CC BY
205
ф
Касенова Мадина Балташевна
Профессор Московской высшей школы социальных и экономических наук (МВШСЭН),
доктор юридических наук E-mail: mbk.07@mail.ru
НЕКОТОРЫЕ ЗАМЕЧАНИЯ ОТНОСИТЕЛЬНО ДИВЕРСИФИКАЦИИ ПРАВОВОГО РЕГУЛИРОВАНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ:
ПОДХОД ЕВРОПЕЙСКОГО СОЮЗА
Аннотация.
Статья рассматривает ряд вопросов, связанных с началом применения 25 мая 2018 г. Регламента 2016/679 Европейского Парламента и Совета «О защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмене Директивы 95/46/ EC (Общие положения о защите данных)». Актуализирует обращение к анализу названного документа тот факт, что его «юрисдикционное» действие расширено и может распространяться на лиц, не учрежденных и не находящихся в ЕС, если их деятельность связана с обработкой персональных данных в Евросоюзе. Делается вывод о том, что Регламент (ЕС) 2016/679 обусловливает новейший этап развития правового регулирования защиты персональных данных в Евросоюзе и странах-членах, а также выступает ключевым фактором, определяющим дальнейшую эволюцию и логику перспектив правового регулирования в рассматриваемой сфере отношений в правопорядках многих государств, не входящих в ЕС.
Ключевые слова: Европейский Союз, право Европейского Союза, персональные данные, защита и обработка персональных данных физических лиц.
Kasenova Madina B.
Professor of the Moscow Higher School of Social and Economic Sciences (MSSES), Doctor of Law
E-mail: mbk.07@mail.ru
SOME REMARKS RELATING TO PROTECTION OF PERSONAL DATA LEGAL REGULATION: THE EUROPEAN UNION APPROACH
Abstract.
The article summarizes a number of issues related to the commencement of application of the European Parliament and the Council Regulation (EU) 2016/679(May 25, 2018) on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). The fact that its «jurisdictional» action is updated and can be extended to persons not established and not being in the EU, if their activity is related to the processing of personal data in the European Union, updates the appeal to the analysis of this document. It is concluded that, Regulation (EC) 2016/679 stipulates the newest stage of the development of the legal regulation of the protection of personal data in the European Union and member countries, and also acts as a key factor determining the further evolution and logic of the prospects for legal regulation in the sphere of relations in the legal orders of many states outside the EU.
Key words: European Union, European Union Law, personal data, personal data protection, the protection of natural persons with regard to the processing of personal data.
We're making these updates as new data protection regulations come into effect in the European Union, we're taking the opportunity to make improvements for Google users around the world...
Правовое регулирование отношений в сфере защиты персональных данных насчитывает немногим более двух десятилетий, а методы и механизмы регулирования в национальных правопорядках государств формируются и применяются различным образом. Системность и последовательность решения вопросов правового регулирования отношений в сфере защиты персональных данных демонстрируют Европейский Союз (далее — «ЕС» или «Евросоюз») и страны — члены этой организации. В этой связи, следует отметить важность принятия Евросоюзом в апреле 2016 г. двух нормативных документов, регламентирующих порядок защиты персональных данных при их обработке.
Речь идёт о Регламенте (ЕС) 2016/679 «О защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмене Директивы 95/46/ EC (Общие положения о защите данных)»2, а также о Директиве (ЕС) 2016/680 «О защите физических лиц в отношении обработки персональных данных компетентными органами в целях предотвращения, расследования, обнаружения или преследования уголовных наказаний и о свободном перемещении таких данных и отмене Рамочного Решения Совета ЕС 2008/977/ JHA»3. Представляется, что названные документы следует рассматривать в их «органической взаимосвязанности», поскольку их принятие, во-первых, свидетельствует о новейшем этапе правового регулирования отношений защиты и обра-
and
Существенное расширение использования персональных данных физических лиц, их трансграничное перемещение и обмен объективно обусловлены стремительным развитием интернет-технологий и их проникновением практически во все сферы социальной жизни. В настоящее время деятельность государственных органов и учреждений, компаний государственного и частного сектора, индивидуальных предпринимателей; функционирование множества технических устройств и технологических процессов (интернет-вещей (Ы), интернет-голосование, интернет-обучение и проч.) так или иначе сопрягается с использованием персональных данных. Использование персональных данных физических лиц необходимо при устройстве на работу, открытии счета в банке или получения кредита, покупке билетов и т.п., а все возрастающий объем «добровольно и публично» предоставляемых персональных данных в том числе предполагает возможность их трансграничной передачи и обмена.
