Правовое регулирование сбора, обработки и хранения персональных данных совершенствуется во многих странах мира. С развитием информационных технологий форматы и случаи сбора и обработки персональных данных стали усложняться, становиться более комплексными. Так, если еще двадцать пять лет назад систематизация персональных данных происходила посредством бумажных носителей в картотеках, теперь такие данные обрабатываются сложными компьютерами и системами. Субъект персональных данных оставляет объемный digital footprint – оставляет данные о себе в различных сервисах и системах, иногда неосознанно (например, соглашаясь со сбором cookies-файлов на разнообразных сайтах).

Первоначально концепция приватности основывалась на так называемой пространственной, физической приватности, например, праве на неприкосновенность частной собственности, жилища, запрете необоснованного обыска. В XX веке, с возникновением автоматизированных систем обработки информации, концепция физической приватности начала меняться в сторону информационной. Одним из первых документов, закрепивших распространение принципов невмешательства в частную жизнь при обработке данных в информационном пространстве, стала Конвенция Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера 1981 года. Далее в 1995 году Евросоюз одним из первых принял профильный нормативный правовой акт – Директиву 95/46/ЕС. Таким образом, исторически европейское пространство стало локомотивом развития законодательства в сфере персональных данных.

Именно поэтому Евросоюз и стал новатором в совершенствовании законодательства в области персональных данных в цифровую эпоху. Не исключением стало и так называемое право на забвение, которое впервые было рассмотрено в деле Google Spain SL and Google Inc. v Agencia Española de Protección de Datos (AEPD) and Mario Costeja González. В 1998 году испанская газета La Vanguardia опубликовала две статьи, в которых говорилось о наложении ареста и выставлении на аукцион недвижимости, имущества гражданина Испании, Костеха Гонсалеза, в целях взыскания долгов по социальному обеспечению. В 2010 году Костеха Гонсалез подал жалобу в Испанское агентство по защите данных (далее – AEPD) на газету La Vanguardia, Google Spain и Google Inc. Суть иска заключалась в том, что, когда пользователь интернета, в частности поисковой системы Google, вводил имя Костеха Гонсалез, по запросу выдавалось две ссылки на статьи газеты La Vanguardia с вышеупомянутым содержанием. Костеха Гонсалез утверждал, что разбирательство завершено несколько лет назад и претензии к нему не были предъявлены. Истец требовал удалить статьи из поисковой системы «Поиск Google».

AEPD отклонило жалобу против La Vanguardia, однако одобрило против Google Spain и Google Inc. AEPD постановило, что Google Spain и Google Inc. как операторы поисковых систем обрабатывают персональные данные, а значит, на них распространяется соответствующее законодательство о персональных данных. Google Spain и Google Inc. подали отдельные апелляции на решение AEPD. В итоге Европейский суд (далее – Суд) по представлению перечня вопросов Национальным Высоким Судом Испании постановил, что:

1. Деятельность поисковой системы в интернете является «обработкой» персональных данных в смысле статьи 2(с) Директивы 95/46/ЕС, так как большинство информации, индексируемой и хранимой поисковыми системами, относится к «идентифицируемым физическим лицам» и является «личными данными» в смысле статьи 2(с) Директивы 95/46/ЕС, следовательно, оператор поисковой системы является контролером, осуществляющим обработку персональных данных.

2. Директива 95/46/ЕС, имплементированная в соответствии с законодательством Испании, применима и к Google Inc., так как контролер, установленный на территориях нескольких государств — членов Евросоюза, должен принять необходимые меры для обеспечения того, чтобы каждое из этих предприятий соответствовало обязательствам, установленным применимым национальным законодательством (статья 4(1)(a) Директивы 95/46/ЕС).

3. Согласно статье 12(b) Директивы 95/46/ЕС каждый субъект персональных данных имеет право получать от контролера «исправление, удаление или блокирование данных, обработка которых не соответствует положениям Директивы 95/46/ЕС, в частности из-за неполного или неточного характера данных». Согласно статье 8 Хартии Евросоюза об основных правах «каждый человек имеет право на защиту относящихся к нему данных личного характера». И, опираясь на статьи 6, 7, 12, 14 и 28 Директивы 95/46/ЕС, Суд подчеркнул важность обеспечения баланса между правом на неприкосновенность частной жизни и правом на доступ к информации.

4. Оператор поисковой системы обязан удалить из списка результатов информацию о лице, отображаемую после поиска, сделанного на основе ссылок по имени человека на веб-страницы, опубликованные третьими лицами и содержащие информацию о таком лице. Оператор также обязан удалить такую информацию даже в случае, когда ее публикация на этих страницах является законной.

5. Лица, чьи личные данные общедоступны через поисковые системы в интернете, могут «потребовать, чтобы их личные данные больше не были доступны широкой публике в связи с ее включением в такой список результатов», так как их права на неприкосновенность частной жизни и защиту личных данных перевешивают «не только экономическую заинтересованность оператора поисковой системы, но также и заинтересованность широкой общественности в получении доступа к этой информации при поиске, связанном с именем субъекта данных».

