РАЗВИТИЕ ЗАКОНОДАТЕЛЬСТВА ЕВРОПЕЙСКОГО СОЮЗА В СФЕРЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ Текст научной статьи по специальности «Компьютерные и информационные науки»

ТРИБУНА МОЛОДОГО УЧЕНОГО

УДК 341.9

DOI: 10.18522/2313-6138-2022-9-2-18

Барциц Валерия Игоревна,

юрист международного направления, ООО «Про Фактор», 117342, г. Москва, ул. Бутлерова, д. 17, эт. 2, ком. 27; РАНХиГС, магистрант программы «Гражданское право; семейное право; международное частное право», email: vbarcic@gmail.com

Bartsits, Valeria I.,

Lawyer (International Law),

LLC Pro Factor, 17 Butlerov Str., Office 27,

Moscow, 117342, Russian Federation;

RANEPA, Masters Student

of the Programme 'Civil Law;

Family Law; Private International Law'

email: vbarcic@gmail.com

РАЗВИТИЕ ЗАКОНОДАТЕЛЬСТВА ЕВРОПЕЙСКОГО СОЮЗА В СФЕРЕ ЗАЩИТЫ

ПЕРСОНАЛЬНЫХ ДАННЫХ

♦

DEVELOPMENT OF THE EUROPEAN UNION LEGISLATION IN THE FIELD OF PERSONAL DATA PROTECTION

АННОТАЦИЯ. Статья посвящена рассмотрению теоретических основ и практики применения правовых норм при реализации права на защиту персональных данных на примере стран Европейского Союза. Растущий объем и использование персональных данных в сочетании с появлением технологий, обеспечивающих новые способы их обработки (в частности, искусственный интеллект, машинное обучение, концепт «большие данные» и облачные вычисления и др.), обусловили необходимость обновления устаревших норм и правил ЕС с целью формирования эффективных регуляторов, предоставляющих современные методы защиты персональных данных граждан Европейского Союза.

КЛЮЧЕВЫЕ СЛОВА: персональные данные; неприкосновенность частной жизни; регламент ОБРЕ.; информационная безопасность; конфиденциальная информация; защита персональных данных; приватность; защита информации.

ОБРАЗЕЦ ЦИТИРОВАНИЯ:

Барциц, В. И. Развитие законодательства Европейского Союза в сфере защиты персональных данных [Текст] / В. И. Барциц // Вестник Юридического факультета Южного федерального университета. -2022. - Т. 9, № 2. - С. 150-164. - Б01: 10.18522/23136138-2022-9-2-18.

ABSTRACT. The article focuses on the consideration of theoretical grounds for and application practices of legal norms when implementing the right to protect personal data (the case of the countries of the European Union). The increasing amount and use of personal data, combined with the emergence of technologies providing new ways of data processing (in particular, artificial intelligence, machine learning, the concept of 'big data' and cloud computing, etc.), have conditioned the necessity of updating the outdated EU rules and regulations in order to form effective regulators utilizing modern methods for protecting European Union citizens' personal data.

KEYWORDS: personal data; inviolability of private life; GDPR regulation; information security; confidential information; personal data protection; privacy; information protection.

FOR CITATION:

Bartsits, V. I. Development of the European Union Legislation in the Field of Personal Data Protection [Text] / V. I. Bartsits. Bulletin of the Law Faculty, SFEDU. -2022. - Vol. 9, No. 2. - P. 150-164 (in Russian). - DOI: 10.18522/2313-6138-2022-9-2-18.

© В. И. Барциц, 2022

Право на неприкосновенность частной жизни является фундаментальным правом, закрепленным во многих конституциях мира1, в международном законодательстве о правах человека2. Это многогранное понятие, ключевым аспектом которого, наиболее актуальным для жизни отдельного человека в динамично развивающемся информационном пространстве, является защита персональных данных. Так, Э. В. Талапина отмечает именно доминирование конституционного и фундаментального аспекта в трактовке права на защиту персональных данных в современном мире как на теоретическом, так и на правоприменительном уровне [2].

Большинство государств уже приняли некоторые формы защиты этих фундаментальных прав. Так, например, во многих странах мира существуют конституционные нормы, которые предназначены для защиты данных отдельных лиц, предоставляя им право доступа к имеющейся информации о них и предоставляя соответствующим лицам возможность подать жалобу в Конституционный Суд. В статье 5 Конституции Бразилии 1988 года установлено «Хабеас данные3 предоставляются: а) для обеспечения информации, касающейся личности заявителя, содержащейся в записях или банках данных государственных учреждений или учреждений публичного характера; b) для исправления данных, когда заявитель не предпочитает делать это в рамках судебного или административного процесса».

В статье 15 Конституции Колумбии с поправками, внесенными в 1995 году, отмечено, что «все люди имеют право на личную и семейную тайну, неприкосновенность частной жизни и на свою хорошую репутацию, а госу-

1 Статья 23 Конституции Российской Федерации, Поправка IV к Конституции США, статья 15 Конституции Италии, статья 26 Конституции Эстонии, статья 47 Конституции Польши и многих других стран. Хотя подобного закрепления нет в Основном законе ФРГ, Конституции Франции.

2 Статья 12 Всеобщей декларации прав человека, статья 8 Европейской конвенции о защите прав человека, статья 17 Арабской хартии прав человека.

3 Прим. автора: Хабеас дата (лат. Habeas data, буквально - «имеешь сведения») - конституционный принцип ряда государств, предусматривающий право гражданина в судебном порядке требовать доступа к любым касающимся его документам, хранящимся в архивах и учреждениях, в том числе специальных службах.

дарство должно уважать и заставлять других уважать эти права. Аналогичным образом, физические лица имеют право знать, обновлять и исправлять информацию, собранную о них в банках данных и в записях государственных и частных организаций».

В апреле 2008 года предлагался проект изменений Конституции Франции, чтобы дополнить перечень фундаментальных прав правом на уважение частной жизни и защиту персональных данных. Хотя поправка не была поддержана, французское законодательство пополнилось нормативным определением персональных данных [1].

Несмотря на то, что в странах Европейского Союза исторически давно неприкосновенность частной жизни рассматривается как одно из фундаментальных4 прав человека5, развитие законодательства ЕС в сфере защиты персональных данных и неприкосновенности частной жизни в основном опиралось на соответствующее законодательство США. Хотя имеются существенные отличия в понимании неприкосновенности частной жизни и защиты персональных данных в этих странах. Так, законодательство США широко использует такие термины как «неприкосновенность частной жизни»6 или «информация о частной жизни», европейское законодательство трактует «информацию о частной жизни» как «защиту персональных данных»7 и рассматривает ее отдельно от права на неприкосновенность. Защита персональных данных фокусируется на том, используются ли данные справедливо и надлежащим образом [12], в то время как «неприкосновенность подобна афинскому идеалу частной жизни» [14].

4 В этой работе термины «право человека» и «фундаментальное право» используются как синонимы. О различиях можно посмотреть работу: [12].

5 Статья 8 Европейской конвенции о правах человека 1950 года обеспечивает защиту частной и семейной жизни, жилища и общения; статья 8 Конвенции о защите прав человека и основных свобод от 4 ноября 1950 г., большинство национальных конституций в Европе также защищают неприкосновенность частной жизни и смежные права: см.: [16].

6 Приватность и неприкосновенность частной жизни здесь рассматриваются как синонимы и взаимозаменяемы.

7 Конфиденциальность информации «касается сбора, использования и раскрытия личной информации», см.: [30]. Конфиденциальность данных и конфиденциальность информации относятся примерно к одной и той же концепции.

