Ответственность субъектов правового регулирования защиты персональных данных в Европейском Союзе
Правовое регулирование защиты персональных данных не может не предусматривать специальных мер юридической ответственности за нарушения норм правовых актов ЕС. В теории права выделяют несколько признаков юридической ответственности.
Например, С.С. Алексеев определяет юридическую ответственность как применение к правонарушителю предусмотренных санкцией юридической нормы мер государственного принуждения, выражающихся в форме лишений личного, организационного либо имущественного характера[141]. Когда речь идет оюридической ответственности в рамках ЕС, необходимо исходить из характерных особенностей, присущих этой наднациональной организации[142].
Юридическая ответственность за нарушение правовых актов ЕС о защите физических лиц в отношении обработки персональных данных - это применение к правонарушителю компетентными органами предусмотренных санкцией правовой нормы мер принуждения, влекущих определенные неблагоприятные последствия за совершенное правонарушение в сфере правового регулирования защиты персональных данных.
Нормы, предусматривающие применение мер ответственности, были изначально закреплены на уровне ЕС в таких документах, как Директива 95/46/ЕС (обязала государства-члены предусмотреть меры ответственности для контролеров, процессоров, а также надзорных органов по защите данных), Регламент (ЕС) № 45/2001 (содержал нормы об ответственности контролеров, являющихся учреждениями и органами Союза, а также Европейского Уполномоченного по защите данных), Директива 2002/58/ЕС (включила обязательства о закреплении мер ответственности для контролеров и процессоров в отношении обработки личных данных и защиты конфиденциальности в секторе электронных средств связи) и др.
Юридическая ответственность в настоящее время осуществляется на основании действующих правовых актов ЕС, каждый из которых предусматривает санкции применительно к правонарушителям в определенной сфере.
Регламент (ЕС) 2016/679 содержит нормы, касающиеся ответственности контролеров, процессоров, надзорных органов и других субъектов, Директива (ЕС) 2016/680 - нормы об ответственностикомпетентных правоохранительных органов государств-членов, обрабатывающих личные данные в целях осуществления уголовного правосудия, в свою очередь Регламент (ЕС) 2018/1725 - нормы, касающиеся
ответственности институтов, органов и учреждений Союза, а также Европейского Уполномоченного по защите данных. Кроме того, применение мер ответственности (в частности, дисциплинарных) регулируется и другими специальными актами институтов, органов и учреждений ЕС.
После проведения реформы правового регулирования защиты персональных данных в Европейском Союзе в отечественной науке не проводилось научного исследования, посвященного вопросам, связанным с ответственностью надзорных органов по защите данных государств-членов ЕС, а также уполномоченных органов по защите прав и свобод физических лиц в отношении обработки личных данных на уровне Союза. Исходя из вышеизложенного, необходимо рассмотреть ответственность каждого из субъектов, связанных с обработкой персональных данных в Союзе, и выделить конкретные меры, которые могут быть применены за нарушения правил, установленных правовыми актами ЕС.
Как следует из учредительных Договоров ЕС (ст. 263 ДФЕС1 и др.), каждый институт, орган и учреждение ЕС может быть привлечен к ответственности Судом ЕС по различным основаниям. Так, Суд рассматривает иски об аннулировании, посредством которых могут быть оспорены и отменены любые правовые акты Союза, а равно иные акты институтов, органов, учреждений Союза, порождающие правовые последствия (кроме рекомендаций и заключений, как правовых актов, не имеющих обязательной силы); иски из бездействия к институтам, органам и учреждениям ЕС; иски о внедоговорной ответственности ЕС и т.д.[143][144] Данные положения в полной мере распространяются на Европейский Совет по
защите данных и Европейского Уполномоченного по защите данных, как специализированные органы Союза.
Согласно принципу коллегиальности и инклюзивности - одному из основных принципов работы Европейского Совета по защите данных согласно его Процедурным правилам[145], принятым в соответствие с положениями Регламента и Директивы, - Совет образован и действует исключительно как коллегиальный орган.
