Страница 28 из 49
В данном предложении отражено основное требование представителей медиабизнеса, заключающееся в необходимости учета при определении применимого права фактора предвидимости возможных последствий своих действий[248]. В отношении права на опровержение и иных подобных мер применяется право страны, где проживает (расположен) издатель (публикатор). В настоящее время предложение все еще находится в стадии рассмотрения.
Право, применимое к отношениям, возникающим при обработке персональных данных
Сбор и обработка персональных данных в Интернете обусловливают потенциальную одновременную применимость к данному процессу множества законов о персональных данных, существующих в различных правопорядках, в частности, законов по месту нахождения оборудования, используемого для обработки; по местужительства субъекта персональных данных; по месту учреждения оператора персональных данных и т. д. В Европе данная проблема стоит особенно остро. С одной стороны, в связи с существованием 27 различных законов о персональных данных, которые не в полной мере гармонизированы Директивой 95/46/ЕС от 24 октября 1995 г. «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных» (далее – Директива ЕС 95/46/EC «О персональных данных»), а с другой – в связи с необходимостью создания единого рынка, для которого вопрос предсказуемости и единообразия в деле определения применимого к предпринимательской деятельности права является одним из наиболее фундаментальных.
Вопросы определения применимого права к процессам обработки персональных данных регламентируются в ст. 4 Директивы 95/46/EC «О персональных данных». По сути в ней закреплено два основных критерия: 1) критерий места нахождения оператора и 2) критерий места нахождения оборудования.
Первый применяется к обработке персональных данных оператором, осуществляемой в связи с деятельностью его подразделения (establishment). В таком случае применяется законодательство страны – члена ЕС, где расположено такое подразделение. При наличии у оператора нескольких подразделений на территории различных стран ЕС к обработке персональных данных применяется право каждой из таких стран (ст. 4 (1)(а)).
Второй критерий применяется в отношении иностранных лиц, не имеющих подразделений на территории страны – члена ЕС. В соответствии со ст. 4 (1)(с) государство – член ЕС применяет свое национальное законодательство о персональных данных, если «оператор учрежден не на территории ЕС и в целях обработки персональных данных использует оборудование, расположенное на территории такого государства – участника ЕС (если только такое оборудование не используется исключительно для целей транзита по территории Сообщества)».
Во-первых, достаточно много споров вызывает понятие «оборудование», которое может выступать в качестве привязки деятельности иностранного интернет-сайта к территории соответствующего государства. Например, Рабочей группой статьи 29 (Working Party Article 29), уполномоченной на толкование Директивы 96/46/EC «О персональных данных», было дано толкование, согласно которому размещение файлов cookie[249] на персональных компьютерах европейских пользователей уже само по себе может толковаться как использование оборудования, расположенного на территории ЕС для целей применения европейского законодательства.
Во-вторых, в условиях широкого использования «облачных» сервисов, предполагающих «динамическое распределение» вычислительных мощностей в зависимости от конкретных потребностей заказчика, а также «распределенное хранение» данных в различных дата-центрах, определение местонахождения оборудования, используемого для обработки конкретных персональных данных, весьма проблематично и чревато значительным бременем для надзорных органов.
В-третьих, использование местонахождения оборудования в качестве критерия определения юрисдикции чревато неудовлетворительными результатами еще и потому, что может влечь распространение национального законодательства о персональных данных на отношения, которые никоим образом не затрагивают прав и интересов граждан такого государства. Так, право Голландии может применяться к интернет-сайту, принадлежащему компании в Сингапуре, которая обрабатывает персональные данные сингапурских граждан, только на том основании, что эта компания использует «облачный» сервис провайдера, дата-центр которого находится также и на территории Голландии. Очевидно, что подобный результат выходит за рамки разумной сферы действия законодательства о персональных данных и свидетельствует о нецелесообразности использования рассматриваемого критерия для определения применимости к иностранному интернет-сайту положений Закона о персональных данных.
В-четвертых, поскольку для размещения своего интернет-сайта можно выбрать серверы, расположенные в самых разных странах, создаются условия для обхода обременительных требований юрисдикций, где владелец интернет-сайта фактически осуществляет свою деятельность. Возможность искусственного подчинения правоотношения правопорядку другого государства не позволяет придавать критерию места нахождения сервера наибольшее значение.
Приняв во внимание указанные сложности, Рабочая группа ст. 29 Директивы 95/46/EC высказала мнение о необходимости реформирования подходов к определению применимого права и юрисдикции национальных уполномоченных органов по защите персональных данных[250]. Ею было выдвинуто предложение о том, что в отношении операторов персональных данных, зарегистрированных за пределами ЕС, будущим законодательством должна приниматься во внимание их направленная деятельность на индивидов. Это предложение нашло отражение в тексте общеевропейского Регламента о защите персональных данных (General Data Protection Regulation), который был принят 27 апреля 2016 г. В соответствии со ст. 3 Регламента его положения применяются к обработке персональных данных, осуществляемой подразделением оператора или «обработчика» на территории ЕС. Положения Регламента также применяются к процессам обработки персональных данных субъектов персональных данных, находящихся на территории ЕС, операторами, не имеющими подразделений на территории ЕС, в случаях, когда такие операторы: 1) предлагают гражданам свои товары или услуги (безотносительно к тому, взимается ли плата за них); 2) осуществляют мониторинг поведения субъектов персональных данных, находящихся на территории ЕС[251].
Впрочем, не дожидаясь формального принятия Регламента, критерий направленной деятельности уже в определенной степени нашел свое отражение в европейском законодательстве о персональных данных посредством расширительного толкования понятия «подразделение» оператора Европейским Судом Справедливости. Так, в известном деле Weltimmo Суд указал, что при определении местонахождения «подразделения» для целей применения положений ст. 4 (1)(а) Директивы 96/46/EC «О персональных данных» необходимо использовать гибкий подход, понимая под таким местонахождением не только формальное место регистрации (учреждения) такого подразделения, но и любую «реальную и эффективную деятельность, осуществляемую оператором на территории соответствующей страны – члена ЕС посредством каких-либо стабильных средств». Такая деятельность может осуществляться, в частности, через веб-сайт, ориентированный на пользователей конкретной территории, ведущийся на национальном языке соответствующего государства и касающийся объектов, расположенных на его территории[252].
Принцип страны происхождения
В завершение рассмотрения вопроса о применимом праве необходимо сказать несколько слов о принципе страны происхождения (country of origin principle), закрепленном в ст. 3 Директивы ЕС «Об электронной коммерции».
248
Kunke C. Op. cit. P. 1752.
249
Под cookie понимается небольшой файл, отправленный интернет-сайтом и хранимый на компьютере пользователя с целью аутентификации пользователя, хранения персональных предпочтений и настроек пользователя, отслеживания состояния сеанса доступа пользователя, ведения статистики о пользователях (по данным Wikipedia).
250
Article 29 Data Protection Working Party. Opinion 8/2010 On Applicable Law. 16 December 2010. P. 31 (IV 2 (e)).
251
Regulation (EU) 2016/679 on the Protection of Natural Persons with Regard to the Processing of Personal Data and on the Free Movement of Such Data, and Repealing Directive 95/46/EC (General Data Protection Regulation). Положения данного Регламента должны быть имплементированы странами ЕС в течение двух лет, по истечении которых он будет обладать прямым действием на территории всего Европейского Союза.
252
Weltimmo s.r.o. v. Nemzeti Adatvédelmi és Információszabadság Hatóság, ECJ, Case C-230/14, 1 October 2015.