<<
>>

3.1. Практика Суда ЕС в отношении нарушений прав человека со европейскими и иностранными корпорациями

В качестве примера судебного решения ЕС в отношении ТНК по поводу прав человека выбрано решение Суда Европейского союза от 6 октября 2015 г. Суд признал недействительным механизм взаимодействия с США об обмене данными в коммерческих целях, соглашение «Safe Harbour» («Безопасная гавань»), принятое решением Европейской Комиссии от 26 июля 2000 г.

Это комплексное дело, где участниками отношений выступают три стороны - физические лица, крупная ТНК «Facebook», ЕС. Фактическим нарушителем прав является ТНК, с которой пользователи заключают соглашение, которая (как оказалось) не обеспечивает должный уровень защиты. Помимо ТНК виновным в нарушении законодательно закрепленных прав оказалась Европейская Комиссия, принявшая решение, противоречащее правозащитным обязательствам ЕС.

Выбор дела обусловлен тем, что оно являет собой яркий пример функционирования судебной системы в Европейском Союзе: взаимодействие национального права государств-членов с наднациональным европейским правом.

Первоначальный иск был подан в суд Вены в апреле 2013 г., коллективный иск 25 000 пользователей Facebook (во главе со студентом из Австрии Максом Шремсом) против неправомерного использования персональных данных американской ТНК. Жалоба заключалась в том, что американское законодательство не дает адекватной защиты от слежки за данными, которые компания передает на свои серверы в США. Иск был отклонен из-за отсутствия требуемой юрисдикции, дело перенесли в Ирландию, где компания Facebook (как и другие крупные корпорации, такие как Google, Apple и др.) имеет свою европейскую штаб-квартиру. Жалобу [167] подали комиссару Ирландии по защите национальных данных (должностное лицо национальной правоохранительной системы). Комиссар отклонил жалобу, сославшись на отсутствие соответствующих полномочий. Тогда разбирательство было перенесено в Верховный суд Ирландии, который, в свою очередь, прибег к преюдициальной процедуре и обратился за разъяснениями в Суд ЕС.

Ирландский суд постановил, что законодательство страны подчинено общеевропейским нормам, и соответственно возникает вопрос о том, насколько соответствующие нормы ЕС (в данном случае решение Комиссии) и национального права отвечают положениям Хартии об основных правах ЕС. Известно, что одной из функцией Суда ЕС является рассмотрение вопросов о действии норм европейского права, их толкование. После решения Суда ЕС, принятого по преюдициальному запросу, дело подлежало рассмотрению по существу судом Ирландии.

Целью искового требования являлось обеспечить работу Facebook на основе законных требований ЕС в области защиты данных.

Основным истцом выступал студент, эксперт в области защиты прав потребителей и защиты персональных данных Макс Шремс. Всем остальным пользователям Facebook было предложено присоединиться к иску в форме группового иска, - этот процесс все еще продолжается. В Европе групповой иск может формироваться по ходу судебного разбирательства. Был разработан специальный портал www.fbclaim.com, а также специальное приложение для мобильных устройств. Совершеннолетние пользователи со всего мира, кроме США и Канады, могут принять участие.

Вменяемые нарушения Facebook-Ирландия относятся к политике компании, которая, по мнению истца, противоречит законодательству ЕС:

• отсутствие запроса на разрешение многих форм использования персональных данных;

• поддержка компанией программы слежки Агентства национальной безопасности США «PRISM»;

• отслеживание действий интернет-пользователей на внешних

сайтах (например, через кнопки «нравится»);

• мониторинг и анализ пользователей с помощью систем «больших данных»;

• незаконное автоматическое введение системы «Graph Search» (системы поиска данных по фотографиям и геолокации - И. А.;

• несанкционированная передача пользовательских данных на внешние приложения.

В то время как применяется европейский закон о защите данных, требования о возмещении ущерба в соответствии с условиями пользовательского соглашения Facebook должны быть определены в соответствии с европейским Законом о защите данных и деликтного права США.

Исковые требования о возмещении ущерба были преднамеренно установлены на низком уровне - в размере 500 евро каждому истцу, так как основная цель разбирательства состоит в том, чтобы обеспечить адекватную защиту данных. Однако, учитывая большое количество участников группового иска (более 25 тыс. человек), итоговая сумма будет значительной.

Иск полностью финансируется компанией Roland ProzessFinanz AG. В случае успеха компания получит 20% в качестве законного поставщика финансирования[168] [169].

Одним из центральных элементов разбирательства стал вопрос о соответствии решения Европейской Комиссии № 2000/520 нормам

европейского права (решение «Safe Harbor») . Комиссия постановила, что принципы защиты персональных данных США соответствует предписаниям Директивы ЕС 95/46. Это решение фактически доверило защиту личной информации властям США. Еврокомиссия считала ее достаточной, что позволяло тысячам компаний обмениваться данными через океан в

упрощенном порядке[170].

