Государства Европейского союза (ЕС) уделяют особое внимание вопросам обеспечения защиты права физических лиц на неприкосновенность частной жизни. Обязанность государств — членов ЕС обеспечить защиту основных прав и свобод физических лиц, в том числе применительно к обработке персональных данных и свободному движению таких данных была закреплена Директивой 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 года о защите прав частных лиц.
Экспертное мнение Директора департамента финансового мониторинга и защиты информации НП «НПС» Натальи Приезжей
Все организации, зарегистрированные в государствах – членах ЕС, должны строго соблюдать основные принципы обработки персональных данных: законность обработки персональных данных, неизменность персональных данных, обработку данных только в соответствии с заявленной целью и только тех данных, которые необходимы для заявленной цели. Передача персональных данных за пределы ЕС, по общему правилу, допускается только в случаях, когда в государстве получателя либо в международной организации обеспечен надлежащий уровень защиты персональных данных.
Основным нормативным документом, регулирующим процедуру передачи персональных данных за пределы ЕС, является Регламент N45/2001 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных, осуществляемой учреждениями и органами Сообщества, и о свободном обращении таких данных». Регламент принят в Брюсселе 18 декабря 2000 г., спустя семь лет, в 2007 году, в него были внесены изменения и дополнения.
Все организации, зарегистрированные в государствах – членах ЕС, учреждения и органы ЕС, при передаче данных в третьи государства должны руководствоваться «принципом надлежащей защиты», сформулированным в параграфах 1 и 2 статьи 9 Регламента N45/2001. Согласно указанному принципу основополагающее право на защиту персональных данных должно быть гарантировано даже тогда, когда персональные данные передаются в государства, не являющиеся членами ЕС или организациям, чья деятельность не осуществляется в соответствии с законодательством Евросоюза. Контролеры1 в учреждениях и органах ЕС должны анализировать уровень защиты персональных данных, обеспечиваемый их получателем. В смысле Регламента N45/2001 надлежащий уровень определяется правилами защиты персональных данных, применимыми к цели обработки персональных данных, и средствами для обеспечения их эффективного применения (надзор и контроль за соблюдением правил).
В случае принятия Еврокомиссией в соответствие с параграфом 5 статьи 9 Регламента N45/2001 решения о надлежащем уровне защиты персональных данных в определенном государстве, не являющимся членом ЕС, дальнейший анализ соответствия предоставляемого уровня защиты персональных данных в этом государстве требованиям, установленным на территории ЕС, не требуется.
Передача персональных данных в государство, не являющееся членом ЕС, или международной организации, также допускается с согласия должностного лица, ответственного за организацию защиты персональных данных в ЕС — Уполномоченного по надзору за защитой персональных данных на территории Европейского сообщества (European Data Protection Supervisor (EDPS)). При этом контролер должен доказать, что принимающее государство или международная организация обеспечивают уровень защиты персональных данных согласно требованиям ЕС, в частности, на основании договора.
В исключительных обстоятельствах при условии, что эти обстоятельства покрываются параграфом 6 статьи 9 Регламента N 45/2001, передача персональных данных допускается без специальных разрешений.
Организации и учреждения ЕС могут передавать персональные данные получателю, находящемуся в государстве, не являющееся членом ЕС, или международной организации, даже если в отношении этого государства Еврокомиссией не было принято решение о надлежащем уровне защиты персональных данных. В этом случае юридический документ, предусматривающий передачу персональных данных, должен соответствовать требованиям, предусмотренным статьей 9 Регламента N 45/2001.
Согласно параграфу 2 статьи 28 Регламента N45/2001 учреждения или органы ЕС должны провести консультации с Уполномоченным по надзору до момента заключения соответствующего соглашения.
Уполномоченный по надзору использует свои права в зависимости от того, каким образом была нарушена процедура передачи персональных данных. В частности, если не были проведены консультации с Уполномоченным или не было получено его предварительное одобрение, предусмотренное Регламентом N45/2001, надзорный орган, по своему усмотрению, вправе провести проверку или воспользоваться своими административными полномочиями.
Уполномоченный по надзору за защитой персональных данных на территории Европейского сообщества Питер Хастинкс (Peter Hustinx), обобщив надзорную практику при осуществлении контроля за передачей данных за пределы ЕС, выпустил 14 июля 2014 года руководство для учреждений и органов Евросоюза (ЕС). Руководство разъясняет применение норм Регламента ЕС № 45/2001 о передаче персональных данных в государства, не являющиеся членами ЕС, и международным организациям. Целью руководства является обеспечение ответственных сотрудников организаций ЕС практическими материалами для принятия обоснованных решений.
Во введении к руководству П. Хастингс обратил внимание, что в настоящее время в Европарламенте рассматривается вопрос о реформе европейского законодательства в сфере защиты персональных данных. В частности, он сообщил об ужесточении требований к передаче персональных данных и увеличении штрафов для юридических лиц до 1 млн евро или до 2% от общего ежегодного оборота компании за нарушение законодательства о защите персональных данных. Требования ЕС, предъявляемые к защите персональных данных, планируется распространить на компании, зарегистрированные за пределами ЕС, но осуществляющие деятельность на территории сообщества. Как ожидается, новые требования вступят в силу с первого января 2017 года.
1 — Организация или учреждение ЕС, которое самостоятельно или совместно с другими определяет цели и средства обработки персональных данных.
