Система источников правового регулирования защиты персональных данных в Европейском Союзе на современном этапе
В настоящее время право на защиту персональных данных является фундаментальным правом человека в Европейском Союзе, оно закреплено в первичном праве ЕС и регулируется, в том числе актами, имеющими прямое действие на территории Союза.
Регламент (ЕС) 2016/679 (далее - Регламент) направлен на унификацию законодательств государств-членов, применяется в полном объеме на территории каждого из государств-членов и непосредственно наделяет субъектов правового регулирования защиты персональных данных субъективными правами и обязанностями. Директива (ЕС) 2016/680 (далее - Директива) вступила в силу на территории Союза, однако она будет действительна для каждого государства-члена с момента ее имплементации государством в свою правовую систему. Учитывая то, что к настоящему моменту некоторые государства ЕС завершили процедуру имплементации не полностью, можно утверждать, что Директива еще не действует в полном объеме.
Другим правовым актом, принятым на современном этапе, является Регламент (ЕС) 2018/1725, положения которого адресованы, прежде всего, союзным институтам, учреждениям, агентствам и другим органам, осуществляющим операции по обработке персональных данных физических лиц, в том числе в ходе деятельности, подпадающей под действие Главы 4 «Судебное сотрудничество по уголовным делам» или Главы 5 «Полицейское сотрудничество» Раздела V Части 3 ДФЕС.
Особенности современного этапа правового регулирования защиты персональных данных в ЕС определяются нововведениями, которые положения вышеуказанных актов внесли в правовую систему Союза. В связи с этим необходимо рассмотреть, как проведенная реформа изменила правовые аспекты защиты персональных данных в Союзе.
Одной из целей принятия вышеуказанных актов стало приведение в систему разрозненных правил о защите прав и свобод физических лиц в Европейском Союзе в отношении обработки их персональных данных.
Для этого потребовалось принятие единого, общего кодификационного акта, регулирующего общественные отношения в рассматриваемой сфере. Таким актом стал Регламент (ЕС) 2016/679 (Общий Регламент по защите данных). С целью уточнения и конкретизации его положений, а также в их развитие, были приняты и другие правовые акты ЕС. Каждый из них регулирует особую, специфическую сферу общественных отношений, в которой персональные данные используются определенными субъектами для конкретных целей. Таким образом, нормы каждого из актов, объединенные единством цели, связаны друг с другом, дополняют друг друга, и все вместе образуют целостную систему источников правового регулирования защиты персональных данных.Регламент устанавливает правила, касающиеся защиты физических лиц в отношении обработки персональных данных, и правила, касающиеся свободного обращения данных. Регламент охраняет основные права и свободы физических лиц и, в частности, их право на защиту персональных данных. Свободное перемещение персональных данных в пределах Союза не ограничивается и не запрещается по причинам, связанным с защитой физических лиц в отношении обработки персональных данных.
Регламент применяется к обработке персональных данных, которые являются частью систем записи данных или предназначены для формирования части такой системы, полностью или частично автоматическими средствами и к обработке без использования автоматических средств работы с персональными данными[82].
Однако сфера применения Регламента ограничена. Так, Регламент не применяется к обработке персональных данных: в ходе деятельности,
которая выходит за рамки права ЕС; государствами-членами при осуществлении деятельности, подпадающей под сферу действия Главы 2 Раздела V «Общие положения о внешнеполитической деятельности Союза и специальные положения об общей внешней политике и политике безопасности» ДЕС; физическими лицами в целях личного или домашнего использования; компетентными органами в целях предупреждения, расследования, обнаружения или уголовного преследования за уголовные преступления или исполнения уголовных наказаний, включая защиту от угроз общественной безопасности и предотвращение таких угроз.
Если контролер1 или процессор[83][84] зарегистрирован на территории ЕС, то Регламент будет применяться ко всем его операциям по обработке данных, независимо от того, происходит ли обработка на территории Союза или нет.
Важной особенностью является то, что согласно ст. 3 Регламента его нормы также затрагивают и деятельность контролеров персональных данных, не являющихся резидентами ЕС, в случае если:
1. Обработка персональных данных связана с предложением товаров или услуг физическим лицам, находящимся в одном или нескольких государствах-членах ЕС вне зависимости от того, связана ли такая обработка с оплатой этих услуг или нет.
При этом свидетельствовать о предложении товаров или услуг могут:
- использование в предложении товара или услуги языка одного или нескольких государств-членов ЕС с возможностью заказывать эти товары или услуги на этом языке;
- предоставление возможности оплаты валютой, которая используется в одном или нескольких государствах-участниках ЕС;
- упоминание в предложении товара или услуги потребителей или пользователей на территории ЕС.
2. Обработка персональных данных контролером или процессором, не учрежденным в Союзе, связана с мониторингом действий или поведения субъектов персональных данных, если эти действия совершаются на территории ЕС.
Важным моментом является то, что под действие норм Регламента могут попасть и российские контролеры (операторы) персональных данных. Например, они затронут российские Интернет-сервисы, предлагающие товары и услуги на официальных языках ЕС и принимающие в качестве оплаты евро или другую валюту, используемую в каком-либо из государств- членов ЕС; российские телекоммуникационные компании, которые предлагают услуги связи лицам, находящимся на территории ЕС; дата- центры, расположенные на территории России и хранящие персональные данные европейцев; иные крупные российские компании, имеющие филиалы или представительства в Европе и т.д.
