Международный правовой курьер

В перечне ВАК с 2015 г.

Защита персональных данных как один из инструментов создания Единого цифрового рынка Европейского Союза

В статье освещаются и анализируются меры, принимаемые на уровне Европейского Союза (ЕС) по обеспечению защиты персональных данных в целях создания единого цифрового рынка. В эру глобализации и все новых технологических достижений соблюдение права на защиту персональных данных приобретает все большее значение. Для выявления роли, которую играет защита персональных данных для обеспечения надлежащего функционирования единого цифрового рынка и внутреннего рынка в целом автор анализирует некоторые документы Европейской Комиссии, принятые в основном за последние два года. Без внимания не остаются, естественно, и нормы первичного права ЕС, Регламента 2016/679 о защите физических лиц в отношении обработки персональных данных и их свободном перемещении, а также положения Стратегии для единого цифрового рынка. Автор приходит к выводу, в том числе, о последовательности, комплексности, скоординированности и своевременности действий институтов ЕС в сфере защиты персональных данных для повышения эффективности правового регулирования Единого цифрового рынка ЕС. 

Ключевые слова: Европейский Союз, право Европейского Союза, права человека, защита прав человека, персональные данные, защита персональных данных, право на защиту персональных данных, обработка персональных данных, единый цифровой рынок Европейского Союза, внутренний рынок Европейского Союза, Европейская Комиссия

 

The Personal Data Protection as one of the tools for creating a Single Digital Market of the European Union

Abstract: The article highlights and analyzes the measures taken at the level of the European Union (EU) to ensure the protection of personal data in order to create a single digital market. In the era of globalization and new technological advances, the observance of the right to personal data protection is becoming increasingly important. In order to identify the role played by the protection of personal data to ensure the proper functioning of the single digital market and internal market as a whole, the author analyzes some documents of the European Commission adopted mainly over the past two years. Naturally, the norms of the EU primary law, Regulation 2016/679 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, as well as the provisions of the Strategy for the Single Digital Market, do not remain without attention. The author comes to the conclusion, among other things, about the consistency, complexity, coordination and timeliness of the actions of EU institutions in the field of personal data protection to improve the effectiveness of legal regulation of the EU Single Digital Market.

Key words: European Union, European Union law, human rights, human rights protection, personal data, right to the protection of personal data, personal data processing, single digital market of the European Union; internal market of the European Union, European Commission

 

В свете множества предпринимаемых институтами Европейского Союза (далее — ЕС) мер внутренний рынок ЕС находится в постоянном развитии. Так, в частности, внутренний рынок играет ведущую роль в реагировании на целую серию вызовов, с которыми в последнее время сталкивается ЕС. Среди них — ускорение внедрения новых технологий. Действительно, без мобильного интернета, онлайн-платформ и иных цифровых изобретений сложно представить современную жизнь. Масштабы и последствия современного этапа информатизации общества носят революционный характер[1]. А в 2020 году (год распространения Covid-19) как никогда люди почувствовали незаменимость цифровых технологий, прежде всего, Интернета. Всем уже очевидно, что пандемия коронавируса радикально изменила значение цифровизации. Цифровые технологии теперь стали еще более неотъемлемой часть разных сфер нашей жизни: работы, учебы, общения, приобретения товаров и различных услуг от сферы здравоохранения до культуры. Она также продемонстрировала в очередной раз уязвимость цифрового пространства, а следовательно, и сферы прав человека, и необходимость еще более детального его правового регулирования.

С одной стороны, цифровая трансформация предоставляет новые возможности для развития экономических свобод внутреннего рынка (наиболее очевиден пример с электронной торговлей), а с другой  — при этом должна способствовать тому, чтобы люди имели доступ к своим персональным данным, могли их использовать и управлять ими совершенно безопасно на территории всего ЕС в независимости от своего местонахождения и местонахождения персональных данных. И это, действительно, взаимосвязанные аспекты процесса цифровизации. Не стоит забывать, что и само создание и развитие внутреннего рынка привело к существенному увеличению объемов трансгранично перемещаемых персональных данных в рамках ЕС. Персональные данные благодаря современным технологиям перемещаются более свободно[2], частные компании и органы государственной власти используют персональные данные в небывалых ранее масштабах, физические лица все больше и больше предоставляют доступ к своим данным. Однако технологический прогресс и глобализация создали большое число различных проблем при реализации физическими лицами своего права на защиту персональных данных, с которыми, естественно, столкнулись и в государствах-членах ЕС, и в самом ЕС в целом. Например, как подчеркивает Н.С. Ревенко, кибер-угроза стала серьезной проблемой, а такие правонарушения, как перехват информации, мошенничество с платежами, кража персональных данных, ведут к значительным экономическим потерям[3]. Вследствие этого необходимо непрестанно совершенствовать механизм правового регулирования ЕС в рассматриваемой сфере. В частности, технологический прогресс служит причиной реформирования правового регулирования с целью повышения его эффективности. Даже уже за первую половину текущего года был принят целый ряд актов ЕС по вопросам совершенствования единого цифрового рынка и цифровой сферы в целом.

Если люди будут уверены в том, что при передаче своих персональных данных в любом государстве-члене ЕС будут гарантированно соблюдаться нормы права ЕС о защите персональных данных, то доверие к инновациям, основанным на данных, будет только расти. И в этом проявляется позитивный аспект соотношения принципа уважения прав человека и реализации экономических свобод внутреннего рынка ЕС. Но не будем забывать и о негативном: защита прав человека может выступать основанием для ограничения экономических свобод внутреннего рынка как предусмотренным в ДФЕС, так и в форме императивных требований общего интереса, нашедших отражения в практике Суда ЕС. Важно отметить, что право на защиту персональных данных не абсолютное право, и должно быть сбалансировано в отношении других основных прав в соответствие с принципом пропорциональности.

