Во-вторых, настоящий Регламент не применим в следующих случаях:

- сбор и обработка персональных данных выходит за рамки действия законодательства Евросоюза;

- сбор и обработка персональных данных государствами-членами Евросоюза в рамках осуществлении деятельности, регламентируемой главой 2 раздела V Договора о Европейском союзеConsolidated versions of the Treaty on European Union and the Treaty on the Functioning of the European Union // Official Journal of the European Union. - С 202. - 7.6.2016. - p. 1-388.;

- сбор и обработка персональных данных в личных и бытовых целях;

- сбор и обработка персональных данных компетентными органами в целях предотвращения, расследования, выявления уголовных преступлений, включая предотвращение угроз общественной безопасности, или судебного преследования за такие преступления, а также в целях исполнения уголовных наказаний.

Кроме того, Регламент ограничивает свое территориальное применение.

Согласно статье 3 Регламента, он применяется к обработке персональных данных контролером или процессором, учрежденным в ЕС, независимо от того, происходит ли обработка на территории ЕС или нет. Форма учреждения контролера или процессора (филиал или дочерняя компания с правосубъектностью) не имеют значения.

Настоящий Регламент так же определяет круг отношений, на которые Регламент распространяется экстерриториально в целях предотвращения, снижения уровня защиты прав физических лиц, гарантируемых РегламентомArt. 44 Regulation (EU) 2016/679.. Регламент применяется к обработке персональных данных субъекты, находящихся на территории ЕС, контроллером или процессором, не учрежденным в ЕС, в том случае, если действия по обработке связаны с:

· предложением товаров или услуг, независимо от того, производится ли оплата на территории ЕС или нет;

· мониторингом поведения субъекта персональных данных на территории ЕС.

Более того, Регламент предусматривает, что должны быть соблюдены общие принципы передачи персональных данных. Так, глава 2 Регламента перечисляет основные принципы обработки персональных данных, а именно:

1. "законность, справедливость и прозрачность" - обработка персональных данных должна осуществляться на законных основаниях, в соответствии с принципом справедливости и прозрачности;

2. "ограничение цели" - персональные данные должны быть собраны для определенных, явных и законных целей и не должны обрабатывается в дальнейшем несовместимым с этими целями способом;

3. "минимизация данных" - следует уменьшать объем собираемых данных. В любом случае объём данных должен быть соразмерен качественно и количественно целям обработки;

4. "точность" - персональные данные должны быть точными и при необходимости должны предприниматься разумные шаги для обеспечения удаления неточных данных;

5. "ограничение хранения" - персональные данные, позволяющие идентифицировать субъект таких данных, должны храниться не дольше, чем это необходимо для целей обработки персональных данных;

6. "целостность и конфиденциальность" - персональные данные обрабатываются, таким образом, который обеспечивает надлежащую безопасность персональных данных, включая защиту от несанкционированной или незаконной обработки и от случайной утери, уничтожения или повреждения.

Далее, мы рассмотрим порядок, в котором должна осуществляется трансграничная передача персональных данных.

2.3 Порядок трансграничной передачи персональных данных

Из текста регламента можно вывести специальные принципы регулирования трансграничной передачи данных. Из пункта 101 декларативной части и ст. 44 Регламента можно сделать вывод, что трансграничная передача персональных данных должна основываться на следующих принципах:

1. поощрение развития международной торговли и сотрудничества;

2. сохранение уровня защиты персональных данных, предусмотренного Регламентом;

3. соблюдение норм Регламента.

Регламент предусматривает, что передача персональных данных в третью страну или международную организацию (далее - "передача") допустима, если соблюдено одно из условий обеспечения безопасности использования персональных данных. В главе 5 Регламента изложены нижеследующие условияArt. 3 Regulation (EU) 2016/679.:

1. третья страна, территория, или один или несколько секторов или организаций в пределах этой третьей страны или соответствующая международная организация обеспечивает адекватный уровень защиты персональных данных;

2. предприняты надлежащие меры предосторожности;

3. обработка осуществляется в рамках предусмотренных Регламентом исключений.

Следует отметить, что Регламент предусматривает иерархию выше изложенных условий. Так, второе и третье условия субсидиарные по отношению к первому условию.

Рассмотрим условия обеспечения безопасности использования персональных данных подробнее. Данными условиями являются:

1) адекватный уровень защиты

Если третья страна, территория или один, или несколько указанных секторов в пределах этой третьей страны или соответствующая международная организация обеспечивает адекватный уровень защиты, то такая передача персональных данных на эту территорию не требует какого-либо специального разрешения.

Решение об адекватности принимает Европейская Комиссия. Регламент так же предусматривает критерии, на которые должна полагаться Комиссия при оценке адекватности уровня защиты персональных данных. Эти условия упоминаются в ст. 45 гл.5 РегламентаArt. 45 Regulation (EU) 2016/679..

Их можно подразделить на следующие категории:

Правовые и демократические стандарты. Сюда относиться верховенство закона, уважение прав человека и основных свобод.

Законодательство. Наличие и соответствие законодательства, как общего, так и специального характера, в том числе в сфере общественной безопасности, обороны, национальной безопасности и уголовного права, а также права доступа государственных органов к личным данным граждан.

