CC BY
47
УДК 341
Некоторые аспекты механизма правового регулирования защиты персональных данных в Республике Ирландия
Шадрин С.А.
Аспирант кафедры международного и европейского права Казанского (Приволжского) федерального университета, преподаватель кафедры конституционного и муниципального права Оренбургского государственного аграрного университета
В современном демократическом обществе права человека и, в частности, право на неприкосновенность частной жизни имеют первостепенное значение. Изменения, связанные с механизмом правового регулирования защиты персональных данных (информации о личной жизни человека), происходят сейчас во многих государствах. Особенно интенсивно этот процесс происходит в Европейском Союзе и в отдельных государствах - членах ЕС, в том числе в Республике Ирландия. В статье представлена общая характеристика нового Закона Ирландии о защите персональных данных и отмечены тенденции развития европейского законодательства, которые могут быть восприняты российским законодателем.
Ключевые слова: информация, персональные данные, защита персональных данных, сбор, обработка, передача, субъект персональных данных, оператор, уполномоченные органы, ответственность.
6 октября 2015 г. Европейский Суд вынес решение о признании недействительным соглашения между США и Еврокомиссией «Safe Harbor» («Безопасная гавань»), позволяювшего американским компаниям беспрепятственно обмениваться персональной информацией со странами Европейского Союза. Прецедент с отменой Safe Harbor отразился на деятельности таких транснациональных компаний, как Google, Facebook, Amazon, которым стало выгоднее передавать данные в США, чем создавать свои независимые подразделения с хранилищами данных в ЕС. При этом стоит отметить, что иск против Facebook явился реакцией на информацию о том, что американские спецслужбы, в том числе Агентство национальной безопасности (АНБ), могут легко получить доступ к личным данным пользователей, поскольку социальная сеть хранит такие данные на серверах в США и, следовательно, на пользователей распространяются более мягкие по сравнению с европейскими предписания законодательства США о защите персональной конфиденциальной информации [1].
25 мая 2018 г. в Европейском Союзе вступил в силу Регламент № 2016/679 Европейского Парла-
мента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных)» [2] (далее - Регламент ЕС или Общий Регламент ЕС), который предписывает создать новую нормативную базу для обеспечения защиты персональных данных в государствах - членах ЕС.
В этой связи Парламент Ирландии (Oireachtas) принял Закон о защите данных (Data Protection Act 2018 [3], далее - Закон Ирландии о защите данных или Закон Ирландии) с тем, чтобы распространить действие Общего Регламента ЕС и предусмотреть в своем национальном законодательстве определенные отступления от него. Закон Ирландии был подписан Президентом 24 мая 2018 г., за день до вступления в действие Регламента ЕС. В частности, данный Закон определяет, что каждый гражданин теперь может сделать запрос об использовании своих данных, на который он должен получить ответ в течение месяца. Если же этого не произойдет, то пользователь вправе обратиться с жалобой в региональный или европейский орган, контролирующий
соблюдение требований законодательства. На компании, нарушающие установленные правила, могут налагаться значительные штрафы.
В этой связи уполномоченная по защите данных в Ирландии Х. Диксон отметила, что регулятор будет пытаться найти баланс между постоянно увеличивающимся потоком жалоб граждан и объяснениями крупных высокотехнологических компаний о ведении соответствующей политики конфиденциальности [4].
Цель научного исследования заключается в анализе Закона Ирландии о защите данных для того, чтобы определить, какие меры были имплементи-рованы в национальное законодательство во исполнение положений Регламента ЕС и Директивы ЕС. Указанная цель предопределила решение задачи по совершенствованию российского законодательства с учетом механизма правового регулирования защиты персональных данных, сложившегося на данный момент в Ирландии.
Методологическую базу исследования составили диалектический метод познания, общенаучные методы анализа и синтеза, индукции и дедукции, формально-логический метод. При написании работы использовались частнонаучные методы для юридических наук: историко-правовой метод, метод технико-юридического анализа, метод сравнительного правоведения, метод толкования права.