Например, под действие Регламента попадает любая российская авиакомпания, которая имеет свое представительство в Европе, а также предлагает к онлайн-продаже на языке государства-члена ЕС авиабилеты за возможность приобретения их в евро.
В связи с тем, что под действие Регламента подпадает и мониторинг активности физических лиц в ЕС, то простое использование на Веб-сайте файлов «cookies» уже легко подводит российскую компанию под его действие.Необходимо иметь в виду, что субъектами персональных данных согласно Регламенту являются не только граждане ЕС, а любое физическое лицо, которое находится на территории Союза в момент обработки его персональных данных. Таким образом, Регламент распространяет свое действие даже на ситуации, когда, например, российским оператором обрабатываются персональные данные гражданина России, который
находится на территории государства-члена ЕС и приобретает, в частности, при помощи Интернет-ресурса товар, предполагающий его оплату в евро.
Экономический фактор стал одной из главных причин принятия Общего Регламента по защите данных. Тот факт, что Регламент устанавливает единые правила для всех государств-членов, приведет, по оценкам Европейской комиссии, к экономии порядка 2,3 млрд. евро в год1для европейской экономики.
Учитывая важность малого и среднего бизнеса для экономики, в Регламенте предусмотрены особые правила для таких категорий хозяйствующих субъектов. Так, обязательства, связанные с обработкой персональных данных, зависят от размера компании. Например, малое предприятие может в определенных случаях, указанных в ст. 37, не назначать сотрудника по защите данных. Обязательства (ведение учета операций обработки, документирование категорий получателей данных и т.д.), упомянутые в п. 1 и 2 ст. 30, не применяются к предприятию или организации, в которой трудоустроено менее 250 человек[85][86] и т.д.
Для эффективного функционирования предприятий в условиях развития экономики больших данных (Big Data) требуется внедрение специальных механизмов, обеспечивающих защиту персональных данных «по умолчанию». Это означает, что контролер должен внедрять соответствующие технические и организационные меры, как во время определения средств обработки, так и во время самой обработки, для эффективной реализации принципов защиты данных, и поэтому в Регламенте
большое внимание уделяется не только правовым, но и техническим аспектам защиты данных.
Положения Регламента обязывают компании, занимающиеся обработкой данных, активно использовать в процессе обработки такие средства, как анонимизация (удаление персональных идентификаторов из массивов данных), псевдонимизация (замена персональных данных идентификаторами) и шифрование данных, что позволяет обеспечить безопасное использование инструментов аналитики больших данных. При использовании таких инструментов контролер должен принимать во внимание состояние, стоимость реализации, характер, объем, контекст и цели обработки, а также риски различной степени вероятности и серьезности, которые могут быть созданы этой обработкой для прав и свобод физических лиц (ст. 25 Регламента).
При этом в Регламенте не уточняется, каким образом будет определяться соответствие контролера указанным правилам. В частности, не конкретизировано, какие именно риски для прав и свобод будут существенными, какие цели и задачи обработки следует принимать во внимание и т.д. Из смысла ст. 25 можно сделать вывод, что установление конкретных критериев осуществляется с применением механизма сертификации, который является нововведением Регламента.
Сертификация контролеров осуществляется специальными органами по сертификации государств-членов, аккредитованными компетентным надзорным органом или национальным органом по аккредитации, назначенным в соответствии с Регламентом (ЕС) № 765/2008, и
отвечающими требованиям международного стандарта EN-ISO/IEC 17065/2012[87], на основании критериев, утвержденных компетентным надзорным органом или Европейским Советом по защите данных - в случаях, указанных в ст. 63 Регламента (ЕС) 2016/679. Если критерии утверждены
Советом, то такая сертификация будет являться общеевропейской - выдается Европейский знак защиты данных. Сертификация является добровольной, однако ее использование может выступать в качестве элемента для подтверждения соблюдения вышеуказанных требований для защиты данных.
Регламент предусматривает высокую степень самоорганизации субъектов, занимающихся обработкой персональных данных.
Самостоятельное регулирование отдельных сфер общественных отношений, связанных с обработкой данных, направлено на снижение бюрократизма при совершении определенных административных процедур, а также призвано снизить нагрузку на надзорные органы государств-членов и уполномоченные органы по защите данных ЕС. Кроме механизма сертификации, контролеры и процессоры могут использовать и другие предусмотренные Регламентом инструменты с целью демонстрации своего соответствия его положениям. В данном контексте можно говорить об использовании диспозитивных приемов регулирования общественных отношений.Государства-члены, их надзорные органы, Европейский Совет по защите данных и Комиссия ЕС должны поощрять разработку кодексов поведения, призванных содействовать надлежащему применению Регламента, с учетом особенностей различных секторов экономики и конкретных потребностей микро-, малых и средних предприятий. Ассоциации и организации, представляющие объединения контролеров или процессоров, также могут разрабатывать такие документы. Кодексы поведения утверждаются соответствующим надзорным органом или Комиссией ЕС на основании заключения Европейского Совета по защите данных. Если данные предназначены для трансляции в третью страну или международную организацию, контролер может подготовить и утвердить в компетентном надзорном органе обязательные корпоративные правила передачи данных, применение которых является гарантией защиты данных.
