Сфера действия общего Регламента о персональных данных ЕС

Размещено на http://www.allbest.ru/

Сфера действия общего Регламента о персональных данных ЕС

Людмила Вячеславовна Терентьева, доцент кафедры международного частного права Университета имени О.Е. Кутафина (МГЮА), кандидат юридических наук, доцент

Аннотация

Цель настоящей статьи заключается в определении сферы распространения Регламента Европейского Парламента и Совета ЕС 2016 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (далее -- Регламент). В качестве метода исследования автором предпринят сравнительно-правовой анализ положений Директивы Европейского Парламента № 95/46/ EC «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» (далее -- Директива) и Регламента. В результате исследования автором разграничивается территориальная и экстратерриториальная сфера распространения Регламента. Уточняется содержание понятий «оборудование» и «место учреждения» контролера и лица, обрабатывающего персональные данные, в контексте применения Регламента. В статье формулируется вывод о том, что, поскольку при отмене Директивы в Регламент не были внесены изменения в понятие «учреждение», широкое толкование данного понятия в судебной практике может быть также применимо и к территориальной сфере действия Регламента. Преемственность формулировок Директивы и Регламента позволили автору заключить, что экстратерриториальную сферу применения Регламента можно усмотреть не только в ч. 2 ст. 3 Регламента, предусматривающей его прямое экстратерриториальное действие, но и в ч. 1 ст. 3, оговаривающей территориальную сферу его действия, на основании критериев, в основе которых лежит привязка исключительно к территории государств -- членов ЕС, как, например, «место учреждения» контролера или лица, обрабатывающего персональные данные.

Ключевые слова: персональные данные; направленная деятельность; экстратерриториальная юрисдикция; киберпространство; территориальная юрисдикция; оборудование; контролер; лицо, обрабатывающее персональные данные.

Abstract

SCOPE OF THE EU GENERAL PERSONAL DATA REGULATION

L.V. TERENTEVA,

Associate Professor of the Chair of Private International Law of the Kutafin Moscow State Law University (MSAL), Cand. Sci. (Law), Associate Professor

The purpose of this article is to clarify the scope of the Regulation (eu) 2016/679 of the European parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/ EC (General Data Protection Regulation) (here in after -- Regulation). The author makes a comparative legal analysis of the provisions of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (here in after -- the Directive) and Regulations. As a result of the study, the author distinguishes between the territorial and extraterritorial scope of the Regulation.

The author clarifies the content of the concepts of “equipment” and “the establishment” of the controller and the person processing personal data in the context of the application of the Regulations. The article concludes that since no changes were made to the concept of “the establishment” when the Directive was repealed, a broad interpretation of this concept in judicial practice can also be applied to the territorial scope of the Regulation.

The continuity of the wording of the Directive and the Regulation allowed the author to conclude that the extraterritorial scope of the Regulation can be seen not only in Part 2 of Article 3 of the Regulation, which provides for its direct extraterritorial effect, but also in Part 1 of Article 3, which specifies the territorial scope of its action, on the basis of criteria that are based solely on the territory of the EU member States, such as the “place of establishment” of the controller or the person processing personal data.

Keywords: personal data; directed activity; extraterritorial jurisdiction; cyberspace; territorial jurisdiction; equipment; controller; person processing personal data.

Факторы глобализации, такие как международная торговля, туризм и иностранные инвестиции, катализировали ситуацию конкуренции юрисдикций различных государств.

Особенно отчетливо указанная тенденция проявилась в информационно-коммуникационном пространстве, масштабное развитие которого способствовало смешению границ национальных правовых пространств и увеличению числа случаев установления экстратерриториальной юрисдикции.

Возможность наступления последствий на территории одного государства в результате принятия актов на территории других государств послужила обоснованием доктринальной позиции о том, что концепции расширенной юрисдикции становятся частью правовой системы России и многих других государств.

В этой связи реализация экстратерриториальной юрисдикции в отношении иностранных государств не просто представляет собой теоретический концепт, а становится вопросом факта. При этом критерий разграничения территориального или экстратерриториального проявления юрисдикции в современных условиях в большей степени зависит не от четкой территориальной демаркации между государствами, а от того, затрагиваются ли значимые интересы одного государства в результате реализации юрисдикционных полномочий другого государства.