Ключевой точкой расхождения в понимании неприкосновенности частной жизни между США и Европой стали 1970-е годы. США разработали «Кодекс справедливой информационной практики» («Code of fair information practices») [7; 11; 14], которой стал основой современного законодательства о защите персональных данных, но применили его только к правительству в форме Закона о приватности от 19741, и к частному сектору только в сфере кредитной отчетности2.

Европейское законодательство использовало и расширило этот кодекс, а впоследствии применило его ко всем уровням и этапам обработки информации - как «по вертикали», то есть от правительства к гражданину, так и «по горизонтали» - от бизнеса до гражданина. К 1990 году Европейская комиссия опасалась, что различные национальные законы о защите данных будут препятствовать внутреннему рынку в ЕС3. В том же году было опубликовало предложение по Директиве о защите данных (Data Protection Directive), принятое после пяти лет переговоров (в 1995 году)4.

Данный документ установил общий режим, основанный на Кодексе справедливой информационной практики (FIP), который применялся к большей части частного и государственного сектора (с некоторыми исключениями)5. Директива требовала от государств-членов принятия соответствующего имплементирую-щего законодательства [9].

Действие директивы сопровождалось значительными сложностями, так как она не полностью гармонизировала национальные законы в сфере неприкосновенности частной жизни.

1 Privacy Act of 1974 5 U.S.C. 552a (2017).

2 Fair Credit Reporting Act of 1970 15 USC 1681 et seq (2017).

3 Европейская комиссия предлагает и обеспечивает соблюдение законодательства и реализует политики и бюджет ЕС. Ее можно рассматривать как исполнительную власть ЕС. См.: [24].

4 Историю Директивы см. в работе [18].

5 Directive 95/46/EC of the European Parliament and

of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data

and on the free movement of such data. Некоторые части государственного сектора выходят за рамки Директивы

(см. Статью 3 (2) и статью 13). Некоторые методы обработки данных в частном секторе частично исключены; обработка в чисто личных целях (статья 3 (2)) и в журналистских целях (статья 9).

Даже внутри Европы страны вели себя оппортунистически, пытаясь привлечь к суду крупные технологические компании с признаками слабого правоприменения и выгодных налоговых схем (например, закон о защите данных в Ирландии [5]). Даже среди стран, приверженных неприкосновенности частной жизни и защиты персональных данных, правоприменение было достаточно слабым (например, в 2017 году Франция оштрафовала Facebook6 на 150 000 евро, можно сравнить со штрафами в 5 млрд долларов того же Facebook в США) [8]. Этот пробел в правоприменительной практике закрепил за европейскими регуляторами репутацию региона с хорошо прописанными правилами, но без реальной полицейской деятельности [6].

В этой связи представляется, что разработка Регламента GDPR - это, прежде всего, попытка ЕС устранить эти и другие недостатки, которая зародилась в процессе, совершенно не похожем на законодательные усилия США. Европейские политики запустили деятельность, которая включала множество экспертных консультаций, глубокое понимание процессов обработки информации. Консультации начались в 2009 году, текст предложения был опубликован Европейской комиссией в 2012 году [23].

Два года спустя Европейский парламент принял компромиссный текст, основанный на почти 4000 предложенных поправок7. Совет Европейского Союза опубликовал свое предложение об Общем регламенте о защите данных (GDPR) в 2015 году, чтобы начать переговоры с Европейским парламентом8. В декабре 2015 года парламент и Совет достигли договоренно-

6 Организация Meta Platforms Inc. (соцсети Facebook и Instagram) признана экстремистской, ее деятельность запрещена на территории России по решению Тверского суда Москвы от 21.03.2022.

7 LIBE Compromise, предложение по Регламенту о защите данных (данная статья отсылает к неофициальной сводной версии после голосования комитета LIBE, представленной докладчиком, Общий регламент по защите данных, 22 октября 2013 г.). Европейский парламент является органом ЕС с законодательными, надзорными и бюджетными обязанностями. Он избирается прямым голосованием, <http://www.europarl.europa.eu/portal/>

8 Совет Европейского Союза состоит из министров правительств каждой страны ЕС в соответствии с обсуждаемой областью политики. Европейский совет, «Совет Европейского союза», <http://www.consilium.europa. eu/en/home/>.

сти по тексту Регламента GDPR и он был официально принят в мае 2016 года и применяется с мая 2018 года1.

Толкование GDPR поручено судам, в частности, Суду Европейского Союза (CJEU) вместе с предложениями и рекомендациями Европейского совета по защите данных (European Data Protection Board). Стоит отметить ряд драматических решений, вынесенных данными органами, касающихся неприкосновенности частной жизни, включая отмену обязательств по хранению данных2, отмену соглашения США и ЕС о безопасной гавани3 и предоставление людям при определенных условиях «права быть забытыми» (право на забвение)4.

Как и в Директиве 1995 года, в первой статье GDPR подчеркивается, что GDPR преследует двойную цель - содействовать свободному потоку персональных данных в ЕС (чтобы помочь бизнесу) и защищать людей и их персональные данные5. В то же время Регламент GDPR установил регуляторную среду, более неблагоприятную для ИТ-отраслей (особенно связанных с обработкой больших данных и машинного обучения) [3] относительно Соединенных Штатов Америки.

Рассмотрим основные положения общего регламента защиты данных Европейского Союза. Отметим, что для его разработки авторы изучали современные стандарты информационной безопасности, методы защиты информационной индустрии и даже академическую литературу по передовым способам идентификации и аутентификации. По этой и другим причинам GDPR имеет чрезвычайно широкий охват по многим аспектам информационной безопасности. Одним из базовых определений GDPR, наряду с персональными данными, яв-

1 GDPR art 99(2):'It shall apply from 25 May 2018.'

2 Joined Cases C-293/12 and C-594/12 Digital Rights Ireland Ltd v Minister for Communications, Marine and Natural Resources and Others and Kärntner Landesregierung and Others[2014] ECLI:EU:C:2014:238.

3 Case C-362/14 Maximillian Schrems v Data Protection Comr.,[2015] ECLI:EU:C:2015:650.

4 Case C-131/12 Google Spain SL, Google Inc. v Agencia Española de Protección de Datos (AEPD), Mario Costeja González [2014] ECLI:EU:C:2014:317.

5 GDPR art (1). The GDPR 'lays down rules relating to the

protection of natural persons with regard to the processing

of personal data and rules relating to the free movement of personal data'.

ляется «обработка» персональных данных6, которая охватывает весь «жизненный цикл» данных - от их создания до удаления и даже использование данных для раскрытия других данных.

Что касается дальнейшего развития этого понятия, то Privacy International предлагает включение в него такого термина как «генерация данных» Это вид деятельности, который до сих пор не был четко прописан ни в одном законе о защите данных и который должен регулироваться и контролироваться, то есть отдельным лицам должна быть предоставлена защита в рамках этого способа обработки. Данное предложение основано на анализе компании Privacy International проблем «эксплуатации (использования) данных», которые зачастую начинаются с чрезмерной генерации, поскольку именно этот процесс является предварительным условием для дальнейшей обработки. Чрезмерное генерирование данных пользовательскими информационно-коммуникационными системами наряду с такими первичными причинами, как недостаточная осведомленность, прозрачность и подотчетность, приводит к основной проблеме дисбаланса власти в цифровом мире. Это дополнение к определению «обработки» будет несколько расширять «принцип ограничения использования» и концепцию «минимизации данных».

Подотчетность и правоприменение являются ключом к успеху защиты персональных данных. В законе о защите персональных данных должны быть четко указаны стороны, ответственные за соблюдение закона, а также их функции и обязанности. Со временем произошла эволюция терминологии, используемой для обозначения лиц, ответственных за обработку персональных данных. Хотя терминология варьируется в зависимости от правового поля страны, существует два объекта, которые контролируют персональные данные (контроллеры данных) и/или обрабатывают данные (процессоры данных)7.