Европейский Союз включает не только единый рынок товаров и услуг, но и разделяет ценности, закрепленные в Договоре о Европейском Союзе (далее – ДЕС), Договоре о функционировании Европейского Союзе (далее — ДФЕС)[4] и Хартии Европейского Союза об основных правах[5] (далее – Хартии), несмотря на то, что право ЕС имело и имеет по большей части экономическую направленность[6]. Если обратить внимание, в частности, на документы ЕС, посвященные цифровой среде, то практически точно мы встретим, что они должны применяться государствами-членами при соблюдении основных прав человека и принципов, закрепленных в Хартии об основных правах в отношении, прежде всего, защиты персональных данных, а также прав потребителей, запрета дискриминации, свободы выражения мнения и информации, свободы ведения бизнеса и т.д.

Двумя из десяти приоритетных направлений деятельности Европейской Комиссии, провозглашенных еще Жан-Клодом Юнкером, выступали более углубленный и равноправный (справедливый) единый внутренний рынок[7] и обеспечение пространства правосудия и основных прав человека, основанных на взаимном доверии[8]. А действующий председатель Европейской Комиссии Урсула вон дер Ляйен еще в своей предвыборной программе для Комиссии на 2019-2024 годы назвала данные и скусственный интеллект ингредиентами инноваций, которые способны помочь ЕС найти решения социальных проблем: от здравоохранения до сельского хозяйства, от безопасности до производства. И чтобы высвободить этот потенциал, Урсула вон дер Ляйен сказала, что «мы должны найти наш европейский путь, уравновешивая потокиданных и широкое использование данных при сохранении высокого уровня конфиденциальности, безопасности и этических стандартов. Мы уже достигли этого с общим регламентом по защите данных»[9].

Что касается правовой основы права на защиту персональных данных характера, то, конечно же, мы, прежде всего, назовем ДФЕС и Хартию ЕС об основных правах, а также акты вторичного права, затрагивающие в той или иной степени вопросы защиты персональных данных. В соответствии с пунктом 1 статьи 16 ДФЕС каждый имеет право на защиту относящихся к нему персональных данных. А в статье 8 Хартии ЕС также гарантируется каждому человеку право на защиту относящихся к нему персональных данных, а также еще право на получение доступа к собранным в отношении него данным, и право на устранение в них ошибок. Кроме этого, эта статья закрепляет основания для обработки подобных данных. Согласно пункту 2 статьи 16 ДФЕС Европейский Парламент и Совет в рамках обычной законодательной процедуры принимают правила о защите физических лиц в отношении обработки персональных данных институтами, органами и учреждениями Союза, а также государствами-членами при осуществлении деятельности, которая входит в сферу применения права Союза, и о свободном перемещении подобных данных. В ДФЕС предусматривается, что соблюдение этих правил находится под контролем независимых органов.[10].

Совместное использование персональных данных, как и товары и услуги,  часто является элементом экономики совместного потребления, которая, в свою очередь, служит одним из инструментов достижения целей, обозначенных Комиссией в Стратегии для единого рынка для Европы 2015 года[11]. На основании анализа Стратегии очевидно, что одним из инструментов повышения эффективности единого внутреннего рынка выступает защита персональных данных, которая, в свою очередь, является неотъемлемой частью пространства правосудия и основных прав человека (в формулировке названия одного из приоритетных направлений деятельности Комиссии ЕС).

Также в 2015 году Комиссией была принята Стратегия для Единого цифрового рынка для Европы[12] (далее – Стратегия). Не преминем отметить, что единый цифровой рынок составляет неотъемлемую часть единого внутреннего рынка ЕС. Итак, стратегия имеет целью устранение препятствий в рамках единого цифрового (электронного) рынка, которые не дают гражданам ЕС пользоваться преимуществами от выбора товаров и услуг, а предприятия в Интернет-сфере возможности в полной мере участвовать в будущем развитии сектора цифровых технологий. В Стратегии единый цифровой рынок определяется как: «рынок, в котором обеспечивается свободное передвижение товаров, людей, услуг и капитала и где граждане, физические и юридические лица могут беспрепятственно получать доступ и осуществлять онлайн-операции в условиях добросовестной конкуренции, а также с высоким уровнем защиты прав потребителей и персональных данных, независимо от их национальности или места жительства».

Стратегия предусматривает принятие ряда ключевых действий для создания единого цифрового рынка в рамках трех опор. Первая опора состоит в обеспечении доступа потребителей и бизнес-структур к товарам и услугам электронной торговли в рамках всего ЕС[13]. Вторая – в создании необходимых и равных условий для развития цифровых сетей и инновационных услуг. И третья – это максимизация потенциального роста цифровой экономики. И одной из групп мер в рамках второго направления деятельности «создании необходимых и равных условий для развития цифровых сетей и инновационных услуг» выступают как раз меры по защите персональных данных.

В 2016 году именно в рамках реформы, инициированной Комиссией, во исполнение Стратегии были приняты Регламент 2016/679 о защите физических лиц в отношении обработки персональных данных и их свободном перемещении[14] (далее – Регламент или Регламент  2016/679) и Директива 2016/680 о защите физических лиц в отношении обработки персональных данных компетентными властями в целях предотвращения, расследования, задержания или судебного преследования в связи с совершением уголовных правонарушений или исполнения уголовного наказания, а также в отношении свободного перемещения подобных данных[15]. Цель данной статьи не заключается в изложении содержания Регламента, которому посвящено уже не одно исследование. Но остановимся, в частности, на некоторых ключевых понятиях и принципах.