Специальное законодательство. К нему относятся правила защиты персональных данных, профессиональные правила и меры безопасности, включая правила дальнейшей передачи персональных данных в третью страну или международную организацию, прецедентное право, а также наличие эффективных и исполнимых прав у субъектов персональных данных, эффективные административные и судебные средств правовой защиты у субъектов персональных данных;

Надзор и контроль. Наличие и эффективное функционирование одного или нескольких независимых надзорных органов в третьей стране или международной организации, которые несут ответственность за обеспечение соблюдения законодательства по защите персональных данных. А также наличие у таких органов правоприменительных полномочий по оказанию помощи и консультированию субъектов персональных данных в осуществлении своих прав.

Международные обязательства. Взятые на себя третьей страной или соответствующей международной организацией обязательства, вытекающие из юридически обязательных международных договоров, а также ее участия в многосторонних или региональных системах, в частности в отношении защиты персональных данныхDeclamation 105 Regulation (EU) 2016/679..

Регламент предусматривает, что Европейская Комиссия на постоянной основе должна следить за развитием событий в третьих странах и международных организациях, с тем, чтобы выявлять изменения, которые могут повлиять на ранее принятые решения. По крайней мере, каждые четыре года, Комиссия должна учитывать все соответствующие события, происходящие в третьих странах или международных организациях, и пересматривать решение об адекватном уровне защиты персональных данных в третьих странах, территориях, международных организацияхArt. 45 Regulation (EU) 2016/679..

На данный момент, с учетом вышеперечисленных критериев Еврокомиссия установила ряд стран, предоставляющих адекватный уровень защиты персональных данных посредством внутреннего законодательства и международных соглашений. К таким странам относятся: Андорра, Аргентина, Канада, Фарерские острова, Гернси, Израиль, остров Мэн, Япония, Джерси, Новая Зеландия, Швейцария, Уругвай и Соединенные Штаты Америки (только в рамках Privacy Shield)Разъяснения Еврокомиссии по вопросу определения адекватного уровня защиты персональных данных. // Сайт Еврокомиссии (https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en)..

Таким образом, Россия на данный момент не входит в перечень стран, обеспечивающих адекватный уровень защиты персональных данных, не смотря на то, что является страной участницей конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данныхКонвенция о защите физических лиц при автоматизированной обработке персональных данных (Заключена в г. Страсбурге 28.01.1981) (вместе с Поправками к Конвенции о защите физических лиц при автоматизированной обработке персональных данных (СДСЕ N 108), позволяющими присоединение европейских сообществ, принятыми Комитетом Министров в Страсбурге 15.06.1999) Собрание законодательства РФ, 03.02.2014, N 5, ст. 419..

США так же не входит в перечень стран, обеспечивающих адекватный уровень защиты персональных данных. Однако объем информационного обмена между США и Евросоюзом настолько велик, что потребовался какой-то специальный инструмент, который с одной стороны обеспечил бы адекватный уровень защиты, а с другой гарантировал бы бизнесу достаточно быструю и легкую процедуру для передачи персональных данных. Именно поэтому ЕС и США заключили соглашение "Безопасная Гавань" (Safe Harbor)Safe Harbor Privacy Principles. URL: http://www.export.gov/safeharbor/SHPRINCIPLESFINAL.htm и 20 июля 2000 года Европейская Комиссия приняла Решение № 2000/520/EC2000/520/EC: Commission Decision of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbour privacy principles and related frequently asked questions issued by the US Department of Commerce (notified under document number C(2000) 2441) (Text with EEA relevance.)//OJL 215.25.08.2000 P. 0007-0047.,в котором описывала порядок передачи персональных данных в СШАСм. стр. 39 Дупан А.С. и др. Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет // Под ред. А.С. Дупан. М.: Издательский дом НИУ ВШЭ, 2016. - 344с.. В рамках данного соглашения организации США, которые вступили в систему, считались организациями, обеспечивающими адекватный уровень защиты персональных данных.

Вскоре стали возникать случаи нарушения законодательства ЕС о защите персональных данных со стороны Американских компаний. Федеральная торговая комиссия США (FTC) приняла меры против компании нарушивших законодательство ЕС, а ЕС на тот момент намеривался оставить соглашение "Безопасная Гавань" в силе и разработал ряд мер необходимых для продолжения сотрудничества между США и ЕССм.стр. 40-41 Дупан А.С. и др. Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет // Под ред. А.С. Дупан. М.: Издательский дом НИУВШЭ, 2016. - 344с..

Однако в 2013 году гражданин Австрии Максимильян Шремс обратился к уполномоченному по защите персональных данных Ирландии с жалобой на Facebook, в которой оспаривал передачу своих персональных данных (и данных граждан ЕС в целом) в США в соответствии с соглашением "Безопасная Гавань" (дело Шремс I). Персональные данные граждан ЕС поступали на серверы Facebook, в США, а законодательство США не обеспечивало реального уровня защиты персональных данных соразмерного тому уровню защиты, который обеспечивается в ЕС. Уполномоченный по защите персональных данных Ирландии отклонил жалобу. Г-н Шремс обжаловал это решение в Высоком суде Ирландии. Последний, в ходе развития дела, направил преюдициальный запрос в Суд Европейского СоюзаCase C-362/14: Reference for a preliminary ruling from High Court of Ireland (Ireland) made on 25July 2014 - Maximillian Schrems v Data Protection Commissioner // OJ C 351, 6.10.2014, p. 5-5. 6 октября 2015 года Суд ЕС признал соглашение "Безопасная гавань" недействительным, так как оно не гарантирует адекватную защиту личных данных, которые передаются в США, и соответственно передача в США персональных данных больше не могла осуществляться на основе признания адекватного уровня защиты персональных данныхCase C-362/14Maximillian Schrems v Data Protection Commissioner. Judgment of the Court (Grand Chamber) of 6 October 2015.Request for a preliminary ruling from the High Court (Ireland). // EUR-Lex. Access to European Union law.(https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:62014CJ0362). Дата обращения 01.01.2019..

