exit
search
26 лютого 2013

Захист персональних даних у ЄС: настав час змін

У липні 2009 року лідери країн-членів Європейського Союзу зібрались у Стокгольмі задля обговорення питань майбутнього прогресу у таких важливих сферах, як юстиція, свобода та безпека. Незважаючи на всеосяжну фінансову кризу, що охопила Європу, у ході даної зустрічі вдалося напрацювати план дій – Стокгольмську програму, що мала на меті піднести громадян ЄС на рівень нового десятиріччя. Даний План дій містив у собі розділ, присвячений захисту прав громадян у сфері інформаційного суспільства.

Незабаром Європейська Рада звернулась до Європейської Комісії з проханням оцінити ефективність функціонування різноманітних інструментів захисту персональних даних та представити на розгляд, у разі необхідності, усі подальші пропозиції правового та іншого характеру задля підтримки ефективної реалізації принципів цієї сфери.

Узявши до уваги ініціативу, зароджену Стокгольмською програмою, а також нову стратегію економічного зростання ЄС (Європа 2020), Єврокомісія запропонувала у січні 2012 року два вагомі законодавчі акти. Перший з них, найбільш амбітний за своїм масштабом та формою, стосується захисту прав осіб під час обробки та вільного переміщення їх персональних даних (Генеральний регламент із захисту персональних даних). Другий акт розроблений для захисту особистих прав у ході обробки персональних даних компетентними органами, з метою запобігання, розслідування, виявлення кримінальних злочинів, висунення звинувачень у їх вчиненні, або при виконанні кримінальних покарань, та при вільному переміщенні цих даних.

На даний момент найбільш обговорюваним серед держав-членів ЄС, та різних його інституцій, є Генеральний регламент із захисту персональних даних (далі – Регламент). Саме тому, увагу буде сфокусовано на розгляді його особливостей.

Наразі Регламент має пройти усі необхідні законодавчі процедури для його прийняття, що передбачені статтею 294 Угоди щодо функціонування Європейського Союзу. Він вже був розглянутий національними парламентами країн-членів ЄС, Комітетом регіонів, Європейським інспектором з захисту персональних даних, Європейською Радою та Європейським економічним і соціальним комітетом. З метою кращого висвітлення особливостей Регламенту, слід зупинитись на огляді його основних цілей, та деяких критичних зауважень щодо його змісту, а також важливо зрозуміти відмінність Регламенту від поточної Директиви 95/46/ЄС «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних» (далі – Директива).

Однією з найголовніших цілей нового Регламенту є приведення законодавства у сфері захисту персональних даних у відповідність до первинного права ЄС. Підписана у 2009 році Лісабонська угода спричинила деякі неузгодженості для Директиви. Згідно цієї Угоди, Хартія основоположних прав 2000 року набула статусу первинного права ЄС. Європейська Комісія, в свою чергу, звернула увагу на те, що зміст Директиви не відповідає положенням статті 8 Хартії, які стосуються захисту персональних даних. У даній статті зазначено, що кожна особа має право доступу до персональних даних, які збираються щодо неї, а також право на їх уточнення. Поточна ж Директива не є спроможною в повному обсязі забезпечити ці права.

Серед інших ключових цілей нового Регламенту, які визначає Єврокомісія, слід виділити наступні. Перша з них полягає у посиленні прав особи. Друга – у поглибленні єдиного ринку ЄС. Превалює думка, що вони не повинні бути взаємовиключними одна від одної, та що ефективне функціонування ринку має зміцнювати права людини, а посилені права людини, в свою чергу, є сприятливими для ринку.

Основні цілі щодо створення нового Регламенту не обмежуються лише поняттями прав людини та посиленням єдиного ринку. Вони також полягають у забезпеченні високого рівня охорони персональних даних у всіх сферах життєдіяльності, а також належного дотримання правил, введених з цією метою, у спрощенні процесу міжнародного переміщення персональних даних, та впровадженні єдиних стандартів з їх захисту.

Слід відмітити, що дані цілі охоплюють як локальний, так і міжнародний рівень. З одного боку існує необхідність у зміцненні фундаментальних прав особи на приватність, та удосконаленні діяльності єдиного ринку (шляхом зниження адміністративних обтяжень для компаній внаслідок підвищення гармонізації права), з іншого – у впровадженні єдиних наднаціональних стандартів захисту персональних даних, до чого прагне Європейський Союз.