Конечно же, Регламент, как большинство актов вторичного права ЕС, содержит определения ключевых терминов (статья 4). Так, под персональными данными понимается любая информация, относящаяся к идентифицированному или могущему быть идентифицируемым физическому лицу (субъекту данных). Физическое лицо, которое может быть идентифицировано, – этот тот, кто может быть установлен прямо или косвенно, в частности, благодаря имени, идентификационному номеру, данным о местонахождении, Интернет-идентификатору или одному и нескольким характерным для этого лица чертам, относящимся к его физической, физиологической, генетической, ментальной, экономической, культурной или социальной индивидуальности. А что касается такого термина как «обработка данных», то это любая операция или их совокупность, осуществляемая с помощью автоматизированных средств или без нее, например, сбор, регистрация, организация, структурирование, хранение, приведение в соответствие или изменение, извлечение, использование, передача, распространение или иной любой способ обеспечения к ним доступа, согласование[16] или объединение, ограничение, уничтожение[17]. А «контроллер[18]» или иначе «ответственный за обработку данных» – физическое или юридическое лицо, государственное учреждение, агентство или иная структура, которая самостоятельно или совместно с другими определяет цели и способы обработки персональных данных; если цели и способы такой обработки определены правовыми актами Союза или государства-члена ЕС, то контроллер или специальные критерии для его назначения могут быть предусмотрены правовыми актами Союза или государства-члена ЕС.

Исключительно важной является статья 5 Регламента, в которой представлены принципы обработки персональных данных. Так, персональные данные должны: 1) обрабатываться законно, добросовестно и прозрачно для соответствующего физического лица (законность, добросовестность, прозрачность); 2) собираться для четко определенных законных целей и в дальнейшем не обрабатываться таким образом, который был бы несовместим с первоначальными целями (ограничение целей); 3) быть адекватными, соответствующими и ограниченными исходя из целей, для которых они обрабатываются (минимизация данных); 4) быть точными и актуальными (точность); 5) сохраняться в той форме, которая позволит идентифицировать соответствующее лицо в течение времени, необходимого для достижения целей их обработки (ограничение хранения); 6) обрабатываться способом, гарантирующим надлежащую безопасность персональных данных. Например, законность обработки данных раскрывается в статье 6 Регламента. В этой статье перечисляются альтернативные условия законности обработки данных (то есть достаточно выполнения как минимум одного), обозначена сфера применения некоторых из них, а также уровень или субъекты правового регулирования (ЕС или государства-члены). Наиболее очевидным условиям законности является согласие субъекта данных на обработку своих персональных данных для одной или нескольких конкретных целей. При чем в последующих статьях Регламента содержатся различные условия, применимые к подобному согласию, в том числе в зависимости от субъекта данных (например, ребенка).  А такие условия или иначе основания для обработки как необходимость для выполнения юридического обязательства в отношении контроллера, а также необходимость для задач в интересах общества или при осуществлении контроллером законно предоставленных официальных полномочий, устанавливаются или правом ЕС, или правом государства-члена ЕС, которое распространяется на контроллера.

Волеводз А.Г. сравнивая отмененную Регламентом Директиву Директивы 95/46 о защите физических лиц при обработке и свободном обращении персональных данных (далее – Директива 95/46)[19] приходит к выводу, что фактически Регламент не отменяет ее положения, а лишь расширяет поле правового регулирования, уточняет и вводит более четкий механизм реализации процедур защиты персональных данных. Так, по сравнению с Директивой, Регламент, например, значительно расширил возможности субъектов персональных данных на распоряжение ими, упростил порядок доступа и корректировки персональных данных, детально регламентировал условия на исключение персональных данных из общедоступных ресурсов («право быть забытым»)[20].

Комиссия видела в принятии этого регламента основной шаг на пути усиления основных прав граждан в эру цифровых технологий, а также облегчения ведения предпринимательской деятельности посредством упрощения применяемых к компаниям правовых норм в рамках единого цифрового рынка[21]. Исполнение положений Регламента должно предоставлять преимущества как физическим лицам, так и компаниям.

Несомненный интерес представляет применение Регламента на практике, характеристика которого должна быть представлена Комиссией предположительно в 2021 году. Предстоящий отчет, без сомнения, станет толчком для дальнейших действий Комиссии.

Интересно, что еще в 2018 году Волеводз А.Г. утверждал, что в ЕС сформировалась четкая система защиты персональных данных, позволяющая осуществлять их передачу не только государствам-членам, но и третьим странам[22].

Отметим, что в 2018 году был принят Регламент  2018/1725 о защите физических лиц в отношении обработки персональных данных институтами, органами, службами и агентствами Союза и свободного перемещения таких данных.[23] Европейский инспектор по защите данных должен осуществлять контроль за применением положений данного регламента ко всем операциям по обработки данных, осуществляемым институтами или органами Союза. Конечно, же в этом регламенте описываются границы его применения. Если сравнивать принципы обработки данных, предусмотренных в этом регламента и Регламента 2016/679, то они идентичны.

