Защита персональных данных
Одним из самых главных нормативных актов, которые должен знать IT-юрист работающий на иностранные компании, является General Data Protection Regulation. В универе на первом курсе это был по сути основной предмет, а экзамен по нему был очень суров и сложен.
Почему GDPR так важен? Потому чтоприватность это базовое право, предусмотренное статьёй 8 Европейской конвенции о правах человека КОНСКИЕ ШТРАФЫ. Совсем недавно (считающаяся в России экстремистской организацией) Meta была оштрафована на рекордные 1,2 миллиарда евро за нарушение правил трансграничной передачи персональных данных в США.
Да, кстати, европейцы считают, что в США не обеспечивается должная защита их персональных данных из-за всемогущих американских спецслужб, которые могут получить к ним доступ по щелчку пальцев. Как-нибудь напишу об этом поподробнее.
Итак штрафы. Они могут составлять до 20 миллионов евро или до 4% от общего годового мирового оборота за предыдущий финансовый год. Штрафы грозят не только компаниям, зарегистрированным в ЕС, но и вообще всем, кто собирает и обрабатывает данные жителей Европы. Так что стартапы в США, ОАЭ, да даже в Китае, если они хотят выходить на европейский рынок или привлекать европейскую аудиторию, должны соблюдать требования GDPR.
В крупных компаниях обязательно есть data protection officer (иногда даже в составе целого отдела) - сотрудник, который следит за соблюдением GDPR, общается с регуляторами, отвечает на запросы граждан и так далее. Обычно у него есть юридический бэкграунд, хотя конкретных требований к образованию нет. Стартапы чаще всего отдельных специалистов по защите данных себе позволить не могут, поэтому либо (торжественно) возлагают эти функции на юриста, либо пользуются услугами специалистов на аутсорсе.
В общем тема защиты персональных данных дико важная, буду к ней неоднократно возвращаться под тегом #прайваси
Одним из самых главных нормативных актов, которые должен знать IT-юрист работающий на иностранные компании, является General Data Protection Regulation. В универе на первом курсе это был по сути основной предмет, а экзамен по нему был очень суров и сложен.
Почему GDPR так важен? Потому что
Да, кстати, европейцы считают, что в США не обеспечивается должная защита их персональных данных из-за всемогущих американских спецслужб, которые могут получить к ним доступ по щелчку пальцев. Как-нибудь напишу об этом поподробнее.
Итак штрафы. Они могут составлять до 20 миллионов евро или до 4% от общего годового мирового оборота за предыдущий финансовый год. Штрафы грозят не только компаниям, зарегистрированным в ЕС, но и вообще всем, кто собирает и обрабатывает данные жителей Европы. Так что стартапы в США, ОАЭ, да даже в Китае, если они хотят выходить на европейский рынок или привлекать европейскую аудиторию, должны соблюдать требования GDPR.
В крупных компаниях обязательно есть data protection officer (иногда даже в составе целого отдела) - сотрудник, который следит за соблюдением GDPR, общается с регуляторами, отвечает на запросы граждан и так далее. Обычно у него есть юридический бэкграунд, хотя конкретных требований к образованию нет. Стартапы чаще всего отдельных специалистов по защите данных себе позволить не могут, поэтому либо (торжественно) возлагают эти функции на юриста, либо пользуются услугами специалистов на аутсорсе.
В общем тема защиты персональных данных дико важная, буду к ней неоднократно возвращаться под тегом #прайваси
GDPR и США
Передача персональных данных за пределы ЕС чревата штрафами, если не соблюдать ряд условий. Эти условия гарантируют сохранность и безопасность данных за границей. К ним относятся специальные контрактные условия, корпоративные правила и так далее. Европейцы очень ревностно относятся к своим данным и опасаются, что они попадут не в те руки.
При этом не требуется никаких дополнительных условий, если Еврокомиссией в отношении страны, в которую передаются данные, принято так называемое “решение об адекватности”. Этими решениями ЕС признаёт, что страна обеспечивает адекватный уровень защиты информации о пользователях. Такие решения приняты в отношении Аргентины, Канады, Израиля, Японии, Новой Зеландии, Кореи, Швейцарии, Великобритании и Уругвая (и ещё ряда мелких территорий типа Андорры). Но не США. Ситуация с экономической точки зрения странная, ведь США это один из крупнейших рынков. Да и большинство самых продвинутых технологических компаний зарегистрировано в Америке.
