Некоторые аспекты правового регулирования защиты персональных данных в рамках внутреннего рынка Европейского союза
Published: Jan. 1, 2018
Latest article update: June 12, 2023
В статье рассмотрены аспекты соотношения экономических свобод внутреннего рынка Европейского союза (ЕС) и защиты прав человека на примере права на защиту персональных данных, соблюдение которого чрезвычайно актуально сегодня. Внутренний рынок, являясь центром европейской интеграции, представляет собой одно из основных достижений ЕС, однако его потенциал не используется в полной мере. Правовое регулирование внутреннего рынка должно постоянно приводиться в соответствие с реалиями сегодняшнего дня, включая технологический прогресс, который усложняет соблюдение права на защиту персональных данных и создает препятствия на пути реализации экономических свобод внутреннего рынка. Для выявления значения соблюдения права на защиту персональных данных для надлежащего функционирования внутреннего рынка автор анализирует некоторые документы Европейской Комиссии за последние несколько лет, включая Стратегию для единого рынка, ежегодные обзоры роста, отчеты о применении Хартии ЕС об основных правах. Так, одним из инструментов повышения эффективности единого внутреннего рынка выступает защита персональных данных. Право на защиту персональных данных закреплено в актах как первичного, так и вторичного права ЕС. Особое внимание уделено реформированию правового регулирования ЕС в этой сфере, особенно Регламенту 2016/679 о защите физических лиц при обработке персональных данных и их свободном перемещении, который вступит в силу 2018 г. Проводится сравнение с действующей Директивой 95/46 о защите физических лиц при обработке и свободном обращении персональных данных. Подчеркивается, что вводится единое правовое регулирования в масштабах ЕС, которое должно: укрепить право на защиту данных и избавить предпринимателей от лишних расходов; устранить административные и иные ненужные формальности, учредить службу «одного окна»; упрочить сотрудничество властей государств-членов Союза. Также обращено внимание и на практику Суда ЕС, который неоднократно напоминал институтам ЕС и государствам-членам об их обязанности соблюдать положения Хартии ЕС об основных правах граждан на защиту персональных данных.
Keywords
Европейский Союз, права человека, персональные данные, внутренний рынок, обработка персональных данных, право на защиту персональных данных, Суд Европейского союза, Европейская комиссия, право Европейского союза, защита прав человека
Европейский союз (далее — ЕС) включает не только единый рынок товаров и услуг, но и разделяет ценности, закрепленные в учредительных договорах ЕС и Хартии ЕС об основных правах1, несмотря на то, что право ЕС имело и имеет по большей части экономическую направленность2. В доктрине3 неоднократно поднимался вопрос о соотношении принципа уважения прав человека и реализации экономических свобод внутреннего рынка ЕС. Возможно, лучше говорить о влиянии данного общепризнанного принципа международного права на реализацию свобод внутреннего рынка, которое может быть как негативным, так и позитивным. Негативный аспект взаимодействия имеет место, когда защита прав человека является основанием для ограничения экономических свобод внутреннего рынка, которые могут рассматриваться как обоснованные и соответствующие праву ЕС, так и противоречащие ему. Позитивный аспект заключается в том, что соблюдение прав человека способствует повышению эффективности функционирования внутреннего рынка, т.е. фактически выступает средством достижения данной цели. В данной статье рассмотрим именно этот аспект на примере влияния соблюдения права на защиту персональных данных (или иначе — данных личного характера) на эффективность функционирования экономических свобод внутреннего рынка ЕС. Основное внимание уделено реформе правового регулирования ЕС в сфере защиты персональных данных.
Двумя из десяти приоритетных направлений деятельности Европейской комиссии, провозглашенных ее председателем Ж.-К. Юнкером, выступали более углубленный и равноправный (справедливый) единый внутренний рынок4 и обеспечение пространства правосудия и основных прав человека, основанных на взаимном доверии5.
Внутренний рынок, являясь центром европейской интеграции6, представляет собой одно из основных достижений ЕС и один из главных активов в условиях глобализации7. Он по итогам 24-летнего существования ЕС характеризуется: упрощенным доступом потребителей к многочисленным товарам и услугам с льготными ценами; преимуществами предприятий от рынка сбыта и поддержки конкуренции; высокими требованиями к безопасности и к защите окружающей среды. Реализация экономических свобод внутреннего рынка способствует появлению новых возможностей для граждан, работников, предпринимателей, предприятий и потребителей, например, благодаря образованию новых рабочий мест и экономическому росту в целом.
