8 декабря воскресенье

Как защищают личные данные пользователей в России и других странах

theRunet собрал воедино главные факты, которые нужно знать про законодательства о персональных данных в США, Европе и России

Как защищают личные данные пользователей в России и других странах
Статьи 3 марта 2016 •  runet

Как защищают личные данные пользователей в России и других странах

theRunet собрал воедино главные факты, которые нужно знать про законодательства о персональных данных в США, Европе и России

3 марта 2016 👁 7803

theRunet решил сравнить законодательства по защите персональных данных в Европе, США и России. Почему европейские и российские законы довольно строгие, а вот в США с вашими данными будут обращаться более вольно.

Сокрытие нежелательной информации о себе

На виртуальное досье может наложить отпечаток не только высказывания, или фотографии, но даже и принадлежность к каким-нибудь сообществам, группам или форумам — банки или бренды могут найти её перспективной, спецслужбы — подозрительной. Сегодня десяток стартапов-единорогов во главе с Palantir обрабатывают петабайты данных и обещают заказчикам вычислить нужного подозреваемого среди миллиона потенциальных кандидатов. Как обычный пользователь может этому противостоять?

В мае 2014 года Европейский верховный суд принял решение о удалении ссылок из выдачи поисков Google и Bing. Это похоже на российский «закон о праве на забвение», вступивший в силу с 1 января 2016 года. Согласно ему, можно убрать ссылки на нежелательную информацию о себе, но данные все равно останутся на сайтах, веб-страницах и архивах, и могут быть найдены другим поиском. Европейский закон также разделил общество на две части, одна из которых считает, что это сокрытие информации, а другая — что закон позволит «очистить» цифровой портрет человек от ошибок прошлого. Джимми Уэллс, основатель Wikipedia, в комментарии TechCrunch указывает, что «нет права на забвение, а есть право на цензурирование информации, которая вам не нравится». 

Main_1795758_915023905216704_253660014649477844_n
Артем
Толкачев
СЕО
«Толкачев и партнеры»

«В Европейском союзе право на защиту персональных данных является фундаментальным правом, закрепленным на законодательном уровне и в судебной практике. По сути, это означает, что какие-либо ограничения права на защиту персональных данных возможны только в исключительных случаях и для конкретных целей. Персональные данные специальных категорий — включая информацию об этнической принадлежности, политических или религиозных убеждениях, информацию о здоровье — должны обрабатываться только на основании явно выраженного согласия гражданина»

В США нет закона, который бы ограничивал поиск и обработку информации из открытых источников. На данный момент первая поправка к Конституции, которая разрешает высказывать собственное мнение и распространять любую информацию в любых источниках, продолжает действовать.
Main_1795758_915023905216704_253660014649477844_n
Артем
Толкачев
СЕО
«Толкачев и партнеры»

«В США защита персональных данных обеспечивается большим количеством законодательных актов, как на федеральном уровне, так и на уровне штатов.
При этом в США защита персональных данных не рассматривается как фундаментальное право. Права граждан в отношении персональных данных могут быть значительно ограничены для защиты национальных интересов или в рамках правоохранительных действий»

В России на данный момент действует вышеупомянутый закон «о праве на забвение» (полное название — закон «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и статьи 29 и 402 Гражданского процессуального кодекса Российской Федерации). Он распространяется только на поисковики и не затрагивает поиск в соцсетях. В феврале появилась информация о первых подавших в суд по этому закону на «Яндекс», Google и «Рамблер интернет холдинг». Первое судебное заседание назначено на 9 марта.

Main_1795758_915023905216704_253660014649477844_n
Артем
Толкачев
СЕО
«Толкачев и партнеры»

«В России защита персональных данных, как и в Евросоюзе, рассматривается скорее как отдельное право гражданина. Российские граждане имеют право на получение информации об обработке персональных данных, и вправе требовать уточнения, блокировки или уничтожения обрабатываемых персональных данных»

Кража банковских данных

Что происходит в ситуации, когда защиту вашего банка взламывают и ваши банковские данные используются в криминальных целях?

Любая европейская компания в течение трёх дней должна уведомить национального регулятора о нарушении защиты персональных банковских данных, иначе будет оштрафована за несоблюдение правил безопасного хранения конфиденциальной информации. 

В США всё зависит от того, что прописано в федеральном законе относительно отрасли компании. Например, финансовые институты обязаны как можно скорее уведомлять клиентов о взломе их персональных данных, однако компании из других сфер имеют право скрывать информацию о взломе вплоть до официального расследования. 

Main_чччч
Севан
Авалян
Юрист службы заботы о клиентах
Модульбанк

«В России конкретные действия банка в случае хищения средств со счетов клиента устанавливаются правилами внутреннего контроля. Они, в том числе, включают в себя процедуры накопления информации об инцидентах (фактах хищения) для последующей передачи этой информации в правоохранительные органы по заявлению банка или по заявлению клиента, а также процедуры возврата средств из банка-получателя. Обращаться в Банк России сразу же после выявления инцидента не требуется. Тем не менее, отчетность по всем инцидентам предоставляется ему ежемесячно»

В случае получения компенсации все зависит от конкретного случая. Если взлом произошел по вине банка, то можно предположить, что банк будет возмещать убытки клиенту. Потому что банк несовершенством своих систем допустил похищение денег клиента. Если же доступ в интернет-банк злоумышленники получили по вине самого клиента, то банк не будет обязан возмещать потерю.

Какие права имеют компании на вашу поисковую историю

Любой европейской пользователь может попросить (за скромное вознаграждение) прислать информацию о себе, которая хранится в базе данных компании. Правда, это не всегда проходит гладко — многие организации стараются ограничить доступ пользователей к своим данным и могут затягивать процесс на несколько месяцев, а то и вовсе отклонить просьбу. 

В США нет федерального закона, по которому пользователи могут запросить информацию о хранящихся в компании персональных данных. Фактическая ситуация меняется от отрасли к отрасли — пациенты могут запросить копии медицинских данных о себе у поставщиков медицинских услуг. Некоторые IT-компании, например, Twitter, также разрешают пользователям запрашивать информацию о персональных данных. 

В России хранение и обработка персональных данных регулируется 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам осуществления государственного контроля (надзора) и муниципального контроля». Год назад в закон были добавлены изменения, согласно которым запрещается собирать персональные данные граждан РФ за рубежом. Но при этом трансграничная передача данных не запрещена, что позволяет иностранным компаниям работать с персональными данным российских граждан, если изначально они были собраны на территории России.

Main_418335_383971934949468_207800821_n
Максим
Лагутин
СЕО
Б-152

«Мы анализировали топ-100 магазинов на предмет обработки персональных данных в России и за рубежом. У большинства сайты находятся на территории РФ, то есть они соблюдают закон.
В плане защиты данных, регламентации процессов и технической стороны всё выглядит не так радужно. За безопасностью данных следят ФСТЭК России и ФСБ, но их, как правило, интересует только госсектор или очень крупный бизнес. Средний и малый бизнес они не проверяют, поэтому львиная доля компаний не выстраивает систему защиты данных либо выстраивает её не в рамках закона»

По закону «О персональных данных» человек может запрашивать следующие данные:
  •  подтверждение факта обработки данных
  •  правовые обоснования для обработки данных
  •  цели, в которых данные обрабатываются
  •  способ обработки данных (автоматизированно неавтоматизрованно)
  •  полные сведения об операторе данных и о третьих лицах, которые имеют доступ к ним
  •  список персональных данных, которыми оперирует
  •