Научная статья на тему 'СФЕРА ДЕЙСТВИЯ ОБЩЕГО РЕГЛАМЕНТА О ПЕРСОНАЛЬНЫХ ДАННЫХ ЕС'

СФЕРА ДЕЙСТВИЯ ОБЩЕГО РЕГЛАМЕНТА О ПЕРСОНАЛЬНЫХ ДАННЫХ ЕС Текст научной статьи по специальности «Право»

CC BY
209
44
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ПЕРСОНАЛЬНЫЕ ДАННЫЕ / НАПРАВЛЕННАЯ ДЕЯТЕЛЬНОСТЬ / ЭКСТРАТЕРРИТОРИАЛЬНАЯ ЮРИСДИКЦИЯ / КИБЕРПРОСТРАНСТВО / ТЕРРИТОРИАЛЬНАЯ ЮРИСДИКЦИЯ / ОБОРУДОВАНИЕ / КОНТРОЛЕР / ЛИЦО / ОБРАБАТЫВАЮЩЕЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ

Аннотация научной статьи по праву, автор научной работы — Терентьева Л. В.

Цель настоящей статьи заключается в определении сферы распространения Регламента Европейского Парламента и Совета ЕС 2016 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (далее - Регламент). В качестве метода исследования автором предпринят сравнительно-правовой анализ положений Директивы Европейского Парламента № 95/46/EC «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» (далее - Директива) и Регламента. В результате исследования автором разграничивается территориальная и экстратерриториальная сфера распространения Регламента. Уточняется содержание понятий «оборудование» и «место учреждения» контролера и лица, обрабатывающего персональные данные, в контексте применения Регламента. В статье формулируется вывод о том, что, поскольку при отмене Директивы в Регламент не были внесены изменения в понятие «учреждение», широкое толкование данного понятия в судебной практике может быть также применимо и к территориальной сфере действия Регламента. Преемственность формулировок Директивы и Регламента позволили автору заключить, что экстратерриториальную сферу применения Регламента можно усмотреть не только в ч. 2 ст. 3 Регламента, предусматривающей его прямое экстратерриториальное действие, но и в ч. 1 ст. 3, оговаривающей территориальную сферу его действия, на основании критериев, в основе которых лежит привязка исключительно к территории государств - членов ЕС, как, например, «место учреждения» контролера или лица, обрабатывающего персональные данные.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

SCOPE OF THE EU GENERAL PERSONAL DATA REGULATION

The purpose of this article is to clarify the scope of the Regulation (eu) 2016/679 of the European parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (here in after - Regulation). The author makes a comparative legal analysis of the provisions of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (here in after - the Directive) and Regulations. As a result of the study, the author distinguishes between the territorial and extraterritorial scope of the Regulation.The author clarifies the content of the concepts of “equipment” and “the establishment” of the controller and the person processing personal data in the context of the application of the Regulations. The article concludes that since no changes were made to the concept of “the establishment” when the Directive was repealed, a broad interpretation of this concept in judicial practice can also be applied to the territorial scope of the Regulation.The continuity of the wording of the Directive and the Regulation allowed the author to conclude that the extraterritorial scope of the Regulation can be seen not only in Part 2 of Article 3 of the Regulation, which provides for its direct extraterritorial effect, but also in Part 1 of Article 3, which specifies the territorial scope of its action, on the basis of criteria that are based solely on the territory of the EU member States, such as the “place of establishment” of the controller or the person processing personal data.

Текст научной работы на тему «СФЕРА ДЕЙСТВИЯ ОБЩЕГО РЕГЛАМЕНТА О ПЕРСОНАЛЬНЫХ ДАННЫХ ЕС»

УНИВЕРСИТЕТА

O.E. Кугафина (МПОА)

Людмила Вячеславовна ТЕРЕНТЬЕВА,

доцент кафедры международного частного права

Университета имени О.Е. Кутафина (МГЮА), кандидат юридических наук, доцент [email protected] 125993, Россия, г. Москва, ул. Садовая-Кудринская, д. 9

СФЕРА ДЕЙСТВИЯ ОБЩЕГО РЕГЛАМЕНТА О ПЕРСОНАЛЬНЫХ ДАННЫХ ЕС1

Аннотация. Цель настоящей статьи заключается в определении сферы распространения Регламента Европейского Парламента и Совета ЕС 2016 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (далее — Регламент). В качестве метода исследования автором предпринят сравнительно-правовой анализ положений Директивы Европейского Парламента № 95/46/ ЕС «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» (далее — Директива) и Регламента. В результате исследования автором разграничивается территориальная и экстратерриториальная сфера распространения Регламента. Уточняется содержание понятий «оборудование» и «место учреждения» контролера и лица, обрабатывающего персональные данные, в контексте применения Регламента. В статье формулируется вывод о том, что, поскольку при отмене Директивы в Регламент не были внесены изменения в понятие «учреждение», широкое толкование данного понятия в судебной практике может быть также применимо и к территориальной сфере действия Регламента. Преемственность формулировок Директивы и Регламента позволили автору заключить, что экстратерриториальную сферу применения Регламента можно усмотреть не только в ч. 2 ст. 3 Регламента, предусматривающей его прямое экстратерриториальное действие, но и в ч. 1 ст. 3, оговаривающей территориальную сферу его действия, на основании критериев, в основе которых лежит привязка исключительно к территории государств — членов ЕС, как, например, «место учреждения» контролера или лица, обрабатывающего персональные данные.

