<<
>>

3.1 Особенности имплементации правовых актов Европейского Союза в сфере защиты персональных данных государствами-членами (на примере Германии, Ирландии, Франции)

При имплементации норм европейских актов в законодательство государств-членов важным вопросом является то, насколько будут расходиться положения национальных законов государств, так как это будет влиять на практику правоприменения общеевропейского права защиты данных.

Несмотря на то, что европейские акты оставляют государствам довольно узкие рамки для внесения дополнительных положений, избежать коллизий в этом вопросе практически невозможно.

Регламент (ЕС) 2016/679 непосредственно применим во всех государствах-членах. Это означает, что он вступает в силу и применяется

независимо от каких-либо мер, предусмотренных национальным законодательством: на положения Регламента могут напрямую ссылаться граждане, юридические лица, государственные органы и прочие организации и лица, подпадающие под сферу его действия. Тем не менее, в соответствии с его нормами, государства-члены должны предпринять необходимые шаги для адаптации своего законодательства путем отмены или внесения поправок в существующие законы, в частности, в целях назначения органа по аккредитации, согласования свободы выражения и защиты данных и т.д.

Кроме того, Регламент дает государствам-членам возможность уточнить или дополнить правила защиты данных в определенных областях: государственный и муниципальный сектор; занятость и социальное обеспечение; профилактическая и профессиональная медицина; архивирование в интересах общества; обработка в научных, исторических исследовательских или статистических целях; публичный доступ к официальным документам; обработка генетических данных, биометрических данных и данных, касающихся здоровья и др.

При адаптации своего национального законодательства государства- члены должны учитывать тот факт, что любые национальные меры, которые могут привести к созданию препятствий для прямого применения Регламента и поставить под угрозу его одновременное и единообразное применение во всем Европейском Союзе вопреки Договорам, будут определяться как противоречащие общеевропейскому праву, в соответствие с прецедентной практикой Суда ЕС[153].

Если страны это сделают, контролеры данных по всему Союзу снова столкнутся с фрагментацией правовых норм и не будут знать, каким правилам они должны подчиняться.

Повторение текста нормативных актов ЕС в национальном законодательстве также запрещено, если только такие повторения не являются строго необходимыми для обеспечения последовательности и для

того, чтобы сделать национальные законы понятными для тех, к кому они применяются (п. 8 вводной части Регламента). Воспроизведение текста Регламента дословно в специальных национальных законах должно быть исключительным и обоснованным и не может использоваться для добавления дополнительных условий или толкований к тексту Регламента.

Регламент содержит более сорока норм, которые могут быть интерпретированы государствами-членами. При внесении соответствующих положений в свое законодательство страны ЕС воспользовались разными подходами. Для того чтобы выявить особенности имплементации норм указанных актов, необходимо провести сравнение тех положений, которые государства-члены приняли с целью конкретизации Регламента и для имплементации Директивы. В качестве примеров рассмотрим законодательные акты Ирландии, как представительницы англосаксонской правовой семьи в Европейском Союзе, ФРГ, являющейся классическим представителем группы германского права в рамках романо-германской правовой семьи, и Франции, представляющей группу романского права, также относящейся к романо-германской правовой семье.

Федеральный Закон ФРГ «Об адаптации и реализации положений о защите данных ЕС» (Datenschutz-Anpassungs-und-Umsetzungsgesetz EU - DSAnpUG-EU)[154]был утвержден Бундестагом 27 апреля 2017 г., Бундесратом - 12 мая 2017 г, и был официально опубликован 5 июля того же года. В разделе 1 Закона «Об адаптации» содержатся положения нового Федерального закона о защите данных (Bundesdatenschutzgesetz; далее - Закон ФРГ), разделы 2-7 вносят изменения и поправки в другие законы (Федеральный закон «О защите конституции», Закон «MAD», Закон «О проверке безопасности» и другие, с учетом требований обработки данных в сфере национальной безопасности, выходящие за рамки правового регулирования ЕС), а раздел 8 регламентирует порядок вступления его в силу и прекращения действия

некоторых законов.

Новый Закон применяется на территории ФРГ, как и Регламент, с 25 мая 2018 года, одновременно прекратил действие Федеральный закон «О защите данных» 2003 г. (Bundesdatenschutzgesetz- 2003), который базировался на положениях Директивы 95/46/ЕС. Таким образом, Германия первой из стран ЕС смогла адаптировать национальное законодательство к непосредственно применимым европейским нормам, за год до установленного срока.

Новый Закон «О защите данных», который применяется к государственным органам Федерации и Земель, а также к негосударственным органам, включает 85 статей и состоит из четырех частей: 1. Общие положения1; 2. Реализация положений для обработки в целях, указанных в ст. 2 Регламента (ЕС) 2016/679; 3. Положения, применимые к обработке в целях, указанных в п. 1 ст. 1 Директивы (ЕС) 2016/680; 4. Специальные положения для обработки в контексте деятельности, выходящей за рамки применения Регламента и Директивы. Новый Закон применяется, если контролер или процессор зарегистрирован в Германии, или в случаях, если он правомочен регулировать обработку данных за пределами ЕС (с ЕАОС и Швейцарией), в соответствие с Регламентом (это относится к дипломатическим, консульским учреждениям и т.д.).

Парламент Ирландии (Oireachtas) принял Закон о защите данных в 2018 г. (Data Protection Act 2018, далее - Закон Ирландии). Он был подписан Президентом 24 мая 2018 г., за день до вступления в действие европейского Регламента, и вступил в силу на следующий день[155][156]. Данный Закон отменяет действовавшие Законы о защите данных 1988 г. (частично) и 2003 г. (полностью). Исключение составляют некоторые положения Закона 1988 г., которые касаются обработки персональных данных в целях национальной безопасности, обороны и международных отношений государства. В новом Законе содержатся национальные меры, принятые Ирландией к

осуществлению положений Регламента и Директивы, которые создают новую нормативную базу для обеспечения соблюдения европейских актов о защите персональных данных в Ирландии.

