Права и обязанности физических лиц - субъектов персональных данных - в Европейском Союзе

Правовое регулирование направлено на защиту прав, свобод и законных интересов всех без исключения физических лиц, находящихся на территории ЕС, в отношении обработки их персональных данных.

В правовых актах Европейского Союза отсутствует определение понятия «субъект персональных данных». Однако данный термин содержится во многих положениях Общего Регламента, Директивы и других нормативных актах, посвященных правовому регулированию обработки персональных данных физических лиц в Союзе.

Регламент называет субъектами персональных данных лиц, чьи личные данные подвергаются обработке. Такая формулировка содержится во многих пунктах вводной части, в положениях ст. 3 основной части и в других нормах Регламента. Тем не менее, по нашему мнению, не совсем верно считать

субъектами лишь физических лиц, предоставляющих свои данные, так как субъектами правового регулирования защиты персональных данных являются и другие заинтересованные лица, в том числе контролеры, процессоры, надзорные органы. В этой связи для целей настоящего исследования предлагаем именовать лиц, предоставляющих персональные данные, физическими лицами - субъектами персональных данных (далее - физическое лицо).

Анализ положений Регламента позволяет вывести определение, в соответствии с которым физическое лицо - субъект персональных данных - это лицо, которое либо идентифицировано, либо идентифицируется в данный момент, либо может быть идентифицировано в будущем, прямо или косвенно, на основании относящихся к нему персональных данных, в частности, посредством ссылки на определенный идентификатор, такой, как имя, идентификационный номер, данные о местоположении, онлайн- идентификатор, один или несколько других факторов, уникальных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица.

Правовые акты ЕС наделяют физических лиц как участников правоотношений, возникающих по поводу защиты персональных данных, правами и обязанностями, которые составляют суть правового регулирования защиты персональных данных в ЕС. Права и обязанности базируются на концепции законной, прозрачной и контролируемой обработки данных, заложенной в специальных принципах и отвечающей правомерным интересам физических лиц, предоставляющих свои персональные данные.

Стоит согласиться с А.И. Абдуллиным, который определяет, что фундаментальные, общепризнанные гражданские (личные) права, согласно Хартии основных прав ЕС, признаются за каждым лицом вне зависимости от его политико-правового статуса. В таких случаях Хартия использует следующие формулировки: «каждый имеет право...», «никто не должен

быть...»¹. К таким правам, в числе прочих, относится рассматриваемое право на защиту данных личного характера, закрепленное в ст. 8 Хартии. Право на защиту персональных данных определяется в качестве одного из основополагающих прав человека также и в нормах ст. 16 ДФЕС и ст. 39 ДЕС^[116][117].

Регламент (ЕС) 2016/679 представляет собой специальный акт, целью которого является защита основных прав и свобод каждого физического лица, находящегося на территории Союза и, в частности, права на защиту персональных данных. По сравнению с ранее действовавшими в ЕС нормативными актами, в частности, Директивой 1995 г., в нем существенно расширен комплекс субъективных прав физических лиц, а их регламентации полностью посвящена Глава 3. Кроме того, нормы, касающиеся реализации этих прав, содержатся во многих других положениях Регламента. Некоторые из этих прав являются новеллами не только на европейском уровне, но и в мировом масштабе. В связи с этим считаем необходимым выделить закрепленные на сегодняшний день в праве ЕС права физических лиц, касающиеся обработки личных данных, а также раскрыть их содержание.

Право на удаление данных («право на забвение»)

Одним из нововведений Регламента следует признать закрепление в отдельной статье права на удаление данных.

постановил, что контролеры (в деле идет речь о компании «Google» - операторе поисковых систем) должны удалять из результатов поиска ссылки на персональную информацию физического лица по его запросу, если такая информация является «незаконной, нерелевантной или более неактуальной или чрезмерной по отношению к целям обработки данных, выполняемой оператором поисковой системы»¹.