Таким образом, как и другие институты, органы и учреждения Союза, Совет несет коллегиальную юридическую ответственность перед Судом ЕС в форме отмены его актов, а также возложения на Совет обязанности совершить определенные действия, если такая обязанность вытекает из положений Регламента (ЕС) 2016/679 и других правовых актов ЕС.
Регламент устанавливает подотчетность Европейского Совета по защите данных перед Европейским парламентом, Советом ЕС и Европейской комиссией. Подотчетность выражается в обязательном предоставлении Советом ежегодных отчетов о защите физических лиц в отношении обработки персональных данных в Союзе и, в соответствующих случаях, в третьих странах и международных организациях. Кроме того, в соответствии с Регламентом (ЕС) 2018/1725 Совет должен представлять отчет о согласованных контрольных мероприятиях Европейского Уполномоченного по защите данных и национальных надзорных органов в Европейский парламент, Совет ЕС и Комиссию каждые два года.
Основные положения об ответственности Европейского Уполномоченного по защите данных содержатся в Регламенте (ЕС) 2018/1725. Он несет ответственность за обеспечение уважения всеми институтами и органами Союза основных прав и свобод физических лиц при обработке личных данных и, в частности, их права на защиту данных. Таким образом, Уполномоченный ответственен за мониторинг и обеспечение
применения положений Регламента (ЕС) 2018/1725 и любого другого акта Союза, касающегося защиты основных прав и свобод физических лиц в отношении обработки персональных данных любым учреждением или органом Союза.
Лицо, назначенное на должность Уполномоченного, несет персональную дисциплинарную ответственность за выполнение возложенных на него обязанностей.
Лицо может быть уволено или лишено своего права на пенсию или другие пособия, если больше не соответствует требованиям, необходимым для выполнения своих обязанностей, или если он виновен в серьезном проступке, но только по решению Суда ЕС на основании требования Европейского парламента, Совета ЕС или Европейской комиссии. Аналогичные положения применяются и к его заместителю, который, как и Уполномоченный, назначается Европейским парламентом и Советом ЕС по общему согласию. Таким образом, как Уполномоченный, так и его заместитель могут, независимо друг от друга, быть привлечены к дисциплинарной ответственности Судом ЕС.Кроме того, как и любой другой институт, орган или учреждение ЕС, Уполномоченный несет юридическую ответственность перед Судом ЕС в форме отмены его актов. Суд ЕС также может возложить на Уполномоченного обязанность совершить определенные действия (в частности, обязать выплатить лицу компенсацию), если такая обязанность вытекает из положений нормативных актов ЕС. Как следует из положений Регламента (ЕС) 2018/1725, иски против решений Уполномоченного должны быть инициированы исключительно в Суде ЕС.
Регламент (ЕС) 2018/1725 устанавливает подотчетность Уполномоченного перед Европейским парламентом, Советом ЕС и Комиссией в форме представления ежегодного отчета о его деятельности, который он должен опубликовать. Кроме того, Уполномоченный направляет ежегодный отчет в учреждения и органы Союза, которые могут представлять комментарии с целью изучения отчета Европейским парламентом.
Каждый национальный надзорный орган по защите данных несет коллегиальную юридическую ответственность перед Европейским Советом по защите данных в форме отмены его актов и решений, а также возложения на него обязанности совершить определенные действия, но только в пределах осуществления механизма согласованности в соответствие с положениями Регламента. В частности, Совет может отклонить проект решения надзорного органа; он наделен правом определять, какой из заинтересованных надзорных органов имеет полномочия выступать в качестве ведущего надзорного органа; он выносит иные решения, обязательные к исполнению соответствующим надзорным органом по вопросам, предусмотренным ст.