Уже в преамбуле документа определены цели, для осуществления которых был принят данный акт: учредить орган, который будет именоваться как An Coimisiunum Chosaint Sonrai (или the Data Protection Commission - Комиссия по защите данных); дополнительно адаптировать Регламент (ЕС) 2016/679; обеспечить применение Директивы (ЕС) 2016/680; обеспечить дальнейшее осуществление Конвенции о защите частных лиц в отношении автоматической обработки персональных данных, принятой в Страсбурге 28 января 1981 года, и для этих и других целей внести необходимые поправки в Закон о защите данных 1988 г.

Таким образом, на сегодняшний день в Ирландии действуют два национальных акта по защите персональных данных физических лиц, основным из которых следует считать новый Закон о защите данных 2018 г., а положения предшествующего Закона 1988 г. регулируют лишь отдельные, специфические вопросы, связанные с обработкой и передачей персональных данных.

Французский Закон № 78-17 от 6 января 1978 г., касающийся данных, файлов и свобод1 (далее - Закон «О данных, файлах и свободах»), действует в новой редакции, начиная с 22 июня 2018 года[157][158]. Французское Правительство решило актуализировать имеющийся правовой акт[159] и не отменять Закон, действующий с изменениями и дополнениями уже на протяжении более сорока лет. Первоначальные поправки в Закон «О данных, файлах и свободах» были приняты в соответствии с ускоренной процедурой (для того,

чтобы уложиться в сроки, установленные Регламентом). Далее Закон № 2018-493 от 20 июня 2018 г. о защите персональных данных[160] внес последующие поправки в Закон № 78-17 1978 г., чтобы использовать предусмотренные Регламентом возможности для отступления, и имплементировать Директиву во французское законодательство. Закон № 2018-493 будет вводиться в правовую систему поэтапно. Следующие поправки в Закон 1978 г. вступили в силу 1 июня 2019 года.

В соответствии с Регламентом все государства-члены должны уведомить Комиссию ЕС о следующих положениях своего законодательства:

- о национальных органах защиты данных (п.

4 ст. 51),

- об установленных штрафах (п. 2 ст. 84),

- о согласовании права на защиту данных с правом на свободу выражения мнения и информации (п. 3 ст. 85).

Кроме того, государству следует уведомить Комиссию ЕС в случае, если оно устанавливает на национальном уровне положения о защите данных в соответствие со следующими положениями Регламента:

- обработка персональных данных в контексте занятости (п. 3 ст. 88),

- обязательства секретности (п. 2 ст. 90),

- ограничения на передачу определенных категорий данных в целях защиты общественных интересов (п. 5 ст. 49),

- иные меры правовой защиты (п. 9 ст. 83).

Государства-члены должны были сообщить Комиссии ЕС о принятых национальных положениях в сроки, установленные Регламентом, по большинству пунктов до 25 мая 2018 г. По смыслу Регламента, государства- члены не обязаны вносить такие положения исключительно в законы, прямо регламентирующие правила защиты персональных данных.

Так, например, в сообщении от ФРГ указываются нормы национального законодательства, принятые в соответствие со статьями 49

(5), 51 (4), 83 (9), 84 (2), 85 (3), 88 (3), 90 (2) Регламента. Соответственно, в Федеральный закон о защите данных (Bundesdatenschutzgesetz) были включены нормы, конкретизирующие положения п. 4 ст. 51 Регламента (§§ 8-19 и § 21 Закона о защите данных), п. 2 ст. 84 (§ 42 и § 43), п. 3 ст. 88 (§ 26) и п. 2 ст. 90 (§ 29). Кроме того, нормы по ряду вопросов были включены в Закон о государственных служащих (Beamtenversorgungsgesetz) (§ 62a п. 2), Федеральный закон о регулировании субсидий (Bundesbeihilfeverordnung) (§ 55), а также во Второй, Шестой, Седьмой и Десятый том социального кодекса (Sozialgesetzbuch) и в другие федеральные законы и нормативные акты федеральных Земель1.

В сообщении от Республики Ирландии содержится информация о внесении в национальное законодательство норм, предусмотренных статьями 51 (п. 4), 84 (п. 2) и 85 (п. 3) Регламента. Все они были включены в Закон о защите данных.

Так, положения о создании независимого надзорного органа и наделения его соответствующими полномочиями содержатся в Части 2 «Комиссия по защите данных» Закона, ст. 157 «Орган надзора за судами, действующими в судебном порядке», а также в Части 6 «Обеспечение применения Регламента по защите данных и Директивы ЕС». Что касается установления дополнительных санкций и других штрафов, то такие положения содержатся в статьях 4(2), 55(8), 130(7) и (8), 132(6), 133(10), 135(15), 138(12), 144, 145, 146, 147 и 164 Закона. Исключения для обработки, проводимой для журналистских целей или целей академического, художественного или литературного самовыражения, предусмотрены в ст. 43 «Обработка данных и свобода выражения и информации» и ст. 44 «Обработка данных и публичный доступ к официальным документам» Закона Ирландии[161][162].

В Уведомлении о действующем законодательстве французские власти информируют Европейскую комиссию о положениях, принятых в

соответствие со статьями 49 (п. 5), 51 (п. 4), 84 (п. 2), 85 (п. 3), 88 (п. 3), 90 (п. 2) Регламента. Так, в Законе № 78-17 от 6 января 1978 г. «О данных, файлах и свободах» были конкретизированы нормы статей 51, 84 и 85 Регламента. Кроме того, некоторые нормы Регламента конкретизируются в положениях Гражданского процессуального кодекса Франции (ст. 509), в статье 131-21 раздела 5 главы VI части II Книги II и в статьях с R-625-10 по R-625-13 Уголовного кодекса Франции, в статьях L1121-1, L1221-9, L1222-4, L1262-2, L6323-8, R1251-9, L1321-3 и L2312-38 Трудового кодекса Франции, а также в других федеральных законах[163].