В данных условиях государства стоят перед необходимостью разработки инструментария, который позволяет, с одной стороны, защитить права своих граждан, нарушение которых может осуществляться без физического пересечения государственных границ в связи с использованием информационно-коммуникационных технологий; с другой -- пресечь ситуации конфликтов юрисдикций различных государств.

Иллюстрацией установления экстратерриториальной предписательной юрисдикции может служить законодательство государств о персональных данных.

Закон Австралии о конфиденциальности 1988 г. распространяется на любую организацию или оператора малого бизнеса, имеющих связь с Австралией, в частности с осуществлением предпринимательской деятельности в Австралии (Sec. 5B, par. 3(b)). Закон о защите персональных данных 2012 г. Сингапура распространяется на организации, собирающие персональные данные физических лиц в Сингапуре, независимо от того, присутствует ли сама организация в Сингапуре.

Экстратерриториальная сфера действия была заложена и в Директиве Европейского Парламента № 95/46/EC «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» (далее -- Директива). В результате действия указанной Директивы, которая являлась обязательной прежде всего для государств -- членов Европейского Союза, в национальном праве ЕС имели место некоторые расхождения в ее реализации. В этой связи в 2016 г. был принят обязательный для всех физических и юридических лиц ЕС Регламент Европейского Парламента и Совета ЕС 2016 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (далее -- Регламент).

В статье 3 Регламента под названием «Территориальное действие» раскрывается как территориальная, так и экстратерриториальная сфера его распространения в зависимости от того, учреждены ли контролер или лица, обрабатывающие персональные данные, в Европейском Союзе.

Российскими учеными разграничивалась территориальная и юрисдикционная сфера действия Регламента о персональных данных. Территориальная сфера применения Регламента, по мнению авторов, ограничивается переделами Евросоюза, тогда как юрисдикционная сфера действия распространяется на субъектов за пределами Евросоюза.

Как представляется, распространение действия закона за пределами территории государства свидетельствует скорее о его экстратерриториальном проявлении, нежели о юрисдикционном.

В доктрине международного публичного права территориальный принцип юрисдикции относится к числу основных принципов наряду с персональным принципом, охранительным принципом, направленным на защиту государственных интересов, и универсальным принципом, направленным на защиту международного порядка.

Территориальный аспект юрисдикции отмечается и в международно-правовых актах, где юрисдикция, как правило, рассматривается с точки зрения распространения суверенной власти государств-участников на какие-либо объекты или определенные участки территории, а также как проявление территориального верховенства, из чего можно выделить как содержательный аспект юрисдикции, а именно совокупность властных полномочий (предписывающая, судебная, исполнительная юрисдикция), так и форму ее реализации -- пространственное ограничение ее действия пределами государственной территории.

Если территориальную юрисдикцию традиционно в отечественной и зарубежной доктрине определяют как совокупность властных полномочий государства, реализуемых в рамках определенной территории, то под экстратерриториальной юрисдикцией понимается распространение указанных полномочий за пределы территории государства .

Расширенное понимание территориальной юрисдикции в доктрине объясняется разнообразием ситуаций, подпадающих под ее действие11.

Таким образом, представляется более логичным говорить не столько о юрисдикционном распространении закона, сколько о его территориальном и экстратерриториальном действии. Юрисдикция, не теряя своей территориальной сущности, в случае ее реализации за пределами соответствующего государства, трансформируется из территориальной в экстратерриториальную. регламент персональные данные

Пункт 1 ст. 3 Регламента предусматривает его территориальное действие в отношении обработки персональных данных в контексте деятельности учреждения контролера или обрабатывающего данные лица в ЕС, вне зависимости от того, проводится обработка в ЕС или нет.

Между тем, как показывает судебная практика, даже предусмотренное в Регламенте условие о его территориальном распространении в соответствии с критериями, в основе которых лежит привязка исключительно к территории государств -- членов ЕС, в ряде случаев может носить экстратерриториальный характер.

