Европейский союз (далее — ЕС) включает не только единый рынок товаров и услуг, но и разделяет ценности, закрепленные в учредительных договорах ЕС и Хартии ЕС об основных правах¹См. в том числе: L’UE en 2015 — Rapport général sur l’activité de l’Union européenne. Commission européenne. Direction générale de la communication. Information des citoyens /1049 Bruxelles [Электронный ресурс] // URL: http://publications.europa.eu/fr/web/general-report (дата обращения: 17.03.2016), несмотря на то, что право ЕС имело и имеет по большей части экономическую направленность²См.: Юмашев Ю. М. Правовое регулирование европейского внутреннего рынка // Московский журнал международного права. 2013. Т. 91. № 3. С. 155; Договор о Европейском союзе (ДЕС): особенно ст. 2, 3; Договор о функционировании Европейского союза (ДФЕС), Хартию ЕС об основных правах / СПС Гарант.. В доктрине³См., напр.: Исполинов А.С. Поиск баланса между свободами внутреннего рынка и правамичеловека в судебной практике ЕС // Журнал зарубежного законодательства и сравнительногоправоведения. 2012. № 6. неоднократно поднимался вопрос о соотношении принципа уважения прав человека и реализации экономических свобод внутреннего рынка ЕС. Возможно, лучше говорить о влиянии данного общепризнанного принципа международного права на реализацию свобод внутреннего рынка, которое может быть как негативным, так и позитивным. Негативный аспект взаимодействия имеет место, когда защита прав человека является основанием для ограничения экономических свобод внутреннего рынка, которые могут рассматриваться как обоснованные и соответствующие праву ЕС, так и противоречащие ему. Позитивный аспект заключается в том, что соблюдение прав человека способствует повышению эффективности функционирования внутреннего рынка, т.е. фактически выступает средством достижения данной цели. В данной статье рассмотрим именно этот аспект на примере влияния соблюдения права на защиту персональных данных (или иначе — данных личного характера) на эффективность функционирования экономических свобод внутреннего рынка ЕС. Основное внимание уделено реформе правового регулирования ЕС в сфере защиты персональных данных.

Значение защиты персональных данных для повышения эффективности внутреннего рынка

Двумя из десяти приоритетных направлений деятельности Европейской комиссии, провозглашенных ее председателем Ж.-К. Юнкером, выступали более углубленный и равноправный (справедливый) единый внутренний рынок⁴Определение внутреннего рынка закреплено в ст. 26 ДФЕС. и обеспечение пространства правосудия и основных прав человека, основанных на взаимном доверии⁵Juncker J.-C. A New Start for Europe: My Agenda for Jobs, Growth, Fairness and Democratic Change Political Guidelines for the next European Commission Opening Statement in the European Parliament Plenary Session. Strasbourg, 15 July 2014 [Электронный ресурс]: // URL: https://www.theparliamentmagazine.eu/whitepaper/jean-claude-juncker-my-agenda-jobs-growth-fairness-and-democratic-change (дата обращения: 16.04.2017).

Внутренний рынок, являясь центром европейской интеграции⁶По словам Комиссара по внутреннему рынку, промышленности, предпринимательству и средним и малым предприятиям Э. Бьенковски, «внутренний рынок — это сердце европейской интеграции»: Un marché approfondi et plus équitable: la Commission multiplie les opportunités pour les citoyens et les entreprises. Commission européenne. Bruxelles, le 28 octobre 2015 [Электронный ресурс]: // URL: http://europa.eu/rapid/press-release_IP-15-5909_fr.htm (дата обращения: 21.04.2017), представляет собой одно из основных достижений ЕС и один из главных активов в условиях глобализации⁷См., в том числе: Juncker J. Op. cit.; A Single Market Strategy for Europe — Analysis and Evidence Accompanying the document Upgrading the Single Market: more opportunities for people and business. Commission staff working document. Brussels, 28.10.2015. COM(2015) 550 final SWD(2015) 202 final [Электронный ресурс]: // URL: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52015SC0202http://ec.europa.eu/economy_finance/publications/economic_paper/2012/pdf/ecp_456_en.pdf (дата обращения: 21.04.2017). Он по итогам 24-летнего существования ЕС характеризуется: упрощенным доступом потребителей к многочисленным товарам и услугам с льготными ценами; преимуществами предприятий от рынка сбыта и поддержки конкуренции; высокими требованиями к безопасности и к защите окружающей среды. Реализация экономических свобод внутреннего рынка способствует появлению новых возможностей для граждан, работников, предпринимателей, предприятий и потребителей, например, благодаря образованию новых рабочий мест и экономическому росту в целом.