Теперь перейдем к подготовительным актам и актам вторичного права, подготовленным и изданным в 2020 и 2021 годах. Естественно, нельзя обойти вниманием опубликованное в феврале 2020 года Сообщение Комиссии «Европейская стратегия для данных»[24], в котором было подчеркнуто, что Регламент 2016/679 поспособствовал созданию прочной основы для цифрового доверия и описывается будущий единый внутренний рынок данных. В пределах этого рынка данные смогут передаваться в рамках всего Союза и между секторами на всеобщее благо; нормы права ЕС, в том числе, о конфиденциальности и защите данных, а также в сфере конкуренции будут полностью соблюдаться; а правила доступа и использования данных будут справедливы, практичны и ясны. Естественно, эти цели или характеристики вытекают друг из друга и являются взаимосвязанными. Комиссия также сформулировала преимущества, которые предоставит Союзу подобный рынок. Так, ЕС будет обладать безопасной (что очень важно) и вследствие этого привлекательной и динамичной экономикой данных, поскольку будут действовать ясные и справедливые нормы о доступе к данным и их повторном использовании; будет производиться инвестирование в инфраструктуру нового поколения, предназначенную для обработки и хранения данных;  будут объединены усилия в сфере Европейского облачного потенциала; а также в ключевых секторах будут объединены Европейские данные с общими и функционально совместимыми пространствами данных; а пользователям будут предоставлены права, инструменты и навыки, которые им позволят полностью свои данные контролировать.

К слову сказать, Комиссия установила, что в тринадцати государствах-членах ЕС обеспечивается адекватный уровень защиты персональных данных. Талапина Э.В отмечает, что во Франции сложилась внушительная судебная практика, связанная с персональными данными[25]. И, конечно, нельзя не отметить, что во Франции был принят Закон о защите персональных данных[26], который ввел в право Франции положения Регламента 2016/679. Хотя исходя из правовой природы регламента ЕС, такого не требуется.

В том же 2020 году Комиссия во исполнение Европейской стратегии для данных уже представила проект Регламента по Европейскому управлению данными («Акт об управлении данными»)[27]. Интересно, что правовой основой для принятия такого регламента, по мнению Комиссии, служит статья 114 ДФЕС. Это в очередной раз подтверждает, что меры ЕС в сфере, в том числе, защиты персональных данных относятся к мерам по созданию и функционированию внутреннего рынка ЕС. Цифровая политика относится к совместной компетенции ЕС и государств-членов. Согласно пункту 3 статьи 4 ДФЕС ЕС вправе проводить мероприятия в сфере технологического развития, в том числе, по разработке и реализации программ, при условии, что осуществление такой компетенции не будет препятствовать государствам-членам осуществлять свою собственную компетенцию.

Итак, вернемся к содержанию проекта. Предлагаемый регламент направлен на повышение доступности данных для их использования путем повышения доверия к посредникам по передаче данных и укрепления механизмов обмена данными по всему ЕС. Сфера действия регламента распространяется на: условия повторного использования в рамках Союза определенных категорий данных, хранящихся органами государственного сектора; систему уведомления и надзора за предоставлением услуг по обмену данными; правила добровольной регистрации организаций, которые собирают и обрабатывают данные, предоставленные в альтруистических целях. В частности, в документе идет речь о разрешении использования персональных данных с помощью «посредника по обмену персональными данными», предназначенного для оказания помощи физическим лицам в осуществлении их прав в соответствии с Регламентом 2016/679.

Конечно, нельзя не упомянуть и предложенный Комиссией проект Регламента о конкурентных и честных рынках в цифровом секторе, иначе «Акт для цифровых рынков»[28], опубликованный в декабре 2020 года. Данный проект дополняет право ЕС о защите данных. Комиссия отмечает, что обязательства по обеспечению прозрачности при глубоком профилировании потребителей потребуют разъяснить применение Регламента 2016/679, в то время как обязательный отказ от объединения данных в основных сервисах платформы дополняет существующий уровень защиты, предусмотренный в этом Регламенте. В проекте регламента, в частности, дается определение контроллера доступа, под которым понимается поставщик услуг базовой платформы[29], назначенный, если он имеет серьезный вес на внутреннем рынке; он управляет службой базовой платформы, которая является важным средством бизнес-пользователей для доступа к конечным пользователям; а также он долгое время занимает прочное положение в сфере своей деятельности или можно предвидеть, что он займет такое положение в ближайшем будущем[30]. Под службой или сервисом базовой платформы понимаются, например: посреднические услуги, предоставляемые онлайн; онлайн поисковые системы; онлайн услуги социальных сетей; услуги платформы обмена видео. Проект, в частности, закрепляет, с одной стороны, четкие обязанности контроллеров данных, а с другой – их обязанности, которые могут быть уточнены. Так, к первым, в частности, относятся: обязанность воздерживаться от объединения персональных данных, полученных из определенных сервисов базовой платформы, с персональными данными из любых других сервисов, предлагаемых контроллером, или с персональными данными со сторонних сервисов, и от входа конечных пользователей в другие сервисы контроллера для объединения персональных данных, если конечному пользователю не был предоставлен конкретный выбор и последним не было предоставлено согласие в смысле Регламента 2016/679 (статья 5 Проекта). Среди вторых можно назвать обязанность предоставлять доступ и использовать персональные данные только в тех случаях, когда это напрямую связано с их использованием, осуществляемым конечным пользователем в отношении товаров и услуг, предлагаемым соответствующим бизнес-пользователем через соответствующий сервис базовой платформы, а когда конечный пользователь соглашается на такое совместное использование в соответствие с Регламентом 2016/679 (статья 6 Проекта).

