В целом Регламент поддерживает принципы трансграничной передачи данных, которые были сформулированы еще в Директиве 95/46/ЕС. Передача данных за пределы ЕС запрещена, если страна-получатель не соблюдает требуемого уровня защиты данных (принцип адекватности). Регламент определяет более строгие критерии адекватности уровня защиты для третьей страны, территории или международной организации. Для этого Комиссии предложено оценивать любые законы национальной безопасности в третьей стране, прослеживать, каким образом государственные органы третьей страны могут получить доступ к персональным данным. Дополнительные положения - это наличие прав защиты данных, эффективное административное и судебное возмещение для отдельных лиц, а также присутствие национального надзорного органа в сфере защиты данных21. Кроме того, Регламент разъясняет, что решение об адекватности может быть предоставлено только тогда, когда уровень защиты данных по сути эквивалентен гарантированному уровню ЕС (Burton, de Boel, Kuner, Pateraki et al., 2016).
Решения, уже принятые Комиссией до принятия Регламента, не имеют обратной силы. Это относится к решениям в отношении Андорры, Аргентины, Канады, Швейцарии, Фарерских островов, Израиля, острова Мэн, Новой Зеландии, Уругвая и др. На практике данное положение должно обеспечить эффективную деятельность компаний указанных стран, если они, получив разрешение, будут использовать обновленный механизм защиты данных. Таким образом, передача уже одобренных данных - это касается в первую очередь установленных договоренностей ЕС с США и принятого впоследствии механизма «Щит конфиденциальности» (Privacy Shield) - может продолжаться.
Однако данные решения Совета могут быть в любое время отменены, если появятся существенные основания для этого. Более того, такие решения предполагают периодический обзор уровня защиты данных в третьих странах, осуществляемый Советом, не реже одного раза в четыре года22. Регламент обязывает Комиссию постоянно отслеживать события в третьих странах, которые гипотетически могут повлиять на требуемый уровень защиты данный3. В ином случае Регламент предполагает составлять списки «отсутствия адекватности», или «черные списки» стран, территорий и международных организаций, где таковой уровень не поддерживается или существует видимая опасность для персональных данный.
По предложению Совета вводятся два новых основания для трансграничной передачи данных: это соблюдение утвержденного «кодекса поведения» (Code of Conduct) или утвержденного механизма сертификации, который должен сопровождаться подлежащими соблюдению обязательствами (Burton, de Boel, Kuner, Pateraki et al., 2016). Как отмечают исследователи, хотя эти нововведения приветствуются, еще предстоит выяснить, как они будут развиваться и будут ли полезными для преодоления некоторых проблем в существующих правовых рамках.
Для определения применения Регламента происходит оценка действия обработчика данных: имеет ли обработчик намерение предоставлять услуги или продукты субъектам данных в одном или нескольких государствах-членах ЕС. Также важны валюта и язык, на котором предоставляются услуги. Однако простая доступность веб-сайта оператора/контролера или посредника в ЕС, или адрес электронной почты и другие контактные данные, или использование языка в третьей стране, где осуществляет свою деятельность оператор/контроллер, - все эти характеристики могут быть недостаточными для применения Регламента (Burton, de Boel, Kuner, Pateraki et al., 2016).
Одним из определяющих факторов в этой связи становится отслеживание опе- ратором/контролером поведения субъектов данных, включая последующее профилирование и принятие решений в отношении отдельных лиц «для анализа, прогнозирования их личных предпочтений, поведения и отношений»25.
Механизм трансграничной передачи данных
Существуют три категории механизмов, которые призваны легализовать трансграничную передачуданных: это упомянутое решение Совета об адекватности защиты данных в третьей стране, территории или международной организаций6; использование «надлежащих гарантий» (которые включают в себя также обязательные корпоративные правила^7; применение исключительных мер, прописанных в статье 44 Регламента.
Так, в «надлежащие гарантии» оператора или обработчика данных входят:
• обязательные корпоративные правила (Binding Corporate Rules; далее - Правила);
• «стандартные положения о защите данных», одобренные Комиссией (на самом деле схожие документы с обязательными корпоративными правилами);
• стандартные положения о защите данных, принятые национальными надзорными органами в соответствии с механизмом согласованности;
• Ad Hoc - договорные положения, разрешенные национальными надзорными органами;
• другие соответствующие гарантии, не предусмотренные в юридически обязательном документе (что это за гарантии и как именно нужно толковать данное положение Регламент не поясняет).