Помимо права на разработку и издание кодексов поведения, обязательных корпоративных правил и других инструментов, позволяющих
контролерам, процессорам и их объединениям самостоятельно регулировать свою деятельность под контролем уполномоченных органов государств- членов и ЕС, Регламент возлагает большое количество обязанностей на контролера и, в меньшей степени, на процессора.
Так, нововведением является обязательное назначение контролером и процессором в определенных случаях сотрудника («офицера») по защите данных. Правовому статусу этого сотрудника посвящена секция 4 Главы IV Регламента. Группа организаций может назначить одного сотрудника по защите данных при условии добросовестного выполнения им своих обязанностей в отношении каждой организации. Контролер и процессор должны обеспечить, чтобы офицер был должным образом и своевременно задействован во всех вопросах, связанных с защитой персональных данных. Сотрудник по защите данных выполняет широкий спектр задач, перечень которых содержится в ст. 39 Регламента. При этом он не может быть уволен или оштрафован контролером или процессором за выполнение своих задач.
Регламент устанавливает требование, что в случае нарушения безопасности персональных данных контролер должен не позднее чем через 72 часа после того, как ему стало известно об этом, уведомлять о нарушении надзорный орган, кроме случаев, когда такое нарушение с малой долей вероятности приведет к риску для прав и свобод физических лиц. Если уведомление в надзорный орган не производится в течение 72 часов, оно должно сопровождаться изложением причин задержки. В тех случаях, когда невозможно предоставить всю информацию сразу, информация может предоставляться поэтапно. Процессор должен уведомить контролера без неоправданной задержки, узнав о нарушениях обработки личных данных.
Особенностью Регламента, по сравнению с Директивой 1995 г., является положение о том, что если нарушение безопасности персональных данных с высокой долей вероятности может привести к риску нарушения прав и свобод физического лица, контролер должен сообщить о нарушении лицу без неоправданной задержки. Из этого следует сделать вывод, что
оценка степени возможных рисков остается на усмотрение контролера, так как в Регламенте не содержится уточнений на этот счет. В случае нарушения обязательств по информированию (как надзорного органа, так и физического лица), контролер может быть привлечен к административной ответственности в соответствии со ст. 83 Регламента.
Другой важной особенностью является то, что согласно ст. 8 Регламента контролер не имеет права обрабатывать данные несовершеннолетних лиц на общих основаниях. Обработка личных данных будет считаться законной, если лицу исполнилось не менее 16 лет. Если лицу на момент сбора данных не исполнилось 16 лет, обработка будет законной только в том случае, и в той степени, в которой согласие дается законным представителем (родителем, попечителем и т.д.) ребенка. Однако надо учитывать, что в соответствие с п. 1 ст. 8 Регламента государства-члены могут предусмотреть в законодательстве меньший возраст согласия для такой обработки при условии, что он не может быть менее, чем 13 лет. В связи с этим субъектам, осуществляющим операции по обработке, рекомендуется обратить внимание на национальное законодательство государства-члена ЕС, в юрисдикции которого они находятся.
Вместе с тем Регламент освобождает контролера или его представителя от обязанности, предусмотренной Директивой 1995 г. (ст. 18), а именно уведомлять надзорный орган перед осуществлением любой операции обработки данных с использованием автоматических средств, полностью или частично, либо набора таких операций, предназначенных для единой цели или нескольких связанных целей. Тем не менее, каждый контролер (или представитель контролера) должен вести учет деятельности по обработке информации, находящейся под его ответственностью, а каждый процессор (или представитель процессора) должен вести учет всех категорий обрабатывающих операций, выполняемых от имени контролера. Контролер или процессор и их представители должны предоставить записи надзорному органу по его запросу. Однако обязательство вести учет не применяется (за
исключением указанных в Регламенте случаев) к организации, в которой трудоустроено менее 250 человек.
Одним из вопросов, урегулированных Регламентом, является усиление роли уполномоченных органов по контролю и надзору за обработкой персональных данных, укрепление их независимости, а также подробная регламентация их взаимодействия. Создается единая структура уполномоченных органов на уровне ЕС, с которой обязаны взаимодействовать европейские контролеры данных и, в определенных случаях, контролеры, представляющие третьи страны. Деятельность национальных надзорных органов в настоящее время систематизирована посредством введения специальных правовых механизмов, изложенных в секции 1 Главы VII «Сотрудничество и согласованность» Регламента1.
При осуществлении своих полномочий по контролю и надзору уполномоченные органы ЕС и государств-членов применяют, главным образом, императивные способы воздействия, используя такие инструменты, как рекомендация, позитивное предписание (обязывание), юридический запрет, принуждение и другие.
Существенно расширен перечень прав физического лица. В Регламенте им посвящена отдельная Глава III - «Права субъектов данных». Директива 1995 г. предусматривала, что физическое лицо имеет только право на доступ к данным и к информации о них (Раздел 5, ст. 12 «право доступа»), а также право на возражения (Раздел 7, ст. 14 «право на возражения», ст. 15 «автоматизированные решения в отношении частных лиц»). В Регламенте права раскрываются в статьях 12-23, многие из них являются новеллами не только европейского, но и международного правового регулирования защиты данных. Большую роль в развитии прав физических лиц в отношении обработки личных данных в правовой системе Союза сыграла судебная практика Суда ЕС[88][89].
