Трансграничная передача данных в Генеральном регламенте о защите персональных данных Европейского союза
Чикишев Николай Анатольевич
выпускник аспирантуры факультета журналистики
МГУ имени М.В. Ломоносова
Регулирование трансграничной передачи данных - одно из основных положений Генерального регламента о защите персональных данных Европейского союза. Принятый документ детально прописывает права и обязанности сторон, регламентирует отношения между надзорными органами, ЕС и третьими странами, территориями и международными организациями. Также вводится новый орган, регулирующий трансграничную передачу данных - Европейский совет по защите данных. В настоящем исследовании анализируются положения Регламента, дана оценка новым правовым формам и действиям контрагентов в сфере цифрового законодательства.
Ключевые слова:трансграничная передача данных, персональные данные, цифровые права, Генеральный регламенте защите персональныхданных ЕС.
Одной из ключевых тем обсуждения при принятии нового европейского законодательства в сфере защиты данных - Генерального регламента о защите персональных данных ЕС (далее - Регламент)1 - стала их трансграничная передача. Субъекты данных - резиденты ЕС, транснациональные корпорации, национальные надзорные органы по защите данных испытывали трудности в применении предыдущего законодательства, а его реформа стала одной из основных проблем, с которыми столкнулась Европейская комиссия (далее - Комиссия). В данном исследовании мы проанализируем положения Регламента, касающиеся сферы трансграничной передачи данных, и затронем ряд вопросов, которые европейскому цифровому законодательству еще предстоит решить.
генеральный регламент ес защита персональных данных
Проблема согласованности
Государства - члены ЕС, согласно Регламенту, становятся «основным инструментом обеспечения защиты данных». Таким образом, национальные органы защиты данных несут полную ответственность за осуществление эффективной деятельности в сфере защиты данных в рамках своей юрисдикции. Также положения Комиссии указывают на более тесное сотрудничество органов друг с другом и Комиссией2.
Подробнее описан механизм деятельности независимых органов при осуществлении своих полномочий, что, в свою очередь, ведет к созданию «ведущего» органа при трансграничной передачи данных3.
Эти нововведения направлены на устранение недостатков действующего механизма передачи данных и контроля за ними. Основным ограничением в этом вопросе становится отсутствие единого подхода к организации контроля на национальном уровне, то есть одновременная деятельность различных по своей структуре и функциям органов по защите данных государств - членов ЕС. Такие факторы, как политика, экономика, даже культурные и исторические различия, приводят в итоге к совершенно разным правовым подходам к применению защиты данных на уровне государств - членов ЕС. Локальность национальных органов создает ощутимые трудности в современной системе трансграничной обработки данных. Выход из этого положения - более тесное сотрудничество институций и выработка универсальных подходов.
Соответственно, несмотря на то что авторами документа установлен механизм согласованности, который призван сгладить различия между государствами - членами ЕС, основной проблемой Регламента и одновременно его руководящим принципом является применение этого согласованного подхода к защите данных между странами на практике. Этот вариант политики, при учете глобализированной обработки данных, представляется весьма разумным (De Hert, Papakonstantinou, 2016).
В положении 10 Преамбулы Регламента указано: «Для того, чтобы обеспечить последовательный и высокий уровеньзащиты физических лиц и устранить препятствия на пути личных потоков данных в рамках ЕС, уровень защиты прав и свобод человека в отношении обработки таких данных должен быть эквивалентным во всех государствах-членах»4. Таким образом, Комиссия обозначила необходимость к расширению трансграничного сотрудничества, а принятие настоящего Регламента - это путь к единообразным правилам и мерам защиты данных в пределах всего ЕС. Насколько эффективны будут эти меры - практический вопрос, который может быть разрешен только при применении Регламента.
Принцип единообразия не означает, что национальные органы в нынешнем виде будут преобразованы в унифицированные структуры, все-таки законодательство и правоприменение в странах ЕС остаются разными. Речь идет об «опорной точке», выработке единого подхода при учете своеобразия права на национальном уровне. Отсутствие иерархии и системы в сфере контроля защиты данных - одна из главных проблем гармонизации всей отрасли. Субъект данных рискует потеряться среди местных контролирующих органов с пересекающимися функциями (De Hert, Papakonstantinou, 2012: 138).
Регламент о защите данных является документом прямого действия, что кардинально отличает его от действовавшей на протяжении более чем двадцати лет Директивы 95/46/ЕС5. Директива носила рекомендательный характер, оставляя государствам - членам ЕС пространство для принятия собственных решений. После принятия Регламента текст документа проходит в подавляющем большинстве случаев обработку персональных данных.
Как отмечают исследователи, теперь обработка персональных данных больше не воспринимается как локальное явление, которое регулируется в соответствии с местным законодательством. Напротив, сегодня защита данных рассматривается непосредственно на уровне ЕС. Урегулирование защиты данных через Регламент - поворотный момент для защиты данных европейских пользователей (De Hert, Papakonstantinou, 2016; Маврин- ская, Лошкарев, Чуракова, 2017: 6).
Национальные органы защиты данных
Органы по защите данных - основа модели, предложенной Комиссией. Призванные осуществлять мониторинг в сфере защиты данных, они сохраняют свою роль в Регламенте и значительно укрепляют свое положение по сравнению с Директивой 95/46/ЕС.
Проблема, с которой столкнулись авторы документа, - это растущие трансграничные потоки передачи данных. Когда Директива была принята, количество и объем переносимых данных был сравнительно мал и легко определяем. Сегодня пользователи передают персональные данные обработчикам, находящимся в любой точке земного шара. Таким образом, создаются международные прецеденты, где национальная юрисдикция зачастую бессильна. Местные же национальные органы могут не иметь необходимых полномочий при разрешении споров и конфликтов, которые возникают при трансграничной передаче данных. Поэтому так важны положения Регламента, которые обеспечивают независимость национальных органов, определяют их полномочия и функции, поддерживают принципы сотрудничества и согласованности.
При рассмотрении трансграничной передачи данных Регламент вводит понятие «ведущего органа по защите данных»: «надзорный орган основного учреждения или единого учреждения оператора/ контролера или обработчика», действующий в качестве контролирующего органа для трансграничной обработки данных этого оператора/контролера или обработчика, должен быть компетентным»15. В обязанности ведущего органа по защите данных вменяется «сотрудничество с другими заинтересованными надзорными органами в соответствии с этой статьей в стремлении достичь консенсуса»7.
Критерием, согласно которому определяется «основное учреждение» компании, будет местонахождение центральной администрации в ЕС8. Центральная администрация обработчика данных, по мнению авторов документа, - та, что «эффективно и реально осуществляет управленческие действия» в отношении целей и средств обработки персональных данных. Юридическая форма учреждения не становится определяющим фактором - филиалы и дочерние компании также могут стать основным учреждением (Burton, de Boel, Kuner, Pateraki et al., 2016). В случае разногласий о том, какой филиал обработчика данных является основным, решение принимает Европейский совет по защите данных (далее - Совет)9.
Таким образом, вопрос, что же считать основным учреждением обработчика данных, остается открытым. В положении 27 Преамбулы Регламента утверждается, что это должно быть место «центральной администрации» компании, независимо от того, действительно ли обработка персональных данных проводится в этом месте. «Фактически же существует множество компаний с децентрализованными корпоративными структурами, где центральная администрация и место, в которых принимаются управленческие решения в отношении обработки данных, могут различаться» (Kuner, 2012).
«Ведущий орган» по защите данных становится основным регулятором при трансграничной обработке данных - деятельности, затрагивающей компании и субъектов данных, находящихся в нескольких государствах - членах Европейского союза, а также третьих странах, территориях и международных организациях10. Вместе с тем ведущий орган - единственный надзорный орган оператора/контролера и обработчика данных при их трансграничной передаче. Этот принцип «единого окна» был предложен транснациональными корпорациями с целью избежать прецедентов с надзорными органами всех стран, где происходит трансграничная передача их данных. Однако данное положение не означает «узкопрофильной» специализации ведущего органа: согласно Регламенту, ведущий орган может обмениваться информацией и сотрудничать с другими национальными надзорными органами, запрашивать помощь и проводить совместные операции11. При разрешении конфликтов применяется разработанный механизм согласованного подхода к защите данных.