В марте 2021 года было опубликовано Сообщение Комиссии «Цифровой компас: европейский путь цифрового десятилетия»[31]. И этот «Европейский путь» для цифрового общества основан на полном  уважении основных прав человека ЕС, среди которых защита персональных данных, конфиденциальность и право, чтобы данные были забыты. Комиссия видит «Европейский путь к цифровым экономике и обществу» как солидарность, процветание и устойчивость, основанные на расширении прав и возможностей своих граждан и бизнеса, обеспечивая при этом безопасность и устойчивость своей цифровой экосистемы и цепочек поставок. В Сообщении отмечается, что чрезвычайно важно установить исчерпывающий набор цифровых принципов, к которым относятся: во-первых, универсальный доступ к интернет-услугам; во-вторых, безопасная и надежная онлайн-среда; в-третьих, наличие всеобщего цифрового образования и навыков, позволяющих людям принимать активное участие в жизне общества и демократических процессах; в-четвертых, доступ к цифровым системам и устройтсвам, бережно относящимся к окружающей среде; в-пятых, доступные и ориентированные на человека цифровые государственные услуги и администрирование; в-шестых, этические принципы алгоритмов, ориентированных на человека; в-седьмых, защита и расширение прав и возможностей детей в онлайн-пространстве и, наконец, в-восьмых, доступ к цифровым услугам здравоохранения. Конечно, пока эти формулировки не очень подходят именно для формулировок принципов, а скорее обозначают сферы или направления, применительно к которым принципы должны быть сформулированы. Особо подчернем, что такой принцип как обеспечение безопасной и надежной онлайн-среды, с нашей точки зрения предполагает как раз защиту персональных данных. Итак, Комиссия высказала предложение включить данные цифровые принципы и права в межведомственную декларацию Европейской Комиссии, Европейского Парламента и Совета.

Возвращаясь к названию анализируемого сообщения Комиссии обратим внимание, что оно отражает основное предложение Комиссии, изложенное в этом документе. Речь идет о создании к 2030 году так называемого цифрового компаса, основанного на усовершеснтвованной системе мониторинга с целью следовать траектории ЕС в отношении темпов цифровой трансформации, пробелов в европейском стратегическом цифровом потенциале, а также внедрения цифровых принципов.  Как известно, на компасе изображены четыре стороны света. Так и предлагаемый Комиссией Цифровой компас предполагает четыре кардинальные точки или иначе пункта, отображающие траекторию развития ЕС: 1. Население, владеющее цифровыми технологиями, и высококвалифицированные специалисты в области цифровых технологий; 2. Безопасные и эффективые устойчиве цифровые инфраструктуры; 3. Цифровая трансформация бизнеса; 4. Цифровизация государственных услуг. Или даже если быть более точными, это задачи, которые необходимо выполнить для достижения поставленных перед Союзом целей к 2030 году. Например, возьмем вторую обозначенную выше точку или пункт «Цифрового компаса», которая кажется неразрывно связанной с защитой персональных данных. Так, Комиссия уверена, что ЕС сможет занять лидирующее место в цифровой сфере, если будет создана устойчивая цифровая инфраструктуру, в частности, с точки зрения способности обрабатывать огромные объемы данных. В то же время ЕС должен инвестировать в новые квантовые технологии, что должно обеспечить среди прочего повышение безопасности связи и передачи данных. Системы связи с квантовой защитой могут, например, обеспечивать долгосрочное хранение конфиденциальных данных, связанных со здоровьем и национальной безопасностью. Таким образом, защита данных тесно вплетена в систему мер, направленных создание цифровых экономики и общества.

В самом конце апреля 2021 года была принята в форме Регламента (что немаловажно) Программа для цифровой Европы (2021-2027), в которой подчеркивается, что гарантируемые Регламентом 2016/679 свободное перемещение персональных данных между государствами-членами, а также укрепление доверия и безопасности физических лиц составляют два незаменимых элемента реального Единого Цифрового Рынка[32]. При чем все действия, предпринимаемые во исполнение Программы, касающиеся обработки персональных данных, должны способствовать беспрепятственному применению Регламента 2016/679.

В Программе прописаны общие и конкретные цели (перечисляются они в статье 3 Регламента, а раскрываются в последующих). К общим целям относятся: поддержка и ускорение цифровой трансформации европейской экономики, промышленности и общества на благо гражданам, государственным властям и бизнесу на территории всего ЕС, а также повышение конкурентоспособности Европы в мировой цифровой экономике. Что же касается конкретных целей, то их пять: 1. Высокопроизводительные вычисления; 2. Искусственный интеллект; 3. Кибербезопасность и доверие; 4. Продвинутые цифровые навыки; 5. Развертывание и оптимальное использование цифровых возможностей и функциональной совместимости. И заметим, что для достижения почти каждой их них предусматривается в обязательном порядке обеспечение высокого уровня безопасности и защиты данных. Например, для достижения третьей цели, а именно обеспечения кибербезопасности и доверия, согласно статье 6 Регламента необходимо, в частности, поддерживать создание и производить закупку передового оборудования, инструментов и инфраструктур данных для кибербезопасности вместе с государствами-членами для достижения высокого общего уровня кибербезопасности на уровне ЕС в полном соответствии с нормами о защите данных и основных правах. Напомним, что кибербезопасность это также одно из направлений деятельности для выполнения Стратегии для Единого рынка. И в 2029 году был принят Регламент 2019/881 о ENISA (Агентстве по кибербезопасности ЕС) и о сертификации кибербезопасности в области информационно-коммуникационных технологий.[33]Этот регламент отменил действующий ранее Регламент 526/2013 (Акт о кибербезопасности)[34].

