[Impact]В тени GDPR[/Impact]
Тяжба между Киевстар и АМКУ по поводу доступа к данным абонентов — один из самых интересных «цифровых» сюжетов. От его исхода зависит то, какие вызовы и возможности будут перед нами в части управления своими персональными данными.
Персональные данные на глазах превращаются в новую кровь экономики, в один из самых ценных активов цифровой эпохи. Одним из следствий этого факта стал ажиотаж вокруг нового регламента работы с такими данными в Евросоюзе, известного как GDPR. Знакомство с тем, как данная проблематика отражена в деятельности украинских госструктур оставляет мало места для благодушия. Например, распиаренная платформа «цифрового здоровья» МОЗ вовсе не учитывает требования GDPR. Мало того, судя по официальным ответам, её разработчики и заказчики даже не понимают, зачем им необходимо об этом думать.
У всех нас нет иного выхода кроме как шаг за шагом привыкать к новой ситуации, осваивая её возможности и приноравливаясь к вызовам. Единственный способ освоиться по-настоящему — это решать практические задачи из реальной жизни. Конфликт между лидером рынка мобильной связи и антимонопольным ведомством даёт нам возможность перейти от умозрительных рассуждений к более чем конкретным вопросам. В этом смысле он очень ценен и заслуживает всяческого внимания.
Фабула
В мае 2015 года ЧАО «Укргазвыдобування» провело торги на поставку оборудования, по результатам которых АМКУ возбудил дело, подозревая участников в согласованных антиконкурентных действиях. Попросту говоря, в сговоре. Расследование такого рода дел относится к числу наиболее сложных. В поисках доказательств неафишируемых связей между участниками торгов антимонопольный комитет решил использовать данные об абонентской активности в сетях мобильной связи.
Напомним, что под такого рода данными понимаются любые сведения помимо собственно содержания разговоров и переписки. Это и сведения о месте, времени и продолжительности вызовов, и номера вызывающей/вызываемой сторон, и адреса посещаемых web-страниц и т.д. и т.п.
В нашем случае АМКУ не пытался заполучить данные о содержании разговоров и SMS. Вместо этого компании Киевстар было предложено предоставить сведения об активности абонентов, а именно распечатки исходящих и входящих разговоров по всем телефонным номерам одного из участников торгов, включая информацию о дате и времени совершения каждого вызова, номере второй стороны и продолжительности соединения.
Киевстар сходу занял однозначную позицию, отказываясь признавать обоснованность этих требований антимонопольного ведомства. После обмена любезностями в виде официальной переписки стороны перенесли свой спор в суд. Запрос Антимонопольного на предоставление информации датирован началом апреля 2017 года и уже в конце ноября он принял решение № 664-р о наложении штрафа. Компания подала иск об обжаловании решения в начале февраля 2018 года, а 11 июня Хозяйственный суд г. Киев полностью удовлетворил этот иск. В настоящее время он ожидает апелляцию АМКУ, несогласного со своим поражением.
Pro e Contra
Выступая в качестве ответчика, АМКУ построил свою позицию на требованиях профильного закона «Про Антимонопольный комитет Украины». Статьи 7, 16 и 22 закона содержат нормы, позволяющие ведомству истребовать у субъектов хозяйственной деятельности любую информацию, в том числе с ограниченным доступом. По мнению юристов АМКУ, Комитет проявил достаточное уважение к правам граждан, ограничившись в своём запросе информацией об активности абонентов, но не о содержании их переписки и разговоров.
Команда юристов, представлявшая в суде Киевстар, атаковала позиции АМКУ сразу с нескольких направлений. Для начала они оспорили основополагающий тезис антимонопольного ведомства о том, что
«інформація, яка знаходиться в операторів та провайдерів телекомунікацій про зв’язок, абонента, надання телекомунікаційних послуг, у тому числі отримання послуг, їх тривалості, змісту, маршрутів передавання, є надважливою для доведення факту змови на торгах».
По мнению представителей компании, этот тезис является всего лишь предположением и не опирается на конкретные нормы закона.
При этом, и это следующий пункт обвинения, АМКУ претендует на объём информации, который является избыточным, совершенно излишним с точки зрения расследования, проводимого ведомством. В частности, Комитет требует предоставить данные о всех без исключения вызовах, в которых фигурировали телефонные номера подозреваемых на протяжении пяти месяцев 2015 года. Это означает, что в распоряжение ведомства неизбежно попадут сведения о людях, которые заведомо не причастны к расследуемым правонарушениям.
Наконец, и это можно признать наиболее сильным аргументом Киевстар, законодательство Украины содержит чёткие недвусмысленные указания на то, как должны передаваться персональные данные граждан, в том числе данные об их активности в сетях телекоммуникаций. В отсутствие согласия самого физического лица его персональные данные могут быть истребоваться и предоставляться исключительно на основании решения суда. Каковое решение АМКУ мог, но по какой-то причине не пожелал получить, что является его и только его проблемой.
Признав обоснованность этих аргументов, Хозяйственный суд Киева принял решение целиком удовлетворить иск компании Киевстар и признать недействительным решение АМКУ № 664-р.
Разбор полётов
Оценивая спор частной компании и органа государственной власти важно не забывать, что их интересы не тождественны интересам общества и абонентов. Вершины треугольника «власть — бизнес — общество» потому и образуют треугольник, а не прямую линию или точку. В какой степени решение Хозяйственного суда соответствует интересам абонентов, общества и государства в целом?
В данном случае интересы бизнеса в лице оператора связи и его абонентов полностью совпали. «Большая тройка» не первый год жалуется на непрерывный рост аппетитов всевозможных «органов», которые наперебой требуют всё больше и больше персональных данных об абонентах. То есть о нас с вами. Эта ситуация вызывает сильный дискомфорт у операторских компаний, поскольку государство, мягко говоря, довольно небрежно относится к сохранности наших данных. Не является секретом бойкая торговля персональными данными об абонентской активности, содержании их разговоров и переписки, которой занимаются нечистые на руку «силовики». Значительное снижение цен на такого рода информацию за последние десять лет свидетельствует об избыточном предложении. Не удивительно, что операторы кровно заинтересованы в ужесточении требований к запросам на предоставление подобных данных.
Другой фактор, которым обусловлен консерватизм операторских компаний, не случайно вынесен в заголовок. Принятие общеевропейского регламента по работе с персональными данными заставляет штаб-квартиры украинских операторов усиливать контроль за происходящим на локальных рынках. Начиная с 2017 года украинские банки, операторы мобильной связи и другие потребительские бизнесы с международными корнями выполнили гигантский объём незаметной для посторонних работы, приводя свои внутренние процедуры в соответствие с требованиями GDPR. В этом смысле его принятие пошло всем нам на пользу.
Итак, давайте уточним существо проблемы. Если отбросить второстепенные аспекты, речь идёт о том, насколько должны быть доступны (либо недоступны, это уж как рассматривать) наши персональные данные? Кто именно, как именно и для чего именно должен иметь к ним доступ?
Безусловно, для эффективного выполнения своих обязанностей АМКУ необходима возможность осуществлять следственные действия, включая истребование персональной информации подозреваемых лиц. Однако, и здесь нельзя не согласиться с Киевстар, истребование такого рода данных не должно происходить квадратно-гнездовым методом. Невозможно представить причины, которые могли помешать АМКУ истребовать нужные ему данные через суд. В этом случае не было бы ни многомесячной тяжбы, ни обидного поражения в суде.
Любые государственные органы обязаны думать над тем, какие сведения им необходимы, а какие — нет. Любопытен опыт США, где законодатели посчитали уместным отвергнуть принцип бесплатного предоставления информации органам власти. Каждый их запрос к операторам телекоммуникаций стоит около 70 долларов, что само по себе служит прививкой от разного рода злоупотреблений.
В контексте именно расследования возможных совместных антиконкурентных действий тот набор данных, который требует от Киевстар Антимонопольный комитет, не выглядит особенно полезным. Знание о том, что с телефона одного подозреваемого лица имели место вызовы на телефон другого подозреваемого недостаточно для утверждений о наличии именно противоправных действий. Более того, этого недостаточно даже для того, чтобы утверждать о факте разговора именно этих лиц.
Не случайно украинские операторы вынуждены обставлять довольно громоздкими процедурами перевыпуск SIM-карт предоплаченных номер, выясняя суммы последних пополнений, номера последних вызовов и т.п. конфиденциальные сведения. Технологии мобильной связи имеют ряд уязвимостей, которые позволяют относительно недорого самые разнообразные манипуляции с чужими номерами, включая имитацию исходящих вызовов, SMS и перехват их содержания. Попросту говоря, наличие в распечатке сведений о вызовах подозреваемых лиц не означает, что эти лица действительно их совершали. Такого рода информация должна рассматриваться в качестве косвенной улики, обязательно требующей дополнительных подтверждений.
Одним словом, требования АМКУ нельзя не признать избыточными, чрезмерными.
Стоит особо отметить, что Киевстар не ограничился ролью истца и полным удовлетворением его требований. Компания вышла за рамки защиты интересов себя и своих абонентов, предложив системное решение проблемы доступа к персональным данным абонентов. И АМКУ, и любой другой орган власти может требовать и получать любую необходимую им для расследований информацию. Для этого необходимо, во-первых, привлечь органы следствия и, во-вторых, получить соответствующую санкцию суда.
«А отсюда мораль…»
Персональные данные на глазах превращаются в ценнейший нематериальный актив. Как результат их хотят все — бизнес, органы власти, политики, бандиты и граждане попроще. К сожалению, наш индивидуальный и коллективный опыт формируется с заметным опозданием. Украинское общество и органы власти, все мы только-только начинаем понимать, что такое персональные данные, какими они бывают, где их можно заполучить и чем это может обернуться.
Стоит процитировать определение, которым руководствуются в настоящее время суды. Оно взято в решении Конституционного суда Украины касательно официального толкования ст. 34 Конституции Украины. Согласно этому определению, персональными данными являются:
Інформація про особисте та сімейне життя особи (персональні дані про неї) — це будь-які відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована, а саме: національність, освіта, сімейний стан, релігійні переконання, стан здоров’я, матеріальний стан, адреса, дата і місце народження, місце проживання та перебування тощо, дані про особисті майнові та немайнові відносини цієї особи з іншими особами, зокрема членами сім’ї, а також відомості про події та явища, що відбувалися або відбуваються у побутовому, інтимному, товариському, професійному, діловому та інших сферах життя особи, за винятком даних стосовно виконання повноважень особою, яка займає посаду, пов’язану зі здійсненням функцій держави або органів місцевого самоврядування. Така інформація про фізичну особу та членів її сім’ї є конфіденційною і може бути поширена тільки за їх згодою, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Компания Киевстар сделала большое дело, что пошла на конфликт с влиятельным ведомством. Мало того, она предложила исчерпывающее, вполне практичное решение проблемы. Хозяйственный суд сделал большое дело, поддержав аргументированную взвешенную позицию. Решения судебных инстанций определят правовой базис работы с данными абонентов и отношение к ним со стороны государства и операторов на долгие годы.
А пока что нам, владельцам этих самых персональных данных, остаётся следить за происходящим со стороны, молиться и верить, что Ст. 8 Европейской Конвенции «О защите прав человека» не обойдёт Украину стороной.
http://mediasat.info/2018/08/10/v-teni-gdpr/