Тепер слід розглянути основні відмінності між пропонованим Регламентом та нині діючою Директивою, як інструментів досягнення цілей ЄС. Перша відмінність стосується юридичної сили цих двох актів. Регламент, відповідно до основоположних угод ЄС, являє собою незмінний текст, що має безпосередньо виконуватись країнами-членами після його прийняття. На відміну від нього, текст директиви не є прямим до виконання одразу після того, як вона набуває чинності. Країна-член починає виконувати її положення лише після їх імплементації до національного законодавства (за деякими винятками). У результаті цього, національне законодавство, що ухвалене на впровадження положень директиви, різниться між собою у всіх державах ЄС. Це, в свою чергу, означає, що існує певний ризик недосягнення встановлених директивою цілей. Проте, це не значить, що не існує механізму з забезпечення виконання положень даного акту (Суд ЄС є одним з прикладів цього механізму). Та все ж, саме регламент може гарантувати повну ідентичність національного законодавства країн-членів.

Відмінність нового Регламенту та поточної Директиви полягає не лише у їх юридичному статусі. Регламентом передбачено ряд організаційних змін у забезпеченні захисту персональних даних. Зокрема, ним пропонується створити посади службовців з захисту персональних даних. Ці службовці мають обов’язково бути наявними у компаніях, де кількість персоналу перевищує 250 осіб, а також у державних установах. Вони будуть здійснювати спостереження за виконанням положень Регламенту на рівні компаній, та забезпечуватимуть досягнення необхідних результатів.

Мабуть, найцікавішою новацією, запропонованою Регламентом, є впровадження права особи «бути забутою». Повністю новим це право назвати не можна, оскільки воно вже існувало у різних завуальованих формах. Відмінним, в даному випадку, є межі цього права. Щоб розглянути цю різницю, доцільно порівняти статтю 17.1 нового Регламенту із статтею 12 (b) поточної Директиви. Стаття 17.1 передбачає спеціальні сфери, в межах яких особи можуть вимагати виключення своєї персональної інформації з баз даних, куди вона була внесена.

Натомість, стаття 12 (b) Директиви передбачає право доступу до персональних даних, і лише опосередковано стосується права особи «бути забутою», не забезпечуючи належного механізму його реалізації. Дана стаття більше фокусується на видаленні помилкових даних.

Парламентський комітет з громадянських свобод, юстиції та внутрішніх справ відмітив, що стаття 17.1 намагається забезпечити дотримання прав особи в цифровому середовищі, і в той же час підтримує виключення відносно свободи вираження думок. «В тих випадках, коли особа погодилась на публікацію її персональних даних…«право бути забутим» не є ні законним, ні реалістичним» - зазначив Комітет.

Загалом, новий Регламент зазнав суттєвої критики як від різних інституцій ЄС, так і від держав-членів. Сторони намагались спрямувати свої зауваження саме на документ, а не на дії Європейської Комісії як інституції, оскільки до обговорення було залучено усіх ключових суб’єктів. Критичні зауваження особливо торкнулись трьох сфер.

Найбільш гучними вони були відносно наділення Європейської комісії делегованими повноваженнями. Не оминули критики положення нового акту й відносно неврахування різних ступенів ризику, та появи нових адміністративних обтяжень для компаній та державних установ. Зупинимось на кожному з цих проблемних аспектів.

Багато невдоволень було висловлено щодо передбаченої у Регламенті можливості використання делегованих актів задля вирішення практичних ситуацій (деталізуючі акти, які приймає Єврокомісія на виконання положень акту вторинного права, наприклад, регламенту). Це питання носить делікатний характер, коріння якого беруть початок з усієї системи права ЄС. У якій мірі Єврокомісія уповноважена надавати керівні вказівки державам-членам, та якою мірою вони вільні у своєму законотворенні? Критики наголошували, що даний Регламент призведе до надмірного використання делегованих актів, що може суперечити, якщо не безпосередньо тексту угод ЄС, то їхнім цілям. Європейський економічний та соціальний комітет відмітив, зокрема, що такий порядок виходить за межі статті 290 Угоди щодо функціонування ЄС, де обумовлено, що «цілі, зміст, межі, термін делегованих повноважень мають бути чітко визначеними у законодавчих актах». Він стурбований тим, що Регламент чітко не визначає, в яких межах Єврокомісія уповноважена приймати делеговані акти.