В пункте 22 преамбулы Регламента поясняется, что учреждение подразумевает под собой эффективное и реальное осуществление деятельности посредством стабильных организаций. При этом правовая форма такого учреждения, будь то филиал или дочерняя компания с самостоятельной правосубъектностью, не является определяющим фактором.

В предшествующей Регламенту Директиве учреждение понималось похожим образом в целях определения территориальной сферы действия национального права государства-члена (ст. 4 и п. 19 преамбулы Директивы).

В этой связи ни национальность контролера или обрабатывающего данные лица, ни место их основного учреждения, ни физическое местонахождение обработки персональных данных не принимались во внимание ни отмененной в настоящее время Директивой, ни Регламентом.

Еще до принятия Регламента уточнение содержания понятия «учреждение» имело место в деле Case C-230/14 «Weltimmo s.r.o. V. Nemzeti Adatvedelmi es Informacioszabadsag Hatosag» в отношении зарегистрированной в Словакии компании Weltimmo. Суд, исключая формальный подход, заключил, что Weltimmo в целях применения Директивы имела «учреждение» на территории Венгрии, отметив, что реальная и эффективная деятельность, даже если она является минимальной, может быть квалифицирована как учреждение.

Такого рода деятельность, по мнению суда, может заключаться, во-первых, в ведении компанией Weltimmo соответствующего веб-сайта, на котором осуществлялась реклама недвижимости в Венгрии на венгерском языке; во-вторых, в присутствии представителя в лице одного из учредителей, наряду с другими элементами, такими как открытый в Венгрии банковский счет и почтовый ящик. При этом в решении суда было отмечено, что «присутствие только одного представителя может в некоторых обстоятельствах быть достаточным... если этот представитель действует с определенной степенью стабильности благодаря наличию необходимого оборудования для оказания соответствующих конкретных услуг».

Факт присутствия представителя как критерий применимости законодательства о персональных данных был подвергнут критике в иностранной доктрине ввиду слабой связи между местом нахождения представителя и государством, в котором имеет место деловая активность компании. То обстоятельство, что представитель не принимал участия в хозяйственных делах компании, а лишь отстаивал ее интересы в судебном процессе, позволило иностранным ученым сделать вывод о том, что функция представителя может быть выполнена нанятым на договорной основе адвокатом, не работающим в компании.

В деле «Google Spain case (C-131/12, Google Spain SL and Google Inc. v. Agencia Espanola de Protection de Datos (AEPD) and Mario Costeja Gonzalez» также было предложено широкое толкование понятия «учреждение» в контексте применения Директивы. Гражданин Испании обратился с жалобой в испанское агентство по защите данных (AEPD) на размещение персональных данных в ежедневной испанской газете (La Vanguar dia Ediciones SL), а также на Google Spain и Google Inc., отображающих электронную версию. Спорным моментом стал статус Google Spain. В то время как Google Inc. -- материнская компания группы Google, зарегистрированная в США, управляет поисковой системой, отображающей страницы испанской газеты, функция дочерней компании Google Spain ограничивалась только продвижением рекламного пространства на веб-сайте Google.

В судебном разбирательстве был поднят вопрос, осуществлялась ли обработка персональных данных в рамках деятельности Google Spain. Суд установил, что, несмотря на то, что обработка персональных данных производилась исключительно компанией Google Inc., деятельность Google Spain (продвижение и продажа рекламных площадей в Интернете) неразрывно связана с этой обработкой, поскольку «деятельность, связанная с рекламным пространством, является средством обеспечения экономической прибыльности рассматриваемой поисковой системы».

Суд пришел к выводу, что персональные данные Гонсалеса обрабатываются Google Spain в связи с отсутствием требования о том, что обработка персональных данных должна осуществляться самим учреждением, поскольку говорится об обработке данных в контексте (в рамках) деятельности этого учреждения.

Таким образом, в отсутствие регистрации компании на территории Испании Google Inc. была признана контролером данных, тогда как ее дочерняя компания Google Spain была квалифицирована в качестве «учреждения».

Указанные примеры демонстрируют, что даже на основе критериев, в основе которых лежит привязка исключительно к территории государств -- членов ЕС, имеет место проявление экстратерриториальной предписательной и судебной юрисдикции.

