Европейская Комиссия приняла два решения о признании правового режима защиты персональных данных Великобритании адекватным стандартам Евросоюза

14.07.2021 Отдел анализа и прогнозирования

Время на прочтение: 9 мин

Принятые решения дают возможность свободного перемещения персональных данных между ЕС и Великобританией без необходимости использования дополнительных инструментов.

28 июня 2021 года Европейская Комиссия приняла два решения о признании правового режима защиты персональных данных Соединённого Королевства Великобритании и Северной Ирландии адекватным стандартам Евросоюза (adequacy decision).

Срок действия решений ограничивается четырьмя годами (‘sunset clause’) и по истечении этих четырех лет может быть продлен Еврокомиссией.

Первое решение касается передачи данных по GDPR, второе – обмена данными для целей уголовного правоприменения в соответствии с Директивой о правоприменении в связи с уголовным судопроизводством, предупреждением, расследованием и раскрытием преступлений (Law Enforcement Directive).

Соглашением ЕС с Великобританией от 24 декабря 2020 г. («Торговая сделка», EU-UK Trade and Cooperation Agreement, ‘Trade Deal’), было определено, что данные могут свободно перемещаться между ЕС и Соединенным Королевством до 1 июля 2021 г.

Как и предполагалось, страны ЕС и Великобритания пришли к соглашению о дальнейшей передаче персональных данных в последние дни, оставшиеся до этой даты.

Это было ожидаемо, учитывая, что Global Industry Groups (объединение крупных европромышленников) заявила, что «негативные последствия нарушения потока данных были бы существенными для бизнеса в ЕС и Великобритании, поскольку Соединенное Королевство остается основным торговым партнером ЕС, и только экспорт в Великобританию оценивается примерно в 430 миллиардов евро». Документ Исследовательской службы Европарламента (European Parliamentary Research Service) «Передача данных в частном секторе между ЕС и Великобританией после Brexit» (EU-UK private-sector data flows after Brexit) подчеркивает: «стоимость «неадекватности» составит около £1-1.6 миллиарда (€1.116-1.7856 миллиарда) для британских фирм, во столько обойдутся им альтернативные механизмы передачи данных в соответствии с GDPR».

16 июня 2021 года в профессиональных сообществах в социальных сетях появилась информация о том, что представители государств-членов ЕС договорились о признании правового режима защиты персональных данных Соединённого Королевства Великобритании и Северной Ирландии адекватным стандартам Евросоюза.

Тогда же появилась ожидаемая информация о намерении Еврокомиссии принять Решение об адекватности до конца июня.

Уже 17 июня в социальных сетях появился новый (третий по счету) вариант проекта adequacy decision. Заместитель директора Директората по Основным правам и Верховенству Права Еврокомиссии Бруно Дженкарелли в комментарии в LinkedIn разместил прямую ссылку на публикацию проекта.

Как и предыдущие варианты, проект фактически представляет собой два решения: для передачи данных по GDPR и для обмена данными для целей уголовного правоприменения в соответствии с Law Enforcement Directive. Конечные решения Еврокомиссии от 28 июня соответствуют именно данной, третьей редакции.

Ключевые изменения по сравнению с первыми редакциями отражают опасения ЕС в связи с предстоящими изменениями британского правового регулирования в области данных, а также британским иммиграционным законодательством.

В связи с этим передача данных для целей, связанных с иммиграцией, изымается из предмета регулирования решения. Точнее говоря, Еврокомиссия не урегулировала данный вопрос в деталях, просто упомянув т.н. «исключение для иммигрантов» (“immigration exemption carve-out”). Кроме того, проект предусматривает постоянную оценку изменений правового режима Великобритании и упомянутое ограничение срока действия решения четырьмя годами (‘sunset clause’).

В принятых решениях и дискуссии вокруг них обращают на себя особое внимание два аспекта.

1. «Исключение для иммигрантов» (“immigration exemption carve-out”).