А в преамбуле Регламента 2021/690 об учреждении программы для внутреннего рынка, конкурентоспособности предприятий, включая малые и средние предприятия, сферы растений, животных, продуктов питания и кормов, а также европейской статистики (Акт для Единого рынка)[35]. Кстати, этот регламент был принят также в конце апреля 2021 годы, накануне Программы для цифровой Европы, что логично[36]. Сначала программа для внутреннего рынка, а уже после для его части – цифрового рынка. В принятом регламенте, естественно, обращается внимание на необходимость соблюдения Регламентов 2016/679 и 2018/1721. Программа имеет как общие, так и конкретные цели (как в Программе для цифровой Европы), зафиксированные в статье 3 этого регламента. В качестве одной из двух общих целей Программы выступает улучшение функционирования внутреннего рынка, и особенно защита прав и расширение возможностей граждан, потребителей и предприятий (в частности, малых и средних). Эта цель должна быть достигнута путем, во-первых, обеспечения соблюдения права Союза, во-вторых, облегчения доступа к рынкам, в-третьих, установления стандартов и содействия здоровью людей, животных и растений и благополучию животных при соблюдении принципов устойчивого развития и обеспечения высокого уровня защиты потребителей, а также, в-четвертых, путем расширения сотрудничества между компетентными органами государств-членов и между последними и Комиссией и децентрализованными агентствами Союза. Надо сказать, что эта цель сформулирована очень громоздко и пришлось ее немного упростить. В свете темы данной научной статьи отметим, что среди конкретных целей Программы числятся повышение эффективности внутреннего рынка, в частности, в свете цифровой трансформации, путем, в том числе, поддержания эффективного контроля за рынком в рамках всего ЕС, а также продвижение интересов потребителей и обеспечение высокого уровня защиты прав потребителей и безопасности товаров путем, например, обеспечения должного учета интересов потребителей в цифровом мире.

В заключении сошлемся на Ежегодный отчет по функционированию внутреннего рынка, опубликованный относительно недавно (в мае 2021 года)[37]. В этом отчете Комиссия подчеркивает, что эффективное и этичное использование данных будет иметь ключевое значение для будущей конкурентоспособности Европы, а Европейская стратегия для данных направлена на создание единого европейского пространства данных, в котором персональные и иные данные находятся в безопасности, а предприятия также имеют простой доступ к высококачественным промышленным данным. С точки зрения Комиссии Европейская стратегия по управлению данными улучшит доступ к данным и повысит доверие к обмену персональными и иными данными, а также снизит транзакционные издержки, связанные с обменом данными.

Как отмечает Волеводз А.Г, одним из условий реализации регламентированных правовыми актами ЕС правил в сфере передачи и защиты персональных данных является право на обжалование деятельности государственных органов государств – членов ЕС в том числе и в суды,, а что весьма важно – вплоть до Суда ЕС, который своими решениями толкует имеющееся правовое регулирование, а также способствует адаптации права ЕС к изменяющимся условиям практической деятельности[38]. Так, что же касается практики Суда ЕС, то последний постоянно напоминает институтам ЕС и государствам-членам об их обязанности соблюдать положения Хартии ЕС об основных правах в отношении права на защиту персональных данных[39]. Пока последние принятые Судом решения по вопросам защиты персональных данных относились в основном к применению уже не действующей на данный момент Директивы 95/46. Правда, о толковании положений Регламента 2016/679 идет речь, например, в решении по делу C-673/17 Planet 49[40]. И Денисов И.С., Ахматова Д.Р. и Кабакова В.М. обращают внимание, что несмотря на то, что принятие Регламента 2016/679 является важным шагом в регулировании информационных потоков, судебная практика находится на стадии формирования[41].

Проведенное исследование демонстрирует, что институты ЕС достаточно в короткие сроки способны предпринимать целый комплекс, с первого взгляда логичных, последовательных, взаимосвязанных, скорее всего, своевременных, чрезвычайно необходимых, востребованных и оправданных мер для усовершенствования правового регулирования внутреннего рынка, создавая единый цифровой рынок, как ответ на ряд вызовов, с которыми сталкивается весь мир и Европа, в частности. Хотя, конечно же, только в процессе применения на практике принятых правовых актов можно будет более уверенно оценивать достижение поставленных ЕС целей.

Необходимо, чтобы внутренний рынок постоянно адаптировался к быстро меняющимся условиям цифровой революции и глобализации. Новая эра цифровых инноваций помимо массы положительных аспектов представляет собой вызов, например, защите прав потребителей и безопасности. Пандемия Covid-19 продемонстрировала важность совместного рассмотрения промышленной политики ЕС и единого внутреннего рынка, чтобы качественнее учитывать экономические и социальные последствия сбоев в свободном перемещении товаров, услуг и людей для деятельности компаний, а также чтобы лучше понимать сложные взаимосвязи между ними в разных регионах и секторах[42]. И при этом не имеет значения когда возникли эти сбои: давно или в связи с пандемией.

Институты ЕС и, если отталкиваться от освещенных выше актов Комиссии, то прежде всего именно последняя, неоднократно и даже многократно обращали внимание на взаимосвязь, а точнее важность обеспечения защиты персональных данных для эффективного функционирования единого цифрового рынка и, следовательно, внутреннего рынка в целом. В качестве иллюстрирования положительного аспекта соотношения защиты прав человека и основных свобод, с одной стороны и экономических свобод внутреннего рынка, с другой, очевидно, что усиление обеспечения защиты персональных данных способствует повышению эффективности реализации последних. Для того, чтобы единый цифровой рынок функционировал должным образом, необходимо, чтобы свобода перемещения персональных данных в ЕС не была ни ограничена, ни запрещена по причинам, связанным с защитой физических лиц в связи с обработкой их персональных данных.