Принципы «Безопасной гавани» были разработаны в период с 1998 по 2000 г. Их целью было недопущение раскрытия или потери персональных данных в ЕС и США. В Америке действует система сертификации на основе присоединения к семи принципам «гавани». В июле 2000 г. Европейская комиссия приняла решение, что сертифицированные в США компании отвечают требованиям законодательства ЕС, что позволило передавать данные из ЕС на серверы компаний в США.

К так называемым принципам «Безопасной гавани» относятся:

• уведомление. Физические лица должны быть проинформированы, что их данные собираются и как это будет организовано и использовано. Компании должны предоставить информацию о том, как отдельные лица могут обратиться с любыми вопросами или жалобами;

• выбор. Физические лица должны иметь возможность отказаться от сбора и прямой передачи данных третьим лицам;

• последующая передача. Передача данных третьим лицам может происходить только организациям, которые соблюдают принципы защиты данных;

• безопасность.

Необходимо предпринять надлежащие меры с тем, чтобы предотвратить потерю собранной информации;

• целостность данных. Данные должны быть актуальными и соответствовать целям, для которых они собираются;

• доступ. Физические лица должны быть в состоянии получить доступ к информации о них, иметь возможность исправить, актуализировать или удалить данные, если они являются неточными;

• обеспечение законности. Необходимо наличие эффективных

177

средств обеспечения соблюдения этих правил .

Данное решение Комиссии и принципы «Безопасной гавани» привлекли к себе внимание после разоблачений Эдварда Сноудена, бывшего сотрудника ЦРУ США. В 2013 г. им были обнародованы данные о том, что АНБ (Агентство национальной безопасности) осуществляло слежку за миллионами граждан ЕС, в том числе за лидерами стран.

Рассматриваемое дело имело значительный резонанс, поэтому привлекло внимание СМИ по обе стороны океана. Речь идет о массовом нарушении прав граждан ЕС на тайну переписки и защиту личных данных. Ирландский суд попросил высшую европейскую судебную инстанцию:

1) дать интерпретацию ст. 7, 8, 47 Хартии ЕС об основных правах;

2) дать интерпретацию ст. 25 и 28 совместной Директивы 95/46/СЕ Европейского парламента и Совета ЕС от 24 декабря 1995 г. о защите персональных данных в том, что касается хранения персональных данных и их свободного оборота (в редакции 2003

г);

3) принять решение о действительности Решения Европейской комиссии от 26 июля 2016 г. 2000/520/CE в соответствии с директивой 95/46, в контексте надлежащего уровня защиты права на неприкосновенность частной жизни, обеспечиваемой принципами «Безопасной гавани» для защиты неприкосновенности частной жизни, а также ответами Министерства торговли США.

Г ражданин Австрии М. Шремс - пользователь американской социальной сети Facebook с 2008 г. Любой человек, проживающий на территории Союза и желающий использовать Facebook, обязан заключить в момент регистрации в Сети соглашение с Facebook-Ирландия - дочерней компании Facebook Inc., инкорпорированной в США.

Личные данные пользователей Facebook-Ирландия, т.е. личные данные, полученные на всей территории Союза, передаются полностью или частично на серверы, принадлежащие Facebook Inc. и расположенные на территории Соединенных Штатов, где эти данные подлежат обработке.

25 июня 2013 г. М. Шремс подал Комиссару по защите персональных данных (Ирландия) жалобу, в которой затребовал осуществить свои законные полномочия и запретить Facebook-Ирландия передачу своих личных данных в США. Он утверждал, что законодательство и практика, устоявшиеся в Америке, не обеспечивают надлежащую защиту персональных данных, хранящихся на территории страны, особенно с учетом мероприятий по надзору, проводимых там государственными органами. Г-н Шремс упоминал в этой связи разоблачения Эдварда Сноудена о деятельности специальных служб Соединенных Штатов, включая Агентство национальной безопасности (далее - АНБ).

Сославшись на отсутствие полномочий по расследованию фактов, изложенных Шремсом в жалобе, Комиссар отклонил ее как необоснованную. Он признал, что АНБ является заинтересованной стороной и добавил, что претензии Шремса необоснованы, так как Европейская Комиссия в своем решении 2000/520 признала, что Соединенные штаты гарантируют адекватный уровень защиты.

Тогда М. Шремс обратился в Верховный суд Ирландии с обжалованием данного решения Комиссара. После рассмотрения доказательств, представленных сторонами, суд признал, что вопрос об электронном наблюдении и отслеживании персональных данных, передаваемых из Союза в Соединенные Штаты исключительно важен для общественного интереса. Суд также отметил, что данные Э.Сноудена демонстрируют, что АНБ и другие федеральные ведомства США совершили «серьезные злоупотребления».

