Направления развития правового регулирования защиты персональных данных в Европейском Союзе
На современном этапе реформы правового регулирования защиты персональных данных в ЕС происходит пересмотр действующих правовых актов, а также планируется принятие новых документов.
Для того чтобы определить основные направления развития правового регулирования в ближайшей и долгосрочной перспективе, необходимо рассмотреть стратегии и проекты актов, предложения институтов и органов ЕС.Европейская комиссия наделена правом, в случае необходимости, представлять предложения по внесению изменений в правовые акты Союза по защите персональных данных в целях обеспечения единообразной и последовательной защиты физических лиц в отношении обработки данных. Одним из актов, который на данный момент находится на пересмотре, является Директива 2002/58/ЕС. Учитывая то, что в ЕС реализуется стратегия Единого цифрового рынка (the Digital Single Market Strategy - «DSM Strategy»)1, которая имеет целью повысить доверие к цифровым услугам и их безопасность, реформа защиты данных и, в частности, принятие Регламента (ЕС) 2016/679, были ключевыми действиями в этом направлении. Дальнейшее развитие предполагает высокий уровень защиты конфиденциальности для пользователей услуг электронных коммуникаций и равные условия для всех участников Единого цифрового рынка.
В соответствии с требованиями концепции «наилучшего регулирования» Комиссия ЕС выполнила Программу нормативно-правового соответствия и производительности (Regulatory Fitness and Performance Programme - «REFIT evaluation»[177][178]) в отношении Директивы 2002/58/EC. Из ее оценки следует, что цели и принципы существующей системы остаются
надежными. Тем не менее, со времени последнего пересмотра Директивы в 2009 г. на рынке произошли важные технологические и экономические изменения. Потребители и предприятия все больше полагаются на новые интернет-услуги, обеспечивающие межличностные коммуникации такие, как передача голоса по IP, обмен мгновенными сообщениями и Интернет-связь.
Эти сверхсовременные услуги связи (Over-the-Top communications services - «OTTs»), как правило, не подпадают под действие правовых актов, регулирующих сферу электронных коммуникаций в ЕС, включая Директиву.В связи с этим был представлен проект Регламента Европейского парламента и Совета ЕС об уважении частной жизни и защите личных данных в электронных сообщениях и отмене Директивы 2002/58/EC (Регламент «О конфиденциальности и электронных сообщениях» или «ePrivacy» Регламент)[179], который в настоящее время находится на стадии обсуждения. Он принимается посредством обычной законодательной процедуры (Procedure 2017/0003/COD). Дата вступления в силу пока не определена. В проекте, находящемся на рассмотрении, указано, что он будет применяться по истечении 24 месяцев с даты вступления в силу. Таким образом, если указанные сроки не будут изменены, вступление «ePrivacy» Регламента в действие произойдет как минимум не раньше 2021 года.
Комиссия ЕС выбрала для проекта формат регламента, так как регламент является обязательным к применению во всех государствах- членах, и таким образом будет обеспечена его согласованность с Регламентом (ЕС) 2016/679, по отношению к которому новый Регламент будет «lex specialis» (с лат. - закон специальный), а, значит, будет конкретизировать и дополнять Регламент (ЕС) 2016/679в отношении данных, передаваемых с помощью устройств электронной связи. Принятие «ePrivacy» Регламента, несомненно, является актуальным и соответствует тенденции развития права защиты данных в ЕС.
Исходя из анализа проекта, можно сделать несколько выводов. Так, «ePrivacy» Регламент будет устанавливать правила, касающиеся защиты основных прав и свобод физических и юридических лиц при предоставлении и использовании услуг электронных коммуникаций, и, в частности, права на уважение частной жизни и защиту физических лиц в отношении обработки персональных данных. Он также будет обеспечивать свободное и безопасное обращение данных по электронной связи и услуг электронной связи в пределах Союза, что не должно быть ни ограничено, ни запрещено по причинам, связанным с уважением частной жизни и общением физических и юридических лиц и защитой физических лиц в отношении обработки персональных данных.
