Конфиденциальность выходит на новый уровень  

Как на протяжении последних лет увеличивалась степень защиты персональных данных

Прослушать новость
Остановить прослушивание
Конфиденциальность в 21 веке является поводом для споров бигтеха и государственных регуляторов по всему миру. В течение многих лет пользователи были готовы делиться своими данными в обмен на какую-то услугу. ИТ-гиганты, такие как Facebook (Meta), Twitter и TikTok – наиболее очевидный пример такого обмена. 

Первый шаг в сторону защиты личной информации пользователей Евросоюза был сделан местными законодателями еще в апреле 2016 года, когда они приняли европейский регламент по защите персональных данных (GDPR). Регламент стал основной для взаимоотношений пользователей и любых компаний, услугами которых пользуются граждане ЕС. Другие страны, включая США формируют свой путь в этой сфере.  
 
Так, в июне 2018 года в Калифорнии был подписан закон о конфиденциальности потребителей (CCPA). Его целью является повышение уровня неприкосновенности частной жизни и усиление защиты пользователей. За ним последовал Калифорнийский закон о правах на неприкосновенность частной жизни в 2020 году. Вирджиния приняла свой Закон о защите пользовательских данных (CDPA) в марте 2021, а Колорадо - в июле того же года.
 
Понятно, что регуляторы серьезно относятся к штрафам за нарушения конфиденциальности.

Однако, замечу, что ИТ-гиганты реагируют на них лишь в том случае, если сумма является существенной по сравнению с их годовой прибылью. Таким образом, штрафы в ЕС для WhatsApp (Facebook) за несоблюдение GDPR только в сентябре 2021 года составили €225 млн. Ранее, и Amazon получил взыскание в размере €746 млн, что вдвое больше предыдущего.
 
Примечательно, что еще в 2019 году регуляторы во Франции оштрафовали Google на €50 млн за недостаточное информирование пользователей при получении согласия на обработку и использование их данных. Санкция является первым случаем применения максимально допустимого наказания, предусмотренного GDPR.
 
В Италии в ноябре 2021 года Управлением по охране конкуренции и рынка (AGCM) оштрафовало Apple и Google на €10 млн каждую, что является максимальным для подобного правонарушения. Причиной стала непрозрачная работа технологических гигантов в области сбора и использования личной информации своих клиентов. Представитель ведомства также отметил, что система Google спроектирована таким образом, что пользователи при создании своей учетной записи не могли не принять условия ее использования. Аналогичная проблема существует и у Apple.
 
Претензии к Google из-за обработки данных пользователей существуют и у отечественного Роскомнадзора.

Согласно российскому законодательству, оператор персональных данных обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на ее территории. Локализация баз данных позволяет обеспечить необходимый уровень защищенности персональных данных российских пользователей.
 
Требование о необходимости локализации баз данных российских пользователей в РФ действует с 2015 года, однако ответственность была установлена только в 2019 году. Однако размер российских штрафов несоизмеримо меньше европейского.
 
Так, в августе 2021 года корпорация была оштрафована всего на 3 млн рублей за отказ от локализации персональных данных россиян на территории РФ. Тогда же в августе за нарушение данного требования административный штраф в размере 4 млн рублей был назначен мессенджеру WhatsApp. Социальные сети Facebook и Twitter были оштрафованы на 15 и 17 млн рублей соответственно за повторное нарушение требования о локализации. Еще раньше, в 2020 году Facebook и Twitter уже привлекались к ответственности за отказ от локализации баз данных и были оштрафованы судом на 4 млн рублей каждая.

При этом, штрафы Facebook и Google были оплачены, а Twitter игнорирует взыскание до сих пор.
 
Разумеется, у наиболее крупных ИТ-компаний, таких как Facebook или Google, расходы на перенос данных в РФ выше, чем у небольших фирм. Но долгосрочный экономический эффект может быть, напротив, положительным, поскольку услуги хранения информации в РФ в целом не так дороги. При этом, как показывает мировой опыт, транснациональные корпорации не уйдут из России в ответ на введение новых требований, чтобы не потерять перспективный цифровой рынок.
 
Примечательно, что в России с 1 сентября 2021 года вступили в силу поправки в Федеральный закон «О персональных данных». Согласно документу, все интернет-ресурсы, которые распространяют личную информацию россиян в интернете, обязаны получать на это согласие самих граждан по форме, разработанной Роскомнадзором. В нем должна быть обозначены сведения о субъекте персданных и их операторе, цель обработки и состав данных, на которые получается согласие. Кроме того, в документе должен содержаться перечень данных, которые пользователь запрещает передавать третьим лицам. 
 
Кроме того, с 1 января 2021 года, согласно закону «о приземлении», зарубежные технологические корпорации с суточной аудиторией в РФ 500 тыс. пользователей и более должны будут создать свои уполномоченные представительства. Это поможет защитить цифровые права россиян и предоставит возможность отстаивать их интересы в российском правовом поле. Очевидно, что гражданам гораздо сложнее защищать свои права в иностранных юрисдикциях. Кроме того, закон предусматривает создание формы обратной связи, с помощью которой пользователи смогут направить онлайн-платформе свои жалобы и обращения.
 
Уровень законодательной опеки пользователей постоянно растет.

В результате и пользователи сегодня гораздо лучше осведомлены о своих правах в области управления персональными данными, чем когда-либо. Очевидно, что это проявляется в растущем количестве правил по защите конфиденциальности данных. Контроль доступа к личной информации неизбежно влияет на способность любой организации поддерживать доверие клиентов, обеспечивать соблюдение нормативных требований и избегать финансовых штрафов. Сегодня предприятиям необходимо стратегически планировать и оценивать технологические возможности, чтобы гарантировать, что их инициативы в области информационной безопасности и управления данными могут соответствовать меняющимся требованиям завтра.
 
Организации должны не только предоставлять пользователям информацию, обрабатывает ли бизнес их персональные данные. Компания должна понимать, какая информация о человеке существует в его хранилищах: в облаке или локально, иметь технологические возможности отвечать на индивидуальные запросы пользователей об обрабатываемых о них сведениях, условиях и порядке их хранения. Решения, применяемые для обработки данных, должны иметь индивидуальные уровни контроля для каждого пользователя, чтобы поддержать его право на отказ от сбора любой личной информации, как полностью, так и частично, не теряя права на сервис или услугу. Требование времени не только следовать указаниям законов, но и самостоятельно обнаруживать и контролировать любые «касания» с информацией о пользователях быть «гибкими» и оперативно реагировать на изменения в законах разных стран.

Автор — заместитель Председателя Комиссии по правовому обеспечению цифровой экономики, к.ю.н., заместитель генерального директора по правовым вопросам Института развития интернета (ИРИ).

Поделиться:
Новости и материалы
Все новости
Найдена ошибка?
Закрыть