При этом, по мнению суда, граждане Союза не имеют эффективного права высказать свою позицию. В США мониторинг данных сервисов предоставления информационных услуг проводится секретным образом и не противоречит местному законодательству. А организации, подобные АНБ и другим федеральным агентствам, таким как Федеральное бюро расследований (ФБР), могут получать доступ к персональной информации в рамках надзора и прослушивания телефонных разговоров в неизмеримо больших масштабах.

Верховный Суд пришел к выводу, что ирландское законодательство запрещает передачу персональных данных за пределы национальной территории, за исключением случаев, когда третья страна обеспечивает адекватный уровень защиты частной жизни и основных прав и свобод. Суть права на уважение частной жизни и на неприкосновенность жилища, охраняемого Конституцией Ирландии, требует, чтобы любое вмешательство в сферу данных прав было соразмерным и отвечало требованиям закона.

Массовый, недифференцированный доступ к личным данным явно противоречит принципу пропорциональности и основополагающим ценностям, закрепленным в Конституции Ирландии. Чтобы отслеживание электронных данных было признано соответствующим Конституции, необходимы доказательства, что эти действия выборочные, что слежка за определенными людьми или группами людей объективно оправданна в интересах национальной безопасности или если имеются обвинения в совершении преступления, что при этом существуют адекватные и поддающиеся проверке гарантии. Это должно быть к тому же официально оформленным решением суда или прокуратуры.

Верховный суд признал, что если бы дело касалось исключительно права Ирландии, то, учитывая наличие серьезных сомнений в том, что Соединенные Штаты гарантируют адекватный уровень защиты персональных данных, Комиссар должен был провести расследование претензий истца.

Однако данное дело касается применения законодательства ЕС. В этой связи законность Решения 2000/520 должна оцениваться в свете права ЕС (в контексте ст. 51 Хартии об основных правах - принцип пропорциональности - И.А.).

По мнению суда, Решение 2000/520 не отвечает требованиям, вытекающим из ст. 7 и 8 Хартии основных свобод, а также принципам, провозглашенным Судом в решении по делу Digital Rights Ireland и другие (C-293/12 и C-594/12, ЕС:С2014:238). Право на уважение частной жизни, гарантированное ст. 7 Хартии, и иные общие основные свободы могут быть нарушены, если органы государственной власти разрешили доступ к электронным данным в случайном порядке и с обобщениями, без объективных на то оснований, даже если такие действия обусловлены соображениями национальной безопасности или предупреждением преступности.

Верховный суд отметил что в иске М. Шремса речь идет о соответствии европейскому праву Директивы 95/46 , Решения 2000/520 ,

хотя напрямую действие данных актов не оспаривается. В этой связи Верховный суд решил приостановить разбирательство и передать дело в Суд ЕС с преюдициальным запросом (см. ранее).

Ирландский суд поставил вопрос, может ли и в какой степени, ст. 25, п. 6 Директивы 95/46, толковаться (в свете ст. 7, 8 и 47 Хартии основных свобод) как означающая, что решения, подобные решению 2000/520 (когда Комиссия приходит к выводу о том, что третья страна обеспечивает адекватный уровень защиты), запрещает надзорному органу государства- члена рассмотреть вопрос о жалобе какого-либо лица на защиту своих прав и свобод в отношении обработки персональных данных, когда эти данные были переданы в оговоренную третью страну в условиях, когда, по мнению этого лица, в этой стране закон и устоявшаяся практика не гарантируют адекватный уровень защиты.

Суд ЕС подчеркнул в своем решении, что положения Директивы 95/46, регулирующие обработку персональных данных, в случае нарушения [171] [172] основных свобод и, в частности, права на уважение частной жизни, должны быть в обязательном порядке истолкованы в свете основных прав, закрепленных в Хартии об основных правах ЕС (см. дело Osterreichischer Rundfunk и другие, C-465/00, C-138/01 и с-139/01, ЕС:С:2003:294, п. 68; дело Google-Испания против Google, C-131/12, ЕС:С:2014:317, п. 68, дело Rynes, C-212/13, ЕС:С:2014:2428, п. 29).

В ст. 1, 2 и 10 Директивы 95/46 говорится, что директива призвана не только обеспечить эффективную и полную защиту прав и основных свобод лиц в отношении обработки персональных данных, но и высокий уровень защиты данных прав и основных свобод. Суд подчеркнул важность права на уважение частной жизни, гарантированное ст. 7 Хартии об основных правах, в качестве основного права в контексте защиты персональных данных, гарантированных ст. 8 Хартии (см. дело Digital Rights Ireland и другие, C- 293/12 и С-594/12, ЕС:С:2014:238, п. 53, и Google-Испания против Google, C- 131/12, ЕС:С:2014:317, пп. 53, 66 и 74).

