Территориальная сфера действия права Европейского союза по защите персональных
данных
Territorial scope of the European Union personal data protection law
Носкова Д.И.
Студентка 4 курса, юридического факультета Московского государственного университета имени М. В. Ломоносова
e-mail: [email protected]
Noskova D.
4rd year student, faculty of law LomonosovMoscow State University e-mail: [email protected]
Аннотация.
Статья раскрывает территориальную сферу действия вступившего в силу в 2018 году Общего регламента Европейского союза по защите персональных данных с учетом практики Суда Европейского Союза и доктрины европейских авторов. Отмечается, в каких случаях Регламент распространяется на лиц, не находящихся или зарегистрированных на территории союза, в том числе на российские компании. Также анализируются возникающие в международной практике проблемы, связанные со сложностью привязывания персональных данных к какой-то конкретной территории в цифровую эпоху, вынуждающие страны вводить экстратерриториальность действия права о защите персональных данных. Отдельно речь идет о территориальной сфере действия возникшего в 2014 году в практике Суда Евросоюза права на забвение.
Annotation.
The article describes the territorial scope of the European Union General Data Protection Regulation, which came into force in 2018, with analysis of the Court of Justice of the European Union case-law and doctrine of European scholars. Attention is paid to application of the Regulation on organizations not established on the territory of EU member-states. The author also analyzes the problem of how to associate personal data with the territory of certain country. It compels countries to apply personal data protection law extraterritorially. Special consideration is given to the territorial scope of the right to be forgotten, which appeared in the Court case law.
Ключевые слова: персональные данные, Европейский союз, Общий регламент по защите персональных данных, право на забвение.
Key words: personal data, European Union, GDPR, right to be forgotten.
Вопрос о территориальной сфере действия права, регулирующего персональные данные, является весьма сложным и противоречивым. Эта сложность связана, в первую очередь, с тем, что данные, как и любая другая информация, существуют в рамках не физического пространства, а, скорее, виртуального, а во -вторых, с развитием информационных технологий, предоставляющих возможность осуществления коммерческой и иной деятельности в интернете. Например, должно ли распространяться право государства на организацию, осуществляющую электронную торговлю на его территории, если сама организация зарегистрирована в другом государстве. Право какого государства применяется в случае, если субъект персональных данных находится в одном государстве, организация, осуществляющая их обработку в другом, а сами данные хранятся на сервере в третьем, и какое государство имеет право осуществлять юрисдикцию над возникшими отсюда спорами. Ярким примером здесь является дело Microsoft Corp. v. United States, которое слушалось Верховным Суде США. Дело касалось ордера на предоставление данных электронной почты, которые хранились на одном из серверов Microsoft за пределами США (в Дублине). Компания Microsoft ссылалась на то, что юрисдикция США не распространяется на данные, хранящиеся за рубежом, однако проиграла дело в суде первой инстанции. В последующих инстанциях суд встал на сторону Microsoft, что вызывало обеспокоенность органов
исполнительной власти, поскольку это могло создать препятствия для расследования значительного числа преступлений, совершаемых посредством информационных технологий. На момент рассмотрения дела в Верховном Суде США, Конгресс США принял закон Qarifving Lawful Overseas Use of Data Act (CLOUD Act), предусматривающий, что юрисдикция США распространяется в том числе и на данные, расположенные на серверах вне территории США, однако предоставил организациям адекватные механизмы для оспаривания таких решений. Вместе с тем, вопрос о территориальной сфере является одним из самых важных и основных, поскольку влияет на применимость всего права о защите персональных данных, и при отрицательном ответе рассмотрение всех остальных положений теряет смысл.