Однако на данный момент потенциал внутреннего рынка не используется в полной мере по причине или незнания права ЕС, или его неприменения или ненадлежащего применения государствами-членами; сохраняется также много экономических, правовых и иных препятствий. К тому же правовое регулирование внутреннего рынка должно приводиться в соответствие с реалиями сегодняшнего дня, к числу которых принадлежат различные инновационные идеи и новые организационные формы предприятий⁸Un marché approfondi et plus équitable: la Commission multiplie les opportunités pour les citoyens et les entreprises. Commission européenne. Bruxelles, le 28 octobre 2015.. Повышение эфффективности внутреннего рынка возможно посредством устранения все еще оставшихся правовых и неправовых препятствий, например, на пути реализации свободы движения товаров и услуг⁹В 2011 году Комиссия обратилась в Суд ЕС с иском против Австрии, Германии и Греции на том основании, что они на тот момент лишь частично имплементировали Директиву 2006/123 об услугах на внутреннем рынке в свое законодательство. Комиссия требовала взыскать с Австрии 44 876,16 €, с Германии — 141 362,55 € и с Греции — 51 200,10 € (на основании ст. 260(3) ДФЕС): European Commission — Press release. Services Directive: the Commission refers Germany, Austria and Greece to the Court over incomplete transposition of the Directive [Электронный ресурс ]:// URL: http://europa.eu/rapid/press-release_IP-11-1283_en.htm?locale=fr; Commission staff working paper. Situation inthe different sectors. Accompanying 28th annual report on monitoring the application of EU law. European Commission. 29.9.2011 / SEC(2011) 1093 final [Электронный ресурс]: // URL: http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:52011SC1093&rid=1 (дата обращения: 18.03.2015) В отчете Комиссии о мониторинге применения права ЕС в 2015 г. отмечается, что предпринимались действия по пресечению нарушений Директивы об услугах на внутреннем рынке. В частности, было инициировано 10 «пилотных» диалогов и 6 расследований: Report from the Commission. Monitoring the application of European Union law. 2015 Annual Report. European Commission. 15.7.2016, COM(2016) 463 final [Электронный ресурс]: // URL.: http://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1499619694852&uri=CELEX:52016DC0463 (дата обращения: 10.07.2017). В Стратегии единого рынка Комиссия выражает надежду, что надлежщая имплементация Директивы 2006/123 об услугах на внутреннем рынке принесет еще 1,8 % ВВП. См.: A Single Market Strategy for Europe — Analysis and Evidence Accompanying the document Upgrading the Single Market: more opportunities for people and business. Commission staff working document. 28.10.2015. COM(2015) 550 final, SWD(2015) 202 final [Электронный ресурс]: // URL: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52015SC0202http://ec.europa.eu/economy_finance/publications/economic_paper/2012/pdf/ecp_456_en.pdf (дата обращения: 21.04.2017).

Последнее было неоднократно провозглашено в качестве приоритетного направления в ежегодных обзорах роста¹⁰Annual Growth Survey 2015. Communication from the Commission to the European Parliament, the Council, the European Central Bank, the European Economic and Social Committee, the Committee of the Regions and the European Investment Bank. 28.11.2014. COM(2014) 902 [Электронный ресурс]: // URL: http://ec.europa.eu/europe2020/pdf/2015/ags2015_en.pdf (дата обращения: 21.04.2017); Annual Growth Survey 2017. Communication from the Commission to the European Parliament, the Council, the European Central Bank, the European Economic and Social Committee, the Committee of the Regions and the European Investment Bank. Brussels, 16.11.2016. COM (2016) 725 final [Электронный ресурс]: // URL: http://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1500195037536&uri=CELEX:52016DC0725 (дата обращения: 16.07.2017) (в частности, в Обзоре на 2017 год еще подчеркивалась необходимость создания единого цифрового рынка). Также, опираясь на преимущества внутреннего рынка, достигнутые за последние годы, Комиссия приняла целый комплекс мер, чтобы создать потребителям и предприятиям новые перспективы. В частности, в 2015 году она разработала Стратегию единого рынка¹¹A Single Market Strategy for Europe — Analysis and Evidence Accompanying the document Upgrading the Single Market: more opportunities for people and business. Commission staff working document. 28.10.2015. COM(2015) 550 final, SWD(2015) 202 final, в которой планируется принять
меры стимулирования экономического роста и увеличения количества рабочих мест, а также углубления сотрудничества в рамках внутреннего рынка и повышения уровня его справедливости. Комиссия предлагает принять три группы мер: меры, направленные на создание возможностей для потребителей, специалистов и предпринимателей при помощи сбалансированного развития экономики совместного потребления¹²«Сollaborative economy» или «collaborative consumption», «the sharing economy», «peer (P2P) economy», «the access economy». , создание «паспорта услуг» для компаний, изменение правового регулирования профессий; меры, содействующие модернизации и инновациям посредством более прозрачных и эффективных государственных закупок, совершенствования правового регулирования интеллектуальной собственности, модернизации системы стандартизации; меры, обеспечивающие доставку товаров, которой обычно пользуются потребители и предприниматели, благодаря новому подходу Директивы об услугах на внутреннем рынке.

Совместное использование персональных данных часто выступает наравне с товарами и услугами в качестве составляющей экономики совместного потребления, которая, в свою очередь, служит одним из инструментов достижения целей, обозначенных Комиссией в Стратегии для единого рынка 2015 года. Защита персональных данных поставщиков и потребителей имеет большое значение для обеспечения и поддержания доверия различных действующих на рынке субъектов. Таким образом, исходя из анализа Стратегии, одним из инструментов повышения эффективности единого внутреннего рынка выступает защита персональных данных, которая, в свою очередь, является неотъемлемой частью пространства правосудия и основных прав человека (в формулировке названия одного из приоритетных направлений деятельности Комиссии ЕС).

Технологический прогресс и глобализация создали много различных проблем при реализации физическими лицами своего права на защиту персональных данных, с которыми, естественно, столкнулись и в государствах-членах ЕС и в самом ЕС в целом. Персональные данные благодаря современным технологиям перемещаются более свободно¹³См., напр.: Bennett С. and Raab С. The Governance of Privacy: Policy Instruments in Global Perspective. London, 2003. Р. 257; Kong L. Data Protection and Transborder Data Flow in the European and Global Context // The European Journal of International Law. Vol. 21, no. 2, 2010. Р. 442., частные компании и органы государственной власти используют персональные данные в небывалых ранее масштабах, физические лица все больше и больше открывают доступ к своим данным. Защита персональных данных также является неотъемлемой часть правового регулирования в рамках информационного общества¹⁴См.: Blume P. Transborder Data Flow: Is There a Solution in Sight? // 8 Int’l J L and Info Technology. 2000. Р. 65; Kong L. Op. cit. Р. 442.. Да и само создание и развитие внутреннего рынка привело к существенному увеличению объемов трансгранично перемещаемых персональных данных в рамках ЕС. Следствием всего этого является необходимость постоянного совершенствования механизма правового регулирования ЕС в этой сфере.