Что касается полномочий национальных органов, которые контролируют передачу персональных данных в третьи страны, ст. 28, п. 1 Директивы 95/46 требует, чтобы государства-члены создали один или несколько независимых государственных органов, ответственных за мониторинг, соблюдение правил Союза о защите физических лиц в отношении обработки персональных данных. Это требование также вытекает из основного закона Союза, в частности, ст. 8, п. 3 Хартии и ст. 16 ДФЕС п. 2 (см., в этой связи дело «Европейская Комиссия против Австрии», C-614/10, ЕС:С:2012:631, п. 36, и «Европейская Комиссия против Венгрии» C-288/12, ЕС:С:2014:237, п. 47).

С этой целью национальные надзорные органы имеют широкие полномочия (неисчерпывающий круг), перечисленные в ст. 28, п. 3 Директивы 95/46. Речь идет о следственных полномочиях: сбор информации, необходимой для выполнения надзорных функций, эффективные полномочия вмешательства, такие как временный или окончательный запрет на обработку данных, или способность предстать перед судом и др. Эти функции несколько ограничены пределами юрисдикции государства-члена.

Статья 60 Директивы 95/46 гласит, что передача персональных данных в третьи страны может иметь место только в том случае, если меры, принятые государствами-членами в осуществлении Директивы, соблюдались в полной мере. Посколькуименно национальные надзорные органы отвечают за контроль над соблюдением правил Союза по защите личных данных, именно им следует проверять, соответствует ли передача персональных данных от государства-члена (где действует этот орган) в третью страну требованиям Директивы 95/46.

Директива признает необходимость передачи данных в третьи страны для развития международной торговли (ст. 56); такая передача возможна исключительно при условии обеспечения третьими странами адекватного уровня защиты этих данных от вмешательства. Статья 57 данной Директивы предусматривает, что, если третья страна не обеспечивает адекватный уровень защиты, передача персональных данных должна быть запрещена.

Статья 25 Директивы 95/46 налагает различные обязательства на государства-члены и Комиссию в сфере контроля над передачей персональных данных третьим странам в зависимости от уровня защиты, оказанный им в каждой из этих стран. Из этой статьи, в частности, следует вывод, что решение, обеспечивает или не обеспечивает третья страна адекватный уровень защиты, может выноситься либо государствами- членами, либо Комиссией.

Разрешение Комиссии, позволяет государствам-членам передавать данные, ссылаясь на него. Государства-члены не могут предпринимать действия, противоречащие этому решению. Действует презумпция законности актов ЕС, т.е. они действуют, пока не будут оспорены или отменены.

Решения Комиссии (в частности 2000/520) не препятствуют лицам, чьи личные данные были или могут быть переданы в третьи страны, обращаться в национальные надзорные органы с требованиями защиты своих прав и свобод в отношении обработки таких данных. Аналогичным образом решения такого рода не могут отменить или ограничивать определенно признанные полномочия национальных надзорных органов по осуществлению полномочий по ст. 8 Хартии и ст. 28 Директивы. Если в противном случае люди, чьи личные данные были или могут быть переданы третьей заинтересованной стране, окажутся лишены права, гарантированного ст. 8 Хартии, обратиться в национальные надзорные органы с требованием о защите своих основных прав (см. по аналогии «Digital Rights Ireland и др.», C-293/12 и C-594/12, ЕС:С:2014:238, п. 68[173]).

Хотя любой акт Союза предполагает контроль за его соблюдением (см. дело Кади C-584/10 P, C-593/10 P и C-595/10 P, ЕС:С:2013 518), только Суд обладает исключительной компетенцией заявить о недействительности акта Союза. Это относится и к решениям Комиссии, принятым в соответствии со ст. 25, п. 6 Директивы 95/46, цель которых - гарантия правовой определенности при сохранении единообразного применения закона Союза в аспекте соблюдения права на защиту персональных данных. При этом национальные суды имеют право рассматривать законность актов Союза (таких как решение Комиссии), однако они не имеют юрисдикции, чтобы объявить их незаконными. Тем более не имеют такого права надзорные органы. Суды должны в таких случаях действовать с «необходимой осмотрительностью».

Суд ЕС признал, что национальные надзорные и судебные инстанции оказываются ограничены в возможностях вынести необходимое решение. Если надзорный орган отказывает лицу в удовлетворении требования, у него должны оставаться ресурсы оспорить его. Так как механизм Директивы 95/46 ограничивает юрисдикцию национальных инстанций, они должны, надлежащим образом изучив материалы дела, передать его в преюдициальном порядке в Суд ЕС. Национальный суд в таком случае может поднять в рамках преюдициальной процедуры вопрос о действительности того или иного решения институтов ЕС. В контексте Решения 2000/520 национальный суд поступил именно таким образом.

М. Шремс утверждал, что закон и практика в Соединенных штатах не гарантируют адекватный уровень защиты по смыслу статьи 25 Директивы 95/46. Он также отмечал (см. мнение Генерального адвоката), что национальный суд Ирландии подтвердил его мнение о справедливости Решения 2000/520.

