Некоторые аспекты правового регулирования защиты персональных данных в рамках внутреннего рынка Европейского союза
1=1 Е.В. Постникова
доцент кафедры международного публичного и частного права Национального исследовательского университета «Высшая школа экономики», кандидат юридических наук. Адрес: 1010000, Российская Федерация, Москва, Мясницкая ул., 20. E-mail: epostnikova@hse.ru
В статье рассмотрены аспекты соотношения экономических свобод внутреннего рынка Европейского союза (ЕС) и защиты прав человека на примере права на защиту персональных данных, соблюдение которого чрезвычайно актуально сегодня. Внутренний рынок, являясь центром европейской интеграции, представляет собой одно из основных достижений ЕС, однако его потенциал не используется в полной мере. Правовое регулирование внутреннего рынка должно постоянно приводиться в соответствие с реалиями сегодняшнего дня, включая технологический прогресс, который усложняет соблюдение права на защиту персональных данных и создает препятствия на пути реализации экономических свобод внутреннего рынка. Для выявления значения соблюдения права на защиту персональных данных для надлежащего функционирования внутреннего рынка автор анализирует некоторые документы Европейской Комиссии за последние несколько лет, включая Стратегию для единого рынка, ежегодные обзоры роста, отчеты о применении Хартии ЕС об основных правах. Так, одним из инструментов повышения эффективности единого внутреннего рынка выступает защита персональных данных. Право на защиту персональных данных закреплено в актах как первичного, так и вторичного права ЕС. Особое внимание уделено реформированию правового регулирования ЕС в этой сфере, особенно Регламенту 2016/679 о защите физических лиц при обработке персональных данных и их свободном перемещении, который вступит в силу 2018 г Проводится сравнение с действующей Директивой 95/46 о защите физических лиц при обработке и свободном обращении персональных данных. Подчеркивается, что вводится единое правовое регулирования в масштабах ЕС, которое должно: укрепить право на защиту данных и избавить предпринимателей от лишних расходов; устранить административные и иные ненужные формальности, учредить службу «одного окна»; упрочить сотрудничество властей государств-членов Союза. Также обращено внимание и на практику Суда ЕС, который неоднократно напоминал институтам ЕС и государствам-членам об их обязанности соблюдать положения Хартии ЕС об основных правах граждан на защиту персональных данных.
Ключевые слова
Европейский союз, право Европейского союза, внутренний рынок, права человека, защита прав человека, персональные данные, право на защиту персональных данных, обработка персональных данных, Европейская комиссия, Суд Европейского союза
Библиографическое описание: Постникова Е.В. Некоторые аспекты правового регулирования защиты персональных данных в рамках внутреннего рынка Европейского союза // Право. Журнал Высшей школы экономики. 2018. № 1. С. 234-254.
УДК:341 001: 10.17323/2072-8166.2018.1.234.254
Европейский союз (далее — ЕС) включает не только единый рынок товаров и услуг, но и разделяет ценности, закрепленные в учредительных договорах ЕС и Хартии ЕС об основных правах1, несмотря на то, что право ЕС имело и имеет по большей части экономическую направленность2. В доктрине3 неоднократно поднимался вопрос о соотношении принципа уважения прав человека и реализации экономических свобод внутреннего рынка ЕС. Возможно, лучше говорить о влиянии данного общепризнанного принципа международного права на реализацию свобод внутреннего рынка, которое может быть как негативным, так и позитивным. Негативный аспект взаимодействия имеет место, когда защита прав человека является основанием для ограничения экономических свобод внутреннего рынка, которые могут рассматриваться как обоснованные и соответствующие праву ЕС, так и противоречащие ему. Позитивный аспект заключается в том, что соблюдение прав человека способствует повышению эффективности функционирования внутреннего рынка, т.е. фактически выступает средством достижения данной цели. В данной статье рассмотрим именно этот аспект на примере влияния соблюдения права на защиту персональных данных (или иначе — данных личного характера) на эффективность функционирования экономических свобод внутреннего рынка ЕС. Основное внимание уделено реформе правового регулирования ЕС в сфере защиты персональных данных.
1 См. в том числе: L'UE en 2015 — Rapport général sur l'activité de l'Union européenne. Commission européenne. Direction générale de la communication. Information des citoyens /1049 Bruxelles [Электронный ресурс] // URL: http://publications.europa.eu/fr/web/general-report (дата обращения: 17.03.2016)
2 См.: Юмашев Ю. М. Правовое регулирование европейского внутреннего рынка // Московский журнал международного права. 2013. Т. 91. № 3. С. 155; Договор о Европейском союзе (ДЕС): особенно ст. 2, 3; Договор о функционировании Европейского союза (ДФЕС), Хартию ЕС об основных правах / СПС Гарант.
3 См., напр.: Исполинов А.С. Поиск баланса между свободами внутреннего рынка и правами человека в судебной практике ЕС // Журнал зарубежного законодательства и сравнительного правоведения. 2012. № 6.
Значение защиты персональных данных
для повышения эффективности внутреннего рынка
Двумя из десяти приоритетных направлений деятельности Европейской комиссии, провозглашенных ее председателем Ж.-К. Юнкером, выступали более углубленный и равноправный (справедливый) единый внутренний рынок4 и обеспечение пространства правосудия и основных прав человека, основанных на взаимном доверии5.
Внутренний рынок, являясь центром европейской интеграции6, представляет собой одно из основных достижений ЕС и один из главных активов в условиях глобализации7. Он по итогам 24-летнего существования ЕС характеризуется: упрощенным доступом потребителей к многочисленным товарам и услугам с льготными ценами; преимуществами предприятий от рынка сбыта и поддержки конкуренции; высокими требованиями к безопасности и к защите окружающей среды. Реализация экономических свобод внутреннего рынка способствует появлению новых возможностей для граждан, работников, предпринимателей, предприятий и потребителей, например, благодаря образованию новых рабочий мест и экономическому росту в целом.
Однако на данный момент потенциал внутреннего рынка не используется в полной мере по причине или незнания права ЕС, или его неприменения или ненадлежащего применения государствами-членами; сохраняется также много экономических, правовых и иных препятствий. К тому же правовое регулирование внутреннего рынка должно приводиться в соответствие с реалиями сегодняшнего дня, к числу которых принадлежат различные ин-
4 Определение внутреннего рынка закреплено в ст. 26 ДФЕС.