Право на защиту персональных данных в актах первичного права Европейского Союза

Что касается правовой основы права на защиту данных личного характера¹⁵Право на защиту персональных данных не является абсолютным правом. Оно должно рассматриваться, учитывая его роль в обществе, и быть сбалансировано в отношении других основных прав в соответствие с принципом пропорциональности., то следует прежде всего обратиться к Договору о функционировании Европейского Союза (далее — ДФЕС)¹⁶Consolidated versions of the Treaty on European Union and the Treaty on the Functioning of the European Union // Official Journal C 115, 09.5.2008. и Хартии ЕС об основных правах 2000 г. (далее — Хартия)¹⁷Хартия ЕС об основных правах разработана Конвентом и принята в 2000 году, адаптирована в 2007, наделена обязательной силой Лиссабонским договором, который изменил ее статус (ст. 6 Договора о Европейском Союзе, Протокол № 30): Charter of fundamental rights of the European Union // OJ C 364, 18.12.2000. Р. 1–22. См., напр.: Мюллер-Графф П.-К. Лиссабонский договор в системе первичного права Европейского Союза // Право. Журнал Высшей школы экономики. 2008. № 1. С. 95..

В ДФЕС право на защиту персональных данных предусмотрено в ст. 16 (бывшая ст. 286). Данные нормы направлены на защиту права индивида самостоятельно принимать решение об использовании его персональных данных, что чрезвычайно важно в свете огромных объемов собранных, использованных и передаваемых персональных данных. Так, ст. 16 закрепляет, что Европейский парламент и Совет в рамках обычной законодательной процедуры принимают правила о защите физических лиц в отношении обработки персональных данных институтами, органами и учреждениями Союза, а также государствами-членами при осуществлении деятельности, которая входит в сферу применения права Союза, и о свободном перемещении подобных данных. В ДФЕС предусматривается, что соблюдение этих правил находится под контролем независимых органов.

Хартия ЕС об основных правах (ст. 8) гарантирует каждому человеку право на защиту относящихся к нему персональных данных, право на получение доступа к собранным в отношении него данным, и право на устранение в них ошибок. Помимо этого данная статья предусматривает основания обработки подобных данных. Так, она должна производиться добросовестно (т.е. без манипуляций), в четко определенных целях, с согласия заинтересованного лица либо при наличии других правомерных оснований, предусмотренных законом. Ст. 8 также содержит положение, что соблюдение правил защиты, обработки, доступа и возможности исправления ошибок в соответствующих данных подлежит контролю со стороны независимого органа. Право на защиту персональных данных, в свою очередь, основывается на праве каждого на уважение частной и семейной жизни, его жилища и корреспонденции, закрепленное в ст. 7 Хартии¹⁸См., напр.: Хартия Европейского Союза об основных правах: комментарии / под ред. С.Ю. Кашкина. М., 2001. С. 79.. Но также необходимо отметить, что согласно п. 3 ст. 52 Хартии Союз не вправе дополнительно ограничивать право на уважение частной и семейной жизни по сравнению с ограничениями, которые допускает п. 2 ст. 8 Европейской конвенции о защите прав человека и основных свобод 1950 г.

Право на защиту персональных данных в актах вторичного права Европейского союза

На данный момент еще действуют такие акты вторичного права ЕС в сфере защиты персональных данных — Директива 95/46 о защите физических лиц при обработке и свободном обращении персональных данных²⁰Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data // OJ L 281, 23.11.1995. Р. 31–50., а также Рамочное решение 2008/977 о защите данных личного характера, используемых в рамках сотрудничества полицейских и судебных органов по уголовным делам²¹Décision-cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale // JO L 350 du 30.12.2008. Р. 60–71.. Они утратят силу 25 мая 2018 г. и будут заменены соответственно Регламентом 2016/679 о защите физических лиц в отношении обработки персональных данных и их свободном перемещении (Общий регламент о защите персональных данных)²²Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) // OJ L 119, 4.5.2016. Р. 1–88. и Директивой 2016/680 о защите физических лиц в отношении обработки персональных данных компетентными властями в целях предотвращения, расследования, задержания или судебного преследования в связи с совершением уголовных правонарушений или исполнения уголовного наказания, а также в отношении свободного перемещения подобных данных²³Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA // OJ L 119, 4.5.2016. Р. 89–131.. Данные Регламент и Директива приняты Парламентом и Советом в апреле 2016 г. в рамках реформы по защите персональных данных, которая была инициирована Комиссией.

Так, согласно отчетам Комиссии о ее деятельности за 2015 и 2016 годы ЕС продолжал развивать политику в сферах правосудия, основных прав человека и гражданства, ккоторая опирается на основные ценности: демократию, свободу, терпимость и правовое государство²⁴L’UE en 2015 — Rapport général sur l’activité de l’Union européenne. Commission européenne. Direction générale de la communication. Information des citoyens.L’UE en 2016 — Rapport général sur l’activité de l’Union européenne. Commission européenne. Direction générale de la communication. Information des citoyens /1049 Bruxelles, BELGIQUE [Электронный ресурс] :// URL: https://europa.eu/european-union/documents-publications/reportsbooklets/general-report_fr (дата обращения: 16.04.2017). Деятельность Комиссии была в том числе направлена на улучшение защиты основных прав человека в сферах защиты данных, передачи информации личного характера и прав потребителей. В частности, Комиссия выполнила обязательства провести реформу защиты данных в ЕС, направленную на повышение обеспечения права граждан на защиту персональных данных, являющего одним из основных прав ЕС.

