privacy», используемого в международных документах, является заимствованное из латинского языка слово «приватность» в значениях свобода, интимность, секретность, одиночество, собственность, личность, межличностные отношения[3].

Начало концепции приватности положила работа философов Samuel Warren и Louis Brandeis «Право на приватность» (1890)[4], в которой авторы указали на существование «права быть оставленным в покое» (“the right to be let alone”). В работе авторы попытались определить сущность и объем данного права. Фокусируясь в значительной степени на свободе выражения мнения и распространении сведений и фотографий через СМИ, они подчеркнули, что распространение через СМИ сведений личного характера может привести к вторжению в частную жизнь другого. Право на приватность, по мнению авторов, основано на принципе «неприкосновенности личности» (“inviolate personality”), которая является частью «права быть личностью» (“the right to one's personality”).

В 1960 году William Prosser писал о необходимости защищать privacy человека от покушений на четыре разные составляющие его privacy [5]:

• вторжение в уединение человека или в его личные дела;
• публичное раскрытие компрометирующих фактов о частной жизни человека;
• публичное представление человека в ложном свете в глазах общественности;
• использование чьего-либо сходства для указания на другого человека.

Prosser указал на следующие нерешенные вопросы: 1) влечет ли появление в публичном пространстве утрату приватности? 2) могут ли факты, являющиеся частью «публичных данных», сохранять приватность? 3) как существенно влияет на конфиденциальность временной фактор?

Alan Westin определил приватность как возможность субъекта самостоятельно определять, когда, как и в какой степени информация о нем передается другим[6]. William Parent в 1983 году определил конфиденциальность как условие того, что неофициальная, непроверенная или недокументированная информация не может попасть в распоряжение других лиц. Parent определяет приватность как моральную ценность людей, ценящих индивидуальность и свободу[7]. «Персональные данные» он определил как фактическую информацию, которую большинство людей предпочитают не раскрывать (о здоровье, зарплате, сексуальной ориентации). Согласно Parent, персональные данные считаются общедоступными, когда они общеизвестны и нашли отражение в СМИ, судебных документах или других официальных документах. Когда информация закреплена на публичном носителе, она теряет свойство конфиденциальности, соответственно, ее дальнейшее распространение не является вторжением в осуществление права на личную жизнь[8].

Другая группа авторов определяет privacy с точки зрения доступа к информации. Sissela Bok считает, что под неприкосновенностью частной жизни следует понимать защиту от нежелательного доступа к человеку других на физическом и информационном уровнях[9]. Ruth Gavison развивает эту концепцию, утверждая, что «приватность» подразумевает защиту личной жизни от доступа других следующего характера: что другие знают о вас, в какой мере другие имеют к вам физический доступ, в какой мере вы являетесь объектом внимания других[10]. Таким образом, Gavison понимает защиту «частной жизни» как ограничение доступа к личной информации.

Современный исследователь Adam Moore, развивая идеи предшественников, предложил определять privacy через понятие «контроль доступа»[11]. Рассматривая privacy как культурную категорию, Moore полагает, что она является объективной ценностью в жизни человека, поэтому без определенного уровня контроля доступа к собственной жизни он будет испытывать моральные страдания.

В данный момент распространено широкое понимание privacy. Одни авторы подчеркивают, что privacy необходима для развития личности как целенаправленного и самостоятельно действующего актора общественной жизни. Другие полагают, что privacy имеет конкретное наполнение и включает следующие составляющие: а) контроль информации о человеке; б) контроль доступа к человеку в его физическом и психическом воплощении; в) контроль способности человека принимать важные решения, касающиеся его семьи и образа жизни, чтобы иметь возможность для самовыражения и развития[12]. Все три интереса связаны, поскольку потеря любого из них делает человека уязвимым. Позднейшие исследования privacy углубляются в сферу социальных интересов, что связано с растущими возможностями видеонаблюдения за людьми, доступа к содержанию электронных коммуникаций. Развитие информационных технологий заставляет сосредоточиться на проблеме потери privacy в информационную эпоху и способах ее защиты. В частности, Regan пишет: «Неприкосновенность частной жизни является ценностью не только индивидеальной, но и общественной, поскольку каждый нуждаются в определенном уровне privacy и имеет общие представления о ней. Неприкосновенность частной жизни, кроме того, важна для развития демократических ценностей»[13]. (Regan, 1995, 213). В соответствии с современными представлениями о privacy, она является важным регулятором социальных отношений – интимных, семейных, профессиональных, в том числе отношений между врачом и пациентом, юристом или бухгалтером и клиентом, учителем и учеником. Обеспечение неприкосновенности частной жизни защищает социальное взаимодействие на различных уровнях[14].

Таким образом, в современной концепции обеспечение права на неприкосновенность частной жизни (права на приватность) означает установление и соблюдение пределов допустимого вмешательства в частную жизнь.

Пределы допустимого вмешательства бывают:

• физическими: границы между публичным и частным, определяющие пространство, в которое организации, правительства или другие люди не могут вторгаться, включая биометрические данные как «эквиваленте тела» индивида;
• поведенческими: формы деятельности и образ действия, которые индивид имеет право защищать (скрывать) от внимания посторонних (интимность);
• в сфере принятия индивидуальных решений: человек должен быть защищен от вторжения в личную сферу, то есть от давления на него при осуществлении индивидуального выбора (свобода);
• возможностью человека контролировать информацию о себе: решать, когда, как и в каком объеме информация о личности становится известной или сообщается другим[15].

Границы «частного» не абсолютны и в значительной степени зависят от контекста, в рамках которого определяются нормы защиты частной жизни и требования того, что может и должно быть раскрыто публично[16]. Границы информационной «приватности» также подвижны и основаны на желании или нежелании индивида сообщать ту или иную информацию о себе[17].

Информационная составляющая частной жизни (информационная «приватность») включает:

• фактические данные о событиях, связанных с телом человека (факты о болезни лица, составляющие медицинскую тайну; сведения о терапевтическом или хирургическом лечении; фактические данные о смерти и судьбе человеческих останков);
• фактические сведения, затрагивающие семейную жизнь (персональные данные, кроме общедоступных данных гражданского состояния; о фактах рождения; о фактах заключенных браков; о фактах смертей; о секрете материнства и секрете усыновления);
• сведения, затрагивающие сексуальную и эмоциональную сферу личности (факты сексуальной жизни и о чувствах лица; факты существования любовных отношении вне семьи или факты их разрыва);
• сведения о внутренних убеждениях индивида (политические и философские взгляды)[18].

Под правом на «информационную приватность» понимается право индивида контролировать все информационные процессы, связанные со сбором и использованием персональных данных, независимо от того, какая персональная информация собиралась о нем частными и государственными организациями, а также способы обработки личной информации и ее распространения. Определениt privacy индивида как права на контроль использования информации о себе – одна из основных тенденций в современных политических и юридических дискуссиях о защите персональных данных[19].

Понятие «персональные данные» в широком смысле включает факты, сообщения или мнения, связанные с определенным человеком, относительно которых разумно было бы ожидать, что он считает их интимными или конфиденциальными, и, следовательно, не желает предавать их огласке или желает ограничить их обращение. В этом смысле понятие «защита персональных данных» синонимично понятию «информационная приватность» и предполагает право индивида решать, когда, какая и в каком объеме информация о нем может быть сообщена другим. Понятие «персональные данные» в узком смысле включает любые данные или совокупность данных, которые позволяют идентифицировать индивида (фамилия, имя, отчество, образование, профессия)[20]. В отличие от понятия «информационная приватность», понятие «персональные данные» в узком смысле не содержит личной тайны.

В США в этом контексте чаще используется термин privacy. В Европе вследствие преобладания инструментального подхода, как правило, используется понятие «защита персональных данных» (data protection). Вместе с тем существует тенденция определения приватности через термин «приватность данных» (data privacy)[21]. «Приватность данных» определяется через такие категории как невмешательство[22], ограничение доступа[23], контроль информации[24], «чувствительные данные»[25]. В правовой системе Совета Европы и Евросоюза, кроме того, существует особая категория персональных данных – чувствительная информация (sensitive personal data), обращение с которой требует особой правовой регламентации и более строгих мер защиты[26].

По критерию чувствительности, или уязвимости, персональные данные подразделяются на:

• «обычные» персональные данные: их сбор, обработка, использование и передача возможны без специального разрешения в режиме, предписанном национальными законами;
• «чувствительные» персональные данные: их сбор, обработка, использование и передача требуют особых мер защиты и безопасности, специально установленных законом;
• «особо чувствительные» персональные данные: их сбор, обработка, использование и передача либо вообще запрещены законом, либо разрешены только в исключительных случаях с использованием специальных мер защиты и безопасности.

Набор «особо чувствительных» персональных данных может варьироваться в различных странах, но, как правило, к этой категории относятся данные о расовом и этническом происхождении, религиозных верованиях, политических убеждениях, членстве в профессиональных ассоциациях, политических и общественных организациях, состоянии здоровья, особенностях сексуального поведения, криминальном прошлом.

Понятие «защита персональных данных» в европейской концепции не сводится к требованию обеспечения качества и безопасности обработки данных, но понимается шире – как защита права субъекта персональных данных контролировать информацию о себе.

С понятием защиты персональных данных связано понятие «информационной безопасности», под которым понимается обеспечение надежности, целостности и доступности информации и информационных систем посредством защиты их от неавторизованного доступа, разрушения, модификации; защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействии естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры. Термин «информационная безопасность» используется, главным образом, специалистами в сфере ИТ-технологий и в отношении организаций, а также в политическом дискурсе как совокупность мер, предпринимаемых внешними структурами (правительственными или коммерческими), которые могут приводить к нарушениям неприкосновенности частной жизни[27].

В этом контексте право на информационную приватность может ограничиваться и нарушаться с целью обеспечения безопасности индивида и/или общества[28]. В качестве примера вторжения в «право на информационную приватность» можно привести усиление государственных мер по мониторингу интернета и других коммуникации, усиление государственного контроля деятельности операторов связи, расширение возможностей доступа к данным пользователей телекоммуникационных услуг, а именно: установка специализированных устройств по перехвату интернет-трафика; законодательное закрепление обязанности интернет-провайдеров по хранению интернет-трафика в течение длительного времени; отказ от части государственных гарантий по обеспечению приватности и защиты персональных данных; упрощение процедурного порядка доступа представителей силовых структур к персональным данным пользователей.

Таким образом, защита персональных данных не сводится к обеспечению мер технической безопасности сбора, хранения и обработки данных, то есть к качеству их использования. Важной составляющей права на «информационную приватность» является право индивида контролировать использование информации о себе.

1.2. Развитие концепции защиты личных данных в правовой системе Совета Европы

В правовой концепции Совета Европы защита персональных данных является, прежде всего, частью права на уважение частной жизни, закрепленного в статье 8 Европейской конвенции о защите прав человека и основных свобод (ЕКПЧ).

В 1968 г. Парламентская ассамблея Совета Европы обратилась к Комитету мини­стров с Рекомендацией 509, в которой просила рассмотреть вопрос о том, предоставля­ет ли Европейская конвенция и национальные правовые системы госу­дарств-членов достаточную защиту права на частную жизнь в связи с развитием современной науки и технологии. Исследования, проведенные по указанию Коми­тета министров в качестве ответа на данную Рекомендацию, показали, что национальное законодательство в странах не обеспечивает достаточной защиты частной жизни людей и других прав и интересов физических лиц в отноше­нии автоматизированных банков данных. Исходя из данных выводов, Комитет министров принял две резолюции о защите данных: Резолюция (73) 22 устанавливает принципы защиты данных в частном секторе, Резолюция (74) 29 – в общественном сек­торе.

Однако было очевидно, что ввиду различной трактовки концепции «при­ватности» в странах Совета Европы экстерриториальная защита персональных данных не­возможна без формулировки общих принципов защиты данных, которые позволили бы гармони­зировать национальные правовые системы стран-участниц. Парламентская ассамблея Совета Европы рекомендовала Комитету мини­стров в Рекомендации 890 (1980) изучить возможность включения в Конвен­цию о защите прав человека и основных свобод положения о защите личных данных.

В 1981 году страны-члены Совета Европы приняли Конвенцию о защите частных лиц в отношении автоматизированной обработки данных личного характера[29] (далее – Конвенция о защите данных и Конвенция № 108). Конвенция стала первым обязательным для исполнения международным договором о защите персональных данных. Принципы, закрепленные в ней, в дальнейшем легли в основу внутреннего законодательства о защите данных стран-участниц. Договор открыт для подписания странами, входящими и не входящими в состав Со­вета Европы. Положения Конвенции разработаны с учетом: необходимости усиления защиты прав и основных свобод каждого человека, в частности, права на уважение частной жизни; увеличения трансграничного потока персональных данных, подвергающихся ав­томатизированной обработке; обеспечения свободы распространения информации между народами, невзи­рая на границы.

Конвенция 108 дает следующее определение персональных данных: «информация, касающаяся конкретного или могущего быть идентифицированным лица». Документ состоит из трех основных частей: 1) положения материального права в форме основных принципов; 2) специальные нормы в отношении трансграничных потоков данных; 3) механизмы для оказания взаимной помощи и проведения консультаций между сторонами. В основной части договора (Главе II) изложены основополагающие принципы защиты данных. Данные положения исходят из принци­пов, ранее закрепленных в Резолюциях (73) 22 и (74) 29 Комитета министров, и дополнены с учетом последующего развития законодательства в госу­дарствах-членах[30]. В соответствии с Конвенцией, защита данных включает принципы качества дан­ных и права субъекта данных (статьи 5 и 8 Конвенции).

Действие Конвенции распространяется на «личные данные» и «автоматизированную обработку персональных данных» в общественной и частной сферах.

Конвенция постулирует, что трансграничная передача данных может быть ограни­чена, если: (1) защита персональных данных в стране-контрагенте не является «адекват­ной» (статья 12); (2) данные, передаваемые на территорию страны-контрагента, предназначены для передачи транзитом в некую третью страну, не являющуюся участницей Конвенции.

Конвенция о защите данных и Дополнительный протокол к ней открыты для подписания неевропейскими странами. По условиям Конвенции 108 подписавшие и ратифицировавшие ее страны обязуются принять или скорректировать национальные законы таким образом, чтобы они обеспечивали соблюдение на практике изложенных в ней базовых принципов в отношении защиты прав субъектов персональных данных при автома­тической обработке данных. Для обеспечения взаимного сотрудничества и содействия страны-участницы Кон­венции обязаны учредить национальный орган (или органы) по защите данных, к которому можно было бы обращаться за помощью и содействием (статья 13). Консуль­тативный комитет, состоящий из делегатов от государств, подписавших Конвенцию, отвечает за толкование положений Конвенции и за содействие и улучшение их при­менения на практике (статьи 18-20).

В 1992 году Консультативный комитет по Конвенции 108 принял набор типовых дого­ворных положений, которые должны обеспечить защиту персональных данных, а также передаваться публичной или частной организацией из страны, ратифици­ровавшей Конвенцию 108, в страны, которые не приняли меры, обеспечивающие адекватную защиту.

В 2001 году был принят Дополнительный протокол к 108-й Конвенции, который предусматривает:

• учреждение национального надзорного органа, который обязан следить за со­блюдением законодательства в области защиты данных и требовать от не при­соединившихся к Конвенции стран-получателей данных обеспечения адекват­ного уровня их защиты;
• требование ко всем странам-членам СЕ предоставить надзорным органам пол­ную независимость;
• право участников Конвенции принимать законодательные меры по ограниче­нию потоков данных в не присоединившиеся к Конвенции страны и ожидать ана­логичного уровня защиты от страны-участника конвенции в отношении опреде­ленных категорий уязвимых данных.

В 2009 году была подготовлена Мадридская декларация о непри­косновенности личной жизни, в которой содержится призыв к установлению обще­мировых стандартов в области неприкосновенности личной жизни.

В то же время институты Совета Европы продолжа­ют работать над различными аспектами правового регулирования защиты персо­нальных данных на региональном уровне. Результаты этой работы представляются в форме рекомендаций, резолюций и деклараций.

Таким образом, правовая система Совета Европы в области защиты персональных данных является двухуровневой: 1) «базовый» договор – Конвенция 108; 2) секторные инициативы – рекомендации Совета Европы.

В 1976 году Комитет министров учредил специальную проектную группу по защите дан­ных, которая состоит из должностных лиц от всех стран-чле­нов Совета Европы, ответственных за защиту персональных данных в своих странах. Проектная группа контролирует инициативы в области защиты данных и просит Консультативный комитет, действующий согласно положениям Конвенции 108, исследовать конкретные темы, вызывающие озабо­ченность в связи с защитой персональных данных.

Работа проектной группы ведется, в основном, в специализированных ра­бочих подгруппах. В общих собраниях проектной группы и в деятельности Консультативного комитета могут участво­вать представители Европейского со­юза (ЕС), Международной торговой палаты, международных профессиональных и потребительских организаций и наблюдатели от стран, не ратифицировавших Кон­венцию 108. Иногда предложения проектной группы подлежат рассмотрению Руководящей комиссией по правам человека, которая несет общую ответственность за коорди­нацию работы Совета Европы, связанной с Европейской конвенцией о правах че­ловека.

Рекомендации имеют преимущество по отношению к директивам, для введения в действие необходимо их единогласное принятие Комитетом министров, без процедуры подписания и ратификации каждой страной. Рекомендации не являются юридически обязывающими, но адресованы всем странам-членам Совета Европы – независимо от того, является ли страна участницей Конвенции 108 – которые наделены моральным обяза­тельством добросовестно следовать рекомендациям. Рекоменда­ции конкретизируют основополагающие принципы Конвенции 108 и адаптируют их к изменяющимся социально-политическим и технологическим контекстам.

