<<
>>

Основные этапы развития правового регулирования защиты персональных данных в Европейском Союзе

Изучение развития правового регулирования любого социального явления позволяет не только в полной мере уяснить его роль и значимость на современном этапе развития общественных отношений, но и сделать обоснованные предположения относительно его прогнозируемого развития в будущем.

Именно поэтому в целях всестороннего изучения места, значения и роли защиты персональных данных в праве ЕС необходимо начать с рассмотрения генезиса этого правового явления.

Правовое регулирование защиты персональных данных долгое время не входило в круг приоритетных целей Европейских сообществ. Это несмотря на то, что проблемы, связанные с обеспечением безопасности данных на европейском континенте берут свое начало еще в 60-70-х годах XX века. Однако Сообщества лишь формировались в то время, причем преимущественно как региональная организация экономического сотрудничества, поэтому о принятии каких-либо юридических мер, направленных на защиту персональных данных, речи не шло.

Можно согласиться с точкой зрения А.И. Абдуллина, который справедливо отмечает, что в первых учредительных документах Европейских сообществ упоминание о правах человека отсутствовало неслучайно: инициаторы объединения были сосредоточены в основном на экономике, намеренно избегая политизированных вопросов, в том числе правозащитной тематики, из-за опасений свести на нет интеграционные начинания[28].

Дефицит позитивных норм о защите прав человека в правовой системе ЕС в течение нескольких десятилетий успешно компенсировался

региональной правозащитной системой Совета Европы, функционирующей на основе Конвенции о защите прав человека и основных свобод 1950 г. В дальнейшем участие в Европейской Конвенции стало для государств одним из обязательных условий получения членства в ЕС. В правовой практике Союза сложилось разделение полномочий: вопросы защиты прав человека рассматривались Европейским Судом по правам человека в Страсбурге, в то время как Суд Европейских сообществ в Люксембурге (далее - Суд) сконцентрировался на обслуживании интересов интеграции.

Однако именно Суду принадлежит основная роль в формировании доктрины прямого действия, а также верховенства права ЕС в результате его правоприменительной практики. Так, первым постановлением Суда, непосредственно связанным с осуществлением человеком своих прав, было решение по делу «Van Gend en Loos» (1963 г.), в котором Суд признал принцип прямого действия права Сообществ, субъектами которого являются не только государства-члены, но и индивиды. Далее, в 1964 г., Суд также закрепил принцип верховенства права Сообществ в решении по делу «Costa/ENEL». Так же, как и в случае с другими фундаментальными правами человека в ЕС, в вопросе защиты персональной информации правотворческую инициативу взял на себя Суд Европейских сообществ.

Одно из первых судебных дел (дело «Stauder»), затрагивающих вопросы защиты персональных данных, было рассмотрено Судом в 1969 г.[29]По итогам рассмотрения этого дела Суд признал право государств-членов Сообществ самостоятельно выбирать метод идентификации получателей социальной помощи. Данный судебный процесс интересен тем, что именно в этом деле Суд впервые коснулся правозащитной проблематики. В частности, суд сделал вывод о том, что «основные права человека относятся к общим

принципам права Сообщества и подлежат защите в нем», таким образом, подчеркнув, что «именно право Сообщества обеспечивает защиту основных прав человека».

Тем не менее, правовое регулирование защиты персональных данных нормативными актами на уровне Европейских сообществ (после 1 ноября 1993 г. - Европейского Союза) не осуществлялось еще несколько десятилетий. В отсутствие правового регулирования на уровне Сообществ, отдельные государства-члены издали законодательные акты в данной сфере. Национальное законодательство европейских стран о защите персональных данных основывалось на положениях международных актов, участниками которых они являлись. Необходимо отметить, что юридические основы права на защиту личной тайны и персональных данных были заложены в середине XX века в двух основополагающих документах - Всеобщей декларации прав человека ООН 1948 г.

(ст. 12) и Европейской Конвенции о защите прав человека и основных свобод 1950 г. (ст. 8). В 1966 г. защита неприкосновенности частной жизни вошла также в Международный пакт о гражданских и политических правах (ст. 17). Из заложенного в этих документах фундаментального права на неприкосновенность личной жизни следует право индивида на защиту персональных данных.

Первым специальным законодательным актом по защите персональных данных в Европе стал немецкий Закон Земли Гессен 1970 г. «О защите данных». Спустя некоторое время были приняты национальные законы, на государственном уровне устанавливающие правила по защите данных в целом ряде государств-членов Сообществ: Швеции (1972 г.), Германии (1977 г.), Франции (1978 г.), Австрии (1978 г.), Дании (1979 г.), Великобритании (1984 г.) и других, каждый из которых имел свои особенности.

Принятие национальных актов было обусловлено тем, что стала очевидна необходимость защиты личной информации и, в частности, персональных данных. Впервые о проблеме защиты информации в Европе эксперты заговорили в 1960-1970-х гг., оперируя понятием «информационная

составляющая частной жизни» («informational privacy», «data privacy»)1. Расширение сферы обработки данных, реализация государственных проектов интеграции баз данных и другие события породили у субъектов опасения относительно неограниченных возможностей для наблюдения за их деятельностью, слежки и прослушивания. К середине 1960-х годов, в связи с созданием централизованных правительственных банков данных, необходимость исключения возможностей несанкционированного доступа к личной информации стала очевидной не только специалистам коммерческих предприятий и государственных организаций, но и гражданам. Указанные проблемы потребовали надлежащего правового регулирования.

С интенсификацией передачи данных и их обработки в рамках интернационального сотрудничества, международной торговли и экономического взаимодействия актуальной стала проблема трансграничной передачи данных.

ОЭСР, Совет Европы, ООН стали основными форумами для поиска ответов на новые вызовы[30][31]. Этими организациями были разработаны международные документы, устанавливающие основания и процедуры защиты данных, которые спустя некоторое время были восприняты Европейским Союзом для подготовки собственных соглашений.