Реформа была предложена Комиссией в 2012 году и включает два основных инструмента: общий регламент, касающийся защиты данных, и директива относительно защиты данных, предназначенных для полицейских властей и органов уголовного правосудия. Данная реформа является неотъемлемым элементом единого цифрового (электронного) рынка²⁵В 2015 году Комиссия также начала реализовывать стратегию, направленную на устранение препятствий связи в рамках единого электронного (цифрового) рынка, которые лишают граждан ЕС пользоваться преимуществами от выбора товаров и услуг, а предприятия в Интернет-сфере возможности в полной мере участвовать в будущем развитии сектора цифровых технологий. В декабре 2015 года Совет и Парламент пришли к соглашению относительно предложенных Комиссией новых правил обеспечения повышенного уровня безопасности сетей и информации. Речь идет о Директиве, касающейся мер по обеспечению общего высокого уровня безопасности интернета и информации в ЕС. См.: Network and Information Security Directive: co-legislators agree on the first EU-wide legislation on cybersecurity [Электронный ресурс]: // URL: https://ec.europa.eu/ digital-single-market/news/network-and-information-security-directive-co-legislators-agree-first-euwide-legislation (дата обращения: 16.04.2017) и европейской программы безопасности²⁶См.: Le programme européen en matière de sécurité. Communication de la Commission au Parlement Européen, au Conseil Européen et au Comité économique et social européen et au Comité des régions. Strasbourg, le 28.4.2015. COM(2015) 185 final [Электронный ресурс]: // URL: http://ec.europa. eu/dgs/home-affairs/e-library/documents/basic-documents/docs/eu_agenda_on_security_fr.pdf (дата обращения: 16.04.2017). В свою очередь, реформирование единого цифрового рынка направлено на устранение национальных барьеров в сфере телекоммуникаций, авторских прав и защиты данных, которые препятствуют гражданам ЕС пользоваться определенными товарами и услугами, а компаниям и начинающим предпринимателям в секторе Интернета — всеми преимуществами цифрового рынка²⁷См. также: Mayer F. Europe and the Internet: The Old World and the new medium // The European Journal of International Law. 2000. No 1. P. 149–169; Wong R., Savirimuthu J. All or Nothing: This is the Question? The Application of Article 3(2) Data Protection Directive 95/46/EC to the Internet // Journal of Computer & Information Law. Spring 2008. Р. 241–266.. В 2015 году работа над реформированием правового регулирования в сфере защиты данных была интенсифицирована и на конец года по итогам переговоров было достигнуто согласие Комиссии с Парламентом и Советом в отношении целостности реформы. Так, в апреле 2016 года тексты Регламента 2016/679 и Директивы 2016/680 были приняты Парламентом и Советом и вступят в силу в 2018 году.

Прежде чем перейти к характеристике основных положений Регламента 2016/679 (далее — Регламент), следует остановиться на таких ключевых понятиях, как «персональные данные» и «обработка персональных данных»²⁸См. также в ст. 4 Регламента определения следующих понятий: «ответственный за обработку данных» или «контролер» (англ. «controller», франц. «responsable du traitement»), «производящий обработку данных» (англ. «processor», франц. яз. «sous-traitant»), «орган контроля» (англ. «supervisory authority», франц. «autorité de contrôle»).. Так, закрепленное в Регламенте определение персональных данных (ст. 4) шире определения, сформулированного в отменяемой им Директиве 95/46 (ст. 2). В Регламенте под персональными данными понимается любая информация, относящаяся к идентифицированному (иначе — определенному) или могущему быть идентифицируемым (иначе — поддающемуся определению) физическому лицу. Физическое лицо, которое может быть идентифицировано — этот тот, кто может быть установлен прямо или косвенно, в частности, благодаря имени, идентификационному номеру, данным о местонахождении, Интернет-идентификатору или одному и нескольким характерным для этого лица чертам, относящимся к его физической, физиологической, генетической, ментальной, экономической, культурной или социальной индивидуальности. Согласно ст. 4 Регламента, обработка данных — это любая операция или их совокупность, осуществляемая с помощью автоматизированных средств или без нее, например, сбор, регистрация, организация, структурирование, хранение, приведение в соответствие или изменение, извлечение, использование, передача, распространение или иной любой способ обеспечения к ним доступа, согласование²⁹Англ. «alignment», франц. «le rapprochement». или объединение, ограничение, уничтожение³⁰Англ. «erasure or destruction», франц. «l’effacement ou la destruction»..

Регламент защищает основные права и свободы физических (а не юридических) лиц независимо от их гражданства и места проживания и, в особенности, право на защиту персональных данных. Регламент содержит нормы, направленные на защиту прав физических лиц при обработке их персональных данных, а также нормы, связанные со свободным перемещением таких данных. Чтобы внутренний рынок функционировал должным образом, необходимо, чтобы свобода движения персональных данных в ЕС не была ни ограничена, ни запрещена по причинам, связанным с защитой физических лиц в связи с обработкой их персональных данных.

В преамбуле Регламента, в частности, отмечается, что он направлен на укрепление и сближение экономик государств-членов ЕС в рамках внутреннего рынка. Это в очередной раз подтверждает значимость соблюдения права на защиту персональных данных для повышения эффективности функционирования внутреннего рынка ЕС. Регламент Комиссия расценивает как основной шаг на пути упрочения основных прав граждан в эру цифровых технологий, а также облегчения предпринимательской деятельности посредством упрощения применяемых к компаниям правовых норм в рамках единого цифрового рынка³¹L’UE en 2016 — Rapport général sur l’activité de l’Union européenne. P. 66.. Регламент содержит нормы, направленные на устранение препятствий для функционирования внутреннего рынка, существующих из-за различных и порой противоречащих друг другу подходов к правовому регулированию защиты данных в членах ЕС. Иными словами, на данный момент имеет место фрагментация правового регулирования в рассматриваемой сфере, которая приводит к правовой неопределенности, в частности, к искажению конкуренции, препятствиям для осуществления предпринимательской деятельности, связанным с дополнительными затратами (особенно для малых и средних предприятий), а также к неравной защите физических лиц.