Суд постановил, что:

1) национальные органы по защите данных имеют право расследовать адекватность передачи данных в рамках соглашения ЕС-США "Безопасная гавань" или любых других соглашений, заключенных в соответствии с решением Европейской комиссии по вопросу защиты персональных данных, и

2) соглашение ЕС-США "Безопасная гавань" следует признать недействительным из-за отсутствия адекватного уровня защиты персональных данных.См. абз. 107 Case C-362/14Maximillian Schrems v Data Protection Commissioner. Judgment of the Court (Grand Chamber) of 6 October 2015.Request for a preliminary ruling from the High Court (Ireland). // EUR-Lex. Access to European Union law.(https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:62014CJ0362). Дата обращения 01.01.2019.

Вскоре после решения по делу Шремс I, в феврале 2016 года между Европейской комиссией и Соединенными Штатами была достигнута договоренность о новой системе безопасной трансграничной передачи персональных данных: "Щит конфиденциальности" (Privacy Shield) ЕС-СШАCommission Implementing Decision (EU) 2016/1250 of 12 July 2016 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the EU-U.S. Privacy Shield OJ L 207/1, 1.08.2016, (https://ec.europa.eu/info/sites/info/files/celex_32016d1250_en_txt.pdf)., 12 июля 2016 года Европейская комиссия официально признала все организации США, подписавшие соглашение "Щит конфиденциальности", организациями, обеспечивающими адекватный уровень защиты персональных данных. "Щит конфиденциальности" предъявляет требования к компаниям, зарегистрированным в США, и получившим сертификацию в соответствии с положениями соглашения "Щит конфиденциальности" обеспечивать уровень защиты персональных данных соответствующий уровню защиты персональных данных в ЕС, а так же обязательное наличие механизмов предоставление эффективной правовой защиты субъектам персональных данных.

Однако Максимильян Шремс, являющийся в настоящее время директором некоммерческой организации "noyb"NOYB - European Center for Digital Rights (2019) // Официальный сайт NOYB (https://noyb.eu/team/)., возобновил дело, так как считает, что система "Щит конфиденциальности" не обеспечивает должного уровня защиты.

Шремс обратился в Высокий суд Ирландии, который обратился к Суду ЕС с рядом вопросов, которые в целом направлены на то, чтобы выяснить, какая степень защиты должна быть предоставлена гражданам ЕС, чьи персональные данные передаются на территорию США, какое законодательство США должно быть использовано для оценки уровня защиты персональных данных, и как это соотносится с системой "Щит конфиденциальности" См. Case C-311/18: Reference for a preliminary ruling from the High Court (Ireland) made on 9 May 2018 - Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems // OJ C 249, 16.7.2018, p. 15-17..

Европейский суд справедливости еще не вынес решения по данному делу. Данное решение может стать поворотным для вопроса трансграничной передачи данных между ЕС и США, и в значительной мере усложнить передачу данных для таких интернет гигантов как Facebook и Google.

В любом случае дело Шремс I (C-362/14) уже повлияло на критерии принятия решения об адекватности, так новый Регламент поддержал высказанную в дела Шремс позицию, что третья страна должна обеспечивать уровень защиты персональных данных эквивалентный тому, что обеспечен в ЕС.

2) надлежащие меры предосторожности

Отсутствие решения Еврокомиссии о наличии адекватного уровня защиты персональных данных, не означает запрет на передачу персональных данных за пределы стран Евросоюза. Передача персональных данных возможна в случае соблюдения иного комплекса мер защиты. Регламент предусматривает несколько способов обеспечения дополнительной предосторожности. Так, ст.46 предусматривается, что обработчик или контролер, в случае отсутствия решения об адекватности, обязаны убедиться в наличие надлежащих меры защиты персональных данных в третьей стране или организации, а также в наличии эффективных административных и судебных средств правовой защиты у субъектов персональных данных.

Надлежащие меры предосторожности могут быть обеспечены следующим:

1. юридически обязательное соглашение между государственными органами;

2. обязательные корпоративные правила;

3. стандартные оговорки о защите персональных данных принятые Комиссией или надзорным органом с одобрением Комиссии;

4. кодекс этики в соответствующий статье 40 Регламента;

5. механизм сертифицирования в соответствии со статьей 42 Регламента.

Вышеперечисленные меры не подлежат одобрению надзорным органом. Однако, если применить одну из вышеперечисленных мер невозможно, с предварительного одобрения контролирующих органов надлежащими мерами защиты могут быть признаны оговорки в договоре между обработчиком или контролером и обработчиком или контролером в третьей стране или в административных регламентах между публичными органами.