Регламент впервые предоставляет физическому лицу право на эффективную юридическую защиту своих прав на уровне ЕС. Так, любое лицо, которое понесло материальный или нематериальный ущерб в результате нарушения положений Регламента, имеет право на получение компенсации от контролера или процессора за причиненные убытки.
Другим вопросом, который был призван решить Регламент, является передача персональных данных в третьи страны. Эта та сфера общественных отношений, общие правила по регулированию которой, государствам-членам ЕС было сложно выработать. В Директиве 1995 г. такой передаче данных была посвящена Глава 4, состоящая всего из двух статей: ст. 25 «принципы» и ст. 26 «исключения». Очевидно, что такая регламентация не могла включить в себя все вопросы, возникающие при передаче данных. Так, обязанностью государств-членов было обеспечить, чтобы передача в третьи страны персональных данных, находящихся в обработке или предназначенных для обработки после передачи, могла осуществляться, только если соответствующая третья страна обеспечивает адекватный уровень защиты. При этом Комиссия ЕС наделялась широкими полномочиями в этой сфере и фактически контролировала данный процесс. В частности, она могла определить, что третья страна не обеспечивает адекватного уровня защиты данных, могла вести переговоры с целью исправления сложившейся ситуации и т.д.
Положения, касающиеся передачи персональных данных за пределы Союза сосредоточены в Главе 5 Регламента «Передача персональных данных в третьи страны или международные организации». В ст. 44 определяется, что любая передача персональных данных, которые будут обрабатываться или предназначены для обработки после их передачи в третью страну или в международную организацию, должна осуществляться только в том случае, если условия, изложенные в Главе V, исполняются контролером и процессором, в том числе применительно к последующей потенциальной передаче персональных данных из третьей страны или международной
организации в другую третью страну или в другую международную организацию. Все положения Главы V должны применяться для обеспечения гарантированного Регламентом уровня защиты данных физических лиц.
Новшеством, введенным Регламентом, является основание, разрешающее передачу данных за пределы Союза, - решение об адекватности. Комиссия ЕС может решить, что третья страна, определенная территория или один или несколько указанных секторов в этой третьей стране или соответствующая международная организация обеспечивают достаточный уровень защиты данных. Такое решение называется решением об адекватности. В таком случае передача персональных данных в третью страну или международную организацию может иметь место, если только такая передача не требует какого-либо дополнительного разрешения.
В отсутствие решения об адекватности контролер или процессор могут передавать персональные данные в третью страну или международную организацию только в том случае, если они предоставили надлежащие гарантии их безопасности и при условии, что обеспечивается высокий уровень защиты прав физических лиц, и имеются эффективные средства юридической защиты.
Широкими полномочиями в плане санкционирования и контроля передачи данных в третьи страны и международные организации наделяются национальные надзорные органы. Так, в отсутствие решения об адекватности соответствующие гарантии могут также предоставляться при условии получения разрешения от компетентного надзорного органа (п. 3 ст. 46 Регламента). Компетентный надзорный орган утверждает обязательные корпоративные правила, применение которых является одной из гарантий обеспечения контролером необходимого уровня защиты данных.
Регламент в ст. 49 предусматривает ряд исключений для определенных ситуаций, связанных с передачей данных в третьи страны и международные организации.
Разрешения компетентных надзорных органов государств-членов, принятые на основании п. 2 ст. 26 Директивы 95/46/ЕС, остаются в силе до их изменения, замены или отмены принявшим их надзорным органом, если это будет необходимо. Решения, принятые Комиссией ЕС на основании п. 4 ст. 26 Директивы 95/46/ЕС, остаются в силе до тех пор, пока не будут изменены, заменены или отменены, решением Комиссии ЕС, принятым в соответствии с положениями п. 2 ст. 46 Регламента, если это будет необходимо.
Приоритетным направлением провозглашается участие Союза в диалоге и, при необходимости, в ведении переговоров с третьими странами, в том числе со стратегическими партнерами ЕС и странами Европейской политики соседства, и с международными организациями (такими, как Совет Европы, Организация экономического сотрудничества и развития, Организация Объединенных Наций), с целью продвигать высокие совместимые стандарты защиты данных во всем мире. Это особенно важно в свете развития сотрудничества Европейского Союза и Российской Федерации по вопросам защиты персональных данных.
Регламент содержит обширную обновленную терминологическую базу. Многие из закрепленных в Регламенте определений отсутствуют в международных и региональных конвенциях и соглашениях по защите данных, принятых в последние десятилетия[90]. Среди нововведений можно выделить определения следующих понятий: «профилирование»,
«псевдонимизация», «нарушение персональных данных», «генетические данные», «биометрические данные», «трансграничная обработка данных». Одно из основных понятий - «персональные данные» - в настоящее время сформулировано следующим образом: это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъекту данных»).
Совместно с Регламентом была принята Директива (ЕС) 2016/680, которая представляет собой правовой акт, устанавливающий правила о защите физических лиц в отношении обработки персональных данных компетентными органами в целях предотвращения, расследования, обнаружения или уголовного преследования за уголовные преступления или исполнения уголовных наказаний. Директива намного более подробно регламентирует правила обработки персональных данных компетентными органами государств-членов, чем предшествующее ей и отмененное с момента ее вступления в силу Рамочное решение 2008/977/JHA «О защите персональных данных, обрабатываемых в рамках полицейского и судебного сотрудничества по уголовным делам»[91] (далее - Рамочное решение).