В связи с этим нельзя не сравнить анализируемый Регламент с пока действующей Директивой 95/46. Если обратиться к доктрине, то действующее правовое регулирование ЕС в сфере передачи персональных данных характеризуется как четкое и обеспечивающее свободное перемещение данных в рамках Союза, но ограничивающее их передачу в третьи страны³²Kong L. Op. cit. Р. 442.. Директива направлена на гармонизацию защиты основных прав и свобод физических лиц при обработке персональных данных и на обеспечение их свободного перемещения между государствами-членами (ст. 1). Казалось бы, ее цели и принципы заслуживают лишь положительной оценки, однако на практике она не позволила предотвратить фрагментацию в реализации права на защиту данных в рамках всего ЕС, которая возникла по причине ее различной имплементации и различного применения в государствах-членах ЕС. Здесь следует обратиться также к характеристике регламента и директивы как актов вторичного права ЕС, т.е. принимаемых институтами ЕС. Так, по ст. 288 ДФЕС регламент является обязательным в полном объеме и подлежит прямому применению во всех государствах-членах, директива имеет обязательную силу для каждого государства-члена, кому она адресована, в отношении результата, которого требуется достичь, но оставляет в компетенции национальных инстанций выбор формы и способов достижения. Исходя из этого, становится понятно, почему вместо Директивы 95/46 был принят акт именно в форме регламента.

Интерес представляют данные опроса, проведенного фирмой «Евробарометр»³³Special Eurobarometer. Report. 431- Data protection, June 2015 [Электронный ресурс]: // URL: http://ec.europa.eu/public_opinion/archives/ebs/ebs_431_en.pdf (дата обращения: 21.02.2017). Так, государственные власти пользуются большим доверием, чем коммерческие структуры (66% опрошенных); две трети европейцев (67- 69%) беспокоятся, что не имеют полного контроля над своими персональными данными, и опасаются, что их данные, переданные юридическим лицам, могут быть использованы для других целей; более 4 европейцев из 10 предпочли бы, чтобы защита данных регулировалась на уровне ЕС (45%), тогда как чуть меньшая доля (42%) — на национальном уровне.

Регламент создает единое правовое регулирование ЕС в сфере защиты персональных данных, которое должно усилить право на защиту данных и сделать так, чтобы люди доверяли структурам, которым они сообщают свои данные. Применение данного Регламента должно, естественно, избавить предпринимателей от лишних расходов. По предварительным оценкам Европейской Комиссии, устранение таким образом административных препятствий сэкономит примерно 2,3 млрд, евро в год³⁴Comment la reforme de la protection des donnees dans l’UE renforcera-t-elle le marche interieur? Fiche technique. Janvier 2016 / Direction générale de la justice et des consommateurs. Union européenne, 2016 [Электронный ресурс]: // URL: http://ec.europa.eu/justice/dataprotection/index_en.htm (дата обращения: 21.04.2017).

Сфера действия Регламента, закрепленная в ст. 2, не распространяется на обработку персональных данных, производимую в рамках деятельности, нерегулируемую правом ЕС; государствами-членами при осуществлении деятельности в соответствие с главой 2 раздела 5 Договора о Европейском Союзе («Специальные положения об общей внешней политике и политике безопасности»); физическим лицом в рамках исключительно личной или домашней деятельности³⁵Под личной или домашней деятельностью понимается, к примеру, обмен письмами или сообщениями, составление адресной книги, использование социальных сетей.. Регламент не применяется к обработке персональных данных, подпадающих под сферу действия Директивы 2016/680, а также к обработке персональных данных институтами, органами, агентствами Союза, поскольку это входит в сферу действия Регламента 45/2001³⁶Regulation No 45/2001 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data.. При этом следует отметить, что Регламент применяется без ущерба Директиве 2000/31, касающейся правовых аспектов предоставления услуг информационного общества³⁷Directive (EU) 2015/1535 of the European Parliament and of the Council of 9 September 2015 laying down a procedure for the provision of information in the field of technical regulations and of rules on Information Society services // OJ L 241, 17.9.2015. Р. 1., в частности, в электронной торговле, в рамках внутреннего рынка ЕС³⁸Directive 2000/31/EC of the European Parliament and of the Council of 8 June 2000 on certain legal aspects of information society services, in particular electronic commerce, in the Internal Market (‘Directive on electronic commerce’) // OJ L 178, 17.7.2000. Р. 1–16..

Также необходимо иметь в виду положения ст. 23, в которой закреплены основания ограничения действия некоторых прав и обязанностей, предусмотренных Регламентом. Среди таких оснований выступают национальная безопасность; оборона; общественная безопасность; обеспечение независимости правосудия; предотвращение и выявление, расследование преступных (уголовных) деяний или преследование лиц за их совершение. Таким образом, есть сферы (например, в рамках деятельности, представляющей собой общественный интерес, или деятельности органа государственной власти), в которых к обработке персональных данных применяются акты законодательства членов ЕС, уточняющие применение положений Регламента. Также параллельно с общим правом ЕС в отношении защиты данных в государствах-членах существует большое число правовых актов специального характера, содержащих более конкретные нормы. Регламент оставляет государствам-членам возможность «маневра», например, для установления более детализированных требований к обработке определенного вида данных (например, в сферах, связанных со свободой выражений мнения и информации, доступом общественности к официальным документам, трудовыми отношениями)³⁹Глава 9 Регламента «Положения, касающиеся особых ситуаций, связанных с обработкой данных»..

Назовема принципы обработки персональных данных, закрепленные в Регламенте (хотя они и идентичны принципам, перечисленным в Директиве 95/46), поскольку они, естественно, составляют квинтесенцию правового регулирования рассматриваемой сферы. Данные личного характера должны: 1) обрабатываться законно, добросовестно и прозрачно для соответствующего физического лица (законность, добросовестность, прозрачность); 2) собираться для четко определенных законных целей и в дальнейшем не обрабатываться таким образом, который был бы несовместим с первоначальными целями (ограничение целей)⁴⁰См. также: п. 1 ст. 89 Регламента (Гарантии и исключения, применяемые к обработке данных в целях архивирования в общественных интересах, для проведения научных или исторических исследований или в статистических целях).; 3) быть адекватными, соответствующими и ограниченными исходя из целей, для которых они обрабатываются (минимизация данных); 4) быть точными и актуальными (точность)⁴¹См. также: ст. 16 и 17 Регламента (исправление и уничтожение данных).; 5) сохраняться в форме, которая позволит идентифицировать соответствующее лицо в течение времени, необходимого для достижения целей их обработки (ограничение хранения)⁴²См. также: п. 1 ст. 89 Регламента.; 6) обрабатываться способом, гарантирующим надлежащую безопасность персональных данных.