Преамбула 6 Решения гласит, что Решение «не касается персональных данных, передаваемых в Великобританию для целей иммиграционного контроля, а также данных, подпадающих под «иммиграционное исключение» … действительность и толкование «иммиграционного исключения» в соответствии с законодательством Королевства не устанавливаются в связи с решением Апелляционного Суда от 26 мая … передача персональных данных, к которым может быть применено «иммиграционное исключение», должна быть исключена из предмета настоящего Решения … по крайней мере до тех пор, пока сохраняется несоответствие в британском праве».

Ст. 1 Решения устанавливает: «Настоящее решение не охватывает персональные данные, передаваемые для целей миграционного контроля Соединенного Королевства, а также попадающие в предмет исключения из определенных прав субъектов персональных данных для обеспечения иммиграционного контроля в соответствии с параграфом 4(1) Приложения 2 к Data Protection Act 2018».

Следует отметить также, что положения Data Protection Act 2018 в Великобритании являются предметом judicial review (административное судопроизводство по обжалованию нормативных и ненормативных актов публичных органов) в деле The Open Rights Group & Anor, R (On the Application Of) v The Secretary of State for the Home Department & Anor [2021] EWCA. 26 мая Апелляционный Суд Англии и Уэльса (England and Wales Court of Appeal, EWCA) вынес по данному делу решение, которое, по-видимому, станет окончательным. Данным решением т.н. «иммиграционное исключение» признано незаконным, Правительство воздержалось от апелляции в Верховный Суд (United Kingdom Supreme Court, UKSC).

Говоря о практическом применении данного ограничения, следует отметить, что такое специфическое условие впервые предусматривается решением об адекватности. К примеру, решение в отношении Канады применяется только к обработке данных в частном секторе, что, несомненно, гораздо шире, чем исключение в отношении Великобритании.

Скорее всего, контролеры и процессоры из ЕС должны будут использовать для передачи персональных данных для «иммиграционных целей» в Великобританию иные гарантии, предусмотренные статьями 44, 46 — 49 GDPR, поскольку они не могут полагаться на решение об адекватности.

Однако, «иммиграционное исключение» в британском праве сформулировано настолько широко, что, что теоретически может применяться к любой обработке. Сфера действия исключения не определена должным образом.

Как отметил Апелляционный суд, исключение не содержит никаких указаний или ограничений:

— какие типы персональных данных затрагиваются;

— какие типы контролеров или процессоров затрагиваются;

— что означает «иммиграционный контроль»;

— что представляет собой «поддержание эффективного иммиграционного контроля».

Поэтому, кроме как с помощью «здравого смысла», контролеры ЕС не могут понять, подпадает ли их передача данных под исключение или нет.

«Исключение для иммигрантов»¹, похоже, является для Комиссии лишь политической фикцией для того, чтобы протолкнуть решение об адекватности, сделав вид, что Комиссия учла предыдущую критику Европарламента.

Правительство Великобритании решило не обжаловать решение Апелляционного суда о признании иммиграционного исключения недействительным. Поэтому в скором времени, вероятно, в законодательство Великобритании будет внесена какая-то поправка, которая (теоретически) приведет это положение в соответствие с законодательством ЕС.

Скорее всего «исключение для иммигрантов» не внесет каких-либо практических изменений.

Но, как отмечает Роберт Бэйтман (Robert Bateman), «пожалуй, самое важное, что исключение из иммиграционного законодательства подтверждает то, что многие люди утверждают уже давно: адекватность — это в первую очередь политический процесс».

2. Оценка и контроль в отношении последующих изменений.

Согласно ст. 3 Решения об адекватности, «Комиссия должна постоянно контролировать применение правовой базы, на которой основано настоящее Решение, включая условия, при которых осуществляется передача данных, реализуются права личности, и государственные органы Соединенного Королевства имеют доступ к данным, переданным на основании настоящего Решения, с целью оценки того, продолжает ли Соединенное Королевство обеспечивать адекватный уровень защиты.