Ключевые слова: персональные данные; направленная деятельность; экстратерриториальная юрисдикция; киберпространство; территориальная юрисдикция; оборудование; контролер; лицо, обрабатывающее персональные данные.

DOI: 10.17803/2311-5998.2021.79.3.082-093

1 Статья подготовлена при финансовой поддержке РФФИ в рамках научно-исследовательского проекта № 18-29-16061 «Сетевое право: от концепта к методологии регулирования трансграничных отношений», реализуемого по результатам конкурса на лучшие научные проекты междисциплинарных фундаментальных исследований (код конкурса — 26-816 © П. В. Терентьева, 2021 «Трансформация права в условиях развития цифровых технологий»).

L-—^ i,

имени О.Е. Кутафина (МГЮА)

L. V. TERENTEVA,

Associate Professor of the Chair of Private International Law of the Kutafin Moscow State Law University (MSAL), Cand. Sci. (Law), Associate Professor [email protected] 125993, Russia, Moscow, ul. Sadovaya-Kudrinskaya, 9

SCOPE OF THE EU GENERAL PERSONAL

DATA REGULATION

Abstract. The purpose of this article is to clarify the scope of the Regulation (eu) 2016/679 of the European parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/ EC (General Data Protection Regulation) (here in after — Regulation). The author makes a comparative legal analysis of the provisions of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (here in after — the Directive) and Regulations. As a result of the study, the author distinguishes between the territorial and extraterritorial scope of the Regulation. The author clarifies the content of the concepts of"equipment" and "the establishment" of the controller and the person processing personal data in the context of the application of the Regulations. The article concludes that since no changes were made to the concept of "the establishment" when the Directive was repealed, a broad interpretation of this concept in judicial practice can also be applied to the territorial scope of the Regulation. The continuity of the wording of the Directive and the Regulation allowed the author to conclude that the extraterritorial scope of the Regulation can be seen not only in Part 2 of Article 3 of the Regulation, which provides for its direct extraterritorial effect, but also in Part 1 of Article 3, which specifies the territorial scope of its action, on the basis of criteria that are based solely on the territory of the EU member States, such as the "place of establishment" of the controller or the person processing personal data. Keywords: personal data; directed activity; extraterritorial jurisdiction; cyberspace; territorial jurisdiction; equipment; controller; person processing personal data.

Факторы глобализации, такие как международная торговля, туризм и иностранные инвестиции, катализировали ситуацию конкуренции юрисдик-ций различных государств.

Особенно отчетливо указанная тенденция проявилась в информационно-коммуникационном пространстве, масштабное развитие которого способствовало смешению границ национальных правовых пространств и увеличению числа случаев установления экстратерриториальной юрисдикции.

m

ж

д у i

рИ

д0

НР

-|Ш □ ы

чт >а

пп

тп

нф

оы

права

>

) УНИВЕРСИТЕТА

а-—^ имени О. Е. Кугафи на (МПОА)

Возможность наступления последствий на территории одного государства в результате принятия актов на территории других государств послужила обоснованием доктринальной позиции о том, что концепции расширенной юрисдикции становятся частью правовой системы России и многих других государств2.

В этой связи реализация экстратерриториальной юрисдикции в отношении иностранных государств не просто представляет собой теоретический концепт, а становится вопросом факта. При этом критерий разграничения территориального или экстратерриториального проявления юрисдикции в современных условиях в большей степени зависит не от четкой территориальной демаркации между государствами, а от того, затрагиваются ли значимые интересы одного государства в результате реализации юрисдикционных полномочий другого государства.

В данных условиях государства стоят перед необходимостью разработки инструментария, который позволяет, с одной стороны, защитить права своих граждан, нарушение которых может осуществляться без физического пересечения государственных границ в связи с использованием информационно-коммуникационных технологий; с другой — пресечь ситуации конфликтов юрисдикций различных государств.

Иллюстрацией установления экстратерриториальной предписательной юрисдикции может служить законодательство государств о персональных данных.

Закон Австралии о конфиденциальности 1988 г. распространяется на любую организацию или оператора малого бизнеса, имеющих связь с Австралией, в частности с осуществлением предпринимательской деятельности в Австралии (Sec. 5B, par. 3(b))3. Закон о защите персональных данных 2012 г. Сингапура распространяется на организации, собирающие персональные данные физических лиц в Сингапуре, независимо от того, присутствует ли сама организация в Сингапуре4.