Вообще что-то типа решения об адекватности существовало с 2000 года, ещё даже до принятия GDPR. Называлось оно “Принципы безопасной гавани” (Safe Harbour Privacy Principles) и разрешало обмен персональными данными между европейскими и американскими компаниями. Но в 2013 году на сцену вышел молодой австрийский юрист Макс Шремс. В студенческие годы он один семестр проучился в Силиконовой долине и крайне офигел от того, как Facebook обращается с данными европейских пользователей. Шремс подал в суд на ирландское подразделение компании Цукерберга с требованием прекратить передачу данных из Ирландии в США, учитывая предполагаемую причастность Facebook к программе массовой слежки.
В ходе судебных процессов ему удалось доказать, что в США не обеспечивается должная защита персональных данных из-за слежки со стороны спецслужб, о которой стало известно из разоблачений Эдварда Сноудена. В 2015 году Суд Европейского союза признал Принципы безопасной гавани недействительными.
Но экономика должна работать, поэтому уже в 2016 году на смену отменённому Safe Harbour пришёл новый механизм под названием EU–US Privacy Shield. Цель его была аналогичной предыдущему: позволить американским компаниям получать персональные данные из ЕС в упрощённом порядке. Но просуществовал этот механизм недолго, так как неугомонный Макс Шремс вновь его оспорил. В 2020 году по его заявлению всё тот же Суд Европейского союза признал этот механизм обмена данными недействительным практически по тем же основаниям: он не обеспечивает адекватной защиты данных граждан ЕС от государственной слежки при передаче их в США.
Но эпопея продолжается. В следующем посте я расскажу о новом механизме, на этот раз со скучным названием EU-US Data Privacy Framework, который вот буквально неделю назад приняла Еврокомиссия.
#прайваси
Передача персональных данных за пределы ЕС чревата штрафами, если не соблюдать ряд условий. Эти условия гарантируют сохранность и безопасность данных за границей. К ним относятся специальные контрактные условия, корпоративные правила и так далее. Европейцы очень ревностно относятся к своим данным и опасаются, что они попадут не в те руки.
При этом не требуется никаких дополнительных условий, если Еврокомиссией в отношении страны, в которую передаются данные, принято так называемое “решение об адекватности”. Этими решениями ЕС признаёт, что страна обеспечивает адекватный уровень защиты информации о пользователях. Такие решения приняты в отношении Аргентины, Канады, Израиля, Японии, Новой Зеландии, Кореи, Швейцарии, Великобритании и Уругвая (и ещё ряда мелких территорий типа Андорры). Но не США. Ситуация с экономической точки зрения странная, ведь США это один из крупнейших рынков. Да и большинство самых продвинутых технологических компаний зарегистрировано в Америке.
Вообще что-то типа решения об адекватности существовало с 2000 года, ещё даже до принятия GDPR. Называлось оно “Принципы безопасной гавани” (Safe Harbour Privacy Principles) и разрешало обмен персональными данными между европейскими и американскими компаниями. Но в 2013 году на сцену вышел молодой австрийский юрист Макс Шремс. В студенческие годы он один семестр проучился в Силиконовой долине и крайне офигел от того, как Facebook обращается с данными европейских пользователей. Шремс подал в суд на ирландское подразделение компании Цукерберга с требованием прекратить передачу данных из Ирландии в США, учитывая предполагаемую причастность Facebook к программе массовой слежки.
В ходе судебных процессов ему удалось доказать, что в США не обеспечивается должная защита персональных данных из-за слежки со стороны спецслужб, о которой стало известно из разоблачений Эдварда Сноудена. В 2015 году Суд Европейского союза признал Принципы безопасной гавани недействительными.
Но экономика должна работать, поэтому уже в 2016 году на смену отменённому Safe Harbour пришёл новый механизм под названием EU–US Privacy Shield. Цель его была аналогичной предыдущему: позволить американским компаниям получать персональные данные из ЕС в упрощённом порядке. Но просуществовал этот механизм недолго, так как неугомонный Макс Шремс вновь его оспорил. В 2020 году по его заявлению всё тот же Суд Европейского союза признал этот механизм обмена данными недействительным практически по тем же основаниям: он не обеспечивает адекватной защиты данных граждан ЕС от государственной слежки при передаче их в США.
Но эпопея продолжается. В следующем посте я расскажу о новом механизме, на этот раз со скучным названием EU-US Data Privacy Framework, который вот буквально неделю назад приняла Еврокомиссия.
#прайваси
GDPR и США
Итак, 10 июля Еврокомиссия приняла решение об адекватности в отношении США в рамках механизма EU-US Data Privacy Framework.
Европейцы проанализировали крайнее решение Суда Европейского союза по заявлению Шремса и потребовали от США урезонить свои спецслужбы, запускающие грязные руки в их персональные данные. США пообещали, что теперь всё будет по красоте и в подтверждение приняли соответствующий указ (Executive Order "Enhancing Safeguards for United States Signals Intelligence Activities").
Среди прочего там предусмотрено, что американские спецслужбы будут иметь доступ к данным только в той мере, в которой это необходимо для защиты национальной безопасности. Кроме того, в США создаётся независимый и непредвзятый механизм для рассмотрения и разрешения жалоб связанных с доступом к данным европейцев со стороны американских служб национальной безопасности.
Механизм предусматривает для европейцев возможность подавать такие жалобы в орган по защите данных своей страны на родном языке. Для того чтобы жалоба была принята не требуется доказывать, что данные фактически собирались американскими спецслужбами. Национальный орган по защите данных должен передать жалобу в США и информировать заявителя о её статусе.
Далее, в США жалоба рассматриваются должностным лицом - Офицером по защите гражданских свобод ("Civil Liberties Protection Officer"). По результатам её рассмотрения он выносит решение, которое можно обжаловать в специально созданном Суде по защите данных (‘Data Protection Review Court‘).
Этот суд такой весь из себя независимый, состоит из лиц, не принадлежащих к американскому правительству, которые могут быть уволены только по специальным основаниям (например, в связи с приговором). Суд имеет полномочия рассматривать жалобы от европейцев, получать информацию от спецслужб и принимать обязательные для исполнения решения по устранению нарушений. В каждом судебном процессе заявителю должен быть предоставлен защитник.
Для того, чтобы получать данные европейцев в упрощённом порядке, компании из США должны пройти специальную сертификацию в Министерстве торговли США. Контроль за сертифицированными американскими компаниями осуществляет Федеральная торговая комиссия США.
В целом на бумаге всё действительно красиво. Посмотрим как это будет работать. Во всяком случае Макс Шремс уж точно посмотрит.
#прайваси
Итак, 10 июля Еврокомиссия приняла решение об адекватности в отношении США в рамках механизма EU-US Data Privacy Framework.
Европейцы проанализировали крайнее решение Суда Европейского союза по заявлению Шремса и потребовали от США урезонить свои спецслужбы, запускающие грязные руки в их персональные данные. США пообещали, что теперь всё будет по красоте и в подтверждение приняли соответствующий указ (Executive Order "Enhancing Safeguards for United States Signals Intelligence Activities").
Среди прочего там предусмотрено, что американские спецслужбы будут иметь доступ к данным только в той мере, в которой это необходимо для защиты национальной безопасности. Кроме того, в США создаётся независимый и непредвзятый механизм для рассмотрения и разрешения жалоб связанных с доступом к данным европейцев со стороны американских служб национальной безопасности.
Механизм предусматривает для европейцев возможность подавать такие жалобы в орган по защите данных своей страны на родном языке. Для того чтобы жалоба была принята не требуется доказывать, что данные фактически собирались американскими спецслужбами. Национальный орган по защите данных должен передать жалобу в США и информировать заявителя о её статусе.
Далее, в США жалоба рассматриваются должностным лицом - Офицером по защите гражданских свобод ("Civil Liberties Protection Officer"). По результатам её рассмотрения он выносит решение, которое можно обжаловать в специально созданном Суде по защите данных (‘Data Protection Review Court‘).
