Консультант по защите персональных данных

Анастасия является консультантом в нашей команде с 2020 года. Она обладает обширным опытом проведения аудитов, составления документации, управления трансграничной передачей данных. Портфолио ее проектов охватывает различные отрасли, включая мобильные приложения, в том числе предназначенные для детей, стриминговые платформы и многое другое.

CIPP/E, GDPR DPP, GDPR DPT, Global DPM, Strategic Privacy by Design

Разбираемся в юрисдикционном хаосе: экстерриториальное применение законов о защите данных с точки зрения международного права

В эпоху стремительной глобализации обработка персональных данных выходит за пределы национальных границ. По мере того, как операции по обработке данных становятся все более взаимосвязанными по всему миру, выбор применимого права становится критически важной проблемой. Государства стали часто распространять действие законов о приватности на иностранные компании, что ставит вопрос о совместимости такой практики с международным правом.

Содержание

Понятие экстерриториальности

Территория государства является наиболее общепризнанным пределом юрисдикции. Однако появление интернета нарушило эту традиционную парадигму. Беспрепятственные транснациональные потоки данных представляют собой серьезную проблему для установленных юрисдикционных границ. Поэтому существует необходимость в переоценке правовых рамок для защиты права на приватность, поскольку деятельность контролеров данных имеет последствия и затрагивает граждан нескольких государств.

Юрисдикционный хаос

В отсутствие международных стандартов и универсальных договоров о защите персональных данных государства включают в свои законы о неприкосновенности частной жизни положение об экстерриториальном применении, обязывающее компании соблюдать иностранное законодательство при определенных условиях. Таким образом государства стремятся защитить персональные данные своих граждан, когда они становятся доступными с территории других стран, что особенно актуально при обработке данных мультиюрисдикционными компаниями, зарегистрированными в нескольких странах. Несмотря на то, что в международном частном праве разработаны различные тесты для определения применимого права, эти концепции часто не совпадают с факторами, влияющими на применение законов о защите персональных данных. Общие критерии для установления применимости, такие как таргетинг резидентов государства или мониторинг их поведения, обработка данных определенного количества резидентов или наличие организационного присутствия, создают проблемы, когда контролеры данных подпадают под критерии нескольких законов одновременно. Такая сложность подчеркивает необходимость рассматривать законодательство о защите данных как самостоятельную систему, в которой применение закона зависит от индивидуального набора юрисдикционных правил. Тем не менее, возникает вопрос: при каких обстоятельствах государству разумно распространять свои требования на иностранных субъектов и совместимо ли это с международным правом?

Хотя общепринятого определения экстерриториальной юрисдикции не существует, это понятие можно кратко охарактеризовать как возможность государства устанавливать, применять и обеспечивать исполнение национального законодательства за пределами своей территории, при условии, что данное поведение затрагивает интересы государства и при отсутствии регулирования международным правом. В контексте законодательства о защите данных необходимо оценить эти компоненты по отдельности.

Установление регулирования (prescriptive jurisdiction)

Первая грань экстерриториальной юрисдикции, известная как прескриптивная юрисдикция, возникает, когда государство заявляет о своих полномочиях устанавливать правовые нормы. Примечательно, что попытка иностранного государства сделать это за пределами своей территории может привести к прямому конфликту с усилиями территориального государства по принятию аналогичных законов. Яркой иллюстрацией этого является ситуация, когда одновременно применяются законы страны, в которой зарегистрирован контроллер данных, и законы страны, в которой проживают субъекты данных. Практические проблемы усугубляются из-за значительных различий между законами о защите данных. Например, могут возникать конфликты в отношении правовых оснований для обработки данных, правил, касающихся привлечения процессоров, трансграничной передачи и процедурных требований, что создает сложный ландшафт для соблюдения всех норм.

Экстерриториальность не только создает практические проблемы, но и ставит вопрос о ее балансе с государственным суверенитетом. Традиционно считается, что экстерриториальная юрисдикция допустима только в исключительных обстоятельствах, поскольку государства не могут в одностороннем порядке определять границы своей компетенции за пределами своей территории. Однако, в отношении прескриптивной юрисдикции, хотя и не без споров,  органы по правам человека выразили мнение, что юрисдикция может быть распространена экстерриториально на действия, которые находятся под эффективным контролем государства. Даже несмотря на отсутствие определения того, что является эффективным контролем в сфере защиты персональных данных, мы можем сделать вывод, что он осуществляется в силу прескриптивной юрисдикции, то есть когда государства устанавливают правила для обработки данных их граждан иностранными компаниями. Это утверждение согласуется с обязательством защищать право граждан на приватность. Также, согласно «функциональному» подходу, экстерриториальная юрисдикция допустима, когда государство контролирует осуществление соответствующих прав, независимо от физического контроля над территорией, правонарушителями или отдельными лицами. Это позволяет сделать вывод, что государства могут контролировать осуществление прав путем установления границ допустимого поведения в отношении субъектов данных. Таким образом, существует консенсус относительно того, что государство может устанавливать правила обработки данных своих граждан.