6 GDPR art 4(2). GDPR рекомендует псевдонимиза-цию в качестве меры безопасности. GDPR art 4(5).

7 Помимо контроллеров данных и процессоров данных, есть несколько других позиций, таких как получатель (ст. 4 (9) GDPR), третья сторона (ст. 4 (10) GDPR) и представитель (ст. 4 (17) GDPR), но эти позиции выходят за рамки этой работы.

Например, если компания Y собирает и анализирует данные опросов клиентов компании X в соответствии с инструкциями компании X, компания X является контроллером, а компания Y - процессором данных. Если две организации будут совместно определять, почему и как будут обрабатываться персональные данные, они будут рассматриваться как совместные контролеры данных, обладать соответствующими полномочиями и нести ответственность [3].

В свою очередь, в США именно субъекты данных должны читать и критически оценивать уведомления о приватности, а также делать выбор на рынке, основываясь на тщательном исследовании и наблюдении [21]. Европейские законодатели отвергают этот подход и возлагают ответственность на контроллеров. Процессоры данных, такие как дата-центры или провайдеры облачных услуг, должны соответствовать большинству норм Регламента GDPR. Если процессоры данных нарушают GDPR, то контроллер данных будет считаться ответственным. В то же время Регламент GDPR пытается предотвратить некоторые проблемы типа «принципал-агент»1 с процессорами данных, а именно требует, чтобы контроллеры гарантировали, что процессоры данных компетентны и ответственны. Для установления цепочки подотчетности процессоры данных не могут заключать субконтракты без согласия контроллера данных (GDPR, ст. 29).

Ограничения применения GDPR

Регламент GDPR применяется к автоматизированным данным и автоматизированной обработке данных, а также к структурированным форматам хранения рукописных данных, то есть он охватывает любую обработку данных

1 Прим. авт.: Принципал-агент - теоретическая модель экономики, созданная с целью понимания ситуаций управления между неравными акторами, имеющими разные степени информированности (асимметричность информации): лицо, дающее поручение (принципал) обычно находится в вьютей иерархической позиции и ожидает решения поставленной задачи в своих интересах; с другой стороны лицо, выполняющее поручение (агент: менеджер или экономический агент), находится в нижней иерархической позиции, но владеет большей информацией, чем принципал, и может пользоваться этой информацией либо в интересах принципала, либо в своих собственных интересах.

на компьютере, телефоне, устройстве IoT, а также на бумажных носителях. Сфера применения GDPR ограничена в двух отношениях.

Во-первых, простое ознакомление с GDPR говорит о том, что мы все постоянно нарушаем GDPR в своей личной жизни, когда мы «обрабатываем» «личные данные» наших друзей, отправляя им электронные письма или «помечая их» на фотографии. Чтобы сфокусировать внимание регуляторов на компаниях и организациях, а не на простых людях, GDPR исключает операции с данными для «чисто личной или семейной деятельности». (GDPR, ст. 2(2)(с)). Преамбула GDPR показывает, что «переписка и хранение адресов или социальные сети» являются примером ситуации, которая подпадает под данное исключение. (GDPR, rec 18). Например, если кто-то отправляет электронное письмо другу, в котором он пишет о своем племяннике, это обычно не подпадает под GDPR. Но исключение достаточно узкое. Суд Европейского Союза (CJEU) постановил, что когда прилежащая территория дома снимается на видеокамеру, прикрепленную к дому, с целью выявления грабителей, это не будет считаться «чисто личной или домашней деятельностью»2.

Во-вторых, GDPR не регулирует национальную безопасность. Национальная безопас-ность3 , предотвращение и преследование уголовных преступлений4 в значительной степени выходят за рамки компетенции ЕС (GDPR, ст. 23; GDPR, rec 73).

Национальные государства-члены не решаются отдать такие полномочия ЕС. Директива, которая вступила в силу одновременно с GDPR, устанавливает правила обработки данных правоохранительными органами, такими как полиция. Правила этой Директивы допу-

2 C-212/13 Frantisek Rynesv. Urad pro ochranu osobnich udajû [2014] ECLI:EU:C:2014:2428.

3 См. также: C-473/12, Institut professionnel des agents immobiliers (IPI) v Geoffrey Englebert, Immo 9 SPRL, Grégory Francotte, intervening parties: Union professionnelle nationale des détectives privés de Belgique (UPNDP), Association professionnelle des inspecteurs et experts d'assurances ASBL (APIEA), Conseil des ministers [2013] ECLI:EU:C:2013:715.

4 См. также: Article 29 Working Party, 'Guidelines for Member States on the criteria to ensure compliance with data protection requirements in the context of the automatic exchange of personal data for tax purposes', 175/16/EN, WP 234, 16 December 2015.

скают больше ограничений, чем общие рамки, предусмотренные вБРЯ \

ОБРЯ действительно применяется к обработке данных другими правительственными организациями, хотя это позволяет правительствам принимать специальные режимы в своих национальных законах (ОБРЯ, ст. 23; вБРЯ, гее 73).

Кроме того, вБРЯ признает, что фундаментальное право на защиту данных может вступать в противоречие с основными правами и другими общественными интересами, такими как открытость государственных структур, свобода слова и обработка данных для целей архивирования. В Европе свобода слова является фундаментальным правом наравне с неприкосновенностью частной жизни [17], тогда как в США свобода слова, как правило, превосходит неприкосновенность частной жизни, когда две ценности находятся в конфликте.

Кроме того, правительства очень часто вводят дополнительные исключения по обязательствам защиты прав личности. Наиболее частыми причинами являются: национальная безопасность и оборона; общественная безопасность; предупреждение, расследование, выявление или судебное преследование по уголовным преступлениям; общественные интересы; иммиграция; экономические или финансовые интересы, включая бюджетные и налоговые вопросы; общественное здоровье и безопасность; защита судебной независимости и судопроизводства; контрольные, инспекционные или регулирующие функции, связанные с осуществлением официальных полномочий в отношении безопасности, обороны, других важных общественных интересов или предупреждения преступности; защита личности или прав и свобод других; обеспечение соблюдения гражданских прав.

Общие исключения не могут быть оправданы и должны применяться только в ограни-

1 Директива 2016/680/ЕС Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц в связи с обработкой персональных данных компетентными органами в целях предотвращения, расследования, выявления или судебного преследования уголовных преступлений или исполнения уголовных наказаний, а также о свободном перемещении таких данных и отмене Рамочного решения Совета 2008/977/ЩА 01 2016 Е 119/89. См. также: [10].

ченных случаях. При этом любые исключения должны:

- быть четко определены и установлены законом;

- уважать основные права и свободы человека;

- являются необходимыми и пропорциональными мерами в демократическом обществе;

- применимы только в тех случаях, когда их отсутствие наносит ущерб законной цели.

Таким образом, важно обеспечить, чтобы любые исключения из закона о защите персональных данных должны быть четко изложенными, точными и недвусмысленными, обнародованными и узко интерпретированными в соответствии с принципами необходимости и соразмерности. Такой подход к исключениям позволит гарантировать, что средства защиты, предусмотренные в законе о защите данных, не будут избыточными по отношению к функциям органов безопасности и разведки. Неспособность правильно определить и ограничить эти исключения подорвет доверие общественности к защите персональных данных.

Что касается принципов защиты персональных данных в GDPR, то они напоминают принципы, разработанные США в «Кодексе справедливой информационной практики» (FIP)2. В GDPR и FIP сформулированы шесть принципов высокого уровня, которые должны учитывать контроллеры и процессоры данных.