Суд ЕС пришел к выводу, что рассмотренные положения Директивы 95/46 соответствуют праву о защите частной жизни и права на защиту персональных данных. В данном деле суд также признал, что Комиссия вправе оценивать «адекватный уровень защиты» передаваемых данных. Хотя механизмы защиты прав лиц в третьей стране могут отличаться, уровень такой защиты должен быть эквивалентным. Т.е. Комиссия должна была оценить содержание норм, действующих в этой стране (внутреннее законодательство или международные обязательства), а также практику, призванную обеспечить соблюдение данных правил.

Уровень защиты, предоставляемой в третьей стране, может развиваться и меняться, поэтому Комиссия после принятия решения в соответствии со ст. 25, п. 6 Директивы 95/46, периодически должна проверять «статус-кво». В любом случае проверка требуется, когда есть признаки, порождающие сомнения в этом отношении. Учитывая роль защиты персональных данных, относящихся к основным правам на уважение частной жизни, а также большого числа людей, чьи основные права могут быть нарушены при передаче персональных данных в третью страну (где требуемый уровень защиты не соблюдается или снижается), решение о передаче может быть пересмотрено (см. по аналогии дело «Digital Rights Ireland и др.», C-293/12 и C-594/12, ЕС:С2014:238, пп. 47 и 48).

Присоединение компаний к системе «Безопасной гавани» проходило в

рамках системы самосертификации, как следует из ст. 1 Решения 2000/520 .

Использование третьей страной самосертификации не противоречит требованию, установленному в ст. 25, п. 6 Директивы 95/46 (третья страна должна обеспечить адекватный уровень защиты). Надежность подобной системы обусловлена главным образом созданием эффективных механизмов для выявления и контроля возможных нарушения правил, гарантирующих защиту основных прав, особенно права на уважение частной жизни и права на защиту персональных данных.

В соответствии с приложением I Решения 2000/50, принципы «безопасной гавани» относились исключительно к американским компаниям, которые получают персональные данные из Европейского союза, соответственно необходимо, чтобы американские государственные органы подчинялись этим принципам.

Статья 2 решения 2000/520 посвящена степени адекватности мер защиты, предоставляемых в США в соответствии с принципами «безопасной гавани», и содержит достаточное количество выводов о том, что Соединенные Штаты гарантирует адекватный уровень защиты по смыслу ст. 25 Директивы 95/46 в силу своего внутреннего законодательства или международных обязательств.

Вместе с тем применение этих принципов могло быть ограничено исходя из «требований национальной безопасности, общественного интереса и правоохранительных органов, а также закона, нормативного акта или прецедентного права, которые создают противоречивые обязательства или разрешения» (в соответствии с Приложением I, п. 4 Решения 2000/520) .

Решение 2000/520 признает примат требований национальной безопасности, общественного интереса и правоохранительных органов (США) над [174] [175] принципами «Безопасной гавани» (американские компании, прошедшие самосертификацию и получающие личные данные из Союза, обязаны без ограничений прекратить применение этих принципов, когда они вступают в противоречие с такими требованиями).

Данное исключение носит весьма общий характер (оно предусмотрено в Приложении I, п. 4 Решения 2000/520), что делает возможным нарушение прав иностранных физических лиц (из ЕС) вмешательство правоохранительных органов США, основанное на требованиях, касающихся национальной безопасности, общественного интереса, в соблюдение прав лиц, чьи личные данные передаются или могут быть переданы из Союза в Соединенные Штаты. Демонстрируя, что имело место нарушение фундаментального права о защите частной жизни, не обязательно ссылаться на серьезность информации, чтобы лицо пострадало от такого вмешательства или были причинены неудобства (см. дело «Digital Rights Ireland и др.», C- 293/12 и C-594/12, ЕС:С2014:238). В решении 2000/520 отсутствуют положения об эффективной правовой защите от помех такого рода.

Комиссия отдавала себе отчет в том, что права лиц, чьи данные передаются в США могут обеспечиваться недолжным образом. В коммюнике COM (2013) 846 Final[176] и COM (2013) 847 Final[177] Комиссия пришла к выводу, что американские власти могут получить доступ к персональным данным, передаваемым от государств-членов ЕС в Соединенные Штаты и обращаться с ними образом, несовместимым с целями передачи, которая превышает строго необходимые и соразмерные пределы для защиты национальной безопасности. Лица, чьи данные были получены американскими службами, не имели никаких правовых (административных или судебных) средств, чтобы при необходимости получить доступ к этим данным, актуализировать их или удалить.

Что касается уровня защиты основных прав и свобод, гарантированных

в Евросоюзе (в соответствии с прецедентным правом Суда ЕС), законодательство позволяет вмешательство в основные права, гарантированные ст. 7 и 8 Хартии об основных правах, но по ясным и четким правилам, регулирующим сферу и применение подобных мер. Должны обеспечиваться минимальные требования, чтобы люди, чьи личные данные были получены, имели достаточные гарантии для эффективной защиты персональных данных от рисков злоупотреблений, любого несанкционированного доступа или использования. Необходимость таких гарантий приобретает особую важность, когда персональные данные подлежат автоматической обработке и, следовательно, существует высокий риск незаконного доступа к ним (дело «Digital Rights Ireland и др.», C-293/12 и C-594/12 ЕС:С:2014:238). Вмешательство не должно превышать

необходимые для этого масштабы - принцип пропорциональности.

