никоим образом не затрагивают прав и интересов граждан такого государства. Так, право Голландии может применяться к интернет-сайту, принадлежащему компании в Сингапуре, которая обрабатывает персональные данные сингапурских граждан, только на том основании, что эта компания использует «облачный» сервис провайдера, дата-центр которого находится также и на территории Голландии. Очевидно, что подобный результат выходит за рамки разумной сферы действия законодательства о персональных данных и свидетельствует о нецелесообразности использования рассматриваемого критерия для определения применимости к иностранному интернет-сайту положений Закона о персональных данных.
В-четвертых, поскольку для размещения своего интернет-сайта можно выбрать серверы, расположенные в самых разных странах, создаются условия для обхода обременительных требований юрисдикций, где владелец интернет-сайта фактически осуществляет свою деятельность. Возможность искусственного подчинения правоотношения правопорядку другого государства не позволяет придавать критерию места нахождения сервера наибольшее значение.
Приняв во внимание указанные сложности, Рабочая группа ст. 29 Директивы 95/46/EC высказала мнение о необходимости реформирования подходов к определению применимого права и юрисдикции национальных уполномоченных органов по защите персональных данных[250]. Ею было выдвинуто предложение о том, что в отношении операторов персональных данных, зарегистрированных за пределами ЕС, будущим законодательством должна приниматься во внимание их направленная деятельность на индивидов. Это предложение нашло отражение в тексте общеевропейского Регламента о защите персональных данных (General Data Protection Regulation), который был принят 27 апреля 2016 г. В соответствии со ст. 3 Регламента его положения применяются к обработке персональных данных, осуществляемой подразделением оператора или «обработчика» на территории ЕС. Положения Регламента также применяются к процессам обработки персональных данных субъектов персональных данных, находящихся на территории ЕС, операторами, не имеющими подразделений на территории ЕС, в случаях, когда такие операторы: 1) предлагают гражданам свои товары или услуги (безотносительно к тому, взимается ли плата за них); 2) осуществляют мониторинг поведения субъектов персональных данных, находящихся на территории ЕС[251].
Впрочем, не дожидаясь формального принятия Регламента, критерий направленной деятельности уже в определенной степени нашел свое отражение в европейском законодательстве о персональных данных посредством расширительного толкования понятия «подразделение» оператора Европейским Судом Справедливости. Так, в известном деле Weltimmo Суд указал, что при определении местонахождения «подразделения» для целей применения положений ст. 4 (1)(а) Директивы 96/46/EC «О персональных данных» необходимо использовать гибкий подход, понимая под таким местонахождением не только формальное место регистрации (учреждения)