Передача персональных данных третьим странам в соответствии с Генеральным регламентом о защите персональных данных

Размещено на http://www.allbest.ru/

Федеральное государственное автономное образовательное учреждение высшего образования национальный исследовательский университет

"Высшая Школа Экономики"

Факультет права

Выпускная квалификационная работа

Передача персональных данных третьим странам в соответствии с Генеральным регламентом о защите персональных данных

Линник Марина Витальевна

Москва 2019

План

Введение

Глава 1. Значение трансграничной передачи персональных данных

1.1 Понятие персональных данных

1.2 Правоотношения, связанные с использованием персональных данных в трансграничных правоотношениях

1.3 Правовые ограничения трансграничной передачи персональных данных

1.4 Возможные негативные эффекты правовых ограничений на трансграничную передачу персональных данных

Глава 2. Принципы и общие подходы права Евросоюза к трансграничной передаче данных

2.1 Путь к принятию Регламента

2.2 Основные принципы трансграничной передачи персональных данных, закрепленные в Регламенте

2.3 Порядок трансграничной передачи персональных данных

Глава 3. Соотношение законодательства Российской Федерации о персональных данных и Генерального регламента ЕС о персональных данных

Заключение

Библиографический список

Введение

В настоящее время, право на конфиденциальность и защиту персональных данных является частью фундаментальных прав человека на неприкосновенность частной жизни, которое признано в основных документах по правам человека. К одному из первых законов о неприкосновенности частной жизни можно отнести Закон о мировом судопроизводстве принятый в Англии 1361 годуСм. стр. 8 Banisar D., Davies, S. (1999). Privacy & human rights-an international survey of privacy laws and developments. // Journal of computer and information law. Vol XVIII p.112 (https://www.researchgate.net/publication/242448871_Privacy_human_rights-an_international_survey_of_privacy_laws_and_developments). Дата обращения 01.01.2019.. В дальнейшем право на неприкосновенность частной жизни продолжило развиваться. Оно прошло долгий путь до того, как стало охватывать тот круг прав, который понимается под правом на неприкосновенность частной жизни сейчас. В настоящее время право на неприкосновенность частной жизни закреплено в основных международных конвенциях о защите прав человека, в том числе в статье 12 Всеобщей декларации прав человека 1948 годаВсеобщая декларация прав человека (принята Генеральной Ассамблеей ООН 10.12.1948). // Российская газета. - 10.12.1998., а также в ст. 17 Международного пакта о гражданских и политических правах 1978 годаМеждународный пакт о гражданских и политических правах // Бюллетень Верховного Суда РФ, №12, 1994.. На региональном уровне эти права закреплены в статье 8 Конвенции 1950 года "О защите прав человека и основных свобод"Конвенция о защите прав человека и основных свобод от 04.11.1950 (с изм. от 13.05.2004). // Собрание законодательства РФ. - 08.01.2001. - №2 - ст. 163. и Статье 11 Американской конвенции о правах человекаАмериканская конвенция о правах человека (Заключена в г. Сан-Хосе 22.11.1969) Международные акты о правах человека. // Сборник документов. Изд. 2.- М.: Норма-ИНФРА-М, 2002. С. 867 - 886.. И сейчас право на неприкосновенность частной жизни интерпретируют таким образом, что оно включает право на конфиденциальность и защиту персональных данных.

Интернет, цифровые инновации, глобальная торговля поспособствовали увеличению обмена информацией, включая передачу персональных данных. Это, в свою очередь, поспособствовало развитию мировых тенденций к информационному обмену, информационным инновациям и монетизации персональных данных. Следовательно, возникла необходимость в новых правилах передачи и обработки персональных данных. Одним из таких инструментов является Генеральный регламент Евросоюза о защите персональных данных (в дальнейшем "Регламент"), который вступил в силу 25 мая 2018 годаRegulation (EU) 2016/679 of the European parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). // OJ L 119, 04.05.2016. Р. 1-88.. Регламент является самым современным законом о защите персональных данных, он привлек большое внимание общественности, исследователь и законодателей.

Настоящее исследование посвящено вопросам применения Регламента для передачи персональных данных в третьи страны, его влиянию на глобальный обмен данными и соотношению с российскими правовыми нормами в области защиты персональных данных.

Под передачей персональных данных в третьи страны в настоящем исследовании мы так же будем понимать трансграничную передачу персональных данных. Регламент использует понятие "передача в третьи страны", в российском законодательстве применим термин "трансграничная передача данных", в литературе так же используется термин "кросс-граничная передача Англ. "cross-border data transfer".". В целях настоящего исследования мы будем считать данные термины синонимичными, и использовать термин "трансграничная передача данных", и понимать его как передача персональных данных за пределы определенной юрисдикции.

Предмет исследования

Предметом настоящего исследования являются вопросы значения трансграничной передачи персональных данных для осуществления предпринимательской деятельности, вопросы правового регулирования трансграничной передачи персональных данных в третьи страны в рамках Регламента и его соотношения с российским законодательством о персональных данных, а также влияние таких регулятивных механизмов на предпринимательскую деятельность.