Пытаясь предоставить своим резидентам защиту персональных данных во всех случаях, Европейский союз (далее - ЕС) предусмотрел возможность экстратерриториального действия Общего регламента по защите персональных данных (General Data Protection Regulation, далее - GDPR). Статья 3 называется «Территориальная сфера действия», однако стоит оговориться, что слово «территориальная» здесь весьма условно. Скорее статья 3 описывает, какие типы связей с территорией ЕС будут активировать применение GDPR. Статью можно разделить на 3 части:
1) Статья 3(1): «Регламент применяется к обработке персональных данных в контексте деятельности учреждения (establishment) контроллера или лица, обрабатывающего данные в Союзе, независимо от того, происходит ли обработка в Союзе или нет» [1, ст.3(1)]. В русском языке «учреждение» наиболее близкий перевод термину «establishment», в контексте, в котором оно используется в оригинальном тексте, что невольно наталкивает на вывод о том, что организация должна быть учреждена, или зарегистрирована, в одном из государств-членов ЕС, однако на самом деле данный термин наполняется более широким содержанием. Хотя понятие «основное учреждение» («main establishment») определено в Статье 4 (16), GDPR не дает определения «учреждения» для целей Статьи 3. Однако в преамбуле 225 разъясняется, что «учреждение подразумевает эффективное и реальное осуществление деятельности через стабильные договоренности ( arrangements)». Суд ЕС в своих решениях также дал более широкую трактовку термину «учреждение», выводящую его за рамки простой регистрации на территории ЕС. В частности, в деле Google Spain Суд признал, что головная организация Google Inc., зарегистрированная в США, имеет «учреждение» на территории Испании в лице организации Google Spain, основная деятельность которой была направлена на рекламу и продвижение услуг всей корпорации. Таким образом, на деятельность Google Inc. распространялось действие права ЕС о персональных данных [9, параграфы 19, 52-56, 60]. В еще одном деле организация Weltimmo [10], зарегистрированная в Словакии, по факту вела бизнес только в другом государстве-члене (Венгрия). Wiltimmo имела представителя в Венгрии в лице одного из учредителей, который представлял ее в суде, а также открыла в Венгрии банковский счет и имела почтовый ящик для ведения дел. Сайт недвижимости, который составлял ее основной бизнес, был написан исключительно на венгерском языке и касался только недвижимости в Венгрии. В своем решении суд заключил: «Для цели, преследуемой Директивой 95/46, заключающейся в обеспечении эффективной и полной защиты основных прав и свобод физических лиц и, в частности, их права на неприкосновенность частной жизни в отношении обработки персональных данных, слова «в контексте деятельностиучреждения» не могут быть истолковано ограничительно [...] это приводит к гибкому определению понятия «учреждение», которое отличается от формального подхода, при котором обязанности для организаций создаются исключительно в том месте, где они зарегистрированы» (параграф 25, 29). Все это говорит о том, что Weltimmo имела «учреждение» на территории Венгрии в значении ст. 4 Директивы. Стоит оговорится, что данная практика возникла в период действия Директивы 95/46/ЕС по защите персональных данных (Data Protection Directive, далее - DPD), которая утратила силу с принятием Регламента, и касалась ст. 4, определявшей территориальную сферу действия национального права страны-
участника. Учитывая, что ст. 3 GDPR и ст. 4 DPD обе содержат критерий «учреждения», справедливо будет сказать, что практика Суда ЕС по ст. 4 DPD может учитываться при толковании ст. 3 GDPR.
2) Статья 3(2) GDPR устанавливает, что Регламент применяется в отношении обработки персональных данных субъектов данных, находящихся в Союзе, контролером или обрабатывающим данные лицом, не учрежденными (а именно, не имеющими «учреждения») в Союзе, если обработка данных касается: а) предоставления товаров и услуг субъектам данных в Союзе вне зависимости от того, требуется ли оплата от указанного субъекта данных или; б) мониторинга их деятельности при условии, что деятельность осуществляется на территории Союза. Эта норма является нововведением по сравнению с соответствующей ей ст. 4 DPD, определяющей территориальное действие национального права государств-участников. Вместо этого в DPD устанавливалось, что при отсутствии «учреждения», право государства-участника распространялось, если организация осуществляла использование оборудования (use of equipment) на территории этого государства. Этот критерий вызывал споры в доктрине, в частности относительно того, что понимается под термином «оборудование», а также в связи с противоречием ст. 4 DPD и Меморандума рабочей группы по ст. 29 DPD, где вместо «оборудования», использовался термин «средства» («means») [3, с. 14]. Такое понимание позволяло применить DPD практически по всему миру [8, с. 221 -240]. И если в отношении компьютеров и мобильных телефонов доктрина сходилась на том, что их использование может активизировать применение национального права государства-участника, то активные споры ввелись относительно того, возможно ли это в отношении файлов cookies, которые представляют собой набор компьютерных данных и не существуют в материальном мире, поэтому их определение понятием «оборудование» спорно, хотя и справедливо термином «средства» [8, с.228]. В практике Суда ЕС этот вопрос решен не был. Поэтому отказ от критерия «использование оборудования» в GDPR считался большим шагом вперед. Новый критерий получил названия критерий таргетинга (targeting criterion), который предполагает, что деятельность организации нацелена на территорию государства-члена, причем не имеет значение гражданство субъектов персональных данных, чьи данные обрабатываются. Преамбула 23 закрепляет, что для того чтобы понять, что деятельность контролера или лица, обрабатывающего направлена на какое-либо государство, могут приниматься во внимание совокупность следующих критериев: доступность сайта, контактных данных контролера или лица, обрабатывающего данные, язык и валюта, используемые при предоставлении и оплате услуг и товаров, при этом перечень таких критериев является открытым и уточняется от случая к случаю.