В свою очередь, технологическое и социальное расширение применения персональных данных, включая возможности их трансграничной передачи и обмена, увеличивает риски их недобросовестного («неле-гитимного»/преступного) использования. В этом смысле неудивительно, что в настоящее время персональные данные именуются «новой нефтью» (thenewoil )* и рассматриваются качестве «валюты экономики» (и не только в контексте ее цифрового развития).
The DAC Beachcroft LLP Personal Data: the new oil and its toxic legacy under the General Data Protection Regulation. DAC Beachcroft LLP. DAC Beachcroft 2017. Режимдоступа: https://www.luther-lawfirm.com/fileadmin/user_ upload/PDF/Broschueren/Studien/DACB_GDPR_Liability_Study_-_Luther.pdf (Дата обращения 30.04.2018) Regulation (EU) 2016/679 ofthe European Parliament and ofthe Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC
(General Data Protection Regulation). Официальный Журнал Европейского Союза—OJ L 119, 04.05.2016, Р. 1-88. Directive 2016/680of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA.Официальный Журнал Европейского Союза. Режим доступа: http://data.europa.eu/eli/dir/2016/680/oj. (Дата обращения 30.04.2018)
ботки персональных данных в Евросоюзе и странах — членах ЕС. Во-вторых, их принятие, несомненно, выступает фактором, который во многом обусловит дальнейшую эволюцию и логику перспектив правового регулирования в рассматриваемой сфере
отношении в правопорядках многих государств, не входящих в ЕС. Именно в этоИ связи достаточно показательным является положение, применяемое компанией Google, которое представляется уместным вынести в эпиграф настоящей статьи4.
I. Предварител
Большинство правоведов (отечественных и зарубежных) разделяют доктринальный тезис о том, что право Евросоюза является самостоятельной правовой системой, «архитектура источников» которой охватывает «первичное право», «вторичное право» Евросоюза; при этом в качестве отдельной категории источников права справедливо рассматривается прецедентное право Суда Евросоюза, в силу его соответствующих содержательных характеристик5.
В праве Евросоюза закреплены нормы о защите физических лиц в отношении обработки персональных данных институтами, органами и учреждениями Евросоюза, а также государствами — членами ЕС.
В числе источников первичного права ЕС, обладающих высшей юридической силой и систематизирующей ролью, прежде всего следует назвать «Договор о Европейском Со -юзе» (далее — «Маастрихтский договор»), «Договор о функционировании Европейского Союза» (далее — «Римский договор»), «Хартию Европейского Союза об основных правах» (далее — «Хартия ЕС о правах»).
ьные замечания
Действующие в новейшей редакции 2007 г., названные источники первичного права Евросоюза закрепляют право каждого физического лица на защиту относящихся к нему персональных данных, включая их свободное перемещение (в т.ч. и трансграничное), рассматривая это право в системе основных прав и свобод.
Показательны, в частности, нормы ст. 16 Римского договора6, коррелирующие им нормы ст. 39 Маастрихтского договора7, а также нормы ст. 8 Хартии ЕС о правах8, которые предусматривают право каждого лица на защиту относящихся к нему персональных данных. При этом обработка персо -нальных данных лиц должна осуществляться добропорядочно, в установленных целях и при наличии согласия заинтересованного лица или других правомерных оснований, предусмотренных законом, а также права получать доступ к собранным в отношении него данным и добиваться устранения в них ошибок. И Римский договор, и Маастрихтский договор, и Хартия ЕС о правах исходят из того, что соблюдение правил о защите
«... We'remakingtheseupdatesasnewdataprotectionregulationscomeintoeffectintheEuropeanUnion, andwe'retakingth eopporturntytomakeimprovementsforGoogleusersaroundtheworld...» — «.«Мы применяем эти обновления, в связи с вступлением в действие новых правил защиты данных в Европейском Союзе, и пользуемся этой возможностью для того, чтобы улучшить потенциальные возможности пользователей Google по всему миру.» См. об этом, например, Европейское право: Учебник для вузов / Под ред. Л.М.Энтина. 2-е изд., пересмотр. и доп. М.: Норма, 2005. С. 100-102. Кашкин, С. Ю. Введение в право Европейского союза: Учебник / С. Ю. Каш-кин, П.А. Калиниченко, А. О. Четвериков; под ред. С. Ю. Кашкина. 2-е изд., испр. и доп. М.: Эксмо, 2008. С. 79; Право Европейского союза: В 2 т.: Учебник для бакалавров. Т. 1: Общая часть. С. 134-188 (Серия «Бакалавр. Углубленный курс»); Интеграционное право в современном мире: сравнительно-правовое исследование:
монография / В. А. Жбанков, П. А. Калиниченко, С. Ю. Кашкин и др.; отв. ред. С. Ю. Кашкин. Москва: Проспект, 2015; Постовалова, Т. А. Право Европейского союза. Краткий курс: учебное пособие. М.: Проспект, 2017 и др. Например, см. ст. 16 Римского договора (бывшая ст. 16 B). СПС «КонсультантПлюс».
Статья 39 Маастрихтского договора (бывшая ст. 25 bis): «Европейский Парламент и Совет, в соответствии с обычной законодательной процедурой, устанавливают правила о защите физических лиц в отношении обработки персональных данных институтами, органами и учреждениями Союза, а также государствами-членами при осуществлении деятельности, которая входит в сферу применения права Союза». См. также «Декларацию в отношении статьи 16 В Договора о функционировании Европейского Союза» (Декларация № 20), и «Декларацию о защите персональных данных в области судебного сотрудничества по уголовным делам и полицейского сотрудничества» (Декларация № 21). СПС «КонсультантПлюс».
Хартия Европейского Союза об основных правах. (Принята в г. Страсбурге 12.12.2007). СПС «КонсультантПлюс».
8
дг
персональных данных должно находиться под контролем независимых органов.
Источники вторичного права Евросоюза охватывают нормативные акты руководящих органов ЕС (Европейского Парламента и/или Совета), принимаемые посредством обычной или особой законодательных процедур в форме директивы, регламента, решения, рекомендации и заключения. В системе источников вторичного права ЕС — регламент, директива, решение, принимаемые посредством законодательной процедуры, являются юридически обязательными законодательными актами ЕС9.
Нормативный акт Европейского Парламента и Совета, принятый в форме регламента, в системе источников вторичного права ЕС находится «на вершине» иерархии системы источников вторичного права ЕС, в силу его общеобязательного действия и непосредственного (прямого) применения для всех государств — членов ЕС, всех органов Евросоюза, а также для лиц (физических и юридических), к которым он может быть применим (ст. 288 Римского договора)10. Ре-гуляторное действие регламента dejure не предполагает принятие имплементирую-щего национального акта, а также исключает действие национальных правовых актов, противоречащих регламенту и его применению. Регламент не только обладает прямым регулятивным действием в рамках национального права государств — членов ЕС, но и имеет «приоритетный эффект» в случаях «конфликта» между национальным правом и регламентом. Регламент непосредственно применяется Судом Евросоюза, решения которого носят прецедентный характер.
Как источник вторичного права ЕС, директива, наряду с регламентом, является
юридически обязательным законодательным актом, принимаемым Европейским Парламентом и Советом. Вместе с тем директива отличается от регламента. Во-первых, адресатами директивы выступают исключительно государства-члены, а не лица (физические и юридические); во-вторых, директива является актом «опосредованного» (не прямого) применения и предполагает ее инкорпорацию в правопорядок государств-членов, реализуемую посредством принятия соответствующего имплементи-рующего национального акта; в-третьих, сами государства-члены самостоятельно определяют органы, способы и формы инкорпорации директивы в национальное право, с соблюдением условий о том, что имплементирующий национальный акт должен коррелировать целям и задачам директивы, а также приниматься в срок, установленный в самой директиве. Такая «двухэтапная» применимость директивы является основным характерным различием между регламентом и директивой11.
К источникам вторичного права ЕС относится решение, являющееся нормативным актом Европейского Парламента и/или Совета Евросоюза индивидуального характера, прямого действия, адресатом которого являются государства-члены и лица. В отличие от регламента, решение принимается в отношении конкретного государства-члена или лица (группы лиц) и, в отличие от директивы, обладает прямым действием в отношении лиц, указанных в нем12.
Принятие в 1995 г. Европейским Парламентом и Советом Директивы № 95/46/ЕС «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» (далее — «Директива
9 Статья 289 (бывшая ст. 249 A) и ст. 294 Римского договора. СПС «КонсультантПлюс».