Хотя законодательство разрешает сохранение всех персональных данных, переданных из Европейского союза в США, без каких-либо различий (не только тех, что строго необходимы), снятие ограничений на доступ государственных органов к данным и их использования для конкретных целей может иметь место только в исключительных случаях. Законодательство, которое позволяет государственным органам получать неограниченный доступ к электронным базам данных, содержащих личную информацию, доступ к широкому содержанию электронных сообщений, противоречит содержанию основного права на уважение частной жизни, гарантированное ст. 7 Хартии об основных правах ЕС.

В решении Суда имеется отсылка к применимому праву:

1. Хартия ЕС об основных правах: а) ст.7, 8, 47.

2. Директива 95/46:

a) Преамбула, абзацы 2, 10, 56, 57, 60, 62 и 63;

b) ст. 1, 2, 25, 26, 28 и 31.

3. Решение 2000/520:

a) Преамбула, абзацы 2, 5 и 8

b) ст. 1 - 4;

c) Приложения I, II и IV.

4. Коммюнике Европейской Комиссии COM(2013)846.

5. Коммюнике Европейской Комиссии COM(2013)847.

Суд ЕС пришел к выводу, в том числе основываясь на коммюнике Комиссии (для решения не было необходимости оценивать содержание документа «Безопасная гавань»), что ст. 1 Решения 2000/520 нарушает требования, ст. 25 Директивы 95/46. И по этой причине решение является недействительным.

Решение 2000/520 лишает национальные органы надзора полномочий по защите индивидуальных прав от посягательств, возложенных на них ст. 28 Директивы 95/46, в том случае, если человек претендует на защиту своей частной жизни и основных прав и свобод. Комиссия не вправе ограничить полномочия национальных надзорных органов. Т.е. в данном случае Комиссия превысила пределы юрисдикции, предоставляемой ст. 25 Директивы 95/46.

По итогам рассмотрения дела Суд ЕС вынес следующее решение:

1. статья 25, п. 6 Директивы 95/46/ЕС Европейского Парламента и Совета от 24 октября 1995 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, с изменениями, внесенными постановлением Комиссии (ЕС) № 882/2003 Европейского Парламента и Совета от 29 сентября 2003 г., рассматриваемая в контексте ст. 7, 8 и 47 Хартии об основных правах Европейского Союза предполагает нижеследующую интерпретацию. Любое решение, принятое в соответствии с этим положением, такое как решение 2000/520/EC от 26 июля 2000 г., с учетом предписаний Директивы 95/46 о необходимой правовой защите неприкосновенности частной жизни, обеспечиваемой принципами «Безопасной гавани», с учетом опубликованных ответов Министерства торговли США на часто задаваемые вопросы в этой связи, с учетом того, что Европейская Комиссия отмечает (в контексте Решения 2000/520/ЕС), что третья страна обеспечивает адекватный уровень защиты персональных данных, - все это не препятствует надзорному органу государства-члена, к которому применяется ст. 28 упомянутой директивы (со всеми изменениями), рассмотреть запрос лица о защите собственных прав и свобод при обработке персональных данных, которые были переданы из одного государства-члена в эту третью страну, в случае если это лицо утверждает, что законодательство и устоявшаяся практика не гарантируют адекватный уровень защиты;

2. Решение 2000/520 является недействительным.

3. В постановлении суда также говорится, что ирландский комиссар по защите данных «должен решить, нужно ли приостанавливать передачу США данных европейских пользователей Facebook на том основании, что страна не предоставляет необходимый уровень защиты персональных данных» . Суд также заявил, что американские компании часто безгранично пренебрегают нормами защиты персональных данных, когда этого требуют национальные интересы страны.

Решение Суда ЕС затрагивает не только Facebook, но и сотни других предприятий. В США, в штатах Иллинойс и Калифорния, пользователи обвинили ТНК в незаконном сборе и хранении биометрических данных, полученных из фотографий. Речь идет о функции «Photo Tag Suggest» (распознавание на фото). Подобные дела рассматривают также суды Г ермании и Ирландии. Если в Г ермании добиваются уничтожения фотоархива, то в Ирландии речь идет о введении необходимости получения [178]

согласия пользователя на подключение данной функции[179].

На решении Суда ЕС дело не закончилось. Суд Вены, который в свое время отклонил жалобу М. Шремса и коллективный иск, вернулся к рассмотрению данного вопроса, принял решение, что иск будет рассматриваться как «пилотное», а вопрос об объединении исков в одно разбирательство пока остается открытым.