Целью Директивы является обязать государства-члены ЕС, посредством имплементации ее положений:
- защищать основные права и свободы физических лиц и, в частности, их право на защиту персональных данных;
- обеспечить, чтобы обмен персональными данными между компетентными органами на территории Союза, если такой обмен требует право Союза или государства-члена, не ограничивался и не запрещался по основаниям, связанным с защитой физических лиц в отношении обработки их персональных данных.
Директива не применяется к обработке персональных данных:
a) в ходе осуществления деятельности, которая выходит за рамки действия права Союза;
b) институтами, органами, агентствами и учреждениями Союза.
Среди особенностей Директивы нужно выделить то, что она устанавливает правила защиты персональных данных жертв, свидетелей и подозреваемых в уголовном делопроизводстве на таком же уровне, что и для всех остальных физических лиц. Директива направлена на облегчение
обмена данными между правоохранительными органами государств-членов ЕС и устанавливает требования по защите данных в случаях их передачи органам внутренних дел за пределами Союза. Все правоохранительные органы стран ЕС должны соблюдать требования необходимости, пропорциональности и законности сбора и обработки данных.
Другой особенностью Директивы является то, что она не запрещает государствам-членам ЕС вводить более высокие гарантии, чем те, которые установлены в Директиве, для защиты прав и свобод физических лиц в отношении обработки персональных данных своими компетентными органами (ст. 1).
Рамочное решение создало основу права защиты данных в этой специфической области, однако включало в себя только самые общие положения (понятия, принципы), оставляя большинство вопросов правового регулирования на усмотрение государств-членов. В качестве примера можно привести регламентацию обработки категории чувствительных персональных данных. Директива устанавливает, что обработка таких данных допускается, только если это разрешено правовыми актами Союза или законодательством государства-члена, исключительно для защиты жизненно важных интересов физических лиц, или если такая обработка относится к данным, которые открыто публикуются самим лицом (Рамочное решение определяло, что обработка возможна, «когда это строго необходимо»). К категории чувствительных персональных данных Директива, помимо указанных в Решении, относит также генетические, биометрические данные и данные о сексуальной ориентации человека.
Директива регламентирует правовой статус, задачи, полномочия и направления деятельности национальных надзорных органов аналогично Регламенту (ЕС) 2016/679. В Директиве таким органам также посвящена отдельная глава (Глава VI «Независимые надзорные органы»). Анализ положений Директивы позволяет сделать вывод, что государства-члены могут предоставлять право надзорному органу, учрежденному в
соответствии с Регламентом, взять на себя ответственность за выполнение задач, которые определены в Директиве.
Что касается прав физических лиц с учетом специфики общественных отношений, регулируемых Директивой, то они аналогичны указанным в Регламенте. Исключение составляет право на портативность данных. Это, с нашей точки зрения, объясняется тем, что обработка персональных данных компетентными органами в правоохранительных целях по своей сущности не предполагает свободного перемещения личной информации от одного органа к другому по запросу физического лица. Отметим, что согласно Рамочному решению лицо наделялось правом на доступ к данным, правом на исправление, удаление или блокировку данных и правом на компенсацию.
Директива оставляет государствам-членам намного меньше свободы по имплементации ее положений, по сравнению с ранее действовавшим Рамочным решением, поскольку нормы Директивы во многом идентичны положениям Регламента, лишь с поправкой на специализированную область применения Директивы.
Что касается имплементации Директивы, то государства-члены должны были принять и опубликовать к 6 мая 2018 г. законы и иные положения, необходимые для ее соблюдения. Государства-члены ЕС обязаны были незамедлительно сообщить Комиссии ЕС тексты этих положений, которые они должны применять на своей территории с 6 мая 2018 г.
Однако, если доведение автоматизированных систем обработки, созданных до 6 мая 2016 года, до уровня, предусмотренного в п. 1 ст. 25 «документирование», будет сопряжено с непропорциональными усилиями, государство-член может в порядке отступления взять отсрочку до 6 мая 2023 года. В исключительных случаях государство имеет право привести автоматизированную систему обработки в соответствие с положениями п. 1 ст. 25 в течение определенного периода и по завершении указанного временного отрезка, но только если данный процесс вызывает серьезные трудности для функционирования этой государственной системы
автоматизированной обработки данных. При этом государство-член уведомляет Комиссию ЕС о причинах таких серьезных трудностей, основаниях и о периоде, в течение которого оно обязуется привести свою автоматизированную систему в соответствие с положениями Директивы. Максимальный период должен в любом случае длиться не далее чем до 6 мая 2026 года. То, что государства получили возможность имплементировать Директиву поэтапно, по нашему мнению, осложнит процесс единообразного применения данного правового акта на уровне ЕС.
Еще одним правовым актом ЕС, принятым на современном этапе, является Регламент (ЕС) 2018/1725 от 23 октября 2018 г. «О защите физических лиц в отношении обработки персональных данных институтами, органами, учреждениями и агентствами Союза и о свободном обращении таких данных и отмене Регламента (ЕС) № 45/2001 и Рамочного решения № 1247/2002/ЕС».