Реализуется экстратерриториальная юрисдикция на основе доктрины эффекта, или доктрины последствий. К доктрине эффекта, или доктрине последствий, ученые относят экстратерриториальную юрисдикцию, устанавливаемую в отношении иностранного гражданина, действия которого на территории иностранного государства имеют серьезные последствия на территории государства, устанавливающего юрисдикцию.

Обработка данных Google Inc. хотя физически и происходила на территории США, тем не менее оказывала влияние на испанского гражданина, что обусловило применение Директивы, требовавшей соблюдение национальных законов места учреждения лиц, обрабатывающих данные, или контролеров.

Принимая во внимание, что при отмене Директивы в Регламент не были внесены изменения в части понятия «учреждение», можно заключить, что те выводы, которые были сделаны в деле Google Spain, в равной степени могут быть применимы и к территориальной сфере действия Регламента. Об этом свидетельствует воспроизведенная в Регламенте конструкция Директивы «в контексте деятельности учреждения контролера или обрабатывающего данные лица в Союзе, вне зависимости от того, проводится обработка в Союзе или нет».

В иностранной доктрине был приведен пример такого рода подхода в отношении многонациональной компании. Если находящаяся за пределами ЕС материнская компания обрабатывает для целей централизованного управления персональные данные сотрудников группы компаний, находящихся в ЕС и такая обработка происходит в рамках деятельности этих компаний, то к обработке данных сотрудников соответствующих компаний ЕС будут применяться законы ЕС.

В отличие от Регламента, п. «с» ч. 1 ст. 4 Директивы предусматривал применение национального права государства-члена к обработке персональных данных, если контролер, не имеющий учреждения на территории ЕС, для целей обработки персональных данных использует автоматизированное или иное оборудование, расположенное на территории государства-члена, за исключением случаев, когда такое оборудование используется только для целей транзита через территорию сообщества.

В документе, созданном Рабочей группой по определению трансграничного применения законодательства по защите персональных данных, обрабатываемых через Интернет веб-сайтами третьих стран, приведены примеры оборудования, к которому могут быть отнесены персональные компьютеры, терминалы и серверы, которые могут использоваться практически для всех видов технологических операций. В качестве типичного случая использования оборудования только для транзита приводятся телекоммуникационные сети (магистральный канал передачи данных, кабели и т.д.), по которым интернет-коммуникации проходят от пункта отправки до пункта назначения.

В документе рабочей группы также отмечено, что не имеет значения, осуществляет ли контролер полный контроль над оборудованием, а также на каком основании осуществляется распоряжение контролера оборудованием (на основании права собственности или иного права). Для целей применения Регламента необходимо, чтобы контролер принимал соответствующие решения относительно способа функционирования оборудования, существа данных и процедуры их обработки. При этом понятие «использование» предполагает два элемента: определенную деятельность, осуществляемую контролером, и намерение контролера обрабатывать персональные данные.

Рабочая группа придерживалась весьма широкой трактовки понятия «оборудование», включая также «сбор персональных данных через компьютеры пользователей, посредством файлов cookie или баннеров Java Script», что обусловило применение п. «с» ч. 1 ст. 4 к поставщикам услуг, созданным в третьих странах. При этом в документе отмечено, что в случае файлов cookie физическое лицо должно иметь возможность принять или отказаться от размещения файлов cookie, а также определить, какие данные оно желает обрабатывать с помощью файлов cookie, а какие -- нет.

В самом Регламенте файлы cookie упоминаются только в параграфе 30 преамбулы Регламента: Физические лица могут быть ассоциированы с определенными сетевыми идентификаторами, которые обеспечиваются устройствами, приложениями, программными средствами и протоколами, как, например, IP-адреса, идентификаторы типа cookie -- файлы или иные, например метки радиочастотной идентификации. Такого рода сетевые идентификаторы, особенно в сочетании с уникальными идентификаторами и другой полученной серверами информацией, оставляют следы, которые могут быть использованы для создания профилей физических лиц в целях их идентификации.

