Охрана персональных данных: опыт Европейского сообщества*

20 Сентября 2019
Н.А. Шебанова,
доктор юридических наук,
профессор кафедры интеллектуальных прав МГЮА (У)
 
 

27 апреля 2016 г. решением Европейского Парламента и Совета был принят новый закон о защите персональных данных - Общий/Генеральный регламент по защите персональных данных (GDPR  - General Data Protection Regulation, далее по тексту – Регламент GDPR). По сути он представляет собой два документа: Регламент (EU) 2016/679  Европейского Парламента и Совета «О защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отмене Директивы 95/46/ EC (Общие правила защиты данных)» и Директиву (EU) 2016/680 Европейского Парламента и Совета «О защите физических лиц в отношении обработки персональных данных компетентными органами в целях предотвращения, расследования уголовных преступлений, ведения разыскных или судебных действий или исполнения уголовных наказаний, а также за свободное перемещение таких данных и отменяя Рамочное решение Совета 2008/977 / JHA»1.

Если первый документ – регламент, являющийся документом прямого действия, то есть он становится законом с момента его принятия; то второй документ – директива, также являясь обязательным документом, начинает действовать с момента, когда она становится частью национального законодательства. При возникновении конфликтных ситуаций суды в государствах-членах ЕС руководствуются положениями регламентов, как имеющих большую юридическую силу, чем национальные законы (в случае конфликта регламент отменяет действие национального закона). Директивы по общему правилу должны содержать указания на период времени, в течение которого они должны быть утверждены в качестве национального законодательства государств-членов.

Регламент GDPR вступил в силу 25 мая 2018 г. во всех государствах - членах Европейского Союза.

С принятием Регламента GDPR утратила силу Директива 95/46/ЕС «О защите физических лиц применительно к обработке персональных данных и свободном движении таких данных» (далее по тексту - Директива 95/46/ЕС)2, однако главный принцип, который был заложен в данном документе, – гарантии прав физических лиц при соблюдении публичного интереса; получил закрепление и дальнейшее развитие в новом законе.

Действовавшая ранее Директива 95/46/ЕС была первым документом, в котором декларировалось стремление к обеспечению свободного перемещения информации между странами - членами ЕС, с одной стороны, и предоставлению гарантий защиты основных прав граждан, в число которых входит право на неприкосновенность личных данных и их защиту от третьих лиц, - с другой.

Статья 7 Директивы 95/46/ЕС обязывала всех государств - участников обеспечить обработку личных данных исключительно в случаях, если субъект недвусмысленно выразил на это свое согласие или такая обработка необходима для заключения/исполнения контракта; выполнения юридического обязательства, субъектом которого является контролер или она необходима для защиты жизненных интересов субъекта данных. Также такая обработка считалась допустимой, если она была необходима в целях обеспечения законных интересов контролера или третьей стороны (сторон), которым раскрыты данные, кроме случаев, когда такие интересы перекрываются интересами фундаментальных прав и свобод субъекта данных, защита которых требуется согласно ст. 1 Директивы, предусматривающей, что

«1. В соответствии с настоящей Директивой, государства-участники защищают фундаментальные права и свободы физических лиц, и, в частности, их право на неприкосновенность частной жизни применительно к обработке персональных данных.

2. Государства-участники не будут ни ограничивать, ни запрещать свободный поток персональных данных между государствами-участниками по причинам, связанным с защитой, допускаемой в п. 1».

Помимо этого в Директиве 95/46/ЕС впервые было дано определение понятия «персональные данные» применительно к обработке персональных данных и их свободному движению. В пункте а) ст. 2 было закреплено: “персональные данные” означают любую информацию, связанную с идентифицированным или идентифицируемым физическим лицом (“субъектом данных”); идентифицируемым лицом является лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификационный номер или на один или несколько факторов, специфичных для его физической, психологической, ментальной, экономической, культурной или социальной идентичности».