Данный Регламент значительно превышает предшествующий Регламент (ЕС) № 45/2001 , как по объему, так и по содержанию. К примеру, в ст. 4 был введен новый принцип обработки данных - принцип целостности и конфиденциальности, а контролер наделяется обязанностью продемонстрировать соблюдение всех принципов обработки данных. Согласно новому Регламенту физическое лицо - субъект данных - приобретает право на портативность данных и право на представительство. Кроме того, Регламент (ЕС) 2018/1725 реформирует институт Европейского Уполномоченного по защите данных, который должен контролировать применение положений Регламента ко всем операциям по обработке, выполняемым любым учреждением или органом Союза.
Одной из особенностей Регламента (ЕС) 2018/1725 является то, что положения ст. 3 и специальная Глава IX применяются к обработке оперативных персональных данных органами, учреждениями и агентствами Союза при осуществлении деятельности, подпадающей под действие Главы 4 «Судебное сотрудничество по уголовным делам» или Главы 5 «Полицейское
сотрудничество» Раздела V Части 3 ДФЕС, без ущерба для положений специальных актов, регулирующих деятельность таких органов, учреждений или агентств. Для обработки оперативных данных устанавливаются специальные правила, в частности, в ст. 71 вводится дополнительный принцип обработки1.
В Регламенте (ЕС) № 45/2001 отсутствовали специальные нормы, регламентирующие обработку оперативных персональных данных компетентными органами ЕС. Это можно объяснить тем, что на момент его принятия в 2000 г. в ЕС еще не ставились вопросы обработки оперативных данных физических лиц органами, учреждениями или агентствами (Европол, например, на тот момент имел статус службы). Со вступлением в силу Лиссабонского договора, расширяющего компетенцию Союза в сфере полицейского сотрудничества и судебного сотрудничества по уголовным делам в рамках пространства свободы, безопасности и правосудия, а также с постепенным расширением системы правоохранительных органов на уровне ЕС, встал вопрос о регулировании обработки такими органами персональных данных физических лиц.
Таким образом, Регламент (ЕС) 2018/1725 на современном этапе закладывает базу для регулирования в будущем общественных отношений по обработке данных правоохранительными органами ЕС[92][93]. В частности, уже определено, что этот Регламент будет применяться к обработке персональных данных Европейской юстицией с 12 декабря 2019 года. Регламент не будет применяться к обработке оперативных персональных данных Европол и Европейской прокуратурой до тех пор, пока Регламент (ЕС) 2016/794 Европейского парламента и Совета ЕС и Регламент Совета ЕС 2017/1939 не будут адаптированы в соответствии со ст. 98 Регламента (ЕС) 2018/1725. Кроме того, рассматриваемый Регламент не применяется к
обработке персональных данных миссиями, указанными в п. 1 ст. 42, ст. 43 и ст. 44 ДЕС.
Положения Регламента (ЕС) 2018/1725 в определенных случаях ссылаются на Директиву (ЕС) 2016/680. Так, в ст. 75 Регламента отмечается, что контролер должен соблюдать особые условия обработки, применяемые компетентным органом в соответствии с п. 3 и п. 4 ст. 9 Директивы. Передача оперативных персональных данных компетентному органу третьей страны или международной организации возможна, если такая передача необходима для выполнения функций и задач контролера и санкционирована решением Комиссии ЕС об адекватности в соответствии с п. 3 ст. 36 Директивы, а также по иным основаниям, установленным в праве ЕС.
Проанализировав положения Регламента (ЕС) 2018/1725 можно констатировать, что он базируется на общих принципах защиты данных, введенных в правовую систему Союза Регламентом (ЕС) 2016/679. Большинство положений Регламента (ЕС) 2018/1725 фактически повторяют аналогичные нормы Регламента (ЕС) 2016/679 с учетом специфики сферы его применения - обработки персональных данных институтами, органами, учреждениями и агентствами Союза. Таким образом, Комиссия ЕС воспользовалась своим правом, предоставленным ей ст. 98 Регламента (ЕС) 2016/679, согласно которому она, в случае необходимости, представляет предложения с целью внесения изменений в другие правовые акты Союза о персональных данных, в целях обеспечения единообразной и последовательной охраны прав, свобод и интересов физических лиц.
Таким образом, на современном этапе право на защиту данных личного характера декларируется на уровне первичного права ЕС, а правовое регулирование общественных отношений, связанных с обработкой персональных данных, осуществляется новейшими документами: Регламентом (ЕС) 2016/679, Директивой (ЕС) 2016/680, Регламентом (ЕС)
2018/1725, Директивой (ЕС) 2016/11481 и актами, принятыми на основании них институтами и органами ЕС; правовыми актами Союза, которые остаются в силе, в частности, Директивой 2002/58/ЕС; международными соглашениями, заключенными институтами и органами ЕС с третьими странами и международными организациями по вопросам интернациональной передачи персональных данных.
С развитием информационных технологий, обусловливающим активный сбор и обработку персональных данных, как в сфере частной жизни, так и в публичных отношениях физических лиц с организациями и властными структурами, заметно меняется содержание правовой категории «персональные данные». Данная категория стремительно вырывается за пределы частной жизни, и в европейском праве в начале XXI века начинается формирование самостоятельного института защиты персональных данных, основанного на праве на защиту персональных данных как одном из основных прав человека. До этого право на защиту персональных данных рассматривалось в рамках института права на неприкосновенность частной жизни.
