Режим обеспечения защиты персональных данных явля­ется стратегической целью Евросоюза на сегодняшний день. Европейский Союз, как один из главных игроков на междуна­родной арене, является первоочередным объектом для нега­тивных кибервоздействий, что требует принятия своевремен­ных, адекватных и эффективных мер противодействия, в том числе принятия действенного и комплексного законодатель­ства и применения иных правовых механизмов защиты персо­нальных данных.

Европейские правовые механизмы защиты персональ­ных данных развивались по сложному пути, от декларатив­ных актов и двусторонних соглашений к имплементации норм европейского законодательства в правовые системы всех без исключения государств-членов ЕС. Это развитие идёт по пути усложнения и даже ужесточения норм, на­лагающих множество запретов и ограничений, в первую очередь на обработчиков персональных данных, с целью обеспечения максимального уровня защиты данных фи­зических лиц, а также расширения их субъективных прав. Стремительное развитие технологий в цифровой сфере, появление всё новых и новых средств и способов передачи информации, в т.ч. трансграничных, заставляет Европей­ский Союз неустанно обновлять и изменять собственное законодательство, разрабатывать новые механизмы право­вого регулирования.

В настоящее время Европейский Союз сделал очередной большой шаг в этом направлении: в 2016 году были приняты Регламент 2016/679 ЕС «О защите физических лиц в отноше­нии обработки персональных данных и о свободном переме­щении таких данных и отмене Директивы 95/46/EC» (далее - Регламент) и Директива 2016/680 ЕС «О защите физических лиц в отношении обработки персональных данных компе­тентными органами в целях предотвращения, расследования, обнаружения или уголовного преследования за уголовные преступления или исполнения уголовных наказаний, а также за свободное перемещение таких данных и отмене Рамочного решения Совета ЕС 2008/977/JHA». 28 января 2016 года стра­ны-члены Совета Европы, а также европейские учреждения, агентства и департаменты отметили 10-й ежегодный Европейский день защиты данных, а спустя неполных четыре месяца (а именно - 27 апреля 2016 года, в Брюсселе) окончательно ут­вердили Общий Регламент по защите данных и Директиву, привнесших много нового в правовую систему ЕС в целом и в механизм защиты персональных данных в частности.

Новый Регламент 2016/679 будет применяться с 25 мая 2018 года. Ссылки на Директиву 95/46/ЕС, которую он от­меняет, с указанной даты должны толковаться как ссылки на Регламент. К этому моменту должны быть приняты соответ­ствующие национальные законы и создан Европейский совет по защите персональных данных. Что касается Директивы 2016/680, то государства-члены должны принять и опублико­вать к 6 мая 2018 года законы, регламенты и административ­ные положения, необходимые для соблюдения настоящей Ди­рективы. Государства-члены ЕС незамедлительно сообщают Европейской Комиссии тексты этих положений, применять которые обязаны начиная с 6 мая 2018 года.

Важнейшим элементом механизма защиты персональ­ных данных является правовой статус субъекта персональных данных. Правовой статус субъекта данных включает в себя его права и обязанности, связанные с защитой персональных дан­ных, которые составляют суть правовой защиты персональных данных в ЕС. Правовой статус основан на концепции законной, прозрачной и контролируемой субъектом обработки данных, отвечающей правомерным интересам субъекта данных. Рас­смотрим правовой статус субъекта персональных данных по законодательству ЕС и проанализируем основные изменения, которые произойдут с вводом в действие новейших Регламен­та и Директивы.

В Регламенте существенно расширен перечень прав, ко­торыми обладает субъект данных. Таким правам посвящена отдельная глава - Глава 3 «Права субъектов данных». Директи­ва 1995 г. предусматривала только два права субъекта данных таких, как: Право субъекта данных на доступ к данным (Раздел 5, статья 12 «Право доступа») и Право субъекта данных на воз­ражения (Раздел 7, статья 14 «Право субъекта данных на возра­жения», статья 15 «Автоматизированные решения в отноше­нии частных лиц»). В плане прямой регламентации основных прав субъекта Регламент является огромным шагом вперед, поскольку права субъекта данных раскрываются в Статьях 12 - 23, многие положения из которых можно считать новеллами не только европейского, но и мирового законодательства в об­ласти защиты персональных данных.

По сравнению с действовавшим ранее законодательством ЕС, Общий Регламент по защите данных, вступающий в дей­ствие 25 мая 2018 года, во многом по-новому и гораздо более широко раскрывает сущность прав субъектов данных, ука­занных в Директиве 1995 года, а также вводит прямую регла­ментацию следующих прав субъекта: право на исправление, право на удаление («право на забвение»), право на ограни­чение обработки данных, уведомление об исправлении или удалении личных данных или ограничении обработки, право на портативность данных. В Главе 3, помимо указанных прав, установлены условия осуществления прав субъекта данных, информация и доступ к персональным данным, а также обя­занности контролера, связанные с осуществлением субъектом своих прав. Необходимо отметить, что в особых случаях зако­нодательство ЕС или государства-члена может предусмотреть ограничения названных прав, которые могут быть введены в действие только по основаниям, исчерпывающий перечень которых содержится в самом Регламенте.