 

 

Библиография:

  1. Волеводз А.Г. Защита персональных данных в Европейском Союзе: правовое регулирование и порядок взаимодействия с третьими странами // Библиотека криминалиста. Научный журнал. 2018. № 3(38). С. 303-312.
  2. Денисов И.С., Ахматова Д.Р., Кабакова В.М. Сравнительная характеристика GDPR и российского законодательства о персональных данных // Экономика. Право. Общества. 2019. № 1(17). С. 21-27.
  3. Мюллер-Графф П.-К. Лиссабонский договор в системе первичного права Европейского Союза / пер. с нем. Юмашева Ю.М. // Право. Журнал Высшей школы экономики. 2008. № 1. С. 80–99.
  4. Пилипенко А.Н. Франция: к цифровой демократии // Право. Журнал Высшей школы экономики.  2019.  № 4. С. 185-207.
  5. Ревенко Н.С. Европейский Союз на пути к единому цифровому рынку //Мир новой экономики. 2016. № 2.  С. 6-14.
  6. Талапина Э.В. Цифровая трансформация во Франции: правовые новеллы // Право. Журнал Высшей школы экономики. 2019. No 4. С. 164–184.
  7. Хартия Европейского Союза об основных правах: комментарии /Под ред. С.Ю.Кашкина. – М.: Юриспруденция, 2001. 208 с.
  8. Юмашев Ю. М. Правовое регулирование европейского внутреннего рынка // Московский журнал международного права. 2013. Т. 91. № 3. С. 154–176.
  9. Bennett С. and Raab С. The Governance of Pri­vacy: Policy Instruments in Global Perspective. 2003. 382 р.
  10. Lingjie Kong. Data Protection and Transborder Data Flow in the European and Global Context // The European Journal of International Law. Vol. 21, no. 2, 2010. Р. 441–456.
  11. ______________

[1] Пилипенко А.Н. Франция: к цифровой демократии // Право. Журнал Высшей школы экономики.  2019.  № 4. С. 186.

[2] См., например: Bennett С. and Raab С. The Governance of Pri­vacy: Policy Instruments in Global Perspective. 2003. Р. 257; Lingjie Kong. Data Protection and Transborder Data Flow in the European and Global Context // The European Journal of International Law. Vol. 21, no. 2, 2010. Р. 442.

[3] Ревенко Н.С. Европейский Союз на пути к единому цифровому рынку //Мир новой экономики. 2016. № 2.  С.11.

[4] Consolidated Versions of the Treaty on European Union and the Treaty on the Functioning of the European Union / / Official Journal С 115. 09.5.2008.

[5] Charter of fundamental rights of the European Union // OJ C 364, 18.12.2000. Р. 1–22.

См., напр.: Мюллер-Графф П.-К. Лиссабонский договор в системе первичного права Европейского Союза / пер. с нем. Юмашева Ю.М. // Право. Журнал Высшей школы экономики. 2008. № 1. С. 95.

См. также: Хартия Европейского Союза об основных правах: комментарии /Под ред. С.Ю.Кашкина. – М.: Юриспруденция, 2001.

[6] См., в том числе: L’UE en 2015 — Rapport général sur l’activité de l’Union européenne. Commission européenne. Direction générale de la communication. Information des citoyens /1049 Bruxelles, BELGIQUE // URL: http://publications.europa.eu/fr/web/general-report (дата обращения: 29.05.2021)

См.: Юмашев Ю. М. Правовое регулирование европейского внутреннего рынка // Московский журнал международного права. 2013. Т. 91. № 3. С. 155.

Договор о Европейском Союзе (ДЕС): особенно ст. 2, 3; Договор о функционировании Европейского Союза (ДФЕС), Хартию ЕС об основных правах.

[7] Определение внутреннего рынка закреплено в ст. 26 ДФЕС.

[8] Jean-Claude Juncker. A New Start for Europe: My Agenda for Jobs, Growth, Fairness and Democratic Change Political Guidelines for the next European Commission Opening Statement in the European Parliament Plenary Session. Strasbourg, 15 July 2014 // URL: https://www.theparliamentmagazine.eu/whitepaper/jean-claude-juncker-my-agenda-jobs-growth-fairness-and-democratic-change (дата обращения: 23.05.2021)

[9] A Union that strives for more My agenda for Europe By candidate for President of the European Commission Ursula von der Leyen. Political Guiedelines for the next European 2019-2024. URL: political-guidelines-next-commission_en_0.pdf (europa.eu) (дата обращения: 29.05.2021)

[10] Об актах вторичного права, касающиеся защиты персональных данных, будет далее по тексту статью.

[11] A Single Market Strategy for Europe – Analysis and Evidence Accompanying the document Upgrading the Single Market: more opportunities for people and business. Commission staff working document. Brussels, 28.10.2015. COM(2015) 550 final, SWD(2015) 202 final

[12] Commission staff working document «A Digital Single Market Strategy for Europe — Analysis and Evidence». Accompanying the document «A Digital Single Market Strategy for Europe». COM(2015) 192 final. Brussels, 06.05.2015 SWD(2015) 100 final

[13] См.: Постникова Е. В. Обеспечение онлайн доступа к товарам и услугам в рамках внутреннего рынка Европейского Союза // Вестник Воронежского государственного университета. Серия: Право. 2021. № 2.

[14] Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)  // OJ L 119, 4.5.2016. Р. 1–88.

[15] Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA // OJ L 119, 4.5.2016. Р. 89–131.

[16] Англ. яз. – «alignment», франц. яз. – «le rapprochement».