В руководстве по соблюдению требований о защите персональных данных в ЕС файлы cookie подразделены на четыре категории:

-- строго необходимые файлы cookie, которые используются для просмотра вебсайта и использования его функций, например, в целях сохранения товаров в корзине интернет-магазинов;

-- файлы cookie предпочтений («функциональные файлы cookie»), которые позволяют веб-сайту запоминать уже выбранные ранее варианты (используемый язык, предпочитаемый регион в целях составления сводки о погоде, имя пользователя и пароль и т.п.);

-- статистические файлы cookie, также известные как «файлы cookie производительности», эти файлы cookie собирают информацию о том, как вы используете веб-сайт, например, какие страницы вы посещали и по каким ссылкам переходили. Информация не используется для идентификации лица, цель сбора данной информации -- улучшить функции веб-сайта;

-- маркетинговые файлы cookie, которые отслеживают онлайн-активность предпочтения и местоположение пользователя в целях предоставления релевантной рекламы. Эти файлы cookie, почти всегда стороннего происхождения, могут передаваться рекламодателям.

Использование именно маркетинговых файлов cookie третьей стороной было ограничено в результате принятия Ргламента о персональных данных в ЕС.

Судом Евросоюза 01.10.2019 было конкретизировано использование файлов cookie. Суд установил, что согласие, которое пользователь веб-сайта дает на хранение файлов cookie и на доступ к ним на своем оборудовании, должно быть прямым и конкретным. Указание на сайте на возможность отключить cookies через настройки браузера не считается полноценным механизмом отказа.

Такого рода либеральная интерпретация понятия «оборудование» подвергалась критике в доктрине в связи отсутствием достаточной связи между деятельностью компаний третьих стран и Европейским Союзом, что обусловило постановку вопроса, насколько легитимными являются законы, принятые «для всего мира».

В российской и иностранной доктрине был поставлен вопрос о допустимости применения законодательства о персональных данных в отношении серверов, находящихся на территории нескольких государств (облачные сервисы), или арендованных контролером, или же принадлежащих нескольким организациям. Сомнительность использования критерия «оборудование» была объяснена экономической нецелесообразностью отслеживания его местоположения, поскольку поставщики облачных услуг с трудом могут определить, где хранятся персональные данные.

В Регламент не был включен предусмотренный в Директиве критерий «место нахождения оборудования» на территории государства-члена в качестве условия применения Регламента к обработке персональных данных.

Такого рода решение могло быть мотивировано тем, что экстратерриториальное действие Регламента, предусмотренное в п. 2 ст. 3, делает такой критерий, как «место нахождения оборудования», избыточным.

В соответствии с п. 2 ст. 3 Регламент последний применяется в отношении обработки персональных данных субъектов данных, находящихся в Союзе, контролером или обрабатывающим данные лицом, не учрежденными в Союзе, если обработка данных касается:

(a) предоставления товаров и услуг субъектам данных в Союзе вне зависимости от того, требуется ли оплата от указанного субъекта данных, или

(b) мониторинга их деятельности при условии, что деятельность осуществляется на территории Союза.

Смещение фокуса с места расположения оборудования на место осуществления направленной деятельности контролера или лица, обрабатывающего данные, объясняется развитием современных информационных технологий, позволяющих предприятиям обрабатывать персональные данные лиц, находящихся практически в любой точке мира. В этой связи, если поставщик облачных услуг третьей страны использует сервер в государстве-члене для хранения данных своих клиентов, то Регламент будет регулировать соответствующие отношения, если соответствующие услуги были предложены субъектам данных в государстве-члене.

В зарубежной доктрине отмечено, что, если экстратерриториальный характер действия Директивы исходил преимущественно из толкования отдельных положений Директивы Европейским судом, то экстратерриториальность Регламента прямо заложена в его статьях. Между тем преемственность формулировок Директивы и Регламента позволяет заключить, что экстратерриториальную сферу применения Регламента можно усмотреть не только в ч. 2 ст. 3 Регламента, предусматривающей его прямое экстратерриториальное действие, но и в ч. 1 ст. 3, оговаривающей территориальную сферу его действия, на основании критериев, в основе которых лежит привязка к территории государства -- члена ЕС.