Вторая часть говорит о мониторинге поведения субъекта, который находится на территории ЕС. Преамбула 24 дает понять, что «чтобы определить, может ли обработка данных рассматриваться в целях мониторинга поведенческой активности субъектов данных, необходимо установить, прослеживается ли деятельность физических лиц в сети интернет, включая возможное последующее использование способов обработки персональных данных, посредством которых составляется профиль физического лица, особенно для принятия относящихся к нему решений или для анализа или прогнозирования его/ее личных предпочтений, форм поведения и жизненных позиций.». Применение статьи 3 (2) (b), когда контроллер данных или процессор контролирует поведение субъектов данных, находящихся в Союзе, может, таким образом, охватывать широкий спектр мероприятий по мониторингу, включая, в частности:
- поведенческая реклама;
- отслеживание геолокализации, в частности, в маркетинговых целях;
- онлайн отслеживание с помощью файлов cookie или других методов отслеживания, таких как дактилоскопия;
- персонализированные онлайн услуги аналитики диеты и здоровья;
- обзоры рынка и другие исследования поведения на основе индивидуальных профилей;
- мониторинг или регулярные отчеты о состоянии здоровья человека [2, с.20].
Если контроллер или лицо, обрабатывающее данные не имеет учреждения (в значении ст.3) на территории Союза, эта компания должна в письменном виде назначить представителя в ЕС (ст.27(1)). GDPR подчеркивает, что представитель должен быть создан в одном из государств-членов, где обработка данных происходит в связи с предложением товаров и услуг. Если представитель не назначен, судебный иск все равно может быть возбужден против контролера или лица, которое обрабатывает данные.
3) Статья 3(3) «Настоящий Регламент применяется в отношении обработки персональных данных организацией, не учрежденной в Союзе, но учрежденной в месте, где законодательство государства-члена ЕС применяется в соответствии с международным публичным правом». Здесь имеются в виду в первую очередь 2 типичные ситуации: а) распространение права ЕС в дипломатических и консульских учреждениях в зарубежных странах (преамбула 25) и б) распространение на морских судах, находящихся в международных водах. Вместе с тем такой подход является спорным в доктрине. Один из авторов комментария к GDPR профессор Свантессон считает ошибочным предположение, что Венские конвенции о дипломатических и консульских сношениях предполагают распространение права аккредитующего государства на территории представительств. «Конечно, дипломатические агенты и дипломатические представительства неприкосновенны, поэтому у принимающего государства практически нет реальных средств для принуждения к соблюдению местного законодательства. Тем не менее, местный закон все равно применяется как таковой [...] Иностранные государства, основываясь на преамбуле 25, могли полагать, что GDPR не будет распространяться на их дипломатические представительства и консульские учреждения в ЕС. Однако в свете вышесказанного представляется, что такие органы действительно охватываются статьей 3 (1)» [4, с.12]. Критика автора кажется обоснованной, ведь ст. 3 GDPR стремится расширить действие и на дипломатические представительства ЕС за рубежом, и на представительства других стран на территории ЕС, что не вполне справедливо и ведет к тому, что названным дипломатическим представительствам придется суметь «усидеть на двух стульях», а именно согласовать свои действия и с правом ЕС, и с правом третьего государства. Проблема облегчается тем, что представительства имеют иммунитет от юрисдикции принимающего государства, однако нужно помнить, что он не безграничный и не абсолютный. По мнению профессора, потенциал сферы действия ст. 4(3) намного шире этих представленных случаев, и чтобы определить его, «мы должны понять, в какой степени международное публичное право накладывает ограничения на сферу действия законодательной юрисдикции» [4, с. 12]. Автору видится некий замкнутый круг, который заключается в том, что названная статья GDPR отсылает к международному праву, как определяющему пределы юрисдикции государства, в то время как международное право не дает таких пределов и оставляет это на усмотрение самих субъектов международного права, то есть отсылает к их праву.