Что касается прав физических лиц, то реформа в том числе имеет целью обеспечить упрощенный доступ лиц к их персональным данным, в частности, возможность следить за тем, как они используются (ст. 15 Регламента)⁴³См. также: ст. 13 Регламента (информация, которая сообщается физическому лицу в связи с получением его персональных данных).; право на передачу данных (например, при реализации свободы услуг⁴⁴См., напр.: ст. 2, 3, 4, 7 Регламента.); детализацию права на уничтожение персональных данных (например, когда в подобных данных больше нет необходимости исходя из целей, для достижения которых они были получены; или как только лицо пожелает это при отсутствии иных правовых оснований для их хранения; или данные были обработаны с нарушением соответствующих правовых норм: ст. 17 Регламента)⁴⁵В ст. 16 закреплено право физического лица исправить неверные персональные данные или дополнить их.; право быть информированным в кратчайшие сроки о несанкционированном доступе к персональным данным (ст. 34 Регламента).

Преимущества для компаний заключаются в следующем: единый свод правовых норм, что и удешевит их деятельность; служба «одного окна», т.е. компании и предприниматели будут иметь дело лишь с одним государственным органом и по месту своего нахождения (ст. 56 Регламента); применение норм права ЕС на территории ЕС, в том числе и в отношении предприятий, учрежденных в третьем государстве (ст. 3 Регламента); подход, учитывающий риски (например, п. 24 ст. 4, п. 2g ст. 23, ст. 25, 27, 30, 32, 33, 34), а также нормы, благоприятные для инновационной деятельности (например, ст. 25)⁴⁶Регламент гарантирует защиту данных, присвоенных товарам и услугам начиная с первой стадии их создания.. Необходимо также подчеркнуть, что составители Регламента учли и интересы малых и средних предприятий. В частности, ст. 30 содержит исключение в отношении ответственных за обработку данных или их представителей по ведению реестра видов деятельности по обработке данных, под которое и подпадают организации с менее чем 250 работниками. К ним не применимы при определенных условиях требования по ведению подобного реестра⁴⁷См. подробнее п. 5 ст. 30 Регламента..

Регламент призван гарантировать юридическую безопасность и прозрачность для экономических операторов, включая малые и средние предприятия, и предоставлять физическим лицам из всех государств-членов ЕС одинаковый объем прав и обязанностей, а для лиц и органов, осуществляющих обработку данных, — одинаковый уровень ответственности. Регламент также необходим как для обеспечения последовательного контроля за обработкой персональных данных и применения эквивалентных санкций во всех государствах-членах ЕС, так и для эффективного сотрудничества органов контроля из разных государств-членов ЕС⁴⁸См.: Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) // OJ L 119, 4.5.2016. Р. 1–88.. Реформа позволит гражданам в большей степени осуществлять контроль над своими персональными данными, а предприятиям, особенно средним и малым, извлечь выгоду из возможностей, создаваемых унификацией норм по регулированию единого цифрового рынка при сокращении административных формальностей и увеличения доверия потребителей, а также создаст условия для инновационной деятельности. Интересно, что новые нормы о защите данных будут применяться не только к компаниям, учрежденным в рамках ЕС, но и к иностранным компаниям, которые предоставляют услуги и поставляют товары гражданам ЕС или занимающиеся мониторингом.

Директива 2016/680 (далее — Директива) содержит нормы, направленные на защиту физических лиц в связи с обработкой персональных данных компетентными властями в целях предотвращения, расследования, задержания или судебного преследования в связи с совершением (уголовных) преступлений или исполнения уголовного наказания, включая защиту от угроз общественной безопасности и их предотвращение. Следуя положениям Директивы, государства-члены должны защищать основные права и свободы физических лиц и, в особенности, их право на защиту персональных данных, а также должны обеспечивать, чтобы обмен персональными данными между компетентными властями в рамках ЕС (который требуется согласно праву ЕС или праву государства-члена) не был ни ограничен, ни запрещен по причинам, связанным с защитой физических лиц при обработке их персональных данных.

Отметим, что, в частности, понятие персональных данных и их обработки такое же, как и в анализируемом выше Регламенте. Под компетентными властями понимаются: 1) любые органы государственной власти компетентные по вопросам, входящим в сферу действия Директивы; 2) любые иные органы или учреждения, которым правом государства-члена доверено осуществлять государственную власть⁴⁹Англ. «public authority» and «public powers», франц. «l’autorité publique et des prérogatives de puissance publique». в соответствующих сфере действия Директивы целях. Директива должна обеспечить высокий уровень защиты персональных данных подозреваемых, лиц, признанных виновными, известных или предполагаемых жертв преступлений, свидетелей⁵⁰Особенностью данной Директивы, в частности, является закрепленное различие между данными разных категорий лиц (ст. 6)., а также упростить обмен информацией и иное сотрудничество между полицейскими и судебными властями разных государств-членов ЕС. Последнее, в частности, должно способствовать повышению эффективности борьбы с преступностью, включая борьбу с терроризмом. В соответствии с положениями Директивы любая обработка данных органами правопорядка должна соответствовать принципам законности, необходимости, пропорциональности, а также предусматривать гарантии для физических лиц. К слову, принципы обработки данных, закрепленные в Директиве (ст. 4), идентичны принципам, перечисленным в Регламенте. Контролировать обработку данных должны независимые национальные структуры, в обязанности которых входит защита данных, и при этом должно быть предусмотрено эффективное обжалование в судебном порядке (ст. 47 Директивы).