Этот суд такой весь из себя независимый, состоит из лиц, не принадлежащих к американскому правительству, которые могут быть уволены только по специальным основаниям (например, в связи с приговором). Суд имеет полномочия рассматривать жалобы от европейцев, получать информацию от спецслужб и принимать обязательные для исполнения решения по устранению нарушений. В каждом судебном процессе заявителю должен быть предоставлен защитник.
Для того, чтобы получать данные европейцев в упрощённом порядке, компании из США должны пройти специальную сертификацию в Министерстве торговли США. Контроль за сертифицированными американскими компаниями осуществляет Федеральная торговая комиссия США.
В целом на бумаге всё действительно красиво. Посмотрим как это будет работать. Во всяком случае Макс Шремс уж точно посмотрит.
#прайваси
GDPR и 152-ФЗ
Когда я первый раз открыл GDPR, то испытал лёгкое дежавю. Многие принципы и термины были мне знакомы по родному закону “О персональных данных” или 152-ФЗ. Затем возникла необходимость сравнить концепции “законного интереса” как основания для обработки персональных данных в обоих нормативных актах. Внешне они похожи, но это впечатление обманчиво. Собственно, хочу с вами поделиться тем, что я обнаружил.
Начнём с текстов. В 152-ФЗ (статья 6) концепция законного интереса звучит следующим образом: обработка персональных данных допускается в если она необходима для осуществления прав и законных интересов оператора или третьих лиц… либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
Открываем статью 6 GDPR (даже номер статьи тот же!): обработка считается законной когда она необходима для целей, вытекающих из законных интересов, преследуемых контролёром или третьим лицом, за исключением случаев, когда преимущество над такими интересами имеют интересы или фундаментальные права и свободы субъекта данных, требующие защиты персональных данных, в частности, когда субъектом данных является ребенок.
Понятие законного интереса в 152-ФЗ не раскрывается. И оно довольно широкое. Поэтому только толкование этого понятия судами может определять его границы. К сожалению, судебной практики по данной теме не то чтобы много. Можно выделить только несколько дел когда суды решили, что конкретные случаи обработки данных подпадают под концепцию законного интереса. Например, суд признал право банка получать и обрабатывать персональные данные лиц, зарегистрированных в жилом доме, принадлежащем этому банку. Причиной этому был законный интерес банка, связанный с необходимостью внесудебного урегулирования споров, связанных с выселением этих лиц.
На основе анализа норм и судебной практики можно выделить следующие сходства между понятиями "законный интерес" в GDPR и в 152-ФЗ.
Во-первых, и там и там статья 6 :)
Во-вторых, как и в GDPR, в 152-ФЗ законный интерес является самостоятельным основанием для обработки персональных данных.
В-третьих, в обоих актах обработка персональных данных возможна на основе законного интереса не только контролёра (оператора), но и третьих лиц.
В-четвёртых, и в 152-ФЗ и в GDPR при обработке данных на этом основании требуется учитывать как это будет влиять на права и свободы субъекта данных.
И, наконец, в обоих актах законный интерес не может быть основанием для обработки особых категорий персональных данных.
Получается слишком объёмно, поэтому о различиях напишу в следующем посте.
#прайваси
IT-юрист в эмиграции
Когда я первый раз открыл GDPR, то испытал лёгкое дежавю. Многие принципы и термины были мне знакомы по родному закону “О персональных данных” или 152-ФЗ. Затем возникла необходимость сравнить концепции “законного интереса” как основания для обработки персональных данных в обоих нормативных актах. Внешне они похожи, но это впечатление обманчиво. Собственно, хочу с вами поделиться тем, что я обнаружил.
Начнём с текстов. В 152-ФЗ (статья 6) концепция законного интереса звучит следующим образом: обработка персональных данных допускается в если она необходима для осуществления прав и законных интересов оператора или третьих лиц… либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
Открываем статью 6 GDPR (даже номер статьи тот же!): обработка считается законной когда она необходима для целей, вытекающих из законных интересов, преследуемых контролёром или третьим лицом, за исключением случаев, когда преимущество над такими интересами имеют интересы или фундаментальные права и свободы субъекта данных, требующие защиты персональных данных, в частности, когда субъектом данных является ребенок.