Государства-члены и Комиссия должны информировать друг друга о случаях, когда Комиссар по защите информации или любой другой компетентный орган Соединенного Королевства не обеспечивает соблюдение правовых рамок, на которых основано настоящее Решение.

Государства-члены и Комиссия должны информировать друг друга о любых признаках того, что вмешательство государственных органов Соединенного Королевства в право отдельных лиц на защиту их персональных данных выходит за рамки строго необходимого, или что отсутствует эффективная правовая защита от такого вмешательства.

Если у Комиссии есть признаки того, что адекватный уровень защиты более не обеспечивается, Комиссия информирует компетентные органы власти Соединенного Королевства и может приостановить, отменить или изменить настоящее Решение.

Комиссия может приостановить, отменить или изменить настоящее Решение, если отсутствие сотрудничества со стороны правительства Соединенного Королевства не позволяет Комиссии определить, сохраняется ли адекватный уровень защиты».

Примечательно, что в тот же день, когда появилась информация о соглашении государств-членов ЕС на принятие решения об адекватности, были опубликованы новости о предстоящей замене в Великобритании регулирования защиты данных по европейскому образцу более традиционными для системы Общего права инструментами (‘traditional Common Law-based approach’) в рамках регуляторной реформы.

В своем заключительном отчете Целевая группа по инновациям, росту и реформе регулирования (Task Force on Innovation, Growth and Regulatory Reform, TIGRR), возглавляемая бывшим лидером консерваторов сэром Айеном Дунканом Смитом (Sir Iain Duncan Smith), утверждает, что выход из ЕС «создает единовременную возможность для создания новой смелой нормативной базы Великобритании, основанной на ряде принципов, заложенных в общем праве Великобритании».

Отчет подчеркивает, что нынешнее регулирование является «ограничительным», возлагая ответственность за это на европейский «подход, основанный на Гражданском кодексе Наполеона». Системы английского общего права и шотландского права «позволят регулирующим органам применять более простые правила».

Чтобы стимулировать рост цифровой экономики, группа предлагает заменить действующий «Британский GDPR» на «новую, более пропорциональную, британскую систему защиты персональных данных граждан». Подход, основанный на общем праве, позволит прецедентному праву адаптироваться к новым технологиям, таким как искусственный интеллект и блокчейн. Группа также предлагает снизить нагрузку по борьбе с отмыванием денег в интересах новых открытых банковских и финтех-услуг.

Группа предлагает перенести режим лицензирования фармацевтических препаратов из Министерства внутренних дел в Министерство здравоохранения и социального обеспечения и предоставить Управлению гражданской авиации больше полномочий для более эффективного регулирования использования беспилотников.

Освободившись от «принципа перестраховки» («precautionary»), Великобритания должна «активно поддерживать исследования и коммерческое внедрение фермерами Великобритании генетически отредактированных культур, особенно тех, которые помогают перейти от агрохимикатов к естественной биологической устойчивости».

Отчет также предлагает внести изменения в Закон о весах и мерах 1985 года, чтобы позволить использовать британские имперские измерения без эквивалентных метрических измерений.

Офис премьер-министра сообщил, что Борис Джонсон написал письмо членам рабочей группы, поблагодарив их за работу.

Следует отметить, что данная новость также не является неожиданной.

Еще в апреле Министр культуры, СМИ и спорта Великобритании (Secretary of State for Culture, Media & Sport). Оливер Дауден (Oliver Dowden) заявил, что ЕС не имеет монополии на защиту персональных данных (‘EU doesn’t hold the monopoly on data protection’). Тогда министр отметил, что Правительство использует преимущества Brexit чтобы создать отличающийся режим защиты персональных данных. Он подчеркнул: «не нужно копировать GDPR слово в слово … Различные страны, такие как Израиль или Уругвай, успешно обеспечивают адекватную защиту в соответствии со стандартами Брюсселя несмотря на то, что имеют собственные правовые режимы. Не все из них идентичны GDPR, но «эквивалентный» не значит «такой же».