5 Juncker J.-C. A New Start for Europe: My Agenda for Jobs, Growth, Fairness and Democratic Change Political Guidelines for the next European Commission Opening Statement in the European Parliament Plenary Session. Strasbourg, 15 July 2014 [Электронный ресурс]: // URL: https://www.theparliament-magazine.eu/whitepaper/jean-claude-juncker-my-agenda-jobs-growth-fairness-and-democratic-change (дата обращения: 16.04.2017)
6 По словам Комиссара по внутреннему рынку, промышленности, предпринимательству и средним и малым предприятиям Э. Бьенковски, «внутренний рынок — это сердце европейской интеграции»: Un marché approfondi et plus équitable: la Commission multiplie les opportunités pour les citoyens et les entreprises. Commission européenne. Bruxelles, le 28 octobre 2015 [Электронный ресурс]: // URL: http://europa.eu/rapid/press-release_IP-15-5909_fr.htm (дата обращения: 21.04.2017)
7 См., в том числе: Juncker J. Op. cit.; A Single Market Strategy for Europe — Analysis and Evidence Accompanying the document Upgrading the Single Market: more opportunities for people and business. Commission staff working document. Brussels, 28.10.2015. COM(2015) 550 final SWD(2015) 202 final [Электронный ресурс]: // URL: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A5201 5SC0202http://ec.europa.eu/economy_finance/publications/economic_paper/2012/pdf/ecp_456_en.pdf (дата обращения: 21.04.2017)
новационные идеи и новые организационные формы предприятий8. Повышение эфффективности внутреннего рынка возможно посредством устранения все еще оставшихся правовых и неправовых препятствий, например, на пути реализации свободы движения товаров и услуг9.
Последнее было неоднократно провозглашено в качестве приоритетного направления в ежегодных обзорах роста10 (в частности, в Обзоре на 2017 год еще подчеркивалась необходимость создания единого цифрового рынка). Также, опираясь на преимущества внутреннего рынка, достигнутые за последние годы, Комиссия приняла целый комплекс мер, чтобы создать потребителям и предприятиям новые перспективы. В частности, в 2015 году она разработала Стратегию единого рынка11, в которой планируется принять
8 Un marché approfondi et plus équitable: la Commission multiplie les opportunités pour les citoyens et les entreprises. Commission européenne. Bruxelles, le 28 octobre 2015.
9 В 2011 году Комиссия обратилась в Суд ЕС с иском против Австрии, Германии и Греции на том основании, что они на тот момент лишь частично имплементировали Директиву 2006/123 об услугах на внутреннем рынке в свое законодательство. Комиссия требовала взыскать с Австрии 44 876,16 €, с Германии — 141 362,55 € и с Греции — 51 200,10 € (на основании ст. 260(3) ДФЕС): European Commission — Press release. Services Directive: the Commission refers Germany, Austria and Greece to the Court over incomplete transposition of the Directive [Электронный ресурс ]:// URL: http:// europa.eu/rapid/press-release_IP-11-1283_en.htm?locale=fr; Commission staffworking paper. Situation in the different sectors. Accompanying 28th annual report on monitoring the application of EU law. European Commission. 29.9.2011 / SEC(2011) 1093 final [Электронный ресурс]: // URL: http://eur-lex.europa.eu/ legal-content/EN/TXT/HTML/?uri=CELEX:52011SC1093&rid=1 (дата обращения: 18.03.2015)
В отчете Комиссии о мониторинге применения права ЕС в 2015 г. отмечается, что предпринимались действия по пресечению нарушений Директивы об услугах на внутреннем рынке. В частности, было инициировано 10 «пилотных» диалогов и 6 расследований: Report from the Commission. Monitoring the application of European Union law. 2015 Annual Report. European Commission. 15.7.2016, COM(2016) 463 final [Электронный ресурс]: // URL.: http://eur-lex.europa.eu/le-gal-content/EN/TXT/?qid=1499619694852&uri=CELEX:52016DC0463 (дата обращения: 10.07.2017). В Стратегии единого рынка Комиссия выражает надежду, что надлежщая имплементация Директивы 2006/123 об услугах на внутреннем рынке принесет еще 1,8 % ВВП. См.: A Single Market Strategy for Europe — Analysis and Evidence Accompanying the document Upgrading the Single Market: more opportunities for people and business. Commission staff working document. 28.10.2015. COM(2015) 550 final, SWD(2015) 202 final [Электронный ресурс]: // URL: http://eur-lex.europa.eu/ legal-content/EN/TXT/?uri=CELEX%3A52015SC0202http://ec.europa.eu/economy_finance/publica-tions/economic_paper/2012/pdf/ecp_456_en.pdf (дата обращения: 21.04.2017)
10 Annual Growth Survey 2015. Communication from the Commission to the European Parliament, the Council, the European Central Bank, the European Economic and Social Committee, the Committee of the Regions and the European Investment Bank. 28.11.2014. COM(2014) 902 [Электронный ресурс]: // URL: http://ec.europa.eu/europe2020/pdf/2015/ags2015_en.pdf (дата обращения: 21.04.2017); Annual Growth Survey 2017. Communication from the Commission to the European Parliament, the Council, the European Central Bank, the European Economic and Social Committee, the Committee of the Regions and the European Investment Bank. Brussels, 16.11.2016. COM (2016) 725 final [Электронный ресурс]: // URL: http://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1500195037536&uri=CELE X:52016DC0725 (дата обращения: 16.07.2017)
11 A Single Market Strategy for Europe — Analysis and Evidence Accompanying the document Upgrading the Single Market: more opportunities for people and business. Commission staff working document. 28.10.2015. COM(2015) 550 final, SWD(2015) 202 final
меры стимулирования экономического роста и увеличения количества рабочих мест, а также углубления сотрудничества в рамках внутреннего рынка и повышения уровня его справедливости. Комиссия предлагает принять три группы мер: меры, направленные на создание возможностей для потребителей, специалистов и предпринимателей при помощи сбалансированного развития экономики совместного потребления12, создание «паспорта услуг» для компаний, изменение правового регулирования профессий; меры, содействующие модернизации и инновациям посредством более прозрачных и эффективных государственных закупок, совершенствования правового регулирования интеллектуальной собственности, модернизации системы стандартизации; меры, обеспечивающие доставку товаров, которой обычно пользуются потребители и предприниматели, благодаря новому подходу Директивы об услугах на внутреннем рынке.
Совместное использование персональных данных часто выступает наравне с товарами и услугами в качестве составляющей экономики совместного потребления, которая, в свою очередь, служит одним из инструментов достижения целей, обозначенных Комиссией в Стратегии для единого рынка 2015 года. Защита персональных данных поставщиков и потребителей имеет большое значение для обеспечения и поддержания доверия различных действующих на рынке субъектов. Таким образом, исходя из анализа Стратегии, одним из инструментов повышения эффективности единого внутреннего рынка выступает защита персональных данных, которая, в свою очередь, является неотъемлемой частью пространства правосудия и основных прав человека (в формулировке названия одного из приоритетных направлений деятельности Комиссии ЕС).
Технологический прогресс и глобализация создали много различных проблем при реализации физическими лицами своего права на защиту персональных данных, с которыми, естественно, столкнулись и в государствах-членах ЕС и в самом ЕС в целом. Персональные данные благодаря современным технологиям перемещаются более свободно13, частные компании и органы государственной власти используют персональные данные в небывалых ранее масштабах, физические лица все больше и больше открывают доступ к своим данным. Защита персональных данных также является неотъемлемой часть правового регулирования в рамках информационного общества14. Да и само
12 «СoЦaborative economy» или «collaborative consumption», «the sharing economy», «peer (P2P) economy», «the access economy».
13 См., напр.: Bennett С. and Raab С. The Governance of Privacy: Policy Instruments in Global Perspective. London, 2003. Р. 257; Kong L. Data Protection and Transborder Data Flow in the European and Global Context // The European Journal of International Law. Vol. 21, no. 2, 2010. Р. 442.
14 См.: Blume P. Transborder Data Flow: Is There a Solution in Sight? // 8 Int'l J L and Info Technology. 2000. Р. 65; Kong L. Op. cit. Р. 442.
создание и развитие внутреннего рынка привело к существенному увеличению объемов трансгранично перемещаемых персональных данных в рамках ЕС. Следствием всего этого является необходимость постоянного совершенствования механизма правового регулирования ЕС в этой сфере.
Право на защиту персональных данных в актах первичного права Европейского Союза
Что касается правовой основы права на защиту данных личного характера15, то следует прежде всего обратиться к Договору о функционировании Европейского Союза (далее — ДФЕС)16 и Хартии ЕС об основных правах 2000 г. (далее — Хартия)17.
В ДФЕС право на защиту персональных данных предусмотрено в ст. 16 (бывшая ст. 286). Данные нормы направлены на защиту права индивида самостоятельно принимать решение об использовании его персональных данных, что чрезвычайно важно в свете огромных объемов собранных, использованных и передаваемых персональных данных. Так, ст. 16 закрепляет, что Европейский парламент и Совет в рамках обычной законодательной процедуры принимают правила о защите физических лиц в отношении обработки персональных данных институтами, органами и учреждениями Союза, а также государствами-членами при осуществлении деятельности, которая входит в сферу применения права Союза, и о свободном перемещении подобных данных. В ДФЕС предусматривается, что соблюдение этих правил находится под контролем независимых органов.
Хартия ЕС об основных правах (ст. 8) гарантирует каждому человеку право на защиту относящихся к нему персональных данных, право на получение доступа к собранным в отношении него данным, и право на устранение в них ошибок. Помимо этого данная статья предусматривает основания обработки подобных данных. Так, она должна производиться добросовестно (т.е. без манипуляций), в четко определенных целях, с согласия заинтересованного лица либо при наличии других правомерных оснований, предусмо-
15 Право на защиту персональных данных не является абсолютным правом. Оно должно рассматриваться, учитывая его роль в обществе, и быть сбалансировано в отношении других основных прав в соответствие с принципом пропорциональности.
16 Consolidated versions of the Treaty on European Union and the Treaty on the Functioning of the European Union // Official Journal C 115, 09.5.2008.
17 Хартия ЕС об основных правах разработана Конвентом и принята в 2000 году, адаптирована в 2007, наделена обязательной силой Лиссабонским договором, который изменил ее статус (ст. 6 Договора о Европейском Союзе, Протокол № 30): Charter of fundamental rights of the European Union // OJ C 364, 18.12.2000. Р. 1-22. См., напр.: Мюллер-Графф П.-К. Лиссабонский договор в системе первичного права Европейского Союза // Право. Журнал Высшей школы экономики. 2008. № 1. С. 95.
тренных законом. Ст. 8 также содержит положение, что соблюдение правил защиты, обработки, доступа и возможности исправления ошибок в соответствующих данных подлежит контролю со стороны независимого органа. Право на защиту персональных данных, в свою очередь, основывается на праве каждого на уважение частной и семейной жизни, его жилища и корреспонденции, закрепленное в ст. 7 Хартии18. Но также необходимо отметить, что согласно п. 3 ст. 52 Хартии Союз не вправе дополнительно ограничивать право на уважение частной и семейной жизни по сравнению с ограничениями, которые допускает п. 2 ст. 8 Европейской конвенции о защите прав человека и основных свобод 1950 г.
Право на защиту персональных данных в актах вторичного права Европейского союза19
На данный момент еще действуют такие акты вторичного права ЕС в сфере защиты персональных данных — Директива 95/46 о защите физических лиц при обработке и свободном обращении персональных данных20, а также
18 См., напр.: Хартия Европейского Союза об основных правах: комментарии / под ред. С.Ю. Кашкина. М., 2001. С. 79.
19 См. в том числе: Directive (EU) 2016/681 of the European Parliament and of the Council of 27 April 2016 on the use of passenger name record (PNR) data for the prevention, detection, investigation and prosecution of terrorist offences and serious crime // OJ L 119, 4.5.2016. Р. 132-149; Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union // OJ L 194, 19.7.2016. Р. 1-30; Regulation (EU) 2016/399 of the European Parliament and of the Council of 9 March 2016 on a Union Code on the rules governing the movement of persons across borders (Schengen Borders Code) // OJ L 77, 23.3.2016. Р. 1-52; Council Directive 2011/16/EU of 15 February 2011 on administrative cooperation in the field of taxation and repealing Directive 77/799/EEC // OJ L 64, 11.3.2011. Р. 1-12; Regulation (EU) 2015/2120 of the European Parliament and of the Council of 25 November 2015 laying down measures concerning open internet access and amending Directive 2002/22/EC on universal service and users' rights relating to electronic communications networks and services and Regulation (EU) No 531/2012 on roaming on public mobile communications networks within the Union // OJ L 310, 26.11.2015. Р. 1-18; Commission Delegated Regulation (EU) 2015/962 of 18 December 2014 supplementing Directive 2010/40/EU of the European Parliament and of the Council with regard to the provision of EU-wide real-time traffic information services // OJ L 157, 23.6.2015. Р. 21-3; Directive (EU) 2015/849 of the European Parliament and of the Council of 20 May 2015 on the prevention of the use of the financial system for the purposes of money laundering or terrorist financing, amending Regulation (EU) No 648/2012 of the European Parliament and of the Council, and repealing Directive 2005/60/EC of the European Parliament and of the Council and Commission Directive 2006/70/EC // OJ L 141, 5.6.2015. Р. 73-11; Regulation (EC) No 45/2001 of the European Parliament and of the Council of 18 December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data // OJ L 8, 12.1.2001. Р. 1-22.
20 Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data // OJ L 281, 23.11.1995. Р. 31-50.
Рамочное решение 2008/977 о защите данных личного характера, используемых в рамках сотрудничества полицейских и судебных органов по уголовным делам21. Они утратят силу 25 мая 2018 г. и будут заменены соответственно Регламентом 2016/679 о защите физических лиц в отношении обработки персональных данных и их свободном перемещении (Общий регламент о защите персональных данных)22 и Директивой 2016/680 о защите физических лиц в отношении обработки персональных данных компетентными властями в целях предотвращения, расследования, задержания или судебного преследования в связи с совершением уголовных правонарушений или исполнения уголовного наказания, а также в отношении свободного перемещения подобных данных23. Данные Регламент и Директива приняты Парламентом и Советом в апреле 2016 г. в рамках реформы по защите персональных данных, которая была инициирована Комиссией.
Так, согласно отчетам Комиссии о ее деятельности за 2015 и 2016 годы ЕС продолжал развивать политику в сферах правосудия, основных прав человека и гражданства, ккоторая опирается на основные ценности: демократию, свободу, терпимость и правовое государство24. Деятельность Комиссии была в том числе направлена на улучшение защиты основных прав человека в сферах защиты данных, передачи информации личного характера и прав потребителей. В частности, Комиссия выполнила обязательства провести реформу защиты данных в ЕС, направленную на повышение обеспечения права граждан на защиту персональных данных, являющего одним из основных прав ЕС.
Реформа была предложена Комиссией в 2012 году и включает два основных инструмента: общий регламент, касающийся защиты данных, и ди-
21 Décision-cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale // JO L 350 du 30.12.2008. Р. 60-71.
22 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) // OJ L 119, 4.5.2016. Р. 1-88.
23 Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA // OJ L 119, 4.5.2016. Р. 89-131.
24 L'UE en 2015 — Rapport général sur l'activité de l'Union européenne. Commission européenne. Direction générale de la communication. Information des citoyens.
L'UE en 2016 — Rapport général sur l'activité de l'Union européenne. Commission européenne. Direction générale de la communication. Information des citoyens /1049 Bruxelles, BELGIQUE [Электронный ресурс] :// URL: https://europa.eu/european-union/documents-publications/reports-booklets/general-report_fr (дата обращения: 16.04.2017)
ректива относительно защиты данных, предназначенных для полицейских властей и органов уголовного правосудия. Данная реформа является неотъемлемым элементом единого цифрового (электронного) рынка25 и европейской программы безопасности26. В свою очередь, реформирование единого цифрового рынка направлено на устранение национальных барьеров в сфере телекоммуникаций, авторских прав и защиты данных, которые препятствуют гражданам ЕС пользоваться определенными товарами и услугами, а компаниям и начинающим предпринимателям в секторе Интернета — всеми преимуществами цифрового рынка27. В 2015 году работа над реформированием правового регулирования в сфере защиты данных была интенсифицирована и на конец года по итогам переговоров было достигнуто согласие Комиссии с Парламентом и Советом в отношении целостности реформы. Так, в апреле 2016 года тексты Регламента 2016/679 и Директивы 2016/680 были приняты Парламентом и Советом и вступят в силу в 2018 году.
Прежде чем перейти к характеристике основных положений Регламента 2016/679 (далее — Регламент), следует остановиться на таких ключевых понятиях, как «персональные данные» и «обработка персональных данных»28. Так, закрепленное в Регламенте определение персональных данных (ст. 4) шире определения, сформулированного в отменяемой им Директиве 95/46 (ст. 2). В Регламенте под персональными данными понимается любая инфор-
25 В 2015 году Комиссия также начала реализовывать стратегию, направленную на устранение препятствий связи в рамках единого электронного (цифрового) рынка, которые лишают граждан ЕС пользоваться преимуществами от выбора товаров и услуг, а предприятия в Интернет-сфере возможности в полной мере участвовать в будущем развитии сектора цифровых технологий. В декабре 2015 года Совет и Парламент пришли к соглашению относительно предложенных Комиссией новых правил обеспечения повышенного уровня безопасности сетей и информации. Речь идет о Директиве, касающейся мер по обеспечению общего высокого уровня безопасности интернета и информации в ЕС. См.: Network and Information Security Directive: co-legislators agree on the first EU-wide legislation on cybersecurity [Электронный ресурс]: // URL: https://ec.europa.eu/ digital-single-market/news/network-and-information-security-directive-co-legislators-agree-first-eu-wide-legislation (дата обращения: 16.04.2017)
26 См.: Le programme européen en matière de sécurité. Communication de la Commission au Parlement Européen, au Conseil Européen et au Comité économique et social européen et au Comité des régions. Strasbourg, le 28.4.2015. C0M(2015) 185 final [Электронный ресурс]: // URL: http://ec.europa. eu/dgs/home-affairs/e-library/documents/basic-documents/docs/eu_agenda_on_security_fr.pdf (дата обращения: 16.04.2017)
27 См. также: Mayer F. Europe and the Internet: The Old World and the new medium // The European Journal of International Law. 2000. No 1. P. 149-169; Wong R., Savirimuthu J. All or Nothing: This is the Question? The Application of Article 3(2) Data Protection Directive 95/46/EC to the Internet // Journal of Computer & Information Law. Spring 2008. Р. 241-266.
28 См. также в ст. 4 Регламента определения следующих понятий: «ответственный за обработку данных» или «контролер» (англ. «controller», франц. «responsable du traitement»), «производящий обработку данных» (англ. «processor», франц. яз. «sous-traitant»), «орган контроля» (англ. «supervisory authority», франц. «autorité de contrôle»).
мация, относящаяся к идентифицированному (иначе — определенному) или могущему быть идентифицируемым (иначе — поддающемуся определению) физическому лицу. Физическое лицо, которое может быть идентифицировано — этот тот, кто может быть установлен прямо или косвенно, в частности, благодаря имени, идентификационному номеру, данным о местонахождении, Интернет-идентификатору или одному и нескольким характерным для этого лица чертам, относящимся к его физической, физиологической, генетической, ментальной, экономической, культурной или социальной индивидуальности. Согласно ст. 4 Регламента, обработка данных — это любая операция или их совокупность, осуществляемая с помощью автоматизированных средств или без нее, например, сбор, регистрация, организация, структурирование, хранение, приведение в соответствие или изменение, извлечение, использование, передача, распространение или иной любой способ обеспечения к ним доступа, согласование29 или объединение, ограничение, уничтожение30.
Регламент защищает основные права и свободы физических (а не юридических) лиц независимо от их гражданства и места проживания и, в особенности, право на защиту персональных данных. Регламент содержит нормы, направленные на защиту прав физических лиц при обработке их персональных данных, а также нормы, связанные со свободным перемещением таких данных. Чтобы внутренний рынок функционировал должным образом, необходимо, чтобы свобода движения персональных данных в ЕС не была ни ограничена, ни запрещена по причинам, связанным с защитой физических лиц в связи с обработкой их персональных данных.
В преамбуле Регламента, в частности, отмечается, что он направлен на укрепление и сближение экономик государств-членов ЕС в рамках внутреннего рынка. Это в очередной раз подтверждает значимость соблюдения права на защиту персональных данных для повышения эффективности функционирования внутреннего рынка ЕС. Регламент Комиссия расценивает как основной шаг на пути упрочения основных прав граждан в эру цифровых технологий, а также облегчения предпринимательской деятельности посредством упрощения применяемых к компаниям правовых норм в рамках единого цифрового рынка31. Регламент содержит нормы, направленные на устранение препятствий для функционирования внутреннего рынка, существующих из-за различных и порой противоречащих друг другу подходов к правовому регулированию защиты данных в членах ЕС. Иными словами, на данный момент имеет место фрагментация правового регулирования в рассматриваемой
29 Англ. «alignment», франц. «le rapprochement».
30 Англ. «erasure or destruction», франц. «l'effacement ou la destruction».
31 L'UE en 2016 — Rapport général sur l'activité de l'Union européenne. P. 66.
сфере, которая приводит к правовой неопределенности, в частности, к искажению конкуренции, препятствиям для осуществления предпринимательской деятельности, связанным с дополнительными затратами (особенно для малых и средних предприятий), а также к неравной защите физических лиц.
В связи с этим нельзя не сравнить анализируемый Регламент с пока действующей Директивой 95/46. Если обратиться к доктрине, то действующее правовое регулирование ЕС в сфере передачи персональных данных характеризуется как четкое и обеспечивающее свободное перемещение данных в рамках Союза, но ограничивающее их передачу в третьи страны32. Директива направлена на гармонизацию защиты основных прав и свобод физических лиц при обработке персональных данных и на обеспечение их свободного перемещения между государствами-членами (ст. 1). Казалось бы, ее цели и принципы заслуживают лишь положительной оценки, однако на практике она не позволила предотвратить фрагментацию в реализации права на защиту данных в рамках всего ЕС, которая возникла по причине ее различной имплемента-ции и различного применения в государствах-членах ЕС. Здесь следует обратиться также к характеристике регламента и директивы как актов вторичного права ЕС, т.е. принимаемых институтами ЕС. Так, по ст. 288 ДФЕС регламент является обязательным в полном объеме и подлежит прямому применению во всех государствах-членах, директива имеет обязательную силу для каждого государства-члена, кому она адресована, в отношении результата, которого требуется достичь, но оставляет в компетенции национальных инстанций выбор формы и способов достижения. Исходя из этого, становится понятно, почему вместо Директивы 95/46 был принят акт именно в форме регламента.
Интерес представляют данные опроса, проведенного фирмой «Евро-барометр»33. Так, государственные власти пользуются большим доверием, чем коммерческие структуры (66% опрошенных); две трети европейцев (67- 69%) беспокоятся, что не имеют полного контроля над своими персональными данными, и опасаются, что их данные, переданные юридическим лицам, могут быть использованы для других целей; более 4 европейцев из 10 предпочли бы, чтобы защита данных регулировалась на уровне ЕС (45%), тогда как чуть меньшая доля (42%) — на национальном уровне.
Регламент создает единое правовое регулирование ЕС в сфере защиты персональных данных, которое должно усилить право на защиту данных и сделать так, чтобы люди доверяли структурам, которым они сообщают свои данные. Применение данного Регламента должно, естественно, избавить предпринимателей от лишних расходов. По предварительным оценкам
32 Kong L. Op. cit. Р. 442.
33 Special Eurobarometer. Report. 431- Data protection, June 2015 [Электронный ресурс]: // URL: http://ec.europa.eu/public_opinion/archives/ebs/ebs_431_en.pdf (дата обращения: 21.02.2017)
Европейской Комиссии, устранение таким образом административных препятствий сэкономит примерно 2,3 млрд. евро в год34.
Сфера действия Регламента, закрепленная в ст. 2, не распространяется на обработку персональных данных, производимую в рамках деятельности, нерегулируемую правом ЕС; государствами-членами при осуществлении деятельности в соответствие с главой 2 раздела 5 Договора о Европейском Союзе («Специальные положения об общей внешней политике и политике безопасности»); физическим лицом в рамках исключительно личной или домашней деятельности35. Регламент не применяется к обработке персональных данных, подпадающих под сферу действия Директивы 2016/680, а также к обработке персональных данных институтами, органами, агентствами Союза, поскольку это входит в сферу действия Регламента 45/200136. При этом следует отметить, что Регламент применяется без ущерба Директиве 2000/31, касающейся правовых аспектов предоставления услуг информационного общества37, в частности, в электронной торговле, в рамках внутреннего рынка ЕС38.
Также необходимо иметь в виду положения ст. 23, в которой закреплены основания ограничения действия некоторых прав и обязанностей, предусмотренных Регламентом. Среди таких оснований выступают национальная безопасность; оборона; общественная безопасность; обеспечение независимости правосудия; предотвращение и выявление, расследование преступных (уголовных) деяний или преследование лиц за их совершение. Таким образом, есть сферы (например, в рамках деятельности, представляющей собой общественный интерес, или деятельности органа государственной власти), в которых к обработке персональных данных применяются акты законодательства членов ЕС, уточняющие применение положений Регламента. Также параллельно с общим правом ЕС в отношении защиты данных в государствах-членах существует большое число правовых актов специального характера, содержащих более конкретные нормы. Регламент оставляет государствам-членам воз-
34 Comment la reforme de la protection des donnees dans l'UE renforcera-t-elle le marche interieur? Fiche technique. Janvier 2016 / Direction générale de la justice et des consommateurs. Union européenne, 2016 [Электронный ресурс]: // URL: http://ec.europa.eu/justice/dataprotection/index_en.htm (дата обращения: 21.04.2017)
35 Под личной или домашней деятельностью понимается, к примеру, обмен письмами или сообщениями, составление адресной книги, использование социальных сетей.
36 Regulation No 45/2001 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data.
37 Directive (EU) 2015/1535 of the European Parliament and of the Council of 9 September 2015 laying down a procedure for the provision of information in the field of technical regulations and of rules on Information Society services // OJ L 241, 17.9.2015. Р. 1.
38 Directive 2000/31/EC of the European Parliament and of the Council of 8 June 2000 on certain legal aspects of information society services, in particular electronic commerce, in the Internal Market ('Directive on electronic commerce') // OJ L 178, 17.7.2000. Р. 1-16.
можность «маневра», например, для установления более детализированных требований к обработке определенного вида данных (например, в сферах, связанных со свободой выражений мнения и информации, доступом общественности к официальным документам, трудовыми отношениями)39.
Назовема принципы обработки персональных данных, закрепленные в Регламенте (хотя они и идентичны принципам, перечисленным в Директиве 95/46), поскольку они, естественно, составляют квинтесенцию правового регулирования рассматриваемой сферы. Данные личного характера должны: 1) обрабатываться законно, добросовестно и прозрачно для соответствующего физического лица (законность, добросовестность, прозрачность); 2) собираться для четко определенных законных целей и в дальнейшем не обрабатываться таким образом, который был бы несовместим с первоначальными целями (ограничение целей)40; 3) быть адекватными, соответствующими и ограниченными исходя из целей, для которых они обрабатываются (минимизация данных); 4) быть точными и актуальными (точность)41; 5) сохраняться в форме, которая позволит идентифицировать соответствующее лицо в течение времени, необходимого для достижения целей их обработки (ограничение хранения)42; 6) обрабатываться способом, гарантирующим надлежащую безопасность персональных данных.
Что касается прав физических лиц, то реформа в том числе имеет целью обеспечить упрощенный доступ лиц к их персональным данным, в частности, возможность следить за тем, как они используются (ст. 15 Регламента)43; право на передачу данных (например, при реализации свободы услуг44); детализацию права на уничтожение персональных данных (например, когда в подобных данных больше нет необходимости исходя из целей, для достижения которых они были получены; или как только лицо пожелает это при отсутствии иных правовых оснований для их хранения; или данные были обработаны с нарушением соответствующих правовых норм: ст. 17 Регламента)45; право быть информированным в кратчайшие сроки о несанкционированном доступе к персональным данным (ст. 34 Регламента).
39 Глава 9 Регламента «Положения, касающиеся особых ситуаций, связанных с обработкой данных».
40 См. также: п. 1 ст. 89 Регламента (Гарантии и исключения, применяемые к обработке данных в целях архивирования в общественных интересах, для проведения научных или исторических исследований или в статистических целях).
41 См. также: ст. 16 и 17 Регламента (исправление и уничтожение данных).
42 См. также: п. 1 ст. 89 Регламента.
43 См. также: ст. 13 Регламента (информация, которая сообщается физическому лицу в связи с получением его персональных данных).
44 См., напр.: ст. 2, 3, 4, 7 Регламента.
45 В ст. 16 закреплено право физического лица исправить неверные персональные данные или дополнить их.
Преимущества для компаний заключаются в следующем: единый свод правовых норм, что и удешевит их деятельность; служба «одного окна», т.е. компании и предприниматели будут иметь дело лишь с одним государственным органом и по месту своего нахождения (ст. 56 Регламента); применение норм права ЕС на территории ЕС, в том числе и в отношении предприятий, учрежденных в третьем государстве (ст. 3 Регламента); подход, учитывающий риски (например, п. 24 ст. 4, п. 2g ст. 23, ст. 25, 27, 30, 32, 33, 34), а также нормы, благоприятные для инновационной деятельности (например, ст. 25)46. Необходимо также подчеркнуть, что составители Регламента учли и интересы малых и средних предприятий. В частности, ст. 30 содержит исключение в отношении ответственных за обработку данных или их представителей по ведению реестра видов деятельности по обработке данных, под которое и подпадают организации с менее чем 250 работниками. К ним не применимы при определенных условиях требования по ведению подобного реестра47.
Регламент призван гарантировать юридическую безопасность и прозрачность для экономических операторов, включая малые и средние предприятия, и предоставлять физическим лицам из всех государств-членов ЕС одинаковый объем прав и обязанностей, а для лиц и органов, осуществляющих обработку данных, — одинаковый уровень ответственности. Регламент также необходим как для обеспечения последовательного контроля за обработкой персональных данных и применения эквивалентных санкций во всех государствах-членах ЕС, так и для эффективного сотрудничества органов контроля из разных государств-членов ЕС48. Реформа позволит гражданам в большей степени осуществлять контроль над своими персональными данными, а предприятиям, особенно средним и малым, извлечь выгоду из возможностей, создаваемых унификацией норм по регулированию единого цифрового рынка при сокращении административных формальностей и увеличения доверия потребителей, а также создаст условия для инновационной деятельности. Интересно, что новые нормы о защите данных будут применяться не только к компаниям, учрежденным в рамках ЕС, но и к иностранным компаниям, которые предоставляют услуги и поставляют товары гражданам ЕС или занимающиеся мониторингом.
Директива 2016/680 (далее — Директива) содержит нормы, направленные на защиту физических лиц в связи с обработкой персональных данных компетентными властями в целях предотвращения, расследования, задержания или судебного преследования в связи с совершением (уголовных) престу-
46 Регламент гарантирует защиту данных, присвоенных товарам и услугам начиная с первой стадии их создания.
47 См. подробнее п. 5 ст. 30 Регламента.
48 См.: Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) // OJ L 119, 4.5.2016. Р. 1-88.
плений или исполнения уголовного наказания, включая защиту от угроз общественной безопасности и их предотвращение. Следуя положениям Директивы, государства-члены должны защищать основные права и свободы физических лиц и, в особенности, их право на защиту персональных данных, а также должны обеспечивать, чтобы обмен персональными данными между компетентными властями в рамках ЕС (который требуется согласно праву ЕС или праву государства-члена) не был ни ограничен, ни запрещен по причинам, связанным с защитой физических лиц при обработке их персональных данных.
Отметим, что, в частности, понятие персональных данных и их обработки такое же, как и в анализируемом выше Регламенте. Под компетентными властями понимаются: 1) любые органы государственной власти компетентные по вопросам, входящим в сферу действия Директивы; 2) любые иные органы или учреждения, которым правом государства-члена доверено осуществлять государственную власть49 в соответствующих сфере действия Директивы целях. Директива должна обеспечить высокий уровень защиты персональных данных подозреваемых, лиц, признанных виновными, известных или предполагаемых жертв преступлений, свидетелей50, а также упростить обмен информацией и иное сотрудничество между полицейскими и судебными властями разных государств-членов ЕС. Последнее, в частности, должно способствовать повышению эффективности борьбы с преступностью, включая борьбу с терроризмом. В соответствии с положениями Директивы любая обработка данных органами правопорядка должна соответствовать принципам законности, необходимости, пропорциональности, а также предусматривать гарантии для физических лиц. К слову, принципы обработки данных, закрепленные в Директиве (ст. 4), идентичны принципам, перечисленным в Регламенте. Контролировать обработку данных должны независимые национальные структуры, в обязанности которых входит защита данных, и при этом должно быть предусмотрено эффективное обжалование в судебном порядке (ст. 47 Директивы).
Таким образом, принятие Регламента и Директивы — большой шаг вперед на пути соблюдения права физического лица на защиту персональных данных51, что должно позитивно сказаться на функционирования внутреннего рынка ЕС.
49 Англ. «public authority» and «public powers», франц. «l'autorité publique et des prérogatives de puissance publique».
50 Особенностью данной Директивы, в частности, является закрепленное различие между данными разных категорий лиц (ст. 6).
51 См., напр.: 2016 Report on the Application of the EU Charter of Fundamental Rights. European Commission. 18.5.2017 C0M(2017) 239 final, {SWD(2017) 162 final}[Электронный ресурс]: // URL: http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52017DC0239&qid=1499974282687 &from=EN (дата обращения: 15.07.2017)
Право на защиту персональных данных в практике Суда Европейского Союза
Суд ЕС неоднократно подчеркивал необходимость защиты основных прав человека, а также соблюдение их баланса в эпоху цифровых технологий. В отчетах Комиссии по применению Хартии ЕС об основных правах в том числе приводятся суть дел и решения Суда ЕС по вопросам защиты персональных данных. Так, например, согласно отчетам за 2014, 2015 и 2016 годы52, Суд ЕС вынес решения по следующим делам: C-293/12 and C-594/12 Digital Rights Ireland and Kärntner Landesregierung53; C-131/12 Google Spain and Google54, C-212/13 Rynes55, Case C-288/12 Commission v Hungary56, C-362/14 Max Schrems57, C-230/14 Weltimmo58, C-446/12 W.P. Willems v Burgemeester van Nuth59, Case C-201/14 Bara and Others60, Case C-419/14 WebMindLicenses61, С-203/15 Tele2 Sverige AB и С-698/15 Tom Watson62.
В решении по объединенному делу С-293/12 и С-594/12 Digital Rights Ireland Суд признал недействительной Директиву 2006/24 о хранении данных, созданных или обработанных в связи с предоставлением обществен-
52 2014 report on the application of the EU Charter of Fundamental Rights. European Commission [Электронный ресурс] // URL: http://ec.europa.eu/justice/fundamental-rights/files/2014_annual_char-ter_report_en.pdf (дата обращения: 21.04.2017); 2015 report on the application of the EU Charter of Fundamental Rights European Commission [Электронный ресурс]:// URL: http://ec.europa.eu/justice/ fundamental-rights/files/2015_charter_report_full_version_en.pdf (дата обращения: 21.04.2017); 2016 Report on the Application of the EU Charter of Fundamental Rights. European Commission. 18.5.2017 C0M(2017) 239 final, {SWD(2017) 162 final}.
53 Joined Cases C-293/12 and C-594/12: Digital Rights Ireland Ltd (C-293/12), Kärntner Landesregierung (C-594/12) // OJ C 175, 10.6.2014. Р. 6-7.
54 Case C-131/12 Google Spain SL, Google Inc. v Agencia Española de Protección de Datos (AEPD), Mario Costeja González // OJ C 212, 7.7.2014. Р. 4-5.
55 Case C-212/13 Frantisek Rynes v Úrad, 11 December 2014 (request for a preliminary ruling from the Nejvyssí správní soud — Czech Republic) // OJ C 46, 9.2.2015. Р. 6-6.
56 Case C-288/12 European Commission v Hungary, 8 April 2014 // OJ C 175, 10.6.2014. Р. 6-6.
57 Case C-362/14 Maximillian Schrems v Data Protection Commission, 6 October 2015, ECLI identifier: ECLI:EU:C:2015:650.
58 Case C-230/14 Weltimmo s.r.o. v Nemzeti Adatvédelmi és Információszabadság Hatóság, 1 October 2015 (request for a preliminary ruling from the Kúria — Hungar)y // OJ C 381, 16.11.2015. Р. 6-7.
59 Joined Cases C-446/12 to C-449/12 W.P. Willems and Others v Burgemeester van Nuth and Others, ECLI identifier: ECLI:EU:C:2015:238.
60 Case C-201/14 Smaranda Bara and Others, 1 October 2015, Digital reports (Court Reports — general), ECLI identifier: ECLI:EU:C:2015:638.
61 Case C-419/14 WebMindLicenses kft, 17 December 2015. ECLI identifier: ECLI:EU:C:2015:83.
62 Joined Cases C-203/15 and C-698/15: Tele2 Sverige AB v Postoch telestyrelsen (C-203/15), Secretary of State for the Home Department v Tom Watson, Peter Brice, Geoffrey Lewis (C-698/15), 21.12.2016 // OJ C 53, 20.2.2017. Р. 11-12.
но доступных электронных услуг связи или общественных сетей связи63, поскольку она в нарушение принципа пропорциональности ограничивала право на частную жизнь и право на защиту персональных данных. В соответствии с положениями Директивы государства-члены должны были обеспечить, чтобы поставщики телекоммуникационных услуг сохраняли данные о трафике и местонахождении их потребителей от шести месяцев до двух лет и предоставляли доступ к ним по запросу органов власти в целях расследования и выявления серьезных преступлений, а также преследования лиц за их совершение.
Интересно также дело C-362/14 Max Schrems, которое касалось принятого Комиссией решения на основании п. 6 ст. 25 Директивы 95/46, позволяющего передавать персональные данные в третью страну (в рассматриваемом случае — в США). Это было возможно, поскольку Комиссия посчитала, что в США имеет место адекватный уровень защиты, учитывая национальное право или международные договоры. Передача персональных данных ирландским филиалом компании «Фейсбук» серверам в США и приемлемость их защиты были оспорены в национальном суде Ирландии. Это было, в том числе, связано с обнародованием информации о слежении, проводимом разведывательными службами США в 2013 году. В итоге Суд ЕС признал соответствующее решение Комиссии недействительным.
В 2016 году Суд ЕС продолжил (в рамках преюдициальных запросов) направлять деятельность судей национальных судов по применению и толкованию Хартии. Так, при рассмотрении объединенных дел С-203/15 Tele2 Sverige AB и С-698/15 Tom Watson Суд изучал законодательные акты двух государств-членов ЕС, согласно которым данные всех подписчиков и зарегистрированных пользователей о трафике и местонахождении, касающиеся любых средств электронной связи, должны храниться на общих и недискриминационных началах. Суд пришел к выводу, что данные законы ограничивают основные права на частную жизнь и защиту персональных данных. Эти ограничения не были признанны объективно оправданными в силу их многочисленности, а также малого объема предусмотренных гарантий, даже когда их целью выступала борьба с серьезными преступлениями. Однако все же подобная цель может выступать основанием для хранения таких данных при условии, что оно будет ограничено рамками строго необходимого. То есть храниться могут только определенные категории данных, относительно указанных видов средств связи, данные конкретных лиц, а также в течении фиксированного срока.
63 Directive 2006/24/EC of the European Parliament and of the Council of 15 March 2006 on the rétention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks and amending Directive 2002/58/EC // OJ L 105, 13.4.2006. Р. 54-63.
Таким образом, Суд неоднократно напоминал институтам ЕС и государствам-членам об их обязанности соблюдать положения Хартии ЕС об основных правах, закрепляющие право на защиту персональных данных.
Также необходимо коснуться решения Суда ЕС, связанного с применением актов права ЕС, гарантирующих защиту персональных данных, к компании, место учреждения и место деятельности которой различны64. В деле C-230/14 Weltimmo одноименная компания, зарегистрированная в Словакии, управляла веб-сайтом, ориентированным на совершение сделок с недвижимым имуществом на рынке Венгрии, была лицом, ответственным за обработку персональных данных рекламодателей. Она игнорировала запросы последних об уничтожении данных и была за это оштрафована венгерскими властями. Weltimmo считала, что не может быть оштрафована на основании права Венгрии, поскольку была учреждена в Словакии. Суд ЕС пришел к выводу, что понятие «учреждение» необходимо толковать в свете целей Директивы 95/46, касающейся защиты данных. Не имеет значения, в каком государстве-члене ЕС компания была учреждена, но важно, в каком государстве она осуществляет реальную и эффективную деятельность через постоянную организационную структуру65. Суд ЕС постановил, что компания Weltimmo осуществляла такую деятельность на территории Венгрии и соответственно с нее правомерно взыскан штраф на основании права Венгрии.
Укрепление защиты персональных данных непосредственно влияет на эффективность реализации экономических свобод внутреннего рынка. Интересно проследить, каким будет это влияние, когда реформа правового регулирования защиты персональных данных войдет в активную фазу.
Библиография
Журавлев М.С. Защита персональных данных в телемедицине // Право. Журнал Высшей школы экономики. 2016. № 3. С. 72-84.
Исполинов А.С. Поиск баланса между свободами внутреннего рынка и правами человека в судебной практике ЕС // Журнал зарубежного законодательства и сравнительного правоведения. 2012. № 6. С.38-49.
Кашкин С.Ю., Жупанов А.В. Юридические лица в праве Европейского союза: организационно-правовые аспекты регулирования корпоративных отношений // Lex russica. 2013. № 7. С. 718-734.
64 О свободе учреждения см.: ст. 49-55 ДФЕС; Кашкин С.Ю., Жупанов А.В. Юридические лица в праве Европейского союза: организационно-правовые аспекты регулирования корпоративных отношений // Lex russica. 2013. № 7; Benyon F. Direct Investment, National Champions and EU Treaty Freedoms. From Maastricht to Lisbon. Oxford, 2011.
65 Таким образом, здесь не стоит вопрос о «национальности» компании, которая определяется на основании или критерия инкорпорации, или административного центра. В ЕС абсолютное большинство государств-членов придерживаются критерия административного центра и лишь Великобритания, Ирландия, Нидерланды и Дания — критерия инкорпорации, что создает препятствия для реализации свободы учреждения в рамках внутреннего рынка ЕС.
Мюллер-Графф П.-К. Лиссабонский договор в системе первичного права Европейского Союза / пер. с нем. Юмашева Ю.М. // Право. Журнал Высшей школы экономики. 2008. № 1. С. 80-99.
Хартия Европейского Союза об основных правах: комментарии / под ред. С.Ю. Каш-кина. М.: Юриспруденция, 2001. 208 с.
Юмашев Ю.М. Правовое регулирование европейского внутреннего рынка // Московский журнал международного права. 2013. Т. 91. № 3. С. 154-176.
Bennett С., Raab С. The Governance of Privacy: Policy Instruments in Global Perspective. London, 2003. 382 р.
Benyon F. Direct Investment, National Champions and EU Treaty Freedoms. From Maastricht to Lisbon. Oxford, 2010. 144 р.
Blume P. Transborder Data Flow: Is There a So I ution in Sight? // 8 Int'l J L and Info Technology. 2000. Р. 65-86.
Carey P. Data Protection: A Practical Guide to UK and EU Law. Oxford, 2004. 532 p. Craig P., de Bürca G. EU Law. Text, Cases and Materials. Oxford, 2015. 1198 р. Hordern V. The final GDPR text and what it will mean for health data / Chronicle of Data Pr otection, 20 January 2016. https://www.hldataprotection.com/2016/01/articles/health-privacy-hipaa/the-final-gdpr-text-and-what-it-will-mean-for-health-data/ (дата обращения: 20.01.2018)
Kong L. Data Protection and Transborder Data Flow in the European and Global Context // The European Journal of International Law. 2010. No. 2. Р. 441-456. Mayer F. Europe and the Internet: The Old World and the new medium // The European Journal of International Law. 2000. Vol. 11. N 1. P. 149-169.
Wong R., Savirimuthu J. All or Nothing: This is the Question? The Application of Article 3(2) Data Protection Directive 95/46/EC to the Internet // Journal of Computer & Information Law. Issue 2. Р. 241-266.
Aspects of Legal Regulation of Protecting Personal Data in the EU Internal Market
Elena Postnikova
Associate Professor, Department of International Public and Private Law, Law Faculty, National Research University Higher School of Economics, Candidate of Juridical Sciences. Address: 20 Myasnitskaya Str., Moscow 101000, Russian Federation. E-mail: epostnikova@hse.ru
The paper features an aspect of combining economic freedoms of the European Union internal market and the protection of human rights shown on the example of protecting personal data the observance of which is especially topical. The internal market as a centre of European integration is a significant achievement of the European integration but its potential is not fully grasped. The legal regulation of the internal market should be harmonized with the modern conditions including technological progress, which impedes the respect of the rights to the protection of personal data and creates a barrier on the way to implement economic freedoms of the internal market. To identify the meaning of
respecting rights in protecting personal data, the author examines some documents of the European Commission, including the Strategy for the single market, annual reviews of growth, reports on applying the EU Charter. In particular, an instrument to raise the efficiency of the single internal market is the protection of personal data. The right to the protection of personal data is specified in the acts of primary and secondary European Union law. A special attention is given to the reform of the EU regulation in this regard, especially The General Data Protection Regulation 2016/679. The paper compares the applicable Data Protection Directive 95/46. The reform introduces a single legal regulation for the whole EU, which will enforce the right to the protection of personal data and save the entrepreneurs from excessive expenses. Besides, the paper draws attention to the EU Court practice. The latter reminds the EU institutes and member states about the obligation to observe the EU Charter related to the protection of personal data.
Keywords
European Union, EU law, internal market, human rights, human rights protection, personal data, right to the protection of personal data, personal data processing, European Commission, EU Court.
Citation: Postnikova E.V. (2018) Aspects of Legal Regulation of Protecting Personal Data in the EU Internal Market. Pravo. Zhurnal Vysshey shkoly ekonomiki, no 1, pp. 234-254 (in Russian)
DOI: 10.17323/2072-8166.2018.1.234.254 References
Bennett C., Raab C. (2003) The Governance of Privacy: Policy Instruments in Global Perspective/ London: Routledge, 382 p.
Benyon F. (2010) Direct Investment, National Champions and EU Treaty Freedoms. From Maastricht to Lisbon. Oxford: Hart, 144 p.
Blume P. (2000) Transborder Data Flow: Is There a Solution in Sight? International Journal of Law and Info Technology, no 8, pp. 65-86.
Carey P. (2004) Data Protection: A Practical Guide to UK and EU Law. Oxford: University Press, 532 p.
Craig P., de Bürca G. EU Law. Text, Cases and Materials. Oxford, 2015. 1198 p. Hordern V. (2016) The final GDPR text and what it will mean for health data. Chronicle of Data Protection, 20 January 2016. Available at: https://www.hldataprotection. com/2016/01/articles/health-privacy-hipaa/the-final-gdpr-text-and-what-it-will-mean-for-health-data/ (accessed: 20.01.2018)
Ispolinov A.S. (2012) Poisk balansa mezhdu svobodami vnutrennego rynka i pravami cheloveka v sudebnoy praktike ES [In search of balance between the freedoms of internal market and human rights in EU court practice]. Zhurnalzarubezhnogo zakonodatel'stva i sravnitel'nogo pravovedeniya, no 6, p. 38-49.
Kashkin S.Yu., Zhupanov A.V. (2013) Yuridicheskie litsa v prave Evropeyskogo soyuza: organizatsionno-pravovye aspekty regulirovaniya korporativnykh otnosheniy [Legal entities in EU law: organizational matters of regulating corporate relations]. Lex russica, no 7, p. 718-734.
Kashkin S.Yu. (ed.) (2001) Khartiya Evropeyskogo Soyuza ob osnovnykh pravakh: kommentarii [Charter of Fundamental Rights of the European Union: Commentaries]. Moscow: Yurisprudentsiya. 208 p. (in Russian)
Kong L. (2010) Data Protection and Transborder Data Flow in the European and Global Context. The European Journal of International Law, no 2, p. 441-456. Mayer F. C. (2000) Europe and the Internet: The Old World and the new medium. The European Journal of International Law, no 1, p. 149-169.
Müller-Graff P.-C. (2008) Lissabonskiy dogovor v sisteme pervichnogo prava Evropeyskogo Soyuza [Lisbon Treaty in the System of Primary Law of the European Union]. Pravo. Zhurnal Vyssheyshkolyekonomiki, no 1, p. 80-99. Yumashev Yu.M. (2013) Pravovoe regulirovanie evropeyskogo vnutrennego rynka [Legal regulation of European internal market]. Moskovskiy zhurnal mezhdunarodnogo prava, vol. 91, no 3, p. 154-176 (in Russian)
Wong R., Savirimuthu J. (2008) All or Nothing: This is the Question? The Application of Article 3(2) Data Protection Directive 95/46/EC to the Internet. Journal of Computer & Information Law, vol. 25, issue 2, p. 241-266.
Zhuravlev M.S. (2016) Zashchita personal'nykh dannykh v telemeditsine [Human rights protection in telemedicine]. Pravo. Zhurnal Vysshey shkoly ekonomiki, no 3, pp. 72-84.