С точки зрения европейских исследователей, на момент своего появления и первых лет действия директива могла рассматриваться как уникальный юридический инструмент. Эта уникальность заключалась в поддержке осуществления права на неприкосновенность частной жизни и правил защиты персональных данных. Принципы, заложенные в Директиве, составляли золотой стандарт или эталонную модель защиты персональных данных в Европе и за ее пределами. Однако, отмечая гибкость заложенных в Директиве подходов к регулированию процессов сбора и использования персональных данных, исследователи акцентировали внимание на том, что со временем эффективность ее действия стала подрываться сложностью культурных и национальных различий, в которых она должна была действовать3.

Несмотря на положительные результаты действия Директивы 95/46/ЕС необходимость ее замены была продиктована стремлением предоставить гражданам ЕС больший контроль над собственными персональными данными и упростить нормативную базу для осуществления международного обмена ими путем унификации регулирования в рамках ЕС. Увеличение трансграничных потоков персональных данных на территории ЕС, наряду с быстрым развитием технологий и глобализацией создали новые проблемы для защиты персональных данных, которые необходимо было оперативно решать.

Речь идет о том, что современные технологии прочтения и массовой обработки персональных данных в сочетании со статистической обработкой и анализом этих данных позволяют практически прогнозировать желаемые результаты. Обладание большим объемом данных, преобразованных в информацию с помощью аналитики – математических и статистических процессов, становится ценнейшим активом, позволяющим компаниям занимать доминирующее положение на рынке и извлекать, благодаря этой информации, гигантские прибыли. Как отмечается в современных исследованиях, ученые используют эти данные для построения, среди прочего, аналитических моделей с использованием таких технологий, как генетические алгоритмы, машинное обучение и агентное моделирование. Они используют прикладную статистику для определения закономерностей и прогнозирования будущих событий, включая риски и возможности, при относительно вероятной надежности. Основной целью прогностической аналитики является оптимизация или выбор «наилучшего» результата с учетом набора доступных альтернатив4.

Необходимо отметить также, что современное увлечение разработкой и анализом больших данных стало, по определению исследователей, новой религией – технорелигией, получившей название «датаизм». Последователи датаизма рассматривают весь человеческий вид как единую систему обработки данных, в которой люди действуют как чипы. Высшей ценностью датаистической религии признается «поток информации»5.

Все эти явления в совокупности стали основой для постановки вопроса о совершенствовании правового подхода к сбору и обработке данных, создания более продуманной структуры защиты данных в ЕС, а также введения более строгого контроля над соблюдением установленных правил.

Это следует из содержания ст. 1 «Предмет и задачи» Регламента GDPR, согласно которой с принятием закона вводятся правила, касающиеся защиты физических лиц при обработке персональных данных, и правила, касающиеся свободного перемещения персональных данных. При этом во главу угла ставится принцип защиты основных прав и свобод физических лиц и, в частности, их прав на защиту персональных данных. В то же время эта защита, как подчеркивается в Регламенте GDPR, не должна стать препятствием свободному перемещению персональных данных в пределах Союза. Строгое соблюдение установленных правил всеми государствами-участниками является основой для правомерной международной передачи персональных данных в условиях цифровизации.

Однако прежде чем анализировать положения Регламента GDPR, следует акцентировать внимание на том, что охрана физических лиц в отношении обработки их персональных данных рассматривается в ЕС в качестве их основного права.

Это было провозглашено еще в ст. 16.В6 Договора о функционировании Европейского Союза от 25 марта 1957 г. и в ст. 87 Хартии Европейского Союза об основных правах от 7 декабря 2000 г. Так, ст. 16 (бывшая ст. 16 В Договора) предусматривает, что «каждый имеет право на защиту относящихся к нему персональных данных. 2. Европейский парламент и Совет, постановляя в соответствии с обычной законодательной процедурой, устанавливают правила о защите физических лиц в отношении обработки персональных данных институтами, органами и учреждениями Союза, а также государствами-членами при осуществлении деятельности, которая входит в сферу применения права Союза, и о свободном перемещении таких данных. Соблюдение этих правил находится под контролем независимых органов. Правила, принимаемые на основании настоящей статьи, не наносят ущерба специальным правилам, предусмотренным в статье 39 Договора о Европейском Союзе (Договор о функционировании Европейского Союза, Рим, 25 марта 1957 г. (в редакции Лиссабонского договора 2007 г.)».