Подобные заявления прозвучали и 5 мая в ходе Ежегодной Конференции практикующих специалистов в области защиты приватности (DPPC 2021). Тогда было отмечено, что Великобритания в настоящее время разрабатывает собственные механизмы трансграничной передачи данных между Королевством и странами, не входящими в ЕС, включая механизм признания адекватности, SCC (Standard Contractual Clauses), а также механизм, обеспечивающий обмен данными с США вместо Privacy Shield. Заместитель Комиссара Стив Вуд (Steve Wood) заявил, что ICO планирует представить проект SCC для публичных консультаций уже к лету. Также было упомянуто, что Правительством разработана Национальная стратегия в области данных (National Data Strategy), которая станет основным программным документом для регулирования и политики в данной сфере. Заместитель министра цифровизации, культуры, СМИ и спорта Фил Эрл (Phil Earl) сообщил о том, что доступность данных при обеспечении защиты персональных данных и конфиденциальной информации является одним из приоритетов Правительства в обеспечении цифрового лидерства.

В ходе открытия очередной сессии Парламента (State opening) 11 мая Королева Елизавета Вторая в программной речи (Queen’s Speech) в Палате Лордов также коснулась этого аспекта. В частности, как подчеркивается в опубликованном резиденцией Премьер-Министра «Кратком конспекте Речи Ее Величества» (Her Majesty’s Speech – Background Briefing Notes): «Правительство планирует провести регуляторную реформу, чтобы сократить регуляторную нагрузку на бизнес. Премьер-министр создал Комитет кабинета министров по улучшению регулирования под председательством Канцлера, чтобы обеспечить выполнение правительством амбициозной программы реформирования регулирования, которая позволяет и поддерживает рост и инновации во всей экономике. После выхода из ЕС Великобритания может разрабатывать свои нормативные акты так, как не могла этого делать в течение многих лет. Правительство в полной мере воспользуется этой возможностью, обеспечивая, чтобы регулирование не создавало ненужных препятствий для инноваций и роста бизнеса».

Предложения, высказанные в Отчете TIGRR, вызвали неоднозначную реакцию в британском профессиональном сообществе. В частности, проект подвергается жесткой критике за допущенную небрежность, невнимание к деталям, игнорирование практики британских судов, которая успела сформироваться за десятилетия пребывания в ЕС. Высказываются опасения, что новое регулирование может привести к сокращению гарантий прав субъектов персональных данных, формированию практики, похожей на США, а также подрыву взаимоотношений к ЕС, что приведет к катастрофическим последствиям в экономике.

Тот же Роберт Бэйтман пишет: «предложение TIGGRs в части предоставления более широких прав отдельным лицам и возложения надлежащей ответственности на компании выглядит как лишение отдельных лиц их прав и снижение ответственности компаний».

В отчете предлагается:

— покончить с «бессмысленными баннерами cookie» путем формирования доверия в области данных;

— отмена ЛЮБОГО человеческого надзора за автоматизированным принятием решений (примечание Роберта Бэйтмана: «это очень плохо»);

— внедрение политики «Каждый пациент NHS (Национальная Служба Здравоохранения – National Health Service) — пациент для исследований» вместо получения согласия на участие в клинических испытаниях».

Есть основания полагать, что публикация данного Отчета с его радикальными предложениями также представляет собой часть политической компании консерваторов, и реальные изменения в правовом регулировании будут более умеренными. Очевидно, что десятилетия пребывания в составе ЕС наложили свой отпечаток на правовую систему Соединенного Королевства, и вернуться к изначальному «общему праву» уже невозможно, да и не целесообразно. Взаимное влияние английского и континентального права началось задолго до создания ЕС, и процесс конвергенции правовых систем является объективной закономерностью современного глобального мира, которую нельзя «отменить» волюнтаристским решением.

Необходимо также учитывать, что многие гарантии и детальные предписания, необходимые в континентальном праве, действительно являются избыточными в английском праве, построенном на балансе, разумности, пропорциональности, а также особой роли судов.

