Сбор и обработка персональных данных в Интернете обусловливают потенциальную одновременную применимость к данному процессу множества законов о персональных данных, существующих в различных правопорядках, в частности законов по месту нахождения оборудования, используемого для обработки; по месту жительства субъекта персональных данных; по месту учреждения оператора персональных данных и т.д. В Европе данная проблема стоит особенно остро. С одной стороны, в связи с существованием 27 различных законов о персональных данных, которые не в полной мере гармонизированы Директивой 95/46/EC от 24 октября 1995 г. "О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных" (далее - Директива ЕС 95/46/EC "О персональных данных"), а с другой - в связи с необходимостью создания единого рынка, для которого вопрос предсказуемости и единообразия в деле определения применимого к предпринимательской деятельности права является одним из наиболее фундаментальных.
Вопросы определения применимого права к процессам обработки персональных данных регламентируются в ст. 4 Директивы 95/46/EC "О персональных данных". По сути, в ней закреплено два основных критерия: 1) критерий места нахождения оператора и 2) критерий места нахождения оборудования.
Первый применяется к обработке персональных данных оператором, осуществляемой в связи с деятельностью его подразделения (establishment). В таком случае применяется законодательство страны - члена ЕС, где расположено такое подразделение. При наличии у оператора нескольких подразделений на территории различных стран ЕС к обработке персональных данных применяется право каждой из таких стран (ст. 4(1)(a)).
Второй критерий применяется в отношении иностранных лиц, не имеющих подразделений на территории страны - члена ЕС. В соответствии со ст. 4(1)(c) государство - член ЕС применяет свое национальное законодательство о персональных данных, если "оператор учрежден не на территории ЕС и в целях обработки персональных данных использует оборудование, расположенное на территории такого государства - участника ЕС (если только такое оборудование не используется исключительно для целей транзита по территории Сообщества)".
Во-первых, достаточно много споров вызывает понятие "оборудование", которое может выступать в качестве привязки деятельности иностранного интернет-сайта к территории соответствующего государства. Например, Рабочей группой статьи 29 (Working Party Article 29), уполномоченной на толкование Директивы 96/46/EC "О персональных данных", было дано толкование, согласно которому размещение файлов cookie <1> на персональных компьютерах европейских пользователей уже само по себе может толковаться как использование оборудования, расположенного на территории ЕС, для целей применения европейского законодательства.
--------------------------------
<1> Под cookie понимается небольшой файл, отправленный интернет-сайтом и хранимый на компьютере пользователя с целью аутентификации пользователя, хранения персональных предпочтений и настроек пользователя, отслеживания состояния сеанса доступа пользователя, ведения статистики о пользователях (по данным Wikipedia).
Во-вторых, в условиях широкого использования "облачных" сервисов, предполагающих "динамическое распределение" вычислительных мощностей в зависимости от конкретных потребностей заказчика, а также "распределенное хранение" данных в различных дата-центрах, определение местонахождения оборудования, используемого для обработки конкретных персональных данных, весьма проблематично и чревато значительным бременем для надзорных органов.
В-третьих, использование местонахождения оборудования в качестве критерия определения юрисдикции чревато неудовлетворительными результатами еще и потому, что может влечь распространение национального законодательства о персональных данных на отношения, которые никоим образом не затрагивают прав и интересов граждан такого государства. Так, право Голландии может применяться к интернет-сайту, принадлежащему компании в Сингапуре, которая обрабатывает персональные данные сингапурских граждан, только на том основании, что эта компания использует "облачный" сервис провайдера, дата-центр которого находится также и на территории Голландии. Очевидно, что подобный результат выходит за рамки разумной сферы действия законодательства о персональных данных и свидетельствует о нецелесообразности использования рассматриваемого критерия для определения применимости к иностранному интернет-сайту положений Закона о персональных данных.
В-четвертых, поскольку для размещения своего интернет-сайта можно выбрать серверы, расположенные в самых разных странах, создаются условия для обхода обременительных требований юрисдикций, где владелец интернет-сайта фактически осуществляет свою деятельность. Возможность искусственного подчинения правоотношения правопорядку другого государства не позволяет придавать критерию места нахождения сервера наибольшее значение.