Следует согласиться с точкой зрения И.А. Вельдера, который утверждает, что в первом десятилетии XXI века в ЕС сформировался самостоятельный правовой институт защиты персональных данных. Автор рассматривает данный институт как элемент системы права ЕС, выделяет его основные признаки и делает вывод, что под правовым институтом защиты персональных данных необходимо понимать совокупность правовых норм, регулирующих общественные отношения, возникающие при сборе, использовании, хранении, обработке, удалении, передаче и раскрытии персональных данных, а именно любой информации, связанной с идентифицируемым или идентифицированным лицом[94][95].
Изменения правового регулирования защиты персональных данных в Европейском Союзе, произошедшие во второй половине первого десятилетия и во втором десятилетии XXI века (вступление в силу Лиссабонского договора, проведение реформы посредством принятия вышеуказанных правовых актов и т.д.), позволяют говорить о том, что европейский подход к регулированию вопросов о праве на защиту персональных данных основывается на понимании данного права как одного из фундаментальных прав человека, живущего в современном информационном обществе.
Многие исследователи указывают на то, что в рамках права ЕС к настоящему моменту сформировалась комплексная отрасль информационного права, с помощью норм и принципов которой осуществляется регулирование разного рода общественных отношений по использованию различной информации, в том числе личного характера1. В частности, М.Н. Марченко и Е.М. Дерябина заключают, что «в пределах Европейского Союза идет процесс появления новых отраслей, подотраслей и институтов права, в частности, отрасли информационного права, что являет собой один из путей развития и форм проявления процесса конвергенции романо-германского и англосаксонского права»[96][97]. Аналогичную точку зрения
3 высказывают и другие авторы[98].
В рамках информационного права ЕС выделяют ряд подотраслей, регулирующих относительно обособленные группы отношений: права человека в сфере информации; право СМИ; право телекоммуникаций; право информационной безопасности; право защиты информационной интеллектуальной собственности и т.д. Вместе с тем возникают и споры о конкретных отраслях права, о взаимоотношениях между ними, о подразделениях внутри отраслей права. Считаем, что и для внутриотраслевой
классификации должен быть сохранен тот же принцип, что и при конструировании отдельных отраслей права, ибо нет принципиального различия между отраслью права и какой-либо ее частью. Те же задачи, те же пути, те же цели систематизации имеют место и здесь1.
Основой для формирования новых правовых отраслей (подотраслей, институтов) являются практические потребности, связанные с осуществлением регулирования отдельных сфер общественной жизни на основе сочетания публично-правовых и частноправовых начал. В основе формирования права защиты персональных данных лежит потребность практики в регулировании специфической сферы жизни и деятельности европейского общества - сферы защиты личной информации - посредством использования частноправовых и публично-правовых начал, без достижения гармоничного сочетания которых процесс регулирования общественных отношений, складывающихся в указанной сфере, не будет эффективным.
С теоретической точки зрения можно предположить, что в европейском праве созданы все необходимые предпосылки для формирования в рамках информационного права ЕС относительно самостоятельной подотрасли права на защиту персональных данных. Подотрасль права - это часть системы права, представленная совокупностью правовых норм, регулирующих однородную группу общественных отношений, состоящая из институтов и входящая в отрасль права в качестве ее структурного элемента[99][100]. Праву на защиту персональных данных, как подотрасли информационного права ЕС, присущи следующие характерные признаки:
- наличие собственных источников правового регулирования, составляющих в своей совокупности право физических лиц на защиту персональных данных. В Европейском Союзе начало обособления права на защиту персональных данных в качестве подотрасли связано с принятием единого кодификационного акта, который регулирует широкий круг
вопросов, связанных с осуществлением деятельности по защите прав, свобод и интересов физических лиц в отношении обработки их личных данных и обладает прямым действием. Таким правовым актом является Регламент (ЕС) 2016/679, а для регулирования специфических областей рассматриваемого права были приняты Директива (ЕС) 2016/680, Регламент (ЕС) 2018/1725 и другие акты. Все они отличаются своеобразием и значительным объемом нормативного правового материала.
- предметное единство регулируемых правом на защиту персональных данных общественных отношений и их существенная общественная значимость (предметный признак). Предметом являются общественные отношения, возникающие по поводу защиты персональных данных физических лиц на всей территории Европейского Союза (в каждом из государств-членов).
- использование комплекса самостоятельных способов и приемов правового регулирования защиты персональных данных (метод правового регулирования). Под методом права на защиту персональных данных следует понимать совокупность приемов и способов воздействия его норм на регулируемые этим правом общественные отношения. Метод права на защиту персональных данных может быть назван императивнодиспозитивным, то есть сочетающим в себе императивные и диспозитивные начала. При помощи диспозитивных приемов регулируются гражданские, предпринимательские и трудовые отношения, в частности, отношения между физическим лицом - субъектом персональных данных и ассоциацией, представляющей его интересы, и т.д. Императивные способы применяются, главным образом, в ходе воздействия уполномоченных органов ЕС и государств-членов на деятельность, связанную с обработкой личной информации, посредством санкционирования, организации, контроля, применения мер ответственности и т.д.
- наличие собственных принципов защиты персональных данных, которые действуют в системе, обеспечивая целенаправленное регулирование
общественных отношений, образующих его предмет. Система принципов права на защиту персональных данных складывается из общих принципов права ЕС, межотраслевых, отраслевых принципов, а также собственных принципов. К специфическим принципам права на защиту персональных данных относятся, в частности, принцип легитимной, справедливой и прозрачной обработки, принцип минимизации данных, принцип ограничения цели, принцип точности данных и др.[101] При этом тот факт, что право на защиту персональных данных обладает собственными принципами, свидетельствует о его юридическом своеобразии и возможности быть обособленным в системе права ЕС в качестве подотрасли информационного права.