Директива 1995 г. позволяла физическому лицу требовать удаления своих данных, если их обработка нарушает Директиву, или когда их хранение и обработка перестали быть необходимыми, в частности, в связи с неполным или неточным характером данных. В то же время это не означало, что по каждому запросу контролер должен был удалять персональные данные пользователя. Хранение данных, независимо от желания физического лица, могло быть необходимо по основаниям, установленным государством- членом в соответствии со ст. 13 Директивы.

Сразу после того, как Суд ЕС вынес решение по «делу Костеха» 13 мая 2014 года, американский ученый Д.Дж. Солов, исследовавший право на неприкосновенность частной жизни, заявил, что с этого момента право быть забытым больше не является «предложением», а перешло в ранг полноценного права человека в странах Европейского Союза^{[119][120][121]}.

Регламент в ст. 17 наделяет физическое лицо правом добиваться от контролера удаления своих персональных данных, и контролер обязан удалить запрашиваемую личную информацию без неоправданной задержки. Далее в Регламенте приводится закрытый перечень оснований для такого требования, к которым относятся следующие: персональные данные больше

не требуются для выполнения целей обработки; физическое лицо отзывает согласие на обработку или возражает против обработки; персональные данные обрабатываются незаконно и др.

Однако потребовать удаления своих личных данных физическое лицо может не во всех случаях. Регламент в п. 3 ст. 17 содержит закрытый перечень исключений из данного правила, среди которых общественные и государственные интересы, выполнение обязательств по договору, осуществление права на свободу выражения и информации. Важно отметить, что государства-члены в своих законодательных актах не могут предусматривать никакие другие исключения из данного права кроме тех, которые установлены Регламентом.

На наш взгляд, список исключений для применения права на удаление достаточно обширный, что может негативно повлиять на осуществление физическим лицом своего права. К примеру, возможно злоупотребление контролером этими исключениями или их интерпретация в своих интересах. Во избежание негативных последствий потребуется принятие дополнений в виде делегированных актов Комиссии ЕС.

Обращает на себя внимание тот факт, что Регламент не разделяет категории «право на удаление» и «право быть забытым» (например, ст. 17 Регламента озаглавлена «право на удаление (право быть забытым)» и т.д.). В правовой доктрине, как верно замечают М.Л. Амброс и Дж. Ауслоос, право на забвение (право быть забытым) отличается от права на удаление.

Ключевое различие между забвением и удалением заключается в том, что забвение относится к «пассивному или транзакционному обмену данными - когда оператор собирает личные данные из своих источников и далее использует их», тогда как удаление концентрируется на «активном или экспрессивном обмене данными, когда личные данные предоставляет само лицо - субъект данных»¹. Иными словами, право на удаление позволяет лицу добиваться удаления только тех данных, которые были предоставлены им лично для обработки, а право на забвение гораздо шире и охватывает также контент, полученный оператором от третьих лиц или находящийся в свободном доступе.

При реализации права на удаление интерес будет представлять и то, как суды будут решать вопрос соотношения данного права с правом на свободу выражения мнения и на свободу информации. Хотя Суд ЕС отмечает, что должен существовать «справедливый баланс» между интересами информационных сервисов и конфиденциальностью субъекта данных, в «деле Костеха» он занял позицию, которая привела к нарушению баланса в пользу права на удаление информации. По этому поводу Суд ЕС однозначно указал: «в случае сомнений предоставить преимущество праву на информационную конфиденциальность, в содержание которого включается

право на удаление, а не праву на свободу выражения мнений и на информацию»¹.

Тем не менее, несмотря на наличие указанного прецедента, это не означает, что права, защищающие конфиденциальность, всегда будут иметь преимущество. Права, связанные с защитой персональных данных, не являются абсолютными; каждое из них должно рассматриваться в связи с его функцией в обществе и быть сбалансированным с другими основными правами в соответствии с принципом пропорциональности (как указано в п. 2 вводной части Регламента). Право на конфиденциальность должно рассматриваться, исходя из определенных условий, которые имеют место в каждом конкретном случае и, как отметил Суд ЕС в деле Volker Und Markus Schecke GbR v. Hessen от 9 ноября 2010 года^[125][126], в связи с его функцией в обществе. Об этом свидетельствует последующая судебная практика рассмотрения национальными судами дел, касающихся права на удаление. В частности, после «дела Костеха» судебными инстанциями Нидерландов было рассмотрено несколько подобных случаев, решения по которым выносились, как в пользу физических лиц, так и контролеров^[127].