После вынесения решения Судом ЕС относительно «Safe Harbor» Facebook стал применять типовые пользовательские соглашения (шобеї contracts) в качестве правовой основы для передачи данных в Соединенные Штаты. Шремс, как и многие юридические эксперты, утверждает, что это изменение правовой основы не устраняет факта, что Facebook все еще является субъектом законодательства США, где, как установил Суд ЕС, практика конфликтует с законодательством ЕС.

Комиссар по защите персональных данных Ирландии сообщил сторонам, что подаст запрос в Верховный суд страны за дополнительными разъяснениями от Суда ЕС по вопросу соотношения новых «типовых пользовательских соглашений», права ЕС, решения Суда ЕС и законами США. Facebook тем временем продолжает передавать данные на свои американские серверы.

3 июня 2016 г. Правительство США обратилось в Верховный суд Ирландии с просьбой признать его в качестве независимой стороны (англ. amicus), вероятно, с целью защитить свои законы об отслеживании данных перед европейскими судами и подчеркнуть важность своего участия в защите ранее действовавшего порядка. Утверждалось, что европейские суды неверно интерпретировали законы США о защите данных, переданных американскими компаниями на серверы страны.

Судя по содержанию дипломатических переговоров США со странами- членами ЕС и самим ЕС, а также публичным заявлениям в Соединенных

Штатах, американская сторона не будет защищена законами США о нераскрытая. Сторона, которая выступит в разбирательстве от имени правительства США, может столкнуться с серьезными последствиями, если она не намерено правдиво отвечать на все вопросы, в отношении массовой слежки за собираемыми личными данными .

Подобные дела в отношение ТНК, занимающихся предоставлением услуг в Интернете, имеют место и в России. В 2015 г. Мосгорсуд удовлетворил иск против российского представительства Google, обвинив американскую компанию в чтении почтовой переписки. Суд обязал выплатить истцу 50 тыс. Руб. в качестве компенсации. Истец А.Л. Бурков, заведующий кафедрой европейского права в Гуманитарном университете Екатеринбурга, заметил, что контекстная реклама на сервисах Google коррелирует с содержанием его писем. Интересно, что Google-Россия (ООО

«Гугл») пыталась переложить ответственность за работу сервиса на

188

материнскую компанию .

А.Л. Бурков обратился в суд с иском к ООО «Гугл» с требованием запретить ответчику чтение его личной корреспонденции, «указав, что действия ответчика по сканированию личной переписки и размещению на основании данной переписки рекламы являются неправомерными, нарушают

189

права истца» .

ООО «Гугл» в судебном заседании суда первой инстанции иск не признал. При этом указывалось, что сервис почты, использующий доменное имя gmail.com и само имя принадлежат в соответствии с Условиями использования Google материнской компании, а также, что ООО «Гугл» занимается на территории России лишь предоставлением услуг по продаже рекламных мест на сайтах, размещением рекламных объявлений на [180] [181] [182] основании заключенных договоров. Суд первой инстанции - Замоскворецкий районный суд г. Москвы - в решении от 21 апреля 2015 г. отказал Буркову в удовлетворении требований.

После изучения материалов дела и заслушивания мнений сторон Судебная коллегия Мосгорсуда в рамках апелляционного разбирательства пришла к выводу, что первоначальное решение подлежит отмене, и вынесла новое решение по основаниям ч. 1 ст. 330 ГПК Российской Федерации, в связи с неверной трактовкой обстоятельств дела судом первой инстанции. Суд при этом ссылался на разъяснение Пленума Верховного суда Российской Федерации от 19.12.2003 № 23 (п. 2) «О судебном решении»: «решение является законным в том случае, когда оно принято при точном соблюдении норм процессуального права и в полном соответствии с нормами материального права, которые подлежат применению к данному правоотношению, или основано на применении в необходимых случаях аналогии закона или аналогии права (ст. 1ч. 1, ст. 11 ч. 3 ГПК РФ)»[183].

Действительно, владельцем и оператором доменного имени, сервиса бесплатной электронной почты и информационной системы «AdWords» (обеспечивающей возможность размещения рекламы на сайтах компании Google и ее партнеров) является американская корпорация Google Inc. ООО «Гугл» - самостоятельное юридическое лицо, созданное в соответствии с российским законодательством, один из видов деятельности которого - рекламные услуги. ООО «Гугл» самостоятельно заключает договоры на их оказание в России, не влияя на критерии показа рекламы, так как они определяются материнской компанией и персональными настройками клиента.

Судебной коллегией было установлено:

1) сервис бесплатной электронной почты Gmail предоставляется американской компанией на основании соглашения - Условий использования продукта Google;

2) для освоения рынка и продвижения своего коммерческого продукта Google на территории Российской Федерации, а также адаптации данного продукта для восприятия местными потребителями регистрирует ООО «Гугл» с размером доли в уставном капитале 100%;

3) на официальном сайте коммерческого продукта Google содержатся сведения, что один из ее филиалов располагается в Российской Федерации, который, в свою очередь, выступает ответчиком по данному иску;

4) ответчик ООО «Гугл» использует логотип продукта Google,

технический инструментарий, программное обеспечение,

принадлежащие материнской компании в рамках ее корпоративной политики.