Таким образом, Суд впервые дал полную формулировку права на забвение как основополагающего права субъекта персональных данных на удаление таких данных, если они более не являются корректными и полными.

Законодательство Евросоюза

Со вступлением в силу 25 мая 2018 г. Общего регламента по защите персональных данных Евросоюза (англ. General Data Protection Regulation) (далее – GDPR) право на забвение (удаление данных) стало частью европейского законодательства в сфере персональных данных.

Основной акцент в реализации защиты персональных данных делается на обеспечение прав субъектов персональных данных, среди которых есть и право на удаление персональных данных (право на забвение). В максимально обобщенном понимании такое право заключается в обязательстве компании удалить совокупность персональных данных субъекта по его запросу.

В соответствии со статьей 17 GDPR право на забвение может быть реализовано, если:

a. персональные данные субъекта более не нужны в связи с целями, для которых такие данные собирались или обрабатывались иным образом.

Пример: компания собрала данные о субъекте для ИТ-продукта в сфере здоровья. Затем по бизнес-причинам решила сменить вектор деятельности на разработку ИТ-продуктов в области сельского хозяйства. В таком случае данные могут быть удалены

b. субъект персональных данных отозвал свое согласие на обработку данных, ранее предоставленное субъектом.

Пример: если обработка персональных данных базируется на согласии, то согласие можно в любой момент отозвать. Например, если пользователь «кликнул» по согласию с политикой конфиденциальности, он в любой момент имеет право отозвать такой «клик»

c. субъект персональных данных возражает против обработки своих данных, включая профилирование, в целях:
1. исполнения задачи в общественных интересах;
2. осуществления официальных полномочий, возложенных на контролера;
3. в пределах законных интересов контролера или третьей стороны, кроме случаев, когда такие интересы идут вразрез с интересами или основными правами и свободами субъектов персональных данных, защита персональных данных которых обязательна (дети), и при этом в отношении трех перечисленных пунктов нет имеющих преимущественную юридическую силу оснований для обработки персональных данных субъекта.Пример: субъекту персональных данных следует указать конкретные причины, по которым такой субъект возражает против обработки данных именно по данному основанию. Причины должны быть обоснованы конкретной ситуацией. Такое основание не является абсолютным правом субъекта, процессор может продолжить обработку, если сможет продемонстрировать законные основания для обработки, например, подача судебного иска или необходимость дать ответ на судебный иск (в рамках которых необходимо предоставить данные субъекта)
d. субъект персональных данных возражает против обработки своих данных в целях прямого маркетинга, включая профилирование в той степени, в которой оно связано с таким прямым маркетингом
e. персональные данные обрабатывались неправомерно.

Пример: не было получено согласие или согласие было ненадлежащим (субъект не понимал, на что дает согласие). В данном отношении примечателен следующий прецедент: национальная комиссия по информатизации и свободе Франции (CNIL) в январе 2019 г. наложила штраф в размере 50 000 000 долларов США на компанию Google LLC  по результатам исследования запросов по соблюдению GDPR, выдвинутых французскими организациями по защите прав на частную жизнь None Of Your Business и La Quadrature du Net.

CNIL обнаружила, что согласие пользователей Google LLC на использование их персональных данных недействительно, так как информация о сборе и использовании данных, а именно цели обработки данных, категории персональных данных, используемых для персонализации рекламы, неоднозначна и неконкретна (разбита по нескольким документам, затрудняет четкое представление пользователя о том, какие именно персональные данные собираются и как они используются компанией). Пользователи не могли понимать, на что и в каком объеме они дают согласие

f. персональные данные должны быть удалены в соответствии с правовым обязательством, установленным законодательством Евросоюза или государства — члена Евросоюза, в юрисдикции которого находится контролер
g. персональные данные собирались в связи с предоставлением услуг информационного сообщества согласно пункту 1 статьи 8 GDPR.

Пример: например, обрабатываются данные детей до 16 лет без получения согласия опекуна

В случае если контролер обнародовал персональные данные и обязан удалить их согласно вышеперечисленным основаниям, то ему следует проинформировать иных контролеров, обрабатывающих такие персональные данные, что субъект персональных данных запросил удаление всеми контролерами любых ссылок на данные, копирование или тиражирование таких данных.

Таким образом, законодательство Евросоюза дает широкий перечень оснований для субъектов персональных данных по удалению персональных данных, реализации права на забвение.

Законодательство Республики Беларусь

Среди действующих в настоящее время законодательных актов Республики Беларусь Закон об информации закрепляет понятие «персональные данные», которыми признаются «основные и дополнительные персональные данные физического лица, подлежащие в соответствии с законодательными актами Республики Беларусь внесению в регистр населения, а также иные данные, позволяющие идентифицировать такое лицо», а также определяет понятие «информация», под которой понимаются «сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления».

В контексте «права на уничтожение персональных данных» следует отметить, что Закон об информации закрепляет многочисленные права и обязанности субъектов информационных отношений (отношения, возникающие при поиске, получении, передаче, сборе, обработке, накоплении, хранении, распространении и (или) предоставлении информации, пользовании информацией, защите информации, а также при применении информационных технологий), среди которых в том числе и запрет или приостановка субъектом обработки информации и (или) пользование ею в случае невыполнения требований по защите информации <*>.

Такое право можно потенциально расценивать в качестве эквивалента «права на уничтожение персональных данных», однако с учетом отсутствия указания на случаи такого удаления или уничтожения информации такая интерпретация маловероятна.

В связи с недостаточным правовым регулированием в области персональных данных Палатой представителей принят проект Закона Республики Беларусь «О персональных данных» (далее – Проект закона). В Проекте закона дано обобщенное определение «персональных данных»: «любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано на основании такой информации».

В отличие от GDPR, Проект закона в качестве отдельного права субъекта персональных данных выделяет право «отозвать согласие на сбор, обработку, распространение, предоставление своих персональных данных». В сравнение, в GDPR отзыв согласия субъекта на обработку персональных данных закреплен в качестве условия реализации права на забвение, а не в качестве отдельного права. Согласно Проекту закона в случае отзыва субъектом согласия на обработку персональных данных оператор обязан не позднее 15 дней прекратить сбор, обработку (за исключением обезличивания), распространение, предоставление персональных данных, удалить их и уведомить об этом субъекта персональных данных, если отсутствуют иные основания для таких действий с персональными данными. Также отмечается, что отзыв согласия субъекта персональных данных не имеет обратной силы, а печатные издания, аудио- либо видеозаписи программ, радио-, телепрограммы, кинохроникальные программы, содержащие персональные данные, выпущенные до момента отзыва согласия субъекта персональных данных, не подлежат изъятию из гражданского оборота.

Кроме того, статья 15 Проекта закона закрепляет право субъекта персональных данных требовать от операторов прекращения сбора, обработки (за исключением обезличивания), распространения, предоставления своих персональных данных, а также их удаления:

1) при отсутствии оснований для их сбора, обработки, распространения, предоставления;

2) если они не являются необходимыми для заявленной цели их сбора, обработки, распространения, предоставления;

3) если истек соответствующий срок сбора, обработки, распространения, предоставления персональных данных.

Таким образом, перечень условий для реализации такого права уже, в сравнении с GDPR, например, не обозначена возможность субъекта возражать против обработки персональных данных в различных целях, включая цели прямого маркетинга. Тем не менее Проект закона во многом похож на положения «права на забвение» по GDPR.

Законодательство Российской Федерации

В Федеральном законе Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ) право субъекта персональных данных на уничтожение персональных данных не выделено в отдельное положение, а закреплено в качестве составляющей права субъекта персональных данных на доступ к его персональным данным. Статья 14 ФЗ прописывает, что субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Также в статье 15 ФЗ закрепляется, что оператор обязан по запросу субъекта прекратить обработку персональных данных субъекта в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации.

Статья 16 ФЗ предусматривает, что оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

Таким образом, в законодательстве Российской Федерации также установлены правовые основания для реализации права на забвение.

Рекомендации для белорусских компаний по реализации права на забвение

В связи с тем, что право на забвение получает закрепление в законодательстве различных стран, белорусским компаниям, обрабатывающим данные субъектов персональных данных таких стран, рекомендуется:

1. Публично анонсировать наличие такого права, как право на забвение, посредством включения соответствующих формулировок в Пользовательские соглашения и (или) Соглашения о конфиденциальности. При этом рекомендуется предоставлять такую информацию на том языке, на котором субъект персональных данных может ее понять.

2. Выбрать механизм реализации такого права. Например, установить возможность удаления данных по запросу, направленному на специализированную (выделенную) электронную почту.

3. Установить обязательную идентификацию субъектов персональных данных по электронной почте или иным критериям (вплоть до национального ID или паспорта). При отсутствии такой идентификации субъекта персональных данных существует риск удаления данных не того субъекта.

4. Удовлетворять требования по удалению данных в законодательно установленный срок (например, 30 дней по GDPR). Отметим, что в отдельных случаях такой срок можно увеличивать, проинформировав субъекта персональных данных о задержках и ее причинах (должны быть вескими).

5. Хранить реестр запросов. Такой реестр будет полезен при запросе какого-либо уполномоченного органа по защите персональных данных.

6. Разработать отдельное положение (ЛНПА) по работе с запросами:

— установить перечень ответственных лиц;

— формализовать процедуру удаления (кто занимается, на каких основаниях, в какой срок – см. выше);

— установить случаи реализации права на забвение;

— установить ответственность за нарушение такого положения.