БИБЛИГРАФИЯ

1. Бабаев А. Б., Бабкин С. А., Бевзенко Р С., Белов В. А., Тарасенко Ю. А. Гражданское право. Актуальные проблемы теории и практики : в 2 т. / под общ. ред. В. А. Белова; 2-е изд., стереотип. -- М. : Юрайт, 2015. -- Т. 2

2. Долинская В. В. Защита прав в сфере персональных данных в России и ЕС// Законы России: опыт, анализ, практика. -- 2019. -- № 9. -- С. 22--29.

3. Зимненко Б. Л. Международное право и правовая система Российской Федерации. Особенная часть : курс лекций. -- М. : Статут, 2010. -- 543 с.

4. Касенова М. Б. Некоторые замечания относительно диверсификации правового регулирования защиты персональных данных: подход Европейского Союза // Юридическая наука. -- 2018. -- № 2. -- С. 17--26.

5. Лукашук И. И. Международное право. Общая часть : учебник для студентов юридических факультетов и вузов. 3-е изд., перераб. и доп. -- М. : Волтерс Клувер, 2008. -- 415 c.

6. Международное право. Общая частья : учебник / под ред. Р М. Валеевой, Г. И. Курдюкова. -- М. : Статут, 2011. -- 543 с.

7. Талапина Э. В. Защита персональных данных в цифровую эпоху: российское право в европейском контексте // Труды института государства и права российской академии наук. -- 2018. -- № 5. -- С. 117--150.

8. Толстых В. Л. Курс международного права : учебник. -- М. : Проспект, 2018. -- 736 с.

9. Хименес де Аречага Э. Современное международное право. -- М. : Прогресс, 1983. -- 480 c.

10. Akehurst M. A. Modem Introduction to International Law. -- 5th ed. -- London, 1985. -- 310 p.

11. Azzi A. The Challenges Faced by the Extraterritorial Scope of the General Data Protection Regulation // Journal of Intellectual Property, Information Technology and E-Commerce Law. -- 2018. -- Vol. 9 (2). -- URL: https://www.jipitec.eu/issues/ jipitec-9-2-2018/4723.

12. Colangelo A. J. What is extraterritorial jurisdiction? // Cornell Law Abstract. -- 2014. -- Vol. 99. -- P. 1303--1352.

13. Gullaker H. The extraterritorial scope of European data protection law: The changes in extraterritorial scope between the Data Protection Directive and the General Data Protection Regulation. Р 15 // URL: https://www.duo.uio.no/ bitstream/handle/10852/60636/586.pdf?sequence=1&isAllowed=y (дата обра-щения 14.11.2020).

14. Moerel L. The long arm reach of EU data protection law: Does the Data Protection Directive apply to processing of personal data of EU citizens by websites worldwide? // International Data Privacy Law. -- 2001. -- № 1 (1)

15. Moniz G. C. Finally: a coherent framework for the extraterritorial scope of EU data protection law -- WBe end of the linguistic conundrum of Article 3 (2) of the GDPR // UNIO -- EU Law Journal. -- 2018. -- Vol. 4. -- № 2. -- Рр. 105--116.

16. Parrish A. Reclaiming International Law from Extraterritoriality // Minnesota Law Abstract. -- 2009. -- Vol. 93. -- P. 815--874.

17. Savelyev A. Russia's new personal data localization regulations: A step forward or a self-imposed sanction? // ^mputer law & security review. -- 2016. -- Vol. 32. -- P. 128--145.

18. Senz D., Charlesworth H. Building Blocks: Australia's Response to Foreign

Extraterritorial Legislation // Melbourne Journal of International Law. -- 2001. -- Vol. 2. -- URL: https://law.unimelb.edu.au/ data/assets/pdf_file/0019/1680004/

Senz-and-Charlesworth.pdf.

19. Spencer A. B. Jurisdiction and the Internet: Returning to Traditional Principles to Analyze Network-Mediated Contacts // University of Illinois Law Abstract. -- 2006. -- Vol. 71 (102). -- P. 71--126.

20. Zerk J. A. Extraterritorial Jurisdiction: Lessons for the Business and Human Rights Sphere from Six Regulatory Areas. -- Working Paper № 59. -- Harvard Corporate Social Responsibility Initiative, 2010. -- 222 p.

Размещено на Allbest.ru