Эти меры предосторожности должны обеспечивать предусмотренный в регламенте объём прав субъектов персональных данных, а так же обеспечить реальную возможность исполнения прав субъектов персональных данных и наличие эффективных средств правовой защиты. Более того, меры предосторожности должны обеспечивать соблюдение общих принципов обработки и защиты персональных данных, предусмотренные Регламентом.Declamation 108 Regulation (EU) 2016/679.

a) обязательные корпоративные правила

Один из наиболее важных способов обеспечения надлежащих мер защиты это обязательные корпоративные правила. Обязательные корпоративные правила (ОКП) - это механизм передачи персональных данных, на который могут опираться частные организации в контексте обмена персональными данными между участниками одной группы компаний (корпоративная группа, группа предприятий, группа предприятий с совместной экономической деятельностью). Это своеобразный кодекс этики поведения. Они позволяют транснациональным компаниям передавать персональные данные на международном уровне в рамках одной и той же группы компаний находящихся в странах, не обеспечивающих адекватный уровень защиты персональных данных.

Для того чтобы обязательные корпоративные правила считались инструментом, гарантирующим безопасность всей передачи персональных данных внутри корпоративной группы, они должны содержать следующее:Art. 47 Regulation (EU) 2016/679.

· общие принципы защиты персональных данных: цель передачи, транспарентность, объем и тип передаваемых данных, безопасность передачи, надлежащие хранение и утилизация;

· инструменты эффективности (такие как системы аудита, обучения или рассмотрения жалоб);

· данные о предприятиях группы, осуществляющих совместную хозяйственную деятельность и о структуре группы;

· данные о категории персональных данных, типе и цели обработки персональных данных,

· данные о третьей стране или странах, куда будет осуществлена передача персональных данных;

· элемент, доказывающий, что правила являются обязательными для исполнения всеми компаниями группы;

· права субъектов персональных данных;

· процедуры рассмотрения жалоб;

· руководство для сотрудников;

· план и программа аудита защиты данных;

· описание системы внутреннего контроля;

· политика безопасности для IT-систем обработки персональных данных;

· процесс сертификации систем обработки вновь устанавливаемых IT-систем, с целью удостоверения безопасности и соответствия корпоративным правилам;

· должностные инструкции сотрудников по защите данных или других лиц, отвечающих за защиту данных в компании

· принятие контролером или обработчиком, учрежденным на территории государства-члена ЕС, ответственности за любые нарушения обязательных корпоративных правил любой из компаний группы.

Так же ОКП должны быть предварительно утверждены надзорным органом одного из государств-членов. В Регламенте описан подробный план утверждение обязательных корпоративных правил. Всего выделяется 4 этапа.

На первом этапе компания выбирает, среди национальных надзорных органов по защите персональных данных, ответственный орган по защите персональных данных (DPAs), который будет представлять группу компаний при сотрудничестве с другими национальными надзорными органами по защите персональных данных (DPAs). Решение о том, какое подразделение группы компании будет являться ведущим по данным вопросам, принимается в соответствии с определенными критериями, такими как:

- месторасположение европейской штаб-квартиры группы;

- расположение офиса той компании группы, кому делегированы обязанности по защите данных;

- местоположение компании группы, которая лучше всего подходит с точки зрения функций административного управления;

- место, где принимается большинство решений с точки зрения целей и средств обработки данных;

- страна ЕС, из которой будет осуществляться большинство переводов персональных данных за пределы ЕС.

На втором этапе компания непосредственно разрабатывает проект документа "Обязательные корпоративные правила". Эти правила должны соответствовать установленным требованиям. Этот проект передается в Ответственный орган, который рассматривает его и предоставляет компании свой комментарии, чтобы убедиться, что документ соответствует всем требованиям.

На третьем этапе Ответственный орган начинает процедуру сотрудничества с ЕС, передавая обязательные корпоративные правила соответствующим DPA.

На четвертом этапе происходит завершение процедуры сотрудничества с ЕС.

Для упрощения и ускорения процедуры сотрудничества с Евросоюзом при рассмотрении Обязательных корпоративных правил органами было установлена процедура взаимного признания. В соответствии с такой процедурой, если Ответственный орган считает, что обязательные корпоративные правила соответствуют требованиям, изложенным в рабочих документах, остальные DPAs принимают это мнение в качестве достаточного основания для предоставления собственного национального разрешения.

На данный момент в процедуру взаимного признания входит двадцать одна страна: Австрия, Бельгия, Болгария, Кипр, Чешская Республика, Эстония, Франция, Германия, Исландия, Ирландия, Италия, Латвия, Лихтенштейн, Люксембург, Мальта, Нидерланды, Норвегия, Словакия, Словения, Испания и Великобритания.

На пятом этапе, после того как все DPAs признают Обязательные корпоративные правила компании, компания может запросить разрешение на передачу данных на основе принятых правил у каждого национального DPA.

b) стандартные оговорки о защите персональных данных

Другой возможностью передачи данных в третьи страны, не обеспечивающие адекватный уровень защиты, является наличие Стандартной оговорки о защите персональных данных. Стандартные оговорки о защите персональных данных должны быть изложены в юридически обязывающем документе, таком как договор или меморандум о взаимопонимании, между передающей и получающей сторонами. Они должны четко описывать принципы соблюдения защиты персональных данных, в частности:

· данные должны обрабатываться для конкретной цели, а затем использоваться или далее передаваться, только если это совместимо с первоначальной целью;

· данных должны быть достоверными, а их объем пропорционален цели;

· обязательное информирование заинтересованных лиц;

· обеспечение мер безопасности защиты персональных данных;

· возможность для субъектов персональных данных, осуществлять свои права иметь доступ, вносить изменения и удалять персональные данных;

· ограничения на последующую передачу получателем данных этих данных иным третьим лицам;

· наличие эффективных механизмов надзора за соблюдением вышеупомянутых принципов.