Планируется, что действие «ePrivacy» Регламента не будет распространяться на:
- деятельность, которая выходит за рамки права Союза;
- деятельность государств-членов, подпадающих под сферу действия Главы 2 Раздела V Договора о Европейском Союзе;
- услуги электронной связи, которые не являются общедоступными;
- деятельность компетентных органов в целях предотвращения, расследования, выявления или судебного преследования за совершение уголовных преступлений или исполнения уголовных наказаний, включая защиту и предотвращение угроз общественной безопасности.
«ePrivacy» Регламент не должен ограничивать применение Директивы 2000/31/ЕС о некоторых правовых аспектах услуг информационного общества, в том числе электронной торговли на внутреннем рынке («Директива об электронной торговле»)[180], устанавливающей нормы об ответственности исполнителей услуг и посредников. Регламент «ePrivacy» не отменяет положения Директивы 2014/53/ЕС о гармонизации законов государств-членов, касающихся предоставления доступа на рынок
радиооборудования1. Наконец, действие Регламента «ePrivacy» не будет распространяться на деятельность по обработке данных союзными органами и учреждениями, так как принципы и обязательства, которыми должны руководствоваться такие органы при обработке данных электронными средствами связи, были включены в Регламент (ЕС) 2018/1725.
Согласно проекту Регламента государства-члены смогут сохранять или создавать национальные системы хранения данных, если такие структуры соответствуют праву Союза. В этом отношении государствам-членам необходимо принимать во внимание прецедентное право Суда ЕС в отношении толкования Директивы 2002/58/EC и Хартии основных прав ЕС и, в частности, дело «Digital Rights Ireland and Seitlinger and Others» и дело «Tele2 Sverige AB and Secretary of State for the Home Department»[181][182].
За соблюдение правил конфиденциальности, которые будут предусмотрены в «ePrivacy» Регламенте, будут отвечать те же уполномоченные органы по защите данных, которые несут ответственность в соответствии с Общим Регламентом о защите данных.
Важно отметить, что сфера действия «ePrivacy» Регламента будет тесно связана со сферами действия правовых актов, регулирующих другие вопросы информационного права ЕС. Этот документ будет являться частью нормативно-правовой базы по регулированию электронных коммуникаций. В частности, проект «ePrivacy» Регламента частично опирается на определения, приведенные в проекте Директивы, устанавливающей Европейский код электронных коммуникаций (Директива «EECC»)[183], который был предложен Комиссией ЕС в 2016 г., в том числе определение «услуг электронной связи». Таким образом, планируется, что два этих правовых акта будут дополнять друг друга, так как Директива «EECC» будет обеспечивать дополнительную
безопасность услуг электронных коммуникаций, с помощью которых, в частности, будут происходить передачи персональных данных.
Можно предположить, что одним из основных векторов развития правового регулирования защиты персональных данных в ЕС будет детальная регламентация использования личной информации физических лиц правоохранительными органами Союза. На это, в частности, указывают положения недавно вступившего в силу Регламента (ЕС) 2018/1725. Важно отметить, что роль правовой регламентации вопросов защиты персональных данных существенно возрастает по мере поступательного усиления интеграции стран ЕС по сотрудничеству в рамках бывшей III опоры «сотрудничество полиций и судебных органов в уголовно-правовой сфере».
В соответствии с Директивой (ЕС) 2016/680, к 6 мая 2019 г. Комиссия ЕС должна рассмотреть другие принятые Союзом правовые акты, которые регулируют обработку данных компетентными органами, с тем, чтобы оценить необходимость согласования их с настоящей Директивой, и при необходимости внести необходимые предложения по внесению поправок в эти акты, для обеспечения последовательного подхода к защите персональных данных.
К 30 апреля 2022 года Комиссия обязана рассмотреть правовые акты, принятые на основе Договоров, которые регулируют обработку оперативных персональных данных органами, учреждениями или агентствами Союза при осуществлении деятельности, подпадающей под действие главы 4 или главы 5 раздела V части 3 ДФЕС, с тем, чтобы:
- оценить их соответствие Директиве (ЕС) 2016/680 и Главе IX Регламента (ЕС) 2018/1725;
- выявить любые расхождения, которые могут помешать обмену оперативными личными данными между органами Союза, офисами или агентствами при осуществлении деятельности в этих областях и другими компетентными органами;
- выявить любые расхождения, которые могут привести к юридической фрагментации права защиты персональных данных в Союзе.