[17] Англ. яз. – «erasure or destruction», франц. яз. – «l’effacement ou la destruction».

[18] Англ. яз. – «controller», франц. яз. — «responsable du traitement».

[19] Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data // OJ L 281, 23.11.1995. Р. 31–50.

[20] Волеводз А.Г. Защита персональных данных в Европейском Союзе: правовое регулирование и порядок взаимодействия с третьими странами // Библиотека криминалиста. Научный журнал. 2018. № 3(38). С. 307.

[21] L’UE en 2016 — Rapport général sur l’activité de l’Union européenne. Commission européenne. Direction générale de la communication. Information des citoyens /1049 Bruxelles, BELGIQUE // URL: https://europa.eu/european-union/documents-publications/reports-booklets/general-report_fr (дата обращения: 23.05.2021)

[22] Волеводз А.Г. Защита персональных данных в Европейском Союзе: правовое регулирование и порядок взаимодействия с третьими странами // Библиотека криминалиста. Научный журнал. 2018. № 3(38). С. 311.

[23] Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (OJ L 295, 21.11.2018, p. 39).

[24]  Communication from the Commission to the European Parliament, the Council, the Economic and Social Committee and the Committee of the Regions «A European strategy for data». Brussels, 19.02.2020. COM/2020/66.

[25] Талапина Э.В. Цифровая трансформация во Франции: правовые новеллы // Право. Журнал Высшей школы экономики. 2019. No 4. С. 175.

[26] Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles // JORF n°0141 du 21 juin 2018.

[27] Proposal for a Regulation of the European Parliament and of the Council on European data governance (Data Governance Act). Brussels, 25.11.2020. COM/2020/767 final

[28] Commission Staff Working Document. Impact Assessment Report. Accompanying the document Proposal for a Regulation of the European Parliament and the Council on contestable and fair markets in the digital sector (Digital Markets Act). Brussels, 15.12.2020. SWD/2020/363 final

[29] Англ. яз. – «Core platform service».

[30] Статьи 2 и 3 Проекта Регламента.

Communication from the Commission to the European Parliament, the Council, the Economic and Social Committee and the Committee of the Regions. 2030 Digital Compass: the European way for the Digital Decade. Brussels, 9.03.2021. COM/2021/118 final/2

[32] Regulation (EU) 2021/694 of the European Parliament and of the Council of 29 April 2021 establishing the Digital Europe Programme and repealing Decision (EU) 2015/2240 (Text with EEA relevance) // OJ L 166, 11.5.2021, p. 1–34

[33] Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act) // OJ L 151, 7.6.2019, p. 15.

[34] Regulation (EU) No 526/2013 of the European Parliament and of the Council of 21 May 2013 concerning the European Union Agency for Network and Information Security (ENISA) and repealing Regulation (EC) No 460/2004 // OJ L 165, 18.6.2013, p. 41–58.

[35] Regulation (EU) 2021/690 of the European Parliament and of the Council of 28 April 2021 establishing a programme for the internal market, competitiveness of enterprises, including small and medium-sized enterprises, the area of plants, animals, food and feed, and European statistics (Single Market Programme) and repealing Regulations (EU) No 99/2013, (EU) No 1287/2013, (EU) No 254/2014 and (EU) No 652/2014. PE/18/2021/INIT // OJ L 153, 3.5.2021, p. 1–47.

[36] В статье мы сначала рассмотрели Программу для цифровой Европой, поскольку было логично представить подряд акты, посвященные исключительно цифровой среде.

[37] Commission staff working document. Annual Single Market Report 2021. Accompanying the Communication from the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions «Updating the 2020 New Industrial Strategy: Building a stronger Single Market for Europe’s recovery».  Brussels, 05.05.2021. SWD/2021/351 final

[38] Волеводз А.Г. Защита персональных данных в Европейском Союзе: правовое регулирование и порядок взаимодействия с третьими странами // Библиотека криминалиста. Научный журнал. 2018. № 3(38). С. 303-307.

[39] Case C-131/12 Google Spain SL, Google Inc. v Agencia Española de Protección de Datos (AEPD), Mario Costeja González [2014] // OJ C 212, 7.7.2014. Р. 4–5.

Case C-345/17 Buivids [2019] URL: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A62017CJ0345&qid=1625436459771 (дата обращения: 30.05.2021)

Case C-136/17   Google 2 [2019] // OJ C 399, 25.11.2019, p. 2–3.

[40] Case C-673/17 Planet 49 [2019] // OJ C 413, 9.12.2019, p. 4–4.

Commission Staff Working Document. Part I: General Statistical Overview Accompanying the document Report from the Commission. Monitoring the application of European Union law 2019 Annual Report. . Brussels, 31.07.2020. SWD/2020/147 final

[41] Денисов И.С., Ахматова Д.Р., Кабакова В.М. Сравнительная характеристика GDPR и российского законодательства о персональных данных // Экономика. Право. Общества. 2019. № 1(17). С. 26.

[42] Commission staff working document. Annual Single Market Report 2021. Accompanying the Communication from the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions «Updating the 2020 New Industrial Strategy: Building a stronger Single Market for Europe’s recovery».  Brussels, 05.05.2021. SWD/2021/351 final

 

Информация об авторе:

Постникова Елена Владимировна, доцент Департамента международного права Национального исследовательского университета «Высшая школа экономики», кандидат юрижических наук.

Information about the author:  

Elena V. Postnikova, Associate Professor, Department of International Law, National Research University Higher School of Economics, Candidate of Law.

Добавить комментарий

Войти с помощью: