Персональные данные граждан: сравнение российского закона и GDPR

У каждого человека сегодня есть цифровой слепок – набор данных, которыми он распоряжается в Сети: загружает, пересылает, дополняет, копирует, удаляет. Такие данные представляют особую ценность, так как становятся концентратом юридического «я» владельца. Это привлекательный ресурс для кибермошенников: продажи данных в даркнет, дипфейки, кражи с использованием онлайн-банкинга – лишь несколько примеров преступных действий. Неудивительно, что с развитием цифрового пространства и цифровой экономики все больше государств разрабатывают регуляторику ПДн и пытаются защитить данные граждан. Однако подходы стран могут существенно различаться. Или, что еще хуже, быть не приспособлены к реальности.

Текст: Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ»

Кто и как защищает данные в России

Защита данных становится вопросом особой важности для правительств многих государств. Начальной точкой развития этой отрасли стала Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке ПД» (ETS №108), принятая еще в 1981 году в Страсбурге. РФ подписала и ратифицировала Конвенцию в 2001 году. А через пять лет в 2006 году в России был принят Федеральный закон №152 «О персональных данных» – основной нормативно-правовой акт, отвечающий за контроль и развитие отрасли персданных.

Функция Уполномоченного органа по защите прав субъектов ПДн 16 марта 2009 года была возложена на Роскомнадзор. Дополнительные функции по защите данных в России осуществляет ФСТЭК (Федеральная служба по техническому и экспортному контролю) – эта организация через приказы утверждает состав и содержание технических мер по обеспечению безопасности ПДн, а также формирует Реестр ИБ-средств, проверяя их на соответствие ряду требований. ФСБ (Федеральная служба безопасности Российской  Федерации) также издает приказы, регулирующие организационные и технические меры по защите ПДн, в частности с использованием средств криптографической защиты информации.

Законодательная база постоянно развивается. В 2015 году операторов ПДн обязали хранить данные россиян на территории РФ. В 2017 году расширили административную ответственность за правонарушения в сфере обработки ПДн и увеличили размеры штрафов. Но до сих пор пострадавший от утечки персданных россиянин может добиться компенсации от 10 до 75 тысяч рублей. И то, если сможет доказать ущерб в суде.

В России общая логика законодательной практики в области защиты ПДн – формализация ответственности вместо реальных мер. Это и отсутствие здравого смысла в области защиты персданных оставляют множество дыр в законах. Поэтому операторы ПДн в России соблюдают законы условно, а зарубежные игроки не обращают внимания, в крайнем случае отделываясь «смешными» штрафами и неработающей блокировкой. К примеру, в 2019 году Роскомнадзор оштрафовал на 700 тысяч рублей компании Google. Последние отказались фильтровать поисковую выдачу в соответствии с реестром запрещенной в РФ информации. Кстати, это не первый штраф ИТ-гиганта от российского регулятора.

А как за границей

Мы привыкли смотреть на соседа и сравнивать, «у кого трава зеленее». В случае с персданными такое «подсматривание» может оказаться полезным. Особенно, если обратиться к Общему регламенту о защите данных (GDPR).

Регламент действует на всей территории Евросоюза, хотя был принят им лишь в 2016 году, а вступил в силу в мае 2018-го. На первых этапах запуска GDPR госорганы приложили усилия, чтобы компании смогли в полной мере реализовать требования регламента – провели мониторинг, проконсультировали, в общем, помогли «освоиться».

Контролирует соблюдение регламента European Data Protection Supervisor (EDPS) – главный регулятор по вопросам защиты данных в Европе. Кроме этого действуют национальные регуляторы. Например, в Хорватии это Хорватское агентство по защите персональных данных, во Франции – Национальная комиссия по информатизации и свободе.

Главная особенность GDPR – его правила распространяются на все организации, которые обрабатывают персональные данные резидентов и граждан ЕС и нацеленных на такую обработку. То есть неважно, где территориально находится оператор ПДн. Опираясь на GDPR уже были оштрафованы Google, Uber, Facebook, British Airways и другие. И это штрафы не в несколько сотен евро: компенсации привязаны к годовому обороту компании и составляют до 20 млн евро или до 4% выручки. За нарушения другого разряда – до 10 млн евро или до 2% выручки.

Еще несколько важных особенностей GDPR. Оператор должен предоставить регулятору и субъекту ПДн информацию об утечке в течение 72 часов после инцидента. Субъект ПДн имеет право на перенос и получение копии персданных.

Но особенно важно, что принцип экстерриториальности, заложенный в GDPR, заставляет операторов ПДн, в том числе на территории РФ, обратить внимание на хранение и защиту данных. К примеру, гостиница в Самаре, которая собирает и хранит паспортные данные граждан Евросоюза, попадает под действие GDPR. А значит, в случае инцидента рискует заплатить многомиллионный штраф. Напомню, что наш ФЗ-152 экстерриториального характера не имеет и не распространяется на нерезидентов.

 У него принципиально другое требование – локализация БД с данными россиян на территории РФ.

Известно, что карательные меры Регламента будут внедряться постепенно, регулирование разъясняться и конкретизироваться со временем. По сути, один закон будет действовать на территории нескольких стран, они же буду контролировать его исполнение. Предполагается, что GDPR станет универсальным инструментом, призванным защитить национальные интересы граждан стран ЕС. На практике штрафные санкции европейского регламента применялись только на территории Евросоюза.

Тем не менее GDPR является передовым применительно к законодательной практике других стран. К примеру, на европейский регламент ориентируется в США, где защиту персданных регулируют локальные нормативные акты конкретных штатов, частично – Федеральная торговая комиссия (FTC). Но особого федерального закона просто нет. По сути, сейчас США на пути к созданию аналога GDPR, за что ратуют представители американской ИТ-индустрии.

Коротко об отличиях

Если обобщить, то российское и европейское законодательство в области защиты данных отличается несколькими принципиальными вещами:

1. В европейском законодательстве во главу угла поставлен пользователь. Он является владельцем данных, несмотря на то, что они были переданы оператору ПДн. И вся регуляторика создана для того, чтобы защитить его интересы, не затронув при этом свободу распоряжаться данными по своему усмотрению.

2. GDPR устанавливает существенные штрафы для операторов ПДн. Это стимулирует организации, даже крупнейших игроков, жестко придерживаться правил европейского регламента. И не игнорировать его рекомендации.

3. GDPR делает упор на проработку методик ИБ, помимо самих требований и ответственности за их нарушения.

4. Ответственность регулирует единый центр, который обладает технической и юридической экспертизой для этого.

Можно ли исходя из этого утверждать, что GDPR гораздо лучше ФЗ-152? Откровенно говоря, нет. На практике главная цель – распространить действие Регламента на все страны – так и не достигнута. Ведь реальных юридических инструментов воздействия на государства вне Евросоюза у GDPR не больше, чем у ФЗ-152.

Да, есть политическое давление, репутационные риски, воздействие на европейские представительства международных компаний, недовольство клиентов из ЕС. Но тем не менее, все это вторично по отношению к юридическому аспекту.

Два принципиально разных подхода – российский и европейский – не смогли разграничить цифровое пространство «заборами» и заставить соседей соблюдать собственные правила.

Эффективнее всего защиту данных, не только персональных, обеспечивают ИТ-корпорации, которые понимают реальную уязвимость информации и трезво оценивают риски от ее противозаконного использования. Эти глобальные операторы данных (Google, Facebook и другие) транснациональны, обладают всеми необходимыми ресурсами и мотивированы серьезно защищать данные. Кроме того, многие из них оказывают гораздо большее влияние на формирование интернет-среды и цифрового пространства, чем некоторые страны.

Но главное, что нужно понять, – мировое цифровое пространство уже поделено ИТ-корпорациями. И правительства, в такой ситуации, работаю с опозданием, пытаясь на глобальном цифровом пространстве ввести свои правила игры.