Цели и задачи

Цель настоящего исследования изучить и сравнить с законодательством Российской Федерации механизмы регулирования трансграничной передачи персональных данных, согласно Регламенту. А также, рассмотреть практическое значение трансграничной передачи персональных данных для предпринимательской деятельности и влияние правовых механизмов ограничения трансграничной передачи персональных данных на достижение баланса между правом на защиту персональных данных физических лиц и интересами субъектов предпринимательской деятельности. трансграничный правовой персональный

Для достижения цели исследования были поставлены следующие задачи:

? определить, как трансграничная передача персональных данных используется в торговле и бизнесе;

? определить значение трансграничной передачи персональных данных для бизнеса и торговли;

? определить правовое регулирование применимое трансграничной передачи персональных данных и их влияние на торговлю и бизнес;

? определить общие принципы, регулирующие передачу персональных данных в соответствии с Регламентом и специальные принципы в отношении трансграничной передачи;

? рассмотреть процедуру и правила, предусмотренные Регламентом, трансграничной передачи персональных данных в третьи страны, территории, или один или несколько секторов, или организаций в пределах этой третьей страны или в международную организацию, а также рассмотреть ответственность за нарушение положений Регламента.

? проанализировать и определить общие начала в регулировании трансграничной передачи персональных данных в Регламенте и законодательстве Российской Федерации.

Гипотеза

Регламент предусматривает различные методы защиты персональных данных при их трансграничной передаче и подробно регламентирует такую передачу. Регламент позволяет обеспечить баланс между правом на защиту персональных данных и интересами субъектов предпринимательской деятельности. Регулирование передачи персональных данных в ЕС и РФ, хотя и имеет схожее элементы, тем не менее различается и оказывает различный эффект на предпринимательскую деятельность.

Структура исследования

В первой главе исследования анализируется значение трансграничной передачи персональных данных для предпринимательской деятельности, рассматриваются основные правовые ограничения трансграничной передачи персональных данных и их влияние на торговлю, предпринимательскую деятельность и технологическое развитие.

Вторая глава посвящена подробному анализу положений Регламента о трансграничной передаче персональных данных. Эта часть определяет основные принципы трансграничной передачи персональных данных в рамках Регламента, методы регулирования такой передачи и ответственность за нарушение соответствующих норм.

Третья глава посвящена вопросу соотношения Регламент и российского законодательства, регулирующего вопросы защиты персональных данных.

Глава 1. Значение трансграничной передачи персональных данных

Субъекты предпринимательской деятельности ежедневно собирают огромные количество информации. Большая часть такой информации составляет персональные данные. Однако, среди информации есть и данные, которые нельзя определить, как персональные данные и, следовательно, их можно свободно передавать. Поэтому для начала необходимо определить, что входить в понятие "персональные данные". Определение персональных данных немного отличается в разных юрисдикциях и законах о защите персональных данных, например дискуссионным является вопрос относиться ли IP адрес к персональными данным См. стр. 14 Kuner C. (2011). Regulation of Transborder Data Flows under Data Protection and Privacy Law: Past, Present and Future // OECD Digital Economy Papers, №187, OECD Publishing. . В особенности отличается интерпретация того какие именно данные могут привести к идентификации физического лица Подробный комментарий к определению "персональные данные" см. https://ico.org.uk/media/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/what-is-personal-data-1-0.pdf.. Регламент определяет персональные данные как "Любые данные, которые относятся к идентифицированному или не идентифицируемому лицу (субъекту персональных данных). Идентифицируемое физическое лицо - это лицо, которое может быть идентифицировано, прямо или косвенно, в частности, путем ссылки на идентификатор, такой как имя, идентификационный номер, данные о местонахождении, онлайн-идентификатор или один или несколько факторов, специфичных для физической, физиологической, генетической, психической, экономической, культурной или социальной идентичность этого физического лица"Para 1, art. 4Regulation (EU) 2016/679..

Такое определение понятия "персональные данные" очень широкоеRinik. Ch. (2019) Data Trusts: More Data than Trust? The Perspective of the Data Subject in the Face of a Growing Problem. // International Review of Law, Computers & Technology, P. 1-22. https://www.tandfonline.com/doi/citedby/10.1080/17579961.2018.1452176?scroll=top&needAccess=true. и включает в себя данные субъекта персональных данных во всех сферах жизни, на практике в большинстве случаев не возникает сомнений, является ли информация персональными данными, но также часто возникают сложности в проведении четкой границы между персональными данными и иной информациейПодробный комментарий к определению "персональные данные" см. https://ico.org.uk/media/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/what-is-personal-data-1-0.pdf..

Тем не менее, можно выделить следующие группы персональных данных:

- официальные данные (имя, паспортные данные, данные страховых полисов, налоговых и социальных номеров, и т.д.);

- финансовые данные и номера банковских счетов;

- информация о здоровье и генетическая информация;

- биометрические данные;

- данные о местонахождении (адреса проживания, место работы, GPS и геолокация, IP-адреса и т.д.);

- демографические данные (возраст, пол, раса, национальность, материальный доход, сексуальные предпочтения, политическая и религиозная принадлежность);

- данные о деятельности или поведении (информация о поисковых запросах, посещаемых сайтах, информация о совершенных покупках).

Компании собирают персональные данные о своих клиентах различными способами, такими как социальные сети, мобильные телефоны, мобильные приложения, Интернет сайты, датчики приборов.