Более того, должно быть также предоставлено описание того, какие категории персональных данных будут передаваться, цели обработки, сроки хранения, соответствующих персональных данных.

c) кодекс этики

Кодексы этики представляют собой механизм саморегулирования, позволяющий компании, продемонстрировать регулирующим органам и потребителям, что компания придерживается определенных стандартов конфиденциальности информации и защиты персональных данных. Они могут быть подготовлены контролерами или обработчиками. Проекты кодексов этики должны быть представлены в соответствующий надзорный орган для утверждения.

3) исключения

Так же регламент предусматривает ряд исключений, при которых возможна передача персональных данных за пределы ЕС без соблюдения режима адекватного уровня защиты или надлежащих мер предосторожности.

Регламент предусматривает следующий перечень исключений для передачи персональных данных:

1) наличие явного информированного согласие субъекта персональных данных;

2) наличие договорных отношений между сторонами, если трансграничная передача персональных данных происходит в интересах субъекта персональных данных, и если передача персональных данных необходима для исполнения такого договора;

3) передача осуществляется для реализации защиты в судебной процедуре;

4) передача необходима в целях защиты особо важных общественных интересов;

5) передача необходима для защиты жизненно важных интересов субъекта данных или других лиц,

6) передача осуществляется из реестра, который предназначен для предоставления информации широкой публикой или имеющим законный интерес лицам, в соответствии с законодательством ЕС или государств-членов.

Такие исключения могут быть применены только в случае если передачи данных, соответствуют ряду требований:

1) передача персональных данных не должна быть систематичной;

2) должен передаваться малый объем персональных данных;

3) передача не должна носит структурный характер;

4) передача должна быть необходима для реализации законных интересов, контроллера, но при условии, что над такими интересами не превалируют права и интересы субъектов персональных данных;

5) контролер оценил все обстоятельства, связанные с передачей персональных данных и на основании этой оценка обеспечил подходящие меры предосторожности в отношении защиты персональных данных.

Ответственность

За несоблюдение положений о трансграничной передаче персональных данных согласно Генеральному регламенту ЕС, может привести к административным штрафам. Компания может подвергнуться штрафу в размер до 20 млн. евро или, до 4% от общего годового оборота за весь предыдущий финансовый год, в зависимости от того, что большеpara. 5 art. 83 Regulation (EU) 2016/679..

Государства-члены могут так же устанавливать уголовную ответственность за нарушения Регламента, в том числе за нарушения национальных правил, принятых в соответствии с Регламентом Declamation 149 Regulation (EU) 2016/679..

Публичная ответственность не умаляет право Субъекта персональных данных обратиться в национальный суд с гражданским иском или аналогом для защиты своих прав.

Размер штрафа зависит от характера, грубости и продолжительность нарушения, а также от действий, предпринятых для смягчения причиненного ущерба, наличия предыдущих нарушений, и любых других отягчающих или смягчающих факторовpara. 2 art. 83 Regulation (EU) 2016/679..

Один из первых громких случаев привлечения к административной ответственности в соответствии с Регламентом стало привлечение Google LLC по жалобе двух неправительственной организаций "La Quadrature du Net" и "NOYB". Французский орган по защите персональных данных (CNIL) наложил на Google LLC административный штраф в размере 50 миллионов евро за нарушение обязательств по обеспечению прозрачности процесса сбора персональных данных и информировании субъектов персональных данных, а так же за нарушения обязательств по получению должного согласия на обработку персональных данных от субъектов персональных данныхПрессрелиз CNIL от 21.01.2019- //Национальная комиссия по информатике и свободе(CNIL) (https://www.cnil.fr/fr/la-formation-restreinte-de-la-cnil-prononce-une-sanction-de-50-millions-deuros-lencontre-de-la)..

Подводя итог, можно вывести следующий алгоритм - схему передачи персональных данных в третьи страны территории или организации.

В первую очередь необходимо определить является ли передаваемые данные персональными данными в соответствии с Регламентом. Если ответ отрицательный, то регламент к передаче такой информации не применяется. Если имеет место передача именно персональных данных, то такие данные должны быть собраны законным путем и цель передачи персональных данных должна соответствовать цели первоначального сбора персональных данных. Если данные условия соблюдены, то можно переходить к оценки специальных положений для трансграничной передачи данных. Передача данных допускается, если имеется решения об адекватном уровне защиты персональных данных, или соблюдаются надлежащие меры предосторожности или передача персональных данных попадает под специальные исключения. В ином случае трансграничная передача недопустима, и при нарушении обработчик или процессор персональных данных может быть привлечен к ответственности и подвергнуться штрафам.

Таблица 1. Схема порядка передачи персональных данных в третьи страны.

Глава 3. Соотношение законодательства Российской Федерации о персональных данных и Генерального регламента ЕС о персональных данных

Основу Российского законодательства, регулирующего деятельность по защите, обработке и использованию персональных данных составляет федеральный закон от 27.07.2006г. № 152-ФЗ "О персональных данных" (далее "ФЗ № 152").Также Российская Федерация является участницей конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (далее "Конвенция Совета Европы"). Ответственность за нарушения законодательства о персональных данных предусмотрена статьей 13.11 Кодекса об Административных правонарушениях РФ и статьей 173.2 Уголовного Кодекса РФ.

