В соответствии с законодательством ЕС, нормы Регламента имеют прямое применение без необходимости имплементации в национальное право. Таким образом, Общий регламент по защите данных предусматривает единый набор правил на всей территории ЕС. Это создает среду правовой определенности, от которой выигрывают как экономические «операторы», так и частные лица (субъекты данных).
Несмотря на то, что Общий регламент по защите данных ЕС 2016/679 является самостоятельным документом, ожидается, что государства Евросоюза внесут необходимые изменения в национальное законодательство в части защиты данных. Регламент имеет глобальное экстерриториальное действие. Его требования распространяются на организации в ЕС, а также на контроллеров и процессоров за его пределами, предлагающие товары и услуги субъектам данных в Евросоюзе или осуществляющие профилирование данных граждан ЕС. Определенная доля организаций, расположенных за пределами ЕС, имеют ключевую долю на европейском рынке и миллионы клиентов из ЕС. Соблюдение этими организациями правил защиты данных имеет важное значение для обеспечения защиты субъектов данных, а также для обеспечения равных условий.
Защита данных в правоохранительных органах
Директива 2016/680
Общей регламент по защите данных обеспечивает экстерриториальность защиты данных. Поскольку действие отмененной Директивы о защите данных распространялось на внутреннее пространство ЕС и деятельность его государственных институтов, то было необходимо соблюдать баланс между защитой данных и другими законными интересами, в том числе при обработке персональных данных правоохранительными органами.
Первым правовым документом ЕС, регулирующим этот вопрос, было решение 2008/977 JHA Совета Европы. Его действие распространяется на обмен данными между полицейскими и судебными органами ЕС в рамках сотрудничества по уголовным делам. Обработка персональных данных в обеспечении деятельности правоохранительных органов не регулируется нормами решения 2008/977 JHA.
Одновременно с Общим регламентом по защите данных вступила в силу Директива 2016/680 о защите физических лиц в отношении обработки персональных данных компетентными органами в целях предотвращения, расследования, выявления преступлений или судебного преследования за совершение уголовных преступлений или исполнения уголовных наказаний, а также о свободном перемещении таких данных – Директива о защите данных для органов полиции и уголовного правосудия.
В то время как Общей регламент по защите данных устанавливает общие правила для защиты физических лиц в отношении обработки их персональных данных и для обеспечения свободного перемещения таких данных в пределах ЕС, в Директиве изложены конкретные правила защиты данных в областях судебной власти и сотрудничества правоохранительных органов. Директива 2016/680 применяется, когда компетентный орган обрабатывает персональные данные в целях предотвращения, расследования, выявления или преследования за совершение уголовных преступлений. Если компетентные органы обрабатывают персональные данные для целей, отличных от вышеупомянутых, применяется общий режим в соответствии с Общим регламентом по защите данных.
В отличие от решения Совета Европы 2008/977 JHA, положения Директивы 2016/680 затрагивают внутреннюю обработку персональных данных правоохранительными органами в том числе и за пределами ЕС, и нацелены на достижение баланса между правами физических лиц и законными целями обработки, связанной с национальной безопасностью.
Директива подтверждает право на защиту персональных данных и основные принципы, которые должны охватывать обработку данных в строгом соответствии с правилами и принципами Общего регламента по защите данных. Права субъектов данных и обязанности, налагаемые на контроллеров (например, в части безопасности данных, защиты данных по умолчанию, уведомления о нарушении в отношении персональных данных субъектов), идентичны правам и обязанностям Общего регламента по защите данных. Контроллер обязан назначить сотрудника для контроля за соблюдением правил защиты данных, информирования и консультационной поддержки организаций и работников, а также для сотрудничества с надзорными органами.