Евроюст. Процесс пересмотра действующих документов уже идет, поскольку 14 ноября 2018 года был принят новый Регламент (ЕС) 2018/1727 «Об Агентстве Европейского Союза по сотрудничеству в области уголовного правосудия (Евроюст), заменяющий и отменяющий решение Совета 2002/187/JHA»[184]. Данный правовой акт модернизирует структуру этого органа безопасности на уровне ЕС с тем, чтобы усилить его полномочия по борьбе с трансграничной преступностью и в большей степени защищать права и свободы граждан объединенной Европы.
В новом Регламенте особое внимание уделяется защите персональных данных физических лиц. Так, в нем деятельность Евроюст по обработке личных данных приводится в соответствие с ранее принятыми правовыми актами ЕС по защите данных, а Евроюст наделяется дополнительными полномочиями по обработке данных в интересах борьбы с трансграничной преступностью.
Для того чтобы обеспечить одинаковый уровень защиты прав физических лиц на всей территории Союза и предотвратить расхождения, препятствующие обмену персональными данными между Евроюст и компетентными органами в государствах-членах, правила защиты и свободного обращения оперативных данных, обрабатываемые Евроюст, должны соответствовать Директиве (ЕС) 2016/680 (п. 28 вводной части Регламента о Евроюст).
Отдельные положения Регламента (ЕС) 2018/1725 будут применяться к деятельности Евроюст по обработке данных. В ст. 26 Регламента о Евроюст указывается, что настоящий Регламент, а также ст. 3 и Глава IX Регламента (ЕС) 2018/1725, применяются к обработке оперативных персональных данных Евроюст. Регламент (ЕС) 2018/1725, за исключением главы IX, будет
применяться к обработке административных персональных данных Евроюст. Ссылки на применимые правила защиты данных в Регламенте о Евроюст следует понимать как ссылки на положения о защите данных, изложенные в нем и в Регламенте (ЕС) 2018/1725.
Таким образом, правила, установленные в Регламенте о Евроюст, следует рассматривать как «lex specialis» по отношению к положениям Главы IX Регламента (ЕС) 2018/1725 (lex specialis derogat lex generali).
В целях уменьшения юридической фрагментации конкретные правила защиты данных в этом Регламенте должны соответствовать принципам, лежащим в основе Главы IX Регламента (ЕС) 2018/1725.Регламент о Евроюст вступил в силу в декабре 2018 г. (через 20 дней после его публикации в Официальном журнале ЕС), однако его применение начинается через год, с 12 декабря 2019 года, что позволит Евроюст и государствам-членам подготовиться к применению новых правил. Регламент (ЕС) 2018/1725 будет применяться к обработке персональных данных Европейской юстицией, также начиная с 12 декабря 2019 года.
Европейская Прокуратура. В ближайшие годы в Европейском Союзе должен начать функционировать новый правоохранительный орган - Европейская Прокуратура (the European Public Prosecutor’s Office - «EPPO»). Его создание предусмотрено Регламентом Совета (ЕС) 2017/1939 от 12 октября 2017 г.1 Этот орган будет заниматься крупномасштабными трансграничными преступлениями против союзного бюджета и будет действовать как единый орган в тех 20 странах ЕС, которые участвуют в создании этого органа[185][186]. Он будет полностью независимым, действующим в интересах ЕС, и не будет ни запрашивать, ни принимать указания, ни от других органов и институтов ЕС, ни от национальных властей.
Регламент о Европейской Прокуратуре содержит большое количество положений, касающихся обработки персональных данных этим органом. Так, правила о защите персональных данных, содержащиеся в Регламенте, должны толковаться и применяться в соответствии с Директивой (ЕС) 2016/680. Регламент (ЕС) 2018/1725 будет применяться к обработке административных персональных данных Европейской прокуратурой. При этом положения Регламента не ограничивают правила о допустимости использования личных данных в качестве доказательств в уголовном судопроизводстве.