Аналогичная по содержанию ст. 8 Хартии провозглашает, что «каждый человек имеет право на защиту относящихся к нему данных личного характера. 2. Обработка подобных данных должна производиться без манипуляций, в четко определенных целях, с согласия заинтересованного лица либо при наличии других правомерных оснований, предусмотренных законом. Каждый человек имеет право на получение доступа к собранным в отношении него данным,  и право на устранение в них ошибок. 3. Соблюдение этих правил подлежит контролю со стороны независимого органа».

Положения аналогичного содержания содержатся в Конституциях государств - участниц ЕС, что обеспечивает двойной уровень защиты личных прав физических лиц: на внутреннем (национальном) и европейском (региональном).

В то же время в положении 4 Преамбулы Регламента подчеркнуто, что право на защиту персональных данных не является абсолютным правом; его следует рассматривать в соответствии с его предназначением для общества, и оно должно быть уравновешено с иными основными правами и в соответствии с принципом пропорциональности. В Регламенте учтены положения, касающиеся всех основных прав, свобод и принципов, закреплённых в Хартии, и предусмотренные в договорах. Регламент GDPR исходит из соблюдения принципов «уважения частной и семейной жизни, жилища и переписки, защиты персональных данных, свободы мысли, совести и вероисповедания, свободы выражения мнений и информации, свободы предпринимательской деятельности, право на эффективные средства правовой защиты и справедливое судебное разбирательство, а также на культурное, религиозное и языковое разнообразие».

Основные положения Регламента GDPR

Одним из достоинств нового закона является наличие четких определений основных понятий, которые используются при охране персональных данных. Определениям посвящена ст. 4 Регламента. Остановимся на некоторых из них.

Персональные данные - это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»);

Идентифицируемое физическое лицо - это лицо, которое может быть идентифицировано прямо или косвенно в частности - посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, сетевой идентификатор или на один или несколько факторов, присущих физической, физиологической, генетической, психической, экономической, культурной или социальной идентичности этого физического лица (ст. 4.1)

Можно констатировать, что исходя из данных определений в категорию персональных данных попадают практически все данные. Иными словами данные становятся персональными данными, если их совокупность позволяет безошибочно идентифицировать субъекта.

Наверно, будет справедливым отметить, что перечень персональных данных не носит исчерпывающего характера. Он, безусловно, будет расширяться по мере социального и технологического развития общества.

Регламент также вводит понятия:

-

«контролера данных» (controller) – физического или юридического лица - государственного органа, агентства или иного органа, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных; в случае, когда цели и средства такой обработки определяются правом Евросоюза или государства-члена. Контролёр либо конкретные критерии для его выдвижения могут быть предусмотрены правом Евросоюза или государства-члена;

-

«обработчика» (processor) – физического или юридического лица, государственного органа, агентства или иного органа, который обрабатывает персональные данные от имени и по поручению контролёра;

-

«получателя» (recipient) – физического или юридического лица, государственного органа, агентства или иного органа, которым раскрываются персональные данные, независимо от того являются ли они третьими лицами или нет. Однако органы государственной власти, которые могут получать персональные данные в рамках конкретного расследования в соответствии с правом Евросоюза или правом государства-члена, не должны рассматриваться в качестве получателей; обработка таких данных соответствующими органами государственной власти должна соответствовать применимым нормам о защите данных в зависимости от целей обработки;

-

«третьего лица» (third party) – физического или юридического лица, государственного органа, агентства или иного органа, кроме субъекта данных, контролёра, обработчика, а также лиц, уполномоченных осуществлять обработку персональных данных под непосредственным руководством контролёра или обработчика.

Большое значение имеют также определение «согласия» субъекта данных (consent) под которым понимается «любое свободно данное, конкретное, осознанное и однозначное идентифицируемое желание субъекта данных, посредством которого он/она путем заявления, либо ясным утвердительным действием, выражает согласие на обработку персональных данных, относящихся к нему/к ней»; а также определение «утечки персональных данных» (personal data breach), что означает «нарушение безопасности, приводящее к случайному или противозаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к персональным данным, переданных, хранящихся или обработанных иным образом».

Правовые основания обработки персональных данных

В современном мире многочисленные компании ежедневно используют миллиарды персональных данных, что позволяет им извлекать из этого процесса разнообразные выгоды. По некоторым оценкам только в Европейском Союзе действует около 50 крупных компаний, так называемых «брокеров данных» (компаний, специализирующихся на торговле данными). Цена передаваемых персональных данных пользователей весьма высока, особенно если компанией предоставляется дополнительная информация, позволяющая создать профиль пользователя. Многочисленные статьи и публикации в блогах концентрируют внимание читателя на том, что «Большие данные» являются ценным инструментом, доступным для предприятий любого размера, позволяющим им не только увеличить свою клиентскую базу, но и сохранить их и улучшить качество этих отношений8.

Именно поэтому особое внимание в Регламенте GDPR уделено правомерности обработки данных (ст. 6 - 8).

Первое и обязательное условие правомерности обработки персональных данных – наличие явно выраженного согласия на это субъекта персональных данных. Обязанность подтвердить наличие согласия возложена на контролера. Именно он должен сформулировать запрос о согласии и представить его таким способом, который четко отличается от других вопросов и понятий. Если субъектом персональных данных является ребенок, не достигший 16 лет, согласие на обработку должно быть получено от лица, представляющего интересы ребенка. Регламент предоставляет государствам-членам возможность законодательно снизить возраст ребенка для указанных целей, но не меньше 13 лет.

Помимо условия о явно выраженном согласии на обработку персональных данных регламент вводит дополнительные условия, наличие которых позволяет признать обработку правомерной. Так, это может быть связано с заключением и исполнением договора с участием субъекта данных; необходимостью соблюдения правовых обязательств, субъектом которых является контролёр. Обработка признается законной, если она необходима для защиты жизненных интересов субъекта данных либо иного физического лица; или же она необходима для выполнения задачи, осуществляемой в общественных интересах или при осуществлении официальных полномочий, возложенных на контролёра. В то же время, если, несмотря на наличие общественного интереса, контролерская обработка нарушает интересы или основные права и свободы субъекта данных, которые требуют защиты персональных данных, в частности, в случаях, когда субъектом данных является ребенок, - она признается незаконной. Это правило не применяется в отношении обработки, осуществляемой органами власти при осуществлении ими своих задач.

Кроме этого, документ предоставляет государствам-членам право самостоятельно обеспечивать или закреплять более конкретные положения для применения норм настоящего Регламента в отношении обработки путем более четкого определения конкретных требований для соблюдения принципов правомерности и справедливости. Возможность применения национального права при установлении оснований для осуществления обработки предусмотрена и в тех случаях, когда обработка необходима для соблюдения правовых обязательств, субъектом которых является контролёр; или же обработка необходима для выполнения задачи, осуществляемой в общественных интересах или при осуществлении официальных полномочий, возложенных на контролёра. В этой ситуации наряду с правом Евросоюза возможно применение права государства-члена, которое применимо к контролёру.

Статьей 16 Регламента GDPR установлено, что если при сборе данных были допущены ошибки или неточности, субъект данных вправе потребовать от контролера их исправления или дополнения.

Если же персональные данные больше не нужны для целей, для которых они были собраны, субъект отозвал свое согласие на обработку или же существуют иные обстоятельства, предусмотренные ст. 17 Регламента GDPR, субъект данных может воспользоваться «правом на забвение», то есть потребовать удаления данных.

Данные статьи Регламента регулируют обработку так называемых обычных персональных данных, таких как имя и фамилия, номер паспорта или ID удостоверения, дата и место рождения, место проживания (регистрации, прописки), е-мейл и телефон, IP-адрес и параметры соединения, которые находятся практически в свободном доступе. Однако существует и другая группа персональных данных, касающихся особых категорий. Это, в частности - раса и национальность, политические взгляды, вероисповедание, сексуальная ориентация, биометрические данные (признаки, дающие возможность однозначно идентифицировать человека – отпечатки пальцев, сетчатка глаза, запись голоса и т.п.), данные о здоровье и генетические данные. Обработка этих данных по общему правилу (§ 1 ст. 9 Регламента GDPR) запрещена. Исключения из этого правила также поименованы в остальных параграфах ст. 9: субъект данных должен дать прямое согласие на обработку указанных персональных данных для одной или нескольких обозначенных целей, кроме случаев, когда право Евросоюза или право государства-члена предусматривает, что запрет, указанный в § 1, не может быть отменен субъектом данных. Однако даже в тех случаях, когда обработка особых категорий персональных данных допустима, специалист, выполняющий их обработку, обязан соблюдать профессиональную тайну. Критерии конфиденциальности определяются правом Евросоюза или правом государства-члена или нормами, предусмотренными национальными компетентными органами.

Сфера применения Регламента

Регламент GDPR трактует понятие «применение» двояко. Статья 2 регламентирует существенную сферу применения, под которой понимается обработка персональных данных, обработанных полностью или частично автоматизированными средствами, а также данных, обработанных иными неавтоматизированными средствами, которые являются частью системы учета либо неотъемлемой частью системы учета. Исключениями из этого правила являются следующие виды деятельности:

-

деятельность, выходящая за рамки сферы действия права Евросоюза,

-

деятельность государств-членов, которая подпадает под действие Главы 2 Раздела V Договора о Европейском Союзе;

-

деятельность физического лица при осуществлении сугубо личной или бытовой деятельности;

-

деятельность компетентных органов в целях предотвращения, расследования, выявления уголовных преступлений или исполнения уголовных наказаний, включая защиту от угроз общественной безопасности и их предотвращения.

Статья 3 Регламента GDPR устанавливает территориальную сферу применения. Особенностью данного регулирования становится, по сути, экстерриториальное действие Регламента GDPR.

Под его регулирование подпадает обработка персональных данных, осуществляемых контролером или обработчиком, учрежденных в Евросоюзе, а также иностранными контролерами и обработчиками, если деятельность по обработке связана с предложением товаров или услуг, вне зависимости от того, требуется ли оплата от этого субъекта данных в Евросоюзе; или мониторингом их действий, поскольку их действия совершаются на территории Евросоюза. Еще одной областью, на которую распространяется действие Регламента, признается сфера учреждения контролера, которая подпадает под применение права государства-члена в силу международного публичного права.

В преамбуле Регламента разъяснено данное положение (п. 22 - 25). Подлежит регламентации, а значит - строгому контролю деятельность всех учрежденных на территории Евросоюза контролеров и обработчиков. Деятельность иностранных контролеров и обработчиков подпадает под действие Регламента, когда необходимо обеспечение защиты физических лиц, на которую они имеют право, а также в случаях, когда это связано с мониторингом действий таких субъектов данных, постольку поскольку их действия совершаются на территории Евросоюза. Последний случай - применение права государства-члена в силу международного публичного права, распространяется на случаи деятельности контролера, не учреждённого в Евросоюзе, но осуществляющего деятельность в дипломатическом представительстве или консульском учреждении государства-члена.

Персональные данные, как уже было отмечено выше, представляют собой информацию, охраняемую в контексте прав и свобод человека. Применение положений Регламента, допускающих свободную обработку персональных данных и их перемещение, не должно приводить к нарушению основных прав и свобод, базирующихся на этих данных. Именно опасность нарушения прав физических лиц обработкой данных стала основанием для включения в преамбулу Регламента положений, обязывающих государства-члены предпринять меры, обеспечивающие баланс частных и публичных интересов.

Так в положении 153 Преамбулы Регламента GDPR закреплено требование к государствам-членам касательно гармоничного согласования норм, регулирующих свободу выражения мнений и распространения информации, включая свободу журналистского, научного, художественного и/или литературного самовыражения, с правом на защиту персональных данных в соответствии с настоящим Регламентом GDPR.

Предполагается, что если обработка персональных данных проводится только в публицистических целях или научных, художественных и литературных самовыражений, то такая обработка может быть исключена из-под действия норм Регламента GDPR. В данной ситуации это продиктовано необходимостью сочетания права на защиту персональных данных со свободой выражения мнений и распространения информации. Сферой применения этого положения становится обработка персональных данных в аудиовизуальной сфере, а также в архивах новостей и библиотеках прессы.

Регламентация всех изъятий и исключений проводится государствами-членами самостоятельно, исходя из своего видения гармоничного сочетания публичного интереса и основных прав. Сферой этих изъятий становятся общие принципы, права субъектов данных, контролера и обработчика. Обязательным элементом регулирования становится и процесс передачи персональных данных третьим странам или международным организациям, самостоятельным надзорным органам; сотрудничество и согласования, а также конкретные ситуации обработки данных.

Допуская вероятность различного правового регулирования данных изъятий и исключений, Регламент GDPR предусматривает, что если эти изъятия или исключения отличаются в государствах-членах, должно применяться право государства-члена, применимого к контролёру. Вместе с тем вводится единое для всех участников правило квалификации: категории свободы журналистики необходимо толковать в широком смысле.

Непосредственно в самом Регламенте GDPR (ст. 85) государствам-членам вменено в обязанность в законодательном порядке гармонично согласовать право на защиту персональных данных и право на свободу выражения мнения и распространения информации, в том числе обработку для публицистических, а также для научных, художественных и литературных целей. Для этого государства-члены имеют право предусмотреть исключения из определенных в п. 2 ст. 85 глав Регламента, если это продиктовано необходимостью гармонизации права на защиту персональных данных и свободы выражения мнений и распространения информации.

Положение 156 Преамбулы Регламента также предусматривает обязательное гарантирование прав и свобод субъекта при обработке персональных данных для архивных целей в общественных интересах, для целей научного или исторического исследования, а также для статистических целей. В данном случае во главу угла ставится принцип минимизации данных. Суть данного принципа сводится к тому, что наличие технических и организационных мер, а также соответствующих гарантий позволяет так провести обработку персональных данных для вышеупомянутых целей, что становится невозможно провести идентификацию субъекта данных, например псевдонимация данных. В положении 28 Преамбулы разъяснено, что «применение псевдонимации к персональным данным может снизить риски для соответствующих субъектов данных и помочь контролерам и обработчикам данных выполнить свои обязанности по защите данных. Формальное использование “псевдонимации” в настоящем Регламенте не подразумевает отказ от каких-либо иных мер защиты данных». Регулирование данного вида обработки персональных данных наряду с Регламентом осуществляется государствами-членами самостоятельно.

Важно отметить, что в Регламенте GDPR особо подчеркивается значимость научных исследований, основанных на информации, полученной в результате обработки персональных данных (положения 157, 159 Преамбулы). Это, в первую очередь, касается сведений в отношении широко распространенных заболеваний (сердечно-сосудистые, рак, депрессия); существенных знаний о долгосрочном соотношении ряда социальных условий (безработица, образование и др.) с условиями жизни. Для облегчения научных исследований правом Евросоюза или правом государства-члена устанавливаются определенные условия и гарантии. Трактовка процесса обработки персональных данных для целей научного исследования приобретает широкий характер, сами научные исследования становятся инструментом создания Европейского исследовательского пространства.