Во-первых, принцип законности, справедливости и прозрачности определяет основную норму закона о защите данных: персональные данные должны обрабатываться «законно, справедливо и прозрачно в отношении субъекта данных» (GDPR, ст. 5(1)(a)). Требование законности достаточно ясно: обработка персональных данных должна соответствовать требованиям GDPR и других законов. Требование справедливости (fairness)3 можно сравнить с общим требованием о добросо-

2 FIP могут быть распознаны, например, в U.S. Department of Health, Education & Warfare, Records и в правах граждан (1973) <www.justice.gov/opcl/docs/rec-com-rights.pdf>, in the US Privacy Act of 1974, Pub. L. No. 93-579, 88 Stat. 1896 (codified at 5 U.S.C. § 552a (2012)). Подобные принципы включены, например, в OECD [13].

3 См. также GDPR recs 39, 42, 57, 58, 60, 61, 62, 71. Хартия ЕС также гласит, что обработка персональных данных должна происходить «справедливо», Charter art 8(2).

вестности (good faith) в некоторых правовых системах1.

Во-вторых, принцип ограничения цели предполагает, что персональные данные «собираются для определенных, явных и законных целей и не обрабатываются способами несовместимыми с этими целями».

Этот принцип также включен в Хартию ЕС2. Цель обработки должна быть определенной и конкретной. Запрещены неопределенные и абстрактные цели, такие как «содействие удовлетворенности потребителя», «разработка продукта» или «оптимизация услуг». Например, когда служба доставки пиццы запрашивает адрес потребителя, чтобы доставить пиццу, - цель определена и конкретна.

В целом, чтобы оценить, совместима ли новая цель с первоначальной целью, контроллер данных должен рассмотреть, например, связь между первоначальными и новыми целями, контекст, разумные ожидания субъекта данных, характер и чувствительность данных, последствия предполагаемой дальнейшей обработки для субъектов данных.

GDPR не считает дальнейшую обработку несовместимой с первоначальными целями, если дальнейшая обработка происходит в целях архивирования в общественных интересах, научных или исторических исследований или в статистике. Тем не менее GDPR требует дополнительных гарантий для такой дальнейшей обработки.

Ограничение по цели использования в некоторой степени угрожает отраслям, интенсивно работающим с данными, поскольку компании зачастую находят полезность этих данных, используя их непредсказуемым образом [4]. Действительно, самой целью машинного обучения является обнаружение паттернов, не ожидаемых или даже не воспринимаемых людьми. Хотя многие сторонники больших данных считают, что принцип ограничения цели устарел и его следует отменить, GDPR сохранил этот принцип. Следовательно, в этом вопросе ЕС

1 См.: Принцип добросовестности в проекте Draft Common Frame of Reference: «выражение «добросовестность и честность» относится к стандарту поведения, характеризующемуся честностью, открытостью и вниманием к интересам другой стороны сделки или вопроса [22].

2 Charter art 8(2). См. также Article 29 Working Party, 'Opinion 03/2013 on purpose limitation', 00569/13/EN, WP 203, 2 April 2013.

сделал политический выбор в пользу неприкосновенности частной жизни и защиты персональных данных.

В-третьих, принцип минимизации данных означает, что персональные данные должны быть «адекватными, актуальными и ограниченными целями их обработки» (вБРЯ, ст. 5(1) (с)). В преамбуле добавлено, что «персональные данные должны обрабатываться только в том случае, если цель обработки не может быть достигнута другими средствами».

Могут быть получены только те данные, которые необходимы для конкретной цели обработки. Например, служба доставки пиццы не должна собирать данные о религиозных или политических взглядах людей - такие данные не нужны для доставки пиццы. Таким образом, принцип минимизации данных запрещает сбор большего количества персональных данных, поскольку эти данные могут быть полезны в будущем.

В-четвертых, принцип точности требует, чтобы персональные данные были «точными и, при необходимости, обновлялись» (вБРЯ ст. 5(1)(ё)). Контроллеры данных должны предпринимать «разумные действия (...) и гарантировать, что персональные данные, которые являются неточными, с учетом целей их обработки, незамедлительно стираются или исправляются» (вБРЯ, ст. 5(1)(ё)).

Таким образом, принцип точности не столько требует достижения полной точности, сколько точности «с учетом целей обработки персональных данных» (вБРЯ, ст. 5(1)(ё)).

Контроллеры данных должны заблаговременно обеспечивать надлежащую точность и предоставлять субъектам данных возможность их исправления. (вБРЯ, ст. 16).

В-пятых, помимо минимизации данных, Регламент вБРЯ жестко ограничивает их хранение. «Персональные данные должны. храниться в форме, позволяющей идентифицировать субъекты данных не дольше, чем это необходимо для целей их обработки; Персональные данные могут храниться в течение более длительных периодов, если подразумевается их обработка исключительно для целей архивирования в общественных интересах, научных или исторических исследованиях, статистики в соответствии со ст. 89 (1) вБРЯ при условии выполнения соответствующих

технических и организационных мер» (GDPR, ст. 5(1)(e)). Принцип навязывает стандарт «не дольше, чем необходимо». В преамбуле добавлено, что контроллеры данных должны заранее установить временные ограничения для запланированного удаления. Так, например, служба доставки пиццы не должна хранить адреса клиентов в течение неоправданно длительного периода. Близким к идеалу будет удаление адреса после доставки пиццы, но пиццерия зачастую хранит адрес в течение нескольких месяцев, чтобы сэкономить постоянным клиентам время заказа пиццы.

В-шестых, принцип целостности и конфиденциальности налагает ответственность за безопасность данных. Безопасность должна быть «адекватной» и защищать от потери, уничтожения, повреждения и незаконной обработки, поэтому внутреннее использование данных может являться нарушением безопасности. Ответственность контролеров и процессоров данных.

Регламент GDPR усиливает роль контроллера данных как стороны, ответственной за данные, и налагает более строгий контроль, обязанности и ответственность на процессоры данных. Это произошло потому, что в соответствии с Директивой ЕС по защите данных, некоторые компании пытались избежать ответственности за защиту персональных данных и неприкосновенность частной жизни, объявив себя «процессорами», одновременно участвуя в принятии решений, подобно контроллеру данных. В отличие от Директивы, которая предоставила государственным надзорным органам и органам по защите данных большие полномочия и функционал в мониторинге и соблюдении правил, регламент GDPR возлагает основные надзорные и контрольные полномочия на контроллеры данных.

Существует девять основных обязательств, которые должен выполнять контролер данных, чтобы соответствовать требованиям GDPR.

Во-первых, контроллеры данных должны вести подробные записи по учету своих операций обработки данных. Стратегически это обязательство не только обременяет контроллеров данных максимальной ответственностью за обработку данных; оно создает дорожную карту правоприменения для регулирующих органов. Основная ответственность лежит на контрол-

лерах, которые должны предоставить судье или органу защиты данных (Data Protection Authority) подробную информацию, свидетельствующую о том, что они действовали осторожно и законно. Учетная запись должна содержать информацию о типе персональных данных, цели их обработки, времени их хранения, а также о том, кто имеет к ним доступ и какие меры безопасности были приняты.

Положения GDPR о необходимости учета данных отходят от стратегии, изложенной в Директиве, в которой было крайне нереалистичное требование о необходимости уведомления контроллерами данных органов по защите данных при планировании какой-либо автоматизированной или автоматической операции обработки (ст. 18-19 Директивы).

Директива предусматривала разрешительный (уведомительный) подход, позволяющий органам защиты данных вести реестр операций по обработке данных и заранее оценивать предлагаемые инициативы или вмешиваться на ранней стадии (ст. 20). Очевидно, что это было невозможно, и Директива позволила государствам ограничить требование об уведомлении (ст. 19). В регламенте GDPR уведомительный подход отсутствует.

Во-вторых, контроллер данных должен принять политику защиты данных, в которой указывает причины выбора различных механизмов и способов защиты, то есть развернуто отвечает на такие вопросы, как: зачем нужен сбор персональных данных; почему так много данных; с какой целью он собрал эти данные; как он будет обеспечивать правильность и актуальность данных; кто имеет доступ к данным внутри организации и зачем этим людям нужен такой доступ; и т. д.

В-третьих, GDPR требует, чтобы деятельность контроллеров данных была прозрачной и открытой, даже если субъекты данных специально не запрашивают информацию. То есть контроллеры данных должны предоставлять информацию «в краткой, прозрачной, понятной и легко доступной форме, используя ясные и однозначные формулировки...» (ст. 12). Также GDPR определяет временные рамки для ответа на запросы субъектов данных и обязательства по немедленному разъяснению в случае отклонения такого запроса. При разработке контроллером новых целей использования

данных субъект данных должен быть проинформирован. В некоторых ситуациях контроллерам сложно или невозможно связаться с субъектами данных. Следовательно, в некоторых случаях обязательства по прозрачности и открытости отменяются, например, при отсутствии такой возможности или непропорциональных усилий.

В-четвертых, регламент GDPR предписывает пользователям данных включать средства защиты в технический дизайн услуг двумя способами: «по схеме» и «по умолчанию». Защита данных «по схеме» в широком смысле означает, что в технической инфраструктуре реализованы правила конфиденциальности, например псевдонимизация и минимизация данных.

Защита данных «по умолчанию» указывает на то, что в технической инфраструктуре выбор приватности сделан по умолчанию, и субъекты данных могут изменить это значение. Этот способ предназначен для предотвращения автоматического выбора настроек, которые предоставляют персональные данные многим другим людям, например, автоматическая установка общедоступного профиля в социальных сетях.

В-пятых, GDPR требует, чтобы государственные и частные организации, которые обрабатывают персональные данные в больших объемах, или обрабатывают конфиденциальные персональные данные, назначили ответственного сотрудника по защите данных или офицера по защите данных (Data Protection Officer - DPO). Многие американские компании, занимающиеся интернет-маркетингом, также должны назначить офицера по защите данных, поскольку предполагается, что они обрабатывают персональные данные для «систематического мониторинга субъектов данных в больших масштабах» (ст. 37).

Представляется, что DPO является сложной концепцией для большинства компаний США. Ближайшая аналогия - с профсоюзным переговорщиком. Офицер по защите данных должен быть полностью независимым (ст. 38) и, таким образом, защищенным от ответных действий при информировании контроллера или процессора данных об их обязательствах. Ему поручено контролировать соблюдение GDPR внутри организации; консультировать организацию о совместимости с GDPR; сотрудничать

с Органами по защите данных (Data Protection Authority); и выступать в качестве контактного лица как для таких органов, так и для субъектов данных (ст. 39).

Такие сотрудники добавляют динамику, которой компании сложно соответствовать: с одной стороны, компания может взять на себя расходы за счет внутреннего офицера по защите данных, который хорошо знает предприятие, но также и непросто уволить. С другой стороны, DPO-консультант может плохо знать предприятие и иметь стимулы как для жесткой интерпретации GDPR, так и для документирования несоблюдения компанией рекомендаций, потому что внешний офицер по защите данных может быть обеспокоен сохранением своей репутации и отношений с регулирующим органом и субъектами данных.

В-шестых, GDPR расширяет Директиву, разрабатывая «Оценки воздействия на защиту данных» (Data Protection Impact Assessments -DPIA) для видов обработки, которые считаются высокорисковыми (ст. 35 (1). Наличие высокого риска должен оценить сам контроллер данных1. GDPR предполагает высокий риск в трех случаях. Во-первых, когда систематическая и обширная оценка личных аспектов основана на автоматизированной обработке или профилировании и приводит к решениям, существенно влияющим на жизнь людей (например, банк, обрабатывающий персональные данные для автоматического принятия решений о выдаче займов). Вторым примером обработки данных с высоким риском является обработка специальных категорий данных больших объемов (например, большая больница обрабатывает генетические и медицинские данные пациентов)2. В-третьих, при систематическом мониторинге общедоступной территории в больших масштабах (GDPR, ст. 35(1)-35(3); GDPR, recs 89-94). Например, когда компания отслеживает движение людей в аэропорту, используя Wi-Fi. Когда контроллер ошибочно

1 См. также Article 29 Working Party,'Opinion 04/2013 on the Data Protection Impact Assessment Template for Smart Grid and Smart Metering Systems ("DPIA Template") prepared by Expert Group 2 of the Commission's Smart Grid Task Force, 00678/13/EN, WP205, 22 April 2013.

2 См. Article 29 Working Party,'Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is 'likely to result in a high risk' for the purposes of Regulation 2016/679, WP248, 4 April 2017.

оценивает операцию обработки данных как не представляющую высокого риска и не реализует DPIA, это будет квалифицироваться как нарушение регламента GDPR.

Оценка DPIA должна не только описывать цели и способы обработки персональных данных, но и учитывать такие аспекты как необходимость и пропорциональность операций обработки, риски для прав и свобод субъектов данных и, наконец, меры, предусмотренные для устранения рисков. Если офицер по защите данных определит, что обработка сопряжена с высоким риском, несмотря на компенсирую -щие меры предосторожности, он должен сообщить об этом органу по защите данных. И если такой орган считает, что предполагаемая обработка не будет соответствовать GDPR, он должен дать рекомендации по снижению рисков.

В-седьмых, GDPR требует от контроллеров данных реализации организационных мер защиты, и может включать в себя ограничение доступа персонала к базам данных, регистрацию такого доступа для проверки необходимости и соразмерности такого доступа.

В-восьмых, GDPR предписывает, чтобы контроллеры и процессоры данных внедряли технические меры защиты, привязанные к характеру, объему, контексту и целям обработки, а также к рискам реализации прав и свобод отдельных лиц. Такие меры могут, например, включать шифрование данных и защиту баз данных с помощью мер двойной или тройной аутентификации. Концепт информационной безопасности GDPR включает в себя конфиденциальность, целостность, доступность, а также устойчивость системы.

В-девятых, существует обязательство по уведомлению о нарушении персональных данных -гораздо более широкое, чем используемое в законодательстве США, ориентированное только на номера социального страхования, номера водительских прав и идентификаторы финансовых счетов. Регламент GDPR определяет нарушение персональных данных как «нарушение безопасности, ведущее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к персональным данным, переданным, сохраненным или обработанным иным образом»1.

1 GDPR art 4(12). См. также: Article 29 Working Party, 'Opinion 03/2014 on Personal Data Breach Notification',

Таким образом, в соответствии с GDPR, многие события, которые в настоящее время классифицируются американскими компаниями как «инциденты» в области безопасности, будут теперь «нарушения защиты персональных данных». Например, в случае несанкционированного доступа к базе данных с адресами электронной почты или контактным данным клиентов и т. п., компании, где произошла утечка, в соответствии с законодательством США, нет необходимости сообщать об этом инциденте. Регламент GDPR обязывает сделать такое уведомление. Когда происходит нарушение персональных данных, контроллер должен сообщить об этом в орган по защите данных в кратчайшие сроки - GDPR требует уведомления Органа по защите данных о нарушении всего через 72 часа после его обнаружения. Такое уведомление органа не требуется, если нарушение персональных данных не приведет к риску для прав и свобод физических лиц.

Если нарушение данных может привести к высокому риску для прав и свобод субъектов данных, контроллер должен также сообщить о нарушении субъектам данных. Контроллеры могут не уведомлять при использовании шифрования или других методов снижения риска для отдельных лиц. Кроме того, в тех случаях, когда индивидуальное уведомление непропорционально дорого, контроллер должен информировать субъектов данных посредством публичного сообщения или аналогичной меры2. Контроллеры должны документировать все нарушения данных, даже те, о которых они не должны уведомлять.

В целом рассмотренные обязанности требуют, чтобы контроллеры и процессоры данных документировали соответствие, несоответствие и сбои в форме нарушения защиты персональных данных. Очевидно, что большинство компаний никогда не будут полностью соответствовать GDPR, и что органам по защите данных будет легче исследовать и кон-

693/14/EN, WP 213, 25 March 2014. Article 29 Working Party, 'Opinion 06/2012 on the draft Commission Decision on the measures applicable to the notification of personal data breaches under Directive 2002/58/EC on privacy and electronic communications', 01119/13/EN, WP197, 12 July 2012.

2 См.: Article 29 Working Party,'Opinion 03/2014 on Personal Data Breach Notification', 693/14/EN, WP 213, 25 March 2014.

тролировать отклонения в деятельности таких компаний.

Стоит отметить, что Регламент GDPR вкладывает значительные ресурсы в соблюдение и правоприменение. Необходимо рассмотреть несколько вопросов правоприменения: во-первых, расширение количества субъектов, способных обратиться в суд (например, коллективные иски) и значительное увеличение размера штрафных санкций в рамках GDPR (штрафы приближены к тем, которые установлены в законодательстве о конкуренции). Во-вторых, расширение функций и полномочий органов по защите данных. С одной стороны, дополнительные функции и полномочия органов защиты данных будут негативно влиять на правоприменение. С другой - требование о независимости органов защиты данных означает относительный иммунитет от политического давления, аналогичный тому, которым судьи и независимые органы пользуются в США.

Предыдущая Директива страдала от неэффективных санкций, закрепляла полномочия по наложению штрафов и других средств правовой защиты на отдельные государства-члены. Некоторые страны имплементировали Директиву с настолько низкими максимальными штрафами (несколько тысяч евро), что соблюдение законодательства о защите данных и неприкосновенности частной жизни потеряло всякий смысл для большинства компаний. Например, французский комитет CNIL наложил максимальный штраф на Facebook1 в 2017 году за отслеживание пользователей в рекламных целях в размере 150 000 евро [8].

Регламент GDPR изменил три ключевых пункта: санкции, средства правовой защиты и ответственность. При этом наиболее впечатляющими являются изменения в отношении санкций. Так, существует два уровня штрафов, основанных на серьезности правонарушения. Менее серьезные нарушения могут привести к административным штрафам в размере до десяти миллионов евро или, в случае предприятия, до 2 % от годового «оборота» (чистой прибыли) предыдущего финансового года, в зависимости от того, что выше.

1 Организация Meta Platforms Inc. (соцсети Facebook и Instagram) признана экстремистской, ее деятельность запрещена на территории России по решению Тверского суда Москвы от 21.03.2022.

Санкция 2 % применяется тогда, когда контроллер данных нарушает правила в отношении: согласия, данного детьми; защиты данных «по умолчанию» или «по схеме»; хранения документов и записей по обработке данных; уведомления о взломе данных; оценки влияния защиты данных.

Более серьезные нарушения могут привести к административным штрафам в размере до 20 миллионов евро или, в случае предприятия, до 4 % от общего годового оборота предыдущего финансового года, в зависимости от того, что выше. Санкция 4 % применяется в случае нарушения ключевых принципов защиты персональных данных: минимизации данных; ограничения цели; точности; целостности и конфиденциальности, а также прав субъектов данных (таких как право на информацию и право на исправление или удаление данных), обязательств по прозрачности и открытости, правил по трансграничной передачи данных.

В рамках данных санкций, рассмотренный выше штраф Facebook2 за 2017 год в размере 150 000 евро может вырасти до 800 млн - 1,6 млрд евро в рамках GDP может вырасти до 800 млн -1,6 млрд евро в рамках GDPR. Точно так же, теоретически, американские компании несут огромные потери в триллионы долларов за совокупные установленные штрафы, связанные с такими законами, как Закон о справедливой кредитной отчетности. Например, если бы компания Equifax была бы оштрафована за неспособность обеспечить безопасность 140 миллионов кредитных карт в соответствии с минимальной суммой ущерба по Закону о справедливой кредитной отчетности, то столкнулась бы с 12-знач-ным штрафом. Однако ни один суд США не применяет такие санкции. И самый большой штраф составил всего 18 миллионов долларов и впоследствии был уменьшен по апелляции [20]. Кроме того, не существует ни одного примера закрытия бизнеса в США из-за санкций по нарушения в сфере защиты персональных данных и неприкосновенности частной жизни.

В свою очередь, регламент GDPR предписывает, чтобы штрафы были пропорциональными и определялись серьезностью преступления.

2 Организация Meta Platforms Inc. (соцсети Facebook и Instagram) признана экстремистской, ее деятельность запрещена на территории России по решению Тверского суда Москвы от 21.03.2022.

Представляется, что первые штрафы в рамках GDPR будут далеки от 9- и 10-значных сумм, пока органы по защите данных не соберут ряд дел с вопиющими нарушениями, а на это может потребоваться несколько десятилетий. Между тем, расширенное понятие нарушений безопасности вызовет больше трудностей, нежели штрафов». Уже произошел резкий скачок в сообщениях о нарушениях регулирующим органам. Поскольку регулирующим органам необходимо сообщать о гораздо более широком перечне инцидентов безопасности, возможно, что уведомление о нарушении будет основной формой «наказания» для регулируемых организаций.

Обращаясь к средствам правовой защиты, регламент GDPR предоставляет новые инструменты, которые предусматривают более активное правоприменение, в отличие от Директивы. На базовом уровне отдельные лица могут подавать жалобы в органы защиты данных. В случае неудовлетворенности решением органа власти лицо может обратиться за судебной защитой. В США отдельные лица имеют средства правовой (судебной) защиты только лишь на бумаге, так как правоприменительная практика подорвала возможность применения многих статутных законов о неприкосновенности частной жизни. Для решения этой проблемы GDPR указывает, что каждый субъект данных имеет право на эффективное судебное средство защиты, если он считает, что его права были нарушены в результате обработки его личных данных.

Фактически, чтобы преодолеть коллективные действия и экономические барьеры для индивидуального иска, регламент GDPR создает механизм, подобный групповому иску. Субъекты данных могут получать жалобы от некоммерческих организаций, занимающихся защитой прав. (GDPR ст. 80).

Так, например, австрийский адвокат Макс Шремс, судебный исполнитель, ответственный за аннулирование «безопасной гавани» США-ЕС, уже создал такую организацию, используя краудфандинговые платформы и в день, когда GDPR вступил в силу, его группа подала коллективные жалобы на Google, Instagram1, WhatsApp и Facebook [25].

1 Организация Meta Platforms Inc. (соцсети Facebook и Instagram) признана экстремистской, ее деятельность запрещена на территории России по решению Тверского суда Москвы от 21.03.2022.

Таким образом, анализ основных положений регламента GDPR, позволяет говорить о том, что этот документ, прежде всего, - расширение и уточнение требований, установленных Директивой о защите данных 1995 года. Стабильным является ядро закона о защите данных, а также основные принципы, подобные принципам справедливой информации в США. Однако GDPR привносит и значительные изменения, особенно в понимании персональных данных и методах их обработки, интегрирует персональные данные в сложный, комплексный защитный режим регулирования, который будет иметь серьезные последствия. Например, GDPR побуждает компании тщательно продумывать свои методы работы с персональными данными, заставляет их серьезно относиться к конфиденциальности, поощряет проверять поставщиков услуг на предмет соответствия правилам. Еще одно новшество заключается в том, что GDPR повышает уровень конфиденциальности и приватности сотрудников в организациях.