Отдельно следует отметить, что несколько положений Регламента посвящены правам детей, как особой категории субъектов персональных данных. В отношении них действуют специальные правила, так как они могут быть менее инфор­мированы о рисках и последствиях публикации своих персо­нальных данных. В пункте 38 вводной части Регламента зако­нодатель говорит о том, что дети нуждаются в особой защите своих персональных данных, так как они в меньшей степени осознают риски, последствия, соответствующие гарантии и права при обработке персональных данных. Указанная особая защита должна, в частности, применяться в отношении ис­пользования персональных данных детей в целях маркетинга или создания личностного профиля или профиля пользовате­ля и сбора персональных данных детей при использовании ус­луг, предлагаемых непосредственно детям. Согласие законных представителей ребенка не является необходимым в контексте профилактических мероприятий и консультационных услуг, предлагаемых непосредственно ребенку.

В Статье 8 Регламента «Условия, применимые к согласию ребенка в отношении услуг информационного общества» гово­рится о том, что если субъект данных (в этом случае - ребенок) дал согласие на обработку своих персональных данных для одной или нескольких конкретных целей в отношении пред­ложения услуг информационного общества непосредственно ребенку, обработка личных данных ребенка должна считаться законной, если ребенку исполнилось не менее 16 лет. Если ре­бенку не исполнилось 16 лет, такая обработка является закон­ной только в том случае, и в той степени, в которой согласие предоставляется законным представителем ребенка.

При этом государства-члены могут предусмотреть в сво­ем национальном законодательстве меньший возраст для этих целей при условии, что такой возраст составляет не менее 13 лет. Данная норма является одной из наиболее критикуемых в новом Регламенте, так как отходит от принципа единообраз­ного правоприменения внутри ЕС. Некоторые критики также указывают на неэффективность похожих законодательных мер в других странах, в том числе в США.

Кроме того, контролер должен приложить разумные уси­лия с учетом имеющихся технологий для проверки в тех слу­чаях, когда согласие предоставляется законным представите­лем ребенка. Отметим, что положение об обработке, в случае если ребенку не исполнилось 16 лет, не затрагивает положе­ния общего договорного законодательства государств-членов, например, такие, как правила о действительности, формиро­вании или действии контракта в отношении ребенка.

Что же касается регламентации правового статуса субъ­екта персональных данных в России, то следует отметить, что здесь, как и в Европейском Союзе, субъектом персональных данных является любое физическое лицо. Однако критерия­ми, влияющими на возможность реализации прав таким субъ­ектом, по мнению А.В. Кучеренко, являются возраст и объем дееспособности. При этом правам субъекта персональных данных полностью посвящена Глава 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Закон РФ о персональных данных). Статья 14 этого Закона, несмотря на свое название «Право субъекта персональных дан­ных на доступ к его персональным данным», содержит поло­жения о том, что субъект данных вправе требовать от операто­ра уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученны­ми или не являются необходимыми для заявленной цели об­работки, а также принимать предусмотренные законом меры по защите своих прав. Таким образом, правила статьи 14 За­кона РФ о персональных данных корреспондируют положени­ям Регламента, а именно статье 15 «Право доступа субъектом данных», статье 16 «Право на исправление», статье 17 «Право на удаление («право на забвение»)» и статье 18 «Право на огра­ничение обработки данных». Помимо этого, статья 14 Закона РФ о персональных данных содержит правила, которые соот­ветствуют другим статьям Регламента, в частности, положение о том, что сведения, указанные в части 7 статьи 14, должны быть предоставлены субъекту персональных данных операто­ром в доступной форме, - части 1 статьи 20 Регламента «Право на портативность данных», а также положение о возможных ограничениях прав субъекта персональных данных на доступ к его персональным данным - в Регламенте ЕС всем случаям ограничения прав субъектов данных посвящена Секция 5 Гла­вы 3 и статья 23 «Ограничения». Причем список ограничений, представленный в статье 14 Закона РФ о персональных данных, гораздо короче аналогичного перечня, предусмотренного Ре­гламентом, и эти ограничения связаны, главным образом, с обеспечением государственной и общественной безопасности, охраной правопорядка и с пресечением преступной деятель­ности.

Статья 15 Закона РФ о персональных данных определя­ет права субъектов данных при обработке их персональных данных в целях продвижения товаров на рынке, а также в целях политической агитации. По своему содержанию она корреспондирует положениям статьи 21 Регламента. Основ­ное отличие заключается в том, что помимо обработки пер­сональных данных в целях продвижения товаров на рынке, российский закон допускает обработку данных в целях по­литической агитации. Важный момент - указанная обработка допускается только при условии предварительного согласия субъекта персональных данных. Положения статьи 16 Закона РФ о персональных данных - «Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных» - в целом соответствуют нормам статьи 22 «Автоматизированное индивидуальное принятие решений, включая профилирова­ние» Регламента ЕС. Единственное отличие - Закон РФ о пер­сональных данных определяет сроки, в течение которых опе­ратор обязан рассмотреть возражение. Так, оператор обязан это сделать в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рас­смотрения такого возражения.