1.2 Правоотношения, связанные с использованием персональных данных в трансграничных правоотношениях

На данный момент объемы информационного обмена колоссальный. Сейчас у компании есть возможность отслеживать местоположение, социальные связи и транзакции большого количества людей. Эта информация представляет для компаний экономическую ценностьWakefield J (2013), Mobile phone data redraws bus routes in Africa // Официальный сайт телекомпании BBC. (http://www.bbc.com/ news/technology-22357748). Дата обращения 01.05.2019г.. "В мировой информационной экономике личные данные стали топливом, движущим большую часть текущей онлайн деятельности" Data protection regulations and international data flows: Implications for trade and development (2016) // UNCAD report, (https://unctad.org/en/PublicationsLibrary/dtlstict2016d1_en.pdf) дата обращения 01.05.2019.. Можно сказать, что персональные данные это новая валюта, которой пользуются компании. Особенно это можно заметить, рассмотрев деятельность поисковых систем или социальных сетей. Для многих компаний интернет-гигантов, таких как Alphabet, Amazon, Apple, Facebook, Microsoft - персональные данные являются стратегическим ресурсомLongley P., Cheshire J., Singleton A. (2018). Consumer Data Research.// Longley P., Cheshire J., Singleton A Introduction: Consumer Data Research - An Overview. London: UCLPress, pp. 8-11 (http://www.jstor.org/stable/j.ctvqhsn6.3) дата обращения 01.05.2019..

Конечно, не все компании используют персональные данные как непосредственное средство получения дохода. Однако сбор и анализ персональных данных клиентов позволяет компаниям, включая средние и малые предприятия, лучше понимать предпочтения своих клиентов, их платежные способности, а, следовательно, и адаптировать услуги и товары в соответствии с рынком.

Кроме того, компании, вовлеченные в международную розничную торговлю (Business to customer), не могут осуществлять свою деятельность без передачи персональных данных через государственные границы. Так, например, при онлайн-продажах необходима передача таких персональных данных как имя, физический IP адрес, финансовая информация и т. д.

Другой причиной является тот факт, что доступ к персональным данным для субъектов предпринимательской деятельности означает, что они могут лучше понимать своих клиентов, а, следовательно, существует поле для инновации. Так же сбор персональных данных предоставляет инфраструктуру для принятия индивидуальных и общественных решенийТам же, стр. 10..

Есть некоторые бизнес-процессы, которые существуют благодаря Интернету и зависят от и возможностей трансграничного обмена персональными данными. Выделим и рассмотрим наиболее важные из них: интернет вещей, большие данные и облачные вычисления.

Интернет вещей

В последнее десятилетие технология "Интернет вещей" получила масштабное развитие. Технология "Интернет вещей" подразумевает, что устройство используют встроенное программное обеспечение, которое связывается с другими устройствами и Интернетом.

Примеры таких устройств многообразны это автомобили, мониторы здоровья, охранные системы, бытовая техника, детские игрушки и т.д. Например, американский бренд "Under amour" производит кроссовки оснащенные технологией UA's Record Sensor™, которая позволяет отслеживать, анализировать и сохранять пройденный маршрут, а так же метрические данные о длине, скорости, силе шага и т.д.Under Armour®, Inc (2019) //Официальный сайт Under Armour®, Inc (https://www.underarmour.com/en-us/technology/ua-connected-shoes-set-up?iid=sig&iidasset=190201_HOVR_Infinite_SIG_Connected) Дата обращения 01/01/2019. Компания Volvo оборудует технологией "Интернет вещей" производимые ей машины. Система может передавать в режиме реального времени местоположение транспортного средства, оповещать о необходимости технической диагностики, может найти потерявшийся автомобильVolvo Car Corporation (2019) //Официальный сайт Volvo Car Corporation (https://www.volvocars.com/intl/why-volvo/human-innovation/future-of-driving/connectivity). Дата обращения 01/01/2019.. Интернет вещей так же может быть использован в промышленности и для оперирования различными машинами и механизмами.

"Интернет вещей" - это растущая технология, которая находит свое применение во многих областях экономики. Предполагается, что к 2026 году прирост на рынке данной технологии будет более 3 трлн. руб. в год. А уже к 2025 году в мире будет более 64 млрд. IoT-устройствNewman P. (Feb. 26, 2018) The Internet of Things 2018 Report: How the IoT is Evolving to Reach the Mainstream with Businesses and Consumers // BUS. INSIDER INTELLIGENCE (https://www.businessinsider.com/internet-of-things-report), дата обращения 01.05.2019г..

Технология "Интернет вещей" тесно взаимосвязана с облачными вычислениями и большими данными. Она бессмысленна без сбора персональных данных. При этом, для ее функционирования, необходимы огромные ресурсы и мощности, и свободный поток данных.

Тем не менее, устройства с технологией "Интернет вещей" вызывают многочисленные риски системной безопасности, риски несанкционированного доступа и неправомерного использования третьими лицами персональных данных, нарушение конфиденциальности персональных данных, которые усиливаться при трансграничной передачи данных в силу возникновения нестабильностей при передаче.

