Трансграничная передача персональных данных

Соответственно, вопросы определения понятия трансграничности, установления уровня защиты персональных данных в определенном государстве не стоят перед законодателем и правоприменителем Канады, так как уровень защиты устанавливается относительно любой передачи персональных данных третьим лицам, гарант обеспечения этого уровня - индивидуальная ответственность оператора. Относительно уровня защиты, который должен быть обеспечен при передаче третьему лицу, Руководство поясняет, что при передаче персональных данных за пределы территории Канады обеспечиваемый уровень защиты не обязательно должен быть идентичен уровню, установленному законодательством Канады, но должен быть в целом эквивалентен ему. Как мы видим, рассматриваемый подход позволяет избежатьмножество подводных камней, которые можно обнаружить в актах, построенных на основании географического подхода: во-первых, исключается необходимость установления зыбких критериев «адекватности» применительно к законодательству иностранного государства; во-вторых, политические аспекты включения государств в список «адекватных» так же не играют какой-либо роли.

Выделив основные черты каждого из подходов, представляется возможным обратить внимание на их преимущества и недостатки.

Преимущества географического подхода, такие как установление высокого уровня защиты прав субъектов персональных данных в качестве стандарта, контроль со стороны государства, а также установление ограничений, направленных на обеспечение защиты персональных данных, в то же время определяют его недостатки. Так, установление большого количества ограничений в вопросах трансграничной передачи персональных данных может быть признано необоснованным многими представителями научного и бизнес сообщества, так как такие ограничения во многом затрудняют экономическую деятельность и, следовательно, влекут за собой дополнительные расходы, сказывающиеся на субъектах персональных данных . К тому же существующие критерии оценки законодательства для выявления «адекватности» предоставляемой им защиты во многом продиктованы политическими соображениями, это подтверждается практикой расширения ЕС перечня государств, обеспечивающих «адекватный уровень» защиты персональных данных, на примере Японии (первично соглашения экономического характера), а также включение в этот перечень США (в рамках отдельного соглашения PrivacyShield) . Географический подход характеризуется высоким уровнем государственного контроля за трансграничной передачей персональных данных, что, с одной стороны, является гарантией защиты прав субъектов персональных данных, с другой стороны, такой контроль может достигать излишне протекционистских масштабов и негативно влиять как на экономическую деятельность, так и на повседневную жизнь субъектов (примером здесь может служить требование о локализации персональных данных, установленное ч. 5 ст. 18 Федерального закона «О персональных данных», а также жесткие требования о контроле каждой операции по трансграничной передаче персональных данных, которые вскоре могут быть установлены в КНР ).

В то же время, организационный подход предполагает минимальный контроль за трансграничной передачей персональных данных, приравнивая ее к передаче данных внутри государства, опираясь на гражданско-правовые средства (условия договора, локальные нормативные акты и т.д.), что, с одной стороны, не образует чрезмерных преград для экономической деятельности и обмена информацией, но, с другой стороны, создает опасность злоупотребления предоставленной операторам свободой.

На данном этапе, основываясь рассмотренных особенностях обоих подходов принять решение о том, какой из подходов в большей степени соответствует основной цели регулирования (защите прав субъектов персональных данных) и при этом не устанавливает чрезмерных и излишних ограничений в отношении обмена информацией, невозможно. Для более глубокого анализа далее рассмотрим географический подход, в частности устанавливаемые им ограничения в отношении осуществления трансграничной передачи. Выбор географического подхода обусловлен двумя факторами: (1) как уже отмечалось ранее, организационный подход не предполагает установления дополнительных ограничений к трансграничной передаче данных; (2) географический подход закреплен как в законодательстве Российской Федерации, так и регулировании Европейского союза. При этом детальное рассмотрение устанавливаемых в рамках географического подхода ограничений позволит более детально проанализировать механизм регулирования.

2.2 Основные ограничения, устанавливаемые в отношении трансграничной передачи персональных данных

Как отмечалось ранее, географический подход к регулированию трансграничной передачи персональных данных выстраивает систему особых ограничений осуществления такой передачи.Данные ограничения определяют несколько «уровней защиты», непосредственно связанных с рассмотренным ранее понятием «адекватной защиты».

Первый уровень устанавливает упрощенный режим передачи персональных данных в страны, обеспечивающие адекватный уровень защиты прав субъектов персональных данных. Передача персональных данных на территорию таких стран не требует соблюдения оператором дополнительных требований (получения письменного согласия на трансграничную передачу или наличия особых условий, предусмотренных законом). Отсутствие специальных требований и дополнительных формальностей раскрывает смысл рассмотренного ранее понятия «адекватная защита»: передача персональных данных на территорию данных государств, де-юре, является трансграничной, но, де-факто, не отличается от передачи персональных данных внутри государства, адекватный уровень защиты создает единое с точки зрения передачи данных пространство.

Ответственность за определение адекватности установленной в иностранном государстве защиты лежит на государстве, в результате чего оператор перед осуществлением трансграничной передачи обязан осуществить только формальную проверку государства-импортера на включение его в перечень стран, обеспечивающих «адекватную защиту» прав субъектов персональных данных (данная обязанность оператора, в частности, закреплена в ч. 3 ст. 12 Федерального закона «О персональных данных»). Помимо указанной выше, в соответствии с законодательством большинства государств, на оператора не возлагаются дополнительные обязанности или ограничения при трансграничной передаче персональных данных.

Следующий«уровень защиты» предполагает установление условий, при соблюдении которых оператор может осуществить передачу персональных данных на территорию государства, не включенного в перечень государств, обеспечивающих «адекватный уровень защиты» персональных данных. Перечень условий, необходимых для осуществления такой передачи, в различных государствах может варьироваться.

Для сравнения действующих ограничений рассмотрим Федеральный закон «О персональных данных» и Общий регламент, действующий на территории Европейского союза. Первым условием, позволяющим осуществить передачу персональных данных в государство, не обеспечивающее адекватный уровень защиты прав субъектов персональных данных, является согласие субъекта на такую передачу. При этом, в соответствии с п. 1 ч. 4 ст. 12 Федерального закона «О персональных данных» такое согласие должно быть выражено в письменной форме, в то же время п. 1(а) ст. 49 Общего регламента указывает на необходимость «выраженного в явной форме согласия» (“thedatasubjecthasexplicitlyconsented” ). При этом Европейским союзом установлена дополнительная обязанность оператора проинформировать субъекта о существующих рисках передачи его персональных данных на территорию данного государства (к числу таких рисковможно отнести, например, отсутствие отдельного регулирования (Саудовская Аравия )).

Следующее условие, встречающееся в обоих актах - это осуществление трансграничной передачи во исполнение договора, стороной которого является субъект персональных данных (п. 4 ч. 4 ст. 12 ФЗ «О персональных данных», п. 1(b) ст. 49 Общего регламента). Причем Общий регламент, как и в случае с первым рассмотренным условием, содержит более детальное регулирование, разрешая передачу персональных данных для осуществления преддоговорных мер по запросу субъекта, а также во исполнение договора, заключенного в интересах субъекта между оператором и иными физическими и юридическими лицами (п. 1(c) ст. 49). Таким образом, Общий регламент расширяет (по сравнению с законодательством Российской Федерации) возможности для трансграничной передачи персональных данных в рамках договорных правоотношений, что, вероятно, компенсируется жесткими требованиями к обеспечению безопасности обработки персональных данных.

Еще одним условием, закрепленным в рассматриваемых актах, является защита жизни и здоровья субъекта («или иных лиц» относительно Общего регламента) в случае, если субъект не может дать согласие («в письменной форме» относительно ФЗ «О персональных данных»). Как мы видим, Общий регламент и в данном случае несколько расширяет действие условия по сравнению с подходом, закрепленным в российском законодательстве.

Иные условия, при наличии которых оператор имеет право осуществлять трансграничную передачу персональных данных в государства, не обеспечивающие «адекватный уровень защиты» прав субъектов персональных данных, в Общем регламенте и ФЗ «О персональных данных» не совпадают. Так, законодатель не включил в ст. 12 Федерального закона возможность трансграничной передачи персональных данных для целей осуществления правосудия (п. 1(e) ст. 49 Общего регламента), в то время как Общий регламент не предусматривает возможность передачи в случаях, предусмотренных международным договором (п. 2 ч. 4 ст. 12 ФЗ «О персональных данных»). Также рассматриваемые акты содержат специфические условия, характерные для законодательства конкретного государства.

Таким образом, можно отметить, что условия, позволяющие осуществлять трансграничную передачу персональных данных в государства, не обеспечивающие адекватный уровень защиты, в различных юрисдикциях хоть и обладают определенной спецификой в части детализации, но в целом совпадают. Конечно, сравнение регулирования, установленного в Европейском союзе и в России, недостаточно, чтобы утверждать о формировании единого подхода, но указывает на определенную степень гармонизации законодательства о персональных данных в вопросе возможности трансграничной передачи в государства с «неадекватным уровнем защиты».

Также, в соответствии с законодательством Российской Федерации, в случаях, когда потенциальная трансграничная передача осуществляется не в государство с «адекватным уровнем защиты», а также в отсутствие рассмотренных ранее условий такая передача не может быть осуществлена. Таким образом, регулирование трансграничной передачи данных в российском законодательстве концентрируется на определении случаев, в котором такая трансграничная передача может быть осуществлена, при этом перечень данных случаев ограничен законом и слабо детализирован. Модель регулирования, предполагающая установление рассмотренных ранее «уровней защиты», в том виде, в котором она представлена в Федеральном законе «О персональных данных», с одной стороны, является простой (установлено только два «уровня защиты»), но, с другой стороны, простота данной модели определяет ее негибкость.

Для сравнения, Общий регламент предполагает также возможность трансграничной передачи в случае, если оператор или обработчик предприняли определенные меры для защиты прав субъектов персональных данных (“appropriate safeguards”). Общий регламент не устанавливает, при этом, строгих требований к подобным мерам, приводя в п. 2 ст. 46 лишь их примерный перечень. Также трансграничная передача персональных данных при отсутствии указанных в Общем регламенте условий все еще может быть осуществлена в исключительных случаях при обязательном уведомлении контролирующих органов (пар. 2 п. 1 ст. 49 Общего регламента). То есть при внедрении общего географического подхода к регулированию трансграничной передачи персональных данных, характерного для европейского регулирования, модель, установленная Общим регламентом, включает в себя также элементы операционного подхода. Внедрение указанных выше положений теоретически предоставляет возможность участникам рынка (операторам и обработчикам) осуществлять необходимую для их деятельности обработку персональных данных в отсутствие иных условий путем внедрения стандартных положений в договоры, принятия стандартизированных локальных актов и т.д. Это позволяет операторам и обработчикам персональных данных избежать использования негибких и громоздких конструкций, усложняющих деятельность компании в условиях современного рынка. Однако стоит помнить, что предоставление определенной автономии в вопросах осуществления трансграничной передачи данных компенсируется установлением широкого перечня требований и высоких стандартов защиты персональных данных, что на практике может минимизировать положительный эффект рассмотренных положений Общего регламента.

В научной литературе нередко высказывалось мнение о том, что одним из основных и наиболее проблемных ограничений трансграничной передачи персональных данных выступает установленное в некоторых государствах требование о локализации персональных данных, обрабатываемых в сети «Интернет». Локализацию персональных данных нередко также называют «барьером дляцифровой торговли» . Локализация персональных данных - требование, напрямую не связанное с общими ограничениями трансграничной передачи персональных данных, устанавливаемыми в рамках географического подхода. В связи с этим влияние локализации на трансграничную передачу персональных данных можно охарактеризовать как косвенное. Однако данное требование в значительной степени ограничивает осуществление трансграничной передачи данных.

Под локализацией персональных данных без учета особенностей, установленных законодательством отдельных государств, подразумевается требование о хранении персональных данных граждан на территории государства, гражданами которого они являются . Подобные требования закреплены в законодательствах России, Австралии, Китая, Бразилии, Китае и многих других государств. Как отмечает У. Рейнрих, уровень распространения требований о локализации среди стран мира, начиная с 2010 г., стремительно возрастает , при этом увеличивается также количество стран, занимающих жесткую позицию в отношении локализации персональных данных своих граждан, что негативно сказывается на международном обмене данными.

Требования о локализации затрагивают различные категории персональных данных, при этом «локализация» включает в себя целый комплекс ограничений и запретов трансграничной передачи персональных данных, а также регулятивных норм, определяющих правила обработки данных. В зависимости от назначения локализации и общего направления регулирования защиты персональных данных в конкретном государстве требование о локализации может охватывать как конкретные категории персональных данных (например, закон Австралии распространяет требования о локализации только на данные из электронных медицинских записей ), так и все персональные данные граждан, обрабатываемые в сети «Интернет» (ярким примером здесь может служить требование ч. 5 ст. 18 Федерального закона «О персональных данных»), при этом требования могут распространяться как на отдельные категории операторов , так и на всех. Также отмечается, что ограничения, устанавливаемые в отношении трансграничной передачи персональных данных, могут затрагивать потоки данных, двигающиеся в обоих направлениях: на экспорт и импорт данных .

Установление запретов сопровождается, как в случае с Китаем, также введением жестких мер ответственности, стимулирующих операторов, в особенности иностранные компании, выбирать между прекращением деятельности на рынке данного государства или исполнением всех требований о локализации . Россия, переняв практику, активно использовавшуюся в КНР, также следует пути жестких ограничений и санкций, что только обострилось с вступлением в силу Федерального закона от 02.12.2019 № 405-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации» , увеличившего штрафы за нарушение требований о локализации персональных данных.

Локализация персональных данных вне зависимости от особенностей установленных ограничений влечет за собой очевидное ограничение свободного движения информации. Подобного рода ограничения влияют на хозяйственную деятельность участников рынка и значительным образом увеличивают расходы операторов и обработчиков персональных данных, предпринимаемые ими для соблюдения дополнительных требований (в случае с локализацией чаще всего компаниям требуются дополнительные технические ресурсы для хранения данных и обеспечения их сохранности). Устанавливая дополнительные барьеры и влияя на расходы операторов, локализация данных способствует росту цен на товары и услуги, так, по данным за 2016 г. компании, предлагающие услуги облачных сервисов, потратили около 35 миллиардов долларов в связи с необходимостью соблюдать требования о локализации (около 61 миллиона потребовалось для оптимизации систем хранения данных ). Более точные цифры приводит М. Бауэр, отмечая, что по данным по состоянию на 2014 г. общие потери частного сектора экономики в связи с требованиями о локализации в Китае составили 63 миллиарда долларов .

Очевидно, что требования о локализации персональных данных оказывают негативное влияние на экономику, препятствуя свободному обмену данными, а в результате удорожания процессов обработки персональных данных и невозможности (а также нежелания) соответствовать установленным требованиям многие компании покидают рынки стран, занявших излишне, на их взгляд, протекционистскую позицию по отношению к регулированию трансграничной передачи персональных данных. Стоит также отметить, что многие операторы считают расходы, связанные с соблюдением требований к трансграничной передаче персональных данных, чрезмерными и обременительными, указывается, что подобные требования в значительной степени затрудняют их хозяйственную деятельность .

Таким образом, в юрисдикциях с преимущественно географическим подходом к регулированию трансграничной передачи персональных данных выстраиваются определенные «уровни защиты», позволяющие осуществлять трансграничную передачу персональных данных. Понятие «адекватной защиты» является ключевым и образует определенное надгосударственное пространство, внутри которого трансграничная передача персональных данных осуществляется без выполнения дополнительных условий. Последующие уровни защиты требуют соблюдения или наличия различных условий для трансграничной передачи.

Учитывая рассмотренные ранее подходы к регулированию трансграничной передачи персональных данных и законодательные акты России, Европейского союза и Канады, можно указать на размывание границ между географическим и операционным подходами, ярким примером чего является Общий регламент. Безусловно, принятие одного акта не позволяет говорить о формировании полноценной тенденции, но предыдущий опыт распространения европейского подхода , а также практика имплементации положений Общего регламента в законодательство стран, не входящих в Европейский союз , определяет возможное направление развития dataprivacy.Cмешение регулятивных подходов, вероятно, позволит компенсировать недостатки каждого из них и адаптировать регулирование не только к современному уровню развития информационных технологий, но и также подготовить модель, способную оставаться актуальной для последующих этапов развития технологий и экономики.

Полагаем, что, с учетом проведенного анализа, можно установить, что географический подход к регулированию трансграничной передачи персональных данных, устанавливает, порой, избыточные ограничения и требования, в результате чего баланс между правом на свободный обмен информацией и правом на неприкосновенность частной жизнью нарушается в пользу последнего. При этом, несмотря на безусловную ценность и значение права на неприкосновенность частной жизни, чрезмерные ограничения обмена информацией способны оказать значительное негативное влияние на развитие экономики. Дополнительное ограничение в виде требования о локализации персональных данных, устанавливаемое в некоторых государствах, также негативно влияет на осуществление трансграничной передачи персональных данных и, как следствие, затрудняет развитие цифровой экономики. При этом значение требования о локализации для защиты прав субъектов персональных данных весьма неоднозначно, что позволяет сделать вывод о нецелесообразности подобных ограничений. Следовательно, при выработке сбалансированной модели регулирования трансграничной передачи персональных данных в России изменения должны коснуться не только непосредственно «традиционных» требований трансграничной передачи, но также локализации персональных данных, обрабатываемых в сети «Интернет».

На данном этапе становится очевидна необходимостьпересмотра закрепленного в настоящее время в законодательстве Российской Федерации подхода к регулированию трансграничной передачи персональных данных. При этом опыт иностранных государств позволяет определить перспективы развития российского законодательства в сфере персональных данных и установить возможные пути его развития.

2.3 Перспективы развития подходов к регулированию трансграничной передачи персональных данных в цифровую эпоху

Регулирование сферы защиты персональных данных, как уже было отмечено, является следствием развития и расширения содержания права человека на неприкосновенность частной жизни, утверждения этого права в качестве одного из основных и важнейших прав человека. Следовательно, перед законодателем всегда стояла задача защитить права и законные интересы человека в отношении его персональных данных. В результате на первый план, вполне закономерно, выступают субъекты персональных данных, в то время как в отношении действий операторов налагаются ограничения, направленные на защиту прав субъектов. Эта модель вполне соответствует привычной логике регулирования правоотношений и напоминает своей конструкцией регулирование отношений потребитель-предприниматель в той части, в которой одна сторона (физическое лицо) признается «слабой» и требующей дополнительной защиты.

Однако современное общество подразумевает осуществление постоянного обмена информацией, некоторые специалисты называют мир XXI века «информационной эрой» и указывают на то, что потоки обмениваемой информации и пути ее распространения практически невозможно отследить, также как невозможно точно установить объем передаваемой информации . В такой ситуации любые ограничения передачи персональных данных могут повлечь негативные экономические последствия как для операторов, так и для субъектов персональных данных. В связи с этим многие представители бизнеса, использующие персональные данные потребителей в повседневной хозяйственной деятельности, указывают на то, что установленные ограничения в отношении трансграничной передачи персональных данных напрямую ограничивают право на свободный обмен информацией , чего законодатель не отрицает. Так, при подготовке Закона Франции о защите персональных данных 1978 г. Луи Жуане отметил: «Задача законодательства о защите персональных данных - ограничить свободную передачу информации для того, чтобы обеспечить защиту столь же важному естественному праву человека [на неприкосновенность частной жизни]» .

Ограничение одного права для обеспечения защиты другого, вероятно, вынужденная мера, призванная защитить персональные данные человека в условиях активного использования информационных технологий и повышения уровня опасности нарушения неприкосновенности частной жизни. Однако встает вопрос, на правильном ли пути находится регулирование и насколько оправдано действующие ограничения.

При регулировании вопросов трансграничной передачи персональных данных в большинстве стран законодатель придерживается протекционистского курса, вводя различного рода ограничения подобной передачи. Рассмотренные ранее ограничения, характерные для географического подхода к регулированию трансграничной передачи персональных данных, приводят к тому, что экономическая нагрузка за обеспечение выполнения данных ограничений ложится как непосредственно на операторов, так и на самих субъектов персональных данных. При этом, несмотря на затраты законодателя, операторов и субъектов персональных данных, количество утечек персональных данных все еще находится на существенном уровне: в 2019 г. в результате утечек в открытом доступе были размещены около 14 млрд. записей персональных данных, из них около 170 млн. приходятся на Россию . При этом установление нового регулирования, в частности GDPR, не приводит к существенному снижению уровня утечек . Формальное соблюдение ограничений в отношении трансграничной передачи персональных данных не защищает субъектов от нарушений их прав.

При этом операционный подход к регулированию трансграничной передачи персональных данных, устанавливая общие высокие стандарты защиты персональных данных при их обработке и передаче (вне зависимости от того, осуществляется ли передача внутри государства или за его пределы), на наш взгляд, позволяет в большей степени соблюсти баланс между правом на свободный обмен информацией и правом на неприкосновенность частной жизни. Организационный подход, не налагая на оператора и иных лиц, обрабатывающих персональные данные, дополнительных обязанностей в связи с трансграничной передачей персональных данных. Все устанавливаемые в рамках операционного подхода требования относятся к обеспечению защиты прав субъектов персональных данных вообще, независимо от того, какие именно операции с персональными данными совершаются и куда они передаются. В результате обмен персональными данными не ограничен при обеспечении надлежащего уровня защиты прав субъектов персональных данных.

На данном этапе, рассмотрев основные характеристики географического и организационного подходов, можно сделать вывод о том, что преимущества географического подхода перед операционным не столь очевидны. Более того, операционный подход позволяет в большей степени соблюсти баланс между правом на свободный обмен информацией и правом на неприкосновенность частной жизни. В условиях глобализации установление единых (высоких) требований к обеспечению безопасности любой передачи персональных данных, на наш взгляд, более эффективно, чем установление ограничений трансграничной передаче персональных данных по географическому признаку. При этом критерий «адекватной защиты», применяемый в географическом подходе, позволяет оценить фактическую возможность защиты прав субъектов персональных данных, что является безусловным преимуществом данного подхода.

По нашему мнению, наилучшим и менее радикальным способом усовершенствования регулирования трансграничной передачи персональных данных в России и других странах со схожим регулированием является сочетание организационного и географического подхода по модели Общего регламента. Сохранение ограничений, установленных в настоящий момент, с учетом конкретизации критериев «адекватности» позволит оставить определенную степень государственного контроля за осуществлением трансграничной передачи персональных данных (через экспертизу иностранного законодательства). При этом ограничения передачи возможно компенсировать включением положений организационного подхода (подобным ст. 46 Общего регламента), устанавливающих, какой уровень защиты должен обеспечить оператор и лицо, которому персональные данные передаются, для передачи данных в государство с «неадекватным уровнем защиты прав субъектов». Многослойность и вариативность законодательного регулирования трансграничной передачи персональных данных позволит одновременно защитить права и законные интересы граждан без установления обременительных ограничений.

Особняком стоит вопрос целесообразности установления требования о локализации персональных данных. Формально необходимость введения подобного требования можно было бы обосновать через необходимость защиты прав граждан. Стоит отметить, что при введении требования о локализации персональных данных, обрабатываемых в сети «Интернет», в законодательство Российской Федерации цель введения данного требования в пояснительной записке не была обозначена. В свою очередь, представители юридического сообщества выделяют несколько возможных причин, способствовавших распространениютребований о локализации персональных данных . К ним относят стремление защитить граждан от незаконных посягательств со стороны американских спецслужб (в особенности посте знаменитой утечки 2013 г., напрямую связанной с именем Эдварда Сноудена) ; также локализацию персональных данных объясняют повышением удобства регулирования персональных данных (в связи с их доступностью на территории государства) ; также локализацию иногда связывают с защитой национального рынка .

Вне зависимости от мотивов введения требования локализация персональных данных, данное требование устанавливает серьезное ограничение для свободного обмена информацией и негативно влияет на возможность осуществления трансграничной передачи персональных данных. Представляется, что при условии установления детализированного регулирования и высоких стандартов защиты персональных данных участниками рынка требование о локализации в любой форме теряет свое значение и целесообразность. В результате государствам следует идти по пути исключения подобных требований из своего законодательства, как и советует ВТО .

Глава III. Ответственность за нарушение требований трансграничной передачи персональных данных

3.1 Виды юридической ответственности за нарушение требований трансграничной передачи персональных данных в России и за рубежом

Эффективность законодательного регулирования общественных отношений зачастую определяется наличием и характеристиками юридической ответственности за нарушение установленных требований. В этом отношении эффективность защиты персональных данных, вероятно, во многом зависит от установленных санкций. В связи с тем, что обработка персональных данных - внутренний процесс оператора, находящийся вне постоянного контроля со стороны органов власти и субъектов персональных данных, гарантом исполнения оператором требований о защите персональных данных выступает его добросовестность. Гарантом иного рода выступает юридическая ответственность, играющая не только карательную и правовосстановительную, но и превентивную функцию (последняя, является, пожалуй, важнейшей функцией). В связи с этим сбалансированной модели регулирования трансграничной передачи данных недостаточно для полноценного обеспечения прав субъектов персональных данных: для этого необходимы эффективная и соразмерная ответственность.

Как российское, так и европейское законодательство пересматривают разнообразный комплекс мер ответственности, применяемых в случае нарушения требований в сфере защиты персональных данных. Несмотря на то, что в части видов ответственности европейское и российское законодательства различаются незначительно, однако их содержание, механизмы и потенциальная эффективность в значительной степени различны.

В качестве мер ответственности, встречающихся как в российском законодательстве, так и в европейском регулировании можно выделить гражданско-правовую , административную и уголовную ответственность. Рассмотрим подробнее каждый из указанных видов ответственности и закрепленные механизмы защиты прав субъектов персональных данных и возможность их применения за нарушение требований трансграничной передачи персональных данных.

Гражданско-правовая ответственность, пожалуй, является наиболее универсальной из всех закрепленных видов ответственности: субъект персональных данных наделяется правом возместить понесенные в связи с нарушением любых требований законодательства в сфере персональных данных убытки (п. 1(a) ст. 82 Общего регламента, ч. 2 ст. 24 Федерального закона «О персональных данных»). Следовательно, данный вид юридической ответственности применим и к случаям нарушения требований трансграничной передачи персональных данных. Однако следует отметить, что на практике эффективность данного вида ответственности может быть поставлена под сомнение. Основная проблема заключается в вопросе доказывания наличия у субъекта персональных данных имущественного вреда. В рамках российского регулирования применение ст. 15 Гражданского кодекса Российской Федерации для определения размера убытков при отсутствии устойчивой судебной практики ставит под сомнение возможность эффективного применения указанных положений в случае нарушения требований о трансграничной передаче персональных данных. К тому же в случае нарушения требований трансграничной передачи персональных данных у субъекта персональных данных могут отсутствовать убытки, что естественным образом исключает возможность их взыскания. Единственной возможностью для применения мер гражданско-правовой ответственности при отсутствии убытков может выступать компенсация морального вреда (ч. 1 ст. 24 Федерального закона «О персональных данных», § 4 гл. 59 Гражданского кодекса РФ), однако вопрос эффективности данного механизма в рамках практики российских судов ставится под сомнение все чаще.

Европейское регулирование также предусматривает возможность применения механизма гражданско-правовой ответственности при нарушении требований в сфере персональных данных, не ограничивая случаи применения данного вида ответственности. П. 1 ст. 83 Общего регламента предусматривает право субъекта получить компенсацию в случае причинения ему имущественного и неимущественного вреда. При этом бремя доказывания отсутствия вины оператора возлагается на самого оператора (п. 3 ст. 83), такой подход также принят в законодательстве Бразилии , во многом повторяющем положении Общего регламента в части ответственности. При этом, как и в случае российского подхода, для возмещения убытков в соответствии с европейским регулированием субъект также должен доказать наличие убытков и причинно-следственной связи . Единственным исключением из этого правила может служить Великобритания, в судебной практике которой высказывалась позиция о том, что субъект имеет право на компенсацию понесенных им убытков без доказывания их наличия в случае нарушения оператором требований в сфере защиты персональных данных . Однако данная позиция была высказана судом по отношению к конкретному нарушению требований о защите персональных данных (потеря контроля над данными), и перспективы ее применения к нарушению требований трансграничной передачи персональных данных остаются неопределенными.

Таким образом, единственным значительным отличием европейского подхода к гражданско-правовой ответственности за нарушение требований о защите персональных данных является закрепленное перераспределение бремя доказывания. При этом необходимость доказывания наличия убытков и причинно-следственной связи, как и в случае российского регулирования, ставит под сомнение эффективность применения данного вида ответственности в случае нарушения требований трансграничной передачи персональных данных. Представляется, что сфера применения гражданско-правовой ответственности при трансграничной передаче персональных данных серьезно ограничена и может применяться на практике в исключительных случаях.

Относительно уголовной ответственностиза нарушение требований трансграничной передачи персональных данных следует отметить, что в рамках Уголовного кодекса Российской Федерации не предусмотрено ответственности за нарушение указанных требований. Ст. ст. 137, 140 и 272 Уголовного кодекса Российской Федерации предусматривают специфический перечень преступлений, так или иначе связанных с персональными данными, в который не входит нарушение требований трансграничной передачи персональных данных. В то же время законодательство некоторых европейских государств предусматривают уголовную ответственность за более широкий перечень нарушений законодательства о персональных данных. В частности, Уголовный кодекс Сербии предусматривает ответственность в форме штрафа или лишения свободы сроком до года за неправомерный сбор и передачу персональных данных (ст. 146). Подобная формулировка позволяет применять меры уголовной ответственности также к случаям нарушения требований трансграничной передачи персональных данных. Стоит отметить, что наличие уголовной ответственности, на наш взгляд, является серьезным фактором, способствующим повышению сознательности со стороны операторов персональных данных персональных данных. Однако формулировки, предусмотренные Уголовным кодексом Сербии, предусматривают чересчур широкий перечень нарушений законодательства о персональных данных, совершение которых влечет уголовную ответственность. Представляется, что разумное применение инструмента уголовной ответственности необходимо сузить и конкретизировать круг нарушений, выделив возможность наступления уголовной ответственности за наиболее существенные нарушения требований трансграничной передачи персональных данных (например, неоднократная/систематическая передача персональных данных субъектов в государства, не обеспечивающие адекватный уровень защиты прав субъектов персональных данных).

Таким образом, с учетом рассмотренных трудностей применения механизма гражданско-правовой ответственности при нарушении требований трансграничной передачи данных и отсутствия уголовной ответственности наибольший интерес в условиях российского и европейского регулирования вызывает механизм административно-правовой ответственности. Механизмы привлечения к административной ответственности за нарушение требований законодательства о персональных данных в России и государствах Европейского союза, с одной стороны, имеют много общего, но, с другой, именно в разрезе административно-правовой ответственности можно проследить основные различия российского и европейского подхода.

3.2 Административная ответственность за нарушение требований трансграничной передачи персональных данных: роль и перспективы развития

Общей чертой российского и европейского регулирования вопроса административно-правовой ответственности является то, что главной (в европейском регулировании - единственной) мерой ответственности является административный штраф. Определенные черты сходства также можно найти при рассмотрении механизма взаимодействия субъектов персональных данных с уполномоченным органом: установлена возможность обращения субъектов и последующее проведение уполномоченным органом проверки .

Также европейское законодательство не содержит отдельных мер ответственности за нарушение требований об осуществлении трансграничной передачи персональных данных. С точки зрения административной ответственности за нарушение указанных требований может быть назначен административный штраф (ст. 83 Общего регламента). При этом п. 5(с) Общего регламента отдельно отмечает нарушения требований о трансграничной передаче персональных данных и относит их к группе наиболее серьезных правонарушений наряду с нарушением общих принципов обработки персональных данных. Нарушение требований о трансграничной передаче персональных данных предусматривает наложение наибольшего из предусмотренных Общим регламентов штрафов: до 20 000 000 евро или 4% годовой выручки компании (в зависимости от того, какая из указанных сумм больше). То есть в рамках европейского подходанарушение требований трансграничной передачи персональных данных относится кнаиболее серьезным нарушениям законодательства о персональных данных, что определяет особую значимость рассматриваемых требований.

Российское законодательство не содержит отдельных норм, устанавливающих административную ответственность за нарушение требований о трансграничной передаче персональных данных. При этом в российском регулировании нарушение норм трансграничной передачи данных также отдельно не поименовано в составе административного правонарушения. В настоящий момент за нарушение требований ст. 12 Федерального закона «О персональных данных» возможно привлечение к ответственности в соответствии с ч. 1 и 2 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях (далее - КоАП РФ). Состав правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ, предусматривает ответственность за обработку персональных данных в случаях, не предусмотренных законодательством в сфере персональных данных, или при обработке, несовместимой с целями сбора. Данный состав в виду абстрактных формулировок охватывает большое количество неправомерных действий и, в том числе, может включать в себя определенные нарушения ст. 12 Федерального закона «О персональных данных». Ч. 2 указанной статьи закрепляет ответственность за обработку персональных данных без согласия субъекта в письменной форме, то есть в нашем случае - за нарушение требований п. 1 ч. 4 ст. 12 Федерального закона «О персональных данных». При этом максимальные размеры штрафов, предусмотренных за совершение рассмотренных правонарушений, составляют 50 000 руб. и 75 000 руб. для юридических лиц соответственно. Очевидно, что уровень ответственности, предусмотренный российским законодательством, в значительной степени отличается от предусмотренного европейским законодательством. При этом зачастую экономические затраты операторов, связанные с выполнением требований о трансграничной передаче персональных данных, значительно превышают размер возможной ответственности.

Таким образом, в российском законодательстве в настоящий момент сложилась неблагоприятная ситуация: существующее в настоящий момент регулирование трансграничной передачи персональных данных не защищено от нарушений достаточными мерами ответственности. Гражданско-правовая ответственность ввиду вопросов доказывания и отсутствия позиции судебной практики может выступать в качестве эффективной меры ответственности только в исключительных случаях. Уголовная ответственность за нарушение указанных требований не предусмотрена, и ее введение, на наш взгляд, возможно только при условии совершенствования иных мер ответственности. Наиболее действенной мерой ответственности могла бы выступать административно-правовая ответственность, однако широта формулировок и незначительные размеры административных штрафов являются существенным недостатком. В первую очередь, для достижения баланса российской модели регулирования трансграничной передачи персональных данных необходимо пересмотреть и усовершенствовать административно-правовую ответственность за нарушение указанных требований.

В подобных условиях детализирование требований, внедрение в Федеральный закон «О персональных данных» фрагментов операционного подхода, а также уточнение понятия «адекватной защиты» может не привести к необходимому эффекту ввиду отсутствия эффективных санкций. Также стоит учесть, что отсутствие отдельного состава (или же включение нарушения ст. 12 Федерального закона в целом в состав) административного правонарушения также создает пробел в законодательном регулировании, грозящий оставить безнаказанными деяния, формально не попадающие под существующие общие составы правонарушений. Таким образом, для эффективного изменения регулирования в вопросе трансграничной передачи персональных данных необходимо также рассмотреть возможность введения отдельного состава административного правонарушения, а также повышение размера ответственности за предусмотренные законом правонарушения с учетом размера ответственности за правонарушения, предусмотренные ч. 8 и 9 ст. 13.11 КоАП РФ. При этом увеличение размера ответственности, на наш взгляд, способствует повышению уровня правосознательности операторов персональных данных, а выделение нарушения требований о трансграничной передаче персональных данных подчеркнет значимость данных требований и их вес.

Заключение

Подводя итог, следует отметить, что российское законодательство с сфере трансграничной передачи персональных данных слабо адоптировано к современным условиям и социальным практикам. Основы понятийного аппарата и регулирования, заложенные в начале 1980-х гг. в рамках Конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера, в настоящий момент уже не в полной мере соответствуют практике осуществления трансграничной передачи данных. При этом отрицать влияние информационных технологий на передачу и обработку персональных данных невозможно. Создавшийся разрыв между социальной действительностью и правовым регулированием не только ставит под сомнение эффективность существующих правовых норм, но также создает угрозу нарушения прав субъектов персональных данных. В таких условиях необходимость комплексного пересмотра регулирования трансграничной передачи персональных данных становится очевидной.

Модификация должна, по нашему мнению, в первую очередь коснуться определения трансграничной передачи персональных данных. В связи с тем, что трансграничная передача персональных данных в настоящее время преимущественно или полностью осуществляется с использованием информационных технологий (при этом зачастую для осуществления одной операции задействуется комплекс технических средств), легальное определение трансграничной передачи данных уже не соответствует действительности. Отметим, что легальное определение, использующее в качестве критерия трансграничности факт пересечения персональными данными границы государства, приспособлено, скорее, для линейных процессов трансграничной передачи данных, при которых достаточно просто определить путь данных. Более сложные с технической (но с повседневной) точки зрения процессы не всегда попадают под сферу действия существующего легального определения, в результате чего распространенные в настоящий момент процессы передачи персональных данных, фактически обладающие характером трансграничности, остаются в «серой зоне». К таким процессам можно отнести, например, передачу персональных данных посредством облачных технологий. При их использовании оператор имеет возможность, загрузив персональные данные в «облако», предоставить доступ к этим персональным данным иностранным организациям, при этом работа с этими данными может осуществляться также на «облаке», в результате чего данные могут не покинуть сервер первоначальной загрузки. Очевидно, что закрепленное в настоящий момент определение не позволяет квалифицировать описанную практику как трансграничную передачу персональных данных.

Для того, чтобы привести легальное определение трансграничной передачи персональных данных в соответствие с существующей практикой, возможно изменить существующее определение следующим образом: «трансграничная передача персональных данных - это передача и (или) предоставление доступа к персональным данным лицам, чья деятельность направлена на территорию иностранного государства, а также передача персональных данных международным организациям». Дополнение легального определения предоставлением доступа позволит расширить сферу действия норм о трансграничной передаче персональных данных на различные практики, при которых «передача» данных осуществляется нелинейно. Изменение основного критерия трансграничности с географо-политического (граница государства) на определенный круг лиц позволит осуществить защиту прав субъектов персональных данных в тех случаях, когда российские компании осуществляют свою деятельность на территории иностранных государств либо же их деятельность направлена на них и движение персональных данных внутри данных компаний может потенциально заключать в себя определенные риски сохранности персональных данных.

Следующий шаг на пути пересмотра комплекса норм о трансграничной передаче данных - дополнение, детализация и расширение норм ст. 12 Федерального закона «О персональных данных». Предполагается, что существующее в настоящий момент регулирование является недостаточным и устаревшим, также некоторая абстрактность норм (в частности, при определении адекватного уровня защиты прав субъектов персональных данных) создает правовую неопределенность. При внесении соответствующих изменений российский законодатель может опираться на опыт детализированного и гибкого регулирования, представленный в GDPR, в части определения критериев «адекватности» и внедрения механизмов организационного подхода.

Последний шаг - разработка более детального подхода к определению мер административной ответственности за нарушение требований о трансграничной передаче персональных данных. Зачастую безответственное отношение операторов к требованиям законодательства о персональных данных подкрепляется незначительным размером ответственности и недостаточностью составов административных правонарушений. В случае с нарушением требований к трансграничной передаче персональных данных предлагается выделить подобные нарушения в качестве самостоятельного состава административного правонарушения (в совокупности с комплексным изменением регулирования) в рамках ст. 13.11 КоАП РФ. Также, на наш взгляд, необходимо пересмотреть размер ответственности, закрепленный в ст. 13.11 КоАП РФ, и изменить его соразмерно размерам административных штрафов, предусмотренных ч. ч. 8 и 9 указанной статьи. Введение обособленного состава административного правонарушения, а также пересмотр размеров санкций может способствовать формированию более ответственного подхода к трансграничной передаче персональных данных среди операторов.

Таким образом, можно отметить, что, несмотря на активное развитие информационных технологий, изменение экономики и повседневной жизни общества, принятия законодательного регулирования в сфере передовых технологий, законодательство о персональных данных все еще остается одним из самых консервативных и непластичных. Изменение и совершенствование российского законодательства в вопросе трансграничной передачи персональных данных позволит не только защитить права субъектов персональных данных, но также может способствовать активному развитию информационного обмена и гармонизации регулирования в сфере персональных данных.

При этом в процессе развития нормативного регулирования трансграничной передачи персональных данных также следует иметь ввиду целесообразность устанавливаемых ограничений и их влияние на развитие экономики. В современных условиях необходимо обеспечить возможность защиты прав субъектов персональных данных, учитывая также потребности участников рынка и их зависимости от использования и трансграничной передачи персональных данных. На наш взгляд, в настоящий момент при выборе дальнейшего пути совершенствования регулирования трансграничной передачи персональных данных российский законодатель должен стремиться к установлению баланса между правами, интересамисубъектов персональных данных и участников рынка, что позволит создать гибкую и эффективную модель регулирования, следующую современным тенденциям в сфере информационных технологий и персональных данных.