Единообразное применение европейского права защиты персональных данных в государствах-членах может быть достигнуто исключительно за счет высокого уровня гармонизации законодательств всех без исключения стран ЕС. Однако, при рассмотрении особенностей имплементации правовых актов ЕС о защите персональных данных, обращает на себя внимание то, что государства-члены интерпретировали положения Регламента по-разному. В качестве примеров рассмотрим случаи по наиболее чувствительным вопросам с точки зрения затрагиваемых данных и операций по их обработке.

1. Обработка персональных данных несовершеннолетних

Регламент в п. 1 ст. 8 устанавливает возраст самостоятельного согласия лица на обработку личных данных на уровне 16 лет, но позволяет государствам-членам ЕС снизить его до 13 лет посредством своих законов. Согласие на обработку персональных данных ребенка должно предоставляться законным представителем (родителем или опекуном).

Ирландия предпочитает сохранить возраст согласия 16 лет, как это предусмотрено Регламентом. Это решение было принято после широкого процесса консультаций, организованных Правительством в 2017 году. При этом отмечается, что ссылка, предусмотренная в ст. 8 Регламента на «услуги

информационного общества» не должна включать в себя профилактические или консультационные услуги (ст. 31 Закона Ирландии).

В актуальной редакции французского Закона № 78-17 в секцию 1 Главы II дополнительно вводится ст. 7-1, которая предусматривает, что несовершеннолетний может согласиться на обработку личных данных в отношении предложения ему услуг информационного общества самостоятельно с 15-летнего возраста (первоначальный текст законопроекта предусматривал 16 лет)1. В возрасте от 13 до 15 лет потребуется согласие ребенка и его представителей. У не достигших возраста 13 лет любой сбор данных запрещен. Французский законодатель аргументировал выбор такого возрастного порога тем, что 15 лет - это возраст, когда несовершеннолетний обычно переходит в среднюю школу, и когда его зрелость позволяет ему в принципе контролировать использование своих данных в Интернете[164][165].

Законодательство ФРГ никак не регламентирует возраст согласия несовершеннолетних на обработку персональных данных. Таким образом, на территории Германии применяются правила, установленные Регламентом (самостоятельное согласие на обработку данных допускается, если лицу исполнилось 16 лет).

Однако большинство государств-членов ЕС ориентируется на возраст согласия в 13 лет. Многие исследователи связывают это с принятием американского закона, известного как «COPPA» (Children's Online Privacy Protection Act - Закон о защите конфиденциальности детей в Интернете)[166]. В настоящее время возраст, необходимый для создания учетной записи в социальных сетях, в большинстве случаев определяется самими платформами. К примеру, можно зарегистрироваться в социальной сети «Facebook» без родительского разрешения с 13 лет.

2. Специальные категории данных

Ст. 9 Регламента предоставляет государствам-членам некоторую свободу действий в отношении определения дополнительных законных оснований, разрешающих обработку специальных категорий данных (например, этнического происхождения, состояния здоровья, членства в профсоюзах, политические, религиозные или философские убеждения и т.д.).

В ФРГ обработка специальных категорий персональных данных регулируется в Разделе 1 «Обработка специальных категорий персональных данных и обработка данных для других целей» Главы 1 Части 2 Закона о защите данных 2018 г.

§ 22 (1) Закона ФРГ упоминает другие допустимые основания для обработки специальных персональных данных, в дополнение к установленным в ст. 9 Регламента. Например, обработка таких данных разрешена в той мере, в какой необходимо осуществлять права, вытекающие из гарантий на социальное обеспечение и социальную защиту, и выполнять соответствующие обязательства, а также, если это необходимо для целей медицинского обслуживания и для национальных интересов в области общественного здравоохранения, перечень которых установлен в § 22.

Отдельно оговариваются ситуации обработки чувствительных данных, проводимых исключительно государственными органами. Такая обработка допускается, если это является необходимым: по причинам значительного общественного интереса; для общественной безопасности; для защиты или выполнения межправительственных обязательств федерального государственного органа в области кризисного управления и (или) предотвращения конфликтов; для осуществления гуманитарных операций и др. Причем во всех случаях интересы государственного контролера должны преобладать над интересами конкретного физического лица. В случаях проведения указанных операций по обработке для обеспечения интересов физических лиц должны быть предусмотрены все возможные меры в целях защиты его прав (технические, организационные, правовые и т.д.).

В порядке отступления от Регламента, в § 26 Закона предусмотрено, что обработка специальных категорий персональных данных работника для целей занятости разрешается, если необходимо осуществлять права или выполнять юридические обязательства, вытекающие из законодательства о занятости, социальном обеспечении и социальной защите, и нет оснований полагать, что законные интересы лица превалируют над интересами контролера. Однако имеются определенные сомнения по поводу правомерности положений § 26 Закона. В частности, § 26 (8) самостоятельно определяет перечень лиц, которых следует рассматривать как «сотрудников» по смыслу Закона ФРГ. В Регламенте упоминается термин «сотрудники» лишь в нескольких местах (например, в ст. 47 «обязательные корпоративные правила» и в п. 155 вводной части «согласие сотрудника»). Регламент не содержит определения данного термина. Если каждый национальный законодатель может сам определить, какие лица являются сотрудниками, а также вводить в свои законы другие определения, не предусмотренные правовыми актами ЕС, то может возникнуть ситуация, что государства- члены будут трактовать одни и те же термины по-разному. Очевидно, что это несовместимо с единообразным применением права защиты данных на территории Союза. В этой связи полагаем, что данный вопрос должен быть урегулирован Судом ЕС.