Проблема усугублялась с интенсивным развитием компьютерных технологий и, как следствие, с появлением новых способов сбора, хранения и передачи данных. В 1980-е гг. случился настоящий технологический прорыв, причиной которого стало стремительное развитие распределенных компьютерных сетей и массовое внедрение в операции по обработке персональных компьютеров. Это обусловило распространение практик сбора и обработки сведений об индивидах коммерческими компаниями и правительственными органами. Отсутствие правового регулирования

функционирования баз и банков данных и других пространственно- распределенных информационных систем со сверхвысокой концентрацией персонифицированной информации представляло собой угрозу персональным данным. В ряде стран Европейских сообществ были установлены существенные ограничения, не допускающие применения процедур типа «data matching»1даже в рамках одной базы данных, за исключением случаев, прямо предусмотренных законом[32][33]. Именно в это время проблема защиты персональных данных в Европе приобретает самостоятельность по отношению к обеспечению неприкосновенности частной жизни в целом. Страны Европы одними из первых осознали необходимость принятия полноценных и скоординированных мер для защиты личной информации.

В начале 1981 г. Совет Европы опубликовал Конвенцию о защите частных лиц в отношении автоматизированной обработки данных личного характера[34] (108-я Конвенция) - первый и до сих пор единственный обязательный для исполнения его участниками международный договор о неприкосновенности личной информации. Она открыта для подписания государствами, как являющимися, так и не являющимися членами Совета Европы, и даже международными организациями.

Цель 108-й Конвенции заключается в обеспечении защиты прав и основных свобод каждого физического лица на территории стран-участниц, вне зависимости от гражданства или места жительства, в особенности права на личную тайну в связи с автоматической обработкой персональных

данных, касающихся этого лица, что впервые в мировой практике было обозначено термином «защита персональных данных».

По мере ратификации 108-й Конвенции стали очевидными разнообразные подходы к регулированию вопросов защиты персональных данных на уровне национального законодательства государств-членов ЕС, в частности в вопросах процессуального права. Данная ситуация содержала в себе угрозу развитию Единого рынка формировавшегося Европейского Союза, особенно на фоне растущей зависимости качества оказываемых публичных и частных услуг от обработки персональных данных, с использованием современных информационных трансграничных технологий1. В связи с этим Европейская комиссия выступила с инициативой гармонизации законодательств государств-членов Союза в сфере защиты персональной информации. Результатом стало принятие Директивы 95/46/ЕС «О защите прав физических лиц применительно к обработке персональных данных и о свободном обращении таких данных»[35][36] (далее - Директива 95/46/ЕС или Директива 1995 г.), которая заложила основы общеевропейской системы защиты персональных данных.

Принятие Директивы олицетворяло существенные изменения в развитии информационных технологий, которые произошли в 1990-х гг. Так, появление WWW (WorldWideWeb), мобильных средств коммуникации, систем сбора и обработки биометрических данных, стало одной из основ развития транснационального Интернет-бизнеса. Это в свою очередь обусловило то, что активный интерес к разработке правил в отношении защиты персональных данных стали проявлять и коммерческие структуры.

Директива 95/46/ЕС впервые закрепила на уровне права ЕС определение понятия «персональные данные», под которыми понималась любая информация, связанная с идентифицированным или

идентифицируемым физическим лицом («субъектом данных»). Идентифицируемым является лицо, личность которого может быть установлена прямо или косвенно, в частности, посредством ссылки на идентификационный номер или на один или несколько факторов, специфичных для его физической, психологической, ментальной, экономической, культурной или социальной идентичности; (ст. 2 (a)). В свою очередь, под обработкой персональных данных понималась любая операция или набор операций, выполняемых над персональными данными, как автоматическими средствами, так и без таковых, в частности, сбор, запись, организация, хранение, актуализация или изменение, извлечение, консультирование, использование, раскрытие посредством передачи, распространения или предоставления иного доступа, группировка, блокирование, удаление или разрушение (ст. 2 (b)). Директива также закрепила основные принципы (разд. I), касающиеся защиты данных.

Другой важной особенностью правового регулирования защиты персональных данных в Европейском Союзе, отраженной в Директиве 1995 г., является создание системы органов, осуществляющих надзорные, наблюдательные и консультативные функции. Так, согласно ст. 29 Директивы в ЕС была создана Рабочая группа по защите физических лиц в отношении обработки персональных данных, которая имела статус консультативного органа и действовала в качестве независимой структуры (Рабочая группа статьи 29). Каждое государство-член ЕС было обязано назначить один или несколько государственных органов для надзора за соблюдением на своей территории положений, принятых во исполнение Директивы. При выполнении возложенных на них обязанностей указанные органы должны были действовать в условиях полной независимости.

Несмотря на существование в ряде национальных правовых систем специализированных судов и трибуналов по защите данных, суды общего назначения сохраняли определенную роль в правовом регулировании

обработки и использования персональных данных, входя практически во все национальные системы защиты данных в качестве «неявных» членов1.

Принятие Директивы 95/46/ЕС - первого специального нормативного акта на уровне ЕС, посвященного защите прав и свобод физических лиц в отношении обработки персональных данных, следует считать первым этапом в развитии правового регулирования защиты персональных данных в Европейском Союзе.

Таким образом, проанализировав развитие европейского и международного законодательства о защите персональных данных с момента его зарождения и до начала XXI века, следует сделать вывод о том, что формирование правового регулирования защиты персональных данных в ЕС происходило под влиянием, как международных, так и национальных правовых актов государств-членов. Многие международные принципы в данной области, которые впоследствии были восприняты общеевропейским правом, были разработаны такими организациями, как ОЭСР, ООН, Совет Европы, однако немаловажную роль сыграло и национальное право.

Итак, к концу XX в. защита персональных данных в ЕС была структурирована как политическая проблема и обеспечивалась посредством издания национальных стратегий и законов, в частности, связанных с имплементацией Директивы 95/46/ЕС, ставшей главным элементом (базой) европейской системы защиты данных, а также на основе международных соглашений, принципов, рекомендаций и деклараций.

Начало XXI века ознаменовалось существенным изменением цифровой сферы частной жизни в связи с широким распространением технологий Веб 2.0[37][38] (социальные сети, поисковые системы, «облачные» сервисы хранения информации, сетевые дневники (блоги), вики-хранилища (Wikipedia, Wikileaks и др.), геосервисы и т.д.), которые позволили пользователям самостоятельно создавать контент, манипулировать им и управлять связями

между своими и чужими материалами, и в итоге привели к активизации коммуникации, координации и включению пользователей не только в процесс использования и создания ресурсов, наполнения сервисов информацией, но и в определение стратегии их развития. Технологии облачных вычислений привели к увеличению мощностей, доступных для хранения и обработки информации, как организациям (частным и государственным), так и индивидам, а технологии обработки больших объемов данных (Big Data) позволили анализировать и интегрировать данные, которые генерируются веб-сайтами, веб-журналами, видеозаписями, текстовыми документами, геосервисами и иными источниками, но не соответствуют стандартному структурированному формату баз данных.