65 Регламента.В рамках своей юрисдикции надзорный орган наделен обязанностями по отношению к физическим лицам - субъектам персональных данных. В этой связи физическое лицо наделяется правом инициировать привлечение надзорного органа к ответственности в случае не исполнения им своих обязанностей, связанных с защитой прав и свобод этого лица в отношении обработки личных данных. Например, если компетентный надзорный орган не обрабатывает жалобу или не информирует лицо в течение трех месяцев с момента подачи жалобы о ходе или результатах ее рассмотрения. Таким же правом наделяются и юридические лица (контролеры, процессоры и др.) в случае, если надзорный орган принимает юридически обязывающее решение в отношении них с нарушением установленных Регламентом правил. Ходатайства против действий/бездействия надзорных органов должны быть поданы в судебные инстанции государства-члена, к юрисдикции которого относится надзорный орган. В тех случаях, когда судебное разбирательство возбуждается против решения надзорного органа, которому предшествовало мнение или решение Совета, принятое в соответствие с механизмом согласованности, надзорный орган должен направить это мнение или решение в суд. Обращение в суд не лишает лицо права на использование
любых других установленных правом ЕС административных или несудебных средств правовой защиты.
Все иные виды коллективной ответственности надзорного органа, как и индивидуальной ответственности его членов, устанавливаются нормативным актом государства-члена, принятым в соответствие с положениями Регламента и/или в целях имплементации Директивы. Так, в ст. 54 Регламента отмечается, что каждое государство-член должно установить посредством нормативного акта, равного по силе закону, условия, регулирующие обязанности должностных лиц и персонала каждого надзорного органа, в том числе запрет на осуществление деятельности, несовместимой с их обязанностями в течение и по истечении срока полномочий, а также правила, регламентирующие прекращение полномочий.
В Регламенте указывается, что к сотрудникам надзорного органа могут быть применены меры дисциплинарной ответственности. Так, например, сотрудник может быть уволен, но только в случае серьезных нарушений, или если он больше не соответствует условиям, необходимым для выполнения им своих обязанностей.Регламент устанавливает подотчетность надзорного органа перед национальным парламентом, правительством и другими органами власти, предусмотренными законодательством государств-членов. Подотчетность выражается в предоставлении годового отчета, который может включать перечень уведомлений о типах зарегистрированных нарушений и виды мер, принятых в рамках полномочий надзорного органа. Отчеты должны быть доступны для общественности, Комиссии ЕС и Европейского Совета по защите данных.
Регламент предусматривает меры ответственности, которые применяются к контролеру и (или) процессору. Принцип ответственности контролера является одним из основополагающих принципов права защиты данных и закреплен в ст. 5 «принципы обработки данных». Контролер
должен обрабатывать персональные данные физического лица в строгом соответствии с положениями Регламента и несет за это ответственность.
Любой контролер, участвующий в обработке данных, отвечает за причиненный ущерб, если такая обработка проводится с нарушением положений Регламента. Процессор несет ответственность за ущерб, вызванный обработкой, только если он не выполнил требования Регламента, предъявляемые к процессорам, или когда он действовал без инструкций или не выполнял инструкции контролера. Любое лицо, которое понесло материальный или нематериальный ущерб в результате обработки, проводимой с нарушением Регламента, имеет право на получение компенсации от контролера или процессора за причиненный ущерб. Контролер или процессор освобождается от ответственности, если только докажет, что не несет ответственности за событие, которое вызвало ущерб. Нововведением Регламента, по сравнению с Директивой 1995 г., является правило, согласно которому, если в одной и той же обработке задействованы несколько контролеров и (или) процессоров, и если каждый из них ответственен за любой ущерб, причиненный неправомерной обработкой, то каждый контролер (или процессор) несет ответственность за весь причиненный ущерб. Данная норма призвана обеспечить эффективную и полноценную компенсацию физическому лицу, чьи права нарушены.
Необходимо отметить, что по смыслу Регламента контролер (или процессор) несет ответственность за обработку данных как единое лицо (юридическое или физическое, государственный орган и т.д.), но не предусматривается индивидуальная ответственность к его членам или сотрудникам. Применять меры ответственности к контролеру может надзорный орган, на территории которого зарегистрирован контролер (его главный офис) или соответствующий суд государства-члена.