10 Договор о функционировании Европейского Евросоюза (TreatyontheFunctioningoftheEuropeanUnion, TFEU), Ст. 288: «Регламент имеет общее действие. Он является обязательным в полном объеме и подлежит прямому применению во всех государствах-членах». Официальный Журнал Европейского Союза — OJ С 326, 26.10.2012, Р. 0001-0350.
11 Подробнее об этом см. См. об этом, например, Право ВТО: теория и практика применения: монография / Л. П. Ануфриева, В. А. Жданов, П. А. Калиниченко и др.; под ред. Л. П. Ануфриевой. М.: НОРМА, ИНФРА-М, 2016.
12 См. к примеру, Решение Европейской Комиссии относительно компании GOOGLE (17/06/2017). Режим доступа: http://ec.europaeu/competition/elojade/isef/case_details.cfm?proc_code=1_39740, а также http://europa.eu/ rapid/press-release_IP-17-1784_en.htm (Дата обращения 30.04.2018).
№ 95/46/ ЕС»)13, стало импульсом системного регулирования защиты персональных данных в Евросоюзе и странах — членах ЕС, предопределившим формально-правовые рамки создания единого «союзного» правового режима. В силу своего «опосредованного» применения Директива 95/46/ЕС была по-разному имплементирована в национальное право государств — членов ЕС, что обусловило, во-первых, различия (а порой и противоречия) в национальных законодательных и институциональных способах закрепления порядка регулирования защиты персональных данных, во-вторых, не способствовало единообразию правоприменительной практики как на национальном уровне, так и на уровне Евросоюза14.
Вместе с тем, несмотря на разность национально-правовой имплементации, Директива 95/46/ЕС, несомненно, сыграла гармонизирующую роль в формировании «стандарта защиты данных» в Евросоюзе и в праве государств — членов ЕС. Во многом это было обусловлено тем, что Директива 95/46/ЕС закрепляла право физических лиц на защиту персональных данных в системе основных прав и свобод, реализация которого основывалась на институциональном механизме, предполагающем функционирование соответствующих органов Евросоюза.
Произошедшие за более чем двадцатилетний период действия Директивы 95/46/ ЕС значительные изменения применения интернет-технологий, приведшие к увели-
чению объёма персональных данных, предоставляемых физическими лицами, в т.ч. расширение их трансграничного перемещения/обмена между лицами (юридическими и физическими) в рамках Евросоюза и за его пределами, потребности развития единого цифрового рынка ЕС и т.д.— объективировали необходимость диверсификации правового регулирования в рассматриваемой сфере отношений в Евросоюзе. Такая диверсификация непосредственно связывалась с необходимостью закрепления в Евросоюзе единообразного и транспарентного правового режима защиты персональных данных посредством решения «двуединой задачи». С одной стороны, нивелированием сложившихся различий и противоречий законодательного регулирования и правоприменительной практики защиты персональных данных в национальных правопорядках стран — членов ЕС. С другой стороны, совершенствованием институциональной системы защиты персональных данных, адекватной произошедшим технологическим и социальным изменениям и эффективно функционирующей в рамках всего Евросоюза15.
Законодательный акт, принятый в форме регламента — Регламент (ЕС) 2016/679 «О защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмене Директивы 95/46/ ЕС (Общие положения о защите данных)» — был призван решить обозначенную «двуединую задачу».
II. Замечания относительно действия Общего Регламента GDPR и основополагающих принципов обработки персональных данных в Евросоюзе
Регламент (ЕС) 2016/679 «О защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмене Директивы 95/46/ ЕС (Общие положения о защите дан-
ных)» был официально опубликован 4 мая 2016 г. (далее — «Общий Регламент GDPR» или «GDPR») и 25 мая 2016 г. (т.е. на двадцатый день после его опубликования) он вступил в силу. Как общеобязательный законо-
Директива 95/46/EC Европейского Парламента и Совета от 24 октября 1995 г. «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» (Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data. (Принята в г. Люксембурге 24.10.1995, с изм. и доп. от 29.09.2003 г.). Официальный Журнал Европейского Союза № L 281, 23.11.1995, p. 31.
О практике Суда Евросоюза см., например, Гландин С. В. Европейское право ограничительных мер после первых российских дел в Суде Европейского Союза // Международное правосудие. 2017. № 2. С. 80-93. Финлейнсон-Браун, Д. (Jane Finlayson-Brown), Пеммелаар, В. (Wanne Pemmalaar) Общий Регламент ЕС по защите персональных данных. // Интернет изнутри 2017. № 6 (май). С. 26-30.