Регламент о Прокуратуре содержит отдельную Главу VIII «Защита данных», нормы которой определяют, в частности, принципы обработки персональных данных (ст. 47), правила обработки административных личных данных (ст. 48), правила обработки оперативных персональных данных (ст. 49), сроки хранения оперативных персональных данных (ст. 50), особые условия обработки (ст. 53), правила передачи оперативных персональных данных в учреждения, органы и агентства Союза (ст. 54), правила обработки специальных категорий оперативных персональных данных (ст. 55), условия реализации прав субъекта данных и коммуникации с субъектом (ст. 57) и осуществления прав субъектом данных (ст. 62), правила передачи оперативных персональных данных получателям, находящимся в третьих странах (ст. 84), отступления от правил для особых ситуаций (ст. 83) и др.
В Регламенте о Прокуратуре содержатся правила взаимодействия Европейской прокуратуры с другими органами, учреждениями и агентствами ЕС по вопросам передачи данных. Так, в ст. 80 обозначены общие принципы передачи оперативных персональных данных. В ст. 70 регламентируется сотрудничество с Европейским Уполномоченным по защите данных. Евроюст также может оказывать поддержку Прокуратуре в вопросах деятельности, касающейся трансграничных дел, в том числе посредством обмена информацией о своих расследованиях (ст. 100). OLAF (the European Anti-Fraud Office), который продолжит административное расследование
нарушений и мошенничеств, затрагивающих финансовые интересы ЕС, будет консультироваться и тесно координировать свою деятельность с Европейской прокуратурой, в том числе по вопросам передачи данных.
Однако дата начала функционирования Европейской прокуратуры для тех государств-членов, которые участвуют в расширенном сотрудничестве на основании решения, принятого в соответствии с подп. 2 или 3 п. 1 ст. 331 ДФЕС, еще не определена. В Регламенте определено, что Европейская прокуратура возьмет на себя следственные и прокурорские задачи, возложенные на нее Регламентом, в дату, которая будет определена решением Комиссии ЕС по предложению главного прокурора Европы, который должен быть назначен Комиссией ЕС, и не ранее чем через 3 года после даты вступления в силу Регламента. При этом Комиссия консультируется с Группой экспертов, состоящей из представителей компетентных органов государств-членов. Исходя из положений данного акта, можно предположить, что новый орган начнет функционировать с конца 2020 г. или с начала 2021 г.
Исходя из анализа Регламента (ЕС) 2018/1725 можно предположить, что после вступления в действие Регламента о Прокуратуре, Комиссия ЕС в целях обеспечения единообразной и последовательной защиты физических лиц в отношении обработки персональных данных правоохранительными органами ЕС будет заниматься решением вопросов применения Главы IX Регламента (ЕС) 2018/1725 к Европейской прокуратуре и, в случае необходимости, внесением предложений по изменению указанной Главы.
Европол. Многочисленные положения Регламента (ЕС) 2016/794 от 11 мая 2016 г. «Об Агентстве Европейского Союза по сотрудничеству между правоохранительными органами (Европол) и замене и отмене Решений Совета 2009/371/JHA, 2009/934/JHA, 2009/935/JHA, 2009/936/JHA и
2009/968/JHA»[187], который действует в ЕС с 1 мая 2017 г. (а отдельные статьи
(71, 72 и 73) применяются уже с 13 июня 2016 г.), свидетельствуют о том, что при его разработке должное внимание было уделено защите персональных данных физических лиц. Данный Регламент признает основные права и принципы, признанные учредительными документами ЕС, в частности, право на защиту персональных данных, как оно изложено в ст. 8 Хартии, а также в ст. 16 ДФЕС (п. 76 вводной части).
Свою деятельность Европол основывает на фундаментальных принципах защиты персональных данных. Так, провозглашается, что любая обработка персональных данных должна быть законной и справедливой по отношению к соответствующим субъектам данных. Европол обрабатывает персональные в соответствии с принципами защиты данных, указанными в ст. 28 Регламента (ЕС) 2016/794.Принцип справедливой обработки позволяет субъектам данных эффективно осуществлять свои права в соответствии с настоящим Регламентом (п. 41 вводной части).
