Научная статья на тему 'ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ДАННЫХ В ГЕНЕРАЛЬНОМ РЕГЛАМЕНТЕ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ЕВРОПЕЙСКОГО СОЮЗА'

ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ДАННЫХ В ГЕНЕРАЛЬНОМ РЕГЛАМЕНТЕ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ЕВРОПЕЙСКОГО СОЮЗА Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
214
46
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ДАННЫХ / ПЕРСОНАЛЬНЫЕ ДАННЫЕ / ЦИФРОВЫЕ ПРАВА / ГЕНЕРАЛЬНЫЙ РЕГЛАМЕНТ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ЕС / CROSS-BORDER DATA TRANSFER / PERSONAL DATA / DIGITAL RIGHTS / EU GENERAL DATA PROTECTION REGULATION

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Чикишев Николай Анатольевич

Регулирование трансграничной передачи данных - одно из основных положений Генерального регламента о защите персональных данных Европейского союза. Принятый документ детально прописывает права и обязанности сторон, регламентирует отношения между надзорными органами, ЕС и третьими странами, территориями и международными организациями. Также вводится новый орган, регулирующий трансграничную передачу данных - Европейский совет по защите данных. В настоящем исследовании анализируются положения Регламента, дана оценка новым правовым формам и действиям контрагентов в сфере цифрового законодательства.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

CROSS-BORDER DATA TRANSFER IN THE EUROPEAN UNION GENERAL DATA PROTECTION REGULATION

The regulation of cross-border data transfer is one of the key provisions of the new European Union General Data Protection Regulation. The document adopted on May 25, 2018 goes into more depth and detail outlining the rights and obligations of the parties and regulates the relationships between national regulatory authorities, the European Union and third countries, territories and international organizations. The Regulation changes the principle of coherence: the order of actions between national bodies is changed, which leads to a simplification of data transfer. With the help of the “one-stop shop” mechanism, the concept of “leading authority” for data protection is introduced; cross-border data transfer is greatly simplified and moves from the local level to EU level. The principle of extraterritoriality greatly expands the jurisdiction of the national authorities of the EU, since now any data subject falls within the definition of the Regulation. The mechanisms for cross-border data transfer in this Regulation are clearly spelled out and imply the use of “adequate guarantees”, including corporate rules and special contractual provisions. The document establishes a new body, the European Data Protection Board, to oversee cross-border data transfer. This paper analyses the Regulation’s provisions and evaluates the new legal framework and the actions taken by stakeholders in the digital legislation area.

Текст научной работы на тему «ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ДАННЫХ В ГЕНЕРАЛЬНОМ РЕГЛАМЕНТЕ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ЕВРОПЕЙСКОГО СОЮЗА»

Трансграничная передачаданных в Генеральном регламенте о защите персональных данных Европейского союза

Николай Чикишев

Регулирование трансграничной передачи данных -одно из основных положений Генерального регламента о защите персональныхданных Европейского союза. Принятый документдетально прописывает права и обязанности сторон, регламентируетотношения между надзорными органами, ЕС и третьими странами, территориями и международными организациями. Также вводится новый орган, регулирующий трансграничную передачуданных - Европейский советпозащите данных. В настоящем исследовании анализируются положения Регламента,дана оценка новым правовым формам и действиям контрагентов в сфере цифрового законодательства. Ключевые слова:трансграничная передача данных, персональные данные, цифровые права, Генеральный регламенто защите персональныхданных ЕС.

© Чикишев Николай Анатольевич

выпускник аспирантуры факультета журналистики

МГУ имени М.В. Ломоносова

(г. Москва, Россия), [email protected]

Одной из ключевых тем обсуждения при принятии нового европейского законодательства в сфере защиты данных - Генерального регламента о защите персональных данных ЕС (далее - Регламент)1 - стала их трансграничная передача. Субъекты данных - резиденты ЕС, транснациональные корпорации, национальные надзорные органы по защите данных испытывали трудности в применении предыдущего законодательства, а его реформа стала одной из основных проблем, с которыми столкнулась Европейская комиссия(далее -Комиссия). В данном исследовании мы проанализируем положения Регламента, касающиеся сферы трансграничной передачи данных, и затронем ряд вопросов, которые европейскому цифровому законодательству еще предстоит решить.

Проблема согласованности

Государства - члены ЕС, согласно Регла -менту, становятся «основным инструментом обеспечения защиты данных». Таким образом, национальные органы защиты данных несут полную ответственность за осуществление эффективной деятельности в сфере защиты данных в рамках своей юрисдикции. Также положения Комиссии указывают на более тесное сотрудничество органов друг с другом и Комиссией2.

Подробнее описан механизм деятельности государствах-членах»4. Таким образом, независимых органов при осуществлении Комиссия обозначила необходимость к своих полномочий, что, в свою очередь, расширению трансграничного сотрудни-ведет к созданию «ведущего» органа при чества, а принятие настоящего Регламен-трансграничной передачи данных3. та - это путь к единообразным правилам Эти нововведения направлены на устра- и мерам защиты данных в пределах всего нение недостатков действующего механиз- ЕС. Насколько эффективны будут эти ме-ма передачи данных и контроля за ними. ры - практический вопрос, который мо-Основным ограничением в этом вопросе жет быть разрешен только при примене-становится отсутствие единого подхода нии Регламента.

к организации контроля на националь- Принцип единообразия не означает, ном уровне, то есть одновременная дея- что национальные органы в нынешнем тельность различных по своей структуре виде будут преобразованы в унифици-и функциям органов по защите данных го- рованные структуры, все-таки законода-сударств - членов ЕС. Такие факторы, как тельство и правоприменение в странах ЕС политика, экономика, даже культурные и остаются разными. Речь идет об «опорной исторические различия, приводят в итоге точке», выработке единого подхода при к совершенно разным правовым подходам учете своеобразия права на национальном к применению защиты данных на уровне уровне. Отсутствие иерархии и системы в государств - членов ЕС. Локальность на- сфере контроля защиты данных - одна из циональных органов создает ощутимые главных проблем гармонизации всей от-трудности в современной системе транс- расли. Субъект данных рискует потеряться граничной обработки данных. Выход из среди местных контролирующих органов этого положения - более тесное сотруд- с пересекающимися функциями (йе Не|1, ничество институций и выработка уни- Papakonstantinou, 2012: 138). версальных подходов. Регламент о защите данных является

Соответственно, несмотря на то что ав- документом прямого действия, что кар-торами документа установлен механизм динально отличает его от действовавшей согласованности, который призван сгладить на протяжении более чем двадцати лет различия между государствами - членами Директивы 95/46/ЕС5. Директива носи-ЕС, основной проблемой Регламента и од- ла рекомендательный характер, оставляя новременно его руководящим принципом государствам - членам ЕС пространство является применение этого согласованно- для принятия собственных решений. Пос-го подхода к защите данных между стра- ле принятия Регламента текст документа нами на практике. Этот вариант политики, проходит в подавляющем большинстве при учете глобализированной обработки случаев обработку персональных данных. данных, представляется весьма разумным Как отмечают исследователи, теперь (йе Не1% Papakonstantinou, 2016). обработка персональных данных больше

В положении 10 Преамбулы Регламента не воспринимается как локальное явле-указано: «Для того, чтобы обеспечить по- ние, которое регулируется в соответствии следовательный и высокий уровень защиты с местным законодательством. Напротив, физических лиц и устранить препятствия сегодня защита данных рассматривает-на пути личных потоков данных в рамках ся непосредственно на уровне ЕС. Уре-ЕС, уровень защиты прав и свобод чело- гулирование защиты данных через Ре-века в отношении обработки таких дан- гламент - поворотный момент для защи-ных должен быть эквивалентным во всех ты данных европейских пользователей

(De Hert, Papakonstantinou, 2016; Маврин- органами в соответствии с этой статьей в ская, Лошкарев, Чуракова, 2017: 6). стремлении достичь консенсуса»7.

Критерием, согласно которому опреде-Национальные органы ляется «основное учреждение» компании,

защиты данных будет местонахождение центральной ад-

Органы по защите данных - основа мо- министрации в ЕС8. Центральная админи-дели, предложенной Комиссией. Призван- страция обработчика данных, по мнению ные осуществлять мониторинг в сфере за- авторов документа, - та, что «эффективно щиты данных, они сохраняют свою роль и реально осуществляет управленческие в Регламенте и значительно укрепляют действия» в отношении целей и средств свое положение по сравнению с Дирек- обработки персональных данных. Юри-тивой 95/46/ЕС. дическая форма учреждения не становит-

Проблема, с которой столкнулись ав- ся определяющим фактором - филиалы торы документа, - это растущие трансгра- и дочерние компании также могут стать ничные потоки передачи данных. Когда основным учреждением (Burton, de Boel, Директива была принята, количество и Kuner, Pateraki et al., 2016). В случае раз-объем переносимых данных был сравни- ногласий о том, какой филиал обработчи-тельно мал и легко определяем. Сегодня ка данных является основным, решение пользователи передают персональные принимает Европейский совет по защите данные обработчикам, находящимся в данных (далее - Совет)9. любой точке земного шара. Таким образом, Таким образом, вопрос, что же считать создаются международные прецеденты, основным учреждением обработчика дан-где национальная юрисдикция зачастую ных, остается открытым. В положении 27 бессильна. Местные же национальные ор- Преамбулы Регламента утверждается, что ганы могут не иметь необходимых пол- это должно быть место «центральной ад-номочий при разрешении споров и кон- министрации» компании, независимо от фликтов, которые возникают при транс- того, действительно ли обработка персо-граничной передаче данных. Поэтому так нальных данных проводится в этом месте. важны положения Регламента, которые «Фактически же существует множество обеспечивают независимость националь- компаний с децентрализованными кор-ных органов, определяют их полномочия поративными структурами, где централь-и функции, поддерживают принципы со- ная администрация и место, в которых трудничества и согласованности. принимаются управленческие решения

При рассмотрении трансграничной пе- в отношении обработки данных, могут редачи данных Регламент вводит поня- различаться» (Kuner, 2012). тие «ведущего органа по защите данных»: «Ведущий орган» по защите данных «надзорный орган основного учрежде- становится основным регулятором при ния или единого учреждения оператора/ трансграничной обработке данных - дея-контролера или обработчика», действую- тельности, затрагивающей компании и субъ-щий в качестве контролирующего органа ектов данных, находящихся в нескольких для трансграничной обработки данных государствах - членах Европейского сою-этого оператора/контролера или обра- за, а также третьих странах, территориях ботчика, должен быть компетентным»6. и международных организациях10. Вме-В обязанности ведущего органа по защите сте с тем ведущий орган - единственный данных вменяется «сотрудничество с дру- надзорный орган оператора/контролера гими заинтересованными надзорными и обработчика данных при их трансгра-

87

ничной передаче. Этот принцип «единого Совет принимает обязательные реше-окна» был предложен транснациональны- ния в следующих случаях: ми корпорациями с целью избежать пре- • если национальные надзорные ор-цедентов с надзорными органами всех ганы не согласны с решением, которое стран, где происходит трансграничная должно быть принято в рамках процеду-передача их данных. Однако данное по- ры сотрудничества; ложение не означает «узкопрофильной» • если национальные надзорные орга-специализации ведущего органа: согласно ны не согласны с тем, какой орган явля-Регламенту, ведущий орган может обме- ется ведущим для обработчика данных; ниваться информацией и сотрудничать с • если национальный надзорный ор-другими национальными надзорными ор- ган не запрашивает мнения Совета там, ганами, запрашивать помощь и проводить где это требуется, или когда националь-совместные операции11. При разрешении ный надзорный орган не разделяет мне-конфликтов применяется разработанный ние Совета^.

механизм согласованного подхода к за- Рабочая группа 29 с момента введения щите данных. Директивы 95/46/ЕС была основным ор-

ганом для консультации и согласования ЕвРопейский совет по зэщитеданных по всем вопросам защиты данных в рам-

Механизм согласованного подхода на- ках Европейского союза. Сложно пере-чинает действовать при создании нового оценить ее значимость для становления органа (он, по положениям Регламента, и развития отрасли. Однако изменения с приходит на смену Рабочей группе 29п) - вводом Регламента в действие неизбежны, Европейского совета по защите данных. и вместо консультативных органов долж-Задачей Совета станет достижение со- ны быть сформированы структуры, эф-гласованности действий между нацио- фективно применяющие принцип согла-нальными органами по защите данных сованности. Такой структурой, как наде-до принятия какого-либо существенно- ются исследователи, должен стать Совет. го решения конкретным органом^. Таким «В целях содействия последовательно-образом, когда надзорный орган прини- му применению настоящих Правил Ев-мает какое-либо существенное решение, ропейский совет по защите данных дол-которое может повлиять на общую поли- жен быть создан как независимый орган тику защиты данных в ЕС, он должен перед Союза. Для достижения своих целей Ев-этим проконсультироваться с Советом и ропейский Совет по защите данных дол-получить его обоснованное мнение по жен иметь правосубъектность» (йе Не1% данному вопросу. Papakonstantinou, 2016).

Следует заметить, что в тексте Регла- Среди прочих функций Совета выде-мента точка зрения Совета названа имен- ляется рассмотрение любых споров, воз-но «мнением», а не «решением», что име- никающих между национальными надет свои правовые последствия. В пункте 8 зорными органами посредством обяза-статьи 58 указано, что после мнения Со- тельного решения". Таким образом, по вета надзорный орган в течение двух не- сравнению с Рабочей группой 29 пол-дель запрашивает Председателя Совета номочия Европейского совета по защи-о поддержке этой точки зрения и вносит те данных расширяются, он становится в свой проект решения. Исходя из этого, высшим исполнительным органом Ев-деятельность Совета носит как консуль- росоюза по надзору в сфере обработки тативный, так и апелляционный характер. и защиты данных.

Принцип экстерриториальности работку данных. Исключения касаются

В основе механизма трансграничной обработок, которые не затрагивают боль-передачи данных лежит принцип экстерри- шое количество персональных данных, ториальности. В положении 2 Преамбулы без риска для прав и свобод физических Регламенты сказано: «Принципы и правила, лиц. Другое исключение касается данных регулирующие защиту физических лиц в государственных органов. отношении обработки их персональных В целом Регламент поддерживает прин-данных, должны, независимо от граждан- ципы трансграничной передачи данных, ства или проживания таких физических которые были сформулированы еще в Ди-лиц, уважать их основные права и свобо- рективе 95/46/ЕС. Передача данных за преды, в частности их право на защиту пер- делы ЕС запрещена, если страна-получатель сональных данных»16. В тексте мы можем не соблюдает требуемого уровня защиты видеть стремление к расширению юрис- данных (принцип адекватности). Регла-дикции надзорных органов ЕС, поскольку мент определяет более строгие критерии теперь любой субъект данных - пользо- адекватности уровня защиты для третьей ватель Сети подпадает под определение страны, территории или международной Регламента. Положение 14 раскрывает эту организации. Для этого Комиссии пред-мысль: «Защита в отношении обработки ложено оценивать любые законы нацио-персональных данных, обеспечиваемая нальной безопасности в третьей стране, настоящими Правилами, должна приме- прослеживать, каким образом государ-няться к ним, независимо от их нацио- ственные органы третьей страны могут нальности и места жительства»". получить доступ к персональным данным.

В положении 6 говорится, что «техно- Дополнительные положения - это наличие логии трансформируют как экономику, так прав защиты данных, эффективное адми-и социальные отношения, а также способ- нистративное и судебное возмещение для ствуют свободному потоку персональных отдельных лиц, а также присутствие на-данных в рамках Союза и их передаче тре- ционального надзорного органа в сфере тьим странам и международным органи- защиты данных2!. Кроме того, Регламент зациям, обеспечивая при этом высокий разъясняет, что решение об адекватности уровень защиты персональных данных»18. может быть предоставлено только тогда, Технологическая составляющая при пе- когда уровень защиты данных по сути эк-редаче данных важна, и ей авторы до- вивалентен гарантированному уровню ЕС кумента уделяют пристальное внимание. (Burton, de Boel, Kuner, Pateraki et al., 2016).

Регламент расширяет сферу примене- Решения, уже принятые Комиссией до ния документа на операторов и обработ- принятия Регламента, не имеют обрат-чиков данных, не относящихся к ЕС, дея- ной силы. Это относится к решениям в от-тельность которых связана с: а) предложе- ношении Андорры, Аргентины, Канады, нием товаров и услуг физическим лицам, Швейцарии, Фарерских островов, Изра-находящимся в ЕС; б) мониторингом их иля, острова Мэн, Новой Зеландии, Уруг-поведения!9. Следовательно, операторы вая и др. На практике данное положение и обработчики данных, не относящиеся должно обеспечить эффективную дея-к ЕС, должны, согласно Регламенту, на- тельность компаний указанных стран, если значить своих представителей по защите они, получив разрешение, будут использо-данных в ЕС20. Этот представитель станет вать обновленный механизм защиты дан-промежуточным звеном между надзор- ных. Таким образом, передача уже одо-ными органами и ответственным за об- бренных данных - это касается в первую

89

очередь установленных договоренностей ной почты и другие контактные данные, ЕС с США и принятого впоследствии меха- или использование языка в третьей стра-низма «Щит конфиденциальности» (Privacy не, где осуществляет свою деятельность Shield) - может продолжаться. оператор/контроллер, - все эти характе-

Однако данные решения Совета могут ристики могут быть недостаточными для быть в любое время отменены, если поя- применения Регламента (Burton, de Boel, вятся существенные основания для этого. Kuner, Pateraki et al., 2016). Более того, такие решения предполагают Одним из определяющих факторов в периодический обзор уровня защиты дан- этой связи становится отслеживание опе-ных в третьих странах, осуществляемый ратором/контролером поведения субъ-Советом, не реже одного раза в четыре ектов данных, включая последующее года22. Регламент обязывает Комиссию профилирование и принятие решений в постоянно отслеживать события в треть- отношении отдельных лиц «для анализа, их странах, которые гипотетически могут прогнозирования их личных предпочте-повлиять на требуемый уровень защиты ний, поведения и отношений»^. данный3. В ином случае Регламент предполагает составлять списки «отсутствия М1ехан_изм_т.РансгРаничной адекватности», или «черные списки» стран,

передачи данных

территорий и международных организа- Существуют три категории механизмов, ций, где таковой уровень не поддержива- которые призваны легализовать трансгра-ется или существует видимая опасность ничную передачу данных: это упомянутое для персональных даннь^4. решение Совета об адекватности защиты

По предложению Совета вводятся два данных в третьей стране, территории или новых основания для трансграничной пе- международной организаций6; исполь-редачи данных: это соблюдение утвер- зование «надлежащих гарантий» (кото-жденного «кодекса поведения» (Code of рые включают в себя также обязательные Conduct) или утвержденного механизма корпоративные правила^7; применение сертификации, который должен сопро- исключительных мер, прописанных в ста-вождаться подлежащими соблюдению тье 44 Регламента. обязательствами (Burton, de Boel, Kuner, Так, в «надлежащие гарантии» опера-Pateraki et al., 2016). Как отмечают иссле- тора или обработчика данных входят: дователи, хотя эти нововведения привет- • обязательные корпоративные правила ствуются, еще предстоит выяснить, как они (Binding Corporate Rules; далее - Правила); будут развиваться и будут ли полезными • «стандартные положения о защите для преодоления некоторых проблем в данных», одобренные Комиссией (на са-существующих правовых рамках. мом деле схожие документы с обязатель-

Для определения применения Регла- ными корпоративными правилами); мента происходит оценка действия об- • стандартные положения о защите дан-работчика данных: имеет ли обработчик ных, принятые национальными надзор-намерение предоставлять услуги или про- ными органами в соответствии с меха-дукты субъектам данных в одном или не- низмом согласованности; скольких государствах-членах ЕС. Также • Ad Hoc - договорные положения, раз-важны валюта и язык, на котором предо- решенные национальными надзорными ставляются услуги. Однако простая доступ- органами;

ность веб-сайта оператора/контролера • другие соответствующие гарантии, не или посредника в ЕС, или адрес электрон- предусмотренные в юридически обяза-

тельном документе (что это за гарантии же позволяет надзорным органам разре-и как именно нужно толковать данное по- шать передачу данных между оператором/ ложение Регламент не поясняет). контролером или обработчиком данных

Формат обмена информацией меж- и получателем данных в третьей стране^. ду операторами, обработчиками и над- Последний вариант существует в рамках зорными органами также были разрабо- так называемых специальных договоров тан Комиссией и может быть осуществ- о передаче данных (Burton, de Boel, Kuner, лен посредством применения отдельных Pateraki et al., 2016). подзаконных актов28. Регламент, как бы- Регламент добавляет к этим положе-ло предложено Советом, делает Правила ниям механизм «убедительных законных доступными для групп предприятий, «за- интересов», которыми располагает опе-нимающихся совместной экономической ратор и обработчик данных, при условии, деятельностью»^. Правила станут доступ- что таковая передача данных не повторя-ными не только компаниям, входящим в ется и относится к ограниченному числу одну экономическую группу, но также де- лиц. Оператор и обработчик должен пре-ловым партнерам^. доставить надлежащие гарантии переда-

Регламент значительно расширяет пол- чи, однако документ не разъясняет, каким номочия Комиссии в сфере решений об именно образом должна происходить эта адекватности третьей страны, территории передача33. Возможно, речь идет о приня-или международной организации. Одна- тии дополнительных подзаконных актов, ко в тексте отсутствует четко прописанный разъясняющих данную ситуацию. механизм принятия таких решений. Как Отдельным положением прописан пре-отмечают исследователи, «этот процесс в цедент раскрытия иностранных персональ-срочном порядке нуждается в реформах, ных данных во исполнение администра-с учетом существующих запутанных про- тивных и судебных решений. Регламент цедур» (Kuner, 2012). четко указывает, что «любое решение суда,

Открытым остается вопрос гармониза- или трибунала, или решение админист-ции законодательства в сфере соглашений ративного органа третьей страны, требуе-о трансграничной передачи данных, при- мое от оператора или обработчика дан-нятых до настоящего Регламента. Хотя в ных, может быть исполнено только в том тексте документа прописано, что положе- случае, если оно основано на междуна-ния договора «Щит конфиденциальности», родном соглашении, заключенном меж-который регламентирует трансграничную ду ЕС и запрашиваемой третьей страной, передачу данных между ЕС и США, неиз- например, договоре о взаимной правовой менны, остается множество договоров и помощи»^4. В отношении персональных законодательных актов с другими страна- данных, касающихся административных и ми, требующих урегулирования. судебных дел, принятый документ более

При отсутствии решения об адекват- жестко и строго регламентирует механизм ности уровня защиты данных стран, тер- передачи, и это логично, поскольку в дан-риторий и международных организаций ном вопросе не может быть разночтений Регламент позволяет передавать персо- и исключений. При отсутствии же подоб-нальные данные в третьи страны на осно- ного договора передача данных произво-ве соглашений о передаче данных и стан- дится в исключительных случаях, если это дартных договорных положений, и в таком позволяют сделать удовлетворительные случае специального разрешения надзор- условия защиты данных третьей странь^. ного органа не требуется31. Регламент так- Таким образом, вместо ответственности

91

за передачу данных, которая налагалась органов государств - членов ЕС, станет, на компании и надзорные органы, Регла- по мнению авторов документа, высшим мент требует соблюдения международных исполнительным органом в данной сфере, соглашений, что, по мнению экспертов, наделенным как консультативными, так и стало «долгожданной разработкой» Ре- апелляционными функциями. гламента (Burton, de Boel, Kuner, Pateraki Значительно расширяется и гармони-et al., 2016; Стукалов, 2017: 129). зируется деятельность самих националь-

Исключением из правил трансгра- ных надзорных органов. Кроме требо-ничной передачи данных стали «нацио- вания независимости подобных струк-нальные запреты»: Регламент предусматри- тур Регламент вводит множество новых вает отказ государства - члена ЕС пе- обязанностей для органов. Рассматривае-редавать определенные типы данных в мый нами аспект - трансграничная перетретью страну, территорию или между- дача данных - подразумевает создание народную организацию со ссылкой на базовой схемы взаимодействия между «важные причины», связанные с обще- национальными надзорными органами, ственным интересом или национальной операторами и обработчиками данных. безопасностьюзб. В подтверждение этого в текст Регламента

вводятся понятия «основного учрежде-Выводы ния» и «ведущего органа», где первое -

Рассматриваемый нами документ стал закрепленное юридически и физически новой отправной точкой в регулирова- местоположение ответственного за обра-нии трансграничной передачи данных как ботку и трансграничную передачу данных между государствами - членами ЕС, так и оператора и обработчика данных, а вто-третьими странами, территориями и ме- рое - основной регулятор данных, перед ждународными организациями. которым оператор и обработчик данных

В основе этого регулирования лежат несет ответственность. несколько принципов, среди которых глав- Принятый и закрепленный в Регламен-ным остается принцип согласованности те принцип экстерриториальности дан-структур ЕС. Механизм действия переда- ных означает значительное расширение чи данных, как и сами требования к сбору юрисдикции как национальных надзорных и обработке данных в ЕС, «станут намно- органов, так и самого Совета. Он предпо-го более строгими в рамках предлагае- лагает не только заключение различных мого положения, это означает, что порог соглашений о трансграничной передаче для передачи данных за пределы ЕС будет данных в третьи страны, но и наделение эффективно повышаться» (Kuner, 2012). правами и обязанностями Регламента всех Взамен действовавшей Директивы 95/46/ причастных к передаче данных субъектов ЕС, которая регулировала сферу защиты данных, где бы они не находились. При персональных данных, настоящий Регла- этом возникает логичный вопрос опре-мент предлагает кардинально новый ме- деления национальной юрисдикции при ханизм, призванный не только гармонизи- возникновении спорных моментов пере-ровать национальные законодательства дачи. Выход, как считают исследователи, государств - членов ЕС, но и ввести в его заключается не только в имплементации структуру новых контрагентов. В первую положений Регламента в национальные очередь речь идет о Европейском совете по законодательства государств - членов ЕС, защите данных. Совет, включающий в себя но также в заключении новых договоров о представителей национальных надзорных трансграничной передаче данных между

ЕС и третьими странами. Прецеденты уже случаи передачи данных - одно из несколь-созданы (например, договор «Щит кон- ких положений документа, которое требу-фиденциальности», заключенный между ет пояснений и принятия дальнейших за-ЕС и США незадолго до принятия настоя- конодательных актов, раскрывающих по-щего Регламента). Однако гармонизация зицию Комиссии, Совета и национальных законодательств и действий упомянутых надзорных органов. Особенно это касается в статье контрагентов - это долгий путь, случаев «национальных запретов», связан-который предстоит пройти Совету и на- ных с прерогативой государств - членов циональным надзорным органам. ЕС в сфере национальной безопасности.

Стоит обратить внимание, что предло- Однако перечисленные недостатки женная конструкция трансграничной пе- Регламента не перечеркивают его дос-редачи данных подразумевает широкий тоинств, а именно попыток широкомас-набор инструментов для бизнеса и субъ- штабного регулирования как обработки, ектов данных: кроме решений Совета об так и трансграничной передачи данных. адекватности третьих стран, территорий и Проделанная авторами документа рабо-международных организаций Регламен- та - это длительный поиск компромиссов том предлагается список «надлежащих между всеми контрагентами данной сфе-гарантий», эффективность которых еще ры, и она, как мы надеемся, продолжится необходимо проверить на практике. Про- с целью укрепления и повышения защиты писанные в Регламенте исключительные персональных данных в Европе.

Примечания

1 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). Режим доступа: https://goo.gl/kvxNLM (дата обращения: 23.06.2018).

2 Art. 60 of the Reglament.

3 Art. 51 of the Reglament.

4 Recital 10 of the Reglament.

5 Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data. Режим доступа: https://goo.gl/kDw4Vq (дата обращения: 23.06.2018).

6 Art. 51 of the Reglament.

7 Art. 60 of the Reglament.

8 Art. 4 of the Reglament.

9 Art. 57 of the Reglament.

10 Art. 51 of the Reglament.

11 Art. 54 of the Reglament.

93

12 Рабочая группа по защите данных статьи 29 - консультативный орган, состоящий из представителей органов по защите данных каждого государства - члена ЕС, Европейского инспектора по защите данных и представителей Европейской комиссии. С 25 мая 2018 г. заменен Еропейским советом по защите данных в соответствии с Генеральным регламентом о защите данных.

13 Art. 58 of the Reglament.

14 Там же.

15 Там же.

16 Recital 2 of the Reglament.

17 Recital 14 of the Reglament.

18 Recital 6 of the Reglament.

19 Art. 4 of the Reglament.

20 Art. 27 of the Reglament.

21 Art. 45 of the Reglament.

22 Art. 45 and recital 81 of the Reglament.

23 Art. 45 of the Reglament.

24 Там же.

25 Recital 21 of the Reglament.

26 Art. 45 of the Reglament.

27 Art. 46 of the Reglament.

28 Art. 43 of the Reglament.

29 Art. 4 of the Reglament.

30 Art. 43 of the Reglament.

31 Art. 49 of the Reglament.

32 Art. 49 of the Reglament.

33 Там же.

34 Там же.

35 Recital 90 of the Reglament.

36 Art. 49 of the Reglament.

Библиография

Мавринская Т.В., Лошкарёв А.В., Чуракова Е.Н. Обезличивание персональных данных и технологии «больших данных» (big data)// Интерактивная наука. 2017. № 16. С. 1-8.

СтукаловА.С. Европейская модель регулирования информационных отношений в сети Интернет // Проблемы экономики и юридической практики. 2017. № 1. С. 129-132.

Burton C., de Boel L., Kuner C., Pateraki A. et al. (2016) The Final European Union General Data Protection Regulation. Bloomberg BNA Privacy and Security Law Report. Режим доступа: https://www.bna.com/final-european-union-n57982067329/#!

De Hert P., Papakonstantinou V. (2016) The New General Data Protection Regulation: Still a Sound System for the Protection of Individuals? Computer Law & Security Review32 (2): 179-194. DOI: 10.1016/j.clsr.2016.02.006

De Hert P., Papakonstantinou V. (2012) The Proposed Data Protection Regulation Replacing Directive 95/46/EC: A Sound System for the Protection of Individuals. Computer Law & Security Review 28 (2): 130-142. DOI: 10.1016/j.clsr.2012.01.011

Kuner C. (2012) The European Commission's Proposed Data Protection Regulation: A Copernican Revolution in European Data Protection Law. Bloomberg BNA Privacy and Security Law Report. Режим доступа: http://www.kuner.com/my-publications-and-writing/ untitled/kuner-eu-regulation-article.pdf

i Надоели баннеры? Вы всегда можете отключить рекламу.