Надзорный орган обладает наиболее широкими полномочиями в том, что касается применения мер юридической ответственности по отношению к контролеру и (или) процессору. Надзорный орган может, в частности,
возложить на них обязанность совершить определенные действия (например, обязать контролера и процессора или их представителей предоставить любую информацию, необходимую надзорному органу для выполнения своих задач), как это вытекает из п. 1 ст. 58 Регламента (организационносозидательные полномочия надзорного органа). Надзорный орган может применить меры ответственности в форме предупреждения или замечания контролеру; может наложить временное или окончательное ограничение, включая запрет на обработку данных; отозвать сертификат или поручить органу по сертификации отозвать сертификат и другие меры, предусмотренные п. 2 ст. 58 (контрольно-предупредительные полномочия надзорного органа).
Одной из самых серьезных мер административной ответственности, применяемых к контролеру, является наложение надзорным органом административного штрафа в дополнение или вместо мер, упомянутых выше, в зависимости от обстоятельств каждого конкретного дела (репрессивные полномочия надзорного органа). При принятии решения о наложении административного штрафа надзорному органу следует уделять особое внимание характеру, тяжести и продолжительности нарушения, с учетом масштабов или цели соответствующей обработки, а также количества затронутых лиц и размеров ущерба, понесенного ими, умышленному или небрежному характеру нарушения и т.д. Положения, подробно регулирующие правила и условия применения административных мер, а также размеры штрафов содержатся в ст. 83 Регламента. За самые серьезные нарушения (например, нарушение принципов обработки) контролер может облагаться административными штрафами на сумму до 20.000.000 евро или в случае нарушения предприятием - до 4% от общего годового мирового оборота за предыдущий финансовый год, в зависимости от того, какая сумма выше. В тех случаях, когда правовая система государства-члена не предусматривает административных штрафов, указанные положения Регламента должны применяться таким образом, что штраф инициируется
надзорным органом и налагается компетентными национальными судами, обеспечивая при этом, чтобы указанные средства правовой защиты были пропорциональными и имели эффект, эквивалентный административным штрафам, налагаемым надзорными органами по общему правилу.
Каждое государство-член может устанавливать свои правила касательно того, могут ли административные штрафы применяться (и если могут, то в какой степени) к государственным органам и учреждениям[146]. Кроме того, государства могут устанавливать применение других санкций за нарушения норм Регламента, в соответствие со ст. 84, и должны принимать все необходимые меры для обеспечения их реализации. Такие санкции должны быть эффективными, пропорциональными и сдерживающими.
Осуществление надзорным органом полномочий по применению административных мер в отношении контролера подлежит соответствующим процессуальным гарантиям в соответствие с правом Союза и государств- членов, включая право на эффективные судебные средства правовой защиты и надлежащую правовую процедуру. Каждое государство-член устанавливает в своем законодательстве, что его надзорный орган имеет право довести нарушения Регламента до сведения судебных органов и при необходимости инициировать судебное производство или иным образом участвовать в производстве в целях обеспечения соблюдения прав и свобод физических лиц. Надзорный орган может привлекать к суду контролера, который находится в его юрисдикции.
Инициировать иск в отношении контролера может и физическое лицо, чьи права были нарушены. Так, каждое физическое лицо имеет право на судебное средство правовой защиты, если считает, что его права были нарушены в результате обработки персональных данных, не соответствующей правилам, установленным в Регламенте. Это не лишает лицо использовать любые доступные административные или несудебные средства правовой защиты, включая право подавать жалобу в надзорный орган. Заявления в отношении контролера или процессора, в том числе на получение компенсации, направляются в суды того государства-члена, где зарегистрирован контролер или процессор. В качестве альтернативы такое заявление может быть подано в суды государства-члена, где физическое лицо имеет место жительства, кроме случаев, когда контролер или процессор являются государственным органом какого-либо государства-члена ЕС, действующего в рамках своих публичных полномочий. Физическое лицо имеет право на представительство. Оно может уполномочить на подачу жалобы от его имени некоммерческий орган, организацию или ассоциацию, которая создана с целью защиты прав и свобод физических лиц, в том числе права на защиту их персональных данных.