В связи с принятием GDPR много дискуссий возникло относительно потенциального его применения для российских компаний. Действительно, действие GDPR активизируется, со всеми вытекающими последствиями, в случае если компания, зарегистрированная в России, имеет организационную единицу (дочернюю компанию или филиал, а также иное «учреждение») на территории ЕС, и в связи с ее деятельностью осуществляет сбор и обработку персональных данных, а также если ее деятельность направлена на территорию государств-членов ЕС. Тем не менее, профессор Свантессон считает, что ст.3 была задумана для применения в отношении крупных IT-компаний, большая часть которых базируется в США. Он также предлагает исходить из критерия пропорциональности, предполагающего взвешивать в каждом конкретном случае, насколько серьезным было нарушение иностранной организацией права ЕС и насколько сильные связи данного субъекта с территорией ЕС. Однако такая теория пока остается достоянием доктрины [4, с. 14].
В связи с рассмотрением экстратерриториальность действия всего GDPR интересно рассмотреть территориальное действия так называемого «права на забвение». Полное название статьи 14 GDPR «Право на удаление («право на забвение»), что отражает новое понимание права на удаление данных, которое ему было предано практикой Суда ЕС. Самым значимым решением, касающимся этого права (а возможно и защиты данных в целом), является уже упоминаемое выше решение по делу Google Spain [9, параграф 82-85, 98.]. Заявителем по делу был гражданин Испании, который требовал от Google удаление старой информации о его банкротстве из результатов поискового запроса его имени. По его мнению, информация была неактуальной, но ее нахождение в открытом доступе мешало ему начать новый бизнес. Суд ЕС вынес решение, согласно которому Google обязан был удалить эти данные из поискового запроса, а у любого лица есть право требовать этого. Несмотря на большую критику, в целом такое решение встретило положительные отзывы, а данное право стало кочевать в законодательства стран по всему миру. В России право на забвение появилось в 2015 году, только почему-то не в Федеральном законе «О персональных данных», а в ст. 10.3 Федерального закона «Об информации, информационных технологиях и защите информации». И хотя названная статья GDPR приравнивает право на удаление и право на забвение, в теории это разные права, одно их которых исторически выделилось из другого. Право на забвение, в отличии от права на удаление, имеет свое специфическое содержание и специфического обязанного лица - поисковую систему. Поисковая система обрабатывает большое количество информации с целью получить наиболее релевантные результаты запроса. Нельзя сказать, что поисковая система сделала эти данные публичными, однако требование предъявляется именно к ней, а не непосредственно к тем лицам, которые опубликовали информацию на интернет-сайте. Точно также нельзя сказать, что данные обрабатываются системой незаконно, или что они являются недостоверными или неточными. Иной особенностью является также то, что данные в данном случае стали уже общедоступными законным путем (возможно даже по воли самого субъекта данных), и лицо желает повернуть ситуацию вспять и подвергнуть информацию забвению, откуда и появилось название данного права. Однако, реализация данного права не означает удаление информации из интернета совсем, на нее по-прежнему можно выйти по прямой ссылке, что отчасти нивелирует значение данного права. Отсюда и вытекает основная критика решения Суда, поскольку его аргументация в обоснованности существования права на забвение кажется слабой, недостаточной для ограничения права на распространение информации и обременение поисковых систем соответствующими обязанностями, в то время как обоснованность существования права на удаление данных в широком смысле не оспаривается никем. В последующем возникла также проблема, связанная с территориальной сферой действия права на забвение. Должная ли поисковая система удалять информацию со всех доменов для разных стран и территорий (например, google.ru для России, google.cz для Чехии, google.co.uk для Великобритании и тд.), или же только с домена той территории, откуда исходит запрос на удаление. Ответы на данные вопросы были даны Судом ЕС в деле Google v CNIL [11] по запросу национального органа Франции по защите персональных данных. Орган настаивал, что в случае, если удаление данных происходит только с территориального домена, это нивелирует значение самого права на забвение, поскольку ничто не мешает произвести поисковой запрос на другом домене. Google же утверждал, что положение DPD и GDPR не предполагают, что право должно распространяться глобально на весь мир, и что данное решение нарушило бы свободу распространения информации. Суд пришел к взвешенному решению, указав, что право на забвение распространяется только на территории ЕС, то есть предполагает блокирование информации только на доменах для стран-участниц ЕС. Однако в параграфе 72 Суд решил, что «законодательство ЕС не запрещает глобальное блокирование информации и что государства-члены остаются компетентными предписывать операторам поисковых систем блокировать ссылки в мировом масштабе после взвешивания противоречивых прав на защиту персональных
данных с правом на свободу информации в соответствии с национальными стандартами защиты основных прав», оставив тем самым возможность национальным судам блокировать информацию на всех доменах поисковой системы. В доктрине выражается обеспокоенность тем, что решение Суда также может привести к определенной изоляции европейского сектора интернета, который будет значительно ограничен и подвергнут цензуре в целях защиты персональных данных. Практика Суда также провоцирует еще большую вероятность злоупотребления правопорядком ЕС лицами извне, например, не до конца ясенвопрос, могут ли лица из других стран использовать свое «право на забвение» в европейских судах для блокирования информации в глобальном масштабе, хотя практика Суда оставляет и такой потенциал [5].
