28 січня світ відзначає День захисту персональних даних. На його честь ми підготували низку прикладів з реального життя, з якими може стикнутися кожен, поданих крізь призму судових рішень Європейського суду з прав людини (ЄСПЛ).

Адже захист персональних даних є частиною права на повагу до приватного життя, закріпленого статтею 8 Конвенції про захист прав людини і основоположних свобод (Конвенція).

Розголошення ваших медичних та інших "таємних" даних

Наприклад, рішення "Авілкіна та інші проти Російської Федерації", 2013 року.

Прокуратура вимагала від лікарів надати відомості, які містилися в медичних документах заявників, без їхньої згоди і за відсутності відкритого кримінального провадження. Ці дані, які містили лікарську таємницю, були передані.

Суд встановив, що захист персональних даних, у тому числі медичних відомостей, має фундаментальне значення для реалізації особою гарантованого права на повагу до приватного і сімейного життя. Передача конфіденційних відомостей може серйозно вплинути також на соціальне становище та трудову зайнятість людей, оскільки це робить їх об’єктом наруги та можливих гонінь.

У цій справі заявники не були підозрюваними за жодним кримінальним розслідуванням. Відтак, Суд вирішив, що не було гострої соціальної потреби, яка б вимагала передачі відомостей, що становлять лікарську таємницю. Водночас можуть бути варіанти, якщо доведено, що національні інтереси мають більш серйозне значення ("З. проти Фінляндії").

У випадку наведення достатнього обґрунтування втручання в право на приватність державою Суд може вирішити, що порушення немає. Наприклад, у рішенні "Леандер проти Швеції" (ще 1987 року!) Суд встановив, що секретна перевірка осіб, які подають документи для працевлаштування на посади, важливі з точки зору національної безпеки, не суперечить вимогам, які є необхідними у демократичному суспільстві.

Недоліки законодавства у сфері захисту персональних даних можуть бути порушенням вашого права

Наприклад, рішення "Ротару проти Румунії", 2000 рік.

Суд встановив порушення через той факт, що законодавство передбачало право збирати, записувати та зберігати в секретних файлах Служби розвідки Румунії інформацію, яка може зашкодити інтересам національної безпеки, і не передбачало обмежень для Служби щодо здійснення цих повноважень.

Серед іншого, в румунському законодавстві не було визначено вид інформації, яку можна обробляти. У зв’язку з цим не було дотримано вимогу "передбачуваності" закону.

Правоохоронні органи не завжди можуть опрацьовувати ваші персональні дані

Наприклад, рішення "Хелілі проти Швейцарії", 2011 рік.

Під час поліцейського рейду поліція виявила заявницю, у якої були візитівки з таким текстом: "Симпатична, гарна жінка, за тридцять, хотіла б зустріти чоловіка, щоб іноді разом випити або провести час. Номер тел. ...".

Після цього поліцейські внесли в базу її ім’я як повії, якою вона ніколи не була. ЄСПЛ визнає, що, в принципі, збереження персональних даних особи на тій підставі, що ця особа могла вчинити інший злочин, може за певних умов бути пропорційним.

Проте у справі заявниці обвинувачення у незаконній проституції виявилося занадто загальним і не було обґрунтовано конкретними фактами, тому не може розглядатися як таке, що відповідає "нагальній суспільній потребі", отже, було визнано порушення.

Суд також вказує на тривалість зберігання даних і існування реальної (а не фіктивної) можливості прохання видалення даних (наприклад, в рішенні "Брюне проти Франції", 2014 року, яке стосувалось бази даних поліції).

Рішенні ЄСПЛ у справі "Заїченко проти України", 2015 року, стосувалося проведення стаціонарного обстеження психічного стану здоров’я заявника з метою встановлення можливості притягнення до відповідальності.

Суд звернув увагу на недостатнє законодавче регулювання в Україні питань збирання, зберігання, використання та поширення інформації про осіб, зокрема про стан їхнього психічного здоров’я, а також відсутності будь-якого механізму захисту прав осіб від незаконного втручання психіатричних установ у їхнє приватне життя. Тодішня міліція збирала відомості про заявника для судово-психіатричної експертизи. ЄСПЛ ствердив відсутність необхідних гарантій від свавілля.

Порушення права на захист персональних даних роботодавцем

Наприклад, рішення "Суріков проти України", 2017 року.

Роботодавець заявника довільно збирав, зберігав та використовував дані стосовно його психічного здоров’я у зв’язку із заявою останнього про підвищення, а також відкрив ці дані колегам заявника та суду в ході відкритого розгляду справи.

Законодавство дозволяло зберігання даних стосовно здоров’я заявника протягом тривалого часу та дозволяло її оприлюднення та використання для цілей, які не відповідали початковій меті їх збору. ЄСПЛ вказав, що це непропорційне втручання в право заявника, що не було необхідним у демократичному суспільстві, тому є порушення.

Внесення та зберігання персональних даних в базах даних не завжди є виправданим

Наприклад, рішення "Шимоволос проти Російської Федерації", 2011 року.

Прізвище заявника було внесено до бази даних "Сторожовий контроль", також міліція збирала інформацію приватного характеру про нього.

Суд ствердив, що національне законодавство не передбачало з достатньою чіткістю межі повноважень щодо збору та зберігання в базі даних "Сторожовий контроль" інформації про приватне життя людей. Зокрема, немає жодної вказівки на мінімальні гарантії проти зловживань. Тому втручання в права заявника є порушенням.

Дещо про стандарти ЄСПЛ щодо захисту персональних даних

Щоб вирішити, чи втручання держави в право людини на приватність є законним, потрібно "пройти" трискладовий тест – чи таке обмеження (втручання): відповідає закону; переслідує законну мету; а також є необхідним у демократичному суспільстві для досягнення законної мети.

Іншими словами, дослідити, чи втручання було виправданим.

ЄСПЛ вказує, що за державою повинна зберігатися певна свобода розсуду стосовно встановлення справедливого балансу між відповідними громадськими та приватними інтересами, які суперечать один іншому. Однак така свобода розсуду супроводжується європейським наглядом і її рамки залежать від характеру і значимості порушених інтересів, а також серйозності втручання.

Усі ці питання сьогодні актуальні, особливо в контексті витоку величезного обсягу персональних даних через різноманітні онлайн-інструменти, соціальні мережі, купівлі-продажі баз даних між компаніями без відома осіб чи несанкціоноване поширення даних загалом.

Що можна взяти з практики ЄСПЛ? А те, що стандарти захисту персональних даних щодня підвищуються, і нам потрібно до них дотягуватись – імплементовувати стандарти ЄС, особливо ті, які є в новому Загальному регламенті про захист даних (GDPR).

Захист персональних даних – це про права людини!

Публікації в рубриці "Експертна думка" не є редакційними статтями і відображають винятково точку зору автора