Экстратерриториальная сфера действия была заложена и в Директиве Европейского Парламента № 95/46/EC «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» (далее — Директива)5. В результате действия указанной Директивы, которая являлась обязательной прежде всего для государств — членов Европейского Союза, в национальном праве ЕС имели место некоторые расхождения в ее реализации. В этой связи в 2016 г. был принят обязательный для всех физических и юридических лиц ЕС Регламент Европейского Парламента и Совета ЕС 2016 г. о защите физических

2 Бабаев А. Б., Бабкин С. А, Бевзенко Р. С, Белов В. А, Тарасенко Ю. А. Гражданское право. Актуальные проблемы теории и практики : в 2 т. ; под общ. ред. В. А. Белова ; 2-е изд., стереотип. М. : Юрайт, 2015. C. 967 (автор очерка 25 — С. А. Бабкин).

3 Privacy Act Australia of 1988 // URL: https://www.legislation.gov au/Details/C2014C00076// (дата обращения: 20.11.2020).

4 Personal Data Protection Act of 2012 (No. 26 of 2012) // URL: www.dlapiperdataprotection. com/index.html?t=law&c=SG (дата обращения: 20.11.2020).

5 Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data // URL: https://edps.europa.eu/sites/edp/files/publication/dir_1995_46_ en.pdf (дата обращения: 14.12.2020).

L-—^ i,

имени О.Е. Кутафина (МГЮА)

лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (далее — Регламент)6.

В статье 3 Регламента под названием «Территориальное действие» раскрывается как территориальная, так и экстратерриториальная сфера его распространения в зависимости от того, учреждены ли контролер или лица, обрабатывающие персональные данные, в Европейском Союзе.

Российскими учеными разграничивалась территориальная и юрисдикционная сфера действия Регламента о персональных данных. Территориальная сфера применения Регламента, по мнению авторов, ограничивается переделами Евросоюза, тогда как юрисдикционная сфера действия распространяется на субъектов за пределами Евросоюза7.

Как представляется, распространение действия закона за пределами территории государства свидетельствует скорее о его экстратерриториальном проявлении, нежели о юрисдикционном.

В доктрине международного публичного права территориальный принцип юрисдикции относится к числу основных принципов наряду с персональным принципом, охранительным принципом, направленным на защиту государственных интересов, и универсальным принципом, направленным на защиту международного порядка8.

Территориальный аспект юрисдикции отмечается и в международно-правовых актах, где юрисдикция, как правило, рассматривается с точки зрения распространения суверенной власти государств-участников на какие-либо объекты или определенные участки территории, а также как проявление территориального верховенства9, из чего можно выделить как содержательный аспект юрисдикции, а именно совокупность властных полномочий (предписывающая, судебная, исполнительная юрисдикция), так и форму ее реализации — пространственное ограничение ее действия пределами государственной территории.

6 General Data Protection Regulation (GDPR) // GDPR Archives — GDPR.eu (дата обращения: 20.11.2020).

7 См.: Долинская В. В. Защита прав в сфере персональных данных в России и ЕС // Законы ^ России: опыт, анализ, практика. 2019. № 9. С. 22—29 ; Касенова М. Б. Некоторые заме- m чания относительно диверсификации правового регулирования защиты персональных

данных: подход Европейского Союза // Юридическая наука. 2018. № 2. С. 17, 23. у

8 Лукашук И. И. Международное право. Общая часть : учебник для студентов юридиче- а ских факультетов и вузов. 3-е изд., перераб. и доп. М. : Волтерс Клувер, 2008. С. 330 ; °и Толстых В. Л. Курс международного права : учебник. М. : Проспект, 2018. С. 279— д0 284 ; Хименес де Аречага Э. Современное международное право. М. : Прогресс, 1983.

С. 272 ; Akehurst M. A. Modem Introduction to International Law. 5th ed. London, 1985. °ы P. 103 ; Mann F. A. Studies in International Law. Oxford, 1973. P. 31 ; Zerk J. A. Extraterritorial

Jurisdiction: Lessons for the Business and Human Rights Sphere from Six Regulatory Areas. п п

Working Paper № 59. Harvard Corporate Social Responsibility Initiative, 2010. P. 18. нф

9 Проект Декларации прав и обязанностей государств от 06.12.1949 (принят Комиссией — т международного права ООН, резолюция 375 (IV) от 06.12.1949 // Международное право . о ы сборник документов. М. : Юрид. лит., 2000. права

>

) УНИВЕРСИТЕТА

L-—имени О. Е. Кугафи на (МПОА)

Если территориальную юрисдикцию традиционно в отечественной и зарубежной доктрине определяют как совокупность властных полномочий государства, реализуемых в рамках определенной территории, то под экстратерриториальной юрисдикцией понимается распространение указанных полномочий за пределы территории государства10.