дательный акт, в соответствии с действующей процедурой Общий Регламент GDPR с 25 мая 2018 г. начнёт в полном объёме непосредственно применяться в Евросоюзе и в странах — членах ЕС.
В Общем Регламенте GDPR право на защиту физических лиц в отношении обработки их персональных данных, установленное в актах первичного права Евросоюза, нашло отражение, получив своё дальнейшее развитие, и это, в частности, выражается в том, что все физические лица в Евросоюзе, независимо от их гражданства или места жительства, обладают правом на защиту своих персональных данных; физическим лицам предоставлено право осуществления широких мер контроля за обработкой их персональных данных хозяйствующими субъектами и органами государственной власти, включая самостоятельные надзорные органы.
Приятие нормативного акта в форме регламента в сфере защиты персональных данных в Евросоюзе, включая порядок их свободного трансграничного перемещения, диверсифицирует нормативно-правовое регулирование, поднимая его на принципиально новый уровень, и — в ряду причин — отметим следующие.
1. Общий Регламент GDPR закрепляет общий правовой режим в рассматриваемой сфере отношений в Евросоюзе и странах — членах ЕС, обеспечивая единообразие их регулирования. При этом, несмотря на то, что Общий Регламент GDPR отменяет Директиву 95/46/ЕС, ее основные цели и задачи остаются неизменными. Это свидетельствует о преемствен-
ности правового регулирования защиты фундаментальных прав и свобод физических лиц в отношении обработки персональных данных в Евросоюзе, включая контекст «acquisdel'union»16 и defacto «подтверждает достижения» более чем двадцатилетнего опыта применения Директивы 95/46/ЕС.
2. Общность правового режима регулирования отношений в рассматриваемой сфере в Евросоюзе и странах — членах ЕС обеспечивается закреплением в Общем Регламенте GDPR единых принципов, сообразно которым должны быть адаптированы все общеевропейские и национальные правовые акты, применимые к защите персональных данных при их обработке.
3. Все «общесоюзные» правовые акты ЕС, связанные с защитой персональных данных, должны соответствовать закреплённым принципам и нормам Общего Регламента GDPR и применяться в соответствии с ними. В частности, речь идёт о Регламенте (ЕС) №45/2001 Европейского Парламента и Совета от 18 декабря 2000 о защите лиц в отношении обработки персональных данных учреждениями и организациями Сообщества и о свободном перемещении таких дан-ных17, Директиве 2000/31/ЕС Европейского Парламента и Совета ЕС от 8 июня 2000 г. о некоторых правовых аспектах информационных услуг на внутреннем рынке, об электронной коммерции («Директива об электронной коммерции».)18, а также упомянутой ранее Директиве (ЕС) 2016/680 «О защите физических лиц в отношении обработки персональных
См., например, EU-Lex. Режим доступа: http://eur-lex.europa.eu/summary/glossary/acquis.html?locale=fr (Дата
обращения 30.04.2018), а также Кашкин, С. Ю. Лиссабонский Договор — новый этап развития права Европейского Союза. // Право в современном мире. Журнал Высшей школы экономики. 2010. № 1. С. 69-72. С. 72 Регламент (ЕС) № 45/2001 Европейского Парламента и Совета от 18 декабря 2000 о защите лиц в отношении обработки персональных данных учреждениями и организациями Сообщества и о свободном перемещении таких данных. (ОфициальныйЖурналЕвропейскогоСоюза№ L 8, 12.1.2001, С. 1.). Regulation (EC) No 45/2001 of the European Parliament and of the Council of 18 December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data. ОфициальныйЖурналЕвропейскогоСоюза № L 8, 12.1.2001
Directive 2000/31/EC of the European Parliament and of the Council of 8 June 2000 on certain legal aspects of information society services, in particular electronic commerce, in the Internal Market («Directive on electronic commerce»).ОфициальныйЖурналЕвропейскогоСок>за. № L 178, 17.7.2000.
16
18
данных компетентными органами в целях предотвращения, расследования, обнаружения или преследования уголовных наказаний и о свободном перемещении таких данных и отмене Рамочного Решения Совета ЕС 2008/977/ 1НА»19.