Экстерриториальное исполнение требований

Основополагающий принцип исполнительной юрисдикции (enforcement jurisdiction), установленный в деле Lotus, гласит, что государство «не может осуществлять свою власть в любой форме на территории другого государства«. Хотя признается, что государство обладает правом экстерриториального предписания норм, правовой режим исполнительной юрисдикции, которая обеспечивает соблюдение этих норм, является более строгим. Без согласия другого государства такое поведение считается незаконным, поскольку нарушает его права на территориальную целостность и политическую независимость. Чтобы избежать этого нарушения, согласно международному праву, государство может распространять свои полномочия за пределы своей территории только с помощью разрешения, вытекающего из международного обычая или договора.
Защита данных в разных юрисдикциях

Соблюдение законов о защите персональных данных обеспечивается, в частности, путем наложения штрафов, судебных решений, рассмотрения жалоб от субъектов данных, проведения проверок, вынесения запретов на обработку данных. Однако единственный способ сделать такую практику законной — получить разрешение государства на осуществление принудительных действий, которое может быть предоставлено в рамках двусторонних соглашений или многосторонних договоров. Несмотря на существование региональных документов, в них не рассматривается вопрос экстерриториальности или приоритета законов, когда они конфликтуют друг с другом. Кроме того, существующие документы носят в основном декларативный характер, что не позволяет считать их разрешением государства на экстерриториальность.

Эффективность экстерриториальных исполнительных мер также является предметом дискуссий, что подтверждается существующей судебной практикой по экстерриториальному применению законов о защите данных. Например, Суд Европейского Союза постановил, что право на забвение не имеет экстерриториального применения и решение касается только территории Европейского Союза. Тем не менее, такой подход подрывает основную цель экстерриториального применения, которая заключается в обеспечении прав субъектов данных. В этом случае, чтобы добиться удаления информации, субъекту данных придется обращаться в несколько иностранных судов, что, очевидно, не представляется практичным решением. В связи с этим возникает вопрос о целесообразности расширения сферы применения законов, когда на практике основной аспект — осуществление прав субъекта данных — становится трудно недостижимым.

Что касается аспекта именно наказания (punitive function), то ученые сходятся во мнении, что такие меры нарушают международное право. Несмотря на то, что на практике надзорные органы инициировали разбирательства в отношении иностранных контролеров данных, вопрос о том, как эти наказания будут реализовываться, остается неясным. Тем не менее, недавние дела свидетельствуют о том, что иностранные компании сотрудничают с органами по защите данных и выполняют их предписания, несмотря на отсутствие юрисдикции по принудительному исполнению. Также, государства не выразили существенного протеста против утверждения юрисдикции. Такое отсутствие возражений можно объяснить тем, что подобные утверждения часто направлены против частных организаций, ответственных за контроль и обработку данных.

Аргументом в пользу экстерриториальности является ее «сдерживающий» эффект. Ученые подчеркивают, что риск применения принудительных санкций оказывает наиболее значительное влияние на поведение контролеров данных, причем репутационный риск является главным фактором, связанным с несоблюдением требований, а не эффективность принудительных мер.

Тем не менее, даже с такой мягкой позицией можно не согласиться. Контролеры данных в цифровой среде не всегда могут привести обработки данных в соответствие с законами всех стран мира, с которыми они вступают в контакт. Гораздо разумнее было бы ограничить эту экстерриториальность. Например, было бы гораздо удобнее не применять процедурные положения о сроках, требованиях к ведению отчетности и контрактации, поскольку они могут отличаться и не затрагивают сути прав субъектов данных.

Заключение

В заключение следует отметить, что сложный ландшафт экстерриториального применения законов о защите данных порождает многогранные проблемы, выходящие за традиционные границы государственной юрисдикции. Распространение предписывающей юрисдикции на субъектов, находящиеся под эффективным контролем государства, согласуется с функциональным подходом, но требует тщательного рассмотрения. Отсутствие общепринятого определения контроля в области защиты данных еще больше усложняет ситуацию, подчеркивая необходимость создания сбалансированной и общепринятой системы.

С другой стороны, исполнительная юрисдикция вводит более строгий набор правил, подчеркивая тонкий баланс между интересами государства по защите прав своих граждан и уважением территориальной целостности другого государства. Необходимость согласия государства на принудительное исполнение подчеркивает важность дипломатического сотрудничества и двусторонних или многосторонних соглашений для легитимации этой практики. В противном случае эффективность принудительных мер, как показывает прецедентное право, остается спорной, что особенно важно в случаях серьезных нарушений.

Забронируйте бесплатную консультацию прямо сейчас!

Заполните форму, и наши менеджеры свяжутся с вами в ближайшее время.

Заполните форму, и наши менеджеры свяжутся с вами в ближайшее время.

Черная Пятница от Data Privacy Office

Курсов — больше, цены — меньше.

Два курса по цене одного

Оплата большего по стоимости курса. Распространяется как на существующие пакеты курсов, так и на два любых выбранных курса.

Корпоративное обучение + курс Awareness по выбранной юрисдикции бесплатно

Юрисдикции: ОАЭ, Китай, UK, US, Сингапур, Беларусь и др.

Выберите курсы, которые вас интересуют?
Вас интересует корпоративное обучение по защите персональных данных?
Если да, то выберите интересующую вас юрисдикцию:

Важно*

Акция распространяется только на курсы, которые стартуют в следующем году.
Во время акции, постоянные скидки не действуют.
Акция на индивидуальное обучение распространяется только на одного человека.