Расширенное понимание территориальной юрисдикции в доктрине объясняется разнообразием ситуаций, подпадающих под ее действие11.

Таким образом, представляется более логичным говорить не столько о юрис-дикционном распространении закона, сколько о его территориальном и экстратерриториальном действии. Юрисдикция, не теряя своей территориальной сущности, в случае ее реализации за пределами соответствующего государства, трансформируется из территориальной в экстратерриториальную.

Пункт 1 ст. 3 Регламента предусматривает его территориальное действие в отношении обработки персональных данных в контексте деятельности учреждения контролера или обрабатывающего данные лица в ЕС12, вне зависимости от того, проводится обработка в ЕС или нет.

Между тем, как показывает судебная практика, даже предусмотренное в Регламенте условие о его территориальном распространении в соответствии с критериями, в основе которых лежит привязка исключительно к территории государств — членов ЕС, в ряде случаев может носить экстратерриториальный характер.

В пункте 22 преамбулы Регламента поясняется, что учреждение подразумевает под собой эффективное и реальное осуществление деятельности посредством стабильных организаций. При этом правовая форма такого учреждения, будь то филиал или дочерняя компания с самостоятельной правосубъектностью, не является определяющим фактором.

В предшествующей Регламенту Директиве учреждение понималось похожим образом в целях определения территориальной сферы действия национального права государства-члена (ст. 4 и п. 19 преамбулы Директивы).

10 Зимненко Б. Л. Международное право и правовая система Российской Федерации. Особенная часть : курс лекций. М. : Статут, 2010. С. 459 ; Лукашук И. И. Международное право. Общая часть. М. : Бек, 1996. С. 145 ; Colangelo A. J. What is extraterritorial jurisdiction? // Cornell Law Abstract. 2014. Vol. 99. P. 1303 ; SpencerZ. Globalisation and the Rule of Law. Routledge Press, 2005. P. 11 ; Senz D., Charlesworth H. Building Blocks: Australia's Response to Foreign Extraterritorial Legislation // Melbourne Journal of International Law. 2001. Vol. 2. P. 69, 72 ; Parrish A. Reclaiming International Law from Extraterritoriality // Minnesota Law Abstract. 2009. Vol. 93. P. 842.

11 Международное право. Общая часть : учебник / под ред. Р. М. Валеевой, Г. И. Курдюкова. М. : Статут, 2011. С. 418—419 (автор главы X — А. Р. Каюмова).

12 Под контролером в ст. 4 Регламента понимается физическое или юридическое лицо, органы государственной власти, агентство или иной орган, который самостоятельно или совместно с другими определяет цели и способы обработки персональных данных. «Обрабатывающее данные лицо» понимается как физическое или юридическое лицо, органы государственной власти, агентство или иной орган, который обрабатывает персональные данные от имени контролера.

тз

L-—^ i,

имени O.E. Кутафина (МГЮА)

В этой связи ни национальность контролера или обрабатывающего данные лица, ни место их основного учреждения, ни физическое местонахождение обработки персональных данных не принимались во внимание ни отмененной в настоящее время Директивой, ни Регламентом.

Еще до принятия Регламента уточнение содержания понятия «учреждение» имело место в деле Case C-230/14 «Weltimmo s.r.o. V. Nemzeti Adatvédelmi és Információszabadság Hatóság» в отношении зарегистрированной в Словакии компании Weltimmo13. Суд, исключая формальный подход, заключил, что Weltimmo в целях применения Директивы имела «учреждение» на территории Венгрии, отметив, что реальная и эффективная деятельность, даже если она является минимальной, может быть квалифицирована как учреждение.

Такого рода деятельность, по мнению суда, может заключаться, во-первых, в ведении компанией Weltimmo соответствующего веб-сайта, на котором осуществлялась реклама недвижимости в Венгрии на венгерском языке; во-вторых, в присутствии представителя в лице одного из учредителей, наряду с другими элементами, такими как открытый в Венгрии банковский счет и почтовый ящик. При этом в решении суда было отмечено, что «присутствие только одного представителя может в некоторых обстоятельствах быть достаточным... если этот представитель действует с определенной степенью стабильности благодаря наличию необходимого оборудования для оказания соответствующих конкретных услуг»14.

Факт присутствия представителя как критерий применимости законодательства о персональных данных был подвергнут критике в иностранной доктрине ввиду слабой связи между местом нахождения представителя и государством, в котором имеет место деловая активность компании15. То обстоятельство, что представитель не принимал участия в хозяйственных делах компании, а лишь отстаивал ее интересы в судебном процессе, позволило иностранным ученым сделать вывод о том, что функция представителя может быть выполнена нанятым на договорной основе адвокатом, не работающим в компании16.