Формат обмена информацией между операторами, обработчиками и надзорными органами также были разработан Комиссией и может быть осуществлен посредством применения отдельных подзаконных актов2^ Регламент, как было предложено Советом, делает Правила доступными для групп предприятий, «занимающихся совместной экономической деятельностью)^. Правила станут доступными не только компаниям, входящим в одну экономическую группу, но также деловым партнерам30.
Регламент значительно расширяет полномочия Комиссии в сфере решений об адекватности третьей страны, территории или международной организации. Однако в тексте отсутствует четко прописанный механизм принятия таких решений. Как отмечают исследователи, «этот процесс в срочном порядке нуждается в реформах, с учетом существующих запутанных процедур» (Kuner, 2012).
Открытым остается вопрос гармонизации законодательства в сфере соглашений о трансграничной передачи данных, принятых до настоящего Регламента. Хотя в тексте документа прописано, что положения договора «Щит конфиденциальности», который регламентирует трансграничную передачу данных между ЕС и США, неизменны, остается множество договоров и законодательных актов с другими странами, требующих урегулирования.
При отсутствии решения об адекватности уровня защиты данных стран, территорий и международных организаций Регламент позволяет передавать персональные данные в третьи страны на основе соглашений о передаче данных и стандартных договорных положений, и в таком случае специального разрешения надзорного органа не требуется3\ Регламент также позволяет надзорным органам разрешать передачу данных между оператором/ контролером или обработчиком данных и получателем данных в третьей стране32. Последний вариант существует в рамках так называемых специальных договоров о передаче данных (Burton, de Boel, Kuner, Pateraki et al., 2016).
Регламент добавляет к этим положениям механизм «убедительных законных интересов», которыми располагает оператор и обработчик данных, при условии, что таковая передача данных не повторяется и относится к ограниченному числу лиц. Оператор и обработчик должен предоставить надлежащие гарантии передачи, однако документ не разъясняет, каким именно образом должна происходить эта передача33. Возможно, речь идет о принятии дополнительных подзаконных актов, разъясняющих данную ситуацию.
Отдельным положением прописан прецедент раскрытия иностранных персональных данных во исполнение административных и судебных решений. Регламент четко указывает, что «любое решение суда, или трибунала, или решение административного органа третьей страны, требуемое от оператора или обработчика данных, может быть исполнено только в том случае, если оно основано на международном соглашении, заключенном между ЕС и запрашиваемой третьей страной, например, договоре о взаимной правовой помощи»34. В отношении персональных данных, касающихся административных и судебных дел,принятый документ более жестко и строго регламентирует механизм передачи, и это логично, поскольку в данном вопросе не может быть разночтений и исключений. При отсутствии же подобного договора передача данных производится в исключительных случаях, если это позволяют сделать удовлетворительные условия защиты данных третьей странь^5. Таким образом, вместо ответственности за передачу данных, которая налагалась на компании и надзорные органы, Регламент требует соблюдения международных соглашений, что, по мнению экспертов, стало «долгожданной разработкой» Регламента (Burton, de Boel, Kuner, Pateraki et al., 2016; Стукалов, 2017: 129).
Исключением из правил трансграничной передачи данных стали «национальные запреты»:Регламент предусматривает отказ государства - члена ЕС передавать определенные типы данных в третью страну, территорию или международную организацию со ссылкой на «важные причины», связанные с общественным интересом или национальной безопасностью315.
Выводы
Рассматриваемый нами документ стал новой отправной точкой в регулировании трансграничной передачи данных как между государствами - членами ЕС, так и третьими странами, территориями и международными организациями.
В основе этого регулирования лежат несколько принципов, среди которых главным остается принцип согласованности структур ЕС. Механизм действия передачи данных, как и сами требования к сбору и обработке данных в ЕС, «станут намного более строгими в рамках предлагаемого положения, это означает, что порог для передачи данных за пределы ЕС будет эффективно повышаться» (Kuner, 2012).
Взамен действовавшей Директивы 95/46/ ЕС, которая регулировала сферу защиты персональных данных, настоящий Регламент предлагает кардинально новый механизм, призванный не только гармонизировать национальные законодательства государств - членов ЕС, но и ввести в его структуру новых контрагентов. В первую очередь речь идет о Европейском совете по защите данных. Совет, включающий в себя представителей национальных надзорных органов государств - членов ЕС, станет, по мнению авторов документа, высшим исполнительным органом в данной сфере, наделенным как консультативными, так и апелляционными функциями.