Понятие законного интереса в 152-ФЗ не раскрывается. И оно довольно широкое. Поэтому только толкование этого понятия судами может определять его границы. К сожалению, судебной практики по данной теме не то чтобы много. Можно выделить только несколько дел когда суды решили, что конкретные случаи обработки данных подпадают под концепцию законного интереса. Например, суд признал право банка получать и обрабатывать персональные данные лиц, зарегистрированных в жилом доме, принадлежащем этому банку. Причиной этому был законный интерес банка, связанный с необходимостью внесудебного урегулирования споров, связанных с выселением этих лиц.
На основе анализа норм и судебной практики можно выделить следующие сходства между понятиями "законный интерес" в GDPR и в 152-ФЗ.
Во-первых, и там и там статья 6 :)
Во-вторых, как и в GDPR, в 152-ФЗ законный интерес является самостоятельным основанием для обработки персональных данных.
В-третьих, в обоих актах обработка персональных данных возможна на основе законного интереса не только контролёра (оператора), но и третьих лиц.
В-четвёртых, и в 152-ФЗ и в GDPR при обработке данных на этом основании требуется учитывать как это будет влиять на права и свободы субъекта данных.
И, наконец, в обоих актах законный интерес не может быть основанием для обработки особых категорий персональных данных.
Получается слишком объёмно, поэтому о различиях напишу в следующем посте.
#прайваси
IT-юрист в эмиграции
GDPR и 152-ФЗ
Перейдём к различиям концепций законного интереса в российском и европейском законодательстве.
Первое. В GDPR чётко обозначено что обрабатывать данные на этом основании нельзя если интересы или фундаментальным права и свободы субъекта данных, которые требуют защиты персональных данных, "перевешивают" законные интересы контролёра. В частности, когда субъект данных - ребенок или когда субъекты данных не ожидают такой обработки их данных.
Схожее положение имеется и в 152-ФЗ, но оно сформулировано иначе. Так, обработка персональных данных допускается на этом основании при условии, что при этом не нарушаются права и свободы субъекта персональных данных. То есть российское законодательство, в отличие от GDPR, явно не требует оценивать баланс интересов контролёра и интересов, прав и свобод субъекта данных (проводить "balancing test"), а требует только воздержаться от их нарушения. В целом, этот принцип в 152-ФЗ допускает большое количество интерпретаций, включая наиболее широкие.
Далее, как в GDPR, так и в 152-ФЗ имеется термин "третьи лица", чей законный интерес также может быть основанием для обработки персональных данных. Однако, в отличие от GDPR, понятие третьих лиц в российском законе не раскрывается и может трактоваться шире, чем в GDPR.
Также, GDPR обязывает контролера предоставить субъекту данных информацию о содержании законных интересов, которые преследуются контролёром или третьими лицами, на момент получения персональных данных как от субъекта данных, так и без его участия. При этом, 152-ФЗ не содержит прямых требований предоставлять информацию именно о законном интересе оператора, а только информацию о целях обработки персональных данных и её основании.
Ну и наконец следует отметить совершенно противоположный подход в GDPR и 152-ФЗ к прямому маркетингу (под которым подразумевается, например, рекламная email рассылка) как законному интересу для обработки персональных данных.
В GDPR явно указано, что обработка персональных данных для целей прямого маркетинга может осуществляться на основании законного интереса контролёра. В то же время в 152-ФЗ обработка персональных данных с целью продвижения товаров, работ, услуг на рынке с привлечением потенциального потребителя с помощью средств коммуникации допускается только с предварительного согласия субъекта персональных данных. Поэтому обработку персональных данных для целей прямого маркетинга нельзя рассматривать как осуществляемую в законных интересах оператора согласно положениям российского законодательства.
В заключении можно упомянуть, что штрафы за нарушение GDPR и 152-ФЗ несопоставимы и именно они в большей степени влияют на культуру и приоритеты в области защиты персональных данных.
#прайваси
Перейдём к различиям концепций законного интереса в российском и европейском законодательстве.