Например, оборудование частных домов умными устройствами, оснащенными технологией "Интернет вещей" может повлечь реальную угрозу личной безопасности. Третьи лица могут удаленно получить доступ к устройству оснащенного технологией "Интернет вещей", доступ к персональным данным, которые злоумышленники могут использовать в своих целяхFTC Staff Report: Internet of things: Privacy & Security in a connected world (Jan. 2015) // FTC IOT report. Р. 7-10. (https://www.ftc.gov/system/files/documents/reports/federal-trade-commission-staff-report-november-2013-workshop-entitled-internet-things-privacy/150127iotrpt.pdf), дата обращения 01.05.2019г.. Они могут получить доступ к внутренней компьютерной сети автомобиля без физического прикосновения к машинеТам же.. Или, например, получить доступ к чувствительным медицинским данным через программу настройки автоматических инсулиновых капсулТам же..Другой пример это несанкционированный доступ к персональным данным, собранным фитнес браслетом или подобным устройством, которое отслеживает местоположения потребителей, что может поставить под угрозу его физическую безопасность.

Сбор личной информации, привычек, мест и физических условий во времени может затем использоваться для определения физиологического и эмоционального состояния конкретной личности, его физической активности, настроения, стрессоустойчивости, типа личности; наличия биполярных расстройств, привычек, заболеваний, уровня финансового благополучия, а также демографических данных (пол, семейное положение, статус работы, возраст)Internet of Things. Privacy and Security in a Connected World. FTC Staff Report (January 2015), ссылаясь на Scott R. Peppet, Regulating the Internet of Things: First Steps Towards Managing Discrimination, Privacy, Security & Consent, 93 TEX. L. REV. 85, 115-16 (2014) (citations omitted) ("Regulating the Internet of Things").. Все эти данные непосредственным образом могут использоваться компаниями для принятия решений по кредитованию, страхованию, вопросам занятости.

Еще один риск для конфиденциальности заключается в том, что производитель или злоумышленник имеют возможность удаленного "подслушивания и подсматривания", вторгаясь в личное пространство при помощи технологии "Интернет вещей", что особенно не безопасно в отношении персональных данных несовершеннолетних См., напр.: The over-Connected Doll, a Toy Story Gone Awry (2018) //CMS Law (https://cms.law/en/FRA/Publication/The-over-connected-doll-a-Toy-Story-gone-awry). Дата обращения 01.01.2019..

Большие данные

Под большими данными понимают процесс сбора, хранения и обработки большого объема данных для выявления сложных закономерностей, тенденций и ассоциаций См., напр.:Holmes D.(2017) Big Data: A Very Short Introduction. // Oxford University Press. P.125 and

Zikopoulos P., Eaton Ch.(2011)Understanding Big Data: Analytics for Enterprise Class Hadoop and Streaming. McGraw Hill Professional, P. 176..

Большие данные могут помочь организациям повысить эффективность, увеличить доходы и сократить расходы. Большие данные могут быть использованы для прогнозирования цен, обнаружения мошенничества или для адаптации продукции и услуг к изменяющимся предпочтениям потребителей.

Тем не менее, использование аналитики больших данных может вызывать ряд правовых рисков в отношении прав субъектов персональных данных:

· данные могут быть изначально собраны или быть использованы для совершенно других целей, чем это официально декларировалось;

· методология больших данных противоречит принципу минимизации при сборе данных, собираются и хранятся "все" данные, поскольку они могут быть "полезны" в будущем;

· анализ и сбор больших данных требует использования неких правил и алгоритмов, которые не открыты или не прозрачны для публики;

· масштаб и ценность наборов данных неизбежно может привести к тому, что они могут быть целью для нарушения личной безопасности.

Облачные вычисления

Облачные вычисления - это практика использования сети удаленных серверов, размещенных в Интернете, для хранения, управления и обработки данных, вместо локального сервера или персонального компьютера.

Главное преимущество "облачных технологий" это возможность снизить расходы на программное обеспечение и оборудование. Такой часто используемый сервис как электронная почта, основывается на облачном хранилище. Так же большинство приложений для смартфонов работают за счет облачных технологий.

Одной из главных проблем и рисков облачных вычислений и трансграничной передачи персональных данных это надзор и наблюдение государственными органами тех стран, где находятся серверы и базы данных.

Доверие к технологии должно быть дополнено доверием к тем, кто производит технологии. Тем не менее, такое доверие может быть получено только в том случае, если у компании есть прозрачная политика в отношении использования персональных данных и при проектировании и разработке новых продуктов выбора такого изначальный дизайна, которые обеспечивает защиту персональных данных.Rossi F. (2019). Building trust in artificial intelligence.// Journal of International Affairs.№72(1). pp. 127-134. (https://www.jstor.org/stable/26588348). Дата обращения 01.01.2019. При внедрении технологии облачных вычислений, из-за специфики технологии, такую прозрачность сложно обеспечить

Таким образом, облачные вычисления, интернет вещей и большие данные - всего лишь некоторые примеры технологий, которые уже используются и приносят огромные выгоды, как компаниям, так и обществу. Но, в то же время, они несут огромные риски для безопасности и защиты персональных данных. Задача для режимов защиты персональных данных найти баланс между защитой и предотвращением наступления вредных последствий от трансграничной передачи персональных данных и потенциальными выгодами для развития инновационных технологий.

1.3 Правовые ограничения трансграничной передачи персональных данных

Как описано выше, трансграничная передача персональных данных играет важную роль для бизнеса и, в особенности, для торговли и рынка услуг. Но в силу ряда причин, таких как национальная безопасность и защита прав граждан, страны ограничивают и регулируют свободное перемещение персональных данных через границу. Недостаточная защита может создать негативные последствия для рынка, уменьшив доверие потребителей. Чрезмерно строгая защита может неоправданно ограничивать бизнес, с неблагоприятными последствиями для экономики.

