Зарубежный опыт доказывает необходимость отказа от законопроекта о цифровом профиле.

Зарубежный опыт демонстрирует отказ развитых стран от введения единых сквозных идентификаторов личности и создания единых распределенных баз данных. В Великобритании, Германии и Франции законодательно запрещено внедрение единого электронного идентификатора личности и создание единого банка персональных данных на всех граждан страны. Парламенты и высшие Конституционные органы этих стран расценили попытки построения подобной системы как покушение на основополагающие права и свободы граждан и угрозу национальной безопасности.

В мае 2010 года Парламент Великобритании законодательно отменил внедрение в стране электронных «паспортов». Был упразднен и Национальный Регистр идентификации, куда должны были стекаться сведения обо всех гражданах с новыми «электронными удостоверениями», уничтожена вся его база данных, оцениваемая в 4,5 миллиарда фунтов стерлингов.

В Англии изначально было сделано то, что сейчас делают в РФ – отдельный реестр для биометрии, другой – для прочих данных, как ЕСИА. Регистр был внедрен в 2006 году. Однако спустя 4 года было принято решение об отказе от ID-карт и связанного с ним реестра граждан, поскольку было признано, что это нарушение неприкосновенности частной жизни и угроза безопасности. Правительство Великобритании говорило о непрактичности и неуправляемых нарушениях конфиденциальности в качестве причин отмены проекта «Национальный Регистр идентификации». Как тогда заявляла Тереза Мэй: «Этот законопроект (об отмене ID-карта и реестра граждан) является лишь первым шагом, которые правительство предпринимает, чтобы уменьшить контроль государства над достойными, законопослушными людьми и вернуть им власть». https://www.theguardian.com/politics/2010/may/27/theresa-may-scrapping-id-cards

Отметим, тенденция к усилению гарантий защиты персональных данных наблюдается и на уровне Евросоюза. Недавно принят Общий Регламент по защите персональных данных Европейского союза (General Data Protection Regulation; далее - Регламент), вступил в силу 25 мая 2018 года.

Несмотря на то, что РФ не входит в ЕС, следует учитывать, что наши чиновники часто ссылаются на «передовой» опыт западных стран, которые «мы никак не можем догнать». Поэтому приведем несколько положений из этого Регламента, которые достойны внимания и абсолютно игнорируются при лоббировании «цифрового профиля» в России.

К основным принципам обработки персональных данных по статье 5 Регламента Евросоюза относятся:

1) Ограничение цели. Данные должны обрабатываться исключительно в тех целях, которые заявлены при сборе данных.

2) Минимизация данных. Нельзя собирать личные данные в большем объёме, чем это необходимо для целей обработки.

3) Ограничение срока хранения. Личные данные должны храниться в форме, которая позволяет идентифицировать субъекта данных в течение срока, необходимого для целей обработки.

Согласно пункту 39 преамбулы Регламента ЕС «Персональные данные должны … ограничиваться тем, что необходимо для целей, для которых они обрабатываются. Это требует, в частности, обеспечения того, чтобы период, в течение которого персональные данные хранятся, ограничивался строгим минимумом. Персональные данные должны обрабатываться только в том случае, если цель обработки не может быть разумно достигнута иными средствами».

Система профиля гражданина в ПФЗ игнорирует такие принципы, поскольку в нее моментально будет «сливаться» вся информация о гражданине из всех информационных систем, без ограничения объема и сроков обработки данных, и без оправдания какими-либо целями (кроме собственно цели по сбору данных).

Субъект персональных данных по Регламенту ЕС имеет право требовать прекращения обработки своих данных (пункт 1 статьи 17). В Регламенте предусмотрено право на забвение, которое дает гражданам возможность удалять свои личные данные по запросу. Исключения из этого правила минимальны: например, таковым может быть случай необходимости осуществления официальных полномочий оператора данных (пункт 3 (и) статьи 17). Но к такому случаю не относится сам по себе сбор данных ради сбора данных, что имеет место при формировании профиля согласно ПФЗ.

Весьма примечательным является также пункт (31) преамбулы Регламента ЕС: «Запросы на раскрытие данных, направляемые государственными органами, всегда должны быть в письменной форме, обоснованными и носить нерегулярный характер, а также они не должны касаться всей системы учёта, либо приводить к объединению систем учёта».

Внедрение системы профиля гражданина в РФ приведет по сути к объединению систем учета и постоянному автоматическому обновлению профиля.