Нормы, касающиеся защиты персональных данных, содержатся во многих положениях Регламента о Европол. В частности, в ст. 17 «источники информации» Главы IV «Обработка информации» указывается, что Европол может напрямую получать и обрабатывать информацию, в том числе личные данные, из общедоступных источников, включая Интернет. В ст. 18 говорится о том, что для достижения своих целей Европол может обрабатывать информацию, включая личные данные, в той степени, в какой это необходимо. Далее в статье содержится закрытый перечень целей, для осуществления которых разрешается обработка ведомством личных данных. Одной из них является содействие обмену информацией между государствами-членами, Европол, другими органами Союза, третьими странами и международными организациями. По этому поводу в Регламенте содержатся специальные положения в Разделе 2 «Передача и обмен персональными данными» Главы V «Отношения с партнерами».
Большинство норм о защите персональных данных сосредоточено в отдельной Главе VI «Правила безопасности для защиты данных» Регламента о Европол. Помимо общих принципов защиты данных, в ней также содержатся положения об обработке специальных категорий персональных данных и различных категориях субъектов данных (ст. 30), о сроках хранения и удаления персональных данных (ст. 31), о безопасности обработки (ст. 32), об осуществлении прав физических лиц, в частности, права доступа (ст. 36), о правилах, устанавливающих и регламентирующих деятельность Совета по сотрудничеству по вопросам обработки данных (ст. 45), о правилах обработки административных личных данных (ст. 46) и др.
В Главе VII «Средства и ответственность» Регламента содержатся нормы об ответственности Европол за неправомерную обработку персональных данных, включая право на компенсацию для физических лиц (ст. 50). В случае нарушения прав физическое лицо вправе подать иск против Европол в Суд ЕС или против ведомства государства-члена в компетентный национальный суд этого государства-члена.
Несмотря на достаточно объемную регламентацию правил, касающихся защиты персональных данных физических лиц в Регламенте о Европол, в п. 40 вводной части отмечается, что правила о защите данных должны быть усилены и должны опираться на принципы, лежащие в основе Регламента (ЕС) 2018/1725, для обеспечения высокого уровня защиты физических лиц в отношении обработки личных данных.
В Декларации № 21 о защите персональных данных в области судебного сотрудничества по уголовным делам и полицейского сотрудничества, прилагаемой к ДЕС и ДФЕС, признается специфика обработки данных в контексте правоохранительной деятельности, и поэтому правила защиты данных Европол должны быть автономными и, в то же время, совместимыми с другими инструментами защиты данных, применяемыми в области такого сотрудничества в Союзе. Эти инструменты включают Директиву (ЕС) 2016/680, а также Конвенцию о защите
физических лиц в отношении автоматической обработки персональных данных Совета Европы и его рекомендацию № R (87) 151.
Можно предположить, что для того, чтобы Регламент о Европол соответствовал указанным документам, Комиссия ЕС после проведения обязательного обзора в целях обеспечения единообразной и последовательной защиты физических лиц в отношении обработки персональных данных, разработает конкретные предложения о применении Главы IX Регламента (ЕС) 2018/1725 к Европол. Для этих целей могут быть внесены изменения в указанную Главу. Однако ожидать таких предложений стоит не раньше 30 апреля 2022 г. - даты, когда Комиссия ЕС представит Европейскому парламенту и Совету ЕС первый отчет о применении Регламента (ЕС) 2018/1725 на территории Союза.
Акты Комиссии ЕС
В соответствие с Регламентом (ЕС) 2016/679 Европейская комиссия наделяется правом, а в определенных случаях и обязанностью, издавать исполнительные акты по определенному кругу вопросов[188][189], а также она наделяется полномочием издавать делегированные акты на условиях, изложенных в ст. 92 Регламента. Комиссия ЕС имеет право принимать указанные акты вторичного права, начиная с 24 мая 2016 г.