Под предпринимательской деятельностью признается самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг лицами,

зарегистрированными в этом качестве в установленном законом порядке (ст.2 п.1 абз.3 ГК РФ)[184] [185].

По данным единого государственного реестра юридических лиц, основной вид деятельности ООО «Гугл» - рекламные услуги, а также дополнительный - консультирование по вопросам коммерческой деятельности и управлению.

Суд отметил, что «ООО «Г угл» от своего имени заключает договоры с клиентами в Российской Федерации на оказание рекламных услуг, согласно условиям их оказания. На основании такого договора ответчик обеспечивает размещение рекламных объявлений клиента с использованием одной из программ «AdWords» .

На официальном сайте компании в разделе «Как мы используем собранные данные» (о политике конфиденциальности продукта Google) сообщается: «... Наши системы автоматически анализируют ваш контент (в том числе электронные письма), чтобы предоставлять функции, полезные вам. Это могут быть отобранные для вас результаты поиска, релевантные рекламные объявления, выявление спама и вредоносных программ.»

21 февраля 2014 г. при прочтении своей электронной почты с почтового ящика с адресом «*****@gmail.com» А.Л. Бурков обнаружил, что рекламные слоганы основаны на тексте его письма. Судебная коллегия пришла к выводу, что ООО «Гугл» «при исполнении обязательств перед третьими лицами по договорам размещения рекламы и ее эффективного распространения в своем сегменте продукта Google, проводит мониторинг в том числе электронных писем и осуществляет размещение данных рекламных сообщений в том числе и в частной переписке пользователей Российской Федерации, воспользовавшихся продуктом Google на основании

193

результатов мониторинга конкретного пользователя продукта» .

Довод ответчика, что он не влияет на критерии показа рекламы в связи с тем, что они определяются настройками системы, управляемой материнской компанией, суд посчитал несостоятельным, поскольку ответчик несет самостоятельные риски, отдавая себе отчет о том, что используемое им программное обеспечение нарушает конституционные права граждан Российской Федерации (тайна переписки).

Частью 2 ст. 23 Конституции РФ гарантировано, что каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения. Поэтому мониторинг электронной корреспонденции может быть расценен как посягательство на конституционные права граждан. [186]

Суд признал нарушение в том, что реклама, размещенная на основе данных такого мониторинга, нарушает тайну переписки. Решение суда состоит из трех пунктов:

1) иск Буркова А.Л. к ООО «Гугл» удовлетворить;

2) запретить ООО «Гугл» чтение личной корреспонденции Буркова А.Л.;

3) взыскать с ООО «Гугл» в пользу Буркова А.Л. компенсацию морального вреда в размере 50 тыс. руб., расходы по оплате

194

государственной пошлины .

3.2.

<< | >>
Источник: Арсеньев Игорь Андреевич. ОБЕСПЕЧЕНИЕ ПРАВ ЧЕЛОВЕКА В ДЕЯТЕЛЬНОСТИ КОРПОРАЦИЙ В ЕВРОПЕЙСКОМ ПРАВЕ. Диссертация на соискание степени кандидата юридических наук. Москва - 2017. 2017

Еще по теме 3.1. Практика Суда ЕС в отношении нарушений прав человека со европейскими и иностранными корпорациями:

- Авторское право - Аграрное право - Адвокатура - Административное право - Административный процесс - Антимонопольно-конкурентное право - Арбитражный (хозяйственный) процесс - Аудит - Банковская система - Банковское право - Бизнес - Бухгалтерский учет - Вещное право - Государственное право и управление - Гражданское право и процесс - Денежное обращение, финансы и кредит - Деньги - Дипломатическое и консульское право - Договорное право - Жилищное право - Земельное право - Избирательное право - Инвестиционное право - Информационное право - Исполнительное производство - История - История государства и права - История политических и правовых учений - Конкурсное право - Конституционное право - Корпоративное право - Криминалистика - Криминология - Маркетинг - Медицинское право - Международное право - Менеджмент - Муниципальное право - Налоговое право - Наследственное право - Нотариат - Обязательственное право - Оперативно-розыскная деятельность - Права человека - Право зарубежных стран - Право социального обеспечения - Правоведение - Правоохранительная деятельность - Предпринимательское право - Семейное право - Страховое право - Судопроизводство - Таможенное право - Теория государства и права - Трудовое право - Уголовно-исполнительное право - Уголовное право - Уголовный процесс - Философия - Финансовое право - Хозяйственное право - Хозяйственный процесс - Экологическое право - Экономика - Ювенальное право - Юридическая деятельность - Юридическая техника - Юридические лица -