- собственная системная организация, отраженная в нормах права на защиту персональных данных. Так, ядром этой системы выступает Регламент (ЕС) 2016/679, который устанавливает правила, касающиеся защиты всех без исключения физических лиц, находящихся на территории ЕС, в отношении обработки персональных данных, и правила, касающихся свободного обращения таких данных. С целью эффективного правового регулирования защиты персональных данных в специфических сферах были приняты специальные нормативные акты. Так, Директива (ЕС) 2016/680 устанавливает правила, касающиеся защиты физических лиц в отношении обработки их персональных данных компетентными органами, в целях предупреждения, расследования, обнаружения или преследования уголовных преступлений или исполнения уголовных наказаний, включая защиту от угроз общественной безопасности и их предупреждение. Регламент (ЕС) 2018/1725 устанавливает правила, касающиеся защиты физических лиц при обработке персональных данных учреждениями и органами Союза, и правила, касающиеся свободного обращения данных между ними или другими получателями, находящимися в Союзе. Директива 2002/58/ЕС направлена на гармонизацию национальных положений для обеспечения
высокого уровня защиты основных прав и свобод в связи с обработкой личных данных в сфере электронных коммуникаций и для свободного обращения таких данных, оборудования для электронной связи и услуг электронной связи в Союзе. Директива (ЕС) 2016/1148 предусматривает меры по обеспечению соответствующего общего уровня безопасности сетевых и информационных систем во всем Союзе и т.д.
Вся совокупность рассмотренных факторов свидетельствует об активном формировании в Европейском Союзе подотрасли права на защиту персональных данных в рамках отрасли информационного права. Данная подотрасль включает в себя несколько относительно самостоятельных, но в то же время предметно-связанных правовых институтов, к которым можно отнести следующие: институт права на защиту данных, обрабатываемых компетентными органами в целях предотвращения, расследования, обнаружения или уголовного преследования за уголовные преступления или исполнения уголовных наказаний; институт права на защиту данных, обрабатываемых институтами, органами, учреждениями и агентствами Союза; институт права на защиту персональных данных и защиту конфиденциальности в секторе электронных средств связи и др.
С учетом вышеизложенного, подотрасль права на защиту персональных данных необходимо понимать как совокупность правовых норм, регулирующих общественные отношения, возникающие в процессе сбора, использования, хранения, обработки, удаления, передачи и раскрытия персональных данных, а именно любой информации, с помощью которой физическое лицо может быть идентифицировано, и воздействующих на такие отношения посредством императивно-диспозитивного метода правового регулирования.
Началом формирования подотрасли права на защиту персональных данных следует считать введение в правовую систему ЕС двух основополагающих правовых актов: Регламента (ЕС) 2016/679, вступившего в действие с 25 мая 2018 года, и Директивы (ЕС) 2016/680, которую
государства-члены должны были имплементировать в свое законодательство не позднее, чем к 6 мая 2018 года (за исключением случаев, когда в соответствие с Директивой они берут отсрочку для имплементации некоторых ее положений)[102]. Процесс продолжился принятием и вступлением в силу с 12 декабря 2018 г. Регламента (ЕС) 2018/1725.
Реформа правового регулирования защиты персональных данных, проведенная посредством принятия и вступления в силу указанных актов, является фундаментальным шагом для безопасности личных данных физических лиц в Европейском Союзе. Общий Регламент по защите данных создает прочную основу, помогающую развивать инновационные электронно-цифровые услуги и сервисы, и рассматривается в качестве краеугольного камня в деле реализации европейской стратегии Единого цифрового рынка, нацеленной на содействие свободному доступу хозяйствующих субъектов к онлайн-рынкам в условиях справедливой конкуренции и высокого уровня защиты потребителей и их персональных данных.
Правовые акты ЕС, действующие на современном этапе, образуют целостную систему правового регулирования защиты персональных данных в Европейском Союзе. Основным элементом этой системы выступает Регламент (ЕС) 2016/679, а такие правовые акты, как Директива (ЕС) 2016/680, Регламент (ЕС) 2018/1725, Директива 2002/58/ЕС и другие, дополняют Общий Регламент по защите данных, распространяя действие правового регулирования защиты персональных данных на многие сферы общественной жизни в Союзе.
Еще по теме Система источников правового регулирования защиты персональных данных в Европейском Союзе на современном этапе:
- § 3. Сопутствующие элементы теоретической модели взаимосвязи нормы права, правоотношения и юридического факта
- СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
- §7. Административное право Японии
- §1. Марксизм как социолого-правовая доктрина
- СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ И ЛИТЕРАТУРЫ
- СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ
- ОГЛАВЛЕНИЕ
- ВВЕДЕНИЕ
- Основные этапы развития правового регулирования защиты персональных данных в Европейском Союзе
- Система источников правового регулирования защиты персональных данных в Европейском Союзе на современном этапе
- Направления развития правового регулирования защиты персональных данных в Европейском Союзе
- Основные направления совершенствования правового регулирования защиты персональных данных в Российской Федерации в контексте правового опыта Европейского Союза
- Заключение