Таким образом, принятие Регламента и Директивы — большой шаг вперед на пути соблюдения права физического лица на защиту персональных данных⁵¹См., напр.: 2016 Report on the Application of the EU Charter of Fundamental Rights. European Commission. 18.5.2017 COM(2017) 239 final, 51[Электронный ресурс]: // URL: http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52017DC0239&qid=1499974282687 &from=EN (дата обращения: 15.07.2017), что должно позитивно сказаться на функционирования внутреннего рынка ЕС.

Право на защиту персональных данных в практике Суда Европейского Союза

Суд ЕС неоднократно подчеркивал необходимость защиты основных прав человека, а также соблюдение их баланса в эпоху цифровых технологий. В отчетах Комиссии по применению Хартии ЕС об основных правах в том числе приводятся суть дел и решения Суда ЕС по вопросам защиты персональных данных. Так, например, согласно отчетам за 2014,2015 и 2016 годы⁵²2014 report on the application of the EU Charter of Fundamental Rights. European Commission [Электронный ресурс] // URL: http://ec.europa.eu/justice/fundamental-rights/files/2014_annual_charter_report_en.pdf (дата обращения: 21.04.2017); 2015 report on the application of the EU Charter of Fundamental Rights European Commission [Электронный ресурс]:// URL: http://ec.europa.eu/justice/ fundamental-rights/files/2015_charter_report_full_version_en.pdf (дата обращения: 21.04.2017); 2016 Report on the Application of the EU Charter of Fundamental Rights. European Commission. 18.5.2017 COM(2017) 239 final, 52., Суд ЕС вынес решения по следующим делам: С-293/12 and С-594/12 Digital Rights Ireland and Karntner Landesregierung⁵³Joined Cases C-293/12 and C-594/12: Digital Rights Ireland Ltd (C-293/12), Kärntner Landesregierung (C-594/12) // OJ C 175, 10.6.2014. Р. 6–7.; C-131/12 Google Spain and Google⁵⁴Case C-131/12 Google Spain SL, Google Inc. v Agencia Española de Protección de Datos (AEPD), Mario Costeja González // OJ C 212, 7.7.2014. Р. 4–5., C-212/13 Rynes⁵⁵Case C-212/13 František Ryneš v Úřad, 11 December 2014 (request for a preliminary ruling from the Nejvyšší správní soud — Czech Republic) // OJ C 46, 9.2.2015. Р. 6–6., Case C-288/12 Commission v Hungary⁵⁶Case C-288/12 European Commission v Hungary, 8 April 2014 // OJ C 175, 10.6.2014. Р. 6–6., C-362/14 Max Schrems⁵⁷Case C-362/14 Maximillian Schrems v Data Protection Commission, 6 October 2015, ECLI identifier: ECLI:EU:C:2015:650., C-230/14 Weltimmo⁵⁸Case C-230/14 Weltimmo s.r.o. v Nemzeti Adatvédelmi és Információszabadság Hatóság, 1 October 2015 (request for a preliminary ruling from the Kúria — Hungar)y // OJ C 381, 16.11.2015. Р. 6–7., C-446/12 W.R Willems v Burgemeester van Nuth⁵⁹Joined Cases C-446/12 to C-449/12 W.P. Willems and Others v Burgemeester van Nuth and Others, ECLI identifier: ECLI:EU:C:2015:238., Case C-201/14 Bara and Others⁶⁰Case C-201/14 Smaranda Bara and Others, 1 October 2015, Digital reports (Court Reports — general), ECLI identifier: ECLI:EU:C:2015:638., Case C-419/14 WebMindLicenses⁶¹Case C-419/14 WebMindLicenses kft, 17 December 2015. ECLI identifier: ECLI:EU:C:2015:83., C-203/15 Tele2 Sverige AB и C-698/15 Tom Watson⁶²Joined Cases C-203/15 and C-698/15: Tele2 Sverige AB v Postoch telestyrelsen (C-203/15), Secretary of State for the Home Department v Tom Watson, Peter Brice, Geoffrey Lewis (C-698/15), 21.12.2016 // OJ C 53, 20.2.2017. Р. 11–12..

В решении по объединенному делу С-293/12 u С-594/12 Digital Rights Ireland Суд признал недействительной Директиву 2006/24 о хранении данных, созданных или обработанных в связи с предоставлением общественно доступных электронных услуг связи или общественных сетей связи⁶³Directive 2006/24/EC of the European Parliament and of the Council of 15 March 2006 on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks and amending Directive 2002/58/EC // OJ L 105, 13.4.2006. Р. 54–63., поскольку она в нарушение принципа пропорциональности ограничивала право на частную жизнь и право на защиту персональных данных. В соответствии с положениями Директивы государства-члены должны были обеспечить, чтобы поставщики телекоммуникационных услуг сохраняли данные о трафике и местонахождении их потребителей от шести месяцев до двух лет и предоставляли доступ к ним по запросу органов власти в целях расследования и выявления серьезных преступлений, а также преследования лиц за их совершение.

Интересно также дело С-362/14 Max Schreins, которое касалось принятого Комиссией решения на основании п. 6 ст. 25 Директивы 95/46, позволяющего передавать персональные данные в третью страну (в рассматриваемом случае — в США). Это было возможно, поскольку Комиссия посчитала, что в США имеет место адекватный уровень защиты, учитывая национальное право или международные договоры. Передача персональных данных ирландским филиалом компании «Фейсбук» серверам в США и приемлемость их защиты были оспорены в национальном суде Ирландии. Это было, в том числе, связано с обнародованием информации о слежении, проводимом разведывательными службами США в 2013 году. В итоге Суд ЕС признал соответствующее решение Комиссии недействительным.