Санкции за нарушение Регламента

Оценка важности нового Регламента GDPR неоднозначна. Не отрицая, что новый закон способствует гармонизации существующих правил и устанавливает некоторые важные отличия, специалисты отмечают, что права и обязанности в рамках Регламента GDPR не сильно отличаются от тех, которые были в предыдущих документах. Опасения, связанные со сложностью сбора и передачи данных после вступления в силу Регламента GDPR, в общем и целом не оправдались, а вот опасения в отношении введения карательных санкций полностью подтвердились9.

Нарушение положений Регламента GDPR наказывается административным штрафом, налагаемым надзорным органом государства-члена. Размер штрафа согласно п. 1, ст. 83 Регламента должен быть эффективным, соразмерным и иметь сдерживающее воздействие.

Административные штрафы налагаются в дополнение либо вместо мер, предусмотренных пунктом 2 (а)-(h) и (j) ст. 58, применяемых надзорными органами. В качестве таких мер используется, в частности, вынесение предупреждения или объявление выговора контролеру или обработчику за допущенные нарушения; выдача предписания контролеру или разработчику об устранении нарушений или приостановлении действий и др.

При наложении административного штрафа и определении его размера во внимание должны приниматься все обстоятельства конкретного случая наряду с определением характера правонарушения, его продолжительностью и степенью нанесенного ущерба (п. 2 ст. 83),

Регламент GDPR (п. 4 ст. 83) устанавливает размер штрафа, который подлежит наложению на контролеров и обработчиков, на органы сертификации, надзорные органы за нарушение ими определенных обязательств, соблюдение которых предусмотрено положениями Регламента GDPR. Штраф может быть наложен в размере до 10 000 000 евро или применительно к хозяйствующему субъекту в размере до 2% от общего годового оборота страны - хозяйствующего субъекта за весь предыдущий финансовый год, в зависимости от того, какая сумма больше.

Нарушения, допущенные при обработке персональных данных, караются более сурово. Административный штраф может быть наложен в размере до 20 000 000 евро или применительно к хозяйствующему субъекту в размере до 4% от общего годового оборота страны за весь предыдущий финансовый год, в зависимости от того, какая сумма больше.

Регламент предоставляет возможность государствам-членам установить правила относительно того, могут ли административные штрафы налагаться на органы государственной власти и учреждения, существующие в этом государстве-члене.

Особо решается вопрос о случаях, когда правовая система государства не предусматривает административную ответственность за допущенные нарушения. В таких ситуациях положения ст. 83 Регламента GDPR должны применяться к действиям компетентных надзорных органов, а штраф - налагаться компетентным национальным судом и обладать аналогичным эффектом, как и административные штрафы, налагаемые надзорными органами.

Помимо штрафов Регламент GDPR (ст. 84) предоставляет государствам-членам право внести в свое национальное законодательство нормы относительно применения иных санкций за нарушения положений Регламента, в том числе и за нарушения, которые не подпадают под административную ответственность, установленную Регламентом.

Подведем некоторые итоги.

Не вызывает сомнений, что с 2016 г. правовое регулирование защиты персональных данных в Европейском Союзе вступило в новую фазу развития.

Исходя из положений 8, 10, 12-14 Преамбулы Регламента GDPR государства-члены поставлены перед задачей обеспечения согласованного и высокого уровня защиты физических лиц независимо от их национальной принадлежности или места жительства в отношении обработки их персональных данных наряду с обеспечением свободного движения потоков персональных данных в рамках Евросоюза.

