Сравнение подходов и практики защиты персональных данных в России и ЕС
Фактически при любом действии совершаемым пользователем в интернете, происходит в той или иной форме манипуляции персональными данными пользователя.
Мы не платим за многие услуги, которые получаем в интернете: за поиск информации, за электронную почту, за хранение наших данных в облаке, за общение в социальных сетях и т. д. Однако эти услуги лишь условно бесплатны: мы расплачиваемся за них своими данными, которые эти компании затем превращают в деньги, главным образом с помощью рекламы.
В настоящее время данные о поле, возрасте и месте жительства, история поиска —
основа для индустрии рекламы в интернете, объем которой исчисляется миллиардами долларов и евро. Т.е с юридической точки зрения персональные данные это материалы для ведения бизнеса. Соответственно компании прилагают огромные усилия и тратят немалые средства для получения и обработки персональных данных. Опросы, проведенные в 2018 году, показывают, что пользователи, понимая ценность своих персональных данных все более и более недовольны тем, как компании обходятся с их персональными данными.
Регулирование в сегменте использования данных пользователей еще не сложилось и отстает от развития технологий не только в России, но и во всем мире, поэтому баланс интересов потребителей и компаний в модели «деньги – услуга – данные – деньги» выстраивается сегодня как Регуляторами так и негласными договоренностями между обществом и компаниями. Регуляторы ограничивают возможности IT-компаний и расширяют права пользователей: вводят новые законы, которые дают пользователям больший контроль над предоставляемой ими информацией.
Интересно сравнение подходов регуляторов в Европейских странах и России. В России основные нормативные акты, регулирующие обращение с персональными данными это Федеральный закон о защите персональных данных (152-ФЗ) плюс Кодекс об административных правонарушениях, который непосредственно устанавливает конкретный размер штрафов за нарушение порядка обращения с персональными данными. Административные штрафы с 1 июля 2017 года существенно увеличились. При этом установили новые размеры штрафов в зависимости от вида совершенного правонарушения. Так, должностных лиц могут оштрафовать на сумму от 3000 до 20 000 руб., ИП – на сумму от 5000 до 20 000 руб., организации – на сумму от 15 000 до 75 000 руб. Причем привлекать в ответственности могут по разным составам правонарушений. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов. Но ответственность предусмотрена именно за несоблюдение формальных требований, например, если отсутствуют необходимые бумаги. С реальной защитой информации это не всегда напрямую связано. Например, сама по себе утечка не является основанием для штрафных санкций, если не нарушены другие законы. Что интересно, значительное число выявленных нарушений в области обращения с персональными данными, содержат состав, предусмотренный статьей 19.7 КоАП РФ: «Непредставление или несвоевременное представление в государственный орган(Роскомнадзор) — сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности..». Интересно, что гораздо большая ответственность предусмотрена не за нарушение порядка обращения с персональными данными(как указывалось выше это в среднем 30-50 тыс. руб.), а именно за не предоставление (задержку, неполное представление) информации о порядке обращения с персональными данными в Роскомнадзор полагается штраф до 200.000 руб. Т.е. в законодательстве России и в практике его применения превалирует тенденция «главное что бы костюмчик сидел» и были удовлетворены потребности гос. органов в различных отчетах. Реальные права пользователей и безопасность их личных данных в интернете защищены плохо. Тот же размер штрафов никак не коррелируется с размером выгод, получаемых некоторыми компаниями при нарушении обращения с персональными данными в интернете и не стимулирует соблюдать эти правила.
В ЕС несколько другая картина. С мая 2018 года в Европе работа с персональными данными регулируется правилами обработки персональных данных, установленные Общим регламентом по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г. или GDPR — General Data Protection Regulation). Регламент, имеет прямое действие во всех 28 странах ЕС. Регламент предоставляет резидентам ЕС возможность полного контроля над своими персональными данными. В соответствии с GDPR значительно граждане и резиденты ЕС имеют очень широкие права по контролю за их персональными данными. Европейские пользователи имеют право запрашивать подтверждение факта обработки их данных, место и цель обработки, категории обрабатываемых персональных данных, каким третьим лицам персональные данные раскрываются, период, в течение которого данные будут обрабатываться, а также уточнять источник получения организацией персональных данных и требовать их исправления. Более того, пользователь имеет право требовать прекращения обработки своих данных.
С мая 2018 года Ответственность в виде штрафов за нарушение правил обработки персональных данных: по GDPR штраф достигают 20 миллионов евро (около 1,5 млрд руб.) или 4% годового глобального дохода компании.
Самое главное что все это работает, компании нарушающие права пользователей привлекают к ответственности и очень серьезной. Так например 21 января 2019 года Национальная комиссия по информатике и гражданским правам Франции (CNIL) вынесла решение оштрафовать американскую компанию GOOGLE LLC на 50 миллионов евро за нарушение GDPR. Сумма штрафа очень большая. Это наглядно показывает, чем грозит несоответствие требованиям GDPR. За что наказали? Французская комиссия определила, что при начальной конфигурации мобильного устройства на операционной системе Android (Google) пользователь не получает полной информации о том, что Google делает с его персональными данными. Компания не выполнила обязательства по обеспечению прозрачности обработки персональных данных и информирования субъектов (статьи 12 и 13 GDPR). Сроки хранения пользовательских данных регламентируются неточно. У компании отсутствовала необходимая юридическая основа для проводимой обработки данных (статья 6 GDPR). Google так же обвинялась, что ненадлежащим образом получила согласие пользователей на обработку их данных для персонализации рекламы.
Другие примеры: штраф со стороны Немецкого регулятора LfDI чат-приложению для знакомств Knuddels – 20.000 евро, Португальскую больницу Barreiro Hospital обвинили в неправильном управлении доступом к критичным персональным данным (штраф 300 тысяч евро) и нарушении обеспечения безопасности и целостности данных (еще 100 тысяч евро). Уполномоченные органы Великобритании вынесли предупреждение канадской компании, которая занимается аналитическими исследованиями. Компанию обязали прекратить обработку персональных данных граждан, в противном случае ей грозит штраф в размере 20 млн. Евро. Канадской компании AggregateIQ, которая занимается цифровым маркетингом и разработкой программного обеспечения вменили штраф в размере 17000000 фунтов стерлингов. Кафе в Австрии оштрафовали на 5280 евро за незаконное видеонаблюдение (камера захватывала часть тротуара). Т.е. любая организация, на которую распространяется действие GDPR, не должна ограничиваться, по отечественной традиции, лишь разработкой нормативной документации.
Кстати особенность GDPR в том, что ее действие применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от местонахождения такой компании, поэтому российские компании должны внимательно отнестись к данному Регламенту, если их услуги ориентированы на европейский рынок