4. Общий Регламент GDPR определяющим образом влияет на дальнейшие перспективы унификации национально-правового регулирования стран — членов ЕС в сфере защиты прав физических лиц в отношении обработки персональных данных. Это вытекает из самой правовой природы регламента, как общеобязательного акта прямого/непосредственного исполнения, не предполагающего принятия имплементирующих национальных актов, равно как и исключающего действие национальных правовых актов, противоречащих регламенту и его применению. Обладая «приоритетным эффектом» в случаях «конфликта» с национальным правом, Общий Регламент GDPR способствует устранению сложившихся различий и противоречий в законодательных и институциональных способах регулирования порядка обработки, использования, защиты персональных данных в праве стран — членов ЕС, включая их свободное трансграничное перемещение и обмен.
5. Правовой режим защиты прав физических лиц в отношении обработки персональных данных, предусмотренный Общим Регламентом GDPR, обеспечивает «правовую определённость» и транспарентность деятельности хозяйствующих субъектов в отношении предоставления физическим лицам в Евросоюзе и во всех государствах — членах ЕС единообразного и равнозначного уровня защиты персональных данных «независимо от их гражданства или места жительства».
6. Общий Регламент GDPR устанавливает равнозначные и единообразные меры ответственности за нарушения обработки персональных данных физических лиц в Евросоюзе. В силу своей непосредственной применимости GDPR гармонизирует деятельность лиц, связанных с обработкой и защитой персональных данных, и способствует единообразию правоприменительной практики национальных органов (надзорных, судебных и т.п.), а также учреждений и органов Евросоюза, включая Суд Евросоюза.
Общий Регламент GDPR с 25 мая 2018 г. будет в полном объёме и непосредственно применяться в национальных правопоряд-ках государств — членов Евросоюза, включая правоприменительные органы; Судом Евросоюза, и обладать «приоритетным эффектом» действия в случаях «конфликта» национального права и GDPR.
Прежде всего, следует обратить внимание на территориальное и юрисдикцион-ное действие Общего Регламента GDPR: при ограничении территориального применения Общего Регламента GDPR пределами Евросоюза и государствами — членами ЕС, логика «расширения» его юрисдикции диктуется необходимостью обеспечения защиты прав физических лиц при обработке их персональных данных в Евросоюзе.
Общий Регламент GDPR предусматривает, что физические лица имеют право на защиту при обработке их персональных данных в Евросоюзе не только независимо от их гражданства или места жительства, но и независимо от того, осуществляется ли собственно сама обработка персональных данных на территории Евросоюза или нет. (Преамбула (22), ст. 3 GDPR).
Таким образом, если лица, не учреждённые в Евросоюзе и находящиеся вне его пределов, обрабатывают персональные данные
19 Directive 2016/680of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/(НА.0фициальный Журнал Европейского Союза. Режим доступа: http://data.europa.eu/eli/dir/2016/680/oj (Дата обращения 30.04.2018).
дг
субъектов данных в Евросоюзе, юрисдикция Общего Регламента GDRP распространяется на таких лиц. Персональные данные субъектов данных в Евросоюзе могут обрабатывать лица, которые, во-первых, предлагают товары или услуги субъектам данных в Евросою -зе, независимо от того связано это с оплатой товаров или услуг или нет; во-вторых, лица, осуществляющие мониторинг действий/ поведения субъектов данных в Евросоюзе постольку, поскольку их действия совершаются на территории Евросоюза.
Согласно Общему Регламенту GDPR, к признакам, подтверждающим намерение лиц, не учреждённых в Евросоюзе и находящихся вне его пределов, предлагать товары или услуги субъектам данных в Евросоюзе, отнесены: использование языка или валюты, обычно применяемых в одной или нескольких странах — членах ЕС; возможность заказать товары и услуги на этом языке в зоне национальных доменов стран — членов ЕС (например, «/г», «.Ьд», «.//», «.дг» и т.д.) и в зоне домена верхнего уровня Евросоюза («.ей»); упоминание потребителей/пользователей, которые находятся в Евросоюзе.
Мониторинг действий/поведения субъектов данных в Евросоюзе, в смысле Общего Регламента GDPR, выражается в контроле действий субъекта данных в Евросоюзе включая составление профиля физического лица, в частности, для принятия решений относительно анализа либо прогнозирования ее/его личных предпочтений, особенностей поведения, а также личностных характеристик. При этом для определения такой деятельности по обработке данных для целей мониторинга действий субъекта данных следует установить, осуществляют ли физические лица деятельность в Интернете, в том числе потенциальную возможность последовательного использования технологии обработки персональных данных, посредством которых осуществляется составление профиля физического лица, в частности, для принятия решений отно-
сительно анализа либо прогнозирования ее/его личных предпочтений, особенностей поведения, а также личностных характеристик (Преамбула (23) и (24), ст.ст. 3 (b), 27 (3) Регламента GDPR)20.