Право на доступ к информации об обработке данных

Право на доступ к информации физического лица содержалось в Директиве 1995 г. В Регламенте право на доступ, закрепленное в ст. 15, было существенно расширено и уточнено посредством включения новых положений. В частности, физическое лицо имеет право получить подтверждение о том, обрабатываются ли (либо обрабатывались) персональные данные, касающиеся его, и в случае подтверждения получить доступ к своим личным данным. Помимо информации о целях обработки,

категории используемых данных, получателях и др., Регламент предоставляет лицу право получить информацию:

- о предполагаемом периоде времени, на протяжении которого будут храниться личные данные или, если это невозможно, критерии, используемые для определения этого периода;

- о наличии права требовать от контролера исправления или удаления персональных данных или ограничения обработки персональных данных, касающихся его или возражать против такой обработки;

- о праве подать жалобу в надзорный орган в установленных Регламентом случаях;

- о применении автоматизированного принятия решений, в том числе профилирования, а также значимости и возможных последствиях такой обработки для его интересов.

Из положений Регламента следует, что физическое лицо вправе требовать осуществления своего права на доступ к данным в любой момент времени, в том числе в течение неограниченного периода времени после проведения обработки персональных данных.

Данное право корреспондирует обязанности контролера предоставлять информацию, причем на момент осуществления сбора персональных данных. Содержание такой информации будет отличаться для случаев, когда личные данные получены от самого физического лица или от любого другого источника. В обоих случаях к такой информации будет относиться наименование и контактные данные контролера и его представителя; контактные данные сотрудника по защите данных; цель обработки, ее правовая основа и др. Во втором случае, в дополнение к указанной информации, контролер также должен предоставить данные о том, из какого источника им были получены персональные данные, включая общедоступные источники (СМИ, поисковые системы, социальные сети и т.д.). Контролер не обязан предоставлять физическому лицу информацию,

если лицо уже владеет ей, а также в некоторых других случаях, указанных в п. 5 ст. 14 Регламента.

Физическое лицо имеет право требовать от контролера предоставления бесплатных копий обрабатываемых персональных данных, причем это право не должно отрицательно влиять на права и свободы других лиц. Для предоставления любых дополнительных копий, запрашиваемых лицом, контролер может взимать разумную плату. Если же запрос сделан в электронной форме, то информация должна предоставляться в используемой электронной форме, если иное не запрошено физическим лицом. Если же личные данные передаются в третью страну или в международную организацию, то физическое лицо имеет право быть проинформированным о применяемых мерах охраны. Из положений ст. 15 Регламента следует, что контролер не обязан информировать лицо о такой передаче его данных, но может это сделать по своему усмотрению, а также должен предоставить такую информацию по требованию лица. В соответствии со ст. 19 Регламента контролер должен информировать физическое лицо о любых других получателях его персональных данных, если лицо запрашивает это.

Право на доступ к информации связано с принципом участия и контроля физического лица за использованием персональных данных и имеет важное значение, с точки зрения получения лицом необходимых сведений об операциях по обработке его персональных данных, проверки достоверности и актуальности данных.

Право на исправление

В Регламенте положения, устанавливающие право физического лица на исправление, выделены в отдельную статью 16, в отличие от Директивы 1995 г., где данное право предусматривалось в ст. 12 «право доступа». В соответствие с Регламентом физическое лицо имеет право добиваться от контролера, без неоправданной задержки, исправления неточных личных данных, касающихся его. Период времени, который отводится контролеру для исправления личных данных, не конкретизируется. Однако согласно ст.

12 Регламента контролер должен предоставить информацию о действиях, предпринятых по запросу, физическому лицу в любом случае в течение одного месяца с момента получения запроса. Таким образом, можно сделать вывод, что контролер должен осуществить исправление в течение месяца с момента получения запроса. Этот период может быть продлен еще на два месяца, если это необходимо, с учетом сложности и количества запросов. Контролер должен информировать лицо о любом таком продлении в течение одного месяца с момента получения запроса вместе с причинами задержки.

Право на исправление является производным от права лица на доступ к информации об обработке данных и связано с реализацией принципа точности данных. Непосредственное закрепление данного права в положениях Регламента направлено на достижение соответствия предоставляемой информации действительности и ее актуализации, что, в первую очередь, является законным интересом физического лица.

Право на ограничение обработки данных

Данное право ранее не применялось в правовой системе Европейского Союза. В соответствии со ст. 18 Регламента физическое лицо имеет право добиваться от контролера ограничения обработки своих персональных данных, если применяется одно из следующих условий:

- точность персональных данных оспаривается физическим лицом в течение периода, позволяющего контролеру проверить точность этих персональных данных;

- обработка является незаконной, и лицо выступает против удаления своих персональных данных и вместо этого требует ограничения их использования;

- контролеру больше не нужны персональные данные для целей обработки, но они требуются физическому лицу для установления, осуществления или защиты определенных юридических обязательств;

- лицо возражало против обработки вплоть до проверки наличия убедительных законных оснований для обработки контролером, которые

перевешивают интересы, права и свободы лица, или обработка необходима для создания, осуществления или защиты юридических требований.

В Регламенте ничего не говорится о том, в какой степени должна быть ограничена в этих случаях обработка данных: такое ограничение касается всех имеющихся в распоряжении контролера данных либо только их части. Можно предположить, что согласно принципу участия и контроля лица за использованием своих персональных данных пределы ограничения передаются на усмотрение физического лица. Таким образом, лицо может требовать ограничения использования, как всех данных, находящихся в данный момент в обработке, так и их части.

Что касается дальнейшей судьбы данных, на которые было наложено ограничение обработки, то такие личные данные должны продолжать храниться у контролера. Методы, с помощью которых должна быть ограничена обработка персональных данных, могут включать, например, временное перемещение данных в другую систему обработки, ограничение доступа к персональным данным для других пользователей или временное удаление опубликованных данных с веб-сайта. В автоматизированных системах ограничение обработки в принципе должно обеспечиваться техническими средствами таким образом, чтобы личные данные не подвергались дальнейшей обработке и не могли быть изменены.

При этом ничего не сказано о том, должны ли такие данные храниться в обезличенном или в персонифицированном виде. Обрабатываться такие данные в дальнейшем могут только с согласия физического лица или с целью установления, осуществления или защиты юридических обязательств или для защиты прав другого физического или юридического лица или из соображений важных общественных интересов, затрагивающих ЕС в целом или государства-члена. В этом случае лицо, которое добилось ограничения на обработку данных, должно быть проинформировано контролером до начала обработки его персональных данных.

Право на ограничение обработки данных следует признать прогрессивным развитием положений о возможностях распоряжения физическим лицом своими данными. Это право позволяет лицу ограничить (частично или полностью) использование своих данных с тем, чтобы не допустить обработку данных, которые были искажены либо обработку для нежелательных целей, а также незаконную обработку личной информации. Вместе с тем считаем, что необходимо конкретизировать правила о том, в каком виде и в течение какого времени должны храниться данные, использование которых было ограничено.

Право на портативность данных

Новеллой в праве ЕС является норма ст. 20 Регламента, в соответствии с которой лицо имеет право получить любые персональные данные, которые он предоставил контролеру, в структурированном, стандартизированном и машиночитаемом формате, и далее передавать эти данные другому контролеру без помех со стороны первоначального контролера. В случае если это технически осуществимо, физическое лицо может реализовывать свое право на портативность данных путем непосредственной передачи персональных данных от одного контролера другому.

Однако реализация данного права возможна при наличии двух условий:

1) обработка основывается на согласии в соответствии с п. 1 (а) ст. 6¹ или п. 2 (а) ст. 9^[128][129] Регламента или на договоре в соответствии с п. 1 (b) ст. 6^[130]Регламента, и

2) такая обработка осуществляется автоматизированными средствами.