В итоге персональные данные к началу XXI века окончательно перешли в электронную среду. Соответственно, они стали подвержены новым рискам, связанным с негативными последствиями воздействия на личную жизнь вышеуказанных технологий. В частности, на передний план вышла проблема стремительного использования личной информации не только государственными органами, коммерческими организациями, но и индивидами. Сбор, хранение, изменение, передача и другие виды обработки персональных данных стали доступны всем и каждому. Кроме того, возникла проблема неконтролируемых данных, когда информация, оставленная пользователем на веб-сайте, хранится годами, часто без его ведома. Одновременно с этим назрела потребность разработать правила, регулирующие использование персональных данных институтами, органами и учреждениями наднациональной организации, а также должностными лицами и сотрудниками таких органов.

Указанные проблемы потребовали дальнейшего развития правового регулирования защиты персональных данных в Европейском Союзе. Законодательная, правоприменительная и судебная практика государств- членов в области защиты персональных данных на основе гармонизированного законодательства, возникавшие спорные вопросы,

которые выносились на рассмотрение Суда ЕС, формировали общеевропейский опыт защиты основных прав и свобод, способствовали дальнейшему развитию и внесению диктуемых реальностью изменений в наднациональное европейское право1.

Второй этап развития правового регулирования защиты персональных данных связан с принятием в Европейском Союзе актов, дополняющих и уточняющих действие Директивы 1995 г. в определенных сферах, - в частности, регламентов, обладающих прямым действием на территории ЕС.

18 декабря 2000 г. был принят Регламент № 45/2001 «О защите физических лиц при обработке персональных данных, осуществляемой учреждениями и органами Союза и о свободном обращении таких данных»[39][40]. Регламент применялся к обработке персональных данных всеми учреждениями и органами Союза постольку, поскольку обработка проводится в процессе деятельности, которая частично или полностью подпадает под действие правовых актов ЕС о защите данных. В соответствии с Регламентом № 45/2001, учреждения и органы, созданные учредительными Договорами или на основании них, должны охранять основные права и свободы физических лиц и, в частности, право на неприкосновенность частной жизни применительно к обработке персональных данных, а также должны воздерживаться от ограничения или запрещения свободного перемещения персональных данных друг другу или иным получателям, которое осуществляется на основе национального законодательства государств-членов ЕС, имплементирующего положения Директивы 95/46/ЕС.

В Европейском Союзе был учрежден специальный независимый надзорный орган - Европейский уполномоченный по защите данных (EU Data Protection Supervisor), который призван осуществлять мониторинг применения положений Регламента № 45/2001 ко всем операциям по обработке персональных данных, осуществляемым любым учреждением или

органом Союза. Он был наделен широкими полномочиями - от проверки жалоб на нарушения права и консультирования органов ЕС по вопросам защиты информации до преследования нарушителей в Суде ЕС.

Регламент № 45/2001 предоставлял физическим лицам необходимые гарантии защиты их прав и свобод, в том числе наделял их правом обращения в Суд ЕС, правом требования о возмещении убытков, правом обращения с жалобой к Уполномоченному по защите персональных данных, правом обжаловать действия Уполномоченного в Суде ЕС и др.

12 июля 2002 г. была принята Директива 2002/58/ЕС[41] в отношении обработки персональных данных и защиты конфиденциальности в секторе электронных средств связи, дополняющая действие Директивы 95/46/ЕС (далее - Директива 2002/58/ЕС). Основной целью этого акта является обеспечение защиты прав и свобод пользователей средств электронной связи в отношении их персональных данных и защита права на личную тайну, а также минимизация обработки персональных данных и стимулирование использования анонимных данных там, где это возможно. Директива 2002/58/ЕС направлена на гармонизацию национальных законов для обеспечения определенного уровня защиты основных прав и свобод и, в частности, права на частную жизнь и конфиденциальность информации о частной жизни в связи с обработкой персональных данных в сфере электронных коммуникаций, а также для свободного обращения таких данных, оборудования и услуг электронной связи в Союзе.

Данная Директива установила конкретные требования, касающиеся обработки личной информации в сети Интернет. Согласие пользователя - любого физического лица, которое использует услуги электронной связи общего доступа в личных или деловых целях без обязательной предварительной подписки на предоставление таких услуг - является одним из основных требований при сборе и обработке данных. Перед тем, как

предоставить согласие, лицо должно получить подробную информацию о том, какие персональные данные будут использованы и для какой цели, кто будет их обрабатывать, в течение какого срока они будут использоваться и т.д. Директива дает юридическое определение понятия «электронная почта»: это любое текстовое, голосовое, звуковое сообщение или изображение, посланное посредством общедоступной сети, которое может быть сохранено в данной сети или на оборудовании пользователя до тех пор, пока не будет получено пользователем. Кроме того, в положениях документа подробно регламентируются правила безопасности обработки данных, гарантии конфиденциальности коммуникаций и другие правила, которые государства- члены ЕС должны имплементировать в свое национальное законодательство.

Помимо принятия на уровне ЕС вышеназванных правовых актов данный этап примечателен тем, что именно в это время разрабатывался документ, призванный закрепить право на защиту персональных данных в качестве фундаментального права индивида на уровне первичного права ЕС. Начало данному процессу было положено в 1999 году, когда Европейский Совет в Кельне принимает решение о разработке отдельного акта, отражающего обязательства ЕС в сфере защиты прав человека. Для подготовки проекта документа, получившего название Хартия основных прав Европейского Союза, был учрежден специальный орган - Конвент. В числе официальных источников, используемых Конвентом, значились конституционные традиции европейских стран, Европейская Конвенция о защите прав человека и основных свобод 1950 г., Европейская социальная хартия Совета Европы 1961 г. (пересмотренная в 1994 г.) и Хартия основных социальных прав трудящихся ЕС 1989 г., практика Суда ЕС и Европейского Суда по правам человека. Работа завершилась 7 декабря 2000 г. прокламацией Хартии основных прав ЕС, совместно Европейским парламентом, Советом ЕС и Европейской комиссией.