Кроме того, как отметил нынешний председатель Верховного Суда (United Kingdom Supreme Court, UKSC) Лорд Рид (Lord Reed of Allermuir): в деле T & Anor, R (on the application of) v Secretary of State for the Home Department & Anor [2014] UKSC «В Соединенном Королевстве никогда не было тайной полиции или службы внутренней разведки, сравнимой с теми, которые существовали в некоторых других европейских странах, известным примером является восточногерманская Штази. Однако в последнее время все большее беспокойство вызывает слежка, сбор и использование персональных данных государством. … Но можно сказать, что по эту сторону Ла-Манша такая озабоченность возникла позже и ощущается не так остро, как во многих других европейских странах, где в силу исторических причин отношение к государственной слежке было более бдительным. Эта озабоченность и бдительность отражены в практике Европейского суда по правам человека в отношении сбора, хранения и использования государством персональных данных. Защита, предлагаемая общим правом в этой области, по сравнению с этим, имела ограниченный характер». При оценке британского правопорядка следует принимать во внимание и эту черту.

Помимо специфического британского контекста, из данной ситуации можно сделать выводы, касающиеся политики Евросоюза в отношении регулирования обращения и защиты данных:

1. Решения, связанные с передачей данных, в конечном счете, предопределены политическим и экономическим контекстом. Именно по этой причине в ближайшее время будет найден механизм передачи данных в США взамен признанного Судом ЕС (ECJ) ничтожным ‘Privacy Shield’;

2. ЕС последовательно ужесточает требования к трансграничной передаче данных, и данная тенденция, по-видимому, будет усиливаться. Это неизбежно отразится на неевропейских компаниях, ориентированных на европейские рынки. Компаниям из третьих стран, в особенности, из юрисдикций, в отношении которых отсутствует adequacy decision, придется приложить больше усилий для обеспечения data compliance. При этом в ряде случаев такие компании могут быть поставлены перед выбором: соблюдать европейское право и остаться на европейском рынке или соблюдать свое национальное законодательство (в особенности в тех странах, где существует обязанность предоставлять доступ к данным государственным органам) под угрозой потери доступа на рынки ЕС. Возможно, что многие пойдут по пути создания отдельных юридических лиц в европейской юрисдикции и переноса части бизнеса в ЕС, как это уже сделали американские цифровые гиганты (Google, Facebook, Apple, Microsoft и др.);

3. Глобальное влияние европейского подхода к регулированию персональных данных усиливается и будет нарастать далее. Все больше юрисдикций будут принимать законодательство, совместимое с GDPR, чтобы обеспечить своим компаниям доступ на единый рынок ЕС. По этому пути уже пошли Швейцария, Израиль, Япония, Южная Корея, Новая Зеландия, Канада, Аргентина, Уругвай, Бразилия, Сингапур, Тайвань, Гонконг и даже ОАЭ.

1
21 мая Европарламент принял резолюцию, призывающую Еврокомиссию внести изменения в проекты решений о признании правового режима Великобритании обеспечивающим уровень защиты прав субъектов персональных данных, адекватный правопорядку Евросоюза: https://www.europarl.europa.eu/news/en/press-room/20210517IPR04124/data-protection-meps-urge-the-commission-to-amend-uk-adequacy-decisions. Полный итоговый текст резолюции: https://www.europarl.europa.eu/doceo/document/TA-9-2021-0262_EN.html; Резолюция практически полностью воспроизводит критику, высказанную Комитетом по гражданским свободам (Civil Liberties Committee) в резолюции от 11 мая: https://www.europarl.europa.eu/news/en/press-room/20210510IPR03816/data-protection-meps-urge-the-commission-to-amend-uk-adequacy-decisions

помеченные Великобритания, ЕС, Законодательство, Персональные данные, Регулирование

Европейская Комиссия приняла два решения о признании правового режима защиты персональных данных Великобритании адекватным стандартам Евросоюза

Похожие записи: