УДК 341.1/8 Марк ЭНТИН Дмитрий ГАЛУШКО
О ПРАВОВЫХ ПОСЛЕДСТВИЯХ БРЕКЗИТА (на примере защиты персональных данных)
Статья поступила в редакцию 02.06.2021
Аннотация. В статье рассмотрены правовые последствия выхода Британии из ЕС. В качестве примера для анализа выбрана сфера защиты персональных данных. Цель статьи заключается в исследовании и анализе правовых аспектов прекращения членства Британии в ЕС, его влияния на трансграничную передачу персональных данных между сторонами, а также развитие нормативно-правовой регламентации. Обосновано, что, несмотря на подписание Договора о выходе, а также Соглашения о торговле и сотрудничестве, наблюдается усложнение правового регулирования, а также возникновение потенциальных противоречий и угроз для заинтересованных сторон. Сфера защиты персональных данных наглядно демонстрирует, что помимо стремления к суверенизации правового регулирования со стороны Британии ее правовая система остается зависимой от правопорядка ЕС. Британское национальное регулирование в отношении персональных данных будет находиться под постоянным мониторингом со стороны компетентных органов ЕС, что косвенно подтверждает недостижимость целей по полному возврату суверенных полномочий Британии. Сделан вывод, что Суд ЕС продолжает сохранять свою юрисдикцию в отношении Соединенного Королевства, в частности, в связи с принятием собственной практики по вопросам, связанным с защитой персональных данных.
Ключевые слова: Европейский союз, Британия, брекзит, персональные данные, взаимодействие, торговля, сотрудничество.
Официально Британия вышла из Евросоюза 31 января 2020 г. Этому предшествовал многолетний сложный и противоречивый политико-юридический процесс определения процедуры и параметров реализации результатов волеизъявления граждан Британии по вопросу прекращения членства в ЕС. Условия выхода изложены в Договоре о выходе Соединенного Королевства Великобритании и Северной Ирландии из Европейского союза и Европейского сообщества по атомной
© Энтин Марк Львович - д.ю.н., заведующий кафедрой европейского права МГИМО МИД России, ведущий научный сотрудник РИСИ, председатель правления АЕВИС. Адрес: 119454, Россия, Москва, пр. Вернадского, 76. E-mail: [email protected] © Галушко Дмитрий Вячеславович - к.ю.н., доцент Департамента правового регулирования экономической деятельности, Финансовый университет при Правительстве Российской Федерации (Финуниверситет). Адрес: 125993, Россия, Москва, Ленинградский проспект, 49. E-mail: [email protected] DOI: http://dx.doi.org/10.15211/soveurope520214555
энергии1. Несмотря на брекзит, EC, как Единый рынок, является крупнейшим торговым партнером Британии. В 2019 г. на долю ЕС приходилось 47% от общего объема торговли Британии: 43% экспорта и 52% импорта [Statistics, 2020].
Логика развертывания экономических процессов в такой ситуации свидетельствует, что брекзит будет иметь различные последствия для обеих сторон, поскольку торговля и связанные с нею процессы между Британией и двадцатью семью странами ЕС больше не будут такими же беспроблемными, как до сих пор. Размер этих экономических потерь трудно определить, но они, вероятно, будут существенными, поскольку в настоящее время взаимная торговля включает в себя 306 млрд евро экспорта товаров из ЕС в Британию против 184 млрд долларов импорта. С точки зрения процентной доли ВВП, экспорт из ЕС в Британию составляет 2,5% его ВВП, тогда как экспорт Британии в 27 государств-членов составляет 7,5% ее ВВП [См.: Emerson et al., 2017]. В плане услуг суммы также являются существенными: 94 млрд евро составляет экспорт из ЕС в Британию против 122 млрд долларов импорта, что для Британии - из-за преобладания сектора услуг в ее экономике - является особенно важным [Ананьева, 2020].
В любом случае, международные торгово-экономические процессы в условиях современной цифровизации самым непосредственным образом связаны со сферой трансграничной передачи персональных данных (далее - п/д) и их защиты, так как современные общественные отношения характеризуются широким использованием п/д при обращении и обработке информации (социального, финансового, научно-технического и другого характера), товаров, услуг и капитала, требующих не только свободного движения информации, но и гарантирования ее легитимного и безопасного обращения и обработки в соответствии с основными правами и свободами человека. Защита п/д становится важным направлением развития международной и государственной политики.
Вопрос защиты персональных данных в процессе брекзита
Вопрос защиты п/д занимал одно из центральных мест на протяжении всего процесса брекзита. Законодательство о защите данных ЕС предусматривает беспрепятственный поток п/д в Европейском экономическом пространстве (далее -ЕЭП), в которое входят государства ЕС, Норвегия, Исландия и Лихтенштейн. Передача п/д в третьи страны, наоборот, разрешена только в ограниченных случаях. Это связано с тем, что данный вопрос выступает в качестве элемента цифрового суверенитета ЕС.
Отставание ЕС от США и Китая по отдельным направлениям развития информационно-коммуникационных технологий, обеспокоенность монополией технологических гигантов и вопросами обеспечения безопасности закономерно привели к повышению внимания к проблеме утверждения собственного «цифрово-го»/«технологического» суверенитета [Gueham, 2017]. На такую необходимость отдельно указала председатель Еврокомиссии (ЕК) Урсула фон дер Ляйен2. О необ-
1 Agreement of the withdrawal of the United Kingdom of Great Britain and Northern Ireland from the European Union and the European Atomic Energy Community. OJ, L 29, 31.01.2020, pp. 7-18.
2 Political Guidelines for the next European Commission 2019-2024. URL: https://goo.su/7Rew (дата обращения: 20.05.2021)
Современная Европа, 2021, № 5
ходимости «установления цифрового суверенитета как лейтмотива европейской цифровой политики» также высказывалась и германская сторона в своей программе председательства в Совете ЕС [Хасанова, 2021]. Все чаще звучат призывы построить европейскую облачную и информационную инфраструктуру для укрепления европейского цифрового суверенитета и решения проблемы того, что сегодня на рынке облачных и информационных технологий почти исключительно доминируют неевропейские поставщики - с потенциально пагубными последствиями для безопасности и прав граждан ЕС [Мартиросян, 2021].
Вопрос защиты п/д в ЕС зачастую рассматривается в контексте защиты основных прав человека [Бирюков, 2015]. Защита п/д является одним из основных прав, гарантированных статьей 8 Хартии основных прав ЕС1. Эта защита, предоставляемая данным европейских граждан, распространяется за пределы границ Союза, особенно когда данные передаются за рубежи европейской территории. Более конкретно, передача п/д за пределы ЕС разрешается только в том случае, если страна, получающая эти данные, считается с точки зрения ЕС «адекватной». Поэтому такое государство должно предоставить гарантии, эквивалентные предоставляемым правом ЕС.
До и после референдума 2016 г. оживленно обсуждались преимущества и недостатки выхода Британии из ЕС [МотЫ^, 2015]. Однако сфера передачи п/д между двумя сторонами однозначно указывает на глубоко переплетенную архитектуру торгово-экономических отношений, а также других форм сотрудничества, которые серьезным образом зависят от обмена п/д, и которым будет нанесен урон в случае внезапного препятствия такому трансграничному обмену2. Именно поэтому «защита данных потенциально может оказаться среди проблем, которые мешают успешному брекзиту» Ре Ней, Рарако^1ап1тои, 2017].
Право ЕС о защите персональных данных
Развитие права ЕС о п/д происходило практически синхронно с процессом брекзита. Действовавшая ранее Директива 95/46/ЕС Европейского парламента (далее - ЕП) и Совета «О защите физических лиц при обработке п/д и о свободном перемещении таких данных» уже не могла справляться с новыми вызовами, возникшими вместе с динамичным развитием новой технологической индустрии. П/д субъектов использовались не только для нужд бизнеса. Все больше и больше процессов по обработке данных и соответствующих неопределенностей возникало в различных сферах, в том числе в сфере социальных медиа, что и повлекло неизбежное создание нового подхода к защите п/д. Все страны ЕС и ЕЭП имплементировали Директиву 1995 г. в свое национальное законодательство, но со значительной разницей в предмете регулирования. Это привело ко многим трудностям как для растущего количества международных технологических процессов, так и для регуляторов, которые должны были осуществлять защиту на едином европейском уровне.
1 Charter of Fundamental Rights of the European Union // OJ C 326, 26.10.2012, рp. 391-407.
2 UK Department for Digital, Culture, Media and Sport, 'Explanatory Framework for Adequacy Discussions -Section A: Covering Note', 13 March 2020. URL: https://goo.su/7REw (дата обращения: 20.05.2021)
Современная Европа, 2021, № 5
4 ноября 2010 г. ЕК опубликовала стратегию усиления процесса защиты данных на европейском уровне1. В 2012 г. ЕК подтвердила комплексный план реформ, в том числе необходимость замены Директивы на Регламент ЕС, который будет устанавливать единые требования во всем ЕС2. В 2016 г. был принят Общий регламент по защите данных (General Data Protection Regulation — GDPR) (далее — ОРЗД) - первый правовой инструмент ЕС, регулирующий защиту и свободный поток п/д, который прямо применим во всех государствах ЕС.
ОРЗД имеет целью защиту регулирования о п/д, которое изложено в Хартии ЕС и Договоре о функционировании ЕС, а его материальная сфера действия касается обработки п/д за исключением обработки данных институтами ЕС. Следует отметить, что некоторые принципы ОРЗД были детально разработаны и усовершенствованы на основании судебной практики Суда ЕС3.
Применение ОРЗД имеет несколько обоснованных исключений: процедуры уголовного преследования; положения относительно безопасности по Договору о функционировании ЕС; сфера обработки п/д, которая выходит за пределы права ЕС; и обработка п/д физических лиц для исключительно частных целей («обработка для частного назначения») [Voigt, Von dem Bussche, 2017].
Принципы ОРЗД предусматривают, что персональные данные:
- обрабатываются законно, справедливо и прозрачно;
- собираются для определенных, явных и законных целей;
- должны быть адекватными, соответствующими (цели обработки) и ограничиваться исключительно теми целями, для достижения которых они обрабатываются;
- обрабатываются точно;
- сохраняются в форме, которая позволяет идентифицировать субъекта данных не дольше, чем это необходимо для целей обработки;
- обрабатываются таким образом, что обеспечивается надлежащая безопасность персональных данных.
Глава V ОРЗД позволяет передачу данных из ЕС в третьи страны. Согласно ст. 45 (1) ОРЗД, при наличии решения ЕК об адекватности, соответствующего специальным требованиям4, допускается беспрепятственная передача данных из ЕС в третье государство в течение четырех лет после его принятия и/или успешного пересмотра или если оно не обжаловано в Суде ЕС (например, решение по делу Privacy Shield5).
На практике, ЕК присуждает решение об адекватности на основании заключения, выданного Европейским советом по защите данных (далее — ЕСЗД) в соответствии со Статьей 70(1)(s) ОРЗД и Статьями 2 и 12 Правил Процедуры
1 European Commission sets out strategy to strengthen EU data protection rules. URL: https://goo.su/7rex (дата обращения: 20.05.2021)
2 Commission proposes a comprehensive reform of data protection rules to increase users' control of their data and to cut costs for businesses. URL: https://goo.su/7rEX (дата обращения: 20.05.2021)
3 Например, решение Суда ЕС по делу Schrems квалифицирует оценку решений об адекватности (решение об адекватности "Safe Harbour" США и "Privacy Shield" США) и защищенную передачу данных с определенными в них третьими странами.
4 Working document on Adequacy Referential (wp254rev.01). URL: https://goo.su/7REX (дата обращения: 20.05.2021)
5 Case C311/18 Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems. URL:https://goo.su/7rEO (дата обращения: 20.05.2021)
Современная Европа, 2021, № 5
ЕСЗД1. Ранее эту функцию по статье 29 выполняла Рабочая группа, которая всего подготовила двенадцать решений об адекватности. В специальном документе изначально были определены шаги, которые следует предпринять стране-заявителю, чтобы получить решение об адекватности со стороны ЕС . Так, среди прочего, принимаются во внимание следующие обстоятельства:
- надлежащий правовой режим защиты данных и верховенство права в широком смысле (включая прочие международные обязательства, например, в рамках ЕЭЗ);
- доступ субъекта данных к эффективному правоприменению и судебной защите;
- независимый и эффективный контролирующий орган;
- судебную практику Суда ЕС и Европейского суда по правам человека по вопросам, связанным с конфиденциальностью;
- соответствие руководству 29WP и ЕСЗД;
- последние и будущие изменения в ОРЗД (например, решение в отношении Privacy Shield было принято с учетом вступления ОРЗД в силу).
Приоритетным фактором провозглашается участие ЕС в диалоге и при необходимости - в ведении переговоров с третьими странами, в том числе со стратегическими партнерами и странами Европейской политики соседства и с международными организациями (такими как Совет Европы, ОЭСР, ООН), с целью продвигать высокие совместимые стандарты защиты данных во всем мире [Шадрин, 2019: 70].
Право Британии о защите персональных данных
Когда ОРЗД вступил в силу 23 мая 2018 г., в Британии был принят Акт о защите данных 2018 г., ставший единым национальным кодифицированным законом о защите данных и заменивший предыдущий Акт о защите данных 1998 г.3 Данный Акт, во-первых, дополнил ОРЗД в тех областях, в которых регулирование ЕС позволяло государствам-членам принимать дополнительные нормативные предписания, например, об условиях обработки особых категорий данных (статья 9 ОРЗД) или об отступлениях от прав субъектов данных (статья 23 ОРЗД). Во-вторых, он применял ограниченный набор норм ОРЗД к редким случаям обработки данных, выходящей за его рамки, например, к государственным органам, обрабатывающим личные данные в незарегистрированных документах, или к органам, кроме правоохранительных или разведывательных, обрабатывающих данные в целях национальной безопасности или обороны. В-третьих, Акт 1998 г. имплементировал Директиву ЕС 2016/680, регулирующую обработку п/д правоохранительными органами4. В-
1 European Data Protection Board Rules of Procedure. URL: https://goo.su/7REO (дата обращения: 20.05.2021)
2 Working Document "Transfers of personal data to third countries: Applying Articles 25 and 26 of the EU data protection directive". URL: https://goo.su/7rEp (дата обращения: 20.05.2021)
3 Data Protection Act 1998. URL: https://goo.su/7ReP (дата обращения 20.05.2021)
4 Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA // OJ L 119, 4.5.2016, pp. 89-131.
Современная Европа, 2021, № 5
четвертых, он создал правовую основу для защиты п/д, обрабатываемых спецслужбами.
Указанный правовой режим существовал до 31 января 2020 г. — «дня выхода», как он определён в п. 1 ст. 20 Акта о Европейском союзе (о выходе) 2018 г.1 В конце переходного периода законодательство ЕС, действовавшее на 31 декабря 2020 г., в том числе ОРЗД и решения ЕК об адекватности, были включены в законодательство Британии в качестве «сохраненного права ЕС»2. Британский парламент пояснил, что «Акт 2018 г. и ОРЗД применяют практически одни и те же стандарты для обработки большей части данных в Королевстве и являются достаточными для того, чтобы создать четкий и согласованный режим защиты»3. Тем самым, хозяйствующие субъекты Британии были обязаны соблюдать как ОРЗД, так и Акт 2018 г. во время переходного периода, а по его завершении - выполнять требования законодательства Британии.
В октябре 2018 г. британский регулятор опубликовал свое первое уведомление о принудительном исполнении согласно разделу 149 Акта 2018 г. в отношении компании AggregateIQ Services Ltd4. В 2019 г. было опубликовано уведомление о намерении оштрафовать сеть отелей Marriott на 18,4 млн фунтов в связи с утечкой данных5. Первый штраф в 275 тыс. фунтов был наложен 20 декабря 2019 г. на фармацевтическую компанию Doorstep Dispensaree Ltd6.
Изменения были направлены на национальную суверенизацию правовой регламентации рассматриваемой сферы. Акт о защите данных 2018 г. временно разрешал передачу данных в страны, которые получили решения об адекватности от ЕК до дня выхода из ЕС, наряду со странами ЕС и государствами, входящими в ЕЭП, до тех пор пока норма не будет отменена соответствующим компетентным национальным министром. При этом, с одной стороны, Акт 2018 г. сделал британскую систему защиты данных более согласованной, с другой - британские и европейские хозяйствующие субъекты с высокой долей вероятности с момента окончания переходного периода должны были соблюдать требования двух разных правовых систем, что вынуждает хозяйствующих субъектов, обращающихся к субъектам данных, проживающим в другой юрисдикции, применять оба режима, возможно уже не согласованных друг с другом [Manancourt, 2020]. В целом, учитывая, что 52% компаний в Британии стандартам ОРЗД не соответствуют7, можно предположить, что количество компаний, которые не будут соответствовать нормативным предписаниям уже двух юрисдикций, только увеличится.
Опасения и риск Евросоюза
1 European Union (Withdrawal) Act 2018. URL: https://goo.su/7REp (дата обращения: 20.05.2021)
2 Там же.
3 Data Protection Bill Explanatory Notes. URL: https://goo.su/7req (дата обращения: 20.05.2021)
4 Enforcement Notice. URL: https://goo.su/7Req (дата обращения: 20.05.2021)
5 ICO fines Marriott International Inc £18.4million for failing to keep customers 'personal data secure. URL: https://goo.su/7REq (дата обращения: 20.05.2021)
6 Doorstop Dispensaree Ltd monetary penalty notice. URL: https://goo.su/7rER (дата обращения: 20.05.2021)
7 GDPR compliance: where are we now. URL: https://goo.su/7ReR (дата обращения: 20.05.2021)
Современная Европа, 2021, № 5
Сразу после дня выхода стороны начали переговоры по вопросу заключения соглашения, которое бы уладило все формальности в рамках брекзита и очертило параметры будущих торгово-экономических отношений. ЕП обозначил три основных риска для ЕС в отношении трансграничной передачи п/д из ЕС в Британию1.
Прежде всего, это проблема защиты п/д в иммиграционной сфере королевства. Британское законодательство предусматривает, что права субъекта данных на получение информации, доступ, удаление, ограничение обработки могут быть лимитированы там, где они могут повлиять на «поддержание эффективного иммиграционного контроля» и проведение связанных с этим расследований. Данные категории можно толковать широко, что может привести к несоответствию правоприменительной практики Британии требованиям законодательства ЕС в отношении граждан, не являющихся британскими подданными.
Кроме того, была обозначена проблема совместимости режимов хранения данных Британии с правом ЕС, что особенно важно в контексте практики Суда ЕС и Европейского суда по правам человека. Так, Суд ЕС в своем решении по делу Privacy International проанализировал систему хранения большого количества данных, созданную в соответствии с законодательством Британии о национальной безопас-ности2. Хотя национальная безопасность является областью, выходящей за рамки действия законодательства ЕС, национальный закон, поскольку он отступает от принципа конфиденциальности электронных сообщений, установленного соответствующей Директивой ЕС3, не позволяет вводить режим общего и неизбирательного хранения, передачи и доступа к метаданным в целях национальной безопасности. Тем самым Суд в очередной раз подтвердил, что только система целевого хранения данных может быть оправданным ограничением основных прав ЕС. Схожим образом Европейский суд по правам человека в решении по делу Big Brother Watch v UK установил, что отсутствие правового надзора и несоразмерная широта охвата британского режима хранения данных представляет собой нарушение статьи 8 ЕКПЧ, закрепляющей право на защиту личной и семейной жизни4.
В дополнение к этому ЕП указал на проблему массового слежения5 и взаимоотношений с США в контексте практики Суда ЕС, который признал недействительными решения ЕК, декларирующие адекватность режимов Safe Harbor и Privacy Shield, позволявших передавать персональные данные из ЕС в США. Также это
1 European Parliament resolution of 12 February 2020 on the proposed mandate for negotiations for a new partnership with the United Kingdom of Great Britain and Northern Ireland (2020/2557(RSP)). URL: https://goo.su/7REr (дата обращения: 20.05.2021)
2 Judgment of the Court (Grand Chamber) of 6 October 2020 Privacy International v Secretary of State for Foreign and Commonwealth Affairs and Others // Case C-623/17. URL: https://goo.su/7reS (дата обращения: 20.05.2021)
3 Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector // OJ L 201, 31.7.2002, p. 37-47. URL: https://goo.su/7rES (дата обращения: 20.05.2021)
4 Big Brother Watch and Others v United Kingdom [2018] ECtHR (Applications nos. 58170/13, 62322/14. URL: https://goo.su/7ReS (дата обращения: 20.05.2021)
5 См.: решения Суда ЕС по делам Schrems (Judgment of the Court (Grand Chamber) of 16 July 2020 Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems // C-311/18. URL: https://goo.su/7RES (дата обращения: 20.05.2021)
Современная Европа, 2021, № 5
стоит принимать во внимание в свете участия Британии в механизме Five Eyes — партнерстве по обмену разведданными, в которое также входят США, Канада, Австралия и Новая Зеландия [Mildebrath, 2021]1.
Соглашение о торговле и сотрудничестве и защита персональных данных
Соглашение о торговле и сотрудничестве между ЕС и Британией во многом установило правовые рамки будущей архитектуры взаимоотношений сторон как в торгово-экономической, так и в иных областях [Бабынина, 2021]. Британия ратифицировала данное Соглашение практически сразу путем принятия Акта о ЕС (будущих отношениях) 2020 г.2 В ЕС ратификация растянулась вплоть до 29 апреля 2021 г., когда Совет ЕС после получения согласия ЕП от 27 апреля3 принял решение о ратификации4. До того момента предыдущее правовое регулирование ЕС применялось в отношении Соединенного Королевства в полном объеме, как если бы страна все еще являлась членом организации, в течение дополнительного переходного периода, максимальная продолжительность которого могла составить шесть месяцев (Статья FINPR0V.10A Соглашения). Цель такого переходного периода, как представляется, была двойственной: с одной стороны, это предотвращало внезапную остановку потоков данных между ЕС и Британией, а с другой - давало ЕК достаточно времени для принятия решения об адекватности. Действительно, Соглашение прямо предусматривает, что этот переходный период закончится, как только будет принято решение об адекватности, или, в противном случае, через шесть месяцев, в зависимости от того, что произойдет раньше.
Часть II раздела III Соглашения регулирует цифровую торговлю, то есть торговлю, осуществляемую «электронными средствами». В этом разделе основное внимание уделяется трансграничным потокам п/д и их защите. ЕС и Британия взяли на себя официальное обязательство обеспечить прохождение потоков данных, избегая навязывания требований в отношении их локализации, а также оборудования и сетей. Обе стороны обязуются признавать и защищать право на защиту данных и конфиденциальность, чтобы повысить уровень доверия между участниками рынка. ЕС и Британия могут самостоятельно разрабатывать свои правовые основы, регулирующие защиту данных и прохождение их потоков, будучи обязанными гарантировать надлежащий режим передачи данных общего применения на цифровом рынке. Часть III Соглашения посвящена сотрудничеству правоохранительных и судебных органов; в ней под-
1 Mildebrath H.A. EU-UK private-sector data flows after Brexit: Settling on adequacy. URL: https://goo.su/7Ret (дата обращения: 20.05.2021)
2 European Union (Future Relationship) Act 2020. URL: https://goo.su/7reU (дата обращения: 20.05.2021)
3 European Parliament legislative resolution of 28 April 2021 (05022/2021 - C90086/2021 -2020/0382(NLE)). URL: https://goo.su/7REul (дата обращения: 20.05.2021)
4 Council Decision on the conclusion, on behalf of the Union, of the Trade and Cooperation Agreement between the European Union and the European Atomic Energy Community, of the one part, and the United Kingdom of Great Britain and Northern Ireland, of the other part, and of the Agreement between the European Union and the United Kingdom of Great Britain and Northern Ireland concerning security procedures for exchanging and protecting classified information. URL: https://goo.su/7reV (дата обращения: 20.05.2021)
Современная Европа, 2021, № 5
тверждена необходимость обеспечения соблюдения принципов защиты данных, таких как принцип безопасности и ограничения хранения, в отношении этих данных.
Таким образом, устанавливая возможность принятия решения об адекватности в отношении Британии как третьей страны, ЕК также обозначает характер будущих отношений между сторонами с позиции сферы защиты п/д Британии, как бывшему члену Союза, не будет предоставлен какой-либо особый статус, в частности, автоматическое обязательное двустороннее признание адекватности уровня защиты, как первоначально предлагалось британцами во время переговоров. С точки зрения правовой регламентации защиты п/д, такая норма закладывает базис для потенциального расхождения между правовыми системами ЕС и Британии, которые в контексте принятых двусторонних документов могут развиваться независимо, не будучи привязанными к конкретной архитектуре выбранной модели будущих взаимоотношений.
Решение об адекватности, принимаемое ЕК в одностороннем порядке, не является окончательным и бесповоротным и может быть в любой момент отозвано. Это подтверждается практикой Суда ЕС, который в решении по делу Schrems I указал на то, что резолюции об адекватности являются эволюционирующими документами, отражающими текущее состояние рассматриваемой иностранной правовой системы. С помощью этих механизмов ЕК удостоверяет, что третья страна предоставляет адекватные гарантии, оправдывающие разрешение для передачи п/д из ЕС. Таким образом, это означает, что позитивная оценка адекватности третьей страны может внезапно измениться в случае реформы или появления новых механизмов правового регулирования, влияющих на систему защиты трансграничных п/д. Эта возможность ясно показывает, в какой степени формально уже независимая британская правовая система все еще будет де-факто подчиняться ряду ограничений, косвенно вытекающих из права ЕС.
Более того, решения об адекватности могут быть оспорены в Суде ЕС, как это успешно сделал г-н Шремс в отношении решения об адекватности, связанного сначала с режимом защиты п/д в США (принципы Safe Harbour), а затем решения, связанного с одобрением другого введенного механизма между ЕС и США (EU-US Privacy Shield). В дополнение к этому их действие может быть приостановлено, так как, если компетентные национальные органы государств ЕС будут иметь сомнения в адекватности режима защиты данных соответствующей третьей страны, они могут приостановить такую трансграничную передачу в соответствующее государство [Fabbrini et al., 2021]. 21 мая 2021 г. ЕП в своей резолюции призвал ЕК принять решение об адекватности в отношении Британии1, вновь обозначив свое беспокойство в отношении действий этой страны в рассматриваемой сфере.
