Крупнейшие мобильные операторы Европы Deutsche Telekom, Orange, Telefonica, Telecom Italia, Telenor, Telia, A1 Telekom Austria и Vodafone на минувшей неделе приступили к переговорам с еврокомиссаром по вопросам внутреннего рынка и сферы услуг о предоставлении данных о геолокации своих клиентов для отслеживания распространения COVID-19.

Такая база данных, рассчитывают в Еврокомиссии, может быть очень полезна для отслеживания контактов лиц, у которых выявлен вирус. А также – для контроля за соблюдением условий карантина.

Но поскольку данные о геолокации относятся к персональным данным, возникает разумное сомнение:

насколько законен сбор таких данных в Евросоюзе и не приведет ли это к тотальной слежке государств за своими гражданами?

Согласно регламенту GDPR, персональными данными являются любые данные, которые могут напрямую или косвенно идентифицировать физическое лицо. Более того, в четвертом артикле отдельно оговорено, что такими данными является информация о местонахождении физического лица.

А значит, на получение данных по геолокации мобильным операторам необходимо согласие физического лица.

GDPR устанавливает достаточно высокие требования в отношении формы получения согласия на обработку личных данных, в том числе геопозиции. Согласие физического лица на обработку его персональных данных должно быть выражено в форме утверждения или в форме четких активных действий пользователя.

Согласие на обработку персональных данных будет недействительно, если у пользователя не было выбора или не было возможности отозвать свое согласие без ущерба для самого себя.

Общий подход к обработке персональных данных на основании регламента GDPR сформулирован в виде шести основных принципов:

- Персональные данные должны обрабатываться законно, справедливо и прозрачно;

- Данные должны собираться и использоваться исключительно в тех целях, которые заявлены;

- Нельзя собирать личные данные в большем объёме, чем это необходимо (для целей оператора связи);

- Личные данные, которые являются неточными, должны быть удалены или исправлены;

- Личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных на срок не более, чем это необходимо для целей обработки;

- При обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения.

Лазейка, позволяющая обойти регламент GDPR, кроется, как ни странно, в Конвенции о правах человека.

Согласно ст. 15 Конвенции, в случае войны или в иных чрезвычайных обстоятельствах, угрожающих жизни нации, любая из сторон может принимать меры в отступление от ее обязательств. То есть частично ограничивать свободу вероисповедания, свободу слова или другие свободы. И многие страны-члены ЕС в срочном порядке направили уведомления генеральному секретарю Совета Европы о том, что они применили эту статью.

Можно утверждать, что ограничения, вводимые странами, в том числе сбор персональных данных для борьбы с пандемией, представляют собой ситуацию, описанную в 15-й статье Конвенции. Однако все принятые ограничения должны быть обоснованы и пропорциональны.

Еврокомиссия установила четкую цель сбора информации – использование данных для отслеживания распространения COVID-19 и соответствующего реагирования стран-членов ЕС.

Мобильные операторы утверждают, что для борьбы с COVID-19 будут использоваться только анонимные данные, то есть клиентов мобильных операторов нельзя будет идентифицировать. А поскольку на основании анонимных данных напрямую или косвенно нельзя идентифицировать физическое лицо, то такие данные выходят за рамки защиты личных данных и их обработка Еврокомиссией без согласия пользователей не противоречит требованиям регламента GDPR.

Судя по всему, хранение данных, переданных Еврокомиссии, будут осуществлять те же мобильные операторы.

ЕК обещает, что централизованная база данных с информацией о местонахождении клиентов будет анонимной и будет уничтожена сразу после того, как пандемия будет подавлена.

Остаётся неясным, на каком основании мобильные операторы будут собирать информацию о местонахождении клиентов, ведь данная информация требует согласия клиента на обработку.

В частности, сбор мобильными операторами персональных данных о геолокации с мобильных устройств и дальнейшая передача таких данных может осуществляться только при согласии клиента и использоваться только с целью, о которой клиент был уведомлен и дал свое согласие в соответствии с регламентом GDPR.

И это ставит перед Еврокомиссией крайне сложную задачу.

С одной стороны, мобильные операторы все же должны запрашивать согласие на сбор и обработку таких данных. Соблюдение этого требования существенно снизит эффективность такой базы данных для контроля за распространением коронавируса.

В свою очередь, игнорирование этих требований, даже с благой целью, может вызвать массовую подачу исков граждан ЕС в национальные суды.

Как результат – не исключено, что такой контроль будет действовать лишь в части стран ЕС.

Публикации в рубрике "Экспертное мнение" не являются редакционными статьями и отражают исключительно точку зрения автора