Аргументація Єврокомісії полягала у тому, що надання їй можливості приймати дані акти є необхідним для того, щоб запобігати створенню законодавства, яке містить надто детальні приписи. Натомість, делеговані акти можуть бути гнучкими відносно розвитку сучасних технологій. Проте, на думку міністрів країн ЄС, надто нечітке законодавство може створити загрозу правової невизначеності. Європейський економічний та соціальний комітет пропонує передати деякі сфери до відання Європейського інспектора з захисту персональних даних, замість Єврокомісії, з метою забезпечення гармонізації та усунення деяких проблем, які асоціюються з наданням делегованих повноважень Брюсселю.

Наступні критичні зауваження були на предмет того, що Регламент не приділяє достатньої уваги питанням ризику. Наголошуючи на важливості забезпечення належного захисту персональних даних, критики відзначили, що захист має бути пропорційним можливому ризику. Кіпр, який головував на той час у Раді ЄС, зазначив: «там, де наявний більший ризик загрози персональним даним – обов’язки з їх захисту мають бути прописані більш деталізовано, а там, де цей ризик є порівняно нижчим – їх можна менше деталізувати».

Стурбованість була висловлена і щодо адміністративних обтяжень, які можуть бути впроваджені новим Регламентом. Єврокомісія спробувала звузити найбільш обтяжливі обов’язки, шляхом звільнення від них компаній з кількістю персоналу менше 250 осіб. Та як відмітила Європейська Рада, розмір компанії не впливає на те, який обсяг персональної інформації у ній буде зберігатись, та яким чином її може бути захищено. Найкращим показником для рівня захисту персональних даних має бути ступінь ризику, що може виникнути при тих чи інших операціях з їх обробки. Застосування критерію ризику дозволить зменшити адміністративні обтяження для тих компаній та установ, чия робота не передбачає використання широкого обсягу персональної інформації.

Новий Регламент також відобразив конфлікт між тими країнами-членами ЄС, які стурбовані тим, що гармонізована система захисту персональних даних може бути складною для впровадження у їх конституційні системи, та тими, які стверджують, що обіг персональних даних вийшов на міждержавний рівень, і це потребує відповідного регулювання. Німецький Бундесрат цим особливо занепокоївся, оскільки він вважає, що таке централізоване регулювання зачіпає принципи субсидіарності та пропорційності, які є ключовими у правовій системі ЄС (принцип субсидіарності закріплено у статті 5.3 Угоди щодо ЄС, а принцип пропорційності – у статті 5.4). 

Дебати зачіпають і проблеми використання персональних даних у державному секторі. На думку Бундесрату, Єврокомісія не наділена достатнім обсягом повноважень, щоб регулювати захист персональних даних у цьому секторі. Так, виникло запитання, чи є необхідним прийняття окремого законодавства, яке б регулювало використання персональних даних державними установами, та аналогічного законодавства для приватного сектору. Наразі, відповіді на нього так і не знайдено.

Отже, у підсумку слід зазначити, що представлення на розгляд нового Регламенту, та висловлення державами й інституціями ЄС критичних зауважень щодо його положень, є частиною демократичної практики Європейського Союзу. Хтось може стверджувати, що цей демократичний процес стосовно захисту персональних даних є свідченням їх відносності. Проте, не так легко встановити момент, з якого персональні дані переходять у статус публічних. Вихід може бути знайдено у наданні особі права самостійно його визначати. 

Європейський Союз розглядає право на захист персональних даних не як абсолютне, а як таке, що посідає важливе місце у комплексі з іншими фундаментальними правами, і забезпечується у ході правовідносин між ЄС та його членами. Європейська Комісія весь час функціонує виходячи з чітко прописаних для неї повноважень, та тих, які вона визначає самостійно, для вирішення питань, порядок регулювання яких не визначено у законодавчих актах ЄС.

Наразі головуючою країною Європейської Ради є Ірландія. У ході головування ця країна прийняла Програму, чимало положень якої містять згадки про захист персональних даних. В них також наголошується на необхідності просування оновленого законодавства відносно цієї сфери до прийняття. Проте, в даних положеннях акцент поставлено не на правах людини, а на необхідності підтримки спільного ринку. Чи не означатиме це, що «права» ринку матимуть переважне значення по відношенню до прав людини? Деякою мірою це спостерігається і зараз. Питання у тому, чи допоможе Регламент усунути цю проблему.
 

переклад з англійської: Школьний Євген