* * *
На примере сферы защиты п/д можно констатировать, что Британия с момента своего выхода из ЕС регрессировала в своем международно-правовом статусе от участника данного интеграционного образования до третьей страны, не имеющей возможности влияния на принимаемые в ЕС решения. Кроме того, брекзит в принципе усложнил трансграничную деятельность хозяйствующих субъектов в обеих
1 European Parliament resolution of 21 May 2021 on the adequate protection of personal data by the United Kingdom (2021/2594(RSP)). URL: https://goo.su/7Rev (дата обращения: 20.05.2021)
Современная Европа, 2021, № 5
юрисдикциях, так как на смену единообразной правовой регламентации в рамках ЕС для всех государств-членов пришла дихотомия в виде наличия и взаимодействия соответствующих правовых норм Британии и Евросоюза, которой теперь необходимо следовать и которая может содержать взаимные противоречия.
Более того, рассмотренная сфера защиты п/д наглядно продемонстрировала, что правовая система Британии даже после брекзита вынуждена подчиняться правопорядку ЕС, будучи поставленной в зависимость от воли и правовых предписаний его институтов, прежде всего в виде необходимости принятия решения об адекватности ЕК. Но даже после принятия такого решения правопорядок Соединенного Королевства будет находиться под постоянным контролем со стороны ЕС в отношении оценки уровня адекватности системы защиты п/д, что ставит под сомнение стабильность и предсказуемость отношений в рассматриваемой сфере. Также отмеченные правовые аспекты трансграничной передачи п/д указывают на то, что ЕС удалось в определенной степени распространить свое влияние на сферу национальной безопасности третьего государства - Британии, а также на деятельность ее спецслужб.
Кроме того, можно говорить о сохранении юрисдикции Суда ЕС в отношении Британии, так как принятые ЕК решения об адекватности могут быть оспорены, рассматривая имеющиеся механизмы не в контексте торгово-экономической или иной целесообразности, но исключительно с позиции соответствия принципам права ЕС и защиты его основных прав, что также может оказать влияние на регламентацию трансграничной передачи п/д между сторонами.
Список литературы
Ананьева Е.В. (2020) Путь Британии к «жесткому» брекзиту. Современная Европа, № 7. С. 16-26. DOI: http://dx.doi.org/10.15211/soveurope720201626
Бабынина Л.О. (2021) Торговое соглашение между ЕС и Великобританией: между кондициональ-ностью и суверенитетом. Современная Европа, № 2. С. 5-16. DOI: http://dx.doi.org/10.15211/soveurope220210516
Бирюков М.М. (2015) Актуальные аспекты правовой защиты персональных данных в Европейском союзе, США и России. Московский журнал международного права, № 3. C. 197-208. DOI: https://doi.org/10.24833/0869-0049-2015-3-197-208
Мартиросян А.Ж. (2021) Реалии цифрового суверенитета в современном мире. Международная жизнь, № 3. C. 28-35.
Хасанова А. (2021) Европейский подход к «технологическому суверенитету». URL: https://russiancouncil.ru/analytics-and-comments/columns/cybercolumn/evropeyskiy-podkhod-k-tekhnologicheskomu-suverenitetu/ (дата обращения: 20.05.2021)
Шадрин С.А. (2019) Правовое регулирование защиты персональных данных в Европейском Союзе: генезис и перспективы развития: дисс. на соиск. уч. ст. к.ю.н. Казань.
References
Anan'eva E.V. (2020) Put' Britanii k "zhjostkomu" brekzitu [The Path of UK to the "hard" Brexitl. So-vremennaja Evropa. No 7, pp. 16-26. DOI: http://dx.doi.org/10.15211/soveurope720201626 (in Russian).
Babynina L.O. (2021) Torgovoe soglashenie mezhdu ES i Velikobritaniej: mezhdu kondicional'nost'ju i su-verenitetom [Trade and Cooperation Agreement Between the EU and the UK: Conditionally Versus Sovereignty]. SovremennajaEvropa. No 2, pp. 5-16. DOI: http://dx.doi.org/10.15211/soveurope220210516 (in Russian).
Birjukov M.M. (2015) Aktual'nye aspekty pravovoj zashhity personal'nyh dannyh v Evropejskom so-juze, SShA i Rossii [Topical Aspects of the Legal protection of Personal Data in the European Union, the United States and Russia]. Moskovskij zhurnal mezhdunarodnogo prava. No 3, pp. 197-208. https://doi.org/10.24833/0869-0049-2015-3-197-208 (in Russian).