К настоящему моменту Комиссией ЕС были приняты процедурные правила Комитета по защите лиц в отношении обработки личных данных и по свободному обращению таких данных[190], а также решение об адекватности в отношении Японии. В частности, было официально подтверждено, что
Япония обеспечивает адекватный уровень защиты персональных данных, передаваемых из Европейского Союза японским операторам по обработке данных, в соответствии с Законом о защите персональных данных Японии и дополнительными правилами, изложенными в Приложении I к нему, вместе с официальными заявлениями, заверениями и обязательствами, содержащимися в Приложении II1. Кроме того, Комиссия ЕС приняла Решение (ЕС) 2018/743 от 16 мая 2018 г. об экспериментальном проекте по осуществлению положений административного сотрудничества, изложенных в Регламенте (ЕС) 2016/679, с помощью Информационной системы внутреннего рынка (the Internal Market Information System - «IMI»)[191][192], которое применяется с 25 мая 2018 г[193]. С помощью этой системы обеспечивается административное сотрудничество между надзорными органами, Европейским Советом по защите данных и Комиссией ЕС в виде обмена информацией и осуществления других видов коммуникации, как это предусмотрено статьями 56, 60-66 и подп. (d) - (k), (m) и (x) п. 1 ст. 70 Регламента (ЕС) 2016/679.
Некоторые ранее принятые Комиссией ЕС акты(например, Решение Комиссии 2010/87/ЕС от 5 февраля 2010 г., касающееся стандартных договорных положениях о передаче персональных данных контролерам, учрежденным в третьих странах, принятое в соответствие с Директивой 95/46/EC[194]) действуют по настоящее время и будут оставаться в силе до момента их отмены или замены другими актами Комиссии.
Для достижения целей Регламента (ЕС) 2016/679 Комиссии ЕС делегированы полномочия принимать акты согласно ст. 290 ДФЕС. Так, должны быть приняты акты в отношении критериев и требований к механизмам сертификации, в отношении информации, когда она должна быть представлена в стандартизированном формате, и процедуры для предоставления такого формата. При этом важно, чтобы Комиссия ЕС проводила консультации в ходе подготовительной работы, в том числе с приглашением соответствующих экспертов. Комиссия ЕС при подготовке и составлении актов должна обеспечить своевременную и надлежащую передачу этих документов в Европейский парламент и Совет ЕС.
К настоящему моменту Комиссия ЕС приняла делегированный Регламент о внесении изменений в Приложение III Регламента (ЕС) № 211/2011 Европейского парламента и Совета «О гражданской инициативе»[195]. Комиссия приняла этот акт, чтобы изменить содержание заявления о конфиденциальности, включенное в модели заявления о поддержке, чтобы адаптировать его к положениям Общего регламента защиты данных. Изменения направлены на то, чтобы предоставить субъектам данных обновленные ссылки на применяемую правовую базу защиты персональных данных и дополнительную информацию, которая должна быть предоставлена контролером данных, когда личные данные собираются у физических лиц, как это предусмотрено в ст. 13 Регламента (ЕС) 2016/679.
Таким образом, проведенный анализ позволяет предположить, что в целях дальнейшей конкретизации правового регулирования защиты персональных данных Европейской комиссией будут приниматься документы уточняющего и дополняющего характера по отношению к правовым актам ЕС, регулирующим данную сферу.
Акты уполномоченных органов по защите данных
Регламент (ЕС) 2016/679, помимо институтов, наделяет некоторые органы правом, а в определенных случаях и обязанностью, издавать акты
вспомогательного характера1. Они могут быть, как юридически обязательными, так и рекомендательными. Такие акты могут приниматься уполномоченными органами по защите данных на уровне ЕС.
Европейский Совет по защите данных в этой связи принял Руководящие принципы 1/2019 от 12 февраля 2019 г. о кодексах поведения и органах контроля в соответствии с Регламентом (ЕС) 2016/679[196][197], Руководство 4/2018 от 4 декабря 2018 г. по аккредитации органов по сертификации в соответствии со ст. 43 Регламента[198], Руководство 2/2018 от 25 мая 2018 г. об отступлениях от ст. 49 Регламента[199] и другие[200]. Европейский Уполномоченный по защите данных принял Руководство по ст. 25 Регламента (ЕС) 2018/1725 и внутренним правилам от 20 декабря 2018 г.[201], Руководство по уведомлению о нарушении персональных данных для учреждений и органов Европейского Союза от 7 декабря 2018 г.[202] и др.[203]
Стратегии Европейского Союза
Регламент (ЕС) 2016/679, Директива (ЕС) 2016/680 и другие правовые акты Союза, каждый в рамках своей сферы действия, выступают базой для утверждения и реализации стратегий ЕС, прямо или косвенно связанных с защитой персональных данных физических лиц.