Первое. В GDPR чётко обозначено что обрабатывать данные на этом основании нельзя если интересы или фундаментальным права и свободы субъекта данных, которые требуют защиты персональных данных, "перевешивают" законные интересы контролёра. В частности, когда субъект данных - ребенок или когда субъекты данных не ожидают такой обработки их данных.
Схожее положение имеется и в 152-ФЗ, но оно сформулировано иначе. Так, обработка персональных данных допускается на этом основании при условии, что при этом не нарушаются права и свободы субъекта персональных данных. То есть российское законодательство, в отличие от GDPR, явно не требует оценивать баланс интересов контролёра и интересов, прав и свобод субъекта данных (проводить "balancing test"), а требует только воздержаться от их нарушения. В целом, этот принцип в 152-ФЗ допускает большое количество интерпретаций, включая наиболее широкие.
Далее, как в GDPR, так и в 152-ФЗ имеется термин "третьи лица", чей законный интерес также может быть основанием для обработки персональных данных. Однако, в отличие от GDPR, понятие третьих лиц в российском законе не раскрывается и может трактоваться шире, чем в GDPR.
Также, GDPR обязывает контролера предоставить субъекту данных информацию о содержании законных интересов, которые преследуются контролёром или третьими лицами, на момент получения персональных данных как от субъекта данных, так и без его участия. При этом, 152-ФЗ не содержит прямых требований предоставлять информацию именно о законном интересе оператора, а только информацию о целях обработки персональных данных и её основании.
Ну и наконец следует отметить совершенно противоположный подход в GDPR и 152-ФЗ к прямому маркетингу (под которым подразумевается, например, рекламная email рассылка) как законному интересу для обработки персональных данных.
В GDPR явно указано, что обработка персональных данных для целей прямого маркетинга может осуществляться на основании законного интереса контролёра. В то же время в 152-ФЗ обработка персональных данных с целью продвижения товаров, работ, услуг на рынке с привлечением потенциального потребителя с помощью средств коммуникации допускается только с предварительного согласия субъекта персональных данных. Поэтому обработку персональных данных для целей прямого маркетинга нельзя рассматривать как осуществляемую в законных интересах оператора согласно положениям российского законодательства.
В заключении можно упомянуть, что штрафы за нарушение GDPR и 152-ФЗ несопоставимы и именно они в большей степени влияют на культуру и приоритеты в области защиты персональных данных.
#прайваси
Компании заплатят пользователям за утечки их данных
По всей видимости в России наконец-то начнут защищать персональные данные на адекватном уровне. И основной стимул для таких изменений - ужесточение наказаний. Одобрены поправки к статье 13.11 КоАП в части увеличения размера штрафов за нарушение законодательства о персональных данных.
Итак, если законопроект будет принят, то за утечку данных от 1000 до 10 000 субъектов персональных данных штраф для юрлиц составит от 3 до 5 млн рублей. За утечку данных от 10 000 до 100 000 субъектов — от 5 до 10 млн рублей. Ну и за утечку данных более 100 000 граждан — от 10 до 15 млн рублей. За утечки биометрических персональных данных юрлицо может получить штраф от 15 до 20 млн руб.
Это ещё не всё. Законопроект предусматривает и оборотные штрафы, прям как в GDPR. Так, если при повторной утечке пострадали не менее тысячи человек, оборотный штраф составит от 0,1 до 3% выручки за календарный год, предшествующий нарушению, или за часть текущего года, но не менее 15 и не более 500 млн рублей.
Но и это ещё не всё. Правительство поддержало поистине прогрессивную инициативу о том, что компании будут компенсировать ущерб пострадавшим от утечек персональных данных.
Механизм следующий:
- Компания сообщает пользователю об утечке его персональных данных. Если она готова выплатить компенсацию, то в сообщении должна содержаться соответствующая информация. Сведения дублируются на госуслугах.
- После получения информации пользователь должен в течение 15 рабочих дней подать заявку на возмещение причиненного ущерба. Это можно сделать через госуслуги.
- Компания в течение 20 рабочих дней после получения заявок рассчитывает объем денежной выплаты. После чего направляет обратившимся свое предложение, в том числе через госуслуги.