Закон Ирландии о защите данных состоит из восьми частей и включает в себя 232 раздела, а также три приложения к нему. При этом следует отметить, что это один из самых объемных законодательных актов, принятых государствами - членами ЕС во исполнение Регламента ЕС и Директивы ЕС, который охватывает следующие основные сферы:
1. Национальное исполнительное (имплементи-рующее) законодательство, содержащее отступления, разрешенные Регламентом ЕС (ч. 3 Закона);
2. Переназначение Комиссара по защите данных в состав Комиссии по защите данных (the Data Protection Commission) (ч. 2 Закона);
3. Внедрение в законодательство Ирландии Директивы ЕС, которая вводит параллельный режим для законодательства о защите данных, применимый к любому государственному органу, обладающему компетенцией для расследований преступлений и уголовного преследования (ч. 5 Закона);
4. Следственные и правоприменительные полномочия Комиссии по защите данных, процедура принуждения, наличие судебного возмещения и сведений об уголовных преступлениях (ч. 6 Закона).
К основным положениям Закона Ирландии о защите данных можно отнести следующие:
1) подтверждение того, что последующие 13 лет станут для Европейского Союза «цифровой эпохой согласия»;
2) положения, позволяющие некоммерческим организациям представлять интересы субъектов при 130
подаче жалоб в Комиссию по защите данных и при подаче заявлений о защите персональных данных в суды Ирландии;
3) отмена требования к контролерам и к процессорам об обязательной регистрации в Комиссии по защите данных;
4) освобождение государственных органов от наложения на них административных штрафов;
5) положение, связанное с осуществлением Великобританией выхода из ЕС (так называемый «Brexit»), позволяющее авиакомпаниям и судоходным компаниям передавать персональные данные в целях сохранения Общей туристической зоны между Великобританией и Ирландией;
6) отступления от свободы выражения мнений, правила обработки медицинских данных для целей страхования/пенсионного обеспечения и обработки данных уголовных преступников;
7) положения о том, в каких случаях Комиссия по защите данных Ирландии выступает в качестве ведущего надзорного органа в режиме «единого окна» ЕС;
8) новые полномочия и процедурные правила проведения расследований Комиссией по защите данных, которые включают расширенные полномочия для доступа к электронным документам, обеспечения составления следственных отчетов, назначения экспертов (рецензентов) и проведения устных слушаний;
9) передача юрисдикции в Высокий Суд в отношении некоторых обращений Комиссии по защите данных и исков о защите данных;
10) подтверждение того, что в Законе Ирландии сохраняются положения об обработке персональных данных для целей национальной безопасности, обороны и международных отношений государства.
Анализ Закона Ирландии о защите данных позволяет сделать вывод о том, что Ирландия использует общераспространенный в Европейском Союзе подход к отступлениям, допускаемым в рамках Регламента ЕС. Среди множества отступлений особо хочется выделить следующие.
Дальнейшая обработка персональных данных. В Законе Ирландии предусматриваются основания обработки персональных данных для определенных целей, отличных от той цели, для которой они были собраны. К ним относятся обработка, которая необходима для предотвращения угрозы национальной безопасности и обороне страны, для предотвращения, расследования или уголовного преследования преступлений, для предоставления юридических консультаций, для судебных разбирательств, а также для установления, осуществления или защиты законных прав. Это включает, например, обработку данных, которая необходима для противодействия легализации доходов, полученных преступным путем (раздел 41 Закона).
Обработка данных и свобода выражения мнений. Регламент ЕС требует от государств-членов ЕС
согласовывать право человека на защиту данных с правом на свободу выражения и информации, включая обработку в журналистских целях или в целях академического, художественного или литературного выражения. Закон Ирландии предусматривает, что обработка, осуществляемая с целью использования права на свободу выражения и информации, должна освобождаться от соблюдения ограничивающих положений Регламента ЕС, принимая во внимание важность права на свободу выражения мнений и информации в демократическом обществе. Более того, Закон Ирландии регламентирует, что право на свободу выражения мнений и информации должно толковаться в широком смысле (раздел 43 Закона).
Обработка данных о здоровье для целей страхования и пенсионного обеспечения. Закон Ирландии предусматривает новое законное основание обработки, позволяющее обрабатывать медицинские данные, когда это необходимо для целей страхования и пенсионного обеспечения, а именно: для страхового полиса или страхования жизни; для полиса медицинского страхования или относящегося к медицинскому страхованию; для профессиональной пенсии; для пенсионного аннуитетного договора или другого пенсионного соглашения или залога имущества. Как представляется, это отступление предназначено для решения проблем, возникающих у страхователей и других лиц, выплачивающих пенсии (раздел 50 Закона) [5].