Одним из приоритетных направлений для Комиссии ЕС является создание Единого цифрового рынка, что будет способствовать привлечению в экономику Европы порядка 415 млрд. евро в год, созданию новых рабочих мест и оптимизации государственных и муниципальных служб. В связи с этим, вопрос легального использования персональных данных, которые в
определенной степени являются валютой для новой цифровой экономики, очень важен для предпринимателей1. С этой точки зрения Регламент (ЕС) 2016/679 является обязательным шагом в реализации стратегии создания Единого цифрового рынка[204][205]. Предусматривая единый набор правил, непосредственно применимых в правовых системах государств-членов, он гарантирует свободный поток данных между государствами-членами и укрепляет доверие и безопасность потребителей, что выступает в качестве обязательных элементов для функционирования Единого цифрового рынка. Регламент является базовым правовым элементом и неотъемлемой частью реализации данной стратегии. На его основе Комиссия ЕС сможет принять акты, необходимые для дальнейших шагов по реализации концепции Единого цифрового рынка. Дополнительные предложения в этом направлении в настоящее время обсуждаются Комиссией ЕС, Европейским парламентом и Советом ЕС[206].
Учитывая, что защита данных затрагивает практически все области политики Европейского Союза и является ключевым фактором повышения доверия к политике ЕС, в первую очередь, со стороны граждан, Европейским Уполномоченным по защите данных была принята Стратегия «подавая пример» на 2015-2019 годы[207], которая направлена на создание основы для продвижения культуры защиты данных в европейских институтах и органах.
В рамках этой Стратегии Уполномоченный предлагает и обосновывает комплекс поправок и дополнений в действующие правовые акты Союза и, в частности, призывает институты ЕС инициировать обсуждение определений таких терминов, как национальная безопасность, общественная безопасность и серьезные нарушения. Он также предлагает ряд мер, направленных на то, чтобы способствовать сближению различных правовых актов о защите данных в области сотрудничества правоохранительных и судебных органов
ЕС и государств-членов, а также способствовать согласованности в надзоре за крупномасштабными IT-системами в пределах Союзе. Для достижения указанных целей, Уполномоченный рекомендует институтам ЕС собирать и изучать практические материалы от государств-членов.
Обеспечение высочайшего уровня защиты персональных данных является одной из приоритетных целей Программы по правам, равенству и гражданству на 2014-2020 годы1. Эта программа способствует дальнейшему развитию областей, в которых поощряются и защищаются равенство и права людей, закрепленные в Договорах, Хартии основных прав ЕС и международных конвенциях по правам человека[208][209].
В рамках данной Программы проводится финансирование мероприятий по вопросам защиты персональных данных, в том числе образовательного, информационно-просветительского и аналитического характера. Все действия, финансируемые Программой, направлены на достижение
3 результатов, которые выходят за пределы одного государства-члена[210].
Комиссия ЕС проявляет особый интерес к обеспечению своевременного и надлежащего финансирования мероприятий по повышению осведомленности в области защиты данных. В связи с этим Комиссия ЕС объявила конкурс предложений для поддержки деятельности национальных органов по защите данных в целях повышения осведомленности общественности и понимания нового законодательства. Тендер будет ограничен национальными органами защиты данных, и его бюджет будет увеличен с 1.000.000 евро до 2.000.000 евро[211].
Европейская комиссия реализует и другие стратегии, связанные с защитой персональных данных физических лиц. К примеру, Комиссия, в рамках своей Рамочной программы исследований и инноваций «Horizon 2020», профинансировала мероприятия по разработке инструментов, поддерживающих эффективное применение правил в отношении согласия и сохраняющих конфиденциальность методов анализа данных таких, как многосторонние вычисления и гомоморфное шифрование[212].