Первым отличием Регламента от Российского законодательства является тот факт, что российский закон не разделяет обработку персональных данных частными лицами в целях предпринимательской деятельности и государственными органами. Он регулирует и то и другое, в то время как Регламент применяется только к деятельности частных лиц, а обработка персональных данных государственными органами в целях правоприменения урегулирована Директивой (ЕС) 2016/680Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA //OJ L 119, 4.5.2016, p. 89-131..

Регламент и ФЗ №152 имеют много различий. В том числе они имеют разное действие в пространстве, по кругу лиц, и во времени.

Так ФЗ № 152 применим только к российским гражданам См.: Savelyev А. Russia's new personal data localization regulations: A step forward or a self-imposed sanction? // Computer law & security review №32 (2016) 128-145., тогда как Регламент защищает право на защиту персональных данных независимости от гражданства См.: с. 243.Постникова Е.В. Некоторые аспекты правового регулирования защиты персональных данных в рамках внутреннего рынка Европейского союза // Право. Журнал Высшей школы экономики. 2018г. № 1. С. 234-254.. Российское законодательство так же в отличие от Регламента не применимо экстратерриториально Грибанов А.А. Общий регламент о защите персональных данных(General Data Protection Regulation): идеи для совершенствования российского законодательства // Закон, 2018 г. № 3..

В РФ в статье 3 ФЗ № 152 закреплено следующие понятии персональных данных: "персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)". Понятия "персональных данных" в Регламенте и в российском законодательстве схожи, явно основаны на понятии персональных данных, приведенном в Конвенции Совета Европы См.: ст. 2. Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Заключена в г. Страсбурге 28.01.1981г.) (вместе с Поправками к Конвенции о защите физических лиц при автоматизированной обработке персональных данных (СДСЕ № 108), позволяющими присоединение европейских сообществ, принятыми Комитетом Министров в Страсбурге 15.06.1999г.) Собрание законодательства РФ. 2014г. № 5.Ст. 419..

ФЗ № 152 закрепляет следующими принцы обработки персональных данных:Ст.5 Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) "О персональных данных". // Собрание законодательства РФ, 31.07.2006, N 31 (1 ч.), ст. 3451.

1. обработка персональных данных должна осуществляться на законной и справедливой основе;

2. всякая обработка персональных данных должна осуществляться для заранее определенных и законных целей и ограничиваться их достижением;

3. содержание и объем обрабатываемых персональных данных не должны быть избыточным по отношению к заявленным целям;

4. при обработке персональных данных должны быть обеспечены точность, достаточность, и актуальность таких персональных данных;

5. не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

6. обработке подлежат только персональные данные, которые отвечают целям их обработки;

7. хранение персональных данных должно быть не дольше, чем этого требуют цели обработки персональных данных, и при достижении таких, заранее установленных целей, персональные данные должны быть уничтожены или обезличены.

Эти принципы схожи с принципами, изложенными в Регламенте, что объяснимо общими началами Регламента и Российского законодательства в Конвенции Совета Европы.

Трансграничная передача персональных данных в РФ урегулирована статьей 12 Федерального закона № 152-ФЗ и ст. 12 Конвенции. Так, в ст. 12 Федерального закона №152-ФЗ предусмотрено два режима передачи персональных данных в третьи страны.

Первый режим предполагает свободную трансграничную передачу данных в страны, обеспечивающие адекватный уровень защиты персональных данных. Он применяется для передачи данных в страны:

1) являющиеся участниками конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных,

2) не являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных в соответствии с перечнем указанным в Приказ Роскомнадзора от 15.03.2013 N 274Приказ Роскомнадзора от 15.03.2013 № 274 (в редакции от 15.06.2017) "Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных" // Российская газета, N 92, 26.04.2013.. Среди таких стран: Австралия, Аргентинская Республика, Израиль, Канада, Королевство Марокко, Малайзия, Монголия, Новая Зеландия, Республика Ангола, Республика Бенин, Республика Корея, Республика Перу, Тунисская Республика, Республика Чили, Республика Коста-Рика, Государство Катар, Республика Мали, Республика Сингапур, Южно-Африканская Республика, Габонская Республика, Республика Казахстан, Япония.

Если же страна не обеспечивает адекватный уровень защиты персональных данных, то в таком случае персональных данные могут быть переданы только в ситуациях, перечисленных в ФЗ №152, которые созвучны исключениям, указанным в Регламенте. Трансграничная передача может осуществляться:

- при наличии письменного согласия субъекта персональных данных;

- в случаях, предусмотренных международными договорами РФ;

- в случаях, предусмотренными Федеральными законами РФ в целях обеспечения обороны и безопасности страны, функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса;

- в случаях, если передача необходима для исполнения договора, стороной которого является субъект персональных данных, а так же если передача необходима в целях защиты жизни, здоровья и иных жизненно важных интересов субъекта персональных данных.

По общему правилу в РФ запрещена обработка персональных данных, которые относятся к специальным категориям персональных данных, а именно данные касающиеся:

? расовой и национальной принадлежности;

? политических взглядов;

? религиозных и философских убеждений;

? состояния здоровья;

? интимной жизни.

Исключения составляют случаи, когда такие данные передаются с письменного согласия субъекта персональных данных или в установленных законом случаях (для государственно значимых целей, для спасения жизни и здоровья, жизненно важных интересов субъекта и т.д.).Ст.10 Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) "О персональных данных". // Собрание законодательства РФ", 31.07.2006, N 31 (1 ч.), ст. 3451.