Специальная статья 17 Закона РФ о персональных дан­ных - «Право на обжалование действий или бездействия оператора» содержит норму о том, что субъект персональ­ных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъ­ектов персональных данных или в судебном порядке, если он считает, что оператор осуществляет обработку его пер­сональных данных с нарушением требований закона или иным образом нарушает его права и свободы. Данное по­ложение аналогично содержащемуся в статье 79 Регламента ЕС следующему правилу: без ущерба для любых доступных административных или несудебных средств правовой защи­ты, включая право подавать жалобу в надзорный орган, каж­дый субъект данных имеет право на эффективное судебное средство правовой защиты, если он считает, что его права были нарушены в результате обработки его персональных данных.

Кроме того, в статье 17 Закона РФ о персональных данных говорится о том, что субъект персональных данных имеет пра­во на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке, и это правило аналогично норме Регла­мента о том, что любое лицо, которое понесло материальный или нематериальный ущерб в результате нарушения Регла­мента, имеет право на получение компенсации от контролера или процессора за нанесенный ущерб.

Итак, рассмотрев правовой статус субъекта персональ­ных данных в механизме защиты персональных данных в РФ, приходится констатировать, что Глава 3 «Права субъекта пер­сональных данных» Закона РФ о персональных данных зна­чительно уступает одноименной Главе 3 Общего Регламента по защите данных, как по объему, так и по содержанию прав субъекта данных. Некоторые права субъекта, имеющиеся в европейском законодательстве, в российском вообще отсут­ствуют, например, право на возражение и право на уведомле­ние об исправлении или удалении персональных данных или ограничении обработки. В связи с этим с целью совершен­ствования механизма правового регулирования персональных данных в РФ, предлагается дополнить Главу 3 Закона РФ о персональных данных статьями, подробно регламентирующими право субъекта персональных данных на исправление, на огра­ничение обработки данных, на портативность данных, на воз­ражение, на уведомление.

Что касается широко обсуждаемого в Европе права на удаление («право на забвение»), то в соответствии с Федераль­ным законом от 13 июля 2015 г. № 264-ФЗ, с 1 января 2016 года каждый получил право быть забытым поисковой информа­ционной системой. Так, согласно статье 10 указанного Закона оператор поисковой системы, распространяющий в сети «Ин­тернет» рекламу, которая направлена на привлечение внима­ния потребителей, находящихся на территории Российской Федерации, по требованию гражданина (физического лица) обязан прекратить выдачу сведений об указателе страницы сайта в сети «Интернет», позволяющих получить доступ к информации о заявителе, распространяемой с нарушением законодательства РФ, являющейся недостоверной, а также неактуальной, утратившей значение для заявителя в силу по­следующих событий или действий заявителя, за исключением информации о событиях, содержащих признаки уголовно на­казуемых деяний, сроки привлечения к уголовной ответствен­ности по которым не истекли, и информации о совершении гражданином преступления, по которому не снята или не по­гашена судимость.

Не вызывает сомнений и тот факт, что в приведенном выше положении Федерального закона от 13 июля 2015 г. № 264-ФЗ речь идет именно о персональных данных физического лица. Однако, несмотря на то, что в России имеется специаль­ный закон (Закон РФ о персональных данных), регулирующий обработку персональных данных, в котором на оператора воз­ложены аналогичные обязанности, данные поправки внес­ли именно в Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее - Закон об информации). По неясным причинам законодатель решил не связывать право на забве­ние с персональными данными. Считаем, что такая ситуация с большой долей вероятности вызовет правовые коллизии и разночтения в практике применения российского законода­тельства. Например, Закон об информации не устанавливает объективные критерии разделения информации на актуаль­ную и неактуальную. Напротив, он подчеркивает субъектив­ный характер такой квалификации, говоря об утрате значения для заявителя. К тому же данный Закон не обязывает пользо­вателя доказывать эту неактуальность, то есть возлагает бремя доказывания «актуальности и значимости для заявителя» на оператора поисковой системы. Как оператор сможет моти­вированно объяснить гражданину значимость информации о нем самом, пока не очень понятно. При этом в аналогичной ситуации другой российский Закон - Закон РФ о персональ­ных данных - обязывает гражданина доказывать неактуаль­ность его данных для их уточнения или удаления оператором.

Исходя из вышеизложенного, наряду с предложением о внесении в Закона РФ о персональных данных прав субъекта данных, считаем необходимым перенести рассмотренные нор­мы Закона об информации в отдельную статью Главы 3 Закона РФ о персональных данных с необходимыми уточнениями, в частности, с более четким определением объективных крите­риев разделения информации на актуальную и неактуальную, и с определением того, какие критерии могут послужить осно­ванием для отказа в удалении данных. Кроме того, желательно дополнить Закон РФ о персональных данных положениями об условиях осуществления всех рассмотренных выше прав субъ­екта данных.

ШАДРИН Станислав Александрович
аспирант кафедры международного и европейского права Казанского (Приволжского) государственного университета, преподаватель кафедры конституционного и муниципального права юридического факультета Оренбургского государственного аграрного университета