В порядке допустимого отступления от Регламента, § 27 и § 28 Закона ФРГ предусматривают, что персональные данные специальных категорий могут быть обработаны, если это необходимо исключительно в научных, исторических, исследовательских, статистических целях или в целях архивирования в общественных интересах, и при этом применяются необходимые технические и организационные меры защиты данных, такие как псевдонимизация, шифрование и т.д. В дополнение к мерам, указанным в § 22 (2) Закона, специальные категории персональных данных,

обрабатываемые для вышеуказанных целей, должны быть анонимизированы,

как только это будет возможно, если только интересы физического лица не исключают этого.

Закон Ирландии позволяет обрабатывать специальные категории данных, когда это необходимо в следующих случаях: для предоставления юридических консультаций в связи с судебным разбирательством, для установления, осуществления или защиты законных прав (ст. 47); для обеспечения занятости и социального обеспечения в соответствии с трудовым и социальным законодательством (ст. 46); для отправления правосудия и выполнения соответствующих функций, предусмотренных законом или Конституцией (ст. 49); для избирательной деятельности и осуществления функций Комиссии по референдуму (ст. 48); для страхования жизни, медицинского страхования, получения трудовой пенсии, заключения пенсионного договора по старости или любого другого пенсионного соглашения, а также осуществления залога имущества (ст. 50); для архивирования в общественных интересах, научных или исторических исследованиях или статистических целях (ст. 54).

В соответствие с п. 4 ст. 9 Регламента французский законодатель вводит дополнительные условия в отношении обработки генетических, биометрических данных и данных, касающихся здоровья. Согласно ст. 32 Закона № 78-17 обработка персональных данных, осуществляемая от имени государства и связанная с генетическими или биометрическими данными, необходимыми для аутентификации или контроля личности лица, должна быть предварительно уполномочена указом Государственного совета, принятым после обоснованного и опубликованного мнения независимого надзорного органа - Национальной комиссии по информатике и свободам (Commission nationale de l'informatique et des libertes - CNIL).

Кроме того, в исключительных случаях, предусмотренных в ст. 31 Закона Франции, может разрешаться обработка персональных данных, которые касаются безопасности государства, обороны или общественной безопасности, обработка, которая необходима для предотвращения,

расследования, выявления или судебного преследования за совершение уголовных преступлений или для исполнения уголовных приговоров или других мер безопасности. Обработка таких чувствительных данных санкционируется постановлением Государственного совета, принятым после обоснованного и опубликованного мнения CNIL.

За исключением операций по обработке, осуществляемых от имени государства, CNIL может предписывать дополнительные технические, организационные и иные меры для обработки биометрических, генетических данных и данных о здоровье физических лиц, а также дополнительные гарантии для обработки персональных данных, касающихся уголовных обвинительных приговоров и совершенных преступлений (ст. 11 Закона).

3. Ограничение прав физических лиц

Регламент позволяет государствам-членам устанавливать ограничения на осуществление прав физических лиц и обязанностей контролеров при определенных обстоятельствах.

В соответствии с § 29 Закона о защите данных ФРГ право на доступ к данным физического лица не применяется, если запрашиваемые сведения могут раскрыть секретную информацию, в том числе о третьем лице. Если же данные, имеющие отношение к третьим лицам, передаются как профессиональные секреты (например, юристами, аудиторами, врачами), контролер данных не должен информировать физическое лицо об этом, если интерес лица в представлении информации не преобладает. Таким образом, ограничивается обязанность контролера информировать физическое лицо в случае проведения операций с указанными данными.

Право на доступ к данным также может быть ограничено в случаях, указанных в § 34 Закона ФРГ, в частности, если обработка проводится государственным органом (или негосударственным контролером, которому переданы его полномочия) и осуществление права физического лица поставит под угрозу надлежащее выполнение задач контролера, выполняемых в целях, указанных в п. 1 ст. 23 Регламента, или подвергает

опасности общественную безопасность или порядок или иным образом угрожает интересам Федерации или Земель, а также по другим основаниям, предусмотренным в Законе. Причем во всех указанных случаях предоставление личной информации должно быть сопряжено с непропорциональными усилиями, и обработка в других целях исключается соответствующими техническими и организационными мерами.

Норма § 35 Закона ФРГ, которая применяется в равной степени к государственным и негосударственным органам, содержит исключения из права на удаление, а именно, если удаление в случае неавтоматизированной обработки данных невозможно или возможно только с непропорционально высокими издержками из-за особого характера хранилища, и если интерес лица к удалению считается низким. Кроме того, право на удаление может быть ограничено до тех пор, пока у контролера есть основания полагать, что удаление подорвало бы интересы физического лица, заслуживающие защиты, а также, если удаление противоречит установленным законом или контрактом периодам хранения. В указанных случаях удаление заменяется ограничением обработки («блокировкой данных»).

Право на возражение физического лица может быть ограничено согласно § 36 Закона ФРГ, если обработка проводится публичным органом и в той степени, в которой существует высокий общественный интерес к обработке, который перевешивает интересы физического лица, или согласно требованиям законодательства такие данные должны обрабатываться.

Помимо указанных случаев, может быть ограничено право физического лица на информирование в случае изменения первоначальных целей обработки персональных данных контролером, когда личные данные не были получены у физического лица, а также в определенных случаях при получении личных данных от физического лица (§ 32 и § 33 Закона ФРГ).

Кроме того, § 27 и § 28 Закона ФРГ ограничивают право лиц на доступ, на исправление, на ограничение обработки, на возражение, на портативность данных. Эти права могут быть ограничены для исследовательских и

статистических целей, если осуществление этих прав сделает невозможным или серьезно осложнит достижение обозначенных целей.

В вопросе ограничений прав физических лиц особенно важны и интересны положения статей 59-61 Закона Ирландии, которые заменяют ограничения, установленные в разделе 5 Закона 1988 г. о защите данных. Так, право на возражение против обработки персональных данных ограничено в контексте использования предоставленных физических лицом данных в ходе избирательной деятельности или комиссией референдума при исполнении своих функций.

Права физического лица могут быть ограничены в той степени, в какой это соразмерно и необходимо для решения различных вопросов политического1, правового[167][168] и социального характера[169]. Эти права могут быть также ограничены, если соответствующие личные данные хранятся Комиссией по защите данных, Уполномоченным по информации, Генеральным инспектором.

Премьер-министр Правительства может принять нормативные акты для защиты прав и свобод физических лиц в случае возможности причинения серьезного вреда физическому или психическому здоровью субъектов данных, или в отношении персональных данных, хранящихся или полученных в ходе выполнения функций государственным органом, организацией или другим органом (ст. 60 Закона Ирландии). Правительство

также может принять после обязательной консультации с Комиссией по защите данных правила, ограничивающие права и обязанности физических лиц, если такие ограничения необходимы для защиты общественных интересов (п. 7 ст. 60 Закона Ирландии).

Если обработка персональных данных предназначена для целей архивирования в общественных интересах, права физических лиц, изложенные в статьях 15, 16, 18, 19, 20 и 21 Регламента, могут ограничиваться в соответствие со ст. 61 Закона в той степени, в которой осуществление любого из этих прав может воспрепятствовать достижению таких целей, а ограничение прав при этом является необходимым условием для достижения этих целей. Аналогичные ограничения предусмотрены для прав физических лиц, указанных в статьях 15, 16, 18 и 21 Регламента, если обработка данных проводится в научных, исторических, исследовательских или статистических целях.

Ст. 40 французского Закона «О данных, файлах и свободах», основываясь на ст. 23 Регламента, также содержит правила об ограничении некоторых прав физических лиц. Так, права на исправление, удаление, портативность данных и ограничение обработки могут быть ограничены, когда обработка необходима в связи с: осуществлением права на свободу выражения мнений и информации; исполнением обязательства или выполнением миссии, представляющей общественный интерес или подпадающей под юрисдикцию органа государственной власти или лица, которому были делегированы государственные полномочия; необходимостью охраны здоровья населения; архивированием данных в общественных интересах; защитой прав в суде; а также для научных и исторических исследований или для статистических целей.

Кроме того, могут быть установлены ограничения права на информирование физического лица о нарушении персональных данных, когда уведомление о несанкционированном раскрытии или доступе к таким данным может представлять риск для национальной безопасности или

обороны страны. Такое ограничение может применяться только к обработке персональных данных, необходимой для исполнения акта органов власти, который требует обработки данных, или для выполнения определенной миссии в общественных интересах, полномочиями по выполнению которой наделен контролер. Перечень конкретных видов такой обработки и категорий данных устанавливает Государственный совет посредством постановления, принимаемого после заключения CNIL.

Права физических лиц могут быть ограничены при операциях по обработке, подпадающих под действие Директивы (ЕС) 2016/680. Так, права физического лица могут быть ограничены в соответствии с положениями ст. 70-22 Закона, и до тех пор, пока такое ограничение является необходимой и пропорциональной мерой в демократическом обществе, с учетом основных прав и законных интересов человека, во избежание препятствий для проведения расследований, административных или судебных разбирательств; во избежание нанесения ущерба в целях предотвращения или выявления уголовных преступлений, расследования или судебного преследования за совершение уголовных преступлений или исполнения уголовных санкций; для защиты общественной и национальной безопасности; для защиты прав и свобод других лиц. Конкретные ограничения должны быть предусмотрены специальным актом, устанавливающим ограничения на обработку.

Уголовная ответственность

Особенностью Регламента является то, что он позволяет государствам- членам ЕС предусмотреть в своем национальном законодательстве меры уголовного характера. Регламент содержит положения о санкциях в отношении нарушителей персональных данных в ст. 83 и 84. В частности, государства-члены должны установить ответственность за нарушения, которые не подпадают под действие административных штрафов, и должны принимать все необходимые меры для ее реализации.

Европейский Союз не вмешивается в уголовное право государств- членов. В п. 149 вводной части Регламента содержится норма, которая

определяет, что государства-члены должны иметь возможность устанавливать меры уголовного наказания за нарушения Регламента и за нарушения национальных правил. Такие уголовные санкции могут обращаться на незаконно полученную прибыль. Однако наложение административных и уголовных наказаний за нарушение национальных правил не должно приводить к нарушению принципа «ne bis in idem» (с лат. - не отвечать дважды за одно и то же деяние), как его толкует Суд ЕС.

Меры уголовного характера устанавливаются в Главе 5 «Санкции» (§ 41-43) Закона о защите данных ФРГ. § 41 Закона регулирует применение правил о штрафе и уголовном судопроизводстве в случае нарушений положений Регламента; § 42 и § 43 Закона включают уголовные и административные положения. Конкретные процедуры применения ответственности за нарушения ст. 83 Регламента предусмотрены в положениях Закона о судопроизводстве, Закона об административных правонарушениях и Уголовного процессуального кодекса.

Уголовные санкции устанавливает § 42 Закона ФРГ. Так, тюремным заключением сроком до трех лет или штрафом наказываются лица, которые разглашают не являющуюся общедоступной личную информацию большого числа лиц сознательно, то есть передают ее третьей стороне или делают доступной иным способом и при этом действуют в коммерческих интересах. Санкции до двух лет лишения свободы или штрафы предусмотрены для лиц, использующих персональные данные, в нарушение положений Закона, если это лицо не имеет права на обработку или каким-либо образом искажает данные, и в обоих случаях действует за вознаграждение или с намерением обогатиться, или с намерением причинить вред другому лицу. Однако есть спорные моменты. Например, Закон не определяет, какое конкретно количество должно пониматься под «большим числом лиц». С высокой долей вероятности этот вопрос должны будут решать суды. Указанные меры уголовного характера могут быть применены судом только по запросу. Правом инициировать иск Закон наделяет заинтересованное физическое

лицо, ответственное лицо (контролер), Федерального комиссара по защите данных и надзорный орган Земель.

В Законе Ирландии предусмотрены различные меры ответственности за разные виды нарушений, связанных с персональными данными, помимо тех, которые установлены в Регламенте. Основные положения, регулирующие применение санкций уголовного характера, сосредоточены в Главе 7 «Преступления» Части 6 Закона Ирландии. Большинство мер уголовного характера предусматривает одно из двух наказаний: штраф класса «А», тюремное заключение на срок не более 12 месяцев или обе меры, либо штраф в размере не более 50.000 евро, тюремное заключение на срок не более 5 лет или обе меры.

Такие меры применяются в случае, если лицо, являющееся процессором (или сотрудником или агентом процессора), сознательно или по неосторожности нарушает нормы ст. 144 Закона, которая запрещает раскрытие персональных данных без предварительного разрешения контролера; если должностное лицо сознательно или по неосторожности нарушает правила обработки персональных данных, касающихся уголовных приговоров и преступлений, в случаях, установленных ст. 55 Закона; если уполномоченный офицер Комиссии по защите данных допускает серьезные нарушения сознательно или по неосторожности; если лицо требует от другого лица сделать запрос на получение от контролера доступа к персональным данным, а также требует предоставить ему персональные данные в связи с наймом такого лица в качестве работника по трудовому договору или исполнителя по договору на оказание услуг (ст. 4 Закона Ирландии).

В случаях, предусмотренных Законом, уголовная ответственность не будет применяться к лицу, которое докажет, что раскрытие информации требовалось или было санкционировано в соответствии с нормативным актом или решением суда.

Меры уголовной ответственности применяются в случае, если контролер или процессор не выполняет требование, указанное в информационном уведомлении Комиссии по защите данных без достаточных на то оснований, или предоставляет Комиссии или ее уполномоченному офицеру информацию, которая является ложной или вводящей в заблуждение, или отказывается выполнять уведомление о принудительном исполнении и не уведомляет контролирующие органы, получателей данных и физических лиц; если лицо (контролер или процессор) препятствует проведению Комиссией или ее уполномоченным офицером расследования: удерживает, уничтожает, скрывает или отказывается предоставить любую информацию или заявления, записи или другие документы, необходимые для целей расследования, не выполняет или отказывается выполнить требование уполномоченного офицера; если лицо нарушает установленные правила по предоставлению обязательного отчета Комиссии.

За указанные преступления Законом предусмотрено наказание в виде штрафа класса «А» или тюремного заключения на срок не более 12 месяцев или обе меры, либо в виде штрафа в размере не более 250.000 евро или тюремного заключения на срок не более 5 лет или обе меры.

Кроме того, Закон Ирландии предусматривает, что если преступление совершено юридическим лицом и было доказано, что оно совершено с согласия или попустительства или с любым пренебрежением со стороны лица, являющегося директором, управляющим, менеджером или другим должностным лицом такого предприятия (юридического лица) или лицом, которое имеет полномочия действовать в таком качестве, то это должностное лицо и предприятие в целом будут виновны в совершении преступления и подлежат уголовному наказанию.

Правом уголовного преследования наделяется Комиссия по защите данных, которая может возбудить упрощенное производство по делу о нарушении Закона. Инспектор и другое должностное лицо или сотрудник персонала Комиссии может быть подвергнут уголовному преследованию за

разглашение конфиденциальной информации, полученной им при выполнении функций, и привлечен к ответственности в виде штрафа.

В соответствие с французским Законом № 78-17 «О данных, файлах и свободах» к преступлениям будут относиться нарушения персональных данных, указанные в Главе VIII «Уголовные положения». Санкции за такие преступления предусмотрены статьями с 226-16 по 226-24 Уголовного кодекса Франции и применяются в соответствие с правилами, установленными в нем (ст. 50 Закона «О данных, файлах и свободах»).

Подавляющее большинство мер уголовного характера предусматривает наказание в виде лишения свободы на срок до пяти лет и штраф 300.000 евро. Такие меры применяются в случае, если установлен факт, в том числе по неосторожности, обработки или передачи персональных данных без соблюдения формальностей, необходимых для их применения, а также продолжения обработки, к которой была применена одна из мер, предусмотренных в ст. 45 Закона № 78-17 (ст. 226-16); если установлен факт, что обработка персональных данных проводится без осуществления мер, предусмотренных ст. 34 Закона № 78-17 (ст. 226-17); если установлен факт сбора личных данных мошенническими, нечестными или незаконными способами (ст. 226-18); а также по другим основаниям, предусмотренным ст. 226-16 - ст. 226-22-1 Уголовного кодекса Франции.

В соответствие со ст. 51 Закона № 78-17, предусмотрено наказание в виде лишения свободы на один год и штрафа в размере 15.000 евро за препятствование действиям Национальной комиссии по информатике и свободам (CNIL) и ее уполномоченным должностным лицам[170].

Агенты Комиссии обязаны соблюдать профессиональную тайну в отношении фактов, действий или информации, о которых они могли узнать

во время исполнения своих функций. За нарушения тайны в соответствии с условиями, предусмотренными ст. 413-10 Уголовного кодекса Франции, и с учетом того, что это необходимо для подготовки годового отчета, к ним могут применяться меры ответственности, установленные в ст. 226-13 Уголовного кодекса. Аналогичные меры предусмотрены за нарушения, допущенные лицами, которые обязаны соблюдать профессиональную тайну, имеющими доступ к медицинским данным и право осуществлять обработку таких данных.

За раскрытие информации секретного характера лицо, которое является хранителем такой информации и действует от имени государства или в связи с выполнением профессиональной деятельности или в связи с выполнением своих должностных обязанностей (или временного исполнения обязанностей), наказывается лишением свободы сроком на один год и штрафом 15.000 евро (ст. 226-13), однако эта статья не применяется в случаях, когда закон прямо разрешает разглашение тайны.

Из проведенного анализа следует, что государства-члены ЕС по- разному восприняли простор для маневра, предусмотренный Регламентом в определенных случаях. Государства действовали исходя из своих внутренних интересов и потребностей и, в меньшей степени, в угоду единообразному правоприменению в рамках ЕС. Так, ФРГ руководствуется интересами общественной безопасности, осуществлением социальной (в частности, медицинской) политики и политики занятости в том, что касается определения условий обработки чувствительных данных и ограничения прав физических лиц. Уточнения, применяемые Ирландией, в основном касаются исполнения различных правовых обязательств (например, обработка чувствительных данных для целей предоставления юридических консультаций или для отправления правосудия), решения политических вопросов (обработка данных, раскрывающих политические взгляды, разрешена для целей избирательной деятельности и выполнения функций Комиссии по референдуму), а также для целей занятости и социального

обеспечения и общественной безопасности. В отличие от Германии и Ирландии, Франция использует меньше возможностей, предоставленных Регламентом1. Французский закон устанавливает дополнительные условия обработки генетических и биометрических данных, а также определяет многочисленные условия ограничения прав физических лиц для целей национальной безопасности и обороны. Кроме того, в законах этих стран предусмотрены самые серьезные меры уголовной ответственности в Союзе.

Прецедентное право Суда ЕС сыграло важную роль в процессе имплементации государствами положений, предусмотренных Регламентом. Так, при установлении права на оспаривание надзорным органом (Федерации или Земель) законности решений об адекватности Комиссии ЕС (§ 21 Закона ФРГ), немецкие власти ссылаются на имеющуюся судебную практику Суда ЕС, в частности, на решение по «делу Шремса»[171][172], принятого на основании ст. 25 и ст. 28 Директивы 95/46/ЕС и Хартии основных прав ЕС, о недействительности решения об адекватности относительно Соглашения о безопасной гавани с США. Если надзорный орган считает, что решение Европейской комиссии об адекватности, решение о признании положений о стандартной защите или общности утвержденных кодексов поведения, действие которых является обязательным для решений надзорного органа, является незаконным, надзорный орган приостанавливает его производство и может подать жалобу. Федеральный административный суд ФРГ принимает решение по иску надзорного органа. Если он также посчитает незаконным решение Европейской комиссии, то он должен направить запрос о правомерности решения в Суд ЕС в соответствии со ст. 267 ДФЕС.

Французская CNIL получает аналогичное полномочие, также основанное на решении Суда ЕС по «делу Шремса». CNIL наделяется правом обращаться в Государственный совет для подачи жалобы при возникновении сомнений относительно законности решения об адекватности Комиссии ЕС, касающегося передачи данных в третью страну. В заявлении к Государственному совету может содержаться требование о приостановке или прекращении передачи соответствующих персональных данных. На основании такого обращения Государственный совет может, если сочтет необходимым, обращаться в Суд ЕС для оценки обоснованности решения об адекватности, а также других актов Комиссии ЕС, если такая передача данных не осуществляется судами в своих юрисдикционных полномочиях (ст. 43 Закона № 78-17 «О данных, файлах и свободах»).

Таким образом, решение по «делу Шремса» показательно тем, что оно снимает существовавшие ограничения полномочий национальных надзорных органов, которые могли бы помешать им изучить претензии физического лица в отношении уровня защиты персональных данных в третьей стране, несмотря на решение об адекватности Комиссии ЕС и, в случае необходимости, принять меры. Сами надзорные органы не могут принимать меры, противоречащие решению Комиссии об адекватности, но они получают право обжаловать такие решения в судебном порядке.

Необходимо отметить, что некоторые государства-члены ЕС приняли неоднозначные положения, правомерность которых, судя по всему, будет устанавливаться Судом ЕС.

Спорным моментом ирландского Закона представляются специальные нормы, предусмотренные, по всей видимости, на случай выхода Великобритании из состава ЕС (так называемый «Brexit»). Они позволяют контролерам, которые представляют авиакомпании и судоходные компании, раскрывать персональные данные «с целью сохранения общей туристической зоны» (Common Travel Area). Пояснительная записка к Закону не дает объяснений для такого отступления, но можно предположить, что это

сделано с целью устранения риска возможных перерывов в воздушном и морском сообщении между Ирландией и Великобританией в случае, если Великобритания покинет ЕС, не достигнув с Союзом соглашений о взаимных правилах применения зоны свободной передачи данных (п. 2 ст. 38 Закона о защите данных Ирландии 2018 года).

В ст. 79 Регламента сказано, что иски в отношении контролера или процессора подаются в суды государства-члена, где зарегистрирован контролер или процессор. В качестве альтернативы иск может быть подан в суды государства-члена, где физическое лицо - субъект данных имеет постоянное место жительства. Однако Францией было выбрано место постоянного жительства соответствующего лица в качестве основного критерия установления территориальной подсудности. Как видится, идея состоит в том, чтобы запретить французам применять право другого государства-члена при пользовании услуг таких международных компаний, как, например, «Google» или «Facebook», чьи европейские штаб-квартиры находятся в Ирландии. По поводу выбора в качестве критерия места жительства физического лица CNIL справедливо отметила, что выбор этого критерия для применения французского законодательства для контролеров, не установленных во Франции, может привести к возникновению «операционных трудностей» со странами, которые выберут другой подход1.