Кроме того, GDPR скептически относится к правовому инструменту «информированного согласия», подчеркивает важность точных данных и предоставляет людям право на доступ и исправление данных.

Основным недостатком регламента GDPR является его объем и сложность: 99 подробных положений. Его влияние на справедливость и уважение к основным правам, можно оценить только через некоторое время. Вместе с тем Европейская комиссия начала свой следующий проект по неприкосновенности частной жизни и защиты персональных данных. Комиссия опубликовала предложение по Регламенту ePrivacy (ePrivacy Regulation), которая должно заменить предыдущий документ (ePrivacy Directive). Предложение включает в себя правила защиты конфиденциальности сообщений в Интернете, а также правила, касающиеся файлов cookie и отслеживания в Интернете [26].

Представляется, что законотворческая деятельность над правилами справедливой обработки персональных данных никогда не будет закончена, подобно законодательству о защите прав потребителей или природопользовании и экологии, правила будут постоянно обновляться и дополняться, чтобы адаптироваться к новым обстоятельствам и условиям цифрового мира.

Таким образом, законодательная база ЕС в сфере обеспечения неприкосновенности частной жизни и защиты персональных данных и ее значительное обновление в 2018 году представляют собой достаточно четкий перечень положений и норм. Они обеспечивают в нужной мере доверие со стороны граждан стран ЕС. Что не менее важно, с другой стороны, они создают условия для представителей бизнеса максимально использовать возможности на едином европейском цифровом рынке.

Последние новации законодательства ЕС в сфере защиты персональных данных и неприкосновенности частной жизни позволяют сделать вывод о том, что существует сильная приверженность защите персональных данных и неприкосновенности частной жизни в Европе. Поэтому Регламент вБРЯ выполняет конституционные обязательства, которые настолько глубокие, что занимают центральное место в понимании нового значения государственных органов и частных компаний в информационную эпоху.

Представляется, что законотворческая деятельность над правилами справедливой обработки персональных данных как в ЕС, так и в других странах никогда не будет закончена. Подобно законодательству о защите прав потребителей или природопользовании и экологии, регуляторы защиты персональных данных и неприкосновенности частной жизни будут постоянно обновляться и дополняться, чтобы адаптироваться к новым обстоятельствам и условиям цифрового мира. Наглядно в этом можно убедиться при анализе мер, которые применяются странами при преодолении пандемии СОУГО-19.

Так, после прохождения пандемии и в ЕС, и в России необходимо будет урегулировать все те изменения, которые де-факто были введены в условиях пандемии, в частности:

- регулирование баланса личной свободы и общественной безопасности при применении цифровых моделей отслеживания и контроля, использования цифрового профиля;

- правосубъектность цифровых платформ и цифровых решений (сервисы дистанционного образования, электронный суд и т. д.);

- регулирование рисков утечки данных, нарушения прав на использование программного обеспечения вследствие удаленной работы из дома.

Также необходимо внести изменения в алгоритм доверия контрагентам, использовать новые модели верификации, законодательно закрепить правила новой электронной торговли, защищать цифровой профиль. Все это потребует особого внимания к неприкосновенности частной жизни и защите персональных данных. Завершая, вернусь к главному тезису: «правомерность» ожидания неприкосновенности личной жизни и доступа к персональным данным есть процесс уравновешивания общественного и частного интересов в праве.

Правовое регулирование в странах Европейского Союза сферы неприкосновенности частной жизни и защиты персональных данных, в особенности регламент GDPR, свидетельствует о новом этапе развития законодательства и правоприменительных процедур в этой сфере, который значительно повлияет на государственную информационную политику всех стран мира, заставит изменить существующие подходы к защите персональных данных и, в целом, подтверждает выводы о том, что персональные данные - это «валюта» современной экономики, их сбор, анализ и использование имеют огромное социальное, экономическое и политическое значение.

Литература

1. Талапина, Э. В. Правовая защита персональных данных во Франции [Текст] / Э. В. Талапина // Право. Журнал Высшей школы экономики. - 2012. - С. 152-161.

2. Талапина Э. В. Защита персональных данных в цифровую эпоху: Российское право в европейском контексте [Текст] / Э. В. Талапина // Труды Института государства и права РАН. - 2018. - Т. 13, № 5. - С. 120.

3. Чурилов, А. Ю. Принципы общего Регламента Европейского Союза о защите персональных данных (GDPR): проблемы и перспективы имплементации [Текст] / А. Ю. Чурилов // Сибирское юридическое обозрение. -2019. - № 1.

4. Шебанова, Н. А. Охрана персональных данных: опыт Европейского сообщества [Текст] / Н. А. Шеба-нова // Журнал Суда по интеллектуальным правам. -2019. - № 25, сентябрь. - С. 5-14.

5. Albrecht, J. «EU data P State of the Union» (speech at the Chaos Communication Congress, 2013) [Electronic resource] / J. Albrecht // URL: http://www.janalbrecht.eu/ fileadmin/material/Dokumente/30C3-JPA-EUdataP.pdf

6. Bamberger, K. Privacy on the Ground [Text] / K. Bamberger, D. K. Mulligan. - MIT Press, 2015.

7. Bennett, C. J. Regulating Privacy: Data Protection and Public Policy in Europe and the United States [Text] / C. J. Bennett. - Cornell University Press, 1992.

8. CNIL, 'Facebook Sanctioned for Several Breaches of the French Data Protection Act, May 16, 2017 [Electronic resource] // URL: https://www.cnil.fr/en/facebook-sanctioned-several-breaches-french-data-protection-act

9. Consolidated Version of the Treaty on the Functioning of the European Union [2012] OJ C326/47 (TFEU) art 288 [Electronic resource] // URL: http://eur-lex.europa. eu/legal-content/EN/TXT/PDF/?uri=CELEX:12012E/ TXT&from=EN.

10. De Hert, P. The New Police and Criminal Justice Data Protection Directive. A First Analysis [Text] / P. De Hert, V. Papakonstantinou Vagelis // New Journal of European Criminal Law. - 2015. - Vol. 7(1).

11. Gellman, R. Fair Information Practices: A Basic History [Electronic resource] / R. Gellman // April 2017. -URL: https://bobgellman.com/rg-docs/rg-FIPshistory.pdf

12. Gonzalez, F. The Emergence of Personal Data Protection as a Fundamental Right [Text] / F. Gonzalez. -Springer, 2014. - P. 164-166.

13. Guidelines on the Protection of Privacy and Transborder Flows of Personal Data [Electronic resource] // URL: http:// www.oecd.org/sti/ieconomy/oecdguidelinesontheprotectionof privacyandtransborderflowsofpersonaldata.htm.

14. Hoof nagle, C. J. The Origin of Fair Information Practices: Archive of the Meetings of the Secretary's Advisory Committee on Automated Personal Data Systems (SACAPDS). (July 2014) [Electronic resource] // URL: https:// papers.ssrn.com/sol3/papers.cfm?abstract_id=2466418

15. Hoof nagle, Ch. J. The European Union general data protection regulation: what it is and what it means [Text] / Ch. J. Hoofnagle, B. van der Sloot, Fr. Zuiderveen Borgesius // Information & Communications Technology Law. - 2019. - Vol. 28, No. 1. - P. 65-98. - DOI: 10.1080/13600834.2019.1573501

16. Koops, B. J. A Typology of Privacy [Text] / B. J. Koops, B. Newell, T. Timan, I. Skorvanek, T. Chokrevski, M. Galic // University of Pennsylvania Journal of International Law. -2017. - Vol. 38(2).

17. Kulk, S. Privacy, Freedom of Expression, and the Right to Be Forgotten in Europe [Text] / S. Kulk, F. J. Zuiderveen Borgesius // J. Polonetsky, O. Tene, E. Selinger (eds) Cambridge Handbook of Consumer Privacy. - Cambridge University Press, 2018.