В деле «Google Spain case (C-131/12, Google Spain SL and Google Inc. v. Agencia Española de Protección de Datos (AEPD) and Mario Costeja González»17

13 Judgment of the Court (Third Chamber) of 1 October 2015 Weltimmos. r.o. v. Nemzeti Adatvédelmi és Információszabadság Hatóság Request for a preliminary ruling from the ^

Kúria. Case C-230/14 // URL: http://curia.europa.eu/juris/document/document.jsfijsessionid m

=8D92450E1379734433259B1B32D8FDA7?text=&docid=168944&pageIndex=0&doclang= д

en&mode=lst&dir=&occ=first&part=1&cid=21661996 (дата обращения: 12.12.2020). у

Judgment of the Court (Third Chamber) of 1 October 2015 Weltimmos. r.o. v. Nemzeti а

Adatvédelmi és Információszabadság Hatóság Request for a preliminary ruling from the Kúria. Case C-230/14. д0

Gullaker H. The extraterritorial scope of European data protection law: The changes in extraterritorial scope between the Data Protection Directive and the General Data Protection

14

гш о ы

Regulation. Р 15 // URL: https://www.duo.uio.no/bitstream/handle/10852/60636/586. pdf?sequence=1&isAllowed=y (дата обращения: 14.11.2020).

GullakerH. Ор. cit. не

Google Spain SL, Google Inc. v. Agencia Española de Protección de Datos (AEPD), Mario от

Costeja González // URL: EUR-Lex-62012CJ0131-EN-EUR-Lex(europa.eu) (дата обращения: 14.11.2020). права

>

16

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

17

) УНИВЕРСИТЕТА

а-—^ имени О. Е. Кугафи на (МПОА)

также было предложено широкое толкование понятия «учреждение» в контексте применения Директивы. Гражданин Испании обратился с жалобой в испанское агентство по защите данных (AEPD) на размещение персональных данных в ежедневной испанской газете (La Vanguar dia Ediciones SL), а также на Google Spain и Google Inc., отображающих электронную версию. Спорным моментом стал статус Google Spain. В то время как Google Inc. — материнская компания группы Google, зарегистрированная в США, управляет поисковой системой, отображающей страницы испанской газеты, функция дочерней компании Google Spain ограничивалась только продвижением рекламного пространства на веб-сайте Google.

В судебном разбирательстве был поднят вопрос, осуществлялась ли обработка персональных данных в рамках деятельности Google Spain. Суд установил, что, несмотря на то, что обработка персональных данных производилась исключительно компанией Google Inc., деятельность Google Spain (продвижение и продажа рекламных площадей в Интернете) неразрывно связана с этой обработкой, поскольку «деятельность, связанная с рекламным пространством, является средством обеспечения экономической прибыльности рассматриваемой поисковой системы».

Суд пришел к выводу, что персональные данные Гонсалеса обрабатываются Google Spain в связи с отсутствием требования о том, что обработка персональных данных должна осуществляться самим учреждением, поскольку говорится об обработке данных в контексте (в рамках) деятельности этого учреждения.

Таким образом, в отсутствие регистрации компании на территории Испании Google Inc. была признана контролером данных, тогда как ее дочерняя компания Google Spain была квалифицирована в качестве «учреждения».

Указанные примеры демонстрируют, что даже на основе критериев, в основе которых лежит привязка исключительно к территории государств — членов ЕС, имеет место проявление экстратерриториальной предписательной и судебной юрисдикции.

Реализуется экстратерриториальная юрисдикция на основе доктрины эффекта, или доктрины последствий. К доктрине эффекта, или доктрине последствий, ученые относят экстратерриториальную юрисдикцию, устанавливаемую в отношении иностранного гражданина, действия которого на территории иностранного государства имеют серьезные последствия на территории государства, устанавливающего юрисдикцию18.

Обработка данных Google Inc. хотя физически и происходила на территории США, тем не менее оказывала влияние на испанского гражданина, что обусловило применение Директивы, требовавшей соблюдение национальных законов места учреждения лиц, обрабатывающих данные, или контролеров.

Принимая во внимание, что при отмене Директивы в Регламент не были внесены изменения в части понятия «учреждение», можно заключить, что те выводы, которые были сделаны в деле Google Spain, в равной степени могут быть применимы и к территориальной сфере действия Регламента. Об этом свидетельствует воспроизведенная в Регламенте конструкция Директивы «в контексте деятельности учреждения контролера или обрабатывающего

18 Zerk J. A. Ор. Git. P. 18.

в

L-—^ i,

имени О.Е. Кутафина (МГЮА)

данные лица в Союзе, вне зависимости от того, проводится обработка в Союзе или нет».

В иностранной доктрине был приведен пример такого рода подхода в отношении многонациональной компании. Если находящаяся за пределами ЕС материнская компания обрабатывает для целей централизованного управления персональные данные сотрудников группы компаний, находящихся в ЕС и такая обработка происходит в рамках деятельности этих компаний, то к обработке данных сотрудников соответствующих компаний ЕС будут применяться законы ЕС19.