- Пользователь может принять предложение или отказаться от него в течение 20 рабочих дней.
- Если более 80% обратившихся согласятся на компенсацию, то компания должна будет выплатить ее в течение 5 рабочих дней.
Как видно из текста, выплата компенсации осуществляется в добровольном порядке. Однако, если компания таким образом возмещает ущерб, то это будет расцениваться в качестве смягчающего обстоятельства и к ней будут применяться пониженные штрафы.
Предложенный подход мне видится разумным с точки зрения интересов общества, государства и пострадавших пользователей. Ведь немногие идут в суд за компенсацией ущерба, причинённого утечкой данных. Прежде всего из-за сложных судебных процедур и смехотворных размеров такой компенсации. Если же законопроект примут, это позволит гражданам получать возмещение в упрощённом порядке не выходя из дома. Посмотрим, насколько такая система окажется эффективной. В любом случае, этот законопроект является огромным шагом вперед в сфере защиты персональных данных.
#прайваси
https://yangx.top/ImlawIT
По всей видимости в России наконец-то начнут защищать персональные данные на адекватном уровне. И основной стимул для таких изменений - ужесточение наказаний. Одобрены поправки к статье 13.11 КоАП в части увеличения размера штрафов за нарушение законодательства о персональных данных.
Итак, если законопроект будет принят, то за утечку данных от 1000 до 10 000 субъектов персональных данных штраф для юрлиц составит от 3 до 5 млн рублей. За утечку данных от 10 000 до 100 000 субъектов — от 5 до 10 млн рублей. Ну и за утечку данных более 100 000 граждан — от 10 до 15 млн рублей. За утечки биометрических персональных данных юрлицо может получить штраф от 15 до 20 млн руб.
Это ещё не всё. Законопроект предусматривает и оборотные штрафы, прям как в GDPR. Так, если при повторной утечке пострадали не менее тысячи человек, оборотный штраф составит от 0,1 до 3% выручки за календарный год, предшествующий нарушению, или за часть текущего года, но не менее 15 и не более 500 млн рублей.
Но и это ещё не всё. Правительство поддержало поистине прогрессивную инициативу о том, что компании будут компенсировать ущерб пострадавшим от утечек персональных данных.
Механизм следующий:
- Компания сообщает пользователю об утечке его персональных данных. Если она готова выплатить компенсацию, то в сообщении должна содержаться соответствующая информация. Сведения дублируются на госуслугах.
- После получения информации пользователь должен в течение 15 рабочих дней подать заявку на возмещение причиненного ущерба. Это можно сделать через госуслуги.
- Компания в течение 20 рабочих дней после получения заявок рассчитывает объем денежной выплаты. После чего направляет обратившимся свое предложение, в том числе через госуслуги.
- Пользователь может принять предложение или отказаться от него в течение 20 рабочих дней.
- Если более 80% обратившихся согласятся на компенсацию, то компания должна будет выплатить ее в течение 5 рабочих дней.
Как видно из текста, выплата компенсации осуществляется в добровольном порядке. Однако, если компания таким образом возмещает ущерб, то это будет расцениваться в качестве смягчающего обстоятельства и к ней будут применяться пониженные штрафы.
Предложенный подход мне видится разумным с точки зрения интересов общества, государства и пострадавших пользователей. Ведь немногие идут в суд за компенсацией ущерба, причинённого утечкой данных. Прежде всего из-за сложных судебных процедур и смехотворных размеров такой компенсации. Если же законопроект примут, это позволит гражданам получать возмещение в упрощённом порядке не выходя из дома. Посмотрим, насколько такая система окажется эффективной. В любом случае, этот законопроект является огромным шагом вперед в сфере защиты персональных данных.
#прайваси
https://yangx.top/ImlawIT
Чувствительные данные
Европейская General Data Protection Regulation (GDPR), впрочем как и российский 152-ФЗ, среди персональных данных выделяет специальную их категорию, так называемые "чувствительные данные" (sensitive data). Они по своей природе считаются особо важными и заслуживают более серьёзной защиты по сравнению с обычными персональным данными, поскольку их обработка может создать значительные риски для основных прав и свобод граждан.
