Стремительная цифровизация большинства сфер нашей жизни кроме очевидных плюсов, к сожалению, несет с собой и новые риски. В первую очередь, связанные с оборотом нашей персональной информации в интернете и прозрачностью этого процесса – доверяя свои личные данные онлайн-сервисам, мы должны понимать, как и кто будет их использовать.
В связи с этим возникает резонный вопрос – на чьи плечи ложится ответственность за безопасность персональной данных, и в какой мере пользователи могут самостоятельно управлять ими?Попробуем обратиться за ответом к мировому опыту. Так сложилось, что современными "законодателями мод" в обеспечении цифровых интересов граждан являются Евросоюз, где действует Общий регламент по защите данных (GDPR), и американский штат Калифорния, опирающийся на Закон о защите конфиденциальности потребителей (CCPA).
Оба этих документа обращены непосредственно к пользователю и гарантируют ему право знать, как интернет-платформы собирают, обрабатывают и используют его персональные данные, а также право отзывать свое согласие на их обработку и требовать их полного удаления из Сети.
Важно и то, как реализован этот механизм.
К примеру, согласно требованиям CCPA, оператор персональной информации обязан предоставить пользователю полный список операций, которые он намерен производить с его личными данными. Заполнив специальную онлайн-анкету, можно запретить компании их продажу, использование в рекламных или иных целях.
Такая анкета должна быть доступна по ссылке "Do not sell my personal information" ("Не продавайте мои персональные данные") на сайте или в приложении компании-оператора. За неисполнение этого или любого другого пункта CCPA нарушитель может быть оштрафован на сумму от $2 500 до $7 500, а если данные пользователя были потеряны или украдены, компания должна будет заплатить от $100 до $750 каждому пострадавшему.
Максимальный же штраф по российскому КоАП сегодня составляет 75 тысяч рублей независимо от объема утечки, а эта сумма направляется в российский бюджет. Но к финансовым компенсациям мы еще вернемся.
В то же время, в России существует практика возбуждения уголовных дел против сотрудников компаний, замешанных в хищении личных данных пользователей. Таких приговоров вынесено уже достаточно много, однако, точечная борьба со злоумышленниками не может обеспечить надлежащую защиту – всегда остается вероятность того, что кто-то из сообщников преступника останется на своей должности, или что новые работники пойдут по пути своих предшественников.
Закономерным шагом были бы соизмеримые меры ответственности самих компаний-операторов, которые стимулировали их следить за сохранностью доверенной им персональной информации.
Подобный принцип также существует в Европе.
Европейские нормы грозят нерадивым онлайн-площадкам по-настоящему серьезными санкциями, привязанными к годовому обороту компании и составляющими до 4% от ее выручки. Счет здесь идет на миллионы евро.
Так, после вступления регламента GDPR в силу, британский национальный авиаперевозчик British Airways был оштрафован на рекордные € 204 млн за то, что в сентябре 2018 г. злоумышленники сумели украсть персональные данные полумиллиона пассажиров – их имена, номера банковских карт, CVV-коды и адреса электронной почты. А сети отелей Marriot International аналогичная утечка данных 339 млн клиентов обошлась в € 110 млн. На их фоне Google, оштрафованный Францией на € 50 млн за непрозрачное информирование пользователей об использовании их личных данных при показе персонализированной рекламы, просто "отделался легким испугом".
Есть все основания полагать, что именно ответственность за нарушения является залогом соблюдения GDPR в Европе. Поэтому, несмотря на важное значение поправок к 152-ФЗ "О персональных данных", внесенных в Госдуму в конце ноября, эта только один из шагов в сторону защиты права на личную жизнь граждан. В ближайшее время необходимо будет принять меры по значительному повышению существующих в КоАП штрафов и приложить усилия для создания "института компенсаций", способного решить важную проблему по охране приватности граждан.
Как известно, западные техногиганты не рвутся оплачивать административные штрафы, назначенные российскими судами, а отсутствие международных договоренностей не позволяет взыскать их принудительно.
В качестве примера можно привести ситуацию с Facebook и Twitter, неоднократно нарушавшими закон о локализации хранения персональных данных россиян. И если Facebook в конечном итоге все-таки соизволил выполнить требование властей, то штраф Twitter так и остается непогашенным.
В свою очередь, возможные компенсации в размере от 10 тысяч до 1 млн рублей, которые взыскивались бы в пользу граждан, лежат в области гражданско-правовых отношений. При необходимости такой судебный акт можно будет исполнить на территории другого государства в соответствии с международными конвенциями, гарантирующими признание и исполнение российских судебных решений в большинстве стран мира.
Создание такого правового института видится логичным шагом в совершенствовании способа защиты прав граждан на приватность и приведение российского законодательства в соответствие с мировыми стандартами.
Автор - председатель комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России
Свежие комментарии