Субъекты и объект права на защиту персональных данных в Европейском Союзе

Общая теория права под субъектом права понимает лицо, которое на основании юридических норм может быть участником правоотношений, то есть носителем субъективных прав и обязанностей.

С.Ю. Кашкин дает классификацию, согласно которой в качестве основных субъектов данной правовой системы выступают: физические лица (в числе которых граждане Союза, граждане иностранных государств и лица без гражданства), юридические лица (в том числе иностранные, осуществляющие свою деятельность в пределах Союза), государства-члены ЕС и их компетентные органы, Европейский Союз в целом и его структурные подразделения, и другие (в частности, третьи страны)^[103].

Применительно к праву защиты персональных данных в Европейском Союзе субъектами будут являться физические лица, предоставляющие свои персональные данные для обработки (за исключением чисто личной или домашней деятельности, а также в ходе деятельности, которая выходит за рамки права ЕС); физические или юридические лица, производящие обработку таких данных; институты, органы, агентства и другие учреждения Союза (к ним применяется Регламент (ЕС) 2018/1725 и некоторые другие правовые акты Союза); уполномоченные независимые органы,

осуществляющие регулирование защиты персональных данных в Европейском Союзе и государствах-членах; государства-члены ЕС (за исключением осуществления ими деятельности, подпадающей под сферу действия Главы 2 Раздела V ДЕС) и их органы (правила, касающиеся обработки персональных данных правоохранительными и судебными органами государств-членов, устанавливает Директива (ЕС) 2016/680).

Под объектом (предметом) правового регулирования обычно понимаются общественные отношения в определенной сфере, на урегулирование которых направлены конкретные правовые акты и содержащиеся в них нормы. При этом в сферу правового регулирования должны входить те отношения, которые имеют следующие признаки. Во- первых, это отношения, в которых находят отражение, как индивидуальные интересы членов общества, так интересы общесоциальные. Во-вторых, в этих отношениях реализуются взаимные интересы их участников, каждый из которых идет на некоторое ущемление своих интересов ради удовлетворения потребностей другого. В-третьих, такие отношения строятся на основе согласия выполнять определенные правила, признания обязательности этих правил. В-четвертых, эти отношения требуют соблюдения правил, обязательность которых подкреплена достаточно действенной силой.

Объектом признаются только те общественные отношения, которые по своей природе могут поддаваться нормативно-организационному воздействию и в конкретно-исторических условиях требуют правового регламентирования. От характера и содержания общественных отношений, составляющих предмет правового регулирования, зависят особенности, характер, способы и средства правового регулирования.

Соответственно, объектом правового регулирования защиты персональных данных в Европейском Союзе будут являться общественные отношения, возникающие между индивидами (субъектами персональных данных, независимо от наличия или отсутствия у них гражданства государств-членов ЕС и гражданства вообще) и иными субъектами (в т.ч.

физическими и юридическими лицами - контролерами данных, органами государств-членов ЕС, институтами, органами, учреждениями Союза и т.д.) по поводу сбора, обработки и иного использования персональных данных.

Право, таким образом, регулирует общественные отношения, в результате чего они приобретают правовую форму, т.е. становятся правовыми отношениями. Под правоотношением принято понимать возникающую на основе норм права общественную связь, участники которой имеют субъективные права и юридические обязанности, обеспеченные государствами-членами Европейского Союза или самим Союзом.

С.С. Алексеев определяет объект правоотношения как то реальное благо, на использование или охрану которого направлены субъективные права и юридические обязанности^[104][105]. По нашему мнению, данное определение дает точную и исчерпывающую характеристику этому правовому явлению. Отметим, что объект права теснейшим образом связан с интересом управомоченной стороны (субъекта) и является благом, находящимся в его распоряжении и охраняемым, как государствами-членами ЕС, так и самим Европейским Союзом.