Соответственно в «практическом плане» Общий Регламент GDPR после 25 мая 2018 г. будет применим к целому ряду иностранных компаний, не учреждённых в Евросоюзе и находящихся вне его территориальных пределов, но обрабатывающих персональные данные физических лиц в Евросоюзе. Так, Общий Регламент GDRP будет распространяться не только на филиалы и представительства российских организаций, действующие на территории стран — членов ЕС, но и, к примеру, на российские компании, предлагающие товары и услуги для пользователей в Евросоюзе в онлайн- режиме с использованием языка или валюты одной или нескольких стран — членов ЕС, если у физических лиц в Евросоюзе будет возможность заказать товары и услуги на этом языке в зоне национальных доменов верхнего уровня Евросоюза и стран — членов ЕС.
Несомненно, значимым является закрепление в Общем Регламенте GDRP основополагающих принципов обработки персональных данных в Евросоюзе (п. 1 ст. 5 GDRP), включая их содержательное определение. К числу шести основополагающих принципов обработки персональных данных отнесены:
• правомерность, справедливость и открытость/транспарентность (lawfulness, fairness and transparency), т.е. персональные данные должны обрабатываться на законных основаниях, справедливым и открытым образом в отношении субъекта данных;
• целевое ограничение обработки персональных данных (purpose limitation), т.е. сбор и обработка персональных данных должны осуществляться для конкретных, ясных, законных целей и без их дальнейшей обработки способами, несовместимыми с этими целями;
20 Преамбула (24) Общего Регламента GDPR. Официальный Журнал Европейского Союза 119, 04.05.2016, С. 1-88.
• минимизация данных (data minimisation), т.е. достоверность персональных данных и их соответствие целям, для которых они обрабатываются;
• точность персональных данных (accuracy), т.е. персональные данные должны быть точными, своевременно обновляемыми, удаляемыми, исправляемыми с учетом целей, для которых они были обработаны;
• ограничение хранения персональных данных (storage limitation), т.е. персональные данные должны храниться в форме, позволяющей идентифицировать субъектов данных, в течение срока, необходимого для целей, для которых персональные данные обработаны;
• целостность и конфиденциальность персональных данных (integrity and confidentiality), т.е. обработка персональных данных должна осуществляться способом, обеспечивающим их безопасность, включая защиту от несанкционированной или незаконной обработки, а также от случайной потери, повреждения или уничтожения, с использованием соответствующих технических и организационных мер.
В контексте перечисленных общих принципов обработки персональных данных в Евросоюзе представляется важным обратить внимание на норму, предусматривающую подотчётность и ответственность контроллера (Controller Accountability) за соблюдение принципов, на которого возложены обязательства по предоставлению соответствующего подтверждения (п. 2 ст. 5 GDRP). Значение данной нормы определяется следующим.
Общий Регламент GDRP к кругу ключевых лиц в сфере обработки персональных данных относит: контроллера (Controller), обработчика (Processor) и субъекта персональных данных (т.е. физическое лицо в Евросоюзе, независимо от его гражданства и места жительства). Контроллер — физическое или юридическое лицо, государственный орган, агентство или иной орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных. Обработчик — физическое или юридическое лицо, государственный орган, агентство или иной орган, который обрабатывает персональные данные от имени и по поручению контроллера (п. 7 ст. 4 GDRP). Соответственно Общий Регламент GDRP «персонифицирует» контроллера в качестве подотчётного и ответственного лица за соблюдение основополагающих принципов обработки персональных данных в Евросоюзе.
Общий Регламент GDPR представляет собой достаточно объёмный документ (его нормативные положения закреплены в 173 пунктах Преамбулы и 99 статьях), соответственно, в формате статьи возможно было обратиться лишь к некоторым положениям, имеющим принципиальное значение и аргументирующим основной тезис о новейшем этапе правового регулирования отношений защиты и обработки персональных данных в Евросоюзе и странах — членах ЕС и о том, что действие GDPR решающим образом обусловит дальнейшую эволюцию и логику перспектив правового регулирования в рассматриваемой сфере отношений в правопорядках многих государств, не входящих в ЕС.
Библиографический список
1. Регламент (ЕС) 2016/679 «О защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмене Директивы 95/46/ ЕС (Общие положения о защите данных)».—Официальный Журнал Европейского Союза — № L 119.— 04.05.2016.— р. 1-88.
2. Директива (ЕС) 2016/680 «О защите физических лиц в отношении обработки персональных данных компетентными органами в целях предотвращения, расследования, обнаружения или преследования уголовных наказаний и о свободном перемещении таких данных и отмене Рамочного Решения Совета ЕС 2008/977/ JHA».— Официальный
Журнал Европейского Союза. Режим доступа: http://data.europa.eu/eli/dir/2016/680/oj. (Дата обращения 30.04.2018).
3. Договор о функционировании Европейского Евросоюза (Treaty on the Functioning of the European Union, TFEU). СПС «КонсультантПлюс».
4. Договор о Европейском Союзе. (Подписан в г. Маастрихте 07.02.1992 г., с изм. и доп. от 13.12.2007). СПС «КонсультантПлюс».
5. Декларация в отношении статьи 16 В Договора о функционировании Европейского Союза. (Декларация № 20). СПС «КонсультантПлюс».
6. Декларация о защите персональных данных в области судебного сотрудничества по уголовным делам и полицейского сотрудничества. (Декларация № 21). СПС «Консультант Плюс».
7. Хартия Европейского Союза об основных правах. (Принята в г. Страсбурге 12.12.2007). СПС «КонсультантПлюс».
8. Директива 95/46/EC Европейского Парламента и Совета от24 октября 1995 г. «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» (Принята в г. Люксембурге 24.10.1995, с изм. и доп. от 29.09.2003 г.).— Официальный Журнал Европейского Союза.—№ L 281.— 23.11.1995.— p. 31.
9. Регламент (ЕС) № 45/2001 Европейского Парламента и Совета от 18 декабря 2000 о защите лиц в отношении обработки персональных данных учреждениями и организациями Сообщества и о свободном перемещении таких данных.— Официальный Журнал Европейского Союза.—№ L 8.— 12.1.2001.
10. Директива 2000/31 / EC Европейского парламента и Совета от 8 июня 2000 г. о некоторых правовых аспектах услуг информационного общества, в частности электронной коммерции, на внутреннем рынке («Директива об электронной торговле).— Официальный Журнал Европейского Союза.—№ L 178, 17.7.2000.
11. Европейское право: Учебник для вузов / Под ред. Л. М. Энтина. 2-е изд., пересмотр. и доп. М.: Норма.— 2005.— С. 100-102.
12. Интеграционное право в современном мире: сравнительно-правовое исследование: монография / В. А. Жбанков, П. А. Калиниченко, С. Ю. Кашкин и др.; отв. ред. С. Ю. Кашкин. Москва: Проспект.— 2015.
13. Кашкин, С.Ю.Введение в право Европейского Союза: Учебник / С.Ю.Кашкин, П.А.Калини-ченко, А. О. Четвериков; под ред. С. Ю. Кашкина. 2-е изд., испр. и доп. М.: Эксмо.— 2008.— С. 79.
14. Кашкин, С. Ю. Лиссабонский Договор — новый этап развития права Европейского Союза. // Право в современном мире. Журнал Высшей школы экономики.— 2010.— № 1.— С. 69-72. С. 72
15. Право Европейского союза: В 2 т.: Учебник для бакалавров. (Серия «Бакалавр. Углубленный курс»).— Т. 1: Общая часть.— С. 134-188.
16. Постовалова, Т.А. Право Европейского Союза. Краткий курс: учебное пособие. М.: Проспект.— 2017.
17. Право ВТО: теория и практика применения: монография / Л. П. Ануфриева, В. А. Жданов, П. А. Калиниченко и др.; под ред. Л. П. Ануфриевой. — М.: НОРМА, ИНФРА-М.— 2016.
18. Решение Европейской Комиссии относительно компании GOOGLE (17/06/2017). Режим доступа: http://ec.europaeu/competition/elojade/isef/case_details.cfm?proc_code=1_39740 (Дата обращения 30.04.2018).
19. О практике Суда Евросоюза см., например, Гландин, С. В. Европейское право ограничительных мер после первых российских дел в Суде Европейского Союза // Международное правосудие.— 2017.— № 2.— С. 80-93.
20. Финлейнсон-Браун, Д. (Jane Finlayson-Brown), Пеммелаар, В. (Wanne Pemmalaar) Общий Регламент ЕС по защите персональных данных. // Интернет изнутри.— 2017.— №6 май.— С. 26-30.