Современная Европа, 2021, № 5
De Hert P., Papakonstantinou V. (2017) The Rich UK Contribution to the Field of EU Data Protection: Let's Not Go for "Third Country" Status after Brexit'. Computer Law & Security Review, Vol. 33, Iss. 3, pp. 354-360. DOI: https://doi.org/10.1016/jxlsr.2017.03.008
Emerson, M., Busse, M., Di Salvo, M. (2017) An Assessment of the Economic Impact of Brexit on the EU-27. Brussels, The European Parliament.
Fabbrini F., Celeste E., Quinn J., eds. (2021) Data Protection Beyond Borders: Transatlantic Perspectives on Extraterritoriality and Sovereignty. Oxfrord, Hart.
Gueham F. (2017) Digital sovereignty - steps towards a new system of internet governance. URL: https://www.fondapol.org/en/study/digital-sovereignty-steps-towards-a-new-system-of-internet-governance/ (accessed: 20.05.2021)
Hasanova A. (2021) Evropejskij podhod k "tehnologicheskomu suverenitetu" [European approach to "technological sovereignty"]. URL: https://russiancouncil.ru/analytics-and-
comments/columns/cybercolumn/evropeyskiy-podkhod-k-tekhnologicheskomu-suverenitetu/ (accessed: 20.05.2021) (in Russian).
Manancourt V. (2020) What the Interim Brexit Data Flows Deal Means for Britain. URL: https://www.politico.eu/article/what-the-interim-brexit-data-flows-deal-means-for-britain/ (accessed: 20.05.2021)
Martirosjan A.Zh. (2021) Realii cifrovogo suvereniteta v sovremennom mire [The realities of digital sovereignty in the modern world]. Mezhdunarodnaja zhizn'. No 3, pp. 28-35 (in Russian).
Mildebrath H.A. (2021) EU-UK private-sector data flows after Brexit: Settling on adequacy. URL: https://www.europarl.europa.eu/thinktank/en/document.html?reference=EPRS_IDA(2021)690536 (accessed: 20.05.2021)
Nicolaidis K. (2017) The Political Mantra: Brexit, Control and the Transformation of the European Order' in Fabbrini F., ed. The Law & Politics of Brexit. Oxford, Oxford University Press.
Shadrin S.A. (2019) Pravovoe regulirovanie zashhity personal'nyh dannyh v Evropejskom Sojuze: gene-zis i perspektivy razvitija: diss. na soisk. uch. st. k.ju.n. [Legal regulation of personal data protection in the European Union: genesis and development prospects: Ph.D. dissertation] Kazan' (in Russian).
Statistics on UK-EU trade Research Briefing Published Tuesday, 10 November, 2020. URL: https://commonslibrary.parliament.uk/research-briefings/cbp-7851/ (accessed: 20.05.2021)
Voigt P., von dem Bussche A. (2017) The EU General Data Protection Regulation (GDPR). A Practical Guide. Springer.
On the Legal Consequences of Brexit (on the example of personal data protection)
Received 02.06.2021
Authors: Entin M., Doctor of Science (Law), Head of Department of the European Law, MGIMO University, Senior Research Fellow, RISS. Address: 76 Vernadsky Ave., Moscow, Russia, 119454. E-mail: [email protected]
Galushko D., Candidate of Science (Law), Associate Professor, Associate Professor at the Department of Legal Regulation of Economic Activities of Financial University under the Government of the Russian Federation (Financial University). Address: 49, Leningradskii pr., Moscow, Russia, 125993. E-mail: [email protected]
Abstract. The article explores the legal consequences of the UK's withdrawal from the European Union. The scope of personal data protection was taken as an example. The purpose of the article is to study and analyze the legal aspects of the termination of the UK's membership in the European Union, its impact on the cross-border transfer of personal data between the parties, as well as the development of legal regulation in this area. The article shows that, despite the signing of the Withdrawal Agreement, as well as the Trade and Cooperation Agreement, there is a complication of legal regulation, as well as the emergence of potential contradictions and threats to the interests of interested parties. The sphere of personal data protection clearly demonstrates that despite the desire for the sovereignization of legal regulation on the part of the UK, its legal system remains dependent on the legal order of the European Union. The UK's national regulation on personal data will be under constant monitoring by the competent EU authorities, which indirectly confirms the failure to achieve the goals of the full return of the UK's delegated sovereign powers. It is concluded that the EU Court of Justice still retains its jurisdiction over the United Kingdom, in particular, in connection with the
Современная Европа, 2021, № 5
possibility to challenge decisions on adequacy, as well as through the adoption of its own practice on issues related to personal data protection.
Keywords: European Union, Great Britain, Brexit, personal data, interaction, trade, cooperation. DOI: http://dx.doi.org/10.15211/soveurope520214555
CoepeMeHHan Eepona, 2021, № 5