В отличие от Регламента, п. «с» ч. 1 ст. 4 Директивы предусматривал применение национального права государства-члена к обработке персональных данных, если контролер, не имеющий учреждения на территории ЕС, для целей обработки персональных данных использует автоматизированное или иное оборудование, расположенное на территории государства-члена, за исключением случаев, когда такое оборудование используется только для целей транзита через территорию сообщества.

В документе, созданном Рабочей группой по определению трансграничного применения законодательства по защите персональных данных, обрабатываемых через Интернет веб-сайтами третьих стран, приведены примеры оборудования, к которому могут быть отнесены персональные компьютеры, терминалы и серверы, которые могут использоваться практически для всех видов технологических операций. В качестве типичного случая использования оборудования только для транзита приводятся телекоммуникационные сети (магистральный канал передачи данных, кабели и т.д.), по которым интернет-коммуникации проходят от пункта отправки до пункта назначения20.

В документе рабочей группы также отмечено, что не имеет значения, осуществляет ли контролер полный контроль над оборудованием, а также на каком основании осуществляется распоряжение контролера оборудованием (на основании права собственности или иного права). Для целей применения Регламента необходимо, чтобы контролер принимал соответствующие решения относительно способа функционирования оборудования, существа данных и процедуры их обработки. При этом понятие «использование» предполагает два элемента: определенную деятельность, осуществляемую контролером, и намерение контролера обрабатывать персональные данные21.

Рабочая группа придерживалась весьма широкой трактовки понятия «оборудование», включая также «сбор персональных данных через компьютеры у

i

19 Moerel L. The long arm reach of EU data protection law: Does the Data Protection Directive о ^ apply to processing of personal data of EU citizens by websites worldwide? // International д s Data Privacy Law. 2001. № 1 (1). P. 30. ° □

20 Data Protection Working Party. Working document on determining the international application

m

гш □ ы

of EU data protection law to personal data processing on the Internet by non-EU based £ □

web sites. Article 29 // URL: https://ec.europa.eu/justice/article-29/documentation/opinion- с с

recommendation/files/2002/wp56_en.pdf.

Data Protection Working Party. Working document on determining the international application □ т

of EU data protection law to personal data processing on the Internet by non-EU based web о ы

sites. Article 29. права

>

21

) УНИВЕРСИТЕТА

а-—^ имени О. Е. Кугафи на (МПОА)

пользователей, посредством файлов cookie22 или баннеров Java Script»23, что обусловило применение п. «с» ч. 1 ст. 4 к поставщикам услуг, созданным в третьих странах24. При этом в документе отмечено, что в случае файлов cookie физическое лицо должно иметь возможность принять или отказаться от размещения файлов cookie, а также определить, какие данные оно желает обрабатывать с помощью файлов cookie, а какие — нет.

В самом Регламенте файлы cookie упоминаются только в параграфе 30 преамбулы Регламента: Физические лица могут быть ассоциированы с определенными сетевыми идентификаторами, которые обеспечиваются устройствами, приложениями, программными средствами и протоколами, как, например, IP-адреса, идентификаторы типа cookie — файлы или иные, например метки радиочастотной идентификации. Такого рода сетевые идентификаторы, особенно в сочетании с уникальными идентификаторами и другой полученной серверами информацией, оставляют следы, которые могут быть использованы для создания профилей физических лиц в целях их идентификации.

В руководстве по соблюдению требований о защите персональных данных в ЕС файлы cookie подразделены на четыре категории:

— строго необходимые файлы cookie, которые используются для просмотра вебсайта и использования его функций, например, в целях сохранения товаров в корзине интернет-магазинов;

— файлы cookie предпочтений («функциональные файлы cookie»), которые позволяют веб-сайту запоминать уже выбранные ранее варианты (используемый язык, предпочитаемый регион в целях составления сводки о погоде, имя пользователя и пароль и т.п.);

— статистические файлы cookie, также известные как «файлы cookie производительности», эти файлы cookie собирают информацию о том, как вы используете веб-сайт, например, какие страницы вы посещали и по каким ссылкам переходили. Информация не используется для идентификации лица, цель сбора данной информации — улучшить функции веб-сайта;

22 Файлы cookies — это часть текстовых данных, хранящаяся в браузере. В них содержится информация, которую пользователь передает сайтам при их посещении. Именно она помогает запомнить все действия, чтобы при очередном входе на сайт облегчить навигацию (Файлы cookies — что это: 7 мифов и их разоблачение // URL:proudalenku.ru/ fajly-cookies-chto-ehto/ (дата обращения: 30.11.2020)).

23 Программные приложения, отправляемые веб-сайтом на компьютер пользователя и позволяющие удаленным серверам запускать приложения на компьютере пользователя. В зависимости от содержания программного обеспечения Java Scripts могут использоваться для отображения информации на веб-странице, а также для внедрения вирусов в компьютер (так называемая вредоносная Java) и/или для сбора и обработки персональных данных, хранящихся в компьютере (Data Protection Working Party. Working document on determining the international application of EU data protection law to personal data processing on the Internet by non-EU based web sites. Article 29).