На данный момент нет единой глобальной модели для управления вопросами защиты персональных данных, существующая система защиты персональных данных сильно фрагментирована. В разных странах используют разные методы и механизмы правового регулирования трансграничной передачи персональных данных. В некоторых странах вопросы трансграничной передачи персональных почти не регламентируется, например, в США.

В настоящий момент существует два основных способа осуществления контроля за трансграничным потоком персональных данных это локализация персональных данных и регламентация процедуры трансграничной передачи персональных данных.

Запрет трансграничной передачи персональных данных

Локализация - это одно из наиболее серьезных и распространенных препятствий для компаний, которые нуждаются в трансграничной передаче персональных данных для осуществления предпринимательской деятельности. Локализация данных предусматривает обязанность компании хранить данные локально или использовать только локальные серверы данных. Локализация данных требует от иностранных организаций создания центра обработки данных в рамках страны.

Обычно требования к локализации данных распространены в некоторых конкретных секторах экономики, в особенности сектор здравоохранения и сектор финансовых услуг. Такие законодательные положения есть в Брунее, Китае, Канаде (провинции Британская Колумбия и Новая Шотландия), Индии и Малайзии. Общие ограничения встречаются режеInformation Economy Report (2013) The Cloud Economy and Developing Countries // UNCTAD (https://unctad.org/en/PublicationsLibrary/ier2013_en.pdf). Дата обращения 01.01.2019.. Тем не менее, есть страны, где ввели общие правила локализации данных, среди них Венесуэла, Вьетнам, Индонезия, Нигерия и Россия. Некоторые другие страны (в частности Бразилия и Республика Корея) тоже планировали ввести аналогичных требования по локализации данных, но после консультирования с заинтересованными сторонами, в том числе субъектами предпринимательской деятельности решили установить иные способы регулирования трансграничной передачи персональных данных Data Flows Across Borders: Overcoming Data Localization Restrictions (March, 2019) // Institute of International Finance, (https://www.iif.com/Portals/0/Files/32370132_iif_data_flows_across_borders_march2019.pdf). Дата обращения 01.05.2019..

Регламентирующие процедуры, обеспечивающие дополнительные гарантии при трансграничной передаче персональных данных

По состоянию на 2013 год 99 стран приняли законодательные акты о защите персональных данных и конфиденциальности.Information Economy Report (2013) The Cloud Economy and Developing Countries // UNCTAD (https://unctad.org/en/PublicationsLibrary/ier2013_en.pdf) дата обращения 01.01.2019. В настоящее время Регламент в отношении защиты персональных данных, принятый Евросоюзом считается одним из наиболее строгих актов в этой сфере. В следующей главе будет подробно рассмотрен механизм регулирования трансграничной передачи персональных данных в Регламенте.

Разные страны устанавливают различные подходы к регулированию передачи персональных данныхСм. стр.38 Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет // Под ред. А.С. Дупан. М.: Издательский дом НИУ ВШЭ, 2016г. - 344с.. В Евросоюзе существует так называемый "единый подход" к защита персональных данных. Правила защиты данных едины в масштабах всего региона и во всех сферах экономики.

Соединенные Штаты и ряд других стран, таких как Сингапур, Индия и Бразилия, придерживаются секторального подхода к защите персональных данных. Так, например, в США существуют законы, регулирующий сбор, раскрытие и обмен финансовой информацией, информацией, связанной со здоровьем (the Health Insurance Portability and Accountability Act), и сбор информации в отношении несовершеннолетних (the Children's Online Privacy Protection Act)Законодательство США о защите персональных данных очень фрагментировано и различается в каждом штате. Существующие несколько секторальных федеральных актов. Для общего обзора законодательства США о персональных данных см.:ConnorN. ReformingtheU.S. ApproachtoDataProtectionandPrivacy (2018) (https://www.cfr.org/report/reforming-us-approach-data-protection)..

В соответствии со статьей XIV (c) (ii) Генерального соглашения ВТО по торговле услугами (GATS) GATS: General Agreement on Trade in Services, Apr. 15, 1994, Marrakesh Agreement Establishing the World Trade Organization, Annex 1B, 1869 U.N.T.S. 183, 33 I.L.M. 1167 (1994). правовые ограничения трансграничной передачи персональных данных допустимы, если они необходимы для "защиты конфиденциальности лиц при обработке и распространении личных данных и защите конфиденциальности отдельных учетных записей", при условии, что "такие меры не применяются способом, который создает средства произвольной или неоправданной дискриминации между странами, где преобладают схожие условия, или замаскированные ограничения для торговли услугами". Однако даже при соблюдении этого условия возможны негативные последствия для торговли и бизнеса.

1.4 Возможные негативные эффекты правовых ограничений на трансграничную передачу персональных данных

Описанные выше правовые ограничения трансграничной передачи персональных данных могут оказать существенный негативный эффект на предпринимательскую деятельность.

Во-первых, современная торговля невозможна без передачи персональных данных на одном из этапов транзакции. Так как передача персональных данных заложена в саму бизнес модель. Правовые ограничения для трансграничной передачи персональных данных могут препятствовать применению наиболее эффективных технологий. Так, например, требования о локализации персональных данных больше всего препятствует применению технологии облачных вычислений.