Приняв во внимание указанные сложности, Рабочая группа ст. 29 Директивы 95/46/EC высказала мнение о необходимости реформирования подходов к определению применимого права и юрисдикции национальных уполномоченных органов по защите персональных данных <1>. Ею было выдвинуто предложение о том, что в отношении операторов персональных данных, зарегистрированных за пределами ЕС, будущим законодательством должна приниматься во внимание их направленная деятельность на индивидов. Это предложение нашло отражение в тексте общеевропейского Регламента о защите персональных данных (General Data Protection Regulation), который был принят 27 апреля 2016 г. В соответствии со ст. 3 Регламента его положения применяются к обработке персональных данных, осуществляемой подразделением оператора или "обработчика" на территории ЕС. Положения Регламента также применяются к процессам обработки персональных данных субъектов персональных данных, находящихся на территории ЕС, операторами, не имеющими подразделений на территории ЕС, в случаях, когда такие операторы: 1) предлагают гражданам свои товары или услуги (безотносительно к тому, взимается ли плата за них); 2) осуществляют мониторинг поведения субъектов персональных данных, находящихся на территории ЕС <2>.
--------------------------------
<1> Article 29 Data Protection Working Party. Opinion 8/2010 On Applicable Law. 16 December 2010. P. 31 (IV 2 (e)).
<2> Regulation (EU) 2016/679 on the Protection of Natural Persons with Regard to the Processing of Personal Data and on the Free Movement of Such Data, and Repealing Directive 95/46/EC (General Data Protection Regulation). Положения данного Регламента должны быть имплементированы странами ЕС в течение двух лет, по истечении которых он будет обладать прямым действием на территории всего Европейского союза.
Впрочем, не дожидаясь формального принятия Регламента, критерий направленной деятельности уже в определенной степени нашел свое отражение в европейском законодательстве о персональных данных посредством расширительного толкования понятия "подразделение" оператора Европейским судом Справедливости. Так, в известном деле Weltimmo Суд указал, что при определении местонахождения "подразделения" для целей применения положений ст. 4(1)(a) Директивы 96/46/EC "О персональных данных" необходимо использовать гибкий подход, понимая под таким местонахождением не только формальное место регистрации (учреждения) такого подразделения, но и любую "реальную и эффективную деятельность, осуществляемую оператором на территории соответствующей страны - члена ЕС посредством каких-либо стабильных средств". Такая деятельность может осуществляться, в частности, через веб-сайт, ориентированный на пользователей конкретной территории, ведущийся на национальном языке соответствующего государства и касающийся объектов, расположенных на его территории <1>.
--------------------------------
<1> Weltimmo s.r.o. v. Nemzeti , ECJ, Case C-230/14, 1 October 2015.
Принцип страны происхождения
В завершение рассмотрения вопроса о применимом праве необходимо сказать несколько слов о принципе страны происхождения (country of origin principle), закрепленном в ст. 3 Директивы ЕС "Об электронной коммерции".
Суть данного принципа заключается в том, что, коль скоро интернет-услуга соответствует требованиям законодательства государства - члена ЕС, откуда она "исходит", такая услуга может свободно оказываться на территории других государств - членов ЕС. В европейской доктрине продолжаются дискуссии о природе принципа "страны происхождения", и многие авторитетные ученые признают за ним значение нормы, регламентирующей применимое право (право страны учреждения провайдера услуги) <1>.
--------------------------------
<1> Savin A. Op. cit. P. 71 - 75.
Однако далеко не все разделяют данную позицию. По мнению ряда специалистов, данное правило носит публично-правовой характер и фактически распределяет законодательную юрисдикцию между различными государствами - членами ЕС. Его цель заключается в обеспечении свободного перемещения услуг в рамках общего рынка и предотвращении его фрагментации вследствие различного правового регулирования. Страны, принимающие услугу (host states), могут устанавливать дополнительные требования и регулирование только в той степени, в какой это необходимо из соображений публичной политики, охраны здоровья, безопасности, защиты прав потребителей.
Данная позиция разделяется Европейским судом, по мнению которого принцип страны происхождения не относится к числу коллизионных (т.е. регулирующих вопрос выбора применимого права), а означает недопустимость подчинения провайдера информационных услуг более строгому правовому режиму по сравнению с тем, который существует в стране, где он учрежден, за исключением случаев, прямо указанных в Директиве <1>. При этом Европейский суд также сослался на ст. 1(4) Директивы, согласно которой она не устанавливает дополнительных правил, касающихся юрисдикции судов либо международного частного права.
--------------------------------
<1> eDate Advertising GmbH v. Martinez, ECR. 25 October 2011. C-509/09.
Ни в коей мере не оспаривая выводы Европейского суда по данному вопросу, полагаю, что принцип "страны происхождения" мог бы быть одним из возможных подходов при построении единого регуляторного пространства применительно к деятельности, осуществляемой в сети Интернет. Но это уже тема для отдельного исследования.
|