Право на портативность данных не применяется к обработке, необходимой для реализации задачи, выполняемой в общественных

интересах или при осуществлении контролером официальных полномочий. Осуществление данного права также не должно отрицательно влиять на права и свободы других лиц.

Кроме того, право на получение и последующую передачу данных не должно противоречить положениям ст. 17, регламентирующим применение права на удаление. Считаем, что это в большей степени относится к п. 3 ст. 17 Регламента, запрещающей удаление личных данных в определенных случаях. Следовательно, в настоящий момент осуществление права на портативность физическим лицом в значительной степени ограничено, в частности, нормами, связанными с особенностями осуществления права на удаление данных. По нашему мнению, это ограничение имеет цель воспрепятствовать передаче индивидом своих данных, удаление которых не разрешается правом ЕС, другому контролеру с целью их сокрытия.

Данное право, с одной стороны, должно способствовать свободному перемещению персональных данных в пределах Союза (что является одной из целей Регламента, в соответствие со ст. 1), а, с другой стороны, способствовать актуализации передаваемой личной информации. Последнее как раз объясняется тем, что лицо может свободно получать и передавать (осуществлять право на портативность) только те личные данные, которые были предоставлены контролеру путем выражения своего явного и свободного согласия. В то же время распорядиться подобным образом персональными данными, которые были получены контролером посредством любого другого правового основания, лицо не вправе.

Право на возражение

Право физического лица на возражение было закреплено в праве ЕС Директивой 1995 года. В Регламенте это право выделено в отдельную секцию 4 Главы III. Суть данного права заключается в том, что физическое лицо может возражать против обработки своих персональных данных в любое время по основаниям, в конкретной ситуации затрагивающим его. Однако такая обработка должна иметь в качестве правового основания п. 1

(e) или (f) ст. 6 Регламента^[131] и, в частности, может проводиться с применением профилирования. В случае легитимного и обоснованного требования лица контролер не должен далее производить обработку персональных данных, если только он не предъявит убедительные законные основания для такой обработки, которые перекрывают интересы, права и свободы физического лица, или имеются законные основания, связанные с созданием, осуществлением или защитой юридических обязательств.

Регламент, как и действовавшая ранее Директива 1995 г., наделяет физическое лицо правом в любое время возражать против обработки персональных данных, касающихся его, для целей прямого маркетинга, в том числе профилирования. Персональные данные не должны обрабатываться для таких целей с момента заявления лица против обработки.

В целом содержание данного права в Регламенте претерпело минимальные изменения по сравнению с действовавшими ранее актами. К нововведениям относится, в частности, положение, которое предусматривает, что право на возражение должно быть прямо доведено до сведения физического лица не позднее чем в момент первой коммуникации с ним и должно быть представлено четко и отдельно от любой другой информации.

Если персональные данные обрабатываются в научных, исторических, исследовательских или статистических целях, то в соответствии с ст. 89 Регламента физическое лицо имеет право возражать против обработки своих персональных данных по основаниям, относящимся к его конкретной ситуации, только если эта обработка не является необходимой для решения задачи, выполняемой из соображений общественного интереса.

В контексте получения информационных услуг и вопреки положениям Директивы 2002/58/ЕС физическое лицо может осуществлять свое право на возражение с использованием автоматизированных технических средств.

Согласно положениям ст. 22 Регламента физическое лицо сохраняет за собой право не подчиняться решению об обработке данных, которое определяется исключительно автоматизированными методами, включая профилирование, и которое производит юридические последствия в отношении данного лица или иным образом существенно влияет на него.

Однако в Регламенте, как и ранее в Директиве 1995 г., содержится несколько исключений из данного правила. Нововведением является положение о том, что право на возражение не будет применимо, если основанием обработки является явное согласие физического лица. Таким образом, Регламент прямо определяет, что, давая согласие на обработку персональных данных автоматизированными средствами (включая профилирование и др.), физическое лицо должно иметь в виду дальнейшую невозможность возражения против такой обработки. В этом случае, как и в некоторых других^[132], контролер должен применять все необходимые меры для защиты прав и свобод физического лица и его законных интересов. При этом исключения не применяются к специальным категориям персональных данных, упомянутых в п. 1 ст. 9 Регламента.

В Регламенте ничего не говорится о том, каким образом контролер должен распорядиться данными, против обработки которых возражает физическое лицо. В таком случае, естественно, контролер будет не вправе обрабатывать персональную информацию данного лица. И если это лицо не требует удаления таких личных данных, то можно сделать вывод о том, что контролер может использовать их одним из следующих способов: самостоятельно удалить такие данные; продолжить хранить их в неперсонифицированном виде; отправить лицу запрос на обработку данных для другой цели. Если лицо возражает только против обработки персональных данных автоматизированными методами, соответственно,

контролер может принять решение об обработке таких данных, основанное исключительно на применении неавтоматизированных способов.

Право на защиту персональных данных детей

Права детей представляют собой особую категорию в комплексе прав физических лиц - субъектов персональных данных. В Регламент, в отличие от Директивы 1995 г., включены специальные положения об обработке личных данных детей. В п. 38 вводной части Регламента декларируется, что особый правовой режим в отношении детей необходим, потому что они, в силу возраста и по другим причинам, в меньшей степени осознают риски, последствия публикации своих персональных данных, и поэтому подлежат применению соответствующие гарантии прав и свобод при обработке данных детей. Особый правовой режим должен, в частности, применяться в отношении использования персональных данных детей в целях маркетинга или создания личного или пользовательского профиля и сбора персональных данных детей при предложении им непосредственно различных услуг.

В п. 3 ст. 8 Регламента отмечается, что положения об обработке персональных данных ребенка не затрагивают положений общего договорного законодательства государств-членов ЕС таких, как правила о действительности, формировании или действии контракта в отношении ребенка.

В Регламенте четко установлен возраст, до достижения которого лицо должно считаться ребенком применительно к сфере действия Регламента. Согласно положениям ст. 8 Регламента обработка личных данных будет считаться законной, если физическому лицу, которое дает согласие на обработку своих персональных данных для одной или нескольких конкретных целей, на момент дачи согласия исполнилось не менее 16 лет^[133].

Если ребенку не исполнилось 16 лет, то обработка его данных будет являться законной только в том случае (и в той степени), когда согласие на обработку предоставляется лицом, которое является законным

представителем ребенка (родителем, опекуном и т.д.). Однако в Регламенте отмечается, что согласие законных представителей ребенка не является необходимым в контексте профилактических мероприятий и консультационных услуг, предлагаемых непосредственно ребенку.

Однако Регламент оставляет государствам-членам ЕС пространство для маневра в этом вопросе. Это означает, что государства могут снизить указанный возраст для согласия посредством включения в свое законодательство конкретных норм, но в любом случае такой возраст не может быть установлен ниже 13 лет.

Определение минимального возраста согласия на обработку данных являлось одним из наиболее дискуссионных вопросов при разработке проекта Регламента. По нашему мнению, норма о возможности установления государствами различного минимального возраста согласия на обработку не способствует принципу единообразного применения права защиты персональных данных в рамках ЕС, в том числе может вызвать сложности с квалификацией судебных исков в судах государств-членов и Суде ЕС.

Праву детей на защиту персональных данных корреспондирует обязанность контролера, который должен приложить разумные усилия для проверки в случаях, когда согласие или разрешение на обработку предоставляется лицом, являющимся законным представителем ребенка. При этом контролер должен применять все имеющиеся в распоряжении технологии. Что именно подразумевается под разумными усилиями, в Регламенте не сказано. Таким образом, данный вопрос целиком и полностью отдан на усмотрение контролера. Считаем, что необходимо принять уточняющий акт, в котором следует определить меры, которые должен принимать контролер при определении возраста и личности лица, дающего согласие на обработку, а также установить административную ответственность контролера за непринятие этих мер. Например, обязать контролера требовать у несовершеннолетнего пользователя цветную скан- копию идентифицирующего документа (паспорта, водительского

удостоверения и т.д.) или требовать ввода дополнительной информации, когда речь идет о получении согласия законного представителя.