В 2016 году Суд ЕС продолжил (в рамках преюдициальных запросов) направлять деятельность судей национальных судов по применению и толкованию Хартии. Так, при рассмотрении объединенных дел С-203/15 Tele2 Sverige АВ и С-698/15 Тот Watson Суд изучал законодательные акты двух государств-членов ЕС, согласно которым данные всех подписчиков и зарегистрированных пользователей о трафике и местонахождении, касающиеся любых средств электронной связи, должны храниться на общих и недискриминационных началах. Суд пришел к выводу, что данные законы ограничивают основные права на частную жизнь и защиту персональных данных. Эти ограничения не были признанны объективно оправданными в силу их многочисленности, а также малого объема предусмотренных гарантий, даже когда их целью выступала борьба с серьезными преступлениями. Однако все же подобная цель может выступать основанием для хранения таких данных при условии, что оно будет ограничено рамками строго необходимого. То есть храниться могут только определенные категории данных, относительно указанных видов средств связи, данные конкретных лиц, а также в течении фиксированного срока.

Таким образом, Суд неоднократно напоминал институтам ЕС и государствам-членам об их обязанности соблюдать положения Хартии ЕС об основных правах, закрепляющие право на защиту персональных данных.

Также необходимо коснуться решения Суда ЕС, связанного с применением актов права ЕС, гарантирующих защиту персональных данных, к компании, место учреждения и место деятельности которой различны⁶⁴О свободе учреждения см.: ст. 49–55 ДФЕС; Кашкин С.Ю., Жупанов А.В. Юридические лица в праве Европейского союза: организационно-правовые аспекты регулирования корпоративных отношений // Lex russica. 2013. № 7; Benyon F. Direct Investment, National Champions and EU Treaty Freedoms. From Maastricht to Lisbon. Oxford, 2011.. В деле С-230/14 Weltimmo одноименная компания, зарегистрированная в Словакии, управляла веб-сайтом, ориентированным на совершение сделок с недвижимым имуществом на рынке Венгрии, была лицом, ответственным за обработку персональных данных рекламодателей. Она игнорировала запросы последних об уничтожении данных и была за это оштрафована венгерскими властями. Weltimmo считала, что не может быть оштрафована на основании права Венгрии, поскольку была учреждена в Словакии. Суд ЕС пришел к выводу, что понятие «учреждение» необходимо толковать в свете целей Директивы 95/46, касающейся защиты данных. Не имеет значения, в каком государстве-члене ЕС компания была учреждена, но важно, в каком государстве она осуществляет реальную и эффективную деятельность через постоянную организационную структуру⁶⁵Таким образом, здесь не стоит вопрос о «национальности» компании, которая определяется на основании или критерия инкорпорации, или административного центра. В ЕС абсолютное большинство государств-членов придерживаются критерия административного центра и лишь Великобритания, Ирландия, Нидерланды и Дания — критерия инкорпорации, что создает препятствия для реализации свободы учреждения в рамках внутреннего рынка ЕС.. Суд ЕС постановил, что компания Weltimmo осуществляла такую деятельность на территории Венгрии и соответственно с нее правомерно взыскан штраф на основании права Венгрии.

Укрепление защиты персональных данных непосредственно влияет на эффективность реализации экономических свобод внутреннего рынка. Интересно проследить, каким будет это влияние, когда реформа правового регулирования защиты персональных данных войдет в активную фазу.

Библиография

1. Журавлев М.С. Защита персональных данных в телемедицине // Право. Журнал Высшей школы экономики. 2016. № 3. С. 72-84.


2. Исполинов А.С. Поиск баланса между свободами внутреннего рынка и правами человека в судебной практике ЕС //Журнал зарубежного законодательства и сравнительного правоведения. 2012. № 6. С. 38-49.


3. Кашкин С.Ю., Жупанов А.В. Юридические лица в праве Европейского союза: организационно-правовые аспекты регулирования корпоративных отношений // Lex russica. 2013. № 7. С. 718-734.


4. Мюллер-Графф П.-К. Лиссабонский договор в системе первичного права Европейского Союза / пер. с нем. Юмашева Ю.М. // Право. Журнал Высшей школы экономики. 2008. № 1. С. 80-99.


5. Хартия Европейского Союза об основных правах: комментарии / под ред. С.Ю. Каш- кина. М.: Юриспруденция, 2001. 208 с.


6. Юмашев Ю.М. Правовое регулирование европейского внутреннего рынка // Московский журнал международного права. 2013. Т. 91. № 3. С. 154-176.


7. Bennett С., Raab С. The Governance of Privacy: Policy Instruments in Global Perspective. London, 2003. 382 p.


8. Benyon F. Direct Investment, National Champions and EU Treaty Freedoms. From Maastricht to Lisbon. Oxford, 2010.144 p.


9. Blume P. Transborder Data Flow: Is There a Solution in Sight? // 8 Int’l J L and Info Technology. 2000. P. 65-86.


10. Carey P. Data Protection: A Practical Guide to UK and EU Law. Oxford, 2004. 532 p.


11. Craig R, de В Circa G. EU Law. Text, Cases and Materials. Oxford, 2015. 1198 p.


12. Hordern V. The final GDPR text and what it will mean for health data / Chronicle of Data Pr otection, 20 January 2016. https://www.hldataprotection.eom/2016/01/articles/health- privacy-hipaa/the-final-gdpr-text-and-what-it-will-mean-for-health-data/ (дата обращения: 20.01.2018)


13. Kong L. Data Protection and Transborder Data Flow in the European and Global Context // The European Journal of International Law. 2010. No. 2. P. 441-456.


14. Mayer F. Europe and the Internet: The Old World and the new medium // The European Journal of International Law. 2000. Vol. 11. N 1. P. 149-169.


15. Wong R., Savirimuthu J. All or Nothing: This is the Question? The Application of Article 3(2) Data Protection Directive 95/46/EC to the Internet // Journal of Computer & Information Law. Issue 2. P. 241-266.