Во-вторых, законодательство о защите персональных данных может повлиять на инвестиционные решения компаний. Компания может принять решения уйти с рынка товаров или услуг, если сочтет, что затраты, ассоциируемые с соблюдением правил трансграничной передачи персональных данных излишне обременительны и не соразмерны с возможной прибылью.

В-третьих, соблюдение всех установленных ограничении относительно трансграничной передачи данных несет в себе высокие административные расходы, в том числе денежные затраты, затраты времени и ресурсов.

Однако основным негативным эффектом является ограничение инновации. Ограничение информационного потока приводит к повышению затрат на обмен данными. Тем самым затормаживает развитие технологий и инновационных решений.

Таким образом, использование и передача персональных данных стала неотъемлемой частью повседневной деятельности бизнеса. Практически ни одна компания, независимо от сектора экономики, сегодня не сможет заниматься бизнесом, принимать участие в международной торговле, без возможности трансграничной передачи данныхThe Internet: the Enabling Force of the 21st Century // Сomputer & communications industry association. October 2013.(http://www.ccianet.org/wp-content/uploads/2013/10/The-Internet-The-Enabling-Force-of-the-21st-Century.pdf). Дата обращения 01.01.2019.. Например, невозможно представить ситуацию, в которой предприятия не могли бы пользоваться услугами и технологиями, такими как электронная почта, работа в Интернете или электронные платежные системы.

Главная причина, по которой компании собирают данные, заключается в том, что персональные данные имеют материальную ценность Cave J. et. al. (2012) European Parliament (2012), Data Protection Review: Impact on EU Innovation and competitiveness-study // Brussels: Policy Department Economic and Scientific Policy, European Parliament (http://www.europarl.europa.eu/thinktank/en/document.html?reference=IPOL-ITRE_ET(2012)492463). Дата обращения 01/05/2019.. Трансграничные потоки данных имеют решающее значение для компаний. Они обеспечивают способность контролировать и делать бизнес транзакции более эффективным.

Важно подчеркнуть, что необходимость в передачи персональных данных возникает не только у высокотехнологичных компаний в области ИТ. Передача данных важна и для средних и малых предприятий и компании. Это связано с тем, что небольшие компании имеют меньше ресурсов для обработки персональных данных и преодоления правовых барьеров.

В целом можно сказать, что трансграничная передача персональных данных необходима для того чтобы компании могли вести бизнес, быть инновационными и оставаться конкурентоспособными на мировых рынках.

С одной стороны права на конфиденциальность персональных данных это одно из фундаментальных прав человека, и государства обязаны принимать меры по защите таких прав, в том числе при их трансграничной передачи. С другой стороны, свободная трансграничная передача необходима для эффективной предпринимательской деятельности и развития инновационных технологий. Слишком строгие, неясные и не гармонизированные режимы защиты персональных данных при их трансграничной передачи негативно скажутся на предпринимательской деятельности.

Недостаточное же их регулирование создаст, в свою очередь, угрозу правам на защиту персональных данных. Поэтому государствам необходимо искать баланс между свободной трансграничной передачи персональных данных для поощрения международной торговли и кооперации и гарантией правовой защиту персональных данных, при их трансграничной передаче. Тем самым главенствующий принцип - это соблюдение баланса интересов.

Глава 2. Принципы и общие подходы права Евросоюза к трансграничной передаче данных

Генеральный регламент ЕС о защите персональных данных, вступивший в силу 25 мая прошлого года, стал одним из самых масштабных проектов по улучшению законодательства в сфере защиты персональных данных. Регламент стал символом новый ветви развития защиты персональных данных. Регламент ужесточил контроль над защитой персональных данных, установил правила передачи и обработки персональных данных.

Однако право на конфиденциальность и защиту персональных данных прошло долгий путь становления. Стремление к приватности персональной информации и частной жизни всегда было присуще человеку, что отображено в культуре и привычках людей. Однако вопрос о праве на частную жизнь и праве на приватность определенной информации стал предметом правовых исследований и судебных споров только к началу XIX века.

Одним из значимых поворотов в изучении и признании данного права стала статья "Right to Privacy" (Право на конфиденциальность) двух американских юристов С.Д. Уоррена и Л.Д. Брендайса, опубликованная в 1890 году в журнале "Harvard Law Review" (Гарвард Ло Ревью)Warren S., Brandeis L. The Right to Privacy. // Harvard Law Review, Vol. 4, No. 5. Dec. 15, 1890, PP. 193-220.. В этой статье авторы рассуждают о праве на приватность информации. Рассматривают несколько судебных решений и предполагают возможное развитие доктрины персональных данных. Самуэль Уоррен и Луиз Брендайс отмечают, что один из старейших принципов права гласит о том, что человек имеет право на защиту его личности и собственностиТам же.. Однако, как они справедливо отмечают, изначально эти права распространялись только на материальные и физические проявления посягательств. Лишь значительно позже в правовой мысли появилось осознание того, что человек это еще и духовное проявлениеWarren S., Brandeis L. The Right to Privacy. Harvard Law Review, Vol. 4, No. 5. Dec. 15, 1890, PP. 193-220..