18. Newman, A. Protectors of Privacy: Regulating Personal Data in the Global Economy [Text] / A. Newman. - Cornell University Press, 2008.

19. Schwartz, P. M. Information Privacy [Text] / P. M. Schwartz, D. J. Solove. - Aspen, 2009.

20. Scurria, A. Equifax Gets Record-Setting $18M FCRA Verdict Slashed [Text] / A. Scurria // Law 360. - January 30, 2014.

21. Solove, D. Privacy Self-Management and the Consent Dilemma [Text] / D. Solove // (2013) 126 Harvard Law Review 1879.

22. Study Group on a European Civil Code, Principles, Definitions and Model Rules of European Private Law: Draft Common Frame of Reference [Electronic resource] / C. Von Bar, E. Clive, H. Chulte-Nölke (eds) URL: https://www.law. kuleuven.be/personal/mstorme/DCFR.html.

23. The European Commission is the EU's executive arm [Electronic resource] // European Commission, 'The European Commission's priorities' (website). - URL: https:// ec.europa.eu/commission/index_en.

24. The European Commissions Priorities [Electronic resource] // URL: https://ec.europa.eu/ commission/index_en

25. [Electronic resource] URL: https://noyb.eu (date of application: 12.11.2020).

26. Zuiderveen Borgesius F. J. An Assessment of the Commission's Proposal on Privacy and Electronic Communications', Directorate-General for Internal Policies, Policy Department C: Citizen's Rights and Constitutional Affairs, June 2017, [Electronic resource] / F. J. Zuiderveen Borgesius, J. Van Hoboken, K. Irion, M. Rozendaal // URL: https://ssrn.com/abstract=2982290

References

1. Talapina, E. V. Legal protection of personal data in France [Text] / E. V. Talapina // Pravo. Journal of the Higher School of Economics. - 2012. - P. 152-161 [in Russian].

2. Talapina E. V. Protection of personal data in the digital age: Russian law in the European context [Text] / E. V. Talapina // Proceedings of the Institute of State and Law of the Russian Academy of Sciences. - 2018. - Vol. 13, No. 5. - P. 120 [in Russian].

3. Churilov, A. Yu. Principles of the General Regulation of the European Union on the protection of personal data (GDPR): problems and prospects of implementation [Text] / A. Yu. Churilov // Siberian Legal Review. - 2019. - № 1 [in Russian].

4. Shebanova, N. A. Protection of personal data: the experience of the European Community // Journal of the Court of Intellectual Rights. - 2019. - No. 25, September. -P. 5-14 [in Russian].

5. Albrecht, J. "EU data P State of the Union" (speech at the Chaos Communication Congress, 2013) [Electronic resource] / J. Albrecht // URL: http://www.janalbrecht.eu/ fileadmin/material/Dokumente/30C3-JPA-EUdataP.pdf [in English].

6. Bamberger, K. Privacy on the Ground [Text] / K. Bamberger, D. K. Mulligan. - MIT Press, 2015 [in English].

7. Bennett, C. J. Regulating Privacy: Data Protection and Public Policy in Europe and the United States [Text] / C. J. Bennett. - Cornell University Press, 1992 [in English].

8. CNIL, 'Facebook Sanctioned for Several Breaches of the French Data Protection Act', May 16, 2017 [Electronic resource] // URL: https://www.cnil.fr/en/facebook-sanctioned-several-breaches-french-data-protection-act [in English].

9. Consolidated Version of the Treaty on the Functioning of the European Union [2012] OJ C326/47 (TFEU) art 288 [Electronic resource] // URL: http://eur-lex.europa. eu/legal-content/EN/TXT/PDF/?uri=CELEX:12012E/ TXT&from=EN [in English].

10. De Hert, P. The New Police and Criminal Justice Data Protection Directive. A First Analysis [Text] / P. de Hert, V. Papakonstantinou Vagelis // New Journal of European Criminal Law. - 2015. - Vol. 7(1) [in English].

11. Gellman, R. Fair Information Practices: A Basic History [Electronic resource] / R. Gellman // April 2017. -URL: https://b obgellman.com/rg- docs/rg- FIPshistory.pdf [in English].

12. Gonzalez, F. The Emergence of Personal Data Protection as a Fundamental Right [Text] / F. Gonzalez. -Springer, 2014. - P. 164-166 [in English].

13. Guidelines on the Protection of Privacy and Transborder Flows of Personal Data [Electronic resource] // URL: http://www.oecd.org/sti/ieconomy/oecdguidelineson theprotectionofprivacyandtransborderflowsofpersonaldata. htm [in English].

14. Hoof nagle, C. J. The Origin of Fair Information Practices: Archive of the Meetings of the Secretary's Advisory Committee on Automated Personal Data Systems (SACAPDS). (July 2014) [Electronic resource] // URL: https:// papers.ssrn.com/sol3/papers.cfm?abstract_id=2466418 [in English].

15. Hoof nagle, Ch. J. The European Union general data protection regulation: what it is and what it means [Text] / Ch. J. Hoofnagle, B. van der Sloot, Fr. Zuiderveen Borgesius // Information & Communications Technology Law. - 2019. - Vol. 28, No. 1. - P. 65-98. - DOI: 10.1080/13600834.2019.1573501 [in English].

16. Koops, B. J. A Typology of Privacy [Text] / B. J. Koops, B. Newell, T. Timan, I. Skorvanek, T. Chokrevski, M. Galic // University of Pennsylvania Journal of International Law. -2017. - Vol. 38(2) [in English].

17. Kulk, S. Privacy, Freedom of Expression, and the Right to Be Forgotten in Europe [Text] / S. Kulk, F. J. Zuiderveen Borgesius // J. Polonetsky, O. Tene, E. Selinger (eds) Cambridge Handbook of Consumer Privacy. - Cambridge University Press, 2018 [in English].

18. Newman, A. Protectors of Privacy: Regulating Personal Data in the Global Economy [Text] / A. Newman. - Cornell University Press, 2008 [in English].

19. Schwartz, P. M. Information Privacy [Text] / P. M. Schwartz, D. J. Solove. - Aspen, 2009 [in English].

20. Scurria, A. Equifax Gets Record-Setting $18M FCRA Verdict Slashed [Text] / A. Scurria // Law 360. - January 30, 2014 [in English].

21. Solove, D. Privacy Self-Management and the Consent Dilemma [Text] / D. Solove // (2013) 126 Harvard Law Review 1879 [in English].

22. Study Group on a European Civil Code, Principles, Definitions and Model Rules of European Private Law: Draft Common Frame of Reference [Electronic resource] / C. Von Bar, E. Clive, H. Chulte-Nölke (eds) URL: https://www.law. kuleuven.be/personal/mstorme/DCFR.html [in English].

23. The European Commission is the EU's executive arm [Electronic resource] // European Commission, 'The European Commission's priorities' (website). - URL: https:// ec.europa.eu/commission/index_en [in English].

24. The European Commission's Priorities [Electronic resource] // URL: https://ec.europa.eu/ commission/index_ en [in English].

25. [Electronic resource] URL: https://noyb.eu (date of application: 12.11.2020) [in English].

26. Zuiderveen Borgesius F. J. 'An Assessment of the Commission's Proposal on Privacy and Electronic Communications', Directorate-General for Internal Policies, Policy Department C: Citizen's Rights and Constitutional Affairs, June 2017, [Electronic resource] / F. J. Zuiderveen Borgesius, J. Van Hoboken, K. Irion, M. Rozendaal // URL: https://ssrn.com/abstract=2982290 [in English].

Поступила в редакцию 10.03.2022 Received March 10, 2022