Специальные меры ответственности предусмотрены для контролеров, являющихся институтами, учреждениями и органами Союза. Такие контролеры несут коллегиальную юридическую ответственность перед Европейским Уполномоченным по защите данных в форме отмены или ограничения совершаемых ими действий (например, приостановки передачи данных получателю в другом государстве-члене, третьей стране или международной организации), а также возложения на них обязанности совершить определенные действия (например, предоставить любую необходимую информацию). Уполномоченный может применить меры административной ответственности в форме предупреждения или выговора контролеру, наложить временное или окончательное ограничение, включая
полный запрет на обработку, а также другие, предусмотренные п. 2 ст. 58 Регламента (ЕС) 2018/1725.
В качестве меры административной ответственности в Регламенте(ЕС) 2018/1725 предусмотрено наложение штрафа на любой институт, орган или учреждение Союза. Однако Уполномоченный налагает административные штрафы только в крайнем случае. Штрафы применяются по отношению к целому учреждению или органу Союза, а не к его должностным лицам. В ст. 66 определены виды нарушений, за которые предусмотрены административные штрафы, их верхние пределы, а также критерии для установления соответствующих штрафов. Отметим, что сумма штрафа за самые серьезные нарушения (в том числе за неоднократные нарушения одного или нескольких положений Регламента (ЕС) 2018/1725) не может превышать размера 50.000 евро за каждое нарушение и не может быть больше 500.000 евро в год, что значительно меньше размеров штрафов, которые могут налагаться надзорными органами на контролеров и процессоров, не являющихся органами или учреждениями Союза.
Уполномоченный определяет размер штрафа, в каждом конкретном случае принимая во внимание все соответствующие обстоятельства конкретной ситуации и должным образом учитывая характер, серьезность и продолжительность нарушения, его последствия и меры, принятые для того, чтобы предотвратить или смягчить последствия нарушения. При наложении административного штрафа Уполномоченный должен учитывать пропорциональность размера штрафа совершенному правонарушению. Административная процедура наложения штрафов на институты и органы Союза должна уважать общие принципы права Союза, а также то, как они истолкованы Судом ЕС. Таким образом, административные меры ответственности направлены, в числе прочего, на предотвращение будущих нарушений положений правовых актов ЕС и на формирование культуры защиты личных данных в учреждениях и органах Союза. Средства,
собранные за счет наложения штрафов, поступают в общий бюджет Европейского Союза.
В Регламенте предусмотрены и исключения, в частности надзорная компетенция Уполномоченного не распространяется на обработку персональных данных Судом ЕС, когда последний действует в рамках своих полномочий, таким образом, не нарушая гарантии независимости Суда. В отношении проводимых им операций по обработке данных, Суд ЕС должен установить свой независимый (к примеру, внутренний) надзор в соответствии со ст. 8 (3) Хартии основных прав ЕС[147].
Привлекать институты, органы и учреждения ЕС к ответственности Уполномоченный может, как по собственной инициативе, так и на основании запроса физического лица. Без ущерба для любого судебного, административного или внесудебного средства правовой защиты каждое физическое лицо имеет право подать жалобу Уполномоченному, если оно считает, что обработка относящихся к нему личных данных нарушает положения нормативных актов Союза. При этом любое лицо, работающее в учреждении или органе Союза, может подать жалобу Уполномоченному о предполагаемом нарушении, в том числе без использования официальных каналов. Никто не должен привлекаться к ответственности за подачу жалобы Уполномоченному, в которой утверждается об имевшем место нарушении.
Помимо применения к институту, органу или учреждению ЕС мер ответственности, Уполномоченный имеет право передавать дело в Суд ЕС на условиях, предусмотренных Договорами, и обладать доступом к делопроизводству в Суде. Суд ЕС рассматривает все споры, связанные с нарушениями положений Регламента (ЕС) 2018/1725, в том числе иски о возмещении ущерба. Суд ЕС имеет неограниченную юрисдикцию в делах о наложении административных штрафов. Так, Суд ЕС может отменить, уменьшить или увеличить эти штрафы в пределах, установленных в ст. 66
Регламента. Таким образом, осуществление полномочий по применению мер юридической ответственности, возложенных на Уполномоченного, подкрепляется соответствующими гарантиями, включая эффективные средства судебной защиты и надлежащую правовую процедуру, закрепленные в праве Союза.