Возможный путь достижения поставленных целей – инкорпорация основ регламента в национальное законодательство государств-членов. По мнению разработчиков, это послужит предпосылкой обеспечения согласованности вводимых требований и ограничений, а также обеспечения правовой определённости и прозрачности для хозяйствующих субъектов, для предоставления физическим лицам одинакового уровня юридически закреплённых прав и обязанностей, унифицированного подхода к определению функциональных обязанностей контролеров и обработчиков; обеспечения должного мониторинга обработки персональных данных; введения равнозначных санкций за допущенные нарушения; обеспечения эффективного сотрудничества между надзорными органами различных государств-членов.

В то же время Регламент предоставляет возможность государствам-членам принимать собственные правила по большому кругу вопросов, в том числе для обработки особых категорий персональных данных (sensitive data), а также устанавливать обстоятельства, при которых обработка особых категорий персональных данных, несмотря на чрезвычайность ситуации и отсутствие согласия субъекта, будет признана правомерной.

Предполагается, что правотворческая деятельность государств-членов будет осуществляться параллельно с правотворческой деятельностью Европейского Парламента и Европейского Совета, обладающими в силу ст. 16 (2) Договора о функционировании Европейского союза (TFEU) полномочиями устанавливать правила, касающиеся защиты физических лиц в отношении обработки персональных данных и правила, касающиеся свободного перемещения персональных данных.

Не остается без работы и Европейская комиссия. В условиях действия нового закона она должна, в силу положений ст. 98 Регламента GDPR, представить законодательные предложения об изменении иных правовых актов Евросоюза о защите персональных данных для обеспечения единообразной и согласованной защиты физических лиц в отношении обработки их персональных данных уполномоченными субъектами Евросоюза, а также норм о свободном перемещении таких данных.

 

 


* Исследование выполнено при финансовой поддержке РФФИ в рамках научного проекта № 18-29-16169.

1https://ogdpr.eu/ru/gdpr-2016-679(дата обращения: 9 августа 2019 г.).

2https://eur-lex.europa.eu/eli/dir/1995/46/oj(дата обращения: 8 сентября 2019 г.).

3Neil Robinson, Hans Graux, Maarten Botterman, Lorenzo Valeri. Review of the European Data Protection Directive. https://ico.org.uk/media/about-the-ico/documents/(дата обращения: 1 сентября 2019 г.)

4Caryn Devins, Teppo Felin, Stuart Kauffman, Roger Koppl. The Law and Big Data. Cornell Journal of Law and Public Policy/2017, Vol. 27:357. P. 364.

5Caryn Devins, Teppo Felin, Stuart Kauffman, Roger Koppl. The Law and Big Data. Cornell Journal of Law and Public Policy/2017, Vol. 27:357. P. 364.

6https://eur-lex.europa.eu/legal-content/(дата обращения: 10 сентября 2019 г.).

7https://eulaw.ru/treaties/charter/(дата обращения: 2 августа 2019 г.).

8Javier Goizueta. El RGPD pone en jaque el gran negocio del siglo XXI. https://blogs.elconfidencial.com/(дата обращения: 28 июля 2019 г.).

9JHeidi Beate Bentzen. Balancing Protection and Free Movement of Personal Data: The New European Union General Data Protection Regulation. https://annals.org/. (дата обращения: 12 сентября 2019 г.).

 

Литература

1. Antonio Serrano. Acitores. Big Data y Protección de Datos. https://www.antonioserranoacitores.com/

2. Caryn Devins, Teppo Felin, Stuart Kauffman, Roger Koppl. The Law and Big Data. Cornell Journal of Law and Public Policy/ 2017, Vol. 27:357. P. 364.

3. Heidi Beate Bentzen. Balancing Protection and Free Movement of Personal Data: The New European Union General Data Protection Regulation. https://annals.org/.

4. Javier Goizueta. El RGPD pone en jaque el gran negocio del siglo XXI. https://blogs.elconfidencial.com/

5. Neil Robinson, Hans Graux, Maarten Botterman, Lorenzo Valeri. Review of the European Data Protection Directive. https://ico.org.uk/