Авторы проекта Договора, учреждающего Конституцию для Европы, подписанного в 2004 году, но так и не вступившего в силу, инкорпорировали

Хартию в Часть II документа, в которой разделили правовые категории «уважения неприкосновенности частной и семейной жизни, жилища и коммуникаций» и «права на защиту персональных данных» как самостоятельные права, закрепив их в статьях II-67 и II-68. Защита личной информации отдельно упоминается в ст. I-51 Раздела VI о демократической жизни Союза. Документ подчеркивает, что защита информации рассматривается как важный элемент «справедливого управления». Однако первоначальный вариант Хартии был принят в качестве политической декларации, а потому не носил юридически обязательного характера.

Что касается судебной практики на уровне Союза, то необходимо отметить, что неоднократно вопросам защиты персональных данных уделял внимание высший судебный орган ЕС - Суд Европейских сообществ. Второй этап характерен тем, что в это время Судом было рассмотрено несколько важных с точки зрения европейского права дел. Так, в мае 2003 г. Суд вынес решение по австрийскому делу «Rechnungshof»1, в котором стоял вопрос о том, возможно ли публиковать данные о заработной плате публичных служащих. Решение Суда четко определило, что положения Директивы 95/46/ЕС распространяют свое действие и на обработку персональных данных в публичном секторе. В ноябре 2003 года, вынося решение по шведскому делу «Lindqvist»[42][43], Суд постановил, что базовые нормы Директивы 1995 г. - принципы защиты персональных данных - имеют прямое отношение и к веб-сайтам. В этом решении речь шла и о том, что некоторые положения о трансграничной передаче данных уже не соответствуют реалиям Интернета и нуждаются в корректировке.

На этом этапе, в 2004 году, Комиссией ЕС было инициировано создание Европейского агентства по сетевой и информационной безопасности (EU Agency for Network and Information Security - «ENISA»),

учрежденного на уровне ЕС Регламентом (ЕС) №406/20041. В соответствии с изменениями, внесенными Регламентом (ЕС) №526/2013[44][45], его главными целями являются:

- повышение эффективности функционирования сетевой и информационной безопасности в ЕС;

- оказание помощи Европейской Комиссии по вопросам, связанным с сетевой и информационной безопасностью;

- разработка актуальных методологических обеспечений по вопросам кибербезопасности;

- создание отдельных национальных стратегий кибербезопасности (National Cyber Security Strategies).

Стоит отметить, что правовые акты, принятые на втором этапе, оказали значительное влияние на развитие права ЕС в рассматриваемой сфере. Например, многие положения Регламента № 45/2001 были впоследствии адаптированы и включены в Общий Регламент по защите данных 2016 г.

На примере гармонизации норм по защите персональных данных в Европе на данном этапе подтверждается тезис, что «совместная деятельность государств включает в себя, во-первых, нормотворчество - выработку единых стандартов прав и свобод человека, во-вторых, имплементацию данных стандартов в национальные правовые системы, в-третьих, создание национальных и международных механизмов контроля за соблюдением установленных стандартов, и, в-четвертых, обеспечение восстановления нарушенных прав с использованием национальных и международных

3

средств и институтов»[46].

Третий этап развития правового регулирования защиты персональных данных характеризуется тем, что право на защиту персональных данных получило закрепление в документах, имеющих высшую юридическую силу

на территории ЕС, - Договоре о функционировании Европейского Союза (далее - ДФЕС), Договоре о Европейском Союзе (ДЕС) и Хартии основных прав ЕС. Это произошло в рамках масштабной реформы правовой системы Союза, которая завершилась подписанием в 2007 году Лиссабонского договора (который стал заменой подписанной, но не вступившей в силу Конституции ЕС) и его вступлением в силу 1 декабря 2009 года.

Невозможно приуменьшить значение закрепления права на защиту персональных данных в актах первичного права ЕС. Как известно, учредительные документы устанавливают права и обязанности не только для субъектов публичной власти (государств-членов, институтов, органов, учреждений ЕС), но и частных лиц. Следовательно, эти документы обладают прямым действием. Принцип прямого действия права ЕС применяется к учредительным документам при выполнении общего требования, установленного судебной практикой Суда ЕС - нормы должны быть «безусловными и достаточно четкими». Это в полной мере относится и к нормам, устанавливающим право на защиту персональных данных, которые являются непосредственно действующими. Так, в п. 1 ст. 16 ДФЕС четко зафиксировано, что каждый имеет право на защиту относящихся к нему персональных данных.

Закрепление права на защиту данных в учредительных документах ЕС важно еще и по той причине, что согласно принципу верховенства права, нормы этой правовой системы имеют большую юридическую силу, чем нормы правовых систем государств-членов ЕС. Данный принцип имеет универсальное содержание в том смысле, что он охватывает любые нормы и источники двух правовых систем, которые могут находиться в противоречии друг с другом. Таким образом, государства-члены не имеют права издавать и применять в своих правовых системах нормы, касающиеся сбора и обработки данных, которые могли бы противоречить положениям учредительных Договоров ЕС.

Важно и то, что закрепление права на защиту персональных данных в первичном праве ЕС означает, что это право должно учитываться при составлении и принятии других нормативных актов ЕС (актов вторичного права и т.д.), которые не могут противоречить учредительным Договорам Союза. Таким образом, исключения из права на защиту данных возможны только в случае пересмотра учредительных Договоров ЕС, что гарантирует стабильность данному фундаментальному праву человека.

Помимо закрепления права на защиту данных на уровне первичного права ЕС, ст. 16 ДФЕС обязывает институты Союза принять конкретные правила по защите персональных данных. Соблюдение таких правил находится под контролем независимых органов. Здесь же сделана оговорка о том, что правила, принимаемые на основании ст. 16, не должны наносить ущерба специальным правилам, предусмотренным в ст. 39 Договора о ЕС, устанавливающей положения о деятельности специальных органов в сфере общей внешней политики и политики безопасности.

Помимо ст. 39, ДЕС не содержит других норм, прямо относящихся к защите персональных данных. В то же время этот Договор делает отсылку к другому нормативному документу, наделенному с момента вступления в силу Лиссабонского договора высшей юридической силой в ЕС. Так, в п. 1 ст. 6 ДЕС сказано: Союз признает права, свободы и принципы, изложенные в Хартии основных прав ЕС от 7 декабря 2000 года, адаптированной 12 декабря 2007 года, которая имеет такую же юридическую силу, как и Договоры. Положения Хартии не расширяют компетенцию Союза по сравнению с тем, как она определена в Договорах. Толкование изложенных в Хартии прав, свобод и принципов проводится в соответствии с общими положениями раздела VII Хартии, регулирующего ее толкование и применение.

При этом следует отметить, что неправильно оценивать Хартию как принципиально новый документ, внесший существенные изменения в европейскую систему правозащитных ценностей. Еще при разработке Хартия

рассматривалась как акт, отражающий уже достигнутый в ЕС уровень развития в сфере прав человека. Конвент ее разработчиков исходил из того, что обязательства Союза в указанной области уже закреплены на уровне общих принципов права ЕС, подтвержденных практикой Суда ЕС и основанных на конституционных традициях государств-членов и положениях Конвенции о защите прав человека и основных свобод 1950 г. в трактовке Европейского Суда по правам человека (ЕСПЧ). Таким образом, не ставилась задача создать некий ориентир для национальных законодателей европейских стран. Наоборот, речь шла о совершенствовании права Союза и его адаптации к высоким внутригосударственным стандартам, а потому Хартия не ставит своей целью расширение прерогатив институтов ЕС или ограничение компетенции государств-членов[47].

Интерес представляет ст. 8 Хартии, которая именуется «защита данных личного характера». В п. 1 статьи говорится о том, что каждый человек имеет право на защиту относящихся к нему данных личного характера. В п. 2 ст. 8 закреплены правила обработки таких данных в форме норм-принципов и определены некоторые права индивидов. Так, обработка персональных данных должна производиться без манипуляций, в четко определенных целях, с согласия заинтересованного лица либо при наличии других правомерных оснований, предусмотренных законом. Каждый человек имеет право на получение доступа к собранным в отношении него данным, и право на устранение в них ошибок. В п. 3 ст. 8 Хартии отмечается, что соблюдение указанных правил подлежит контролю со стороны независимого органа.

Положения Хартии тесно интегрированы с нормами Конвенции о защите прав человека и основных свобод 1950 г. Во-первых, основные права человека, гарантированные Конвенцией и вытекающие из общих для стран- членов конституционных традиций, составляют общие принципы права ЕС

(п. 3 ст. 6 Лиссабонского договора). Во-вторых, Конвенция и практика ЕСПЧ определяют смысл и пределы действия закрепленных в Хартии прав.

Хотя Хартия и обрела юридически обязательную силу источника первичного права ЕС, вопрос о применении Хартии национальными судами остается открытым. В настоящее время правозащитная тематика - по- прежнему приоритетная сфера внутригосударственной компетенции европейских стран. Национальные средства правовой защиты продолжают играть первоочередную роль в обеспечении соблюдения прав человека, в том числе гарантированных Хартией.

Хартия адресована, в первую очередь, европейским институтам. Что касается внутригосударственного права, то этот документ призван лишь дополнить национальные системы государств-членов, но не заменить их. Государства-члены ЕС связаны лишь предписаниями национальных конституций и иных внутренних актов, а положения Хартии обязательны для национальных органов только при имплементации права ЕС (ст. 51). Эти принципиальные установки явились результатом многолетней дискуссии и политического компромисса европейских стран и ориентированы на недопущение расширения компетенции Союза за счет правозащитной сферы, по-прежнему остающейся преимущественно в пределах национальной юрисдикции, и уже существующих международных механизмов защиты прав человека (например, в рамках Совета Европы).

Закрепление права на защиту личных данных в учредительных Договорах и в Хартии основных прав ЕС имеет важное значение, так как эти нормы изначально рассматривались как основа для создания четкой унифицированной системы защиты персональных данных на территории ЕС. Об этом, в частности, неоднократно заявляла Комиссия ЕС при подготовке проекта Общего Регламента по защите данных.

К началу второго десятилетия XXI века в Европе возникли новые вызовы, связанные с защитой персональных данных, к которым относятся развитие и постепенное внедрение технологий Веб 3.0. В будущем более

мощные системы смогут работать как персональные советчики в таких неоднородных и сложных сферах, как финансовое планирование (например, составление пенсионного плана для семейной пары) или образовательный консалтинг (когда сервис на основе анализа данных выберет пользователю оптимальный для поступления университет). Такие технологии активно спонсируются международными корпорациями, например, «Google». Пример использования этой технологии - «Know It All», проект исследовательской группы Вашингтонского Университета, в рамках которого создана система «Opine», собирающая и сортирующая мнения пользователей с различных тематических сайтов1. Как заявляет Нова Спивак, специалист по разработке технологий, которые определяют связи между фрагментами информации в сети: «Это можно будет назвать Всемирной Базой Данных

(WorldWideDatabase). Общество на современном этапе проходит путь от интернета связанных документов к интернету связанной информации»[48][49].

В этот период происходит появление новых способов кибермошенничества, основанных на неправомерном использовании персональных данных физических лиц. В 2013 г. некоммерческая организация Великобритании «Система предотвращения мошенничества в кредитных отраслях» (CIFAS)[50]сообщила о более чем 50-процентном росте числа случаев незаконного использования личных данных физических лиц[51].

С ростом объема передаваемой личной информации в сети «кража личности» (вид кибермошенничества с использованием персональных данных) набирает популярность как основной инструмент киберпреступников. По результатам исследования «Javelin Strategy &Research», общий ущерб от онлайн-мошенничеств с использованием

персональных данных в 2016 г. стал рекордным за всю историю. Он составил $16 млрд. по сравнению с $15 млрд. годом ранее1.

Рискам может быть подвержена любая, даже глобальная система. Так, из-за ошибки администрации американской социальной сети «Facebook» публикации 14 млн. пользователей, предназначенные для ограниченного круга людей, оказались выложены в общий доступ в 2018 г[52][53].