К настоящему времени Комитет министров принял следующие Рекомендации в рамках реализации Конвенции 108: Рекомендация № R(81) 1 (от 23 января 1981 г.) об общих правилах для автома­тизированных банков медицинских данных (в настоящее время пересматрива­ется); Рекомендация № R(83) 10 (от 23 сентября 1983 г.) о персональных данных, ис­пользуемых для научных исследований и статистики (в настоящее время пере­сматривается); Рекомендация № R(86) 1 (от 23 января 1986 г.) о персональных данных, исполь­зуемых для целей социального обеспечения; Рекомендация № R(87) 15 (от 17 сентября 1987 г.). регламентирующая использо­вание персональных данных полицейскими властями; Рекомендация № R(89) 2 (от 18 января 1989 г.) о защите персональных данных, используемых в целях трудоустройства; Рекомендация № R(90) 19 (от 13 сентября 1990 г.) о защите персональных дан­ных, используемых для платежей и связанных с ними операций; Рекомендация № R(91) 10 (от 9 сентября 1991 г.) о сообщении третьим сторонам персональных данных, хранимых общественными организациями; Рекомендация № R(95) 4 о защите персональных данных в области телекомму­никационных услуг, с конкретными ссылками на телефонные услуги; Рекомендация № R(12)4 о защите прав человека в отношении социальных сете­вых сервисов; Рекомендация № R(12) 3 о защите прав человека в отношении в отношении по­исковых систем; Рекомендация № R(10) 13 о защите индивидов в отношении автоматической об­работки данных в контексте профилирования (объединения данных); Рекомендация № R(02) 9 о защите персональных данных, собираемых и обраба­тываемых в целях страхования; Рекомендация № R(99) 5 о защите приватности в интернете; Рекомендация № R(97) 18 о защите персональных данных, собираемых и обра­батываемых в статических целях; Рекомендация № R(97) 5 о защите медицинских данных и ряд других докумен­тов[31].

В 2013 г. была опубликована Декларация Совета министров об опасностях трекиро­вания и цифровой слежки[32].

В марте 2010 г. Комитет министров Совета Европы одобрил идею о реформировании Конвенции 108 и призвал к укреплению механизма наблюдения за реализа­цией ее положений[33]. В настоящее время Комитет министров рассматривает вопрос о дальнейшем развитии действую­щих принципов защиты данных с приведением их в соответствие с текущими реали­ями, уровнем технологического развития и эффективным механизмом реализации.

Наиболее значимым на сегодняшний день результатом международного сотрудничества в сфере борьбы с преступностью, связанной с использованием высоких технологий является Конвенция Совета Европы о киберпреступности (Будапештская конвенция)[34]. Термин «киберпреступность» обозначает любые нарушения закона,  при совершении которых или содействии совершения которых используются электронные средства.

В подготовке текста Конвенции участвовали 43 государства – члена Совета Европы, а также Канада, Япония, Соединенные Штаты и Южная Африка. Конвенция была принята 8 ноября 2001 года и открыта для подписания 23 ноября 2001 года. В Конвенции охватываются вопросы юрисдикции, выдачи, перехвата сообщений, а также формирования и сохранения данных. В ней перечисляются деяния, которые должны быть признаны уголовно наказуемыми согласно национальному законодательству, в том числе: несанкционированный доступ, незаконный перехват данных, нарушение целостности данных, нарушение целостности систем, связанный с использованием компьютеров подлог, связанное с использованием компьютеров мошенничество, пособничество или подстрекательство к совершению этих преступлений. В Конвенции подробно рассматривается механизм налаживания эффективного международного сотрудничества и координации в проведении расследований и уголовного преследования. В частности, стороны должны наделить национальные органы полномочиями производить компьютерный поиск и изымать компьютерные данные. Дополнительный протокол к Будапештской конвенции касается вопросов криминализации пропаганды расизма и ксенофобии в компьютерных сетях.

Конвенция не является инструментом продвижения защиты данных, но устанавливает уголовную ответственность за действия, нарушающие право субъекта данных на защиту данных. Конвенция также обязывает стороны предусмотреть адекватную защиту прав и свобод человека, в том числе гарантированных ЕКПЧ[35].

В 2014 году вышел тематический доклад «Верховенство права в Интернете и в остальном цифровом мире», опубликованный Комиссаром Совета Европы по правам человека. В докладе, прежде всего, декларируется универсальный характер прав человека и их равное соблюдении «онлайн» и «офлайн». Равное соблюдение означает, в частности, что:

• Европейская конвенция о защите прав человека (ЕКПЧ) и правила Совета Европы в области защиты данных применяются ко всем действиям по обработке личных данных всеми органами всех государств-членов Совета Европы, включая органы национальной безопасности и разведки государств-членов;
• Государства не должны использовать договоренности с частными компаниями, которые контролируют Интернет и остальное цифровое пространство, чтобы обойти закрепленные в статье 8 (Право на уважение частной и семейной жизни) и статье 10 (Свобода выражения мнения) ЕКПЧ обязательства по обеспечению верховенства права;
• Государства-члены Совета Европы должны стремиться обеспечивать аналогичное соблюдение неевропейскими государствами их международных обязательств в области прав человека во всех сферах их деятельности, где затрагиваются лица, использующие Интернет, или же иным образом действующие в остальном цифровом пространстве; и
• Государства (и органы государства, включая правоохранительные органы и органы национальной безопасности и разведки), европейские или иные, не должны иметь доступ к данным, хранящимся в другой стране – или же передающимся по Интернет-кабелям и «магистральным» кабелям электронных коммуникаций между странами – без непосредственного согласия соответствующей страны. Исключение составляет наличие ясного и строго ограниченного основания такого доступа в международном праве, при условии, что такой доступ сообразуется с международной защитой данных и соответствует стандартам прав человека.

В докладе рекомендуется государствам-членам, которые не успели этого сделать, должны ратифицировать Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Конвенция 108), поскольку конвенция «если будет широко принята, сможет стать краеугольным камнем верховенства права в Интернете и в остальной цифровой среде» <…>. Государства-члены, ратифицировавшие конвенцию, должны обеспечивать ее полное соблюдение на национальном уровне.

Осуществляемый сейчас пересмотр Конвенции № 108 должен привести не к снижению европейских и всемирных стандартов защиты данных, говорится в докладе, а к уточнению и более эффективному исполнению норм – прежде всего, в отношении Интернета и остальной цифровой среды, а также в отношении применения мер слежения в интересах национальной безопасности и разведки.

Отдельная глава доклада посвящена вопросу соблюдения прав человека – и. в частности, права на защиту персональных данных – частными компаниями. В нем указано на то, что государства-члены должны прекратить делегировать частным компаниям, которые контролируют Интернет и остальную цифровую среду, установление ограничений, нарушающих обязательства государства в области прав человека: «Для этого необходимы дополнительные инструкции, при каких обстоятельствах действия или бездействие частных компаний, нарушающих права человека, влекут за собой ответственность государства. Сюда же можно включить рекомендации о необходимой доле участия государства в правонарушении для наложения на него ответственности, а также об обязательствах государства по приведению условий в частных компаниях в соответствие со стандартами в области прав человека. Ответственность государства в отношении мер, принимаемых частными сторонами по соображениям ведения бизнеса без прямого вовлечения государства, также должна быть рассмотрена» <…>. В докладе говорится о необходимости разработать на основе Руководящих принципов ООН в сфере бизнеса и прав человека ООН (Принципах Рагги) дальнейшие рекомендации об ответственности частных предприятий за их деятельность в Интернете или в остальной цифровой среде. В частности, это необходимо для урегулирования ситуаций, при которых правительства предъявляют компаниям требования, идущие в разрез с международным правом в области прав человека.

В докладе также говорится о растущей угрозе киберпреступности, в связи с чем Конвенция о киберпреступности уже «не может в полной мере обеспечить соблюдение принципов верховенства права». Конвенция требует от государств-сторон уголовного преследования на основании национального законодательства таких действий, как незаконный доступ к компьютерным системам (хакерство), незаконный перехват электронных коммуникаций, распространение вирусов, нарушение авторских прав и производство или распространение детской порнографии. Дополнительный протокол к Конвенции требует от сторон преследовать в уголовном порядке распространение расистских и ксенофобских материалов («разжигание ненависти»). В Конвенции содержится подробное положение о международном сотрудничестве в борьбе с подобными преступлениями, включая оказание правовой помощи в расследовании и сохранении улик, экстрадицию и аналогичные вопросы. Однако в Конвенции отсутствует ясные и детальные положения о правах человека, и поэтому она не обеспечивает достаточную защиту в государствах, материальное право которых использует необоснованно широкие формулировки составов уголовных правонарушений или же не предусматривает обстоятельства, исключающие или смягчающие ответственность (например, гарантии гражданам, которые сообщают о правонарушениях). Конвенция не защищает также от повторного привлечения к уголовной ответственности и не предоставляет гарантий (ни официальных, ни неофициальных) помощи государствам-сторонам в случае, когда это может нарушить права человека. Кроме того, Конвенция не связана с иными важными документами, разработанными Советом Европы для поддержания верховенства права в цифровом и/или транснациональном контексте.

«Такая связь представляется тем более необходимой, учитывая, что Конвенция открыта для государств, не являющихся сторонами ЕКПЧ или не в полной мере принявших соответствующие требования Международного пакта о гражданских и политических правах (например, США в отношении экстерриториальной деятельности или в отношении прав лиц, которые не являются гражданами США и не имеют вида на жительство или политического убежища в США). Для обеспечения верховенства права в Европе, присоединение к Конвенции о киберпреступности должно требовать полного принятия государствами их обязательств на основании ЕКПЧ и/или МПГПП и ратификации Конвенции о защите данных, Европейской конвенции о выдаче и Европейской конвенции о взаимной помощи по уголовным делам».

Наконец, статьи 26 и 32 Конвенции «содействуют тенденции правоохранительных органов прибегать к «неофициальным» средствам по сбору информации, в том числе и заграницей, не предусматривая при этом четких гарантий (например, что такие неофициальные меры не должны использоваться для интрузивного сбора информации, для которого в правовом государстве потребовалось бы судебное постановление). Кроме того, они подкрепляют тенденцию государственных органов «изымать» данные напрямую с серверов в других странах либо требовать, чтобы компании, находящиеся под их юрисдикцией – прежде всего основные гиганты Интернета – делали бы это за них, не прибегая при этом к официальным межгосударственным договоренностям о взаимной правовой помощи и явно нарушая суверенитет тех государств, где находятся эти данные». В докладе подчеркивается необходимость установления равновесия между принципами сохранения защиты данных и применения правоохранительных мер.

Отдельная глава доклада посвящена проблеме выстраивания баланса между защитой «приватности» и интересами национальной безопасности. Обе Конвенции – Европейская конвенция о защите прав человека и Конвенция Совета Европы о защите данных – применимы в отношении любых действий государств-участников конвенций. Несмотря на отсутствие прямого упоминания деятельности в сфере национальной безопасности в тексте названных конвенций, эта сфера напрямую не исключается из области их применения. Необходимость обеспечить верховенство права в деятельности органов национальной безопасности и разведки возникла в связи с разглашением Эдвардом Сноуденом информации о глобальных операциях по слежению со стороны Агентства национальной безопасности США (АНБ), Центра правительственной связи Соединенного Королевства (GCHQ) и, в частности, их партнеров по группе 5EYES (Австралия, Канада и Новая Зеландия). В частности, стало известно, что агентства рутинно прослушивают оптоволоконные кабели высокой емкости, которые образуют основную структуру Интернета, а также перехватывают мобильные и другие переговоры по всему миру и в огромных масштабах, например, осуществляя перехват радиокоммуникаций, используя «черные ходы», созданные ими в основных системах коммуникаций, и эксплуатируя несовершенности в защите этих систем.

В европейском и в международном праве в области прав человека определение объема понятия «национальная безопасность» относится, как правило, к сфере судебного усмотрения: именно суды должны определять – с учетом международного права в области прав человека – что охватывается данным термином. Полезные рекомендации в этой связи изложены в Йоханнесбургских принципах национальной безопасности, свободы выражения мнения и доступа к информации, которые были подготовлены НПО «Статья 19» и поддержаны рядом международных форумов, включая Специального докладчика ООН по свободе слова и выражения мнений. Названные принципы свидетельствуют о том, что государства могут ссылаться на национальную безопасность как на основание для вмешательства в права человека в связи с угрозами самому устройству государства и его основным институтам. Иногда угроза терроризма может достигать названного уровня серьезности, однако в большинстве случаев этим должны заниматься правоохранительные органы, причем не в рамках парадигмы национальной безопасности. То же относится и к действиям государств в сфере Интернета и электронных коммуникаций.

На сегодняшний день отсутствуют четкие договорные правила, регулирующие действия органов национальной безопасности и разведки, а также отсутствует основа их деятельности и обмена данными. Во многих странах не достает четких опубликованных законов, регулирующих работу таких органов. В некоторых странах опубликованные нормы вообще отсутствуют. До тех пор пока не известны правила, на основании которых действуют эти органы и службы – на национальном, экстерриториальном уровне или во взаимодействии друг с другом – их деятельность не может рассматриваться как соответствующая верховенству права. Другой вопрос, вызывающий обеспокоенность – это проявление неэффективности многих систем надзора.

Таким образом, в области национальной безопасности в настоящее время не существует реальной опоры для поддержания верховенства права, хотя и имеются по крайней мере базовые принципы, которые могли бы составить фундамент этой важнейшей части общей конструкции прав человека.

«Учитывая укрепление партнерских связей между правоохранительными органами и органами разведки и безопасности, подобное отрицание верховенства права угрожает распространиться и далее – на сотрудников полиции и прокуроров. В этой связи отсутствие четких правовых рамок, как на национальном, так и на международном уровне, представляет собой дополнительную угрозу верховенству права в Интернете и в глобальной цифровой среде».

В докладе даны рекомендации относительно деятельности государств в сфере национальной безопасности. Так, положения ЕКПЧ и Конвенции № 108 должны быть применимы в отношении любой деятельности государств, являющихся сторонами этих конвенций, в том числе в отношении деятельности органов национальной безопасности и разведки, а именно:

• Для соблюдения верховенства права в Интернете и в остальной цифровой среде:
• государствам должно быть разрешено ссылаться на национальную безопасность в качестве обоснования вмешательства в права человека лишь в вопросах, которые угрожают устройству государства и его основным институтам;
• для осуществления вмешательства, мотивированного предполагаемой угрозой национальной безопасности, государства должны доказать неэффективность обычных средств уголовного права, которое соответствует международным стандартам уголовного права и процесса.

Вышесказанное применимо также к действиям государств в области Интернета и электронных коммуникаций.

• Государства-члены должны установить правовые границы деятельности национальных органов безопасности и разведки. В отсутствие улучшения прозрачности правил, на основании которых действуют данные службы внутри страны, на экстерриториальной основе и/или в сотрудничестве друг с другом – их деятельность не может рассматриваться как соответствующая верховенству права.
• Государства-члены должны также обеспечивать осуществление эффективного демократического надзора над службами национальной безопасности. Для того чтобы демократический надзор был эффективным, необходимо популяризировать культуру соблюдения прав человека и верховенства права, в особенности среди сотрудников служб безопасности.

Таким образом, в современной правовой мысли право на «информационную приватность» и «защита личных (персональных) данных» не сводится к обеспечению мер технической безопасности сбора, хранения и обработки данных, то есть к качеству их использования, а понимается право индивида контролировать все информационные процессы, связанные со сбором и использованием персональных данных, собираемых о нем частными и государственными организациями, а также способы обработки личной информации и ее распространения.

Право на «информационную приватность» как составляющая права на неприкосновенность частной жизни подпадает под защиту статьи 8 Европейской конвенции о защите прав человека и основных свобод, регулируется положениями Конвенции о защите данных, другими конвенциями и рекомендациями Совета Европа.

Последние правовые документы Совета Европы в области защиты персональных данных направлены на регулирование и установление баланса между растущими возможностями информационных технологий, используемыми государствами для защиты публичных интересов в сфере уголовного преследования и национальной безопасности, и индивидуальными интересами каждого в защите личных данных от неправомерного вмешательства со стороны государства и частных лиц.

Глава 2. Основные принципы защиты персональных данных в практике Европейского суда по правам человека

2.1. Персональные данные как составляющая личной жизни в практике ЕСПЧ

Хранение данных личного характера попадает в сферу частной жизни человека, защищенной статьей 8 Европейской конвенции.

Статья 8 устанавливает:

1. Каждый имеет право на уважение его личной и семейной жизни, его жилища и его корреспонденции.
2. Не допускается вмешательство со стороны публичных властей в осуществление этого права, за исключением случаев, когда такое вмешательство предусмотрено законом и необходимо в демократическом обществе в интересах национальной безопасности и общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности или защиты прав и свобод других лиц.

Пункт 1 статьи 8 Конвенции охраняет отдельные, но связанные между собой и потенциально пересекающиеся права, а именно: право на уважение частной жизни; право на уважение семейной жизни; право на уважение жилища; и право на уважение корреспонденции.

В практике Европейского Суда по правам человека понятие «личная жизнь» охватывает физическую и психологическую неприкосновенность личности[36] и включает в себя многочисленные аспекты физической и социальной самоидентификации человека[37]. Такие элементы, как причисление себя к определенному полу, имя, сексуальная ориентация и половая жизнь попадают в личную сферу, охраняемую статьей 8 Конвенции[38]. Помимо имени человека, личная и семейная жизнь может включать в себя иные средства самоидентификации и поддержания связей с семьей[39]. Важным элементом личной жизни может быть информация о состоянии здоровья человека[40], его национальной принадлежности[41]. Помимо этого, статья 8 Конвенции защищает право человека на личностное развитие, а также его право устанавливать и развивать отношения с другими людьми и внешним миром[42]. Понятие личной жизни также включает элементы, относящиеся к праву человека на свое изображение[43].

В решениях по делам Klaas & others v. Germany от 6 сентября 1978 г., Schenk v Switzerland от 12 июля 1988 г., Kruslin v. France от 24 апреля 1990 г. ЕСПЧ указал, что при решении вопроса о допустимом вмешательстве в частную жизнь необходимо соотносить находящиеся в конфликте интересы: публичный интерес в установлении истины по делу и частный интерес в сохранении конфиденциальности личной жизни. Такая позиция подтверждена Европейским судом по правам человека в последующих решениях.

В общем виде условия вмешательства в право на неприкосновенность частной жизни, проводимое без согласия лица, можно сформулировать следующим образом:

• Юридическим основанием для такого ограничения должен быть реальный конфликт частного интереса сохранения тайны неприкосновенности частной жизни и более значимых публичных интересов государственной безопасности, общественной безопасности (общественного спокойствия), экономической безопасности государства (экономического благосостояния страны), предотвращения беспорядков, предотвращения преступлений, охраны здоровья или нравственности, защиты прав и свобод других лиц.
• Вмешательство должно быть необходимым, т.е. в каждом случае должно быть доказано, что без ограничения права на неприкосновенность частной жизни вред защищаемым публичным интересам будет причинен неминуемо.
• Ограничение права на неприкосновенность частной жизни должно быть предусмотрено национальным законом, при этом в национальном законе должны быть четким и исчерпывающим образом указаны основания такого ограничения. Введение ограничения личного права может быть осуществлено только по решению компетентного судебного органа.
• Ограничение права на неприкосновенность частной жизни не может быть абсолютным – оно может осуществляться в течение строго определенного времени, законодательно должны быть установлены меры судебного контроля за данным ограничением.
• Кроме того, Европейский суд по правам человека указал, что вмешательство в частную жизнь допустимо только при наличии процедур, гарантирующих соответствие мер наблюдения установленным законом условиям.

Европейский Суд указал, что защита данных личного характера имеет важнейшее значение для возможности лица осуществлять право на неприкосновенность частной и семейной жизни[44]. Простое хранение информации, относящейся к личной жизни лица, является вмешательством в осуществление его прав по смыслу положений статьи 8 Конвенции: «Сохранение органом публичной власти информации о частной жизни лиц является вмешательством с точки зрения статьи 8. Последующее использование сохраненной информации не меняет этого вывода»[45]. Тем не менее, всякий раз отвечая на вопрос о том, затрагивают ли хранимые властями персональные данные какие-то стороны личной жизни человека, Европейский Суд принимает во внимание условия, в которых была получена информация, характер информации и то, каким образом она используется.

В практике ЕСПЧ рассмотрено множество дел, в которых поднимался вопрос о защите данных, в том числе касающихся перехвата коммуникаций[46], различных форм наблюдения[47], хранения персональных данных органами власти[48]. ЕСПЧ установил, что статья 8 Европейской конвенции не только обязывает государства воздерживаться от действий, нарушающих право на неприкосновенность личной жизни, но и – при определенных обстоятельствах – нести позитивные обязательства для обеспечения эффективного уважения частной и семейной жизни[49].

В соответствии с Конвенцией Совета Европы 1981 года о защите частных лиц в отношении автоматизированной обработки данных личного характера, «данные личного характера» определяются как любая информация, касающаяся определенного или поддающегося определению физического лица («субъекта данных»)[50].

Поскольку право на защиту «личных данных» развилось из права на уважение частной жизни, основными бенефициарами защиты данных являются физические лица. Однако судебная практика ЕСПЧ показывает, как трудно бывает разделить личную и профессиональную жизнь[51]. Более того, согласно правовым позициям ЕСПЧ конвенциальные права гарантируются не только физическим лицам, а каждому. Таким образом, вопрос о том, распространяется ли защита данных только на физических лиц, является дискуссионным. Однако в деле Bernh Larsen Holding AS and Others v. Norway[52] Европейский суд, приняв жалобу юридических лиц о нарушении права на защиту данных, рассмотрел ее с точки зрения нарушения права на уважение жилища и корреспонденции, а не права на защиту данных. Жалоба норвежских компаний касалась обязательства налогового органа предоставить аудиторам копии всех данных с сервера, который компании использовали совместно. ЕСПЧ решил, что такое обязательство является вмешательством в право компаний-заявителей на уважение «жилища» и «корреспонденции» в соответствии со статьи 8 ЕКПЧ. При этом суд пришел к выводу, что налоговые органы представили эффективные и адекватные гарантии против злоупотреблений (о требовании компании были уведомлены заранее; представители компаний присутствовали при ревизии; данные подлежали уничтожению сразу после завершения налоговой проверки). Таким образом, справедливый баланс между правом компаний-заявителей на уважение «жилища» и «корреспонденции» и потребностью в защите персональных данных сотрудников, с одной стороны, и общественным интересом в обеспечении эффективного налогового контроля, с другой стороны, был соблюден. Суд не нашел нарушений.

Конвенция 108 распространяет право на защиту данных на физических лиц, однако страны-участницы договора могут распространить его на юридических лиц, предусмотрев соответствующие гарантии во внутреннем законодательстве.

В соответствии с практикой ЕСПЧ информация содержит персональные данные, если: (1) физическое лицо идентифицируется по имеющейся информации; или (2) лицо обладает признаком «идентифицируемости», то есть может быть идентифицировано с помощью дополнительных данных. Относительно второго критерия Комитет Министров Совета Европы указывал в рекомендациях[53], что человек не может рассматриваться как обладающий признаком «идентифицируемости», если его «узнавание» требует неопределенных временных или иных затрат. Оба вида информации защищены в одинаковой степени. ЕСПЧ неоднократно указывал, что понятие «персональные данные» одинаково понимается Европейской конвенцией и Конвенцией 108[54]. Идентификация лица предполагает наличие элементов, описывающих человека уникальным, отличным от других образом и делающих его узнаваемым. Ярким примером «идентификатора» является имя человека. В случае с публичными лицами достаточным для идентификации маркером может быть указание на должность человека.

Природа «личных данных» такова, что к ним в разных ситуациях может быть отнесена любая информация, имеющая отношение к человеку. Например, информацией личного характера является заключение о качестве работы сотрудника, хранящееся в его личном деле, даже если оно отражает лишь оценочное суждение руководителя.

Так называемые «специальные категории» персональных данных – или «чувствительные данные» – нуждаются в повышенной степени защиты. Конвенция 108 к таким данным относит следующие:

• данные о расовой или этнической принадлежности;
• данные о политических взглядах, религиозные или иные убеждения;
• данные о здоровье или сексуальной жизни;
• данные о судимости человека.

Персональные данные могут быть представлены в любой форме – письменные или устные сообщения; изображения[55]; видео[56]; звук[57]; информация в электронном виде; а также образцы тканей человека, поскольку они несут в себе уникальную информацию о ДНК.

2.2. Основные принципы защиты личных данных в практике Европейского суда

Европейское право в сфере защиты данных основывается на принципах (справедливая обработка, четкое определение ограничение целей, минимизация данных, качество данных, защита данных), правах (права субъектов данных) и средствах правовой защиты (надзор со стороны независимого органа защиты данных) – все это является конкретным выражением общих принципов «верховенства права», разработанных Европейским судом по правам человека.

Статья 1 в качестве цели Конвенции о защите данных провозглашает, «обеспечение на территории каждой Стороны для каждого физического лица, независимо от его гражданства или местожительства, уважения его прав и основных свобод, и в частности его права на неприкосновенность частной жизни, в отношении автоматизированной обработки касающихся его персональных данных («защита данных»)». Таким образом, Конвенция 108 регулирует, в первую очередь, обработку данных в автоматизированных базах данных[58], но также предусматривает возможность распространения защиты данных на ручную обработку в национальном законодательстве стран-участниц. Многие участники Конвенции 108 воспользовались этой возможностью, о чем заявили Генеральному секретарю Совета Европы.

Термин «обработка данных» означает любую операцию (сбор, запись, хранение, изменение, извлечение, использование, раскрытие путем передачи третьим лицам или распространения, комбинирование, уничтожение), выполняемую с персональными данными. «Обработкой» называются также действия, в результате которых данные переходят из сферы ответственности одного контролера в сферу ответственности другого контролера.

В Конвенции определены следующие понятия:

1. a) «персональные данные» − любая информация об определенном или поддающемся определению физическом лице («субъект данных»);
2. b) «автоматизированный файл данных» − любой набор данных, подвергающийся автоматизированной обработке;
3. c) «автоматизированная обработка» включает в себя следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение;
4. d) «контроллер файла» − физическое или юридическое лицо, орган государственной власти, учреждение или любой другой орган, компетентный в соответствии с внутренним законодательством решать, какова должна быть цель автоматизированного файла данных, какие категории персональных данных подлежат хранению или какие операции должны производиться с ними.

2.2.1. Принцип справедливой и законной обработки данных

Данный принцип закреплен в статье 5(а) Конвенции 108:

«Статья 5. Качество данных

Персональные данные, подвергающиеся автоматизированной обработке:

1. a) собираются и обрабатываются на справедливой и законной основе <…>».

(1) Законная обработка данных

В Конвенции нет определения понятия «законная обработка данных», для понимания принципа законной обработки данных необходимо обратиться к условиям законного ограничения права на защиту данных в свете статьи 8 (2) Европейской конвенции. Соответственно, обработка персональных данных является законной и справедливой, если она:

• производится в соответствии с законом;
• преследует законную цель;
• необходима в демократическом обществе для достижения законной цели.

Доступность и предсказуемость

По мнению Европейского Суда, из выражения «предусмотренный законом» вытекают требования «доступности» и «предсказуемости» закона[59]. Во-первых, закон должен быть достаточно доступным: гражданин должен быть способен найти указание, являющееся достаточным в данных обстоятельствах, на то, какие правовые нормы применяются в конкретном случае[60]. Во-вторых, норма не может рассматриваться как «закон», если она не сформулирована с точностью, достаточной для того, чтобы гражданин мог регулировать свое поведение: он должен быть способен (при необходимости с помощью соответствующих консультаций) предвидеть с разумной степенью точности последствия, которые в зависимости от обстоятельств может повлечь конкретное действие[61]. Такие последствия не должны быть предсказуемы с абсолютной точностью: опыт показывает, что это недостижимо. В то время как определенность является крайне желательной, она может повлечь за собой чрезмерную жесткость, а закон должен быть способен соответствовать меняющимся обстоятельствам. Соответственно, многие законы с неизбежностью используют формулировки, которые, в большей или меньшей степени, являются неопределенными, и толкование и применение которых зависит от практики[62].

В деле Rotaru v. Romania[63] ЕСПЧ признал нарушение статьи 8 ЕКПЧ, поскольку румынский закон, разрешающий сбор, запись и архивирование в секретных базах информации, касающейся национальной безопасности, не устанавливал ограничений на эти действия, оставляя этот вопрос на усмотрение властей. В частности, законодательство Латвии не определяло тип подлежащей обработке информации, категорию лиц, в отношении которых может вестись негласное наблюдение, обстоятельства его проведения и регулирующие его процедуры. Приняв во внимание данные дефекты, Суд пришел к выводу о несоответствии внутреннего законодательства требованию предсказуемости.

В деле Taylor-Sabori v. the United Kingdom[64] заявитель был объектом надзора со стороны полиции, которая перехватывала сообщения с его пейджера. Позже заявитель был арестован и обвинен в распространении наркотиков. В число доказательств по делу входили перехваченные сообщения с пейджера. Однако на момент судебного разбирательства в британском законодательстве не существовало нормы, регулирующей перехват сообщений, переданных через частную телекоммуникационную систему связи. Следовательно, вмешательство в права заявителя не было осуществлено «в соответствии с законом». Европейский суд признал нарушение статьи 8 ЕКПЧ.

В деле Amann v. Switzerland[65] заявителю, занимавшемуся продажей приборов для эпиляции, поступил телефонный звонок из бывшего советского посольства с заказом на прибор. Прокуратура перехватила звонок и попросила службу разведки собрать информацию о заявителе. Суд установил нарушение статьи 8 Европейской конвенции ввиду неопределенности швейцарского законодательства, в котором не были законодательно определены полномочия государства в области сбора и хранения информации о частном лице.

Законная цель

Необходимо отметить, что никакое вмешательство в осуществление прав, гарантированных статьями 8-11 Конвенции не будет допустимым, если оно не преследует одну из целей, указанных во втором пункте этих положений, то есть «в интересах национальной безопасности и общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности или защиты прав и свобод других лиц».

В деле Peck v. the United Kingdom[66] заявитель пытался совершить самоубийство на улице, перерезав себе вены, и этот момент зафиксировала камера видеонаблюдения. После того как полицейские его спасли, видео было передано средствам массовой информации и опубликовано без маскировки лица заявителя. ЕСПЧ пришел к выводу, что в деле нет достаточных оснований, которые оправдали бы передачу видеоматериала СМИ без согласия заявителя или трансляцию видеозаписи без маскировки лица. Суд пришел к выводу о нарушении статьи 8 ЕКПЧ.

Необходимо в демократическом обществе

Согласно практике ЕСПЧ «необходимость» вмешательства подразумевает соответствие его насущной общественной потребности и соразмерность преследуемой законной цели[67]. Применение этого требования сосредоточивается на воздействии, которое оказывает обжалуемое ограничение на соответствующее право, поскольку необходимо установить, что ограничение действительно «необходимо в демократическом обществе». Должна не только существовать настоятельная общественная необходимость, на достижение которой направлено ограничение, но и должен быть соблюден принцип соразмерности. При определении того, является ли ограничение «необходимым в демократическом обществе», Европейский суд принимает во внимание особую важность затронутого права и существенные характеристики демократического общества. Суд также учитывает такие факторы, как значимость и достаточность вмешательства, общие последствия ограничения (отменяет ли оно право полностью или оставляет некоторые возможности для его осуществления) и существование или отсутствие менее строгих альтернативных мер по разрешению определенной проблемы.

На практике применение этого требования может быть достаточно гибким. При оценке допустимости определенного ограничения Европейский Суд примет во внимание не только особые обстоятельства, существующие в государстве-участнике, но также будет готов признать наличие у государства некоторой свободы усмотрения. Пределы свободы усмотрения могут меняться в зависимости от характера права и/или оснований вмешательства и могут, в некоторых случаях, быть достаточно широкими.

В деле Khelili v. Switzerland[68] полиция обнаружила у заявительницы визитные карточки следующего содержания: «Привлекательная женщина старше тридцати лет хотела бы познакомиться с мужчиной для встреч. Номер телефона». Полиция внесла в свои базы данных ее данные как проститутки, хотя занятие проституцией заявительница отрицала и просила удалить ее имя из базы. Европейский суд в определенных обстоятельствах признает допустимость сохранения личных данных лица на основании подозрений о возможности совершения им преступления. Однако в данном случае обвинение в проституции было беспочвенным и не подтвержденным фактами, поскольку заявительница никогда не была осуждена за незаконное занятие проституцией. Таким образом, вторжение в ее право на частную жизнь не могло рассматриваться как удовлетворяющее «насущной общественной потребности» от отвечающее «необходимости в демократическом обществе» по смыслу статьи 8 Европейской конвенции. Суд пришел к выводу о нарушении статьи 8 ЕКПЧ.

В деле Leander v. Sweden[69] ЕСПЧ постановил, что скрытое наблюдение за лицами, претендующими на работу в должностях, имеющих значение для национальной безопасности, само по себе не противоречит требованию «необходимости в демократическом обществе». Кроме того, законодательство Швеции предусмотрело меры для защиты интересов субъектов данных (осуществление контроля за скрытым наблюдением со стороны парламента и министра юстиции). Суд пришел к выводу, что шведские кадровая система контроля отвечает требованиям статьи 8 (2) ЕКПЧ. Принимая во внимание широкие пределы усмотрения, государство-ответчик вправе полагать, что в данном случае интересы национальной безопасности преобладают над частными интересами.

В деле B.B. v. France[70] и Gardel v. France[71] вопрос заключался в том, было ли включение в национальную базу данных лиц, совершивших преступления сексуального характера, нарушением статьи 8. По обстоятельствам дел хранение данных осуществлялось в течение 20-30 лет в зависимости от тяжести совершенного преступления. Европейский суд пришел к выводу, что ни в одном из дел не было допущено нарушения статьи 8, принимая во внимание наличие процедуры предъявления требований об изъятии информации из базы данных. Европейский суд учел очень серьезный характер совершенных преступлений и заинтересованность общества в существовании таких баз данных.

В соответствии с рекомендациями Совета Европы, дополняющими Конвенцию о защите данных, обработка персональных данных произведена на законном основании, если:

• получено согласие субъекта данных на обработку; или
• обработка отвечает жизненно важным интересам субъекта данных; или
• причиной обработки данных являются законные интересы других лиц, но только в той степени, в какой они не ущемляют основных прав субъекта данных.

(2) Справедливая обработка данных

Принцип справедливой обработки данных предполагает, что:

• процесс обработки является прозрачным, особенно для субъекта данных;
• перед началом обработки субъект данных информируется о цели обработки, личности контролера и его местонахождении;
• обработка персональных данных не является секретной, если иного не предусмотрено законом;
• субъекты данных имеют доступ к своим персональным данным.

Таким образом, принцип справедливой обработки данных регулирует, прежде всего, отношения между контролером и субъектом данных. Перед тем, как начать обработку персональных данных, контролер должен информировать субъекта данных о своей личности и цели обработки. Данное обязательство не зависит от запроса субъекта данных и должно быть выполнено контролером независимо от того, показывает ли субъект персональных данных интерес к этой информации. В тех случаях, когда данные предоставлены третьей стороной, информировать субъект данных не требуется, если (1) обработка данных предусмотрена законом или (2) предоставление информации невозможно или требует непропорциональных усилий. Перед началом обработки контролер дополнительно должен (1) уведомить контролирующий орган о планируемых операциях или (2) предоставить данные для документирования независимому должностному лицу, если национальное законодательство предусматривает такие процедуры.

Прозрачность

Принцип прозрачности подразумевает обязательство контролера информировать субъекта данных о том, как используются его персональные данные.

В деле Haralambie v. Romania[72] заявитель обратился за доступом к личной информации, хранящейся в секретной службе, его просьба была удовлетворена через пять лет. ЕСПЧ установил, что субъект данных был жизненно заинтересован в доступе к личной информации. Государство имело обязательство обеспечить доступа заявителя к данным. Суд счел, что ни объем хранимых данных, ни недостатки в системе их архивирования не могут оправдать пятилетнюю задержку в получении доступа заявителя к личным данным. Поскольку власти не предоставили заявителю доступ к данным в разумный срок, имело место нарушение статьи 8 Европейской конвенции. Субъект данных, кроме того, имеет право запросить у государства информацию о том, находятся ли его данные в обработке и какие именно данные.

Требование прозрачности также предусматривает обязанность контролера документально подтверждать законность и прозрачность обработки личных данных, а также оперативно реагировать на пожелания субъекта данных, особенно когда его согласие на обработку определяет правовую основу для нее.

В деле K.H. and Others v. Slovakia[73] обращение в суд подали восемь женщин, которые во время беременности и родов наблюдались в двух больницах в восточной части Словакии. Впоследствии никто из них не смог зачать ребенка вновь, несмотря на неоднократные попытки. Национальные суды обязали медицинские учреждения обеспечить женщинам доступ к медицинским архивам и возможность делать рукописные копии документов, однако запретили делать фотокопии документов. Позитивные обязательства государств, в соответствии со ст. 8 Европейской конвенции, включают обязательство предоставить субъектам данных возможность делать копии своих данных. Задача государства – определить механизм копирования данных или, в случае необходимости, предусмотреть причина отказа в копировании. В данном деле национальные суды обосновали запрет на копирование медицинских документов необходимостью защитить информацию от злоупотреблений, однако государство не смогло объяснить, каким образом заявители могли злоупотребить личной информацией медицинского характера. Суд пришел к выводу о нарушении статьи 8 Конвенции.

Принцип определенных и законных целей хранения данных закреплен в статье 5(b) Конвенции 108:

«Персональные данные, подвергающиеся автоматизированной обработке:

<…> b) хранятся для определенных и законных целей и не используются иным образом, несовместимым с этими целями <…>».

Данный принцип подразумевает, что:

• цель обработки данных должна быть четко определена до начала обработки;
• обозначение цели обработки должно регламентироваться внутренним законодательством стран-участниц;
• обработка данных с неопределенной целью и/или неограниченным количеством целей не является законной;
• дальнейшее использование обработанных данных с иной целью требует дополнительной правовой основы, если новая цель обработки отличается от исходной;
• передача данных третьим лицам является новой целью и требует дополнительной правовой основы.

Раскрытие данных третьим лицам, как правило, представляют собой новую цель и, следовательно, требует новой правовой основы. Например, если авиакомпания собирает данные пассажиров, чтобы корректно выстроить управление полетом, ей для этого необходимы номера посадочных мест, а также информация о физических ограничениях и особых потребностях пассажиров. Если миграционные службы захотят воспользоваться данными авиакомпании для иммиграционного контроля, передача данных потребует новой правовой основы. При рассмотрении вопроса о пределах конкретной цели Конвенция 108 прибегает к концепции совместимости: для совместимых целей допускается использование данных на первоначальной правовой основе. Однако само понятие «совместимой цели» остается открытым для интерпретаций.

Понятие качества данных основано на принципах адекватности данных и точности данных, а также принципе ограниченного хранения данных, закрепленных в статье 5(c,d,e) Конвенции 108:

«Персональные данные, подвергающиеся автоматизированной обработке:

<…> c) являются адекватными, относящимися к делу и не чрезмерными для целей их хранения;

1. d) являются точными и, когда это необходимо, обновляются;
2. e) сохраняются в форме, позволяющей идентифицировать субъекты данных, не дольше, чем это требуется для целей хранения этих данных».

Адекватные, относящиеся к делу и не чрезмерные для целей их хранения

Объем обрабатываемых данных должен быть ограничен лишь той информацией, которая имеет непосредственное отношение к        цели их обработки. Современные информационные технологии позволяют кодировать данные, сохраняя их полную конфиденциальность и позволяя существенно минимизировать собираемую информацию.

Точные и обновляемые по мере необходимости

С точки зрения Конвенции о защите данных использование неточной персональной информации недопустимо. Требование к точности данных следует рассматривать в совокупности с целью их обработки. В некоторых случаях, когда целью обработки является документирование событий, их обновление должно быть запрещено. В частности, недопустимо «обновлять» медицинские записи о прошедших операциях. Но в них могут быть внесены дополнения с указанием времени их внесения. Напротив, в других случаях регулярная проверка точности данных и их обновление абсолютно необходимы во избежание потенциального ущерба, который может быть причинен субъекту данных, если информация останется неточной. Так, банки обычно проверяют данные о платежеспособности потенциальных клиентов, используя специализированные базы данных с информацией о кредитной истории частных лиц. Если такая база содержит неверные или устаревшие сведения, человек может столкнуться с проблемами при оформлении кредита.

Ограниченное хранение данных

Статья 5 (е) Конвенции 108 требует, чтобы персональные данные «сохранялись в форме, позволяющей идентифицировать субъекты данных, не дольше, чем это требуется для целей хранения этих данных». Таким образом, когда цель достигнута – данные должны быть удалены. В деле S. and Marper ЕСПЧ подтвердил, что хранение данных должно быть пропорционально цели их обработки и ограничено во времени, в частности, при использовании персональных данных полицией[74].

Принцип ограниченного хранения персональных данных применим, однако, только если данные хранятся в форме, позволяющей идентифицировать субъект данных. Хранение данных сверх установленной необходимости может быть допустимо, если данные анонимны или зашифрованы. Дальнейшее использование данных с научными, историческими или статистическими целями освобождает контролера от следования принципу ограниченного хранения данных. Однако хранение персональных данных с любой целью должно сопровождаться специальными гарантиями, предусмотренными национальным законодательством. Исключения из принципа ограниченного хранения также должны быть предусмотрены законом и содержать специальные меры безопасности для защиты таких данных.

2.2.2. Стандарты безопасной обработки данных

Согласно Конвенции 108, «для защиты персональных данных, хранящихся в автоматизированных файлах данных, принимаются надлежащие меры безопасности, направленные на предотвращение их случайного или несанкционированного уничтожения или случайной потери, а также на предотвращение несанкционированного доступа, их изменения или распространения таких данных»[75].

Правила безопасной обработки данных обязывают контролера соблюдать технические и организационные меры с целью предотвращения любого несанкционированного вмешательства в процесс обработки. Последующее обеспечение безопасности и конфиденциальности данных при обработке является общей обязанностью всех участвующих в обработке лиц.

Стандарты безопасности подразумевают наличие как определенного технического оборудования, так и организационных правил, которые должны охватывать следующие вопросы:

• регулярное информирование сотрудников о мерах безопасности при обработке данных и их обязательствах в соответствии с законодательством о защите данных, особенно в части их конфиденциальности;
• четкое распределение обязанностей и полномочий в вопросах обработки данных, особенно в отношении принятия решений о передаче данных третьим лицам;
• использование персональных данных только в соответствии с установленными правилами;
• защита доступа к аппаратному и программному обеспечению контролера;
• обеспечение того, чтобы доступ к данным предоставляло компетентное лицо, и для такого доступа требовалась надлежащая документация;
• наличие автоматизированных протоколов о доступе к данным и их регулярных проверок;
• тщательное документирование всех форм раскрытия данных вне автоматизированного доступа для предотвращения нелегальной передачи данных.

В деле I. v. Finland [76] заявительница не смогла доказать в национальной юрисдикции, что к ее медицинским записям имели незаконный доступ другие сотрудники больницы, в которой она работала. Европейский суд пришел к выводу о нарушении статьи 8 ЕКПЧ, поскольку система регистрации и учета медицинских документов больницы не соответствовала требованиям национального законодательства.

Обеспечение конфиденциальности данных является составляющей понятия безопасности данных, согласно статье 7 Конвенции о защите данных. Нарушение конфиденциальности при выполнении профессиональных обязанностей должно наказываться в соответствии с уголовным законодательством стран-участниц Конвенции 108.

2.2.3. Права субъектов данных

Субъекты данных должны иметь право, установленное внутренним законодательством:

• доступа к личной информации через контролера, в чьей обработке находятся данные;
• корректировать свои данные (или заблокировать их, в зависимости от обстоятельств) через контролера, если данные являются неточными;
• удалить или заблокировать данные, если контролер обрабатывает их незаконно.

Кроме того, субъекты данных имеют право возразить против:

• автоматизированной обработки персональных данных;
• обработки, приводящей к непропорциональным результатам;
• использования данных с целью прямого маркетинга.

В соответствии со статьей 9 Конвенции 108, доступ субъекта данных к личной информации может быть ограничен, «когда такое отступление предусматривается законодательством Стороны и является необходимой в демократическом обществе мерой, принимаемой в интересах:

a) защиты безопасности государства, общественной безопасности, валютно-кредитных интересов государства или пресечения уголовных преступлений;

b) защиты субъекта данных или прав и свобод других лиц».

Право на доступ к информации о личных данных закреплено в статье 8 Конвенции о защите данных:

«Любому лицу должна быть предоставлена возможность:

a) знать о существовании автоматизированного файла персональных данных, знать его основные цели, а также название и место обычного проживания или местонахождение контроллера файла;

b) получить через разумный промежуток времени и без чрезмерной задержки или чрезмерных расходов подтверждение того, хранятся ли касающиеся его персональные данные в автоматизированном файле данных, а также получить такие данные в доступной для понимания форме;

c) добиваться в случае необходимости исправления или уничтожения таких данных, если они подвергались обработке в нарушение норм внутреннего законодательства, воплощающего основополагающие принципы, изложенные в статьях 5 и 6 настоящей Конвенции;

d) прибегать к средствам правовой защиты в случае невыполнения просьбы о подтверждении или в случае необходимости предоставления данных, их изменении или уничтожении, как это предусмотрено в пунктах b) и с) настоящей статьи».

Европейский суд по правам человека неоднократно подтверждал право на доступ к информации о своих персональных данных, хранящихся у других или используемых другими, возникающее из права на уважение частной жизни[77]. В деле Leander v. Sweden[78] ЕСПЧ установил, что право на доступ к личным данным, хранящимся государством, в определенных обстоятельствах может быть ограничено.

Внутреннее законодательство должно предусматривать право субъектов данных корректировать персональные данные или заблокировать их, если данные некорректны. В деле Cemalettin Canli v. Turkey[79] ЕСПЧ признал нарушение статьи 8 Европейской конвенции из-за некорректного отчета полиции в уголовном деле. Заявитель дважды фигурировал в материалах уголовного дела в связи с предполагаемым членством в незаконных организациях, но не был осужден. Когда его вновь арестовали по обвинению в другом преступлении, полиция представила суду справку «о дополнительных преступлениях», где представила заявителя как члена двух нелегальных организаций. Ходатайство заявителя о доступе к полицейскому отчету и корректировке информации суд отклонил. Европейский суд указал, что информация из полицейского отчета подпадает в сферу действия статьи 8 Европейской конвенции как «общественная информация», но также может быть рассмотрена как составляющая «частной жизни». Поскольку отчет полиции был неточным, его представление в суде нельзя признать законным. Суд пришел к выводу о нарушении права на частную жизнь.

В деле Segerstedt-Wiberg and Others v. Sweden[80] заявители – члены политических партий – подозревали, что информация о них содержится в полицейских базах данных. ЕСПЧ установил, что хранение данных имело правовую основу и преследовало законную цель. Однако в отношении некоторых заявителей ЕСПЧ решил, что хранение их данных было несоразмерным вмешательством в личную жизнь. В частности, власть хранила информацию о том, что один из заявителей в 1969 году – предположительно – выступал за насильственное сопротивление полицейским во время демонстраций. Данная информация не отвечала интересам национальной безопасности, особенно с учетом ее давнего характера. ЕСПЧ признал нарушение статьи 8 ЕКПЧ в отношении нескольких заявителей.

В некоторых случаях субъекту данных достаточно лишь сделать запрос на корректировку информации – например, когда речь идет о написании имени, адреса или номера телефона. Если запрос связан с правовыми вопросами, контролер может затребовать доказательства о необходимости корректировки. Однако данное требование не должно стать для субъекта данных непосильным бременем и тем самым заблокировать саму возможность корректировки личных данных. ЕСПЧ установил нарушение статьи 8 Европейской конвенции в нескольких делах, где заявители не смогли корректировать информацию, хранящейся в секретных базах[81]. Так, в деле Ciubotaru v. Moldova[82] заявитель не смог изменить информацию об этнической принадлежности в официальных документах, поскольку «не смог должным образом обосновать свою просьбу». ЕСПЧ счел приемлемым для государства требовать от субъекта данных доказательства его или ее этнической принадлежности. В данном деле заявитель имел возможность опосредованно обосновать связь с румынской этнической группой (через язык, имя), однако в соответствии с национальным законодательством должен был представить формальное доказательства принадлежности родителей к румынской группе. Такое требование стало непреодолимым барьером для регистрации этнической принадлежности заявителя. ЕСПЧ посчитал, что государство не выполнило позитивные обязательства по обеспечению уважения личной жизни заявителя, и признал нарушение статьи 8 ЕКПЧ.

Незаконность обработки данных является основанием для запроса субъекта данных об удалении информации – в частности, когда не было получено согласия на обработку или хранение данных больше не соответствует заявленной цели. Предполагается, что контролер должен быть в состоянии в любое время показать законность использования данных. В противном случае субъект данных, в соответствии с принципом справедливой обработки, имеет право требовать «заморозки» данных до того момента, пока спорная ситуация не будет разрешена, особенно если дальнейшее нелегитимное использование данных или их неточность могут причинить вред субъекту данных. Регулирование данного вопроса осуществляется в рамках национального законодательства.

Субъект данных имеет право возразить против автоматизированной обработки данных, против спорной ситуации и против использования данных с целью прямого маркетинга. Право на защиту персональных данных не подразумевает возможности возражать против обработки данных в целом[83]. В рекомендациях Совета Европы указано на право субъекта данных возражать против законности оснований для обработки данных в конкретной ситуации. Право возражать против использования данных с целью прямого маркетинга закреплено в соответствующей рекомендации Совета Европы[84]. Субъект данных должен иметь возможность возразить против передачи его данных третьей стороне с маркетинговыми целями прежде, чем такая передача будет осуществлена.

2.2.4. Независимый надзор

Надзор за эффективностью защиты данных должны осуществлять независимые органы, в чьи задачи должно входить следующее:

• мониторинг и содействие защите данных на национальном уровне;
• консультация субъектов данных и контролеров, а также правительства и общественности;
• рассмотрение жалоб и оказание помощи субъекту данных, чьи права предположительно нарушены;
• контроль за обработкой данных и вмешательство в случае необходимости;
• наложение санкций на контролеров;
• обращение в суд.

В соответствии с Конвенцией 108 создание национальных надзорных органов является обязательным. Правовую основу для этого обязательства содержит статья 10 Конвенции: «Каждая Сторона обязуется предусмотреть надлежащие санкции и средства правовой защиты на случай нарушения норм внутреннего законодательства, воплощающих основополагающие принципы защиты данных, изложенные в настоящей главе».

В соответствии с Конвенцией 108, национальное законодательство должно содержать надлежащие средства правовой защиты и предусматривать санкции в отношении нарушителей права на защиту данных.

В то время как основной целью статьи 8 является, главным образом, защита лица от произвольного вмешательства государственных органов, неотъемлемой частью эффективного обеспечения неприкосновенности частной и семейной жизни могут быть позитивные обязательства государства[85]. Они могут подразумевать принятие государством мер, предназначенных для обеспечения неприкосновенности частной жизни, даже в области взаимоотношений частных лиц, например, пользователя Интернета и тех, кто предоставляет доступ к конкретному сайту в Интернете. Другими словами, государство несет позитивное обязательство по установлению эффективного сдерживающего средства против серьезных посягательств на личные данные лица иногда посредством применения эффективных уголовно-правовых положений[86]. Относительно Интернета государство, возможно, могло бы нести ответственность за поведение третьих сторон, осуществляющих хранение информации для частных лиц.

В деле K.U. v. Finland[87] несовершеннолетний заявитель жаловался на то, что на сайте интернет-знакомств от его имени была размещена реклама сексуального характера. Провайдер не смог представить сведения о личности человека, разместившего объявление, поскольку данная информация носила конфиденциальный характер, в соответствии с законодательством Финляндии. Заявитель утверждал, что законы Финляндии не обеспечили ему достаточной защиты от злоупотреблений со стороны частных лиц. ЕСПЧ установил, что государство несет позитивные обязательства по защите прав, которые должны предусматривать «меры, направленные на обеспечение уважения частной жизни даже в области межличностных отношений». В случае заявителя защита его прав требовала эффективных мер по выявлению и привлечению к ответственности нарушителя. Поскольку такая защита государством не была предоставлена, Суд пришел к выводу о нарушении статьи 8 ЕКПЧ.

В деле Köpke v. Germany[88] заявитель подозревался в краже на рабочем месте, в связи с чем находился под негласным видеонаблюдением. ЕСПЧ пришел к выводу, что в данном случае был обеспечен «справедливый баланс между правом заявителя на уважение частной жизни и интересом работодателя в защите имущественных прав, а также общественным интересом в надлежащем отправлении правосудия». В связи с этим жалоба заявителя была признана неприемлемой.

Таким образом, защита данных личного характера важнейшее значение для возможности лица осуществлять право на неприкосновенность частной и семейной жизни. Простое хранение информации, относящейся к личной жизни лица, является вмешательством в осуществление его прав по смыслу положений статьи 8 Конвенции. Тем не менее, всякий раз отвечая на вопрос о том, затрагивают ли хранимые властями персональные данные какие-то стороны личной жизни человека, Европейский суд принимает во внимание условия, в которых была получена информация, характер информации и то, каким образом она используется.

В соответствии с Конвенцией Совета Европы 1981 года о защите частных лиц в отношении автоматизированной обработки данных личного характера, «данные личного характера» определяются как любая информация, касающаяся определенного или поддающегося определению физического лица («субъекта данных»). Персональные данные могут быть представлены в любой форме – письменные или устные сообщения; изображения; видео; звук; информация в электронном виде; а также образцы тканей человека, поскольку они несут в себе уникальную информацию о ДНК.

Европейское право в сфере защиты данных основывается на принципах (справедливая обработка, четкое определение ограничение целей, минимизация данных, качество данных, защита данных), правах (права субъектов данных) и средствах правовой защиты (надзор со стороны независимого органа защиты данных) – все это является конкретным выражением общих принципов «верховенства права», разработанных Европейским судом по правам человека.

В практике ЕСПЧ рассмотрено множество дел, в которых поднимался вопрос о защите данных, в том числе касающихся перехвата коммуникаций, различных форм наблюдения, хранения персональных данных органами власти. Статья 8 Европейской конвенции не только обязывает государства воздерживаться от действий, нарушающих право на неприкосновенность личной жизни, но и – при определенных обстоятельствах – нести позитивные обязательства для обеспечения эффективного уважения частной и семейной жизни.

Глава 3. Защита данных и публичные интересы государства в области уголовного правосудия и национальной безопасности

Развитие информационно-коммуникационных технологий облегчает доступ государств к персональным данным граждан, использование правоохранительными органами методов скрытого наблюдения и контроль за коммуникациями. В контексте развития Интернета и коммуникационных технологий большое значение приобретают вопросы тайного наблюдения. В различных документах ООН и Совета Европы говорится об опасной практике запросов правоохранительных органов в различные корпорации, работающие в сфере IT-технологий (Microsoft, SkyDrive, Google, Yahoo, Facebook и др.) на выдачу персональной информации и данных[89].

Европейский суд соглашается с тем, что борьба с преступностью, в частности с организованной преступностью и терроризмом, − один из вызовов, стоящих перед современными европейскими обществами, − во многом зависит от использования современных научных методов расследования и методов установления правонарушителей.  В частности, еще более пятнадцати лет назад Совет Европы признал, что метод анализа ДНК дает преимущества в ходе производства по уголовным делам[90]. Между тем, в решении решение по делу S. и Marper против Соединённого Королевства[91] Европейский суд подчеркнул: «Гарантиям статьи 8 Конвенции будет нанесен непоправимый ущерб, если использование современных научных методов в системе уголовного правосудия будет разрешено без ограничений и без тщательного соблюдения баланса между потенциальной пользой от широкого применения таких методов и интересами, связанными с защитой частной жизни».

Для выстраивания баланса между интересами индивида в области защиты данных и общественными интересами в сфере борьбы с преступностью, обеспечения национальной и общественной безопасности, Совет Европы принял несколько правовых документов. Деятельность органов уголовного преследования и органов правосудия часто требует обработки персональных данных. Рекомендация № R (87) 15, принятая Советом Европы в 1987 году, разъясняет сторонам, как эффективно следовать принципам Конвенции №108 в контексте обработки персональных данных правоохранительными органами[92]. Конвенция Совета Европы о киберпреступности (Будапештская конвенция) является обязательным правовым договором в сфере борьбы с преступлениями, совершенными против и с помощью электронных средств.

3.1. Хранение и использование персональных данных правоохранительными органами и органами национальной безопасности

Для предотвращение неправомерного вмешательства в осуществления права лица на неприкосновенность частной жизни Рекомендация № R(87)15 Совета Европы разъясняет следующие вопросы:

• каким образом правоохранительным органам собирать данные;
• каким образом информация должна храниться;
• кто должен иметь доступ к хранимым файлам, включая условия передачи данных иностранным правоохранительным органам;
• каким образом субъекты данных могут реализовать право на защиту данных;
• каким образом должен быть организован независимый контроль за использованием данных.

В Рекомендации также говорится, что при хранении персональных данных следует четко различать административные данные и данные полиции, а также разные типы субъектов данных (подозреваемые, осужденные, потерпевшие и свидетели). Сбор данных правоохранительными органами должен носить строго целевой характер. Передача данных полиции вовне должна определяться тем, существует ли правовая основа для обмена информацией. Международная передача данных должна основываться на специальных правовых положениях, например, международных соглашениях, если только такая передача не необходима для предотвращения серьезной и неизбежной опасности. Субъекты данных, хранящихся в полицейских базах, должны иметь к ним право доступа, согласно Конвенции 108. В случае ограничения права доступа в соответствии со статьей 9 Конвенции 108 в интересах эффективного проведения полицейского расследования, субъект персональных данных должен иметь право обратиться в надзорный или контролирующий орган.

ЕСПЧ неоднократно заявлял, что сбор, хранение и раскрытие информации личного характера правоохранительными органами и органами национальной безопасности представляет собой вмешательство в осуществление права лица на неприкосновенность частной жизни, гарантированное статьей 8 (1) Европейской конвенции[93]. Последующее использование находящейся на хранении информации не имеет значения для такого вывода[94]. Такое вмешательство нарушает статью 8, если оно не «предусмотрено законом», не преследует одну или более правомерных целей, указанных в параграфе 2 статья 8 и не является «необходимым в демократическом обществе» для достижения этих целей.

В деле B.B. против Франции, Gardel против Франции и M.B. против Франции суд подтвердил фундаментальную роль защиты персональных данных, подвергающихся автоматизированной обработке, особенно когда такие данные используются для полицейских целей. Информация, хранящаяся в картотеках правоохранительных органов по результатам проведения тайного наблюдения, также подпадает под сферу действия статьи 8 Европейской конвенции[95]. Национальный закон, разрешающий хранение такой информации, должен с достаточной ясностью указывать сферу действия и условия осуществления дискреционных полномочий властей.

В деле Van der Velden v. the Netherlands[96] Европейский суд оценил с точки зрения вторжения в частную жизнь вопрос хранения профилей ДНК. Суд посчитал, что, учитывая возможности использования клеточного материала в будущем, его систематическое хранение выходит за рамки хранения материала с идентифицирующими характеристиками нейтрального характера – такого, например, как отпечатки пальцев – достаточно значительно вторгается в частную сферу, чтобы быть квалифицировано как вмешательство в осуществление права на неприкосновенность частной жизни, установленное статьей 8 Конвенции. Тем не менее, в этом деле Европейский Суд признал жалобу явно необоснованной, поскольку сбор и хранение профилей ДНК служили правомерным целям предотвращения преступлений и защиты прав и свобод других лиц и в обстоятельствах дела были «необходимы в демократическом обществе».

ЕСПЧ подчеркивает, что в случае хранения информации личного характера в интересах национальной безопасности должны существовать надлежащие и эффективные гарантии от злоупотреблений со стороны государства. Когда такие гарантии существуют, Европейский суд может и не установить нарушения статьи 8. Так, в деле B.B. v. France[97] ЕСПЧ установил, что включение данных лица, осужденного за преступление сексуального характера, в судебную базу данных является вмешательством в право. Однако учитывая, что государство исполнило гарантии защиты данных (право субъекта данных запросить их удаление, ограниченный срок хранения данных и ограниченный доступ к ним), Европейский суд посчитал, что справедливый баланс между частным и общественным интересом был соблюден и пришел к выводу об отсутствии нарушения статьи 8 ЕКПЧ. В деле Shimovolos против России суд признал нарушение статьи 8 Европейской конвенции, поскольку база данных, куда было внесено имя правозащитника, была создана на основании министерского приказа, нигде не опубликованного – таким образом, хранение данных не производилось в соответствии с законом. У субъектов данных не было возможности узнать, почему их имена заносятся в базу, какая именно информация в нее заносится и на какой срок, как хранится и используется информация, кто управляет базой. В деле Dimitrov-Kazakov против Болгарии заявитель один раз он был допрошен следователями по делу об изнасиловании, но сам никогда не обвинялся в изнасиловании, тем не менее, его имя было занесено в полицейскую базу по изнасилованиям с пометкой «преступник». Позже он неоднократно подвергался проверкам со стороны полиции в связи с жалобами на изнасилования и исчезновениями молодых девушек. Суд признал нарушение статьи 8, поскольку внесение заявителя в полицейские досье не было предусмотрено законом.

При рассмотрении вопросов хранения и обработки персональных данных правоохранительными органами и органами национальной безопасности Европейский суд оценивает соблюдение государствами требований Конвенции 108 относительно требований к защите данных, соблюдения прав субъектов данных – в частности, обеспечения доступа к данным, возможности их удаления и корректировки, ограниченный характер хранения данных. При несоблюдении специальных требований Конвенции о защите данных ЕСПЧ может признать нарушение статьей 8 и 13 Европейской конвенции.

Так, в деле Segerstedt-Wiberg и другие против Швеции заявители жаловались на хранение информации о них в базе данных шведской службы безопасности и на отказ предоставить им сведения об объеме хранящихся данных. Суд не нашел нарушения статьи 8 Европейской конвенции, установив, что интересы национальной безопасности и борьбы с терроризмом в данном случае преобладают над интересами заявителей в доступе к информации о них в базе данных. Однако суд признал нарушение статьи 13 Конвенции в связи с отсутствием в национальной юрисдикции средств правовой защиты, которые позволили бы добиться уничтожения хранящихся досье, удаления или исправления содержащейся в них информации.

В деле Rotaru против Румынии заявитель жаловался на невозможность опровергнуть недостоверную, по его мнению, информацию о нем, содержавшуюся в архивах Разведывательной службы Румынии. В 1948 году он был приговорен к одному году лишения свободы за критику коммунистического режима. Суд признал нарушение статьи 8, поскольку хранение и использование информации о частной жизни заявителя «не было предусмотрено законом», и статьи 13, поскольку у заявителя отсутствовала возможность обжаловать хранение информации о нем или опровергнуть ее достоверность.

В деле Haralambie против Румынии ЕСПЧ признал нарушение статьи 8 в связи с тем, что заявитель не мог ознакомиться с досье, заведенным на него секретными службами при коммунистическом режиме. Суд решил, что ни объем материалов, ни недостатки функционирования архивной системы не оправдывают шестилетней задержки в удовлетворении ходатайства заявителя.

В деле Turek против Словакии заявитель числился агентом в досье службы безопасности бывшей Чехословакии, он не смог получить справки о благонадежности для поступления на государственную службу. Суд признал нарушение статьи 8, поскольку отсутствовал механизм, позволяющий заявителю защитить свое право на уважение частной жизни. Суд решил, что возложение на заявителя обязанности по доказыванию – в то время как применимые нормы носили секретный характер на момент их существования – стало для него непреодолимым и излишним бременем при получении необходимого ему документа.

Значительный интерес с точки зрения характера хранимых и собираемых государственными службами «личных данных», а также предусмотренных Европейской конвенцией и Конвенцией о защите данных требований к обработке персональных данных представляет дело S. and Marper v. the United Kingdom[98], постановление по которому вынесено Большой палатой ЕСПЧ 4 декабря 2008 года.

В этом деле ЕСПЧ последовал подходу, принятому ранее в деле Van der Velden, и подтвердил, что хранение клеточных образцов и профилей ДНК обнаруживает вмешательство в осуществление заявителями права на неприкосновенность частной жизни. Учитывая быстрое развитие генетики и информационных технологий, Европейский суд не исключил возможность того, что в будущем интересы частной жизни, связанные с генетической информацией, могут подвергнуться отрицательному воздействию новым способом или таким образом, который сегодня нельзя представить. В деле S. and Marper v. the United Kingdom суд также оценил хранение персональных данных в контексте соразмерности вмешательства правоохранительных органов в право заявителей на уважение частной жизни.

Заявители по данному делу жаловались в Европейский cуд на то, что власти государства-ответчика продолжают хранить их отпечатки пальцев, образцы клеток и профили ДНК после того, как производство по уголовным делам в их отношении либо завершилось вынесением оправдательного приговора, либо было прекращено. Оба заявителя просили уничтожить их отпечатки пальцев и образцы ДНК, однако в обоих случаях полиция отказалась это сделать. В соответствии с законом Великобритании «О полиции и доказательствах по уголовным делам» 1984 года отпечатки пальцев и образцы ДНК, полученные у лиц, подозреваемых в преступлении, могут храниться неограниченное время даже в том случае, если лицо оправдано и если с него сняты все обвинения. Образцы ДНК по своей природе являются носителями не только ключевой информации о самих заявителях, но и об их родственниках. Хранение отпечатков пальцев и образцов ДНК, на которое не было дано согласие, заявители оценили как вмешательство в личную жизнь, право на которую предусмотрено ст. 8 ЕКПЧ.

Позицию национальных судов Великобритании относительно необходимости хранения образцов ДНК для целей уголовного преследования изложил судья Апелляционного суда Англии и Уэльса Уоллер:

«<…> Отпечатки пальцев и профили ДНК заключают в себе лишь ограниченный объем информации личного характера. Физические образцы потенциально содержат значительно больший объем более личной и подробной информации. Нас тревожит, что когда-нибудь наука сможет дать возможность проводить настолько глубокий анализ образцов, что на его основе можно будет получать информацию о предрасположенности индивида к совершению определенных видов преступлений, а статья, о которой идет речь [статья 82 Закона об уголовном судопроизводстве и полиции 2001 года], в ее нынешней редакции позволяет их использовать с этой целью. Кроме того, можно сказать, что в закон могут быть внесены изменения, позволяющие использовать образцы ДНК в иных целях, нежели те, которые перечислены в указанной статье. Далее, можно сказать, что во время хранения образцов ДНК даже сейчас есть опасность того, что они будут использоваться вопреки закону. Поэтому указанных целей можно было бы достичь ценой меньших ограничений <…>. Почему бы не достичь этой цели путем хранения профилей, а не образцов ДНК? На мой взгляд, ответ на [эти] вопросы выглядит следующим образом. Во-первых, хранение образцов ДНК позволяет: (а) проверить целостность и оценить возможности последующего использования базы данных по ДНК; (b) еще раз проанализировать возможность обновления профилей ДНК в случае появления нового метода, который позволит более точно фиксировать различия при сопоставлении ДНК разных людей; (c) еще раз проанализировать, а значит, возможно, извлечь другие признаки ДНК и таким образом получить пре-имущества с точки зрения скорости, чувствительности и стоимости поиска по базе данных; (d) произвести дополнительный анализ в случае, если человек утверждает, что произошла судебная ошибка; и (e) произвести дополнительный анализ для выявления возможных ошибок, допущенных при анализе или при обработке информации. <…> мне кажется, что указанные опасности невелики и в таком виде их перевешивают преимущества, которые сулит достижение цели предотвращения преступлений и привлечения к ответственности тех, кто их совершил»[99].

В контексте оценки хранения биологической информации как данных личного характера, соблюдения требований Конвенции о защите и соблюдения справедливого баланса между интересами частных лиц и общественными интересами в области уголовного преследования важными представляются выводы суда по данному делу, изложенные в п. «d» раздела «Вопросы права».

Заявители утверждали, что хранение их отпечатков пальцев, образцов клеток и профилей ДНК представляет собой вмешательство государства в осуществление права на уважение их личной жизни, поскольку эти данные неразрывно связаны с их самоидентификацией и содержат информацию личного характера, которую они вправе держать под своим контролем. Кроме того, подчеркивали заявители, образцы клеток содержат полную генетическую информацию о человеке, в том числе генетическую информацию о его родственниках. Человек вправе иметь гарантии того, что информация, являющаяся неотъемлемой частью его самого, не станет общедоступной и что никто не получит к ней доступ без его разрешения.

Суд указал на то, что Рекомендация № R(87)15 предусматривает следующие требования к сбору и хранению информации личного характера:

«Принцип 2. Сбор информации

2.1. Сбор информации личного характера для целей деятельности полиции должен ограничиваться объемом, необходимым для предотвращения реальной опасности или пресечения конкретного преступления.

Любое исключение из этого правила должно регламентироваться конкретными положениями национального законодательства <…>.

Принцип 3. Хранение информации

3.1. По мере возможности хранение информации личного характера для целей деятельности полиции должно ограничиваться точными данными и такими сведениями, которые необходимы для того, чтобы позволить органам полиции выполнять свои законные задачи в рамках национального законодательства и обязательства, вытекающие из международного права <…>.

Принцип 7. Длительность хранения и актуализация данных

7.1. Следует принимать меры к тому, чтобы информация личного характера, хранящаяся для целей деятельности полиции, удалялась, если в ней отпадает необходимость для целей ее хранения.

С этой целью принимаются во внимание, в частности, следующие критерии: необходимость хранения информации с учетом выводов расследования по конкретному делу; вступление в силу судебного решения, в частности оправдательного приговора; реабилитация; отбытие назначенного судом наказания; амнистии; возраст субъекта информации; принадлежность информации к особым категориям».

В Рекомендации № R(92)1[100] об использовании анализа дезоксирибонуклеиновой кислоты (ДНК) в рамках производства по уголовным делам указано:

«3. Использование образцов и извлеченной из них информации

Образцы, взятые для анализа ДНК, и информация, полученная в результате такого анализа с целью расследования преступлений и привлечения к ответственности за их совершение, не должны использоваться в иных целях <…>.

Взятие образцов для анализа ДНК

Взятие образцов для анализа ДНК должно производиться лишь в обстоятельствах, определяемых национальным законодательством; в некоторых странах для этого может потребоваться конкретная санкция судебного органа <…>.

Хранение образцов и информации

Образцы или иные ткани человека, взятые у физических лиц для анализа ДНК, не должны храниться после вынесения окончательного решения по делу, в рамках которого они были использованы, если только это не требуется в целях, непосредственно связанных с целями их сбора.

Следует принимать меры по обеспечению того, что результаты анализа ДНК удаляются, как только отпадает необходимость хранить их для целей их использования. Тем не менее результаты анализа ДНК и полученная таким образом информация могут продолжать храниться, если человек, которому они принадлежат, был признан судом виновным в совершении тяжких преступлений против жизни, неприкосновенности и безопасности других лиц. В таких случаях национальное законодательство должно предусматривать строго определенные сроки их хранения.

Образцы и иные ткани человека или извлеченная из них информация могут храниться в течение более длительного срока:

• по просьбе лица, которому они принадлежат; или
• когда невозможно определить принадлежность образца конкретному человеку, например, когда этот образец был обнаружен на месте преступления;

Когда речь идет о государственной безопасности, национальное законодательство государства – члена Совета Европы может допускать хранение образцов, результатов анализа ДНК и полученной таким образом информации, даже если человеку, которому они принадлежат, не было предъявлено обвинение в совершении преступления или если ему не был вынесен обвинительный приговор. В таких случаях национальное законодательство должно предусматривать строго определенные сроки их хранения <…>».

В пояснительном докладе к Рекомендации № R(92)1 отмечено, что позиция, изложенная в пункте 8 рекомендации, является «чувствительным вопросом», затрагивающим различные подлежащие защите интересы сложного характера. Соответственно, в каждом случае необходимо соблюдать справедливое равновесие между этими интересами.

Европейский суд отдельно рассмотрел вопросы о вмешательстве государства в права заявителей вследствие хранения образцов их клеток и профилей ДНК, с одной стороны, и хранения их отпечатков пальцев, с другой.

Ранее в деле «Ван дер Велден против Нидерландов» Европейский суд пришел к выводу о том, что с учетом возможного последующего использования образцов клеток их систематическое хранение достаточно сильно затрагивает интересы человека и может повлечь за собой вмешательство государства в осуществление права на уважение личной жизни. Помимо сугубо личного характера образцов клеток, в них содержится много конфиденциальной информации о человеке, в том числе о состоянии его здоровья. Образцы ДНК, кроме того, содержат уникальный генетический код, важный и для самого человека, и для его родственников. В связи с этим не имеет значения, что из них извлекается или используется властями для создания профиля ДНК лишь ограниченная часть генетической информации и что в конкретном случае не происходит немедленного ухудшения положения человека[101]. Таким образом, ЕСПЧ установил, что хранение образцов клеток и профилей ДНК свидетельствует о вмешательстве государства в осуществление права заявителей на уважение их личной жизни по смыслу положений пункта 1 статьи 8 Конвенции.

В деле «Маквей, О’Нейл и Эванс против Соединенного Королевства» Комиссия по правам человека впервые рассмотрела проблему взятия и хранения отпечатков пальцев в ходе проведения ряда оперативно-следственных мероприятий. Комиссия согласилась с тем, что некоторые из этих мероприятий свидетельствуют о вмешательстве государства в личную жизнь заявителей, но оставила открытым вопрос о том, является ли вмешательством хранение отпечатков пальцев само по себе[102]. В деле S. and Marper v. the United Kingdom Европейский суд указал, что хранение отпечатков пальцев является вмешательством государства в осуществление права на уважение личной жизни, хотя для разрешения вопроса о его оправданности может потребоваться разграничивать взятие, использование и хранение отпечатков пальцев, с одной стороны, и образцов и профилей ДНК, с другой стороны.

Далее Европейский суд по правам человека рассмотрел вопрос о том, преследовало ли вмешательство государства в личную жизнь заявителей правомерную цель и было ли оно необходимо в демократическом обществе.

ЕСПЧ согласился, что хранение отпечатков пальцев и информации о ДНК преследует правомерную цель, заключающуюся в выявлении и предотвращении преступлений. В то время как первоначальное взятие этой информации производится с целью установить причастность конкретного человека к конкретному преступлению, ее хранение преследует более широкую цель – способствовать установлению будущих правонарушителей.

Относительно необходимости и соразмерности вмешательства государства в личную жизнь заявителей суд отвечал на вопрос о том, оправданно ли с точки зрения статьи 8(2) Конвенции хранение отпечатков пальцев и информации о ДНК заявителей, подозревавшихся, но не признанных виновными в совершении определенных преступлений. Суд указал, что другие государства-участники Конвенции предпочли ограничить хранение и использование такого рода информации, чтобы достичь надлежащего равновесия между противоборствующими интересами и обеспечить неприкосновенность личной жизни. Суд, в частности, отметил:

«113. <…> защита, предоставляемая статьей 8 Конвенции, недопустимо ослабнет, если использование современных научных методов в ходе производства по уголовным делам будет разрешено любой ценой и без тщательного сопоставления потенциальных преимуществ, которые дает всестороннее использование таких методов, с важными интересами, связанными с защитой личной жизни. <…> Суд полагает, что любое государство, претендующее на роль первопроходца в развитии новых технологий, несет особую ответственность за соблюдение справедливого равновесия в этой области».

Далее суд рассмотрел вопрос о том, имеет ли под собой соответствующие и достаточные основания постоянное хранение отпечатков пальцев и информации о ДНК всех лиц, подозреваемых, но не признанных виновными в совершении преступлений. ЕЧПЧ указал, что «поражен всеобъемлющим и не делающим никаких различий характером полномочий соответствующих властей по хранению информации личного характера в Англии и Уэльсе», где такая информация может храниться независимо от характера и степени тяжести преступления, в совершении которого человек первоначально подозревался, и от возраста подозреваемого; отпечатки пальцев и образцы могут быть взяты у человека любого возраста, задержанного в связи с совершением любого правонарушения, влекущего за собой постановку на учет в полиции, в том числе мелкого правонарушения или правонарушения, не предполагающего наказания в виде лишения свободы. Кроме того, хранение данной информации не ограничено во времени – личные данные хранятся бессрочно независимо от характера или степени тяжести преступления, в совершении которого человек подозревался. У человека, которому был вынесен оправдательный приговор, ограничен в возможности добиваться удаления сведений из общенациональной базы данных или уничтожения соответствующих материалов.

Суд указал, что бессрочное хранение персональных данных лиц, которым не был вынесен обвинительный приговор, противоречит презумпции невиновности:

«122. Особую озабоченность в данном контексте вызывает опасность социальной стигматизации человека, возникающая в связи с тем, что с лицами, находящимися в том же положении, что и заявители, которым не был вынесен обвинительный приговор и которые имеют право считаться невиновными, обращаются так же, как с осужденными. В связи с этим Европейский Суд не должен забывать о том, что предусмотренное Конвенцией право каждого человека считаться невиновным предполагает общее правило, в силу которого после вынесения обвиняемому оправдательного приговора не допускаются никакие сомнения в его невиновности (см. постановление Европейского Суда от 21 марта 2000 г. по делу «Асан Рушити против Австрии» [Asan Rushiti v. Austria] (жалоба № 28389/95), § 31, в котором содержатся отсылки к другим постановлениям Европейского Суда по данному вопросу). Действительно, хранение персональных данных заявителей нельзя приравнивать к появлению сомнений в их невиновности. Тем не менее возникающее у них ощущение, что с ними обращаются не так, как с невиновными, усугубляется тем, что их данные хранятся бессрочно и на тех же условиях, что и данные осужденных, в то время как сведения о тех, кто никогда не подозревался в совершении преступлений, подлежат уничтожению».

В результате Европейский суд пришел к выводу, что безоговорочный и не делающий никаких различий характер полномочий властей по хранению отпечатков пальцев, образцов клеток и профилей ДНК лиц, подозреваемых, но не признанных виновными в совершении преступлений, нарушает справедливое равновесие между публичными и частными интересами и что в деле S. and Marper v. the United Kingdom государство-ответчик вышло за рамки допустимой свободы усмотрения. Соответственно, хранение материалов заявителей представляло собой несоразмерное вмешательство государства в осуществление заявителями права на уважение их личной жизни и не могло считаться необходимым в демократическом обществе. Суд признал наличие нарушения требований статьи 8 Конвенции.

3.2. Получение персональных данных с использованием методов скрытого наблюдения

Во многих решениях ЕСПЧ оценивал вмешательство в осуществление права на уважение личной жизни заявителей в связи с использованием полицией или органами безопасности методов скрытого наблюдения[103]. «Демократическим обществам в настоящее время угрожают весьма изощренные формы шпионажа и терроризма. Поэтому государство должно иметь возможность, в целях эффективного противодействия таким угрозам, вести скрытое наблюдение за лицами, осуществляющими подрывную деятельность на его территории», − указал суд в решении по делу Klass и другие против Германии[104]. При этом Суд, осознавая создаваемую применением мер тайного наблюдения опасность «подрыва или даже разрушения демократии под предлогом ее защиты, утверждает, что договаривающиеся государства не могут во имя борьбы со шпионажем и терроризмом принимать любые меры, которые они сочтут необходимыми»[105]. Европейский суд указал, что системы секретного наблюдения должны содержать установленные законом гарантии, которые применяются к надзору за деятельностью соответствующих служб[106].

Обработка персональных данных, полученных с использованием методов негласного наблюдения, должна быть законной и справедливой в свете статьи 8 (2) Европейской конвенции, то есть:

• производиться в соответствии с законом;
• преследовать законную цель;
• быть необходимой в демократическом обществе для достижения законной цели.

В частности, в деле Узун [Uzun] Европейский суд пришел к выводу, что наблюдение за заявителем с помощью глобальной системы позиционирования, проводившееся по приказу Федерального генерального прокурора в рамках расследования нескольких эпизодов покушения на убийство, за которые взяла на себя ответственность террористическая организация, служило интересам национальной безопасности и общественного порядка, предотвращения преступлений и защиты прав жертв. Суд признал, что вмешательство в осуществление права на частную жизнь заявителей было соразмерно преследуемым правомерным целям и «необходимо в демократическом обществе» по смыслу статьи 8 § 2.

В нескольких делах суд признал вмешательство в частную жизнь граждан неправомерным, поскольку использование методов скрытого наблюдения не было предусмотрено законом. В частности, в деле Allan v. the United Kingdom[107] частные разговоры заключенного с другом в помещении для встреч и с сокамерниками были тайно записаны властями. ЕСПЧ постановил, что использование аудио- и видеозаписывающих устройств в камере и помещении для встреч представляет собой вмешательство в осуществление права на частную жизнь. Поскольку не существовало законодательного регулирования использования полицией скрытых устройств для наблюдения, вмешательство не соответствовало закону. В деле Vetter v. France[108] заявитель был арестован и привлечен к ответственности за убийство на основании бесед с другом в частном доме, тайно записанных полицией с разрешения следственного судьи. Он ходатайствовал о признании записи неприемлемым доказательством, утверждая, в частности, что такое доказательство не было предусмотрено законом. ЕСПЧ решал, соответствовало ли закону использование полицией «прослушки» в качестве доказательства по уголовному делу. Прослушивание частного помещения не отвечало нормам уголовно-процессуального кодекса Франции, регулирующим перехват телефонных линий. В УПК не было достаточно четко обозначен объем усмотрения властей в проведении «прослушки» за частными переговорами. Соответственно, заявитель не имел минимальной степени защиты, на которую могут рассчитывать граждане в демократическом обществе. В деле Malone против Соединённого Королевства суд признал нарушение статьи 8 на основании того, что прослушивание телефонных разговоров заявителя в рамках уголовного преследования за хранение и сбыт краденого и регистрация истории звонков не были предусмотрены законом. В деле A. против Франции запись телефонного разговора заявительницы была сделана частным лицом, утверждавшим, что та наняла его для совершения заказного убийства. Запись была сделана при содействии полиции в ходе предварительного расследования. Суд признал нарушение статьи 8, поскольку запись осуществлялась вне рамок судебного разбирательства и не была санкционирована следственным судьей. В деле P.G. и J.H. против Соединенного Королевства в полицейском участке, куда заявителей доставили после задержания по подозрению в подготовке кражи, была осуществлена запись образцов их голоса. Суд признал нарушение статьи 8, поскольку в национальном законодательстве отсутствовали нормы, регулирующие использование скрытых подслушивающих устройств в полицейских участках.

В случае сбора государством информации личного характера с использованием скрытых устройств также должны существовать надлежащие и эффективные гарантии от злоупотреблений. В деле Van Vondel против Нидерландов заявитель был сотрудником службы уголовных расследований, его телефонные переговоры с одним из его информаторов были записаны с помощью устройства, предоставленного Департаментом национальной полиции по внутренним расследованиям. Запись осуществлялась в рамках парламентского расследования методов уголовного следствия в Нидерландах, вызванного спором по поводу деятельности Межрегиональной уголовной следственной группы «Северная Голландия/Утрехт». Европейский суд признал нарушение статьи 8, поскольку заявитель был лишен минимальной защиты – в частности, суд признал неприемлемым то, что власти оказывали техническую помощь, которая не регулировалась правилами, предоставляющими гарантии от актов произвола.

Европейский суд рассмотрел несколько российских дел, связанных с применением методов негласного наблюдения. По одному из таких дел[109] заявителем был руководитель Нижегородского правозащитного союза – неправительственной ассоциации, объединяющей правозащитные и экологические организации и занимающейся мониторингом нарушения прав человека и общественным контролем закрытых учреждений Сергей Шимоволос.

13 мая 2007 года Шимоволос направлялся в Самару, чтобы расследовать задержания активистов, проводивших акции протеста во время подготовки и проведения 19-го саммита Россия-ЕС[110]. Повестка дня саммита включала вопросы прав человека в России, переговоры по новому соглашению о партнерстве и сотрудничестве с Евросоюзом, сотрудничество в сфере энергетики, размещение в Польше и Чехии элементов американской системы ПРО, вступление России в ВТО и другие. К саммиту был приурочен очередной «Марш несогласных», который впервые с 2005 года согласовали местные власти, однако многие активисты, правозащитники и журналисты не смогли попасть на него в результате серии полицейских операций. Как только Сергей Шимоволос вошел в вагон поезда, милиционеры проверили у него документы и поинтересовались целью поездки. На протяжении 15-часовой поездки из Нижнего Новгорода в Самару его три раза опрашивали сотрудники милиции, а после прибытия в Самару отвели в отдел милиции. После проверки по «базе данных» правозащитник был отпущен.

В Европейский суд, кроме незаконного задержания, Сергей Шимоволос обжаловал внесение его имени в базу данных лиц, находящихся под особым наблюдением, в которую заносились данные о его передвижениях по земле и по воздуху внутри России, что равносильно вмешательству в его частную жизнь. Создание и ведение этой базы, процедура ее функционирования регламентированы приказом министра, который никогда не был опубликован и никаким иным образом не был доступен общественности. По этой причин ЕСПЧ согласился с заявителем в том, что национальное законодательство не указывает с достаточной ясностью пределы и способ реализации предоставленного национальным властям усмотрения в отношении сбора и хранения в базе данных информации о частной жизни людей. Европейский суд признал, что порядок функционирования базы данных и отсутствие минимальных гарантий от злоупотреблений не отвечают стандартам законности и правовой определенности. Следовательно, включение заявителя в такую базу было нарушением статьи 8 Европейской конвенции о защите прав человека и основных свобод.

В декабре 2016 года ЕСПЧ вынес решение по делу Roman Zakharov v. Russia, связанным с законодательным регулированием прослушивания телефонных переговоров в России. Заявитель по делу – руководитель регионального центра Фонда защиты гласности в Санкт-Петербурге Роман Захаров – утверждал, что отсутствие строгих процессуальных гарантий позволяет спецслужбам бесконтрольно прослушивать мобильные переговоры с помощью технического оборудования для обеспечения функций оперативно-розыскных мероприятий на сетях электросвязи. Несмотря на то, что Захаров не смог доказать, что его переговоры прослушивались, Суд рассмотрел жалобу и признал факт нарушения российскими властями статьи 8 Конвенции, указав на ряд фундаментальных дефектов российского законодательства, которые позволяют службам безопасности и полиции обойти процедуру разрешения и получать доступ к любым сообщениям без предварительного судебного решения.

По данным Судебного департамента при Верховном Суде Российской Федерации, с 2007 по 2015 годы судами общей юрисдикции было рассмотрено 4 659 325 ходатайств о контроле и записи телефонных и иных переговоров, а также ограничении тайны переписки, из них удовлетворено 4 517 515 (96,96%). Ежегодно количество таких запросов увеличивается, причем наибольшие темпы роста показывают запросы, подающиеся в рамках оперативно-розыскных мероприятий, то есть до возбуждения уголовного дела. По данным ассоциации «Агора», точное количество «внесудебных» случаев прослушки подсчитать невозможно. За последние девять лет не менее 9 млн. человек (примерно 6% жителей) в Российской Федерации могли подвергаться прослушиванию только на основании судебного решения[111].

Европейский суд постановил, что господин Захаров имеет право обратиться в суд с жалобой на то, что является жертвой нарушения Конвенции, хотя не может доказать, что его телефонные переговоры действительно прослушивались. Учитывая отсутствие эффективных средств обжалования на национальном уровне, негласный характер методов наблюдения и тот факт, что они потенциально могут быть применены к любому пользователю мобильной связи, суд пришел к выводу, что в данном случае будет оправданно исследовать на соответствие Конвенции российское законодательство, а не его применение в конкретном деле заявителя. Если законодательство не гарантирует эффективных средств обжалования человеку, подозревающему, что его телефонные переговоры прослушиваются, само по себе существование спорного законодательства уже составляет вмешательство в права заявителя по статье 8 Конвенции.

ЕСПЧ пришел к выводу, что прослушивание мобильных телефонов в России преследует законные цели, такие как предотвращение преступлений и защита национальной безопасности, общественного порядка и экономического благосостояния страны. Однако существует риск, что система секретных методов наблюдения, созданная для защиты национальной безопасности, может ослабить или разрушить демократию под предлогом ее защиты. Поэтому законодательство должно устанавливать адекватные и эффективные гарантии против злоупотреблений, чтобы ограничить применение негласных методов наблюдения только теми случаями, когда это действительно необходимо для достижения вышеуказанных целей.

Стороны не оспаривали, что прослушивание мобильных телефонных переговоров предусмотрено законом, а именно Федеральным законом об оперативно-розыскной деятельности от 12 августа 1995 г. № 144-ФЗ (далее Закон об ОРД), Уголовно-процессуальным кодексом РФ от 18 декабря 2001 г. № 174-ФЗ (далее УПК), Федеральным законом о связи от 7 июля 2003 № 126-ФЗ и приказами, изданными Госкомсвязи РФ и его преемниками (в частности, Приказом № 70 от 20 апреля 1999 г.). Прослушивание мобильных телефонов преследует такие законные цели, как предотвращение преступлений и защита национальной безопасности, общественного порядка и экономического благосостояния страны. Суд пришел к выводу, что российское законодательство содержит ряд гарантий против злоупотреблений, однако эти гарантии не достаточны. Хотя злоупотребления возможны при любой системе организации негласных наблюдений, их вероятность особенно высока в такой системе, где правоохранительные органы имеют с помощью технических средств прямой доступ ко всем мобильным телефонным переговорам.

В то же время, суд обнаружил в российском законодательстве, регулирующем прослушивание мобильных телефонов, следующие дефекты:

1. Ситуации, в которых правоохранительные органы имеют право прослушивать телефонные и иные переговоры.

Российское законодательство недостаточно четко определяет категории людей, чьи телефонные и иные переговоры могут прослушиваться. В частности, законодательство разрешает прослушивать телефонные переговоры не только подозреваемых и обвиняемых в уголовных преступлениях, но также и переговоры «других лиц, чьи телефонные и иные переговоры могут содержать сведения, имеющие значение для уголовного дела» (статья 186 УПК) и «лиц, которые могут располагать сведениями о преступлениях» или «о событиях или действиях (бездействии), создающих угрозу государственной, военной, экономической, информационной или экологической безопасности Российской Федерации» (статья 8 Закона об ОРД). Российское законодательство не объясняет, как такие широко сформулированные термины должны толковаться в правоприменительной практике, и таким образом дает правоохранительным органам слишком широкие дискреционные полномочия определять, какие события или действия создают вышеуказанную угрозу, и является ли эта угроза достаточно серьезной, чтобы оправдать прослушивание телефонных переговоров.

