Шифрование персональных данных широко рассматривается как технология сохранения конфиденциальности, которая потенциально может сыграть ключевую роль в развитии инновационных информационных технологий в рамках европейского законодательства о защите данных.
В данной статье автор изучает соответствующие положения нового в новом Общем регламенте по защите персональных данных Европейского союза (GDPR, далее по тексту — Регламент), касающиеся шифрования.
Наконец, автор дает обзор соответствующих методов шифрования и исследует их влияние Регламент.
Ключевые слова: персональные данные, европейское законодательство, шифрование данных, защита персональных данных, обезличивание персональных данных.
Шифрование персональных данных становится все более важным для многих субъектов в экономической деятельности, основанных на больших данных, в том числе для сохранения конфиденциальности субъектов персональных данных, защиты как государственных учреждений, так и высокотехнологичных компаний.
Однако следует отметить, что правовые последствия зашифрованных данных в контексте применимости Директивы 95/46/ЕС Европейского парламента и Совета от 24 октября 1995 года о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных (далее по тексту — Директива 95/46/ЕС) до сих пор недостаточно изучены.
Понятие персональных данных имеет решающее значение для применения Регламента. В зависимости от определения понятия «персональные данные», эффект шифрования этих данных может иметь разные правовые последствия.
После многих лет интенсивных переговоров Регламент был принят и вступил в силу с 25 мая 2018 года, отменив старую Директиву 95/46/EC.
В соответствии с пунктом 1 статьи 3 Общем регламенте по защите персональных данных Европейского союза Регламент применяется к обработке персональных данных в контексте деятельности организационной единицы контролёра или процессора в Европейском союзе. Более Того, Регламент применяется к обработке персональных данных субъектов данных, находящихся в Союзе, контролёром или процессором, не имеющими организационной единицы в Союзе, если процессы обработки данных касаются: предложения товаров и услуг субъектам данных, находящимся в Союзе, независимо от того, требуется ли от них оплата, или нет, либо мониторинга их поведения, если такое поведение происходит в Союзе.
«Мониторинг» означает, в частности, онлайн-отслеживание физических лиц с целью создания процессов для принятия решений, анализа или прогнозирования личных предпочтений, поведения и установок. Таким образом, широкий территориальный охват Регламента приводит к новой осведомленности контролеров данных (также созданных за пределами Европейского союза) относительно их обработки персональных данных.
Поэтому технологии, которые сводят к минимуму использование персональных данных, в особенности шифрование, и которые избегают применения Регламента, становятся еще более актуальными и востребованными.
Как уже отмечалось ранее, характеристики персональных данных имеют решающее значение для применения Регламента. Однако Регламент не вносит существенных изменений в концепцию персональных данных по сравнению с Директивой 95/46/ЕС. Как и Директива 95/46/ЕС, Регламент следует подходу, согласно которому данные являются либо личными, либо нет, что означает, что если данные имеют прямо или косвенно относятся к определяемому лицу, то применяются все правила защиты данных, а если нет, то они выходят за рамки Регламента.
В соответствии со статьей 2 п. 1 GDPR:
« Данный Регламент применяется к обработке персональных данных, осуществляемой полностью или частично с помощью автоматизированных средств, а также к неавтоматизированной обработке персональных данных, формирующих часть системы данных либо предназначающихся, чтобы стать частью системы данных».
Статья 4 п.1 Регламента определяет, что «персональные данные» «Персональные данные» — это любая информация, относящаяся к «субъекту данных», то есть идентифицированному или поддающемуся идентификации физическому лицу; поддающееся идентификации физическое лицо — это лицо, которое можно прямо или косвенно идентифицировать, в частности, посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайновый идентификатор или один или несколько факторов, специфичных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица. В этом отношении «любая информация» означает практически любую информацию, даже общедоступную, например, когда может быть сделана ссылка на физическое лицо, принцип защиты данных Регламента всегда применяется независимо от содержания данных.
Вместе с тем статья 4 п.1 Регламента вводит новое определение понятия «идентифицируемое физическое лицо», которое можно прямо или косвенно идентифицировать, в частности, посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайновый идентификатор или один или несколько факторов, специфичных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица. Таким образом, определение «способного идентифицировать физическое лицо» различает способность идентифицировать на основе ссылки на личность, которая может четко идентифицировать физическое лицо, или из-за особых личностных характеристик, таких как сексуальные предпочтения человека или состояние его здоровья.
Однако до сих пор остается весьма спорным вопрос о том, следует ли применять так называемый абсолютный или относительный подход для оценки способности контролера данных идентифицировать физическое лицо.
Решающее значение для понимания точного объема понятия «персональные данные» имеет то, как много должен сделать потенциальный контролер данных, чтобы установить связь между физическим лицом и данными, другими словами, какие усилия требуются для идентификации лица.
Абсолютный подход учитывает все возможности и шансы, при которых контролер данных сможет идентифицировать субъекта данных индивидуально. Таким образом, учитываются все способы и средства для контролера данных без какого-либо учета расходов и т. д. Даже теоретические возможности объединения данных таким образом, чтобы индивид мог идентифицировать себя, включены. Если способность идентифицировать оценивается абсолютно, то для применения актов персональных данных достаточно того, что кто-либо в мире способен расшифровать зашифрованные данные.
Что касается шифрования, то до тех пор, пока кто-либо в мире способен расшифровать набор данных, операции контроллера или процессора, использующего эти зашифрованные данные, подпадают под действие законодательства о защите данных, даже если они не обладают ключом для расшифровки. Исходя из этого подхода, законодательство о защите данных применяется независимо от применяемой техники шифрования до тех пор, пока один субъект владеет ключом для декодирования.
В отличие от абсолютного, относительный подход учитывает необходимые усилия, необходимые контроллеру данных для идентификации субъекта данных. Поэтому принимаются во внимание только реальные шансы объединения данных для идентификации личности, а не чисто теоретические риски идентификации. Что касается вопросов шифрования, то законодательство о защите данных применимо только в том случае, если контроллер данных способен расшифровать определенный набор данных — или, по крайней мере, имеет разумные шансы получить ключ дешифрования.
В судебной практике некоторых судов тенденция начинает склоняться в пользу относительного понимания.
Регламент использует широкий подход в отношении толкования термина «идентифицируемое физическое лицо», однако некоторые термины также могут быть истолкованы относительным образом.
Материальная сфера действия Регламента содержит несколько частей, которые могут быть истолкованы как относительные подходы к идентификации физических лиц. Тем не менее, некоторые другие термины указывают на довольно абсолютный подход Регламента, будь то широкий охват онлайн-идентификаторов, включение «выделения” или то, что информация, полученная третьим лицом, должна быть достаточной для того, чтобы сделать данные персональными для контролера.
Шифрование персональных данных может привести к неприменимости Регламента и, таким образом, может быть важной технологией сохранения конфиденциальности для контроллеров — однако, поскольку положения Регламента относительно его материальной сферы применения также включают несколько элементов, которые могут быть истолкованы с абсолютной точки зрения, и поскольку генеральный адвокат Европейского суда по правам человека Кампос Санчес-Бордона значительно расширил сферу применения Регламента, по его мнению, все еще существует правовая неопределенность относительно применимости Регламента для зашифрованных данных [1, с. 6]. Поэтому контроллеры должны анализировать каждый зашифрованный набор данных самостоятельно и определять, может ли дешифрование быть вероятным, также постоянно принимая во внимание использование будущих технологий дешифрования и безопасность управления ключами.
Литература:
- Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г.) (с изменениями от 15 июня 1999 г.).Доступ из системы ГАРАНТ.
- Директива Европейского Парламента и Совета Европейского Союза 95/46/ЕС от 24 октября 1995 г.о защите физических лиц при обработке персональных данных и о свободном обращении таких данных (в редакции Регламента Европейского парламента и Совета ЕС 1882/2003 от 29 сентября 2003 года). Доступ из системы ГАРАНТ.
- Регламент Европейского Парламента и Совета Европейского Союза 2016/679 от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных / General Data Protection Regulation /GDPR). Доступ из системы ГАРАНТ.
- Газизов Р. Р. Теоретико-методологические основы правовой защиты персональных данных в РФ и за рубежом // Юридический мир. — 2015. — № 7.
- Проскурякова М. И. Защита персональных данных в праве России и Германии: конституционно -правовой аспект. Автореферат диссертации на соискание ученой степени кандидата юридических наук. Санкт-Петербург, 2017. — 26 с.
- Gerald Spindler and Philipp Schmechel, Personal Data and Encryption in the European General Data Protection Regulation, 7 (2016) JIPITEC 163 para 1.