Стремительное развитие цифровых технологий, появление все новых и новых средств и способов передачи информации, в том числе трансграничных, а, следовательно, появление новых рисков безопасности, заставило ЕС серьезно задуматься об обновлении существовавшей системы правового регулирования защиты персональных данных, базирующейся на положениях Директивы 1995 г. и связанных с ней актов вторичного права (в основном, директив), которые были по-разному имплементированы в законодательства государств-членов ЕС. Цель масштабной реформы заключалась в принятии регламента по защите данных, обладающего прямым действием и унифицирующего законодательства государств-членов.

Во главе угла в ЕС всегда стояли экономические интересы, и поэтому реформа была обусловлена и причинами экономического характера. Быстрые темпы технологических изменений и глобализации глубоко изменили способы сбора, получения доступа, использования и передачи постоянно растущего объема персональных данных. Новые способы обмена информацией через социальные сети и удаленного хранения больших объемов данных стали частью жизни для многих из более 250 миллионов пользователей Интернета в Европе. В то же время персональные данные стали активом для многих предприятий. Сбор, агрегирование и анализ

данных потенциальных клиентов часто являются важной частью их экономической деятельности1. Именно поэтому предприятиям нужны были четкие и единообразные правила, обеспечивающие юридическую определенность и минимизирующие административное бремя. Это важно, так как Единый рынок должен функционировать и стимулировать экономический рост, создавать новые рабочие места и способствовать инновациям[54][55].

В этой новой цифровой среде люди должны иметь право эффективно контролировать свою личную информацию. Как подчеркивается в Цифровой повестке дня для Европы, опасения по поводу конфиденциальности являются одними из наиболее частых причин для людей не покупать товары и услуги в Интернете. Учитывая вклад сектора информационно-коммуникационных технологий (ИКТ) в общий рост производительности в Европе - 20% непосредственно от сектора ИКТ и 30% от инвестиций в сектор ИКТ[56], доверие к таким услугам имеет важное значение для стимулирования роста экономики ЕС и конкурентоспособности европейской промышленности.

Сильная, четкая и единообразная правовая база на уровне ЕС была необходима для того, чтобы раскрыть потенциал Единого цифрового рынка (Digital Single Market) и способствовать экономическому росту, инновациям и созданию рабочих мест. Она была призвана устранить фрагментацию правовых режимов в государствах-членах и барьеры входа на рынок, что имеет особое значение для микро-, малых и средних предприятий. Новые правила требовались, чтобы предоставить компаниям ЕС преимущества и в глобальной конкуренции, так как в рамках реформированной правовой базы они смогут заверить своих клиентов в том, что ценная личная информация будет обрабатываться с необходимой осторожностью и усердием. Доверие потребителей к согласованному режиму правового регулирования в ЕС

рассматривалось как ключевой актив для поставщиков услуг и стимул для инвесторов, ищущих оптимальные условия при размещении услуг. Соответственно, в начале второго десятилетия XXI века ЕС нуждался в решениях, способных обеспечивать единый режим комплексной защиты персональных данных одновременно на всей его территории.

С этого момента берет начало четвертый этап формирования правового регулирования защиты персональных данных в ЕС. Помимо развития новейших технологий, обусловивших появление новых рисков для защиты персональной информации, а также причин экономического характера, принятие правовых актов, унифицирующих законодательства государств- членов, было вызвано самой логикой развития права ЕС в данной области. Защита персональных данных в качестве фундаментального права закреплена в ст. 8 Хартии основных прав Европейского союза и в ст. 16 ДФЕС, которые изначально задумывались в качестве базы для последующего принятия нового европейского акта о защите персональных данных физических лиц при их обработке и о свободном обращении данных.

Чтобы провести реформу правового регулирования защиты данных в ЕС прозрачным образом, Европейская комиссия уже с 2009 г. начала публичные консультации1 и вела интенсивный диалог с заинтересованными сторонами по вопросу пересмотра положений Директивы 1995 г[57][58]. 4 ноября 2010 года Комиссия опубликовала сообщение о комплексном подходе к защите персональных данных в Союзе[59], в котором были изложены основные темы реформы. В период с сентября по декабрь 2011 года Комиссия участвовала в расширенном диалоге с национальными органами по защите данных и с Европейским уполномоченным по защите данных для изучения

вариантов более последовательного применения правил защиты данных ЕС во всех государствах-членах1. От участников процесса, представляющих различные группы заинтересованных сторон, поступило множество предложений[60][61].

В ходе публичных обсуждений стало ясно, что и граждане, и предприятия выступают за то, чтобы Европейская комиссия реформировала существовавшие правила защиты данных в ЕС. Комиссия посчитала оптимальным вариантом, если правовое регулирование защиты данных будет осуществляться посредством регламента (заменяющего Директиву 95/46/EC), который приведет правовое регулирование в государствах-членах к единой общей структуре и в котором должны предусматриваться механизмы для защиты личных данных на уровне ЕС[62], и директивы (заменяющей Рамочное решение 2008/977/JHA[63]), устанавливающей правила защиты персональных данных, обрабатываемых компетентными органами в целях предотвращения, обнаружения, расследования уголовных преступлений или преследования за совершение таковых, и связанной с ними судебной деятельности.

Следует отметить, что основу предложения составил именно проект регламента. Речь идет не просто о смене типа документа, поскольку регламенты юридически «сильнее» директив, так как подлежат прямому применению в государствах-членах, в то время как положения директив подлежат имплементации в национальное законодательство. Это дает

государствам-членам определенное пространство для маневра при реализации поставленных в директиве целей, так как они имеют право выбирать конкретные способы их реализации по собственному усмотрению. Считаем, что именно выбор в качестве нормативного акта в 1995 году директивы для регулирования сферы защиты данных послужил причиной недостаточной гармонизации законодательств государств-членов ЕС.

Европейский Уполномоченный по защите данных поддержал проекты новых документов, особенно в части укрепления независимости национальных органов по защите данных и наделения их полномочиями по принудительному исполнению. При этом он с сожалением отметил неудовлетворительный характер содержания проекта директивы о защите данных в сфере правопорядка и юстиции, подчеркивая, что ей недостает жесткости и комплексности. Уполномоченный согласился с тем, что директива должна распространяться на обработку данных внутри ЕС, но отметил, что предлагаемый уровень защиты данных по-прежнему слишком низок. По его мнению, Комиссии следовало бы разработать более строгие правила передачи данных за пределы Евросоюза, а органам по защите данных в обязательном порядке должны быть предоставлены полномочия по организации эффективного контроля над обработкой личных данных[64].

Неправительственная организация «Европейские цифровые права» (European Digital Rights - «EDRi») в целом поддержала предложенные реформы. Тем не менее, по мнению экспертов «EDRi», нечеткая формулировка права на забвение может повлечь за собой негативные последствия для свободы слова из-за злоупотребления этой нормой и использования ее в качестве инструмента цензуры. «EDRi» также предложила внести ясность в переносимость данных, а именно исключить возможность возлагать расходы по передаче информации на субъектов

данных; возложить на контролеров и процессоров обязанность предоставлять физическим лицам информацию в общеупотребительном формате и т.д.1

По другим вопросам повестки «EDRi» предложила следующее:

-в отношении принципа неприкосновенности личной жизни - разработать механизм эффективной реализации неприкосновенности личной жизни, гарантированной, например, за счет обязательства проводить оценку обеспечения неприкосновенности личной жизни;

- по вопросу уведомлений о нарушении требований по защите данных - создать центральный общедоступный реестр утечек данных;

-в отношении предложенной формулировки ст. 42 Регламента, касающейся мер предосторожности при передаче данных третьим странам, включить требование получения предварительного разрешения у местного надзорного органа[65][66].

Составленные Комиссией ЕС проекты регламента и директивы активно обсуждались Европейским парламентом и Советом ЕС. В этой связи Комиссия представила Сообщение (коммюнике) Европейскому парламенту, Совету ЕС, Европейскому экономическому и социальному комитету и Комитету регионов от 25 января 2012 года - Защита конфиденциальности в соединенном мире и Европейская система защиты данных в XXI веке[67]. Сообщение содержит фундаментальные подходы и определяет основные цели реформирования системы защиты персональных данных.

Согласно этому Сообщению цель новых актов, предложенных Комиссией, заключается в укреплении прав, предоставлении физическим лицам эффективных и оперативных средств для обеспечения того, чтобы они были полностью информированы о том, что происходит с их персональными данными, и для более эффективного осуществления ими своих прав.

Новый регламент призван обеспечить надежную защиту фундаментального права на защиту данных во всем Европейском Союзе и укрепить функционирование Единого рынка. В то же время, как подчеркивает Суд ЕС1, право на защиту персональных данных не является абсолютным правом, а должно рассматриваться в связи с его функцией в обществе и должно быть сбалансированным с другими основными правами в соответствии с принципом пропорциональности[68][69], и поэтому регламент должен включать в себя четкие положения, обеспечивающие соблюдение других фундаментальных прав, таких, как право на защиту свободы выражения мнений и свободу информации, право профессиональной тайны (например, адвокатская, медицинская тайна) и др.

Модернизация правил защиты данных ЕС является неотъемлемым условием реализации стратегий Союза. Данный вопрос занимает центральное место в Стокгольмском плане действий Европейской комиссии[70], в Цифровой повестке дня для Европы[71] и наиболее широко представлен в стратегии роста роли Европейского Союза для Европы 2020[72].

Кроме того, вступление в силу Лиссабонского договора и, в частности введение новой правовой основы (ст. 16 ДФЕС), создало предпосылки для разработки всеобъемлющей системы, обеспечивающей высокий уровень защиты данных отдельных лиц, при соблюдении специфической природы сферы сотрудничества полиций и судебного сотрудничества по уголовным делам. Комиссия отмечает, что это позволит пересмотренной системе защиты данных ЕС охватывать, как трансграничную, так и внутреннюю обработку персональных данных. Обработка данных в рамках сотрудничества таких органов в основном регулировалась Рамочным решением 2008/977/JHA.

Сфера его действия ограничивалась трансграничной обработкой1, и это означало, что обработка персональных данных, которые не были предметом обмена между государствами-членами, во время его действия не регулировалась внутренними правилами ЕС и, соответственно, имелся пробел в правовой регламентации фундаментального права на защиту данных. Такая ситуация также создавала в некоторых случаях практические трудности для правоохранительных органов, которые могли изначально не предвидеть, станут ли данные, обрабатываемые внутри страны, объектом последующего трансграничного обмена, и какие положения стоит применять при обращении к таким данным[73][74].

Для решения указанных проблем было предложено принятие специального акта, а именно директивы, посредством которой реформированная система защиты данных будет направлена также на обеспечение высокого уровня защиты данных в целях укрепления взаимного доверия и развития эффективного сотрудничества между органами внутренних дел и судебными органами государств-членов в борьбе с преступлениями в Европе.

В 2014 году Европейский парламент продемонстрировал решительную поддержку проектов документов - 621 голос «за» и 10 «против» в ходе пленарного заседания. В итоге, после четырех лет интенсивного обсуждения и переговоров между институтами ЕС, консультаций с Советом Европы, представителями бизнеса и гражданского общества, дальнейшее развитие правового регулирования нашло отражение в принятии пакета документов, состоящего из регламента и директивы, Советом ЕС в первом чтении 8 апреля 2016 года[75]. 14 апреля 2016 года регламент и директива были одобрены Европейским парламентом во втором чтении[76], а 27 апреля 2016

года регламент и директиву подписали в Брюсселе председатель Европейского парламента M. Schulz и председатель Совета ЕС J.A. Hennis- Plasschaert. 4 мая 2016 г. Официальный Журнал ЕС (Official Journal of the European Union) опубликовал положения документов на всех официальных языках ЕС1.

Регламент (ЕС) 2016/679 «О защите физических лиц в отношении обработки персональных данных и о свободном обращении таких данных и отмене Директивы 95/46/EC (Общий Регламент по защите данных)»[77][78]применяется на территории ЕС с 25 мая 2018 г. С этой же даты Директива 1995 года прекращает свое действие. Соответствующая Директива (ЕС) 2016/680 «О защите физических лиц в отношении обработки персональных данных компетентными органами в целях предотвращения, расследования, обнаружения или уголовного преследования за уголовные преступления или исполнения уголовных наказаний и о свободном обращении таких данных и отмене Рамочного решения Совета ЕС 2008/977/JHA»[79]вступила в силу на следующий день после ее публикации в Официальном журнале Европейского Союза. Рамочное решение 2008/977/JHA отменяется с 6 мая 2018 г., и к этой дате государства-члены должны были принять и опубликовать законы, иные нормативные акты и административные положения с целью имплементации Директивы. Государства должны были незамедлительно сообщать Комиссии тексты этих положений, и обязаны применять эти акты на своей территории с 6 мая 2018 года.

