Два с половиной года назад, 25 мая 2018 года, в Европе начал действовать Общий регламент по защите персональных данных Европейского союза (GDPR). Он имеет экстерриториальное действие — применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от их местонахождения.
Согласно этому закону, компании обязаны самостоятельно уведомлять регулирующие органы о любых нарушениях, связанных с персональными данными граждан в течение 72 часов после обнаружения такого нарушения. В ином случае они будут оштрафованы на сумму, равную 4% от годового оборота.
Также GDPR значительно расширил права граждан и резидентов ЕС на контроль персональных данных. В частности, пользователи могут узнать, каким третьим лицам раскрываются их данные, а также уточнить, кто их передал, и потребовать удалить или исправить информацию.
Помимо этого, GDPR установил высокие требования к получению согласия на обработку данных, а также установил особую защиту детских персональных данных. Согласие на обработку данных ребенка должно быть подтверждено родителями или законными представителями.
На GDPR ориентируются и другие страны при принятии законов о защите персональных данных. К примеру, в США и Канаде реализовали некоторые пункты европейского регламента. Актуализируют цифровое законодательство и в России.
Так, 17 ноября в Госдуму был внесен законопроект, запрещающий компаниям использовать общедоступные персональные данные без согласия их владельца, а также предоставляющий гражданам право требовать от оператора их удаления.
«Он предусматривает обязательное согласие на распространение и обработку общедоступных персональных данных. Соответственно, любая обработка данных, даже находящихся в общем доступе, становится незаконной без согласования пользователя», — сообщил «Газете.Ru» замгендиректора ИРИ по правовым вопросам Борис Едидин.
Какие еще механизмы GDPR могут быть заимствованы Россией, «Газете.Ru» рассказал председатель комиссии по правовому обеспечению цифровой экономики московского отделения АЮР Александр Журавлев.
«В первую очередь необходимо обеспечить прозрачный оборот данных. Это нужно, чтобы граждане могли понимать кто и каким образом использует их данные. Законопроект, внесенный недавно в Госдуму, как раз делает первые шаги к этому», — сообщил он.
Также, отметил эксперт, необходимо перенять у европейцев меры, связанные с регулированием безопасности интернет-ресурсов.
«В GDPR, например, предусмотрены санкции за неисполнение мер, которые нужно принять любому бизнесу или государственному органу для того, чтобы защитить данные на их серверах», — пояснил он.
Кроме того, необходимо ужесточить запрет на недобросовестную рекламу, считает Журавлев. «У нас уже есть закон, который вводит ответственность за нее, однако мы все равно получаем спам-письма и звонки. GDPR полностью запрещает направлять рекламные проспекты тем пользователям, которые не дали на это согласие», — отметил юрист.
Отдельное внимание заслуживают штрафы, предусмотренные европейским регламентом, продолжает эксперт.
«GDPR работает, потому что за его нарушение предусмотрены достаточно серьезные санкции. В зависимости от нарушения сумма штрафа может доходить до 4% от оборота компании.
Например, один из самых больших штрафов был выписан авиакомпании British Airways из-за утечки данных 500 тыс. людей. Сумма штрафа тогда составила 204 млн евро. Также был оштрафован Marriot International за то, что он не предпринял меры по надлежащей информационной защите пользователей — с их сайта злоумышленники получили информацию о 339 млн постояльцев. Штраф сети отелей составил 110 млн евро», — рассказал он.
Журавлев уверен, что в России также следует увеличить штрафы за неисполнение закона о персональных данных.
«Максимальный штраф по КоАП не зависимо от того, утечет 100 тыс. или 6 млн записей, составит 75 тыс. рублей. И, конечно, такие штрафы неощутимы для крупных компаний, а без серьезных санкций не создается стимул для соблюдения закона о персональных данных. Поэтому я считаю, что нужно сделать дифференцированное применение штрафов. А в качестве критериев установить тяжесть и последствия утечки и принять во внимание те меры, которые были приняты компанией», — сообщил он.
Также необходимо ввести в законодательство понятие о компенсации субъектам персональных данных, считает Журавлев.
«Такую компенсацию можно сделать от 10 тыс. до 1 млн рублей на каждого гражданина. Это гражданско-правовой способ защиты, при котором человек сам может обратиться в суд и взыскать с оператора сумму компенсации», — заключил он.
Георгий Воронович