Читать книгу Руководство по GDPR - Мария Беляева - Страница 6

Право ЕС состоит из основного и вторичного права. Договор о Европейском Союзе и Договор о функционировании Европейского Союза были ратифицированы всеми государствами Евросоюза и образуют «основной» закон ЕС. Регламенты, директивы и решения, принятые институтами ЕС, составляют «вторичный» закон.

Защита данных в «основном» законодательстве ЕС

Изначально соглашения европейских сообществ не содержали каких-либо ссылок на права человека или их защиту, так как европейское экономическое сообщество создавалось как региональная организация, ориентированная на экономическую интеграцию и создание общего рынка.

Основополагающим принципом, лежащим в основе развития европейских сообществ, является принцип наделения компетенциями. Согласно этому принципу ЕС действует только в пределах полномочий, предоставленных ему государствами-членами, как это отражено в договорах ЕС. В отличие от Совета Европы договоры ЕС не содержат четкой компетенции в вопросах основных прав.

Суд Европейского Союза при рассмотрении дел о нарушениях прав человека в областях, попадающих под действие законодательства ЕС, предоставляет важную интерпретацию договоров ЕС. В целях предоставления защиты для основных прав физических лиц, Суд имплементировал основные права в общие принципы европейского права. Согласно заявлению Суда, эти принципы отражают право на защиту данных в национальных законодательствах стран ЕС. Европейский Суд заявил о соответствии национального права стран Евросоюза требованиям защиты основных прав субъектов данных.

В 2000 году Европейским парламентом была принята Хартия основных прав ЕС. Хартия включает в себя весь спектр гражданских, политических, экономических и социальных прав европейских граждан, объединяя конституционные и международные обязательства, общие для государств – членов ЕC. Права, описанные в Хартии разделены на шесть частей:

– достоинство;

– свободы;

– равенство;

– солидарность;

– права граждан;

– справедливость.

Юридически обязательным документом, одним из основных законов ЕС (статья 6.1 Договора о Европейском Союзе), Хартия стала после подписания Лиссабонского договора 1 декабря 2009 года. Положения Хартии адресованы институтам и органам ЕС, что обязывает последних при исполнении своих обязанностей уважать закрепленные в Хартии права. Положения Хартии также учитываются государствами Евросоюза в рамках европейского законодательства.

Хартия декларирует не только уважение частной и семейной жизни (статья 7), но и закрепляет право на защиту личных данных (статья 8). Статья 8 Хартии содержит законодательное обоснование и поддержку сформированной ранее Директивы о защите данных. Хартия прямо упоминает право на защиту данных (статья 8.1), ссылается на ключевые принципы защиты данных (статья 8.2) и обязывает надзорные органы контролировать реализацию этих принципов. Право на защиту личных данных является одним из основных прав в законодательстве ЕС. Учреждения и органы ЕС обязаны гарантировать и уважать это право, как и государства Евросоюза при применении законодательства ЕС (статья 51).

Ратификация Лиссабонского договора является важной вехой в развитии закона о защите данных. Договор не только повысил статус Хартии до статуса основного юридически обязательного документа, но и обеспечил право на защиту данных. Это право предусмотрено в статье 16 Договора о функционировании Европейского Союза, где приведено описание общих принципов ЕС. Норма Договора создает новую правовую основу, предоставляя ЕС полномочия принимать законы по вопросам защиты данных.

Это важное событие, так как правила защиты данных в ЕС, в частности, Директива о защите данных, изначально базировалась на правовой структуре внутреннего рынка и необходимости унификации национального законодательства для свободного перемещения данных в ЕС. Договор о функционировании Европейского Союза обеспечивает независимую правовую основу для современного, комплексного подхода к защите данных, который охватывает все вопросы компетенции ЕС, включая сотрудничество правоохранительных и судебных органов по уголовным делам.

Статья 16 Договора о функционировании Европейского Союза также подтверждает, что соблюдение правил защиты данных, принятых в соответствии с ней, должно быть предметом контроля независимых органов. Положения Договора о функционировании Европейского Союза послужили правовой основой для проведения всеобъемлющей реформы правил защиты данных в 2016 году, принятия Общего регламента по защите данных ЕС и Директивы о защите данных для органов полиции и уголовного правосудия.

Общий регламент по защите данных ЕС 2016/679

С 1955 года до середины 2018 года основным правовым документом ЕС по защите данных была Директива 95/46/ЕС Европейского Парламента и Совета Европы от 24 октября 1995 года о защите физических лиц в отношении обработки персональных данных и о свободном передвижении таких данных. Директива о защите данных вступила в силу уже после принятия некоторыми государствами ЕС национальных законодательных актов в части защиты данных. Возникла необходимость согласования подобных инициатив в целях обеспечения высокого уровня защиты и свободного потока личных данных между государствами Евросоюза. Свободное перемещение физических лиц, товаров, капитала и услуг на внутреннем пространстве требует свободного потока данных, реализация которого позволит государствам ЕС рассчитывать на единый высокий уровень защиты данных.