Регламент тоже выделяет категорию специальных чувствительных данных и по общему правилу запрещает их обработку. Регламент к таким данным относит похожий перечень: расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзе, а также генетические данные, биометрические данные, данные о сексуальной ориентации физического лица.

Таким образом, Российское законодательство в отношении трансграничной передачи персональных данных похоже на предложенный в Регламенте вариант, за исключением разного понимания критериев адекватности предлагаемого уровня защиты персональных данных. Перечень стран, обеспечивающих адекватную защиту персональных данных, поэтому сильно различается. Так же в Российской Федерации отсутствуют иные способы подтверждения достаточного уровня защиты персональных данных, таких как надлежащие меры предосторожности в Регламенте (обязательные корпоративные правила, стандартные оговорки и иные надлежащие меры предосторожности). Очевидно, что это плохо отражается на бизнесе, так как многие странны не входят список стран, обеспечивающих адекватный уровень защиты, а исключения применимы только в ряде случаев.

Важно так же отметить отличие в требованиях к согласию субъекта персональных данных. В РФ требуется, что бы согласие было письменным, тогда как Регламент требует явное информированное согласие субъекта персональных данных. Требования регламента выше и обращены к материальному содержанию согласия, тогда как Российское законодательство акцент делает на форме.

Различаются и ответственности, предусмотренные за нарушения законодательства о персональных данных. Несоблюдение российского законодательства о персональных данных, влечет за собой административный штраф самый максимальный 50 000 рублей, согласно статье 13.11. "Нарушение законодательства Российской Федерации в области персональных данных" Кодекса об административных правонарушениях.

Административные штрафы за нарушение Регламента значительно выше, чем штрафы, предусмотренные КоАП за нарушения российского законодательства. Иногда российским субъектам предпринимательской деятельности выгоднее нарушить положения ФЗ № 152, и уплатить штраф, чем соблюдать правила препятствующие экономически выгодным бизнес схемам. Однако усиление штрафных санкции в Российском законодательстве должно происходить только после усовершенствования самого законодательства, его обновления и принятия таких решений, которые позволят эффективно осуществлять предпринимательскую деятельность.

Другим крупным блоком отличий в регулировании трансграничной передачи персональных данных стали положения законодательства РФ о локализацию хранения информации.

Согласно пункту 5 статьи 18 ФЗ № 152 "оператор данных при сборе персональных данных российских граждан, в том числе посредством информационно-телекоммуникационной сети Интернет, обязан обеспечить запись, систематизацию, накопление, хранение, обновление, и изменение таких персональных данных с использованием баз данных находящихся на территории Российской Федерации, за исключением случаев, указанных в подраздела 2,3,4,8 пункта 1, статьи 6 настоящего закона"Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) "О персональных данных". // Собрание законодательства РФ", 31.07.2006, N 31 (1 ч.), ст. 3451..

По-сути локализация данных подразумевает отсутствие какой-либо трансграничной передачи таких данных. После принятии поправок в ФЗ № 152 было не понятно как их интерпретировать относительно трансграничной передачи персональных данных и как возможно реализовать эти меры на практике, так как с технической точки зрения, переданные персональные данные будут неизбежно храниться, на сервере, расположенном за пределами границы Российской ФедерацииСм. стр. 135 Savelyev А. Russia's new personal data localization regulations: A step forward or a self-imposed sanction? // Computer law & security review №32 (2016) 128-145..

Тем не менее, существует неофициальный комментарий Роскомнадзора, предлагающий действенное решение для обеспечения сосуществование правил о локализации персональных данных и трансграничной передачи персональных данных. Все базы данных, которые могут содержать личные данные должны быть разделены на две группы - первичные базы данных и вторичные базы данныхСм. стр. 133 тамже..

"База данных, где личные данные должны быть первоначально записаны, а также хранится и обновляется на более позднем этапе, должна находиться в России ("первичная база данных")". "После этого информация от таких "Первичных баз данных" могут быть перенесены в базы данных, расположенные за пределами России ("вторичные базы данных"), в соответствии с положениями Закона о персональных данных, связанных с трансграничной передачей".См. стр. 133 тамже. "Другими словами, главная копия личных данных российских граждан, собранных в России, должна быть расположена в России, а также последующие обновления и дополнения к этим личным данным. Технические решения, в которых первичная база данных находится за рубежом, и создается только русская копия ("копия" или "зеркало") такой зарубежной базы данных, не соответствуют закону"См. стр. 133 тамже..

Из-за правил о локализации данных, негативный эффект который законодательство Российской Федерации оказывает на торговлю и инновации намного выше, чем эффект, оказываемый Регламентом.

Во-первых, соблюдение новых правил локализации персональных данных требует от компании денежных и временных затрат, таких как необходимость применения новых технологических решении, затрат на локальные базы данных и прочее. Во-вторых, возможно не предоставление российским гражданам некоторых услуг, требующих свободного потока персональных данных. И конечно локализация наиболее негативно сказывается на таких инновационных технологиях, как облачные вычисления, интернет вещей и большие данные.

Вышеизложенное приводит к выводу, что Регламента и Российское законодательство, регулирующее область персональных данных, не гармонизированы, несмотря на то, что ЕС и РФ члены Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. Это приводит к дополнительным обременениям для компаний, которые ведут бизнес одновременно и в Российской Федерации и Евросоюзе. Такие компании несут двойную нагрузку и ответственность. Так же, можно отметить, что российское законодательство больше склонно к увеличению контроля над информационным обменом в своем национальном сегменте.