Обработка персональных данных, связанных с уголовными обвинительными приговорами и правонарушениями. Регламент ЕС разрешает обрабатывать сведения о преступлениях и о судимости только под контролем официальных органов или в специальных целях. Это представляется обоснованным, учитывая то обстоятельство, что с размыванием границ между уголовным правосудием и охраной национальной безопасности сложившаяся в результате этого практика обмена данными между правоохранителями, разведкой и другими государственными органами ставит под угрозу право на неприкосновенность частной жизни, поскольку меры слежения, являющиеся необходимыми и соразмерными для одной законной цели, могут не являться таковыми для другой цели. Соответственно, государствам необходимо принять меры по введению режима независимого надзора, уделив особое внимание праву потерпевших на эффективное возмещение причиненного вреда [6]. Так, в Законе Ирландии приводятся примеры такой обработки в официальных органах и указаны случаи, когда такая обработка разрешена (например, отправление правосудия) (раздел 55 Закона).
Представительство субъектов данных. Закон Ирландии позволяет субъектам данных уполномочивать некоммерческую организацию подавать жа-
лобы в Комиссию по защите данных. Кроме того, уполномоченная некоммерческая организация может предъявлять гражданские иски от имени субъектов данных в суды, однако в этом случае она не сможет требовать компенсации за причиненный субъектам данных материальный или нематериальный ущерб (раздел 117 (7)-(8) Закона). По сути, некоммерческая организация сможет добиваться от имени субъекта данных судебного запрета или постановления, но не возмещения убытков.
Однако остается неясным, будет ли это означать, что некоммерческие организации смогут подавать совместные иски от имени нескольких субъектов данных в случае нарушений положений Регламента ЕС, поскольку такие действия в настоящее время не разрешены ирландским законодательством. Вместе с тем на практике существует потребность во введении права на предъявление таких классовых исков, но при этом следует учитывать, что такие иски могут привести к увеличению рисков, связанных с нежелательной гласностью для физических лиц и репутационным ущербом для компаний. В Законе Ирландии также не рассматривается вопрос о судебных издержках по искам, инициируемым некоммерческими организациями.
Апелляция против административного штрафа или других регулирующих мер. В Законе Ирландии предусматривается, что решение Комиссии по защите данных, принятое в результате осуществления ею регулирующих полномочий или налагающее административный штраф, может быть обжаловано в Окружной Суд (если штраф не превышает 75 тыс. евро) или Высокий Суд (во всех других случаях) в течение 28 дней после получения уведомления о решении Комиссии. По результатам слушания апелляции Суд может оставить решение в силе, заменить его другим решением или аннулировать решение (разделы 142 и 150 Закона).
Уголовные преступления. Регламент ЕС не налагает никаких уголовных санкций на контролеров или процессоров за нарушение его положений, но оставляет этот вопрос на усмотрение государств - членов ЕС. В связи с этим в Законе Ирландии содержится ряд таких преступлений, в том числе: несанкционированное раскрытие информации процессором; раскрытие личных данных, полученных без соответствующих полномочий; принудительные запросы доступа; отказ сотрудничать с уполномоченными должностными лицами в ходе аудита/проверок и расследований; предоставление вводящей в заблуждение информации. Такие преступления будут наказываться штрафом в размере до 50 тыс. евро и (или) тюремным заключением сроком до пяти лет. Кроме того, Закон Ирландии предусматривает, что если преступление совершается корпоративным (юридическим) лицом и доказано, что оно было совершено с согласия или попустительства или было связано с любым пренебре-
жением со стороны лица, являющегося директором, управляющим, менеджером или другим должностным лицом такого юридического лица или лицом, которое имеет полномочия действовать в любом таком качестве, то это лицо, а также корпоративная организация будут виновны в этом преступлении и подлежат уголовному наказанию.
На основании изложенного можно сделать вывод о том, что Закон Ирландии о защите данных имплементирует в законодательство Ирландии все основные принципы, права субъекта персональных данных, обязанности контролера и процессора, полномочия надзорного органа и прочие положения, содержащиеся в Общем Регламенте ЕС по защите данных. Вместе с тем Закон Ирландии вводит дополнительные ограничения в механизм правового регулирования защиты персональных данных в Ирландии и конкретизирует положения, которые согласно Регламенту ЕС должны быть установлены национальными законодательными органами государств - членов ЕС.