Авторы данной статьи не ошиблись в своих предвидениях развития вопроса. Уже к середине XX века право на частную жизнь, в том числе право на конфиденциальность закрепилось в судебной практике США. Идея так же распространилась и в Европе. Право на частную жизнь закреплено в Европейской Конвенции по Правам Человека (ст. 8)Конвенция о защите прав человека и основных свобод от 04.11.1950 (с изм. от 13.05.2004)// Собрание законодательства РФ, 08.01.2001, №2, ст. 163. и Хартии Европейского союза об основных правах(ст. 8) Хартия основных прав Европейского Союза, 7 декабря 2000 // Европейский Cоюз (https://www.refworld.org.ru/docid/52e647374.html). Дата обращения 01.01.2019.. Так же право на частную жизнь закреплено в таком фундаментальном международном акте по правам и свободам, как Всеобщая декларация прав человека (ст. 12)Всеобщая декларация прав человека (принята Генеральной Ассамблеей ООН 10.12.1948) // Российская газета, 10.12.1998.. В 1950 году оно было закреплено и в Пакте о гражданских свободахМеждународный пакт о гражданских и политических правах // Бюллетень Верховного Суда РФ, №12, 1994.. Однако, в эти годы, проблема защиты персональных данных, не была первоочередной в сфере защиты частной жизни.

С 60-х годов прошлого века цифровые технологии стали стремительно развиваться, входить в обыденную жизнь людей и становятся доступными. Вместе с тем появляется возможность быстро и легко распространять информацию. Такое стремительное развитие технологии стало вызывать обеспокоенность. В связи с чем, проблема защиты персональных данных впервые была затронута в Рекомендациях №509 Парламентской ассамблеи Совета ЕвропыRecommendation 509 (1968) on Human rights and modern scientific and technological developments, adopted by the Assembly on 31 st. January 1968 (16th Sitting). // Parliamentary Assembly (http://www.assembly.coe.int/) .

В 70-е годы были уже приняты первые законодательные акты о защите персональных данных. Среди таковых был Акт о Приватности (Privacy act)Privacy Act of 1974(5 USC Sec. 552a) // The US Department of Justice (https://www.justice.gov/opcl/privacy-act-1974). Дата обращения 01.01.2019., принятый в 1974 году в США. А также Национальный закон о персональных данных (Bundesdatenschutzgesetz)Federal Data Protection Act (BDSG) of Germany. 27. Januar 1977 (BGBl. IS. 201) // Bundesamt fur Justiz (https://www.gesetze-im-internet.de/bdsg_2018/index.html). Дата обращения 01.01.2019., принят в ФРГ в 1977 году, и принятый в 1978 году во Франции Закон об информатике и гражданских свободахLaw №78 17 of 6 January 1978 on "Information Technology, Data Files and Civil Liberty" of France // URL: https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460. Дата обращения 01.01.2019.. При этом страны стали обращать внимание и на проблему трансграничной передачи данных. В 1980 Организация экономического сотрудничества (ОЭСР) приняла "Руководство о защите персональных данных и трансграничной передачи данных"OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data. C(80)58(Final), October 1, 1980 //OECD (https://www.oecd.org/internet/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm). Дата обращения 01.01.2019..

В 1981 году принимается первый международный договор в сфере защиты персональных данных - Конвенция о защите физических лиц при автоматизированной обработке персональных данныхКонвенция о защите физических лиц при автоматизированной обработке персональных данных (Заключена в г. Страсбурге 28.01.1981) // Собрание законодательства РФ, 03.02.2014, N 5, ст. 419.. Несмотря на то, что сама конвенция была прогрессивна для того времени, а ее принятие было большим достижением, она достаточно быстро устарела в связи с развитием сети Интернета и новых технологий.

В 1995 году Евросоюз принимает директиву 95/46/EC по защите персональных данныхDirective 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data// OJ L 281, 23.11.1995, Р.0031 - 0050., которая включила положения Конвенции 1981 года и подробно регламентировала права субъектов персональных данных и процедуру сбора, обработки и передачи персональных данных.

К началу 2000-х годов сферу интернета захватывают так называемые компании большой пятерки. Это такие интернет-гиганты как Google, Amazon, Facebook, Apple, Microsoft. И что более важно, разрабатывается система монетизации персональных данных через механизмы контекстной рекламы. Стали развиваться механизмы сбора и обработки больших объёмов персональных данных, разрабатывается система cookies, которая в частности позволила реализовать сбор персональных данных для рекламы и привела к феномену контекстной рекламы. При этом, вся эта информация в основном передавалась на территорию США, где вопросы защиты персональных данных не получили должного развития с 70х годов.

Метод контекстной рекламы стал вызывать у потребителей беспокойство. Это было вызвано тем, что как только интернет-пользователь посещал какой-либо интернет магазин или сайт, распространяющий какой-либо продукт или услугу, предложения о таких товарах и услугах продолжали "преследовать" пользователей, то есть информация о таких товарах или услугах появлялась и на других сайтах в виде рекламы. Европейский Союз, в ответ на развитие технологий и новые риски для безопасности персональных данных, принимает в 2002 году Директиву e-PrivacyDirective 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications) //OJ L201, 31.07.2002 P.0037-0047.. В данном документе законодатели пытался регламентировать использование технологии cookie.