2. Прекращение прослушивания телефонных переговоров.

Российское законодательство недостаточно четко определяет ситуации, в которых прослушивание телефонных переговоров должно быть прекращено. Требование о немедленном прекращении прослушивания, когда необходимость в данной мере отпадает, содержится только в УПК (статья 186), но не в законе об ОРД. В результате прослушивание телефонных переговоров на основании закона об ОРД (в частности, в связи с получением сведений о событиях или действиях, создающих угрозу государственной, военной, экономической, информационной или экологической безопасности Российской Федерации) осуществляется без достаточных гарантий против злоупотреблений.

3. Уничтожение собранных материалов.

Российское законодательство позволяет хранить в течение шести месяцев все материалы, собранные в результате прослушивания телефонных переговоров. Оно не содержит требования о немедленном уничтожении тех материалов, которые очевидно не связаны с целями прослушивания. Кроме того, законодательство не определяет, в каких ситуациях материалы, которые использовались в уголовном судебном процессе, должны быть уничтожены после окончания такого процесса, а в каких ситуациях их можно продолжать хранить.

4. Процедура выдачи разрешений на прослушивание телефонных переговоров.

Процедура выдачи разрешений на прослушивание телефонных переговоров не предоставляет достаточных гарантий того, что прослушивание будет разрешено только в тех случаях, когда это обоснованно и необходимо. В частности, несмотря на указания Конституционного суда РФ[112], российские суды не проверяют, есть ли основания подозревать человека, о прослушивании чьих телефонных переговоров ходатайствуют правоохранительные органы, в причастности к преступлению или действиям, создающим угрозу государственной, военной, экономической или экологической безопасности Российской Федерации. Российские суды также не оценивают обоснованность и необходимость прослушивания. В частности, к ходатайствам о прослушивании телефонных переговоров часто не прилагаются материалы, подтверждающие основания для проведения прослушивания, а судьи не требуют представления таких материалов. Обычно для получения судебного разрешения на прослушивание правоохранительным органам достаточно сослаться на наличие информации о преступлении или действиях, создающих угрозу государственной, военной, экономической или экологической безопасности Российской Федерации. Кроме того, закон об ОРД не содержит никаких требований к содержанию ни ходатайства о прослушивании телефонных и иных переговоров, ни судебного разрешения на такое прослушивание. В результате суды иногда выдают разрешения на прослушивание всех мобильных телефонных переговоров в районе совершения преступления без указания конкретного лица или телефонного номера, или разрешения на прослушивание без указания срока действия. Закон об ОРД также позволяет прослушивать телефонные и иные переговоры в течение 48 часов без предварительного судебного разрешения в случаях, которые не терпят отлагательства. Данная процедура не предусматривает достаточных процессуальных гарантий того, что она будет использована только в тех случаях, когда это действительно обоснованно.

Наконец, Суд пришел к выводу, что техническое оборудование для обеспечения функций оперативно-розыскных мероприятий на сетях электросвязи дает правоохранительным органам техническую возможность для прослушивания мобильных телефонных переговоров без предварительного получения судебного разрешения. Хотя злоупотребления возможны при любой системе организации негласных наблюдений, их вероятность особенно высока в такой системе, где правоохранительные органы имеют прямой доступ ко всем мобильным телефонным переговорам и не обязаны предъявлять разрешение на прослушивание мобильным операторам. При такой системе необходимость в эффективных процессуальных гарантиях против злоупотреблений особенно высока.

5. Надзор за законностью проведения негласных оперативно-розыскных мероприятий.

Надзор за законностью проведения негласных оперативно-розыскных мероприятий не отвечает требованиям Европейской Конвенции о независимости надзирающего органа, достаточности полномочий для проведения эффективного надзора и его открытости общественному контролю. Во-первых, запрет на регистрацию сведений о контролируемых абонентах и иных сведений относящихся к прослушиванию мобильных телефонных переговоров, содержащийся в приказе Госкомсвязи № 70, делает невозможным выявление случаев незаконного прослушивания без судебных разрешений. Во-вторых, надзор осуществляет генеральный прокурор и уполномоченные им прокуроры. Учитывая порядок назначения прокуроров, у суда возникли сомнения в их независимости от исполнительной власти. Кроме того, в рамках своих полномочий по уголовному преследованию, прокурор дает согласие на возбуждение перед судом ходатайства о прослушивании телефонных или иных переговоров. Тот факт, что прокуратура совмещает в себе функции по уголовному преследованию и, одновременно, по надзору за законностью прослушиваний телефонных и иных переговоров, дает основания сомневаться в ее независимости. В-третьих, полномочия прокуратуры по надзору за законностью прослушиваний ограничены: например, в предмет прокурорского надзора на входят сведения о тактике, методах и средствах осуществления деятельности органов федеральной службы безопасности. Помимо этого, российское законодательство не содержит требования о немедленном уничтожении материалов, которые были квалифицированы прокурором как полученные в результате незаконного прослушивания телефонных переговоров. В-четвертых, результаты прокурорского надзора не публикуются и не доводятся до сведения общественности каким-либо иным образом. Наконец, российское правительство не представило ни одного прокурорского решения, постановившего пресечь нарушение прав или принять меры к их восстановлению и привлечению виновных должностных лиц к ответственности, не доказав, таким образом, эффективность прокурорского надзора на практике.

6. Система уведомления о прослушивании телефонных переговоров и средства обжалования.

Суд пришел к выводу, что эффективность имевшихся в распоряжении заявителя средств обжалования подрывается тем, что они доступны только тем, кто может представить доказательства прослушивания своих телефонных переговоров. В отсутствие системы уведомления о «прослушке» или эффективной возможности запросить информацию о прослушивании, получить такие доказательства практически невозможно. Таким образом, у человека, который подозревает, что его телефонные или иные переговоры прослушиваются, отсутствуют эффективные средства обжалования – одна из наиболее важных гарантий против злоупотреблений при использовании негласных методов наблюдения. При этом суд не рассматривал вопрос об эффективности вышеуказанных средств обжалования в тех ситуациях, когда гражданин может доказать факт прослушивания его телефонных или иных переговоров, т.к. он получил доступ к материалам прослушивания в рамках уголовного процесса против него, где эти материалы использовались в качестве доказательств.

В связи с вышеизложенным, суд пришел к выводу, что в российском законодательстве отсутствуют адекватные и эффективные гарантии против злоупотреблений при прослушивании телефонных и иных переговоров. Дефекты российского законодательства могут оказывать негативное влияние на функционирование системы прослушивания телефонных и иных переговоров в России. В результате суд постановил, что российское законодательство не отвечает критериям «качества закона» и не способно ограничить применение негласных методов наблюдения только теми случаями, когда это «необходимо в демократическом обществе». Суд признал нарушение статьи 8 Европейской Конвенции.

Таким образом, развитие информационно-коммуникационных технологий облегчает доступ государств к персональным данным граждан, использование правоохранительными органами методов скрытого наблюдения и контроль за коммуникациями. Европейский суд признает, что борьба с преступностью, в частности с организованной преступностью и терроризмом, − один из вызовов, стоящих перед современными европейскими обществами, − во многом зависит от использования современных научных методов расследования и методов установления правонарушителей.  Однако в случае сбора и хранения информации личного характера в интересах национальной безопасности должны существовать надлежащие и эффективные гарантии от злоупотреблений со стороны государства. При рассмотрении вопросов хранения и обработки персональных данных правоохранительными органами и органами национальной безопасности Европейский суд оценивает соблюдение государствами требований к защите данных, соблюдения прав субъектов данных – в частности, обеспечения доступа к данным, возможности их удаления и корректировки, ограниченный характер хранения данных.

Осознавая создаваемую применением мер тайного наблюдения опасность «подрыва или даже разрушения демократии под предлогом ее защиты», ЕСПЧ утверждает, что государства-участники Европейской конвенции  не могут во имя борьбы со шпионажем и терроризмом принимать любые меры, которые они сочтут необходимыми. Системы негласного сбора информации должны содержать установленные законом гарантии, которые применяются к надзору за деятельностью соответствующих служб. Обработка персональных данных, полученных с использованием методов негласного наблюдения, должна быть законной и справедливой в свете пункта 2 статьи 8 Европейской конвенции.

ЗАКЛЮЧЕНИЕ

Подводя итоги настоящего исследования, отметим, что в современной правовой мысли право на «информационную приватность» и «защита личных (персональных) данных» не сводится к обеспечению мер технической безопасности сбора, хранения и обработки данных, то есть к качеству их использования, а понимается как право индивида контролировать все информационные процессы, связанные со сбором и использованием персональных данных, собираемых о нем частными и государственными организациями, а также способы обработки личной информации и ее распространения.

Защита персональных данных как составляющая права на неприкосновенность частной жизни подпадает под защиту статьи 8 Европейской конвенции о защите прав человека и основных свобод, регулируется положениями Конвенции о защите данных, другими конвенциями и рекомендациями Совета Европа. Последние правовые документы Совета Европы в области защиты персональных данных направлены на регулирование и установление баланса между растущими возможностями информационных технологий, используемыми государствами для защиты публичных интересов в сфере уголовного преследования и национальной безопасности, и индивидуальными интересами каждого в защите личных данных от неправомерного вмешательства со стороны государства и частных лиц.

Европейское право в сфере защиты данных основывается на принципах (справедливая обработка, четкое определение ограничение целей, минимизация данных, качество данных, защита данных), правах (права субъектов данных) и средствах правовой защиты (надзор со стороны независимого органа защиты данных), которые являются конкретным выражением общих принципов «верховенства права», разработанных Европейским судом по правам человека.

Путем анализа положений Конвенции о защите данных и судебной практики Европейского суда по правам человека, автором описан правовой режим сбора и хранения персональных данных в свете правовых позиций ЕСПЧ. Данный режим, в частности, подразумевает, что простое хранение информации, относящейся к личной жизни лица, является вмешательством в осуществление его прав по смыслу положений статьи 8 Конвенции. Тем не менее, всякий раз отвечая на вопрос о том, затрагивают ли хранимые властями персональные данные какие-то стороны личной жизни человека, Европейский суд принимает во внимание условия, в которых была получена информация, характер информации и то, каким образом она используется.

В практике ЕСПЧ рассмотрено множество дел, в которых поднимался вопрос о защите данных, в том числе касающихся перехвата коммуникаций, различных форм наблюдения, хранения персональных данных органами власти. Статья 8 Европейской конвенции не только обязывает государства воздерживаться от действий, нарушающих право на неприкосновенность личной жизни, но и – при определенных обстоятельствах – нести позитивные обязательства для обеспечения эффективного уважения частной и семейной жизни.

В силу развития научных технологий государства получают доступ к биологическим данным и информации, содержащейся в ДНК, что корректирует и расширяет сферу охвата права на «частную жизнь» в практике ЕСПЧ. Правоохранительные органы и органы национальной безопасности, кроме того, имеют возможность использовать методы скрытого наблюдения и контроль за коммуникациями для сбора информации о гражданах посредством Интернета и информационно-коммуникационных систем – данная проблема уже сейчас являются дискуссионной в практике ЕСПЧ и интерпретируются судом в зависимости от обстоятельств конкретного дела. Европейский суд признает, что борьба с преступностью и терроризмом − один из вызовов, стоящих перед современными европейскими обществами, и ответ на него во многом зависит от использования современных научных методов расследования и методов установления правонарушителей.  Однако в случае сбора и хранения информации личного характера в интересах безопасности и борьбы с преступностью должны существовать надлежащие и эффективные гарантии от злоупотреблений со стороны государства. При рассмотрении вопросов хранения и обработки персональных данных правоохранительными органами и органами национальной безопасности ЕСПЧ оценивает соблюдение государствами требований к защите данных, соблюдения прав субъектов данных – в частности, обеспечения доступа к данным, возможности их удаления и корректировки, ограниченный характер хранения данных.

Недавно коммуницированные дела показывают, что Европейскому суду предстоит ответить на новые вызовы, связанные с развитием «права на приватность» в условиях развития информационно-коммуникационных и научных технологий, такими как переносимость данных или право быть забытым, а также дальше уточнять правовые стандарты защиты данных (в частности, например, право субъекта информации возражать против дальнейшей обработки личных данных, обязанность оператора данных удалять информацию сразу после того, как она перестает быть необходимой для целей обработки).

БИБЛИОГРАФИЯ

1. Директива N 95/46/ЕС Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных».
2. Европейская Конвенция по киберпреступлениям, (преступлениям в киберпространстве), Будапешт, 23 ноября 2001 года.
3. Конвенция о защите прав человека и основных свобод, г. Рим, 4 ноября 1950.
4. Конвенция о защите физических лиц в отношении автоматизированной обработки данных личного ха­рактера, г. Страсбург, 28 января 1981.
5. Уголовно-процессуальный кодекс Российской Федерации от 18 декабря 2001 г. № 174-ФЗ // Российская газета. 22 декабря 2001 г. № 249.
6. Федеральный закон «Об оперативно-розыскной деятельности» от 12 августа 1995 г. № 144-ФЗ // Российская газета. 18 августа 1995 г.
7. Федеральный закон «О связи» от 7 июля 2003 г. № 126-ФЗ // 10 июля 2003 г. № 135 (3249).
8. Агапеева, К. (2012) Теория секьюритизации Барри Бузана. URL: http://www.geopolitica.ru/article/teoriya-sekyuritizacii-barri-buzana#.
9. Базанов, Ю. К. Права человека и защита персональных данных. – Киев, 2000.
10. Балытников, В., Кузнецов, Д. Актуальные проблемы правового регулирования масс-медиа в решениях европейских судов наднационального уровня // «Международное правосудие». № 1 (13), 2015. С. 88 – 101.
11. Белгородцева Н.Г. Теоретико-правовые аспекты защиты персональных данных // Диссертация на соискание ученой степени кандидата юридических наук. – Москва, 2012.
12. Броунли, Йен. Хранение данных о передаче информации в развивающемся Интернете // Международный журнал права и информационных технологий. – Оскфорд Юниверсити пресс, 2010.
13. Верховенство права в Интернете и в остальном цифровом мире/ Тематический доклад, опубликованный Комиссаром Совета Европы по правам человека. Основные положения доклада и рекомендации Комиссара. Совет Европы, декабрь 2014.
14. Заман Ш.Х. Гражданско-правовой статус физических лиц в Германии, Италии, Франции и России // Диссертация на соискание ученой степени кандидата юридических наук. – Москва, 2009.
15. Защита персональных данных. Информационно-тематический листок // Совет Европы/Европейский Суд по правам человека, 2011.
16. Интернет: прецедентная практика Европейского Суда по правам человека. Совет Европы/Европейский Суд по правам человека, 2011. URL: www.echr.coe.int.
17. Исаев, А.С., Хлюпина, Е.А. Правовые основы организации защиты персональных данных. – СПб: НИУ ИТМО, 2014. – 106 с.
18. Неправительственный доклад «Россия под наблюдением» Международной правозащитной группы «Агора» (2016). URL: https://meduza.io/static/0001/Survelliance_Report_Agora.pdf.
19. Пазюк, А., Соколова М. Защита персональных данных: введение в проблематику: учебное пособие / А. Пазюк, М. Соколова. – Минск, 2015. – 116 с.
20. Прохвачева, О. (2000) Лингвокультурный концепт «приватность»: На материале американского варианта английского языка. URL: http://www.dissercat.com/content/lingvokulturnyi-kontsept-privatnost-na-materiale-amerikanskogo-varianta-angliiskogo-yazyka#ixzz3AMsvTYM.
21. Соколова, М.А. Защита персональных данных – основа цифрового доверия. Материалы для обсуждения. Минск, 2014.
22. Телина, Ю.С. Конституционное право гражданина на неприкосновенность частной жизни, личную и семейную тайну при обработке персональных данных в России и зарубежных странах // Диссертация на соискание ученой степени кандидата юридических наук. – Москва, 2016.
23. Хуаде, А.Х. Уголовно-правовая характеристика нарушения неприкосновенности частной жизни // Диссертация на соискание ученой степени кандидата юридических наук. – Кисловодск, 2015.
24. Шугуров, М. В. Защита прав человека в условиях современного научно-технологического прогресса: практика Европейского суда по правам человека // «Международное публичное и частное право», 2011, № 1.
25. Data protection. Legal instruments. URL: http://www.coe.int/t/dghl/standardsetting/dataprotection/legal_instruments_en.asp.
26. Data protection. Compilation of Council of Europe texts. URL: http://www.coe.int/t/dghl/standardsetting/dataprotection/dataprotcompil_en.pdf.
27. Council of Europe, Committee of Ministers, Recommendation No. R (92) 1, 10 February 1992.
28. Council of Europe, Committee of Ministers, Recommendation No. R(85)20, 25 October 1985.
29. Council of Europe, Committee of Ministers, Recommendation No. R(87)15, 17 September 1987.
30. Council of Europe, Committee of Ministers, Recommendation No. R Rec(90) 19 on the protection of personal data used for payment and other related operations, 13 September 1990.
31. Article 29 data protection working party (2007) Оpinion 4/ 2007 on the concept of personal data. URL: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_en.pdf.
32. Bernard A. La protection de l’intimité par la droit privé: eloge du ragot ou comment vices exposes engendrent vertu. Les For Interieur, p.153-179. URL: http://www.upicardie.fr/labo/curapp/revues/root/35/alain_bernard.pdf_4a081e8ad4544/alain_bernard.pdf.
33. Bok, S., 1982, Secrets: On the Ethics of Concealment and Revelation, New York: Pantheon.
34. Bygrave, L (2010) Privacy and data protection in an international perspective. URL: http://www.uio.no/studier/emner/jus/jus/JUS5630/v13/undervisningsmateriale/privacy-and-data-protection-in-international-perspective.pdf.
35. DeCew, J., 1997, In Pursuit of Privacy: Law, Ethics, and the Rise of Technology, Ithaca: Cornell University Press.
36. Information technology – Security techniques – Guidelines for cybersecurity. ISO/IEC 27032:2012. URL: https://www.iso.org/obp/ui/#iso:std:iso-iec:27032:ed-1:v1:en.
37. Gavison, R., (1980) Privacy and the Limits of Law, Yale Law Journal 1980, vol. 89, p. 421–71.
38. Moore, A., 1998, “Intangible Property: Privacy, Power, and Information Control”, American Philosophical Quarterly 35: 365–378.
39. Parent, W., 1983, “Privacy, Morality and the Law”, Philosophy and Public Affairs, 12: 269–88.
40. Prosser, W., 1960, “Privacy”, California Law Review, 48: 383–423.
41. Regan, P., 1995, Legislating Privacy, Chapel Hill, NC: University of North Carolina Press.
42. Schoeman, F. (1992) Privacy and Social Freedom. Cambridge, U.K.: Cambridge University Press.
43. Solove, D., 2006, “A Taxonomy of Privacy”, University of Pennsylvania Law Review, 154: 477–564.
44. Warren, S.D. and Brandeis, L.D., (1890) The Right to Privacy. URL: http://groups.csail.mit.edu/mac/classes/6.805/articles/privacy/Privacy_brand_warr2.html.
45. Westin, A., 1967, Privacy and Freedom, New York: Atheneum. URL: http://www.jstor.org/.
46. Westin, A. (2003) Social and Political Dimensions of Privacy. URL: http://www.asc.upenn.edu/usr/ogandy/Gandy%20Comm664/westin%20-%20social%20and%20political%20dimensions%20of%20privacy.pdf.
47. ECtHR, Airey v. Ireland, Judgment of 9 October 1979.
48. ECtHR, Allan v. the United Kingdom, Judgment of 5 November 2002.
49. ECtHR, Amann v. Switzerland [GC], Judgment of 16 February 2000.
50. ECtHR, B.B. v. France, Judgment of 17 December 2009.
51. ECtHR, Bensaid v. the United Kingdom, Judgment of 6 May 2001.
52. ECtHR, Bernh Larsen Holding AS and Others v. Norway, Judgment of 14 March 2013.
53. ECtHR, Burghartz v. Switzerland, Judgment of 22 February 1994.
54. ECtHR, I. v. Finland, Judgment of 17 July 2008.
55. ECtHR, Friedl v. Austria, Judgment of 31 January 1995 г.
56. ECtHR, Gardel v. France, Judgment of 17 December 2009.
57. ECtHR, Gaskin v. the United Kingdom, Judgment of 7 July 1989.
58. ECtHR, Cemalettin Canli v. Turkey, Judgment of 18 November 2008.
59. ECtHR, Ciubotaru v. Moldova, Judgment of 27 April 2010.
60. ECtHR, Godelli v. Italy, Judgment of 25 September 2012.
61. ECtHR, Haralambie v. Romania, Judgment of 27 October 2009.
62. ECtHR, Khelili v. Switzerland, Judgment of 18 October 2011.
63. ECtHR, K.H. and Others v. Slovakia, Judgment of 28 April 2009.
64. ECtHR, Klass and others v. Germany, Judgment of 6 September 1978.
65. ECtHR, K.U. v. Finland, Judgment of 2 December 2008.
66. ECtHR, Köpke v. Germany (dec.), Judgment of 5 October 2010.
67. ECtHR, Leander v. Sweden, Judgment of 26 March 1987.
68. ECtHR, Malone v. the United Kingdom, Judgment of 2 August 1984.
69. ECtHR, McVeigh, O‘Neill and Evans v. the United Kingdom, Judgment of 18 March 1981.
70. ECtHR, Mikulić v. Croatia, Judgment of 29 7 February 2002.
71. ECtHR, M.S. v. Sweden, Judgment of 27 August 1997.
72. ECtHR, Peck v. the United Kingdom, Judgment of 28 January 2003.
73. ECtHR, P.G. and J.H. v. the United Kingdom, Judgment of 25 September 2001.
74. ECtHR, Pretty v. the United Kingdom, Judgment of 29 April 2002.
75. ECtHR, Rotaru v. Romania, Judgment of 4 May 2000.
76. ECtHR, Segerstedt-Wiberg and Others v. Sweden, Judgment of 6 June 2006.
77. ECtHR, Sciacca v. Italy, Judgment of 11 January 2005.
78. ECtHR, Shimovolos v. Russia, Judgment of 21 June 2011.
79. ECtHR, S. and Marper v. the United Kingdom, Judgment of 4 December 2008.
80. ECtHR, Taylor-Sabori v. the United Kingdom, Judgment of 22 October 2002.
81. ECtHR, The Sunday Times v. the United Kingdom, Judgment of 26 April 1979.
82. ECtHR, Van der Velden v. the Netherlands, Judgment of 7 December 2006.
83. ECtHR, Vetter v. France, Judgment of 31 May 2005.
84. ECtHR, Von Hannover v. Germany, Judgment of 24 June 2004.
85. ECtHR, X and Y v. the Netherlands, Judgment of 26 March 1985.
86. ECtHR, Weber and Saravia v. Germany, Judgment of 29 June 2006.
87. ECtHR, Z. v. Finland, Judgment of 25 February 1997.

[1] Хранение данных о передаче информации в развивающемся Интернете, Йен Броунли, Международный журнал права и информационных технологий, Оскфорд Юниверсити пресс, 2010 г. 

[2] CoE, Committee of Ministers (1987), Recommendation Rec(87)15 to member states regulating the use of personal data in the police sector, 17 September 1987.

[3] Прохвачева, О. (2000) Лингвокультурный концепт «приватность»: На материале американского варианта английского языка. URL: http://www.dissercat.com/content/lingvokulturnyi-kontsept-privatnost-na-materiale-amerikanskogo-varianta-angliiskogo-yazyka#ixzz3AMsvTYM

[4] Warren, S. and Brandeis, L., 1890, “The Right to Privacy,” Harvard Law Review, 4: 193–220.

[5] Prosser, W., 1960, “Privacy”, California Law Review, 48: 383–423.

[6] Westin, A., 1967, Privacy and Freedom, New York: Atheneum

[7] Parent, W., 1983, “Privacy, Morality and the Law”, Philosophy and Public Affairs, 12: 269–88

[8] DeCew, J., 1997, In Pursuit of Privacy: Law, Ethics, and the Rise of Technology, Ithaca: Cornell University Press

[9] Bok, S., 1982, Secrets: On the Ethics of Concealment and Revelation, New York: Pantheon

[10] Gavison, R., 1980, “Privacy and the Limits of Law”, Yale Law Journal, 89: 421–71

[11] Moore, A., 1998, “Intangible Property: Privacy, Power, and Information Control”, American Philosophical Quarterly 35: 365–378

[12] DeCew, J., 1997, In Pursuit of Privacy: Law, Ethics, and the Rise of Technology, Ithaca: Cornell University Press

[13] Regan, P., 1995, Legislating Privacy, Chapel Hill, NC: University of North Carolina Press

[14] Solove, D., 2006, “A Taxonomy of Privacy”, University of Pennsylvania Law Review, 154: 477–564

[15] Westin, A. (2003) Social and Political Dimensions of Privacy. URL: http://www.asc.upenn.edu/usr/ogandy/Gandy%20Comm664/westin%20-%20social%20and%20political%20dimensions%20of%20privacy.pdf  

[16] Schoeman, F. (1992) Privacy and Social Freedom. Cambridge, U.K.: Cambridge University Press

[17] Westin, A. (2003) Social and Political Dimensions of Privacy. URL: http://www.asc.upenn.edu/usr/ogandy/Gandy%20Comm664/westin%20-%20social%20and%20political%20dimensions%20of%20privacy.pdf 

[18] Bernard A. La protection de l’intimité par la droit privé: eloge du ragot ou comment vices exposes engendrent vertu. Les For Interieur, p.153-179. URL: http://www.upicardie.fr/labo/curapp/revues/root/35/alain_bernard.pdf_4a081e8ad4544/alain_bernard.pdf

[19] Bygrave, L. (2010) Privacy and data protection in an international perspective. URL: http://www.uio.no/studier/emner/jus/jus/JUS5630/v13/undervisningsmateriale/privacy-and-data-protection-in-international-perspective.pdf 

[20] Article 29 data protection working party (2007) Оpinion 4/ 2007 on the concept of personal data 

[21] Bygrave, L (2010) Privacy and data protection in an international perspective. URL: http://www.uio.no/studier/emner/jus/jus/JUS5630/v13/undervisningsmateriale/privacy-and-data-protection-in-international-perspective.pdf 

[22] Warren, S.D. and Brandeis, L.D., (1890) The Right to Privacy. URL: http://groups.csail.mit.edu/mac/classes/6.805/articles/privacy/Privacy_brand_warr2.html 

[23] Gavison, R., (1980) Privacy and the Limits of Law, Yale Law Journal 1980, vol. 89, p. 421, 428–436.

[24] Westin, А. (1967) Privacy and Freedom. URL: http://www.jstor.org/ 

[25] Bygrave, L (2010) Privacy and data protection in an international perspective. URL: http://www.uio.no/studier/emner/jus/jus/JUS5630/v13/undervisningsmateriale/privacy-and-data-protection-in-international-perspective.pdf.

[26] Директива № 95/46/ЕС Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных». Ст. 8. URL: http://books.ifmo.ru/file/pdf/1570.pdf  

[27] ISO/IEC 27032:2012. Information technology – Security techniques – Guidelines for cybersecurity. URL: https://www.iso.org/obp/ui/#iso:std:iso-iec:27032:ed-1:v1:en

[28] Агапеева, К. (2012) Теория секьюритизации Барри Бузана. URL: http://www.geopolitica.ru/article/teoriya-sekyuritizacii-barri-buzana#

[29]Конвенция о защите физических лиц при автоматизированной обработкеперсональных данных,  г. Страсбург, 28 января 1981.

[30] Конвенция о защите частных лиц в отношении автоматизированной обработки данных личного ха­рактера. Пояснительный доклад. Доступно через: http://www.conventions.coe.int/Treaty/rus/Reports/Html/108.htm.

[31] Data protection. Legal instruments. Доступно через: http://www.coe.int/t/dghl/standardsetting/dataprotection/legal_instruments_en.asp.

[32]http://www.coe.int/t/dghl/standardsetting/dataprotection/TPD_documents/Decl_Digital_tracking_EN_11%2006%202013E.pdf.

[33] Data protection. Compilation of Council of Europe texts. Доступно через: http://www.coe.int/t/dghl/standardsetting/dataprotection/dataprotcompil_en.pdf.

[34] Европейская Конвенция по киберпреступлениям, (преступлениям в киберпространстве), Будапешт, 23 ноября 2001 года.

[35] Европейская Конвенция по киберпреступлениям, (преступлениям в киберпространстве), Будапешт, 23 ноября 2001 года.

[36] ECtHR, Pretty v. the United Kingdom, Judgment of 29 April 2002.

[37] ECtHR, Mikulić v. Croatia, Judgment of 29 7 February 2002.

[38] ECtHR, Bensaid v. the United Kingdom, Judgment of 6 May 2001.

[39] ECtHR, Burghartz v. Switzerland, Judgment of 22 February 1994.

[40] ECtHR, Z. v. Finland, Judgment of 25 February 1997.

[41] В частности, в статье 6 Конвенции о защите данных персональные данные, касающиеся национальной принадлежности субъекта, отнесены к особым категориям данных наряду с иной конфиденциальной информацией о человеке.

[42] ECtHR, Friedl v. Austria, Judgment of 31 January 1995 г.

[43] ECtHR, Sciacca v. Italy, Judgment of 11 January 2005.

[44] ECtHR, S. and Marper v. the United Kingdom, Judgment of 4 December 2008.

[45] ECtHR, Leander v. Sweden, Judgment of 26 March 1987.

[46] Например, ECtHR, Malone v. the United Kingdom, Judgment of 2 August 1984.

[47] ECtHR, Klass and Others v. Germany, Judgment of 6 September 1978.

[48] ECtHR, Leander v. Sweden, Judgment of 26 March 1987.

[49] ECtHR, I. v. Finland, Judgment of 17 July 2008.

[50] Конвеция 108, статья 2 (a).

[51] ECtHR, Rotaru v. Romania [GC], Judgment of 4 May 2000, para. 43.

[52] ECtHR, Bernh Larsen Holding AS and Others v. Norway, Judgment of 14 March 2013.

[53] Council of Europe, Committee of Ministers, Recommendation No. R Rec(90) 19 on the protection of personal data used for payment and other related operations, 13 September 1990.

[54] ECtHR, Amann v. Switzerland [GC], Judgment of 16 February 2000, para. 65.

[55] ECtHR, Von Hannover v. Germany, Judgment of 24 June 2004.

[56] ECtHR, Peck v. the United Kingdom, Judgment of 28 January 2003.

[57] ECtHR, P.G. and J.H. v. the United Kingdom, Judgment of 25 September 2001, paras. 59, 60.

[58] Конвенция 108, статья 2 (b).

[59] ECtHR, Amann v. Switzerland [GC], Judgment of 16 February 2000, para. 50.

[60] ECtHR, Amann v. Switzerland [GC], Judgment of 16 February 2000, para. 56.

[61] ECtHR, The Sunday Times v. the United Kingdom, Judgment of 26 April 1979, para. 49.

[62] ECtHR, The Sunday Times v. the United Kingdom, Judgment of 26 April 1979.

[63] ECtHR, Rotaru v. Romania [GC], Judgment of 4 May 2000, para. 57.

[64] ECtHR, Taylor-Sabori v. the United Kingdom, Judgment of 22 October 2002.

[65] ECtHR, Amann v. Switzerland, Judgment of 16 February 2000.

[66] ECtHR, Peck v. the United Kingdom, Judgment of 28 January 2003, para. 85.

[67] ECtHR, Leander v. Sweden, Judgment of 26 March 1987, para. 58.

[68] ECtHR, Khelili v. Switzerland, Judgment of 18 October 2011.

[69] ECtHR, Leander v. Sweden, Judgment of 26 March 1987, paras. 59, 67.

[70] B.B. v. France, Judgment of 17 December 2009 г.

[71] Gardel v. France, Judgment of 17 December 2009 г.

[72] ECtHR, Haralambie v. Romania, Judgment of  27 October 2009.

[73] ECtHR, K.H. and Others v. Slovakia, Judgment of  28 April 2009.

[74] ECtHR, S. and Marper v. the United Kingdom, Judgment of  4 December 2008.

[75] Конвенция 108, статья 7.

[76] ECtHR, I. v. Finland, Judgment of  17 July 2008.

[77] ECtHR, Gaskin v. the United Kingdom, Judgment of  7 July 1989; ECtHR, K.H. and Others v. Slovakia, 28 April 2009; ECtHR, Godelli v. Italy, Judgment of  25 September 2012.

[78] ECtHR, Leander v. Sweden, Judgment of  26 March 1987.

[79] ECtHR, Cemalettin Canli v. Turkey, Judgment of  18 November 2008, paras. 33, 42, 43.

[80] ECtHR, Segerstedt-Wiberg and Others v. Sweden, Judgment of 6 June 2006, paras. 89, 90.

[81] ECtHR, Rotaru v. Romania, Judgment of 4 May 2000.

[82] ECtHR, Ciubotaru v. Moldova, Judgment of  27 April 2010, paras. 51, 59.

[83] См., например: ECtHR, M.S. v. Sweden, Judgment of  27 August 1997.

[84] Рекомендация Комитета министров Совета Европы № R(85)20, 25 октября 1985, статья 4 (1).

[85] ECtHR, Airey v. Ireland, Judgment of  9 October 1979, para. 32.

[86] ECtHR, X and Y v. the Netherlands, Judgment of  26 March 1985, paras. 23-24, 27.

[87] ECtHR, K.U. v. Finland, Judgment of  2 December 2008.

[88] ECtHR, Köpke v. Germany (dec.), Judgment of  5 October 2010.

[89] Хранение данных о передаче информации в развивающемся Интернете, Йен Броунли, Международный журнал права и информационных технологий, Оскфорд Юниверсити пресс, 2010 г. 

[90] Рекомендация Комитета министров Совета Европы № R(92)1, пункты 43-44.

[91] ECtHR, S. and Marper v. the United Kingdom, Judgment of 4 December 2008.

[92] Рекомендация Комитета министров Совета Европы № R(87)15, 17 September 1987.

[93] См., например, ECtHR, Leander v. Sweden, Judgment of 26 March 1987.

[94] ECtHR, Amann v. Switzerland, Judgment of 16 February 2000, para. 69.

[95] ECtHR, Amann v. Switzerland, Judgment of 16 February 2000.

[96] ECtHR, Van der Velden v. the Netherlands, Judgment of 7 December 2006.

[97] ECtHR, B.B. v. France, Judgment of 17 December 2009.

[98] ECtHR, S. and Marper v. the United Kingdom, Judgment of 4 December 2008, paras. 119, 125.

[99] Здесь и далее перевод с английского языка осуществлен журналом «Права человека. Практика Европейского Суда по правам человека».

[100] Council of Europe, Committee of Ministers, Recommendation No. R (92) 1, 10 February 1992.

[101] См. ECtHR, Amann v. Switzerland, Judgment of 16 February 2000.

[102] ECtHR, McVeigh, O‘Neill and Evans v. the United Kingdom, Judgment of 18 March 1981, para. 224.

[103] См., например, ECtHR, Rotaru v. Romania, Judgment of 4 May 2000.

[104] ECtHR, Klass and others v. Germany, Judgment of 6 September 1978, para. 42.

[105] См. ECtHR, Klass and Others v. Germany, Judgment of 6 September 1978, paras. 49-50.

[106] См. ECtHR, Weber and Saravia v. Germany, Judgment of 29 June 2006, para. 94.

[107] ECtHR, Allan v. the United Kingdom, Judgment of 5 November 2002.

[108] ECtHR, Vetter v. France, Judgment of 31 May 2005.

[109] ECtHR, Shimovolos v. Russia, Judgment of 21 June 2011.

[110] См. подробнее: Неправительственный доклад «Россия под наблюдением» Международной правозащитной группы «Агора». 2016 год. URL: https://meduza.io/static/0001/Survelliance_Report_Agora.pdf

[111] Неправительственный доклад «Россия под наблюдением» Международной правозащитной группы «Агора». 2016 год. URL: https://meduza.io/static/0001/Survelliance_Report_Agora.pdf

[112] См. Определения № 86-О от 14 июля 1998 г., № 345-О от 2 октября 2003 г. и № 1-О от 8 февраля 2007 г.