Таким образом, объектом правоотношений, возникающих в связи со сбором, обработкой и иным использованием личной информации будут являться персональные данные, которые по смыслу Регламента (ЕС) 2016/679 означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу (субъекту персональных данных). Такая информация может представлять собой ссылку на некоторый идентификатор, такой, как имя, идентификационный номер, данные о местоположении, онлайн-

идентификатор или определенный фактор (один или несколько), уникальный с точки зрения физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого лица.

Директива 1995 г. определяла, что личность идентифицируемого лица могла быть установлена прямо или косвенно, в частности, посредством ссылки на его идентификационный номер или на один или несколько факторов, специфичных для его физической, психологической, ментальной, экономической, культурной или социальной идентичности. Таким образом, в нормах Регламента существенно расширена трактовка данного явления, поскольку к идентифицирующей информации теперь отнесены не только «реальные» данные (физического, психологического, экономического характера и т.д.), но и данные, относящиеся к виртуальной, онлайн-среде (например, никнейм, ссылка на страницу в социальной сети, адрес электронной почты и т.д.), а также геоданные индивида.

Необходимо отметить, что персональными данными будет являться любой идентификатор, как общедоступный, так и конфиденциального характера. Однако очевидно, что такая личная информация должна быть известна более чем одному физическому лицу (субъекту персональных данных), ведь если сведения, содержащие персональные данные известны только одному лицу, а, значит, хранятся в тайне, то отсутствует какой бы то ни было смысл в правовом регулировании. Персональная информация становится объектом правоотношения в тот момент, когда она передается самим физическим лицом контролеру с целью ее последующей обработки.

Важным моментом является то, что с помощью этой информации возможно идентифицировать лицо (причем прямо или косвенно), к которому данная информация относится. Такая информация должна быть правдивой

(иначе речь идет об искаженной информации, которая, хотя и может в некоторой степени идентифицировать лицо, уже не может быть отнесена к персональной) и должна обозначать определенную характеристику данного лица, его идентичность, в конкретный момент времени. Из определения, содержащегося в Регламенте, можно сделать вывод, что с помощью такой личной информации лицо уже было идентифицировано, идентифицируется в данный момент либо будет идентифицировано в будущем с большой долей вероятности (при этом нужно иметь в виду, что к моменту предполагаемой идентификации персональные данные лица уже могут измениться).

В правовых актах ЕС, принятых до 2016 года (в частности, в Директиве 95/46/ЕС и других), отсутствует регламентация того, в каких случаях информация о физическом лице, которая была аномимизирована, зашифрована или иным образом обезличена, будет являться персональной.

Анализ положений Регламента позволяет установить, по каким критериям данные, которые можно определить как анонимные, могут быть отнесены к персональным данным.

момент обработки. То есть, к персональным данным будет относиться только та анонимная информация, соотнесение которой с определенным физическим лицом не потребует применения непропорциональных усилий.

Исходя из этого, правовое регулирование не затрагивает персональную информацию, которая была анонимизирована таким образом, что субъект данных не идентифицируется (и не может быть идентифицирован в будущем). Отдельно отмечается, что положения Регламента не распространяются на обработку любой анонимной информации для статистических или исследовательских целей (п. 26 вводной части).

Правовое регулирование направлено на защиту прав, свобод и законных интересов физических лиц, находящихся на территории ЕС, в отношении обработки их персональной информации. Объектом правового регулирования защиты персональных данных в Европейском Союзе будут являться общественные отношения, возникающие между их участниками по поводу сбора, обработки и иного использования персональных данных.

Право на защиту персональных данных, таким образом, регулирует указанные общественные отношения, в результате чего они становятся правовыми отношениями. Субъектами правоотношений, возникающих по поводу сбора, обработки и иного использования персональных данных будут являться физические лица, предоставляющие свои персональные данные для обработки, а также физические или юридические лица, производящие обработку таких данных (контролеры, процессоры и их представители), институты, органы, агентства и другие учреждения Союза, органы государств-членов и т.д.

Объектом права на защиту персональных данных являются персональные данные, которые представляют собой любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу. В соответствии с Регламентом к информации, которую можно определить как персональные данные физического лица, должны применяться специальные принципы защиты данных.

2.2.