Обзор статьи “The law of everything. Broad concept of personal data and future of EU data protection law”. Автор: Purtova N.

Purtova N., The law of everything. Broad concept of personal data and future of EU data protection law // Law, Innovation and Technology, 2018, V.10, № 1, p. 40-81

Арина Гвоздырева,

студент магистерской программы НИУ ВШЭ “Цифровое право”

Надежда Пуртова, доцент Тилбургского Университета права, технологий и общества (Tilburg University, The Netherlands) (далее – Автор) в своей статье рассматривает концепцию «широкого» подхода в отношении понятия «персональные данные» в рамках General Data Protection Regulation (далее – GDPR) и Data Protection Directive (далее – DPD) в эпоху стремительного развития технологий, которые, в свою очередь, способствуют тому, что все данные, так или иначе становятся подпадающими под правовое регулирование персональных данных, и, как следствие, подпадают под сферу действия законодательства о защите персональных данных. Поскольку понятие «персональные данные» в значительной степени определяет материальную сферу действия Закона о защите персональных данных, широкое толкование структурных элементов, составляющих данное понятие, неизбежно увеличивает спектр случаев, к которым данный закон может быть применим.

В своей статье Автор поднимает проблему того, что при экстенсивно развивающемся широком подходе к концепции «персональных данных», в случае, когда значительное количество данных может подпадать под сферу действия законодательства о персональных данных, и, следовательно, будет требоваться их защита, чрезвычайно интенсивный и не масштабируемый режим прав и обязанностей, диктуемый GDPR, не сможет быть соблюден надлежащим образом на практике. 

Автор, опираясь на заключение The Article 29 Working Party (далее – WP29, Рабочая группа по статье 29 (Art.29 WP) или Рабочая группа по защите физических лиц при обработке персональных данных являлась независимым консультативным органом ЕС по вопросом защиты персональных данных и конфиденциальности), в своей статье подробно анализирует концепцию «персональных данных», выделяет ее структурные элементы и рассматривает проблемные аспекты каждого из них (в данной статье анализ не проводится в отношении последнего структурного элемента концепции «персональных данных» – (d) физическому лицу): 

В ст. 4 GDPR термин персональные данные сформулирован следующим образом. Персональные данные – это информация, (b) относящаяся к (c) идентифицированному или поддающемуся идентификации (d) физическому лицу. 

Первый структурный элемент «любая информация» концепции «персональных данных» имеет довольно широкое толкование. Любая информация независимо от ее характера, содержания, формата или носителя информации может рассматриваться в качестве персональных данных. 

Второй структурный элемент «относящаяся к» играет решающую роль в определении предметного объема концепции особенно в отношении объектов или новых технологий.

Третий структурный элемент «идентифицированному или поддающемуся идентификации» базируется на обстоятельствах, при которых физическое лицо должно считаться «идентифицируемым» и особенно на «средствах в равной мере, могущих быть реально использованными контролером, либо любым иным лицом для идентификации указанного лица». 

Автор также рассматривает перечисленные выше структурные элементы концепции «персональных данных» в контексте практики Европейского Суда Справедливости. Ключевыми делами для анализа структурных элементов концепции «персональных данных» являются следующие:

Элемент «идентификации» рассматривается в деле Breyer (Case C-582/14 , Patrick Breyer v. Bundesrepublik Deutschland [2016] ECLI:EU:C:2016:779), где поднимается вопрос о том, является ли динамический IP-адрес персональными данными и позволяет ли он идентифицировать лицо, при условии, что дополнительные данные, необходимые для идентификации, хранятся у иного контролера (интернет-провайдера); 

Позиция Суда: в данном деле Суд признал данные о динамических IP-адресах, собранные онлайн-сервисом, персональными данными при одновременном выполнении следующих условий:

• они могут идентифицировать конкретного субъекта в совокупности с данными, которые имеются у интернет-провайдера;
• у онлайн-сервиса есть потенциальный доступ к таким данным интернет-провайдера.

В своем постановлении Суд выразил следующую позицию: «Использование слово «косвенно» в дефиниции персональных данных означает, что «для квалификации информации в качестве персональных данных не обязательно, чтобы ее самой было достаточно для идентификации лица.»» Также Суд прямо заявил, что нет необходимости в том, чтобы вся информация, позволяющая идентифицировать индивида, находилась «в руках» одного контролера. 

Элемент «Любая информация» анализируется в деле Nowak (Case C-434/16 Peter Nowak v Data Protection Commissioner [2017] ECLI:EU:C: 2017:994), где ключевым вопросом выступает, – являются ли ответы на экзамен и комментарии эксперта персональными данными по смыслу DPD, т.е. любой информацией, относящейся к идентифицированному или поддающемуся идентификации индивиду. Среди прочего, в данном деле Суд определяет условия реализации прав субъектов персональных данных на доступ к их данным и право на уточнение данных. 

Позиция Суда: в отношении термина «любая информация» Суд в своем решении пришел к следующему: «выражение ‘любая информация’ [...] отражает цель законодательного органа ЕС определить широкую сферу применения [концепции персональных данных], не ограничиваясь информацией, которая является «чувствительной» или конфиденциальной, но и потенциально охватывает все виды информации, не только объективной, но и субъективной, включая мнения и оценки». Следовательно, Суд аналогично заключению WP29 (в части широкого подхода к концепции «персональных данных»), признал письменные ответы заявителя, содержащиеся в экзаменационной работе, и пометки экзаменатора персональными данными, несмотря на отсутствие ФИО на такой работе.   

Наконец, элемент «Относящийся к» раскрывается в делах YS and others and Nowak (Joint cases C-141/12 and C- 372/12 YS and M. and S. v. Minister of Immigration, Integration and Asylum [2016], ECLI:EU:C:2014:2081) где Суд рассматривает вопрос об отношении правового анализа, отраженного в протоколе (иммиграционное досье) к персональным данным, и, следовательно, могут ли граждане запрашивать доступ к такому «протоколу» в своем иммиграционном досье на основании права доступа к своим данным.

Позиция Суда: в данном деле Суд ответил на поставленный вопрос отрицательно, мотивировав это тем, что «хотя правовой анализ может содержать персональные данные, сам по себе он не может быть квалифицирован в качестве таковых». Суд использовал следующие аргументы в поддержку своей позиции: 1) документы, представляющие собой правовой анализ соответствия индивида требованиям законодательства для целей получения им определенного статуса не являются информацией, относящейся к заявителю (информация об оценке и применении… этого закона к ситуации заявителя); 2) предоставление права доступа к правовому анализу несовместимо «с целью и общей схемой» (the objective and general scheme) DPD. 

Настоящее и краткосрочное будущее GDPR

Автор однозначно утверждает, что в настоящее время широкая концепция «персональных данных» не представляет собой проблемного места их определения, оно не нуждается в ограничении. Автор считает, что на сегодняшний день в реальной практике защиты персональных данных диапазон ситуаций, которые могут считаться обработкой персональных данных, гораздо более ограничен, чем он обсуждается в доктрине (в доктрине активно обсуждаются технология датирования «всего» и использование любой информации для установления взаимосвязей с людьми, управление данными через так называемые «агентства данных» и т.д.). 

Долгосрочное будущее GDPR

В контексте долгосрочного будущего GDPR Автором поднимается проблема, что в условиях, когда вся информация будет признаваться персональными данными, и запустится механизм ее защиты, усиленный режим правовой охраны прав и многочисленное количество обязанностей, закрепленных в GDPR, будет не просто трудно, а в сущности невозможно реализовать надлежащим образом на практике. 

По мнению Автора, соблюдение прав и обязанностей по защите персональных данных, по всей видимости, станет выборочным и будет определяться списками приоритетов, которые разработают органы по защите персональных данных, чтобы справиться с рабочей нагрузкой, включая, так называемые, «суррогаты соблюдения». Выборочное правоприменение и создание «видимости» соблюдения таких требований будут лишь усиливать друг друга, «высмеивая» закон о защите персональных данных и лишая его какого-либо смысла.

При всеобъемлющем подходе к концепции «персональных данных», диктуемом GDPR, Автор видит три возможных пути продвижения вперед: 

1. Отойти от широкого толкования концепции «персональных данных» и сформулировать дефиницию персональных данных таким образом, чтобы не охватывать максимальное количество информации, которая может быть связана с человеком
2. Продолжать придерживаться широкого подхода к концепции «персональных данных», однако снизить масштаб обязательств, накладываемых GDPR;
3. Полностью отказаться от концепции «персональных данных» как «краеугольного камня» защиты данных и найти средства правовой защиты от «вреда, вызванного информацией», т.е. от любых индивидуальных или общественных негативных последствий ее обработки. 

Заключение

Рассмотрев понятие персональных данных и проанализировав его структурные элементы в рамках законодательства ЕС о защите данных, Автор приходит к выводу, что в уверенно движущемся вперед мире искусственного интеллекта и иных технологий, построенных на данных, скоро все, так или иначе, будет подпадать под понятие персональных данных в интерпретации WP29 и Европейского Суда Справедливости. Автор утверждает, что основной вклад данной статьи заключается в том, чтобы доказать, что два структурных элемента – «любая информация» и «относящаяся к» также являются особо требующими внимания в условиях повсеместной цифровизации общественных отношений. Поскольку мир гиперподключенности (onlife world of hyperconnectivity) и агентства, управляемые данные (data-driven agency), на данный момент далеки от реальности, широкое толкование концепции «персональных данных» не создает проблем. Более того, его, напротив, следует поддерживать ввиду направленности закона о защите данных на обеспечение эффективной и полной защиты прав субъектов персональных данных. Однако, как только данные феномены проникнут в нашу жизнь, благие намерения обернутся необратимым эффектом. Система правовой охраны, основанная на всеобъемлющем подходе к концепции «персональных данных» и масштабном характере требований, накладываемых GDPR, не будет устойчивой и не сможет быть реализована надлежащим образом на практике в долгосрочной перспективе.