24 Data Protection Working Party. Working document on determining the international application of EU data protection law to personal data processing on the Internet by non-EU based web sites. Article 29.

в

L-—^ i,

имени О.Е. Кутафина (МГЮА)

— маркетинговые файлы cookie, которые отслеживают онлайн-активность предпочтения и местоположение пользователя в целях предоставления релевантной рекламы. Эти файлы cookie, почти всегда стороннего происхождения, могут передаваться рекламодателям25.

Использование именно маркетинговых файлов cookie третьей стороной было ограничено в результате принятия Ргламента о персональных данных в ЕС.

Судом Евросоюза 01.10.2019 было конкретизировано использование файлов cookie. Суд установил, что согласие, которое пользователь веб-сайта дает на хранение файлов cookie и на доступ к ним на своем оборудовании, должно быть прямым и конкретным. Указание на сайте на возможность отключить cookies через настройки браузера не считается полноценным механизмом отказа26.

Такого рода либеральная интерпретация понятия «оборудование» подвергалась критике в доктрине в связи отсутствием достаточной связи между деятельностью компаний третьих стран и Европейским Союзом27, что обусловило постановку вопроса, насколько легитимными являются законы, принятые «для всего мира»28.

В российской и иностранной доктрине был поставлен вопрос о допустимости применения законодательства о персональных данных в отношении серверов, находящихся на территории нескольких государств (облачные сервисы), или арендованных контролером, или же принадлежащих нескольким организациям29. Сомнительность использования критерия «оборудование» была объяснена экономической нецелесообразностью отслеживания его местоположения, поскольку поставщики облачных услуг с трудом могут определить, где хранятся персональные данные30.

В Регламент не был включен предусмотренный в Директиве критерий «место нахождения оборудования» на территории государства-члена в качестве условия применения Регламента к обработке персональных данных.

Такого рода решение могло быть мотивировано тем, что экстратерриториальное действие Регламента, предусмотренное в п. 2 ст. 3, делает такой критерий, как «место нахождения оборудования», избыточным.

В соответствии с п. 2 ст. 3 Регламент последний применяется в отношении обработки персональных данных субъектов данных, находящихся в Союзе,

25

□s

Cookies are an important tool that can give businesses a great deal of insight into their users' m online activity. Despite their importance, the regulations governing cookies are split between

the GDPR and the ePrivacy Directive // URL: https://gdpr.eu/cookies/ (дата обращения: у

25.12.2020). а Court of Justice of the European Union PRESS RELEASE No 125/19 Luxembourg, 1 October

2019 Judgment in Case C-673/17 //URL: https://curia.europa.eu/jcms/upload/docs/application/ д s

pdf/2019-10/cp190125en.pdf (дата обращения: 20.12.2020). °°

SavelyevA. Russia's new personal data localization regulations: A step forward or a self- оы

imposed sanction? // imputer law & security review. 2016. Vol. 32. P. 136. £ □ Gullaker H. Op. cit. Р. 23 ; Moniz G. C. Finally: a coherent framework for the extraterritorial

scope of EU data protection law — WЕe end of the linguistic conundrum of Article 3(2) of the 1ej GDPR // UNIO — EU Law Journal. 2018. Vol. 4. № 2. Р. 110.

H H

Gullaker H. Op. cit. Р. 22 ; Savelyev A. Op. cit. P. 136.

Gullaker H. Op. cit. Р. 15. права

>

26

27

28

29

30

) УНИВЕРСИТЕТА

а-—^ имени О. Е. Кугафи на (МПОА)

контролером или обрабатывающим данные лицом, не учрежденными в Союзе, если обработка данных касается:

(a) предоставления товаров и услуг субъектам данных в Союзе вне зависимости от того, требуется ли оплата от указанного субъекта данных, или

(b) мониторинга их деятельности при условии, что деятельность осуществляется на территории Союза.

Смещение фокуса с места расположения оборудования на место осуществления направленной деятельности контролера или лица, обрабатывающего данные, объясняется развитием современных информационных технологий, позволяющих предприятиям обрабатывать персональные данные лиц, находящихся практически в любой точке мира. В этой связи, если поставщик облачных услуг третьей страны использует сервер в государстве-члене для хранения данных своих клиентов, то Регламент будет регулировать соответствующие отношения, если соответствующие услуги были предложены субъектам данных в государстве-члене.

В зарубежной доктрине отмечено, что, если экстратерриториальный характер действия Директивы исходил преимущественно из толкования отдельных положений Директивы Европейским судом, то экстратерриториальность Регламента прямо заложена в его статьях31. Между тем преемственность формулировок Директивы и Регламента позволяет заключить, что экстратерриториальную сферу применения Регламента можно усмотреть не только в ч. 2 ст. 3 Регламента, предусматривающей его прямое экстратерриториальное действие, но и в ч. 1 ст. 3, оговаривающей территориальную сферу его действия, на основании критериев, в основе которых лежит привязка к территории государства — члена ЕС.