К чувствительным данным, согласно GDPR, относятся:
🔸 Медицинские данные (информация о состоянии здоровья, болезнях, лечении и т.д.)
🔸Данные о религиозных и философских убеждениях;
🔸 Данные о расовой или этнической принадлежности;
🔸 Данные о политических взглядах;
🔸 Данные о профсоюзной принадлежности;
🔸 Генетические данные;
🔸 Биометрические данные (например: отпечатки пальцев и в некоторых случаях даже фотографии)
🔸 Данные о половой жизни или сексуальной ориентации лица.
Основные требования к обработке таких категорий данных, согласно GDPR, заключаются в следующем:
1️⃣ В большинстве случаев единственным основанием для обработки может служить только явное согласие лица, при условии чёткого обозначения целей обработки. При этом, если речь идёт об обработке чувствительных данных сотрудников компании (например, доступ к компьютеру по отпечаткам пальцев), с согласием есть важный нюанс: его могут признать недействительным. Причина в том, что работник находится в определённой финансовой зависимости от работодателя, поэтому последний может вынуждать работников давать нужные согласия, например под угрозой лишения премии.
2️⃣ Перед началом обработки, которая сопряжена с большим объёмом специальных категорий данных, использованием новых технологий и автоматическими процессами, необходимо провести процедуру Data protection impact assessment (DPIA)
3️⃣ Если основная деятельность компании заключается в обработке специальных категорий данных в больших масштабах, Data Protection Officer - обязателен.
За нарушения, связанные с чувствительными данными, предусмотрены чувствительные штрафы, которые могут составлять до 20 миллионов евро или до 4% от общего годового мирового оборота за предыдущий финансовый год.
#прайваси
Европейская General Data Protection Regulation (GDPR), впрочем как и российский 152-ФЗ, среди персональных данных выделяет специальную их категорию, так называемые "чувствительные данные" (sensitive data). Они по своей природе считаются особо важными и заслуживают более серьёзной защиты по сравнению с обычными персональным данными, поскольку их обработка может создать значительные риски для основных прав и свобод граждан.
К чувствительным данным, согласно GDPR, относятся:
🔸 Медицинские данные (информация о состоянии здоровья, болезнях, лечении и т.д.)
🔸Данные о религиозных и философских убеждениях;
🔸 Данные о расовой или этнической принадлежности;
🔸 Данные о политических взглядах;
🔸 Данные о профсоюзной принадлежности;
🔸 Генетические данные;
🔸 Биометрические данные (например: отпечатки пальцев и в некоторых случаях даже фотографии)
🔸 Данные о половой жизни или сексуальной ориентации лица.
Основные требования к обработке таких категорий данных, согласно GDPR, заключаются в следующем:
1️⃣ В большинстве случаев единственным основанием для обработки может служить только явное согласие лица, при условии чёткого обозначения целей обработки. При этом, если речь идёт об обработке чувствительных данных сотрудников компании (например, доступ к компьютеру по отпечаткам пальцев), с согласием есть важный нюанс: его могут признать недействительным. Причина в том, что работник находится в определённой финансовой зависимости от работодателя, поэтому последний может вынуждать работников давать нужные согласия, например под угрозой лишения премии.
2️⃣ Перед началом обработки, которая сопряжена с большим объёмом специальных категорий данных, использованием новых технологий и автоматическими процессами, необходимо провести процедуру Data protection impact assessment (DPIA)
3️⃣ Если основная деятельность компании заключается в обработке специальных категорий данных в больших масштабах, Data Protection Officer - обязателен.
За нарушения, связанные с чувствительными данными, предусмотрены чувствительные штрафы, которые могут составлять до 20 миллионов евро или до 4% от общего годового мирового оборота за предыдущий финансовый год.
#прайваси
⬆️ Великолепный гайд по GDPR на русском. Я сам им активно пользуюсь. Написано всё чётко, понятно и по полочкам. А самое главное: там собран большой объём актуальной практики, есть разборы кейсов и анализ правоприменения. В общем мастхэв для всех, кто сталкивается с GDPR в своей работе.
#прайваси
#прайваси