Директива дополняет принципы защиты данных, содержащиеся в Конвенции 108 и национальном законодательстве. В частности, внесение в Директиву нормы о независимом надзоре, как инструменте, используемом в целях эффективного соблюдения правил защиты данных, стало важным вкладом в функционирование европейского законодательства о защите данных. Данная норма была имплементирована в Конвенцию 108 в качестве best practices.

В соответствии с правовой системой ЕС положения Директивы должны быть имплементированы в национальное право государств Евросоюза. Страны ЕС по своему усмотрению проводят интеграцию положений в свое национальное право. Несмотря на то что цели Директивы были направлены на обеспечение полной гармонизации (и адекватности уровня защиты данных), на практике в странах Европейского Союза она была внедрена по-разному. Это привело к установлению различных правил защиты данных по всему ЕС с определениями и нормами, по-разному интерпретируемыми в национальном законодательстве. Совокупность данных факторов послужили причиной реформирования европейского законодательства по защите данных.

Реформа привела к созданию Общего регламента по защите данных ЕС 2016/679 в апреле 2016 года. Дискуссии о необходимости модернизации правил защиты данных ЕС начались в 2009 году, когда Европейская комиссия инициировала общественные консультации о будущей правовой базе для обеспечения основного права физических лиц на защиту личных данных. Предложение о регулировании было опубликовано в январе 2012 года, положив начало длинному процессу переговоров между Европейским Парламентом и Советом Европы. После принятия Общего регламента по защите данных был предусмотрен двухлетний переходный период. Общий регламент по защите данных вступил в силу в мае 2018 года, тем самым отменив действие Директивы 95/46/ЕС.

В соответствии с законодательством ЕС, нормы Регламента имеют прямое применение без необходимости имплементации в национальное право. Таким образом, Общий регламент по защите данных предусматривает единый набор правил на всей территории ЕС. Это создает среду правовой определенности, от которой выигрывают как экономические «операторы», так и частные лица (субъекты данных).

Несмотря на то, что Общий регламент по защите данных ЕС 2016/679 является самостоятельным документом, ожидается, что государства Евросоюза внесут необходимые изменения в национальное законодательство в части защиты данных. Регламент имеет глобальное экстерриториальное действие. Его требования распространяются на организации в ЕС, а также на контроллеров и процессоров за его пределами, предлагающие товары и услуги субъектам данных в Евросоюзе или осуществляющие профилирование данных граждан ЕС. Определенная доля организаций, расположенных за пределами ЕС, имеют ключевую долю на европейском рынке и миллионы клиентов из ЕС. Соблюдение этими организациями правил защиты данных имеет важное значение для обеспечения защиты субъектов данных, а также для обеспечения равных условий.

Защита данных в правоохранительных органах

Директива 2016/680

Общей регламент по защите данных обеспечивает экстерриториальность защиты данных. Поскольку действие отмененной Директивы о защите данных распространялось на внутреннее пространство ЕС и деятельность его государственных институтов, то было необходимо соблюдать баланс между защитой данных и другими законными интересами, в том числе при обработке персональных данных правоохранительными органами.

Первым правовым документом ЕС, регулирующим этот вопрос, было решение 2008/977 JHA Совета Европы. Его действие распространяется на обмен данными между полицейскими и судебными органами ЕС в рамках сотрудничества по уголовным делам. Обработка персональных данных в обеспечении деятельности правоохранительных органов не регулируется нормами решения 2008/977 JHA.

Одновременно с Общим регламентом по защите данных вступила в силу Директива 2016/680 о защите физических лиц в отношении обработки персональных данных компетентными органами в целях предотвращения, расследования, выявления преступлений или судебного преследования за совершение уголовных преступлений или исполнения уголовных наказаний, а также о свободном перемещении таких данных – Директива о защите данных для органов полиции и уголовного правосудия.

В то время как Общей регламент по защите данных устанавливает общие правила для защиты физических лиц в отношении обработки их персональных данных и для обеспечения свободного перемещения таких данных в пределах ЕС, в Директиве изложены конкретные правила защиты данных в областях судебной власти и сотрудничества правоохранительных органов. Директива 2016/680 применяется, когда компетентный орган обрабатывает персональные данные в целях предотвращения, расследования, выявления или преследования за совершение уголовных преступлений. Если компетентные органы обрабатывают персональные данные для целей, отличных от вышеупомянутых, применяется общий режим в соответствии с Общим регламентом по защите данных.

В отличие от решения Совета Европы 2008/977 JHA, положения Директивы 2016/680 затрагивают внутреннюю обработку персональных данных правоохранительными органами в том числе и за пределами ЕС, и нацелены на достижение баланса между правами физических лиц и законными целями обработки, связанной с национальной безопасностью.

Директива подтверждает право на защиту персональных данных и основные принципы, которые должны охватывать обработку данных в строгом соответствии с правилами и принципами Общего регламента по защите данных. Права субъектов данных и обязанности, налагаемые на контроллеров (например, в части безопасности данных, защиты данных по умолчанию, уведомления о нарушении в отношении персональных данных субъектов), идентичны правам и обязанностям Общего регламента по защите данных. Контроллер обязан назначить сотрудника для контроля за соблюдением правил защиты данных, информирования и консультационной поддержки организаций и работников, а также для сотрудничества с надзорными органами.