Однако на данный момент потенциал внутреннего рынка не используется в полной мере по причине или незнания права ЕС, или его неприменения или ненадлежащего применения государствами-членами; сохраняется также много экономических, правовых и иных препятствий. К тому же правовое регулирование внутреннего рынка должно приводиться в соответствие с реалиями сегодняшнего дня, к числу которых принадлежат различные инновационные идеи и новые организационные формы предприятий8. Повышение эфффективности внутреннего рынка возможно посредством устранения все еще оставшихся правовых и неправовых препятствий, например, на пути реализации свободы движения товаров и услуг9.
Последнее было неоднократно провозглашено в качестве приоритетного направления в ежегодных обзорах роста10 (в частности, в Обзоре на 2017 год еще подчеркивалась необходимость создания единого цифрового рынка). Также, опираясь на преимущества внутреннего рынка, достигнутые за последние годы, Комиссия приняла целый комплекс мер, чтобы создать потребителям и предприятиям новые перспективы. В частности, в 2015 году она разработала Стратегию единого рынка11, в которой планируется принять
меры стимулирования экономического роста и увеличения количества рабочих мест, а также углубления сотрудничества в рамках внутреннего рынка и повышения уровня его справедливости. Комиссия предлагает принять три группы мер: меры, направленные на создание возможностей для потребителей, специалистов и предпринимателей при помощи сбалансированного развития экономики совместного потребления12, создание «паспорта услуг» для компаний, изменение правового регулирования профессий; меры, содействующие модернизации и инновациям посредством более прозрачных и эффективных государственных закупок, совершенствования правового регулирования интеллектуальной собственности, модернизации системы стандартизации; меры, обеспечивающие доставку товаров, которой обычно пользуются потребители и предприниматели, благодаря новому подходу Директивы об услугах на внутреннем рынке.
Совместное использование персональных данных часто выступает наравне с товарами и услугами в качестве составляющей экономики совместного потребления, которая, в свою очередь, служит одним из инструментов достижения целей, обозначенных Комиссией в Стратегии для единого рынка 2015 года. Защита персональных данных поставщиков и потребителей имеет большое значение для обеспечения и поддержания доверия различных действующих на рынке субъектов. Таким образом, исходя из анализа Стратегии, одним из инструментов повышения эффективности единого внутреннего рынка выступает защита персональных данных, которая, в свою очередь, является неотъемлемой частью пространства правосудия и основных прав человека (в формулировке названия одного из приоритетных направлений деятельности Комиссии ЕС).
Технологический прогресс и глобализация создали много различных проблем при реализации физическими лицами своего права на защиту персональных данных, с которыми, естественно, столкнулись и в государствах-членах ЕС и в самом ЕС в целом. Персональные данные благодаря современным технологиям перемещаются более свободно13, частные компании и органы государственной власти используют персональные данные в небывалых ранее масштабах, физические лица все больше и больше открывают доступ к своим данным. Защита персональных данных также является неотъемлемой часть правового регулирования в рамках информационного общества14. Да и само создание и развитие внутреннего рынка привело к существенному увеличению объемов трансгранично перемещаемых персональных данных в рамках ЕС. Следствием всего этого является необходимость постоянного совершенствования механизма правового регулирования ЕС в этой сфере.
Что касается правовой основы права на защиту данных личного характера15, то следует прежде всего обратиться к Договору о функционировании Европейского Союза (далее — ДФЕС)16 и Хартии ЕС об основных правах 2000 г. (далее — Хартия)17.
В ДФЕС право на защиту персональных данных предусмотрено в ст. 16 (бывшая ст. 286). Данные нормы направлены на защиту права индивида самостоятельно принимать решение об использовании его персональных данных, что чрезвычайно важно в свете огромных объемов собранных, использованных и передаваемых персональных данных. Так, ст. 16 закрепляет, что Европейский парламент и Совет в рамках обычной законодательной процедуры принимают правила о защите физических лиц в отношении обработки персональных данных институтами, органами и учреждениями Союза, а также государствами-членами при осуществлении деятельности, которая входит в сферу применения права Союза, и о свободном перемещении подобных данных. В ДФЕС предусматривается, что соблюдение этих правил находится под контролем независимых органов.