ЕС не первый субъект международного права, который пытается распространить свое право по защите персональных данных экстратерриториально, то же самое сделали уже Австралия, Филиппины, Сингапур [6, с. 9]. Их желание понятно: они пытаются избежать оффшоризации персональных данных, а также защитить права своих резидентов от угрозы, исходящей извне. С другой стороны, встает вопрос о реальном действии таких положений на практике.
В доктрине идут споры об отнесении вопроса о защите персональных данных к частному или публичному праву. Не вдаваясь в эту дискуссию, скажем, что распространение на отношения, связанные с защитой персональных данных, правил международного частного права сомнительно, как и применение судами одного государства законов о персональных данных другого государства. Иными словами, хотя GDPR и распространяется на субъектов, находящихся и зарегистрированных на территории других государств, сомнительно существование юрисдикции по исполнению решений на основе GDPR за рубежом. Это также открывает потенциальную возможность для субъектов персональных данных, чьи права были нарушены, выбирать наиболее благоприятную для них юрисдикцию (forum-shopping). В этой связи интересно рассмотреть проблему, касающуюся forum shopping в отношении исков о диффамации (libel tourism). Развитие интернет-публикаций повлекло к распространению потенциально диффаматорных материалов по всему миру. Это привело к тому, что большое количество исков о диффамации, можно было подать в государствах, право которых наиболее благоприятно для истца, несмотря на то, что связь между этим делом и государством, куда подавался иск, была весьма слабой (например, материал мог касаться граждан из Германии, опубликован в США, однако иски приносились в суды Англии, где через интернет было продано несколько экземпляров) [7]. Решение было найдено законодателем США посредством издания закона, который запрещал приведение в исполнение решения иностранных судов о диффамации, если они не отвечали требованиям 1 поправки Конституции США (Securing the Protection of our Enduring and Established Constitutional Heritage (SPEECH) Act).
И наконец, это создает проблемы для самих организаций, занимающихся хранением и обработкой персональных данных, которые вынуждены согласовывать свою деятельность с законодательством нескольких государств.
Список используемой литературы:
1. Регламент Европейского Парламента и Совета Европейского Союза 2016/679 от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене директивы 95/46/ЕС (Общий Регламент о защите персональных данных / General Data Protection Regulation /GDPR);
2. Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) Version 2.0 12 ноября 2019;
3. Explanatory Memorandum to the Amended Proposal of the Commission (COM)(92)0422;.
4. Christopher Kuner, Lee Bygrave, Christopher Docksey, Dan Svantesson, Cecile de Terwagne. Draft Commentary on 10 Articles of GDPR, Oxford University Press, 2018;
5. Christopher Kuner. The Court of Justice of EU's Judgment on the "Right to be Forgotten": An International Perspective / https ://www.ejiltalk.org/the -court-of-justice-of-eus-judgment-on-the-right-to-be-forgotten-an-international-perspective/ (дата обращения: 20.04.2020);
6. Dan Jerker B. Svantesson. Extraterritoriality in the context of data privacy regulation. Masaryk University Journal of Law and Technology 2013 N° 7 с 87-96;
7. Bell, Avi. Libel Tourism: International Forum Shopping for Defamation Claims. Jerusalem: Jerusalem Center for Public Affairs, 2008;
8. Michal Czerniawski. Do We Need the 'Use of Equipment' as a Factor for the Territorial Applicability of the EU Data Protection Regime? С. 224 / Transatlantic Data Privacy Relations as a Challenge for the Democracy. Dan Svantesson and Dariusz Kloza (eds.). Intersentia: Cambridge, Antwerp and Portland. 2017;
9. Решение Суда ЕС по делу Google Spain SL, Google Inc. v AEPD, Mario Costeja González (C-131/12), 13 мая 2014;
10. Решение Суда ЕС по делу Weltimmo v NAIH (C-230/14), 1 октября 2015;
11. Решение Суда ЕС по делу Google v CNIL C-507/17 24 сентября 2019;