В то время как Регламент ЕС содержит непосредственно применяемые эффективные принципы законодательства ЕС о защите данных, Закон Ирландии устанавливает административный и правоохранительный механизмы, необходимые для реализации этих принципов. С введением административных штрафов и возможности восстановления «несущественного» ущерба в случаях нарушения порядка обращения с данными указанные аспекты механизма правового регулирования будут иметь значение для всех компаний, которые осуществляют обработку персональных данных физических лиц в Ирландии.
Несмотря на неблагоприятные внешние условия, Россия все глубже интегрируется в международное пространство, что, безусловно, должно отражаться на правилах российского законодательства и способствовать гармонизации этих правил с международными и в первую очередь с европейскими нормами [7]. Принципиальное отличие Общего Регламента ЕС о защите данных от многочисленных российских законодательных инициатив, направленных против свободного развития интернета заключается в том, что в Российской Федерации заботу о правах граждан инициирует государство. В то же время Европейский Союз исходит прежде всего из интересов частных лиц, и поэтому правомерность сбора данных определяет не регулирующий орган, а сами граждане, чьи данные обрабатываются в интернете. Именно граждане в каждом конкретном случае должны дать согласие на сбор информации о них. В этой связи представляется важным не только изучение механизма правового регулирования защиты персональных данных в Европейском Союзе и в государствах - членах ЕС, но и заимствование этого передового опыта для включения соответствующих правил в российское законодательство. 132
Литература:
1. Передача данных европейских пользователей за пределы ЕС может быть запрещена судом // Роскомсвобода. - URL: https://roskomsvoboda. org/17176 (дата обращения: 05.09.2018).
2. Регламент № 2016/679 Европейского Парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных)» [рус., англ.] (Принят в г. Брюсселе 27.04.2016) // Регламент на русском языке подготовлен для публикации в системах КонсультантПлюс. Регламент на английском языке опубликован в Official Journal of the European Union. - 04.05.2016. - N L 119. - P. 1. (http://eur-lex.europa.eu/). Документ вступил в силу 24 мая 2016 г. (официальный сайт законодательства Европейского Союза http://eur-lex.europa.eu по состоянию на 21.04.2017). Россия не участвует.
3. Data Protection Act 2018 (Act 7 of 2018) Data Protection Bill 2018 (Bill 10 of 2018) // Официальный сайт Парламента Ирландии. - URL: https:// www.oireachtas.ie/en/bills/bill/2018/10 (дата обращения: 01.09.2018).
4. Politico: в ЕС готовятся к массовым искам из-за нового регламента защиты данных. - URL: https:// www.gazeta.ru/tech/news/2018/05/28/n_11589025. shtml (Дата обращения: 06.09.2018).
5. Маркевич А.С. Теоретико-правовой анализ зарубежного законодательства о защите персональных данных в сфере трудовых отношений // Электронные журналы Издательства «Notabene». - URL: http://e-notabene.ru/nb/article_18915.html (дата обращения: 07.09.2018).
6. Доклад Верховного комиссара ООН по правам человека о праве на неприкосновенность частной жизни в цифровой век от 30.06.2014 г. -URL: http://www.ohchr.org/EN/HRBodies/HRC/ RegularSessions/Session27/Documents (дата обращения: 09.09.2018).
7. Сабанов А. Защита информации. Инсайд // Алад-дин. - 2009. - № 6. - URL: https://www.aladdin-rd.ru/company/pressroom/articles/2a0f497c-09f8-4485-98c8-605bab014ed2 (дата обращения: 10.09.2018).
Some Aspects of the Legal Regulation Mechanism Protection of Personal Data in the Republic of Ireland
S.A. Shadrin Kazan (Volga Region) Federal University, Orenburg State Agrarian University
In today's democratic society, human rights, and in particular the right to privacy, are ofparamount importance. Changes related to the mechanism of legal regulation of the protection of personal data (information about personal life) are now taking place in many States. This process is particularly intensive in the European Union and in some EU member States, including the Republic of Ireland. The article presents a General description of the new Irish law on the protection of personal data and the trends in the development of European legislation, which can be perceived by the Russian legislator.
Key words: information; personal data; personal data protection; collection; processing; transfer; personal data subject; operator; authorized bodies; responsibility.