Ограничения прав физических лиц

Регламент, как и действовавшая ранее Директива 1995 г., содержит положения, касающиеся ограничения прав физических лиц в определенных ситуациях. Согласно ст. 23 Регламента права и обязанности, предусмотренные в нем (в ст. 5, 12-22, 34), могут быть ограничены в соответствии с правовым актом Союза или государства-члена, в юрисдикции которого находится контролер или процессор, в той мере, в какой положения данного акта соответствуют правам и обязанностям, приведенным в ст. 12­22. Такое ограничение должно учитывать сущность основных прав и свобод физических лиц и являться необходимой и пропорциональной мерой в демократическом обществе.

В Регламенте содержится закрытый перечень оснований, по которым может быть ограничена сфера действия приведенных статей. По общему правилу, основания касаются национальной и общественной безопасности и других важных общественных интересов, защиты физических лиц, их прав и свобод. По сравнению с Директивой 1995 г., этот перечень был дополнен следующими положениями: защитой независимости судебной системы и судебного процесса; предупреждением, расследованием, выявлением и преследованием нарушений этики в профессиональной деятельности; исполнением законных требований.

Регламент также дополнен положением о том, что любая вышеупомянутая правовая мера должна включать положения, конкретизирующие цели обработки, категории персональных данных, объем вводимых ограничений, гарантии, предоставляемые с целью предотвращения злоупотреблений или незаконного доступа к персональным данным, а также другую уместную информацию (п. 2 ст. 23).

Таким образом, сфера ограничений прав физических лиц в Регламенте расширена и конкретизирована. В нем содержится закрытый перечень

оснований, которые позволяют путем издания правовых актов ЕС или государствами-членами в необходимой степени ограничивать действие прав физического лица. Таким образом, государства-члены ЕС не вправе ограничивать права физических лиц по любым другим основаниям.

Физическое лицо - субъект персональных данных - наделяется многочисленными правами, которые лицо может осуществлять с целью реализации своего фундаментального права на защиту персональных данных. Однако осуществление им своих прав не должно негативно воздействовать на права и свободы других лиц. В связи с этим необходимо назвать обязанности, возложенные на физических лиц. Они прямо не регламентируются в правовых актах ЕС, но следуют из смысла положений Регламента и других актов. В первую очередь речь идет о том, что физическое лицо обязано соблюдать нормативные акты Союза и государств- членов, касающиеся защиты персональных данных. К обязанностям физических лиц относится предоставление только такой информации, с помощью которой данное лицо может быть идентифицировано, и такая информация должна быть достоверной. При не соблюдении этих условий обработка данных не будет попадать под сферу действия Регламента и, соответственно, лицо не сможет воспользоваться своим правом на защиту персональных данных. В определенных случаях физическое лицо обязано подчиниться решению, основанному исключительно на автоматизированной обработке, включая профилирование.

Кроме того, лицо обязано предоставить для обработки персональных данных дополнительную информацию, когда это предусмотрено Регламентом. В частности, контролер может запросить предоставление дополнительной информации, необходимой для подтверждения личности субъекта данных (ст. 12), а также согласие законного представителя, если речь идет об обработке данных ребенка (ст. 8). В некоторых случаях для осуществления своих прав физическое лицо обязано привести аргументы, что информация, которую требуется удалить или обработку которой ограничить,

является незаконной, нерелевантной, неактуальной или чрезмерной по отношению к целям обработки данных, выполняемой контролером.

Анализ положений Регламента и, в частности, Главы III позволяет сделать вывод о том, что права физических лиц раскрыты в нем более детально по сравнению с Директивой 1995 г. Комплекс прав, из которых складывается фундаментальное право физического лица на защиту персональных данных, разработан с учетом современных рисков для личной информации, в т.ч. в сети Интернет. Все рассмотренные права направлены на осуществление лицом всеобъемлющего контроля обработки своих персональных данных и позволяют ему принимать определенное участие в операциях по обработке своих данных. Их осуществлению способствует формирующаяся судебная практика государств-членов и Суда ЕС.

2.4.