Европейский совет по защите данных
Механизм согласованного подхода начинает действовать при создании нового органа (он, по положениям Регламента, приходит на смену Рабочей группе 2912) - Европейского совета по защите данных. Задачей Совета станет достижение согласованности действий между национальными органами по защите данных до принятия какого-либо существенного решения конкретным органом^. Таким образом, когда надзорный орган принимает какое-либо существенное решение, которое может повлиять на общую политику защиты данных в ЕС, он должен перед этим проконсультироваться с Советом и получить его обоснованное мнение по данному вопросу.
Следует заметить, что в тексте Регламента точка зрения Совета названа именно «мнением», а не «решением», что имеет свои правовые последствия. В пункте 8 статьи 58 указано, что после мнения Совета надзорный орган в течение двух недель запрашивает Председателя Совета о поддержке этой точки зрения и вносит в свой проект решения. Исходя из этого, деятельность Совета носит как консультативный, так и апелляционный характер.
Совет принимает обязательные решения в следующих случаях:
• если национальные надзорные органы не согласны с решением, которое должно быть принято в рамках процедуры сотрудничества;
• если национальные надзорные органы не согласны с тем, какой орган является ведущим для обработчика данных;
• если национальный надзорный орган не запрашивает мнения Совета там, где это требуется, или когда национальный надзорный орган не разделяет мнение Совета14.
Рабочая группа 29 с момента введения Директивы 95/46/ЕС была основным органом для консультации и согласования по всем вопросам защиты данных в рамках Европейского союза. Сложно переоценить ее значимость для становления и развития отрасли. Однако изменения с вводом Регламента в действие неизбежны, и вместо консультативных органов должны быть сформированы структуры, эффективно применяющие принцип согласованности. Такой структурой, как надеются исследователи, должен стать Совет. «В целях содействия последовательному применению настоящих Правил Европейский совет по защите данных должен быть создан как независимый орган Союза. Для достижения своих целей Европейский Совет по защите данных должен иметь правосубъектность» (De Hert, Papakonstantinou, 2016).
Среди прочих функций Совета выделяется рассмотрение любых споров, возникающих между национальными надзорными органами посредством обязательного решения15. Таким образом, по сравнению с Рабочей группой 29 полномочия Европейского совета по защите данных расширяются, он становится высшим исполнительным органом Евросоюза по надзору в сфере обработки и защиты данных.
Принцип экстерриториальности
В основе механизма трансграничной передачи данных лежит принцип экстерриториальности. В положении 2 Преамбулы Регламенты сказано: «Принципы и правила, регулирующие защиту физических лиц в отношении обработки их персональных данных, должны, независимо от гражданства или проживания таких физических лиц, уважать их основные права и свободы, в частности их право на защиту персональных данных»115. В тексте мы можем видеть стремление к расширению юрисдикции надзорных органов ЕС, поскольку теперь любой субъект данных - пользователь Сети подпадает под определение Регламента. Положение 14 раскрывает эту мысль: «Защита в отношении обработки персональных данных, обеспечиваемая настоящими Правилами, должна применяться к ним, независимо от их национальности и места жительства»^.
В положении 6 говорится, что «технологии трансформируют как экономику, так и социальные отношения, а также способствуют свободному потоку персональных данных в рамках Союза и их передаче третьим странам и международным организациям, обеспечивая при этом высокий уровень защиты персональных данных»18. Технологическая составляющая при передаче данных важна, и ей авторы документа уделяют пристальное внимание.
Регламент расширяет сферу применения документа на операторов и обработчиков данных, не относящихся к ЕС, деятельность которых связана с: а) предложением товаров и услуг физическим лицам, находящимся в ЕС; б) мониторингом их поведения^. Следовательно, операторы и обработчики данных, не относящиеся к ЕС, должны, согласно Регламенту, назначить своих представителей по защите данных в ЕС20. Этот представитель станет промежуточным звеном между надзорными органами и ответственным за обработку данных. Исключения касаются обработок, которые не затрагивают большое количество персональных данных, без риска для прав и свобод физических лиц. Другое исключение касается данных государственных органов.