Значительно расширяется и гармонизируется деятельность самих национальных надзорных органов. Кроме требования независимости подобных структур Регламент вводит множество новых обязанностей для органов. Рассматриваемый нами аспект - трансграничная передача данных - подразумевает создание базовой схемы взаимодействия между национальными надзорными органами, операторами и обработчиками данных. В подтверждение этого в текст Регламента вводятся понятия «основного учреждения» и «ведущего органа», где первое - закрепленное юридически и физически местоположение ответственного за обработку и трансграничную передачу данных оператора и обработчика данных, а второе - основной регулятор данных, перед которым оператор и обработчик данных несет ответственность.
Принятый и закрепленный в Регламенте принцип экстерриториальности данных означает значительное расширение юрисдикции как национальных надзорных органов, так и самого Совета. Он предполагает не только заключение различных соглашений о трансграничной передаче данных в третьи страны, но и наделение правами и обязанностями Регламента всех причастных к передаче данных субъектов данных, где бы они не находились. При этом возникает логичный вопрос определения национальной юрисдикции при возникновении спорных моментов передачи. Выход, как считают исследователи, заключается не только в имплементации положений Регламента в национальные законодательства государств - членов ЕС, но также в заключении новых договоров о трансграничной передаче данных между ЕС и третьими странами. Прецеденты уже созданы (например, договор «Щит конфиденциальности», заключенный между ЕС и США незадолго до принятия настоящего Регламента). Однако гармонизация законодательств и действий упомянутых в статье контрагентов - это долгий путь, который предстоит пройти Совету и национальным надзорным органам.
Стоит обратить внимание, что предложенная конструкция трансграничной передачи данных подразумевает широкий набор инструментов для бизнеса и субъектов данных: кроме решений Совета об адекватности третьих стран,территорий и международных организаций Регламентом предлагается список «надлежащих гарантий», эффективность которых еще необходимо проверить на практике. Прописанные в Регламенте исключительные случаи передачи данных - одно из нескольких положений документа, которое требует пояснений и принятия дальнейших законодательных актов, раскрывающих позицию Комиссии, Совета и национальных надзорных органов. Особенно это касается случаев «национальных запретов», связанных с прерогативой государств - членов ЕС в сфере национальной безопасности.
Однако перечисленные недостатки Регламента не перечеркивают его достоинств, а именно попыток широкомасштабного регулирования как обработки, так и трансграничной передачи данных. Проделанная авторами документа работа - это длительный поиск компромиссов между всеми контрагентами данной сферы, и она, как мы надеемся, продолжится с целью укрепления и повышения защиты персональных данных в Европе.
Примечания
1 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). Режим доступа: https://goo.gl/kvxNLM (дата обращения: 23.06.2018).
2 Art. 60 of the Reglament.
3 Art. 51 of the Reglament.
4 Recital 10 of the Reglament.
5 Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data. Режим доступа: https://goo.gl/kDw4Vq (дата обращения: 23.06.2018).
6 Art. 51 of the Reglament.
7 Art. 60 of the Reglament.
8 Art. 4 of the Reglament.
9 Art. 57 of the Reglament.
10 Art. 51 of the Reglament.
11 Art. 54 of the Reglament.
12 Рабочая группа по защите данных статьи 29 - консультативный орган, состоящий из представителей органов по защите данных каждого государства - члена ЕС, Европейского инспектора по защите данных и представителей Европейской комиссии. С 25 мая 2018 г. заменен Еропейским советом по защите данных в соответствии с Генеральным регламентом о защите данных.
13 Art. 58 of the Reglament.
14 Там же.
15 Там же.
16 Recital 2 of the Reglament.
17 Recital 14 of the Reglament.
18 Recital 6 of the Reglament.
19 Art. 4 of the Reglament.
20 Art. 27 of the Reglament.
21 Art. 45 of the Reglament.
22 Art. 45 and recital 81 of the Reglament.
23 Art. 45 of the Reglament.
24 Там же.
25 Recital 21 of the Reglament.
26 Art. 45 of the Reglament.
27 Art. 46 of the Reglament.
28 Art. 43 of the Reglament.
29 Art. 4 of the Reglament.
30 Art. 43 of the Reglament.
31 Art. 49 of the Reglament.