Любое лицо, понесшее материальный или нематериальный ущерб в результате обработки, нарушающей Регламент (ЕС) 2018/1725, имеет право на получение компенсации от учреждения или органа Союза за причиненный ущерб в соответствии с условиями, предусмотренными в Договорах. Как и в случае с подачей жалобы в надзорный орган или при инициировании иска в отношении надзорного органа, физическое лицо имеет право уполномочить некоммерческий орган, организацию или ассоциацию подать жалобу Уполномоченному или иск в Суд ЕС от своего имени для осуществления его прав, в том числе права на получение компенсации.
Правовые акты Союза защищают права и свободы физических лиц в отношении обработки их персональных данных. В этой связи ответственность не предусмотрена для физических лиц, предоставляющих свои данные для последующей обработки.
Большинство международных организаций применяют меры ответственности за нарушение установленных ими правил путем совместного волеизъявления всех, или определенных групп, государств, образующих такие организации[148]. Европейский Союз в этом отношении обладает специальным институциональным механизмом, который позволяет применять санкции к нарушителям норм его правовой системы на основании обязательных для исполнения решений его институтов и органов, как общей, так и специальной компетенции.
Для того чтобы обеспечить защиту прав и свобод физических лиц в отношении обработки персональных данных, правовое регулирование защиты данных в ЕС допускает применение специальных мер юридической
ответственности. Такие меры направлены на предупреждение и минимизацию последствий нарушений персональных данных физических лиц, а также на наказание нарушителей, которое выражается в обязанности виновного лица претерпеть предусмотренные санкцией соответствующей правовой нормы неблагоприятные последствия за совершенное правонарушение. Нормы, устанавливающие меры ответственности, содержатся в правовых актах Союза, в частности, в Регламенте (ЕС) 2016/679, Директиве (ЕС) 2016/680, Регламенте (ЕС) 2018/1725 и других. Эти меры могут быть дисциплинарного, административного и иного характера. В частности, Регламент не запрещает государствам-членам ЕС включать в свое законодательство меры уголовной ответственности[149].
За нарушения, связанные с обработкой персональных данных, к контролеру или процессору могут быть применены меры ответственности компетентным надзорным органом государства-члена, в юрисдикции которого он находится. На контролеров, являющихся органами и учреждениями Союза, может налагать меры ответственности Европейский Уполномоченный по защите данных. Уполномоченные органы по защите персональных данных наделены правом инициировать такие меры, как самостоятельно, так и по запросу физического лица или его представителей. Кроме того, сами уполномоченные органы ЕС и государств-членов могут быть привлечены к ответственности за невыполнение своих обязанностей. При этом иски против уполномоченных органов ЕС направляются в Суд ЕС, а против национальных надзорных органов - в компетентный суд соответствующего государства-члена. Правовое регулирование защиты данных в ЕС не предусматривает какой-либо ответственности для физических лиц, которые предоставляют свои персональные данные.
Еще по теме Ответственность субъектов правового регулирования защиты персональных данных в Европейском Союзе:
- § 3. Сопутствующие элементы теоретической модели взаимосвязи нормы права, правоотношения и юридического факта
- §11. Административное право Италии.
- Международная электронная торговля услугами как феномен либерализации рынка: проблемы правового регулирования
- Правовое обеспечение безопасности несовершеннолетних в сети Интернет: зарубежный и российский опыт
- ОГЛАВЛЕНИЕ
- ВВЕДЕНИЕ
- Система источников правового регулирования защиты персональных данных в Европейском Союзе на современном этапе
- Глава 2. Механизм правового регулирования защиты персональных данных в Европейском Союзе: субъекты, объект, принципы, ответственность
- Правовые принципы защиты персональных данных в Европейском Союзе
- Права и обязанности физических лиц - субъектов персональных данных - в Европейском Союзе