То, что в соответствие с Регламентом государства-члены получили достаточно большую свободу действий по интерпретации его положений, нельзя считать положительным моментом. Более того, уже возникают сомнения в правомерности внесения государствами в свое законодательство определенных положений в отступление от Регламента. Например, французский Закон содержит многочисленные ссылки на положения Регламента и Директивы[173][174]. Большинство определений и прав были согласованы на уровне ЕС в рамках Регламента, а значит, эти положения

имеют прямое действие, и поэтому не могут быть пересмотрены или дополнены в национальном законе[175]. Так, часть принятых Германией положений (например, определение понятия «сотрудник» и др.) могут быть признаны не соответствующими Регламенту. Ожидается, в ближайшее время в Суд ЕС будет направлен запрос о том, превысила ли Германия полномочия по интерпретации отдельных положений Регламента. Представляется, что европейская реформа правового регулирования защиты персональных данных приведет к инициированию многочисленных судебных процессов, как в национальных судах, так и в Суде ЕС. Указанные коллизии могут помешать единообразному применению Регламента на территории ЕС и создать спорные ситуации, например, по вопросам трансграничной передачи персональных данных.

Руководящие органы ЕС учитывают последствия такой неоднородной интерпретации положений Регламента, и поэтому установлено, что к 25 мая 2020 г. и каждые четыре года после этого Комиссия ЕС будет представлять отчет об оценке и обзоре Регламента в Европейский парламент и Совет ЕС. Отчеты будут официально опубликованы. Комиссия осуществляет проверку применения Главы V Регламента о передаче персональных данных третьим странам или международным организациям. Также она проводит обзор действующих решений об адекватности, принятых на основании ст. 25 (п. 6) Директивы 95/46/EC. Для подготовки отчетов и обзоров Комиссия ЕС может запрашивать информацию от государств-членов и надзорных органов и должна учитывать позиции Европейского парламента, Совета ЕС и других органов. Европейская комиссия наделена правом выступать с инициативой по внесению поправок в Регламент, в частности, с учетом развития информационных технологий и в свете технологического прогресса в информационном обществе.

Все это свидетельствует о том, что институты ЕС могут ужесточить и сузить рамки по интерпретации положений Регламента в целях единообразного применения права защиты данных на территории Союза.

По аналогии, к 6 мая 2022 г. и каждые четыре года после этого Комиссия ЕС будет представлять отчет об оценке применения и обзоре Директивы (ЕС) 2016/680 в Европейский парламент и Совет ЕС. При этом стоит отметить, что имплементация Директивы (ЕС) 2016/680 в отдельных государствах-членах идет с серьезным нарушением установленного срока - 6 мая 2018 г. В связи с этим, 24 января 2019 г. Европейская комиссия направила мотивированные заключения Болгарии, Кипру, Греции, Латвии, Нидерландам, Словении и Испании, которые нарушили срок исполнения Директивы, а также мотивированные заключения Чехии и Португалии с тем, чтобы призвать их завершить ее имплементацию[176]. Этим странам предоставлен двухмесячный срок, чтобы принять соответствующие меры, иначе дела о нарушении могут быть переданы Комиссией в Суд ЕС.

Итак, обеспечение единообразного и последовательного правового регулирования на уровне ЕС во многом зависит от действий государств- членов по принятию национальных законов и иных актов для реализации правовых актов ЕС (в первую очередь, Регламента (ЕС) 2016/670 и Директивы (ЕС) 2016/680), по их активному участию в разработке правовых актов, принятие которых планируется на заключительном этапе реформы правового регулирования защиты персональных данных в Союзе. В ходе исследования установлено, что государства-члены имплементируют в свои законы положения правовых актов ЕС с задержками и с другими многочисленными нарушениями. Таким образом, можно с уверенностью утверждать, что практика Суда ЕС продолжит играть важную роль в применении, а также в дальнейшем развитии права защиты персональных данных в Европейском Союзе.

3.2.

<< | >>
Источник: Шадрин Станислав Александрович. ПРАВОВОЕ РЕГУЛИРОВАНИЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ЕВРОПЕЙСКОМ СОЮЗЕ: ГЕНЕЗИС И ПЕРСПЕКТИВЫ РАЗВИТИЯ. ДИССЕРТАЦИЯ на соискание ученой степени кандидата юридических наук. Казань - 2019. 2019

Еще по теме 3.1 Особенности имплементации правовых актов Европейского Союза в сфере защиты персональных данных государствами-членами (на примере Германии, Ирландии, Франции):

  1. ОГЛАВЛЕНИЕ
  2. 3.1 Особенности имплементации правовых актов Европейского Союза в сфере защиты персональных данных государствами-членами (на примере Германии, Ирландии, Франции)
- Авторское право РФ - Аграрное право РФ - Адвокатура России - Административное право РФ - Административный процесс РФ - Арбитражный процесс РФ - Банковское право РФ - Вещное право РФ - Гражданский процесс России - Гражданское право РФ - Договорное право РФ - Жилищное право РФ - Земельное право РФ - Избирательное право РФ - Инвестиционное право РФ - Информационное право РФ - Исполнительное производство РФ - История государства и права РФ - Конкурсное право РФ - Конституционное право РФ - Муниципальное право РФ - Оперативно-розыскная деятельность в РФ - Право социального обеспечения РФ - Правоохранительные органы РФ - Предпринимательское право России - Природоресурсное право РФ - Семейное право РФ - Таможенное право России - Теория и история государства и права - Трудовое право РФ - Уголовно-исполнительное право РФ - Уголовное право РФ - Уголовный процесс России - Финансовое право России - Экологическое право России -