Однако в последующие годы ситуация только осложнилась рядом громких скандалов, связанных с утечкой персональных данных. В качестве примеров можно привести следующие громкие дела:

1. утечка персональных данных с сайта знакомств Ashley Madison для людей, состоящих в браке. Одним из последствий стала угроза уголовного наказания вплоть до смертной казни для более 1000 пользователей из Саудовской АравииThe global fallout of the Ashley Madison hack. // 24France. Official (https://www.france24.com/en/20150820-global-fall-out-ashley-madison-hack). Дата обращения 01.01.2019.;

2. утечка персональных данных клиентов крупнейшего американского бюро кредитных историй EquifaxFleishman G. Equifax Data Breach, One Year Later: Obvious Errors and No Real Changes, New Report Says (September 8, 2018) //Fortune (http://fortune.com/2018/09/07/equifax-data-breach-one-year-anniversary/) Дата обращения 01.01.2019.;

3. многочисленные скандалы, связанные со сбором персональных данных социальной сетью Facebook и несанкционированной передачей таких персональных данных третьим лицам.Sanders J. Patterson D. Facebook data privacy scandal: A cheat sheet // TechRepublic (https://www.techrepublic.com/article/facebook-data-privacy-scandal-a-cheat-sheet/) Дата обращения 01/01/2019.

В 2012 году ЕС начал дискуссию и подготовку нового закона о защите персональных данных, который бы унифицировал законодательство о защите персональных данных на территории ЕС и обеспечил достойный уровень защиты прав граждан в этой сфере. В 2016 году окончательный текст Генерального регламента по защите данных был официально опубликован и 25 мая 2018 года вступил в силуRegulation (EU) 2016/679..

Отметим, что Регламент регулирует вопрос соблюдения порядка передачи и обработки персональных данных частными агентами Regulation (EU) 2016/679.. При этом одновременно с Регламентом были приняты "Директива по защите физических лиц при автоматизированной обработке персональных данных государственными органами в целях предотвращения расследования и обнаружения и преследования уголовных преступлений"Directive (EU) 2016/680 of the European parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA // OJL 119/89, 04.5.2016., а так же Директива по сетевой и информационной безопасности (Network and Information Security Directive)Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union // OJ L 194, 19.7.2016, p. 1-30., регулирующая информационную безопасность деятельности операторов критических инфраструктур и провайдеров цифровых услуг. Планируется также обновить директиву e-privacy 2002 года.

Тем временем, объемы трансграничной передачи персональных данных продолжают расти, меняется структура такой передачи. Теперь это не просто передача данных из одной точки в другую, но часть целой сети взаимосвязанных передачSchwartz P., Managing Global Data Privacy: Cross-Border Information Flows in a Networked Environment (2009).(http://theprivacyprojects.org/wp-content/uploads/2009/08/The-Privacy-ProjectsPaul-Schwartz-Global-Data-Flows-20093.pdf) p. 4.. В тоже время возросший объем трансграничной передачи персональных данных и электронной торговли, привели к росту экономического благосостояния и развитию торговых отношений во всем мире.

Таким образом, первые научные призывы к необходимости защищать приватность появились еще в XIX веке, однако развитие информационных технологий, интернета и электронной торговли позволило получать финансовые выгоды посредством использования персональных данных и создало новые угрозы для конфиденциальности персональных данных, что привело к активной работе законодателей по урегулированию данной сферы. Регламент - это логический этап в развитии законодательств и доктрины права на частную жизни и конфиденциальность персональной данных.

2.2 Основные принципы трансграничной передачи персональных данных, закрепленные в Регламенте

Вопросы трансграничной передачи данных в регламенте урегулированы в отдельной главе Регламента. В статье 44 Регламента указано, что любая передача персональных данных, которая подвергается обработке в третьей стране или международной организации, или предназначена для такой обработки после передачи в третью страну или в международную организацию, должна осуществляться только в соответствии с другими положениями Регламента. Процесс трансграничной передачи данных, тем самым, является специальной процедурой по отношению к общему порядку передачи персональных данных. То есть, общие принципы передачи персональных данных, закреплённые в Регламенте, так же применяются и при трансграничной передаче персональных данных.

Во-первых, необходимо определить, что является персональной информацией согласно Регламенту. Это необходимо для того, чтобы определить, является ли информация персональной, так как если информация не является персональной, то она может свободно передаваться. Определение персональных данных изложено в Регламенте. Персональные данные - это любая информация, касающаяся физического лица, которое может быть идентифицировано, прямо или косвенно, в частности, посредством ссылки на идентификатор. Идентификатором может быть имя, идентификационный номер, данные о местоположении, IP-адрес или на один или несколько факторов, исключительно характерных для физической, физиологической, генетической, психической, экономической, культурной или социальной идентичность этого физического лицаArt. 4 Regulation (EU) 2016/679..

Таким образом, объем информации, к которой применятся Регламент, определяется довольно широко, и как указанно в главе 1 данной работы на практике установить четкую границу между персональными данными и иными данными проблематично. В тоже время, Регламент применим не ко всем правоотношениям, касающимся персональных данных. Регламент распространяется только на тот круг правоотношений, которые установлены в Регламенте.

Статья 2 Регламента регулирует материальный круг применения РегламентаArt. 3 Regulation (EU) 2016/679..

Во-первых, Регламент применим только к персональным данным, которые полностью или частично обрабатываются с помощью автоматических средств или образуют базы данных или предназначены для формирования части базы данных.