БИБЛИГРАФИЯ

1. Бабаев А. Б., Бабкин С. А., Бевзенко Р. С, Белов В. А., Тарасенко Ю. А. Гражданское право. Актуальные проблемы теории и практики : в 2 т. / под общ. ред. В. А. Белова; 2-е изд., стереотип. — М. : Юрайт, 2015. — Т. 2. — 1161 с.

2. Долинская В. В. Защита прав в сфере персональных данных в России и ЕС // Законы России: опыт, анализ, практика. — 2019. — № 9. — С. 22—29.

3. Зимненко Б. Л. Международное право и правовая система Российской Федерации. Особенная часть : курс лекций. — М. : Статут, 2010. — 543 с.

4. Касенова М. Б. Некоторые замечания относительно диверсификации правового регулирования защиты персональных данных: подход Европейского Союза // Юридическая наука. — 2018. — № 2. — С. 17—26.

5. Лукашук И. И. Международное право. Общая часть : учебник для студентов юридических факультетов и вузов. 3-е изд., перераб. и доп. — М. : Волтерс Клувер, 2008. — 415 с.

6. Международное право. Общая частья : учебник / под ред. Р. М. Валеевой, Г. И. Курдюкова. — М. : Статут, 2011. — 543 с.

31 Azzi A. The Challenges Faced by the Extraterritorial Scope of the General Data Protection Regulation // Journal of Intellectual Property, Information Technology and E-Commerce Law. 2018. Vol. 9 (2). URL: https://www.jipitec.eu/issues/jipitec-9-2-2018/4723.

тз

L-—^ i,

имени O.E. Кутафина (МГЮА)

7. Талапина Э. В. Защита персональных данных в цифровую эпоху: российское право в европейском контексте // Труды института государства и права российской академии наук. — 2018. — № 5. — С. 117—150.

8. Толстых В. Л. Курс международного права : учебник. — М. : Проспект, 2018. — 736 с.

9. Хименес де Аречага Э. Современное международное право. — М. : Прогресс, 1983. — 480 с.

10. Akehurst M. A. Modem Introduction to International Law. — 5th ed. — London, 1985. — 310 p.

11. Azzi A. The Challenges Faced by the Extraterritorial Scope of the General Data Protection Regulation // Journal of Intellectual Property, Information Technology and E-Commerce Law. — 2018. — Vol. 9 (2). — URL: https://www.jipitec.eu/issues/ jipitec-9-2-2018/4723.

12. Colangelo A. J. What is extraterritorial jurisdiction? // Cornell Law Abstract. — 2014. — Vol. 99. — P. 1303—1352.

13. Gullaker H. The extraterritorial scope of European data protection law: The changes in extraterritorial scope between the Data Protection Directive and the General Data Protection Regulation. Р. 15 // URL: https://www.duo.uio.no/ bitstream/handle/10852/60636/586.pdf?sequence=1&isAllowed=y (дата обращения 14.11.2020).

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

14. Moerel L. The long arm reach of EU data protection law: Does the Data Protection Directive apply to processing of personal data of EU citizens by websites worldwide? // International Data Privacy Law. — 2001. — № 1 (1). — Pр. 28—45.

15. Moniz G. C. Finally: a coherent framework for the extraterritorial scope of EU data protection law — WEe end of the linguistic conundrum of Article 3 (2) of the GDPR // UNIO — EU Law Journal. — 2018. — Vol. 4. — № 2. — Рр. 105—116.

16. Parrish A. Reclaiming International Law from Extraterritoriality // Minnesota Law Abstract. — 2009. — Vol. 93. — P. 815—874.

17. SavelyevA. Russia's new personal data localization regulations: A step forward or a self-imposed sanction? // Computer law & security review. — 2016. — Vol. 32. — P. 128—145.

18. Senz D., Charlesworth H. Building Blocks: Australia's Response to Foreign Extraterritorial Legislation // Melbourne Journal of International Law. — 2001. — Vol. 2. — URL: https://law.unimelb.edu.au/__data/assets/pdf_file/0019/1680004/ Senz-and-Charlesworth.pdf. у

19. Spencer A. B. Jurisdiction and the Internet: Returning to Traditional Principles

to Analyze Network-Mediated Contacts // University of Illinois Law Abstract. — р-и

2006. — Vol. 71 (102). — P. 71—126. дд

20. Zerk J. A. Extraterritorial Jurisdiction: Lessons for the Business and Human Rights Qq Sphere from Six Regulatory Areas. — Working Paper № 59. — Harvard Corporate о ы

Social Responsibility Initiative, 2010. — 222 p. ^m

пп

тп

нф

гы

оы

m

права

>

i Надоели баннеры? Вы всегда можете отключить рекламу.