Мария Беляева - Руководство по GDPR

Суд Европейского Союза при рассмотрении дел о нарушениях прав человека в областях, попадающих под действие законодательства ЕС, предоставляет важную интерпретацию договоров ЕС. В целях предоставления защиты для основных прав физических лиц, Суд имплементировал основные права в общие принципы европейского права. Согласно заявлению Суда, эти принципы отражают право на защиту данных в национальных законодательствах стран ЕС. Европейский Суд заявил о соответствии национального права стран Евросоюза требованиям защиты основных прав субъектов данных.

В 2000 году Европейским парламентом была принята Хартия основных прав ЕС. Хартия включает в себя весь спектр гражданских, политических, экономических и социальных прав европейских граждан, объединяя конституционные и международные обязательства, общие для государств – членов ЕC. Права, описанные в Хартии разделены на шесть частей:

– достоинство;

– свободы;

– равенство;

– солидарность;

– права граждан;

– справедливость.

Юридически обязательным документом, одним из основных законов ЕС (статья 6.1 Договора о Европейском Союзе), Хартия стала после подписания Лиссабонского договора 1 декабря 2009 года. Положения Хартии адресованы институтам и органам ЕС, что обязывает последних при исполнении своих обязанностей уважать закрепленные в Хартии права. Положения Хартии также учитываются государствами Евросоюза в рамках европейского законодательства.

Хартия декларирует не только уважение частной и семейной жизни (статья 7), но и закрепляет право на защиту личных данных (статья 8). Статья 8 Хартии содержит законодательное обоснование и поддержку сформированной ранее Директивы о защите данных. Хартия прямо упоминает право на защиту данных (статья 8.1), ссылается на ключевые принципы защиты данных (статья 8.2) и обязывает надзорные органы контролировать реализацию этих принципов. Право на защиту личных данных является одним из основных прав в законодательстве ЕС. Учреждения и органы ЕС обязаны гарантировать и уважать это право, как и государства Евросоюза при применении законодательства ЕС (статья 51).

Ратификация Лиссабонского договора является важной вехой в развитии закона о защите данных. Договор не только повысил статус Хартии до статуса основного юридически обязательного документа, но и обеспечил право на защиту данных. Это право предусмотрено в статье 16 Договора о функционировании Европейского Союза, где приведено описание общих принципов ЕС. Норма Договора создает новую правовую основу, предоставляя ЕС полномочия принимать законы по вопросам защиты данных.

Это важное событие, так как правила защиты данных в ЕС, в частности, Директива о защите данных, изначально базировалась на правовой структуре внутреннего рынка и необходимости унификации национального законодательства для свободного перемещения данных в ЕС. Договор о функционировании Европейского Союза обеспечивает независимую правовую основу для современного, комплексного подхода к защите данных, который охватывает все вопросы компетенции ЕС, включая сотрудничество правоохранительных и судебных органов по уголовным делам.

Статья 16 Договора о функционировании Европейского Союза также подтверждает, что соблюдение правил защиты данных, принятых в соответствии с ней, должно быть предметом контроля независимых органов. Положения Договора о функционировании Европейского Союза послужили правовой основой для проведения всеобъемлющей реформы правил защиты данных в 2016 году, принятия Общего регламента по защите данных ЕС и Директивы о защите данных для органов полиции и уголовного правосудия.

Общий регламент по защите данных ЕС 2016/679

С 1955 года до середины 2018 года основным правовым документом ЕС по защите данных была Директива 95/46/ЕС Европейского Парламента и Совета Европы от 24 октября 1995 года о защите физических лиц в отношении обработки персональных данных и о свободном передвижении таких данных. Директива о защите данных вступила в силу уже после принятия некоторыми государствами ЕС национальных законодательных актов в части защиты данных. Возникла необходимость согласования подобных инициатив в целях обеспечения высокого уровня защиты и свободного потока личных данных между государствами Евросоюза. Свободное перемещение физических лиц, товаров, капитала и услуг на внутреннем пространстве требует свободного потока данных, реализация которого позволит государствам ЕС рассчитывать на единый высокий уровень защиты данных.

Директива дополняет принципы защиты данных, содержащиеся в Конвенции 108 и национальном законодательстве. В частности, внесение в Директиву нормы о независимом надзоре, как инструменте, используемом в целях эффективного соблюдения правил защиты данных, стало важным вкладом в функционирование европейского законодательства о защите данных. Данная норма была имплементирована в Конвенцию 108 в качестве best practices.

В соответствии с правовой системой ЕС положения Директивы должны быть имплементированы в национальное право государств Евросоюза. Страны ЕС по своему усмотрению проводят интеграцию положений в свое национальное право. Несмотря на то что цели Директивы были направлены на обеспечение полной гармонизации (и адекватности уровня защиты данных), на практике в странах Европейского Союза она была внедрена по-разному. Это привело к установлению различных правил защиты данных по всему ЕС с определениями и нормами, по-разному интерпретируемыми в национальном законодательстве. Совокупность данных факторов послужили причиной реформирования европейского законодательства по защите данных.

Реформа привела к созданию Общего регламента по защите данных ЕС 2016/679 в апреле 2016 года. Дискуссии о необходимости модернизации правил защиты данных ЕС начались в 2009 году, когда Европейская комиссия инициировала общественные консультации о будущей правовой базе для обеспечения основного права физических лиц на защиту личных данных. Предложение о регулировании было опубликовано в январе 2012 года, положив начало длинному процессу переговоров между Европейским Парламентом и Советом Европы. После принятия Общего регламента по защите данных был предусмотрен двухлетний переходный период. Общий регламент по защите данных вступил в силу в мае 2018 года, тем самым отменив действие Директивы 95/46/ЕС.

В соответствии с законодательством ЕС, нормы Регламента имеют прямое применение без необходимости имплементации в национальное право. Таким образом, Общий регламент по защите данных предусматривает единый набор правил на всей территории ЕС. Это создает среду правовой определенности, от которой выигрывают как экономические «операторы», так и частные лица (субъекты данных).