25 января 2012 года Европейская Комиссия предложила проект постановления «О защите [персональных] данных» — General Data Protection Regulation (PDF). Документ призван заменить действующую в настоящее время "Директиву о защите данных" от 1995 года. Это достаточно знаковый документ, имеющий далеко идущие последствия и непосредственно затрагивающий интересы огромного числа пользователей сети.
Изначально я планировал максимально сжато изложить наиболее важные аспекты ожидаемых изменений, однако позже обнаружил, что не только на хабре, но даже в русскоязычном сегменте сети практически отсутствуют материалы по большинству вопросов, затрагиваемых в документе. Более того, мне показалось, что большинство русскоязычных читателей врядли вообще представляют о чем идет речь, кто действующие лица, каков статус документа, почему и как он появился, какова его дальнейшая судьба. Поэтому я добавил несколько разделов, представляющих собой некое «введение в историю вопроса» и призванных объяснить многие моменты, которые до сих пор с большой вероятностью находятся вне поля зрения русскоязычной аудитории, а также попытался несколько более развернуто рассказать о самом документе.
В результате статья получилась достаточно пространной, но, как мне кажется, и более интересной. Мне очень хотелось дать не сухую выжимку фактов, а показать сам процесс, немного объяснить как работают законодательные механизмы современной Европы, обозначить некоторые тенденции и дать необходимый минимум знаний для размышлений, сравнений и обоснованных выводов.
Что происходит?
Тем, кто не знаком со структурой европейских институтов их документообротом, может быть не совсем понятен статус обсуждаемого документа, равно как и протекающие в недрах европейского бюрократического аппарата процессы. Однако это важно и для понимания некоторых частей этого текста, и для того, чтобы просто установить рамки обсуждения: все ли уже решено? Проявлять бурные эмоции или нет?
Европейская Комиссия — высший орган исполнительной власти ЕС, обладающий практически эксклюзивным правом законодательной инициативы. Предлагаемые Комиссией законодательные акты вносятся на рассмотрение в Европейский Совет и Парламент, а после их утверждения и вступления в силу, Комиссия следит за их исполнением.
Директива — законодательный акт ЕС, который, в общем случае, обязывает все (или отдельные) страны-члены в установленные сроки принять меры для достижения описанных в ней целей, оставляя на усмотрение национальных властей используемые средства и механизмы. Постановления же являются инструментом прямого действия, не предполагают принятия дополнительных законодательных актов государствами-членами и, как правило, обязательны для исполнения всеми странам-членами ЕС.
Таким образом, предлагаемая реформа заменит ныне действующую директиву 95/46/EC от 1995 года [2] и приведет к унификации европейского законодательства в области защиты и обработки персональных данных. В случае принятия документа, он приобретет статус закона и будет являтся обязательным для исполнения на всей территории ЕС. Если не произойдет никаких неожиданностей, документ в его нынешнем виде или с некоторыми изменениями вступит в силу приблизительно в середине 2014 года.
Кто это придумал?
В состав Европейской Комиссии входят 27 Комиссаров (министров), представляющих интересы Европейского Союза. Каждый Комиссар отвечает за определенное направление деятельности и руководит работой соответствующих административных служб, образующих его кабинет. Под руководством Комиссаров и их кабинетов создаются проекты законодательных актов ЕС. Это достаточно протяженный во времени и трудоемкий процесс, во время которого проводятся различные конференции, консультации с национальными и собственными экспертами Европейской Комиссии, опросы общественного мнения, анализ существующих законодательных актов, правоприменительной практики и т.д.
С 2010 года в Европейской Комисии появился пост Комиссара по вопросам юстиции, фундаментальных прав и гражданству. Можно сказать, данный Комиссар является высшим должностным лицом ЕС, курирующим и ответственным за права человека на территории ЕС. С момента введения должности ее занимает Вивиан Рединг. Именно госпожа Рединг и является автором предлагаемой реформы.
Who is Mrs. Reding?
Госпожа Вивиан Рединг — известный европейский политик. Родилась в 1951 году в Люксембурге, получила степень доктора в области гуманитарных наук в Сорбонне, возглавляла люксембургский Союз журналистов, была членом люксембургского парламента, а с 1989 в течение десяти лет — европейского. С 1999 года работает в Европейской Комиcсии. Занимала должности Комиссара по вопросам образования, культуры, молодёжи, СМИ и спорта, Комиссара по вопросам информационного общества и СМИ. Как уже упоминалось выше, с 2010 года Вивиан Рединг занимает пост Комиссара по вопросам юстиции, фундаментальных прав и гражданству.
Хотя имя госпожи Рединг может оказаться и незнакомым, уверен, большинство из вас слышали о некоторых позитивных изменениях в европейском правовом поле, котороые произошли при ее участии. Более того, многие инициативы и проекты госпожи Рединг непосредственно касаются и оказывают вляияние на вас, — специалистов, имеющих отношение к IT-сфере.
Именно госпожа Рединг является инициатором и вдохновителем нашумевшего постановления No 717/2007, которое на 70% снизило цены на роуминг в переделах ЕС. При участии госпожи Рединг был запущен домен верхнего уровня .eu, ICANN была выведена из-под контроля министерства торговли США и стала более открытой для контороля со стороны мировго сообщества, была принята общеевропейская стратегия развития широкополосного доступа к сети Интернет, инвестированы занчительные средства в развитие LTE, были освобождены необходимые частоты для беспроводных сервисов 4-го поколения. Именно голосом госпожи Рединг объединенная Европа напомнила, что основные права такие как презумпция невиновновсти и право на защиту личной жизни, выраженные Европейской Конвенции о защите прав человека и основных свобод, остаются актуальными для Евпропы и по сей день — в эру сети Интернет.
Это всего лишь краткий и далеко не полный список сделанного госпожой Редниг для развития современных технологий и защиты прав граждан объединенной европы (и не только). Если вы впервые слышите о госпоже Рединг и не знакомы с результатами ее работы в качестве Европейского Комиссара, потратьте некоторое время, чтобы узнать об этой замечательной женщине побольше:
— официальная страничка;
— Digital Europe — a vision for the next 5 years — лекция, прочитанная Госпожой Рединг в 2009 году;
— архив пресс-релизов за 2010-2012 годы;
— архив пресс-релизов за 2004-2009 годы;
Переходя к сути дела
Давайте посмотрим на отдельные эпизоды, происходящего вокруг нас. Не претендуя на полноту картины, так как это совершенно не нужно, просто постмотрим на ряд эпизодов, так или иначе связанных с медиа-корпорациями, и вызвывших бурную и неоднозначную реакцию.
Гугл кардинальным и спорными образом меняет свои privacy policies, попадается на манипуляциях с «печеньками» в Safari, а позже и в IE, нелегально собирает данные о Wi-Fi точках. Цукреберг в очередной раз делает мессианские заявляения о построении «нового более открытого мира» и изменении модели взаимодействия граждан с правительствами. Facebook отказывается от privacy policies и вводит «Data use» policies, в соответствии с которыми приложения ваших друзей будут иметь доступ к вашей личной информации, с печеньками у Facebook отношения тоже оказываются весьма нетривиальными. Amazon попадает в «шелковый сканадл», подаются иски протви Гугла и Apple о незаконном сборе информации на их устройствах, утекают данные о кредитных картах, личная переписка, базы пользователей с десятков популярных сайтов… Интернет обезумел. Корпорации, кажется, все больше и больше игнорируют интересы отдельных пользователей. Сеть пестрит статьями о происходящем, не утихают споры и жаркие дискуссии. Кто-то за, кто-то против, кто-то защищает медиа-корпорации, кто-то становится параноиком, кому-то вообще все равно.
На этом замечательном пестром фоне, 25 января 2012 года, госпожа Вивиан Рединг выступает с пресс-релизом о новом законопроекте: «Дамы и Господа, мы сделали это! Сегодня Европейская Комиссия приняла постановление об обширной и всесторонней реформе законодательства в области защиты данных».
Ее слова разительно отличаются от самоувернной риторики медиа-корпораций и подводят черту во всех жарких спорах о «правах и обязанностях», различных «открытых обществах» и законности и незаконности определенных действий:
Если вы владете английским, не пожалейте полчаса и посмотрите всю пресс-конференцию. Для тех, у кого нет столько времени или кому сложно воспринимать английскую речь, я сделал выдержку из наиболее важных моментов:
Дамы и Господа, мы сделали это! Сегодня Европейская Комиссия приняла постановление об обширной и всесторонней реформе законодательства в области защиты данных. С помощью этой реформы Европейская Комиссия создаст единый цифровой рынок, доступный и понятный как для компаний, так и для покупателей. Реформа позволит Европе стать более конкурентоспособной и сделает нас законодателем международных станадртов в области современной защиты данных.
В современном мире персональная информация стала валютой единого цифрового рынка, и как любая валюта, она должна быть стабильной и заслуживающей доверия. Только если потребитель будет уверен в том, что его персональные данные надежно защищены, он будет доверять компаниям и государственным учреждениям и пользоваться предлагаемыми ими интерент-сервисами.
Почему назрела необходимость реформы законодательства в этой области? Прежде всего потому, что действующие сейчас правила и законы были приняты в 1995 году, можно сказать, еще до появления Интернета. Сегодня же Интернет, облачные технологии, мобильные устройства позволяют нам получать доступ к данным в любом месте и в любое время. Новые технологии изменили нашу жизнь, создав новый мир потрясающих возможностей, и этот мир должен остаться миром инноваций.
Но, конечно же, с новоыми технологиями появились и новые опасности, прежде всего связанные с потерей контроля над личными данными. Люди взолнованны — согласно нашим данным, 72% процента граждан ЕС обеспокоены возможностью злоупотреблений, связанных с использованием их личных данных. Их беспокоит, что компании могут без разрешения передавать персональные данные другим компаниям. Это мешает людям чувствовать себя свободно, мешает давать информацию о себе и приобретать товары и сервисы в сети.
Кроме того, мы знаем, что множество пользователей, в особенности дети и подростки не осознают и не понимают существующие политики безопасности [сайтов], когда создают профиль в одной из социальных сетей и не осознают, что их истрия поиска может быть использована третьими сторонами.
Таковы в общих чертах причины беспокойства отдельных пользователей. Однако у компаний тоже есть причины для недовольства. Компании сталкиваются с огромным числом различных, иногда даже противоречивых требований в области защиты персональных данных, что просиходит из-за различий национальных законодательств и из-за отличий в правоприметительной практике национальных государственных органов. Это ведет к «правовой неуверенности» компаний, создает значительные преграды ведению бизнеса, в особенности небольшим компаниям и стартапам, требует ощутимых дополнительных затрат и мешает еропейскому цифровому рынку полностью реализовать свой потенциал.
Что же мы делаем, чтобы решить эти проблемы? Наша реформа устранит излишние административные процедуры и снизит затраты на ведение документации. Будет принят единый дкумент, единая директива, которая даст возможность вести бизнес на едином внутреннем рынке Европейского Союза. Будут приняты единые правила для 27 стран-членов и 500 млн. человек, единые и ясные правила передачи данных внутри транснациональных корпораций и создана единая контролирующая структура, что позволит компаниям ежегодно экнономить около 3.2 млрд. евро.
В то же время реформа гарантирует более высокий уровень защищенности конечным пользователям. Реформа защитит личные данные пользователей и гарантирует, что они будут получать полную и корректную информацию о том, что происходит с их даннными. Мы основываемся на том, что «личные данные принадлежат личности» и предлагаем ряд правил:
1. Прозрачность, — политики безопасности должны быть ясными и написаны понятным и простым языком. Граждане должны знать как обрабатывается их персональная информация.
2. Согласие, — для использования персональных должно быть получено явное и прямое согласие пользователя.
3. Переносимость и мобильность, — персональные данные принадлежат пользовтаелю и он должен иметь возможность забарть свои данные у одного поставщика услуг и передать их другому.
4. Компании и организации будут обязаны в течение 24 часов уведомлять пользователей о возникших проблемах, связанных с безопасностью их личных данных. Также в известность должны быть поставлены надзорные органы.
5. И, наконец, «Право быть забытым». Оно связано с утверждением, что персональные данные принадлежат индивидууму. Если пользователь хочет отказаться от услуг сервиса и забрать свои данные, у него должна быть возможность сделать это. У пользователей появится возможность стереть данные, ранее предоставленные сервису.
Для реализации этих правил необоходимо создать независимую контролирующую организацию. Независимую от полтичиеских и бизнес-структур, хорошо оснащенную технологически, имеющую возможности предлагать возможные решения возникающих проблемных ситуаций и имеющую право налагать санкции.
Дамы и Господа, я обрисовала общие границы строгой и последовательной системы, которая в следующие десятилетия будет внедряться и применяться на территории всех стран-членов Европейского Союза. Это критически важный для обеспечения развития и безопасности Европейского Союза законодательный документ.
Что осталось за кадром
За кадром осталось многое. Наиболее интересное — это влияние реформы на бизнес, отдельные требования для небольших компаний, отличия подхода ЕС и законодательных актов, принимаемых в США, реакция других стран, в частности тех же США, реакция корпораций и прессы, конфликт ЕС и Google, вопросы о цензуре. Публикаций по этим темам огромное количество, но большинство из них на английском языке. К сожалению, очень сложно втиснуть в одну небольшую статью такой гигантский объем информации, касающийся абсолютно разных аспектов реформы, каждый из которых достоин отдельного подробного рассмотрения. Если вам стало интересно, тег Data Protection на сайте «Fondation EurActiv PoliTech» можит послужить хорошей стартовой точкой для более детального ознакомления с ситуацией.
Ссылки и источники
- General Data Protection Regulation Draft (PDF) →
- Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data →
- Wiki: Viviane Reding →
- Viviane Reding, official webpage →
- Video: «Digital Europe — a vision for the next 5 years» — лекция, прочитанная Госпожой Рединг в 2009 году →
Автор: lek