Директива также учитывает и осуществляет контроль над технологиями обработки, которые могут стать обременительными для субъектов данных (например, использование профилирования правоохранительными органами). В целом, все решения, основанные исключительно на автоматизированной обработке, включая профилирование, должны быть запрещены. Кроме того, такой вид обработки не применим к «специальным» категориям данных.

В настоящее время обработка персональных данных правоохранительными структурами и органами уголовного правосудия находится под контролем независимых надзорных органов.

Директива о конфиденциальности и электронных средствах связи

С целью обеспечения прав пользователей на неприкосновенность частной жизни и соблюдения конфиденциальности была разработана и внедрена Директива 2002/58/ЕС. Положения Директивы о конфиденциальности и электронных средствах связи устанавливают правила безопасности в части обработки персональных данных и защиты конфиденциальности в электронных сообщениях.

Операторы услуг электронной связи обязуются ограничить доступ к персональным данным всем, кроме уполномоченных лиц, и принять меры для предотвращения уничтожения, потери или случайного повреждения данных. В случае наличия возможного риска при использовании сервисов, оператор связи обязан проинформировать пользователя сервиса о наличии такого риска. В случае нарушения, несмотря на предпринятые меры защиты, операторы обязаны уведомить компетентный национальный орган, которому поручен контроль за выполнением Директивы. Операторам также вменяется в обязанность уведомлять субъектов данных о нарушениях, которые могут оказать негативное влияние на конфиденциальность данных. Для обеспечения конфиденциальности сообщений требуется, чтобы прослушивание, хранение или любой вид наблюдения или перехвата сообщений и метаданных, по умолчанию был запрещен. Директива также запрещает нежелательные спам-сообщения, если только субъекты данных не дали на это свое согласие. На электронных устройствах субъекта данных должны быть определены правила хранения файлов cookie. Данные обязательные нормы указывают на то, что конфиденциальность сообщений в значительной степени связана с защитой права на уважение частной жизни и персональных данных, закрепленные в статьях 7 и 8 Хартии основных прав ЕС соответственно.

В январе 2017 года для модернизации Директивы о конфиденциальности и электронных средствах связи комиссия Совета Европы опубликовала предложения о регулировании, касающегося уважения частной жизни и защиты личных данных в электронных сообщениях.

Цель реформы заключается в унификации правил, регулирующих электронные коммуникации в соответствии с требованиями Общего регламента по защите данных. Новый Регламент распространяется на все государства ЕС, что позволит обеспечить одинаковый уровень защиты электронных сообщений. Прозрачность, правовая определенность и внедрение единого набора правил на территории ЕС коррелируют права субъектов данных, телекоммуникационных операторов и организаций.

Предлагаемые правила конфиденциальности электронных сообщений также распространяются на новых поставщиков услуг и сервисов, когда как положения старой Директивы касались только традиционных поставщиков телекоммуникационных услуг. Широко распространенные сервисы для отправки сообщений или звонков такие как Skype, WhatsApp, Facebook, Viber (и подобные) подпадают под юрисдикцию Общего регламента по защите данных и должны обеспечить соответствие требованиям по защите данных, конфиденциальности и безопасности. На момент написания этой книги процесс обсуждения модернизации Директивы еще не был окончен.

Регламент №45/2001

Для защиты физических лиц в отношении обработки персональных данных учреждениями и органами ЕС был разработан Регламент ЕС №45/2001, контроль за исполнением которого возложен на Европейского супервизора по защите данных.

Европейский супервизор наделен полномочиями по надзору и обязанностью контролировать обработку персональных данных в учреждениях и органах ЕС, а также рассматривать и расследовать жалобы на предполагаемые нарушения правил защиты данных. Он также предоставляет консультации учреждениям и органам ЕС по различным вопросам: начиная от предложений по новому законодательству и заканчивая разработкой внутренних правил, касающихся обработки данных. В январе 2017 года Европейская комиссия представила предложения по новому регламенту обработки данных институтами ЕС, который отменит действующее положение.

Как и в случае с Директивой о конфиденциальности и электронных средствах связи, реформа Регламента №435/2001 позволит актуализировать и унифицировать документ в соответствии с положениями Общего регламента по защите данных ЕС 2016/679.

Роль Суда Европейского Союза

Суд Европейского Союза обладает юрисдикцией для определения выполнения государствами ЕС своих обязательств в соответствии с европейским законодательством о защите данных и обеспечения его эффективного и единообразного применения во всех государствах Евросоюза.

С момента принятия Директивы о защите данных в 1995 году накопился значительный объем прецедентного права, в котором разъясняется сфера охвата и значения принципов защиты данных, а также фундаментальное право на защиту данных, закрепленное в статье 8 Хартии основных прав ЕС. Несмотря на то что Директива была отменена и вступил в законную силу Общий регламент по защите данных, прецедентное право остается актуальным для толкования и применения принципов защиты данных ЕС.