Таким образом, в формировании правового регулирования защиты персональных данных в ЕС следует выделить четыре этапа, каждый из

которых имеет свои особенности и связан с внедрением в правовую систему Союза нормативных актов, отвечающих на существующие вызовы и риски и регламентирующих определенные сферы правового регулирования. Принятие таких актов было обусловлено различными причинами политического, экономического, технологического, социального характера. Директива 1995 г. - первый общеобязательный правовой инструмент защиты персональных данных в Европейском Союзе - стала важной вехой в истории защиты данных и олицетворяла собой начальный этап общеевропейского правового регулирования и на протяжении долгого времени оставалась в силе. Ее цели были направлены на обеспечение свободного обращения персональных данных между государствами-членами ЕС в рамках функционирования Единого рынка и на эффективную защиту основных прав и свобод физических лиц. Однако данный акт был принят в то время, когда Интернет находился в зачаточном состоянии. Именно поэтому к началу XXI века потребовалось расширение сферы правового регулирования путем введения в действие других специальных актов.

На втором этапе были приняты правовые акты, которые касались обработки персональных данных и защиты конфиденциальности в секторе электронных средств связи, а также учреждения независимого надзорного органа ЕС - Европейского Уполномоченного по защите данных и создания Европейского агентства по сетевой и информационной безопасности. Одним из них стал Регламент № 45/2001 - первый европейский акт прямого действия по защите прав и свобод физических лиц в отношении обработки персональных данных учреждениями, органами и институтами Союза.

Третий этап характеризуется закреплением права на защиту персональных данных в качестве фундаментального и неотъемлемого права индивидов на уровне первичного права ЕС - в учредительных Договорах и в Хартии основных прав ЕС. Эти документы стали базой для разработки и внедрения в правовую систему ЕС Общего Регламента, охватывающего всю область правового регулирования персональных данных, за исключением

обработки персональных данных компетентными органами в целях предотвращения, расследования, обнаружения или преследования за уголовные преступления или исполнения уголовных наказаний. Для таких ситуаций предусмотрена специальная Директива. Указанные акты знаменуют собой четвертый - современный - этап формирования правового регулирования защиты персональных данных в ЕС.

Правовое регулирование защиты личной информации в стремительно развивающейся цифровой среде нуждается в постоянном совершенствовании в целях обеспечения согласованности существующих правил и эффективного осуществления индивидами своих прав. Последними шагами на данный момент стало принятие государствами-членами новых национальных законов о защите данных или внесение изменений в действующие, с целью соответствия положениям Регламента и Директивы, и вступление в действие с 12 декабря 2018 г. нового Регламента (ЕС) 2018/1725 о защите физических лиц в отношении обработки персональных данных институтами, органами, учреждениями и агентствами Союза и о свободном обращении данных1.

Правовое регулирование защиты персональных данных в Европейском Союзе развивалось по сложному пути, от декларативных актов к имплементации норм права ЕС в правовые системы всех без исключения государств-членов и к принятию правовых актов ЕС, обладающих прямым действием и имеющих отношение к различным сферам общественных отношений. Таким образом, на примере Европейского Союза подтверждается тезис о том, что защита персональных данных является одной из основных потребностей человека с момента зарождения современного информационного общества и по настоящее время[80][81].

1.2.

<< | >>
Источник: Шадрин Станислав Александрович. ПРАВОВОЕ РЕГУЛИРОВАНИЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ЕВРОПЕЙСКОМ СОЮЗЕ: ГЕНЕЗИС И ПЕРСПЕКТИВЫ РАЗВИТИЯ. ДИССЕРТАЦИЯ на соискание ученой степени кандидата юридических наук. Казань - 2019. 2019

Еще по теме Основные этапы развития правового регулирования защиты персональных данных в Европейском Союзе:

  1. § 3. Сопутствующие элементы теоретической модели взаимосвязи нормы права, правоотношения и юридического факта
  2. §11. Административное право Италии.
  3. Международная электронная торговля услугами как феномен либерализации рынка: проблемы правового регулирования
  4. § 4 Европейская комиссия.
  5. Правовое обеспечение безопасности несовершеннолетних в сети Интернет: зарубежный и российский опыт
  6. ОГЛАВЛЕНИЕ
  7. ВВЕДЕНИЕ
  8. Основные этапы развития правового регулирования защиты персональных данных в Европейском Союзе
  9. Система источников правового регулирования защиты персональных данных в Европейском Союзе на современном этапе
  10. 3.1 Особенности имплементации правовых актов Европейского Союза в сфере защиты персональных данных государствами-членами (на примере Германии, Ирландии, Франции)
  11. Направления развития правового регулирования защиты персональных данных в Европейском Союзе
  12. Основные направления совершенствования правового регулирования защиты персональных данных в Российской Федерации в контексте правового опыта Европейского Союза
  13. Заключение
  14. СПИСОК ИСТОЧНИКОВ И НАУЧНОЙ ЛИТЕРАТУРЫ
- Авторское право РФ - Аграрное право РФ - Адвокатура России - Административное право РФ - Административный процесс РФ - Арбитражный процесс РФ - Банковское право РФ - Вещное право РФ - Гражданский процесс России - Гражданское право РФ - Договорное право РФ - Жилищное право РФ - Земельное право РФ - Избирательное право РФ - Инвестиционное право РФ - Информационное право РФ - Исполнительное производство РФ - История государства и права РФ - Конкурсное право РФ - Конституционное право РФ - Муниципальное право РФ - Оперативно-розыскная деятельность в РФ - Право социального обеспечения РФ - Правоохранительные органы РФ - Предпринимательское право России - Природоресурсное право РФ - Семейное право РФ - Таможенное право России - Теория и история государства и права - Трудовое право РФ - Уголовно-исполнительное право РФ - Уголовное право РФ - Уголовный процесс России - Финансовое право России - Экологическое право России -