Итак, тенденции и основные направления развития правового регулирования защиты персональных данных в Европейском Союзе видятся в следующем. Одно из приоритетных направлений - защита оперативных данных правоохранительными органами ЕС. К 30 апреля 2022 г. Комиссия ЕС должна рассмотреть действующие правовые акты, которые регулируют обработку персональных данных органами, учреждениями или агентствами Союза при осуществлении полицейского сотрудничества и судебного сотрудничества по уголовным делам с тем, чтобы оценить их соответствие Директиве (ЕС) 2016/680 и Главе IX Регламента (ЕС) 2018/1725. Комиссия ЕС предпримет все необходимые меры для применения главы IX Регламента (ЕС) 2018/1725 к Европол и Европейской прокуратуре (после вступления в действие Регламента о Европейской прокуратуре).
Наиболее активное развитие правового регулирования защиты данных ожидается в сфере электронных коммуникаций. Необходимым шагом является принятие нового Регламента («ePrivacy»), который заменит действующую Директиву 2002/58/ЕС, а также Директивы, устанавливающей Европейский код электронных коммуникаций («EECC»). Проекты обоих документов, дополняющих друг друга, в настоящее время проходят процедуры обсуждения в институтах ЕС.
Комиссия ЕС будет проводить периодический обзор Регламента (ЕС) 2016/679, Директивы (ЕС) 2016/680, Регламента (ЕС) 2018/1725 и других
правовых актов с тем, чтобы при необходимости представлять соответствующие предложения по внесению поправок в указанные акты.
Основываясь на Регламенте (ЕС) 2016/679, Комиссия ЕС воспользуется своим правом принимать акты вторичного права по защите персональных данных. Так, в настоящее время находятся в разработке акты по вопросам принятия стандартных договорных форм, технических стандартов и механизмов сертификации, по вопросам осуществления взаимопомощи между уполномоченными органами и т.д. По вопросам процедурного характера требуется принятие актов, в том числе юридически обязательных, уполномоченными органами Союза по защите данных. Такие акты в рамках своей компетенции уполномочены принимать Европейский Совет по защите данных и Европейский Уполномоченный по защите данных. В частности, речь идет о руководящих принципах и передовой практике, об актах рекомендательного и консультационного характера, принятых, как по своей инициативе, так и по запросам Комиссии ЕС и других институтов Союза.
Правовое регулирование посредством актов вторичного права по вопросам защиты персональных данных будет происходить и в рамках краткосрочных и долгосрочных стратегий Союза, его институтов и органов. Среди основных стратегий, направленных на перспективу, можно выделить Стратегию по развитию Единого цифрового рынка, Стратегию «подавая пример» на 2015-2019 годы, Программу по правам, равенству и гражданству на 2014-2020 годы, Стратегию «Horizon 2020» и др.
В заключение отметим, что право защиты персональных данных в ЕС находится в процессе постоянного развития и совершенствования. Исходя из проведенного анализа, можно предположить, что в перспективе право защиты персональных данных распространит свое действие на подавляющее большинство сфер общественной жизни в Европейском Союзе.
3.3.
Еще по теме Направления развития правового регулирования защиты персональных данных в Европейском Союзе:
- § 3. Сопутствующие элементы теоретической модели взаимосвязи нормы права, правоотношения и юридического факта
- §11. Административное право Италии.
- Международная электронная торговля услугами как феномен либерализации рынка: проблемы правового регулирования
- § 4 Европейская комиссия.
- Правовое обеспечение безопасности несовершеннолетних в сети Интернет: зарубежный и российский опыт
- ОГЛАВЛЕНИЕ
- ВВЕДЕНИЕ
- Основные этапы развития правового регулирования защиты персональных данных в Европейском Союзе
- Система источников правового регулирования защиты персональных данных в Европейском Союзе на современном этапе
- Правовые принципы защиты персональных данных в Европейском Союзе
- Функции и полномочия уполномоченных органов по защите персональных данных в Европейском Союзе
- Глава 3. Перспективы развития правового регулирования защиты персональных данных в Европейском Союзе
- 3.1 Особенности имплементации правовых актов Европейского Союза в сфере защиты персональных данных государствами-членами (на примере Германии, Ирландии, Франции)
- Направления развития правового регулирования защиты персональных данных в Европейском Союзе