Хартия ЕС об основных правах (ст. 8) гарантирует каждому человеку право на защиту относящихся к нему персональных данных, право на получение доступа к собранным в отношении него данным, и право на устранение в них ошибок. Помимо этого данная статья предусматривает основания обработки подобных данных. Так, она должна производиться добросовестно (т.е. без манипуляций), в четко определенных целях, с согласия заинтересованного лица либо при наличии других правомерных оснований, предусмотренных законом. Ст. 8 также содержит положение, что соблюдение правил защиты, обработки, доступа и возможности исправления ошибок в соответствующих данных подлежит контролю со стороны независимого органа. Право на защиту персональных данных, в свою очередь, основывается на праве каждого на уважение частной и семейной жизни, его жилища и корреспонденции, закрепленное в ст. 7 Хартии18. Но также необходимо отметить, что согласно п. 3 ст. 52 Хартии Союз не вправе дополнительно ограничивать право на уважение частной и семейной жизни по сравнению с ограничениями, которые допускает п. 2 ст. 8 Европейской конвенции о защите прав человека и основных свобод 1950 г.
На данный момент еще действуют такие акты вторичного права ЕС в сфере защиты персональных данных — Директива 95/46 о защите физических лиц при обработке и свободном обращении персональных данных20, а также Рамочное решение 2008/977 о защите данных личного характера, используемых в рамках сотрудничества полицейских и судебных органов по уголовным делам21. Они утратят силу 25 мая 2018 г. и будут заменены соответственно Регламентом 2016/679 о защите физических лиц в отношении обработки персональных данных и их свободном перемещении (Общий регламент о защите персональных данных)22 и Директивой 2016/680 о защите физических лиц в отношении обработки персональных данных компетентными властями в целях предотвращения, расследования, задержания или судебного преследования в связи с совершением уголовных правонарушений или исполнения уголовного наказания, а также в отношении свободного перемещения подобных данных23. Данные Регламент и Директива приняты Парламентом и Советом в апреле 2016 г. в рамках реформы по защите персональных данных, которая была инициирована Комиссией.
Так, согласно отчетам Комиссии о ее деятельности за 2015 и 2016 годы ЕС продолжал развивать политику в сферах правосудия, основных прав человека и гражданства, ккоторая опирается на основные ценности: демократию, свободу, терпимость и правовое государство24. Деятельность Комиссии была в том числе направлена на улучшение защиты основных прав человека в сферах защиты данных, передачи информации личного характера и прав потребителей. В частности, Комиссия выполнила обязательства провести реформу защиты данных в ЕС, направленную на повышение обеспечения права граждан на защиту персональных данных, являющего одним из основных прав ЕС.
Реформа была предложена Комиссией в 2012 году и включает два основных инструмента: общий регламент, касающийся защиты данных, и директива относительно защиты данных, предназначенных для полицейских властей и органов уголовного правосудия. Данная реформа является неотъемлемым элементом единого цифрового (электронного) рынка25 и европейской программы безопасности26. В свою очередь, реформирование единого цифрового рынка направлено на устранение национальных барьеров в сфере телекоммуникаций, авторских прав и защиты данных, которые препятствуют гражданам ЕС пользоваться определенными товарами и услугами, а компаниям и начинающим предпринимателям в секторе Интернета — всеми преимуществами цифрового рынка27. В 2015 году работа над реформированием правового регулирования в сфере защиты данных была интенсифицирована и на конец года по итогам переговоров было достигнуто согласие Комиссии с Парламентом и Советом в отношении целостности реформы. Так, в апреле 2016 года тексты Регламента 2016/679 и Директивы 2016/680 были приняты Парламентом и Советом и вступят в силу в 2018 году.
Прежде чем перейти к характеристике основных положений Регламента 2016/679 (далее — Регламент), следует остановиться на таких ключевых понятиях, как «персональные данные» и «обработка персональных данных»28. Так, закрепленное в Регламенте определение персональных данных (ст. 4) шире определения, сформулированного в отменяемой им Директиве 95/46 (ст. 2). В Регламенте под персональными данными понимается любая информация, относящаяся к идентифицированному (иначе — определенному) или могущему быть идентифицируемым (иначе — поддающемуся определению) физическому лицу. Физическое лицо, которое может быть идентифицировано — этот тот, кто может быть установлен прямо или косвенно, в частности, благодаря имени, идентификационному номеру, данным о местонахождении, Интернет-идентификатору или одному и нескольким характерным для этого лица чертам, относящимся к его физической, физиологической, генетической, ментальной, экономической, культурной или социальной индивидуальности. Согласно ст. 4 Регламента, обработка данных — это любая операция или их совокупность, осуществляемая с помощью автоматизированных средств или без нее, например, сбор, регистрация, организация, структурирование, хранение, приведение в соответствие или изменение, извлечение, использование, передача, распространение или иной любой способ обеспечения к ним доступа, согласование29 или объединение, ограничение, уничтожение30.
Регламент защищает основные права и свободы физических (а не юридических) лиц независимо от их гражданства и места проживания и, в особенности, право на защиту персональных данных. Регламент содержит нормы, направленные на защиту прав физических лиц при обработке их персональных данных, а также нормы, связанные со свободным перемещением таких данных. Чтобы внутренний рынок функционировал должным образом, необходимо, чтобы свобода движения персональных данных в ЕС не была ни ограничена, ни запрещена по причинам, связанным с защитой физических лиц в связи с обработкой их персональных данных.
В преамбуле Регламента, в частности, отмечается, что он направлен на укрепление и сближение экономик государств-членов ЕС в рамках внутреннего рынка. Это в очередной раз подтверждает значимость соблюдения права на защиту персональных данных для повышения эффективности функционирования внутреннего рынка ЕС. Регламент Комиссия расценивает как основной шаг на пути упрочения основных прав граждан в эру цифровых технологий, а также облегчения предпринимательской деятельности посредством упрощения применяемых к компаниям правовых норм в рамках единого цифрового рынка31. Регламент содержит нормы, направленные на устранение препятствий для функционирования внутреннего рынка, существующих из-за различных и порой противоречащих друг другу подходов к правовому регулированию защиты данных в членах ЕС. Иными словами, на данный момент имеет место фрагментация правового регулирования в рассматриваемой сфере, которая приводит к правовой неопределенности, в частности, к искажению конкуренции, препятствиям для осуществления предпринимательской деятельности, связанным с дополнительными затратами (особенно для малых и средних предприятий), а также к неравной защите физических лиц.
В связи с этим нельзя не сравнить анализируемый Регламент с пока действующей Директивой 95/46. Если обратиться к доктрине, то действующее правовое регулирование ЕС в сфере передачи персональных данных характеризуется как четкое и обеспечивающее свободное перемещение данных в рамках Союза, но ограничивающее их передачу в третьи страны32. Директива направлена на гармонизацию защиты основных прав и свобод физических лиц при обработке персональных данных и на обеспечение их свободного перемещения между государствами-членами (ст. 1). Казалось бы, ее цели и принципы заслуживают лишь положительной оценки, однако на практике она не позволила предотвратить фрагментацию в реализации права на защиту данных в рамках всего ЕС, которая возникла по причине ее различной имплементации и различного применения в государствах-членах ЕС. Здесь следует обратиться также к характеристике регламента и директивы как актов вторичного права ЕС, т.е. принимаемых институтами ЕС. Так, по ст. 288 ДФЕС регламент является обязательным в полном объеме и подлежит прямому применению во всех государствах-членах, директива имеет обязательную силу для каждого государства-члена, кому она адресована, в отношении результата, которого требуется достичь, но оставляет в компетенции национальных инстанций выбор формы и способов достижения. Исходя из этого, становится понятно, почему вместо Директивы 95/46 был принят акт именно в форме регламента.
Интерес представляют данные опроса, проведенного фирмой «Евробарометр»33. Так, государственные власти пользуются большим доверием, чем коммерческие структуры (66% опрошенных); две трети европейцев (67- 69%) беспокоятся, что не имеют полного контроля над своими персональными данными, и опасаются, что их данные, переданные юридическим лицам, могут быть использованы для других целей; более 4 европейцев из 10 предпочли бы, чтобы защита данных регулировалась на уровне ЕС (45%), тогда как чуть меньшая доля (42%) — на национальном уровне.
Регламент создает единое правовое регулирование ЕС в сфере защиты персональных данных, которое должно усилить право на защиту данных и сделать так, чтобы люди доверяли структурам, которым они сообщают свои данные. Применение данного Регламента должно, естественно, избавить предпринимателей от лишних расходов. По предварительным оценкам Европейской Комиссии, устранение таким образом административных препятствий сэкономит примерно 2,3 млрд, евро в год34.
Сфера действия Регламента, закрепленная в ст. 2, не распространяется на обработку персональных данных, производимую в рамках деятельности, нерегулируемую правом ЕС; государствами-членами при осуществлении деятельности в соответствие с главой 2 раздела 5 Договора о Европейском Союзе («Специальные положения об общей внешней политике и политике безопасности»); физическим лицом в рамках исключительно личной или домашней деятельности35. Регламент не применяется к обработке персональных данных, подпадающих под сферу действия Директивы 2016/680, а также к обработке персональных данных институтами, органами, агентствами Союза, поскольку это входит в сферу действия Регламента 45/200136. При этом следует отметить, что Регламент применяется без ущерба Директиве 2000/31, касающейся правовых аспектов предоставления услуг информационного общества37, в частности, в электронной торговле, в рамках внутреннего рынка ЕС38.
Также необходимо иметь в виду положения ст. 23, в которой закреплены основания ограничения действия некоторых прав и обязанностей, предусмотренных Регламентом. Среди таких оснований выступают национальная безопасность; оборона; общественная безопасность; обеспечение независимости правосудия; предотвращение и выявление, расследование преступных (уголовных) деяний или преследование лиц за их совершение. Таким образом, есть сферы (например, в рамках деятельности, представляющей собой общественный интерес, или деятельности органа государственной власти), в которых к обработке персональных данных применяются акты законодательства членов ЕС, уточняющие применение положений Регламента. Также параллельно с общим правом ЕС в отношении защиты данных в государствах-членах существует большое число правовых актов специального характера, содержащих более конкретные нормы. Регламент оставляет государствам-членам возможность «маневра», например, для установления более детализированных требований к обработке определенного вида данных (например, в сферах, связанных со свободой выражений мнения и информации, доступом общественности к официальным документам, трудовыми отношениями)39.
Назовема принципы обработки персональных данных, закрепленные в Регламенте (хотя они и идентичны принципам, перечисленным в Директиве 95/46), поскольку они, естественно, составляют квинтесенцию правового регулирования рассматриваемой сферы. Данные личного характера должны: 1) обрабатываться законно, добросовестно и прозрачно для соответствующего физического лица (законность, добросовестность, прозрачность); 2) собираться для четко определенных законных целей и в дальнейшем не обрабатываться таким образом, который был бы несовместим с первоначальными целями (ограничение целей)40; 3) быть адекватными, соответствующими и ограниченными исходя из целей, для которых они обрабатываются (минимизация данных); 4) быть точными и актуальными (точность)41; 5) сохраняться в форме, которая позволит идентифицировать соответствующее лицо в течение времени, необходимого для достижения целей их обработки (ограничение хранения)42; 6) обрабатываться способом, гарантирующим надлежащую безопасность персональных данных.
Что касается прав физических лиц, то реформа в том числе имеет целью обеспечить упрощенный доступ лиц к их персональным данным, в частности, возможность следить за тем, как они используются (ст. 15 Регламента)43; право на передачу данных (например, при реализации свободы услуг44); детализацию права на уничтожение персональных данных (например, когда в подобных данных больше нет необходимости исходя из целей, для достижения которых они были получены; или как только лицо пожелает это при отсутствии иных правовых оснований для их хранения; или данные были обработаны с нарушением соответствующих правовых норм: ст. 17 Регламента)45; право быть информированным в кратчайшие сроки о несанкционированном доступе к персональным данным (ст. 34 Регламента).
Преимущества для компаний заключаются в следующем: единый свод правовых норм, что и удешевит их деятельность; служба «одного окна», т.е. компании и предприниматели будут иметь дело лишь с одним государственным органом и по месту своего нахождения (ст. 56 Регламента); применение норм права ЕС на территории ЕС, в том числе и в отношении предприятий, учрежденных в третьем государстве (ст. 3 Регламента); подход, учитывающий риски (например, п. 24 ст. 4, п. 2g ст. 23, ст. 25, 27, 30, 32, 33, 34), а также нормы, благоприятные для инновационной деятельности (например, ст. 25)46. Необходимо также подчеркнуть, что составители Регламента учли и интересы малых и средних предприятий. В частности, ст. 30 содержит исключение в отношении ответственных за обработку данных или их представителей по ведению реестра видов деятельности по обработке данных, под которое и подпадают организации с менее чем 250 работниками. К ним не применимы при определенных условиях требования по ведению подобного реестра47.
Регламент призван гарантировать юридическую безопасность и прозрачность для экономических операторов, включая малые и средние предприятия, и предоставлять физическим лицам из всех государств-членов ЕС одинаковый объем прав и обязанностей, а для лиц и органов, осуществляющих обработку данных, — одинаковый уровень ответственности. Регламент также необходим как для обеспечения последовательного контроля за обработкой персональных данных и применения эквивалентных санкций во всех государствах-членах ЕС, так и для эффективного сотрудничества органов контроля из разных государств-членов ЕС48. Реформа позволит гражданам в большей степени осуществлять контроль над своими персональными данными, а предприятиям, особенно средним и малым, извлечь выгоду из возможностей, создаваемых унификацией норм по регулированию единого цифрового рынка при сокращении административных формальностей и увеличения доверия потребителей, а также создаст условия для инновационной деятельности. Интересно, что новые нормы о защите данных будут применяться не только к компаниям, учрежденным в рамках ЕС, но и к иностранным компаниям, которые предоставляют услуги и поставляют товары гражданам ЕС или занимающиеся мониторингом.
Директива 2016/680 (далее — Директива) содержит нормы, направленные на защиту физических лиц в связи с обработкой персональных данных компетентными властями в целях предотвращения, расследования, задержания или судебного преследования в связи с совершением (уголовных) преступлений или исполнения уголовного наказания, включая защиту от угроз общественной безопасности и их предотвращение. Следуя положениям Директивы, государства-члены должны защищать основные права и свободы физических лиц и, в особенности, их право на защиту персональных данных, а также должны обеспечивать, чтобы обмен персональными данными между компетентными властями в рамках ЕС (который требуется согласно праву ЕС или праву государства-члена) не был ни ограничен, ни запрещен по причинам, связанным с защитой физических лиц при обработке их персональных данных.
Отметим, что, в частности, понятие персональных данных и их обработки такое же, как и в анализируемом выше Регламенте. Под компетентными властями понимаются: 1) любые органы государственной власти компетентные по вопросам, входящим в сферу действия Директивы; 2) любые иные органы или учреждения, которым правом государства-члена доверено осуществлять государственную власть49 в соответствующих сфере действия Директивы целях. Директива должна обеспечить высокий уровень защиты персональных данных подозреваемых, лиц, признанных виновными, известных или предполагаемых жертв преступлений, свидетелей50, а также упростить обмен информацией и иное сотрудничество между полицейскими и судебными властями разных государств-членов ЕС. Последнее, в частности, должно способствовать повышению эффективности борьбы с преступностью, включая борьбу с терроризмом. В соответствии с положениями Директивы любая обработка данных органами правопорядка должна соответствовать принципам законности, необходимости, пропорциональности, а также предусматривать гарантии для физических лиц. К слову, принципы обработки данных, закрепленные в Директиве (ст. 4), идентичны принципам, перечисленным в Регламенте. Контролировать обработку данных должны независимые национальные структуры, в обязанности которых входит защита данных, и при этом должно быть предусмотрено эффективное обжалование в судебном порядке (ст. 47 Директивы).
Таким образом, принятие Регламента и Директивы — большой шаг вперед на пути соблюдения права физического лица на защиту персональных данных51, что должно позитивно сказаться на функционирования внутреннего рынка ЕС.
Суд ЕС неоднократно подчеркивал необходимость защиты основных прав человека, а также соблюдение их баланса в эпоху цифровых технологий. В отчетах Комиссии по применению Хартии ЕС об основных правах в том числе приводятся суть дел и решения Суда ЕС по вопросам защиты персональных данных. Так, например, согласно отчетам за 2014,2015 и 2016 годы52, Суд ЕС вынес решения по следующим делам: С-293/12 and С-594/12 Digital Rights Ireland and Karntner Landesregierung53; C-131/12 Google Spain and Google54, C-212/13 Rynes55, Case C-288/12 Commission v Hungary56, C-362/14 Max Schrems57, C-230/14 Weltimmo58, C-446/12 W.R Willems v Burgemeester van Nuth59, Case C-201/14 Bara and Others60, Case C-419/14 WebMindLicenses61, C-203/15 Tele2 Sverige AB и C-698/15 Tom Watson62.
В решении по объединенному делу С-293/12 u С-594/12 Digital Rights Ireland Суд признал недействительной Директиву 2006/24 о хранении данных, созданных или обработанных в связи с предоставлением общественно доступных электронных услуг связи или общественных сетей связи63, поскольку она в нарушение принципа пропорциональности ограничивала право на частную жизнь и право на защиту персональных данных. В соответствии с положениями Директивы государства-члены должны были обеспечить, чтобы поставщики телекоммуникационных услуг сохраняли данные о трафике и местонахождении их потребителей от шести месяцев до двух лет и предоставляли доступ к ним по запросу органов власти в целях расследования и выявления серьезных преступлений, а также преследования лиц за их совершение.
Интересно также дело С-362/14 Max Schreins, которое касалось принятого Комиссией решения на основании п. 6 ст. 25 Директивы 95/46, позволяющего передавать персональные данные в третью страну (в рассматриваемом случае — в США). Это было возможно, поскольку Комиссия посчитала, что в США имеет место адекватный уровень защиты, учитывая национальное право или международные договоры. Передача персональных данных ирландским филиалом компании «Фейсбук» серверам в США и приемлемость их защиты были оспорены в национальном суде Ирландии. Это было, в том числе, связано с обнародованием информации о слежении, проводимом разведывательными службами США в 2013 году. В итоге Суд ЕС признал соответствующее решение Комиссии недействительным.
В 2016 году Суд ЕС продолжил (в рамках преюдициальных запросов) направлять деятельность судей национальных судов по применению и толкованию Хартии. Так, при рассмотрении объединенных дел С-203/15 Tele2 Sverige АВ и С-698/15 Тот Watson Суд изучал законодательные акты двух государств-членов ЕС, согласно которым данные всех подписчиков и зарегистрированных пользователей о трафике и местонахождении, касающиеся любых средств электронной связи, должны храниться на общих и недискриминационных началах. Суд пришел к выводу, что данные законы ограничивают основные права на частную жизнь и защиту персональных данных. Эти ограничения не были признанны объективно оправданными в силу их многочисленности, а также малого объема предусмотренных гарантий, даже когда их целью выступала борьба с серьезными преступлениями. Однако все же подобная цель может выступать основанием для хранения таких данных при условии, что оно будет ограничено рамками строго необходимого. То есть храниться могут только определенные категории данных, относительно указанных видов средств связи, данные конкретных лиц, а также в течении фиксированного срока.
Таким образом, Суд неоднократно напоминал институтам ЕС и государствам-членам об их обязанности соблюдать положения Хартии ЕС об основных правах, закрепляющие право на защиту персональных данных.
Также необходимо коснуться решения Суда ЕС, связанного с применением актов права ЕС, гарантирующих защиту персональных данных, к компании, место учреждения и место деятельности которой различны64. В деле С-230/14 Weltimmo одноименная компания, зарегистрированная в Словакии, управляла веб-сайтом, ориентированным на совершение сделок с недвижимым имуществом на рынке Венгрии, была лицом, ответственным за обработку персональных данных рекламодателей. Она игнорировала запросы последних об уничтожении данных и была за это оштрафована венгерскими властями. Weltimmo считала, что не может быть оштрафована на основании права Венгрии, поскольку была учреждена в Словакии. Суд ЕС пришел к выводу, что понятие «учреждение» необходимо толковать в свете целей Директивы 95/46, касающейся защиты данных. Не имеет значения, в каком государстве-члене ЕС компания была учреждена, но важно, в каком государстве она осуществляет реальную и эффективную деятельность через постоянную организационную структуру65. Суд ЕС постановил, что компания Weltimmo осуществляла такую деятельность на территории Венгрии и соответственно с нее правомерно взыскан штраф на основании права Венгрии.
Укрепление защиты персональных данных непосредственно влияет на эффективность реализации экономических свобод внутреннего рынка. Интересно проследить, каким будет это влияние, когда реформа правового регулирования защиты персональных данных войдет в активную фазу.