Читаем Электронная коммерция в России и за рубежом: правовое регулирование полностью

Первый применяется к обработке персональных данных оператором, осуществляемой в связи с деятельностью его подразделения (establishment). В таком случае применяется законодательство страны – члена ЕС, где расположено такое подразделение. При наличии у оператора нескольких подразделений на территории различных стран ЕС к обработке персональных данных применяется право каждой из таких стран (ст. 4 (1)(а)).

Второй критерий применяется в отношении иностранных лиц, не имеющих подразделений на территории страны – члена ЕС. В соответствии со ст. 4 (1)(с) государство – член ЕС применяет свое национальное законодательство о персональных данных, если «оператор учрежден не на территории ЕС и в целях обработки персональных данных использует оборудование, расположенное на территории такого государства – участника ЕС (если только такое оборудование не используется исключительно для целей транзита по территории Сообщества)».

Во-первых, достаточно много споров вызывает понятие «оборудование», которое может выступать в качестве привязки деятельности иностранного интернет-сайта к территории соответствующего государства. Например, Рабочей группой статьи 29 (Working Party Article 29), уполномоченной на толкование Директивы 96/46/EC «О персональных данных», было дано толкование, согласно которому размещение файлов cookie[249] на персональных компьютерах европейских пользователей уже само по себе может толковаться как использование оборудования, расположенного на территории ЕС для целей применения европейского законодательства.

Во-вторых, в условиях широкого использования «облачных» сервисов, предполагающих «динамическое распределение» вычислительных мощностей в зависимости от конкретных потребностей заказчика, а также «распределенное хранение» данных в различных дата-центрах, определение местонахождения оборудования, используемого для обработки конкретных персональных данных, весьма проблематично и чревато значительным бременем для надзорных органов.

В-третьих, использование местонахождения оборудования в качестве критерия определения юрисдикции чревато неудовлетворительными результатами еще и потому, что может влечь распространение национального законодательства о персональных данных на отношения, которые никоим образом не затрагивают прав и интересов граждан такого государства. Так, право Голландии может применяться к интернет-сайту, принадлежащему компании в Сингапуре, которая обрабатывает персональные данные сингапурских граждан, только на том основании, что эта компания использует «облачный» сервис провайдера, дата-центр которого находится также и на территории Голландии. Очевидно, что подобный результат выходит за рамки разумной сферы действия законодательства о персональных данных и свидетельствует о нецелесообразности использования рассматриваемого критерия для определения применимости к иностранному интернет-сайту положений Закона о персональных данных.

В-четвертых, поскольку для размещения своего интернет-сайта можно выбрать серверы, расположенные в самых разных странах, создаются условия для обхода обременительных требований юрисдикций, где владелец интернет-сайта фактически осуществляет свою деятельность. Возможность искусственного подчинения правоотношения правопорядку другого государства не позволяет придавать критерию места нахождения сервера наибольшее значение.

Приняв во внимание указанные сложности, Рабочая группа ст. 29 Директивы 95/46/EC высказала мнение о необходимости реформирования подходов к определению применимого права и юрисдикции национальных уполномоченных органов по защите персональных данных[250]. Ею было выдвинуто предложение о том, что в отношении операторов персональных данных, зарегистрированных за пределами ЕС, будущим законодательством должна приниматься во внимание их направленная деятельность на индивидов. Это предложение нашло отражение в тексте общеевропейского Регламента о защите персональных данных (General Data Protection Regulation), который был принят 27 апреля 2016 г. В соответствии со ст. 3 Регламента его положения применяются к обработке персональных данных, осуществляемой подразделением оператора или «обработчика» на территории ЕС. Положения Регламента также применяются к процессам обработки персональных данных субъектов персональных данных, находящихся на территории ЕС, операторами, не имеющими подразделений на территории ЕС, в случаях, когда такие операторы: 1) предлагают гражданам свои товары или услуги (безотносительно к тому, взимается ли плата за них); 2) осуществляют мониторинг поведения субъектов персональных данных, находящихся на территории ЕС[251].