Заключение

Настоящая работа посвящена теме трансграничной передачи персональных данных в соответствии с Регламентом ЕС. Целью настоящего исследования было изучить и сравнить с законодательством Российской Федерации механизмы регулирования трансграничной передачи персональных данных, согласно Регламенту. А также, рассмотреть практическое значение трансграничной передачи персональных данных для предпринимательской деятельности и влияние правовых механизмов ограничения трансграничной передачи персональных данных на достижение баланса между правом на защиту персональных данных физических лиц и интересами субъектов предпринимательской деятельности.

Для достижения цели исследования были выполнены следующие задачи:

Во-первых, было проанализировано значение трансграничной передачи персональных данных для предпринимательской деятельности и развития инновации. Были рассмотрены правовые механизмы, с помощью которых государства регулирует, и контролируют такую передачу, их влияние на торговлю и бизнес.

Здесь можно говорить о том, что с одной стороны право на конфиденциальность персональных данных - это одно из фундаментальных прав человека, и государства обязаны принимать меры по защите таких прав, в том числе и при их трансграничной передаче. С другой стороны, свободная трансграничная передача необходима для эффективной предпринимательской деятельности и развития инновационных технологий. Поэтому государствам необходимо искать баланс в регулировании этих вопросов.

Во-вторых, были определены общие и специальные принципы, регулирующие трансграничную передачу персональных данных в соответствии с Регламентом. Рассмотрена и проанализирована процедура трансграничной передачи персональных данных в третьи страны и территории или в международные организации.

В отношении этого аспекта, был сделан вывод, что Регламент предусматривает различные методы защиты персональных данных при их трансграничной передачи и подробно регламентирует такую передачу. Устанавливая разрешительный порядок передачи данных, регламент предусматривает ряд процедур, только при соблюдении которых, трансграничная передача персональных данных допустима.

В-третьих, нами был проведен сравнительный анализ положений Регламента и законодательства РФ.

Выяснено, что регулирование передачи персональных данных в ЕС и РФ хотя и имеет схожее элементы, тем не менее различается и оказывает различный эффект на предпринимательскую деятельность. Центральной проблемой для обеих юрисдикций является то, как регулирование трансграничной передачи персональных данных, особенно запрет трансграничной передачи персональных данных третьим странам, может повлечь за собой упущенные возможности для бизнеса. Обе юрисдикции пытаются найти баланс между защитой прав граждан и интересами субъектов предпринимательской деятельности. При этом подход Евросоюза более адаптирован к современным бизнес процессам и позволяет бизнесу выбрать подходящую модель для осуществления трансграничной передачи персональных данных. Законодательство Евросоюза выбрало путь установления строгой регламентации трансграничной передачи персональных данных, тогда как законодательство Российской Федерации выбрала путь частичного запрета на передачу персональных данных, путем введения правил о локализации персональных данных. Такой путь с одной стороны позволяет обеспечить безопасность внутреннего сегмента рынка, но с другой представляет собой жесткие меры, негативно влияющие на бизнес, сотрудничество и бизнес-схемы, опирающиеся на современные технологии, такие как интернет вещей, искусственный интеллект и облачные вычисления.

Так же проблема заключается в том, что Регламент и Российское законодательство, регулирующее область персональных данных, не гармонизированы. Это приводит к дополнительным обременениям для компаний, которые ведут бизнес одновременно и в Российской Федерации и Евросоюзе.

Таким образом, можно сделать вывод, что Регламент предусматривает различные методы защиты персональных данных при их трансграничной передачи и подробно регламентирует такую передачу. Регламент позволяет обеспечить баланс между правами на защиту персональных данных и интересами субъектов предпринимательской деятельности. Регулирование передачи персональных данных в ЕС и РФ хотя и имеет схожее элементы, тем не менее различается и оказывает различные эффект на предпринимательскую деятельность.

Библиографический список

1. Федеральный закон "О персональных данных" от 27.07.2006 № 152-ФЗ (ред. от 31.12.2017г.) // Собрание законодательства РФ. 2006 г. № 31 (1 ч.). Ст. 3451.

2. Приказ Роскомнадзора "Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных" от 15.03.2013 № 274 (в редакции от 15.06.2017г.) // Российская газета.2013г. № 92.

3. Американская конвенция о правах человека (Заключена в г. Сан-Хосе 22.11.1969) Международные акты о правах человека. // Сборник документов. Изд. 2.- М.: Норма-ИНФРА-М, 2002. С. 867 - 886.

4. Всеобщая декларация прав человека (принята Генеральной Ассамблеей ООН 10.12.1948г.) // Российская газета. 1998г.

5. Конвенция о защите прав человека и основных свобод от 04.11.1950г. (с изм. от 13.05.2004г.) // Собрание законодательства РФ. 2001г. №2, ст. 163.

6. Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Заключена в г. Страсбурге 28.01.1981г.) (вместе с Поправками к Конвенции о защите физических лиц при автоматизированной обработке персональных данных (СДСЕ № 108), позволяющими присоединение европейских сообществ, принятыми Комитетом Министров в Страсбурге 15.06.1999г.) Собрание законодательства РФ. 2014г. № 5.Ст. 419.

7. Международный пакт о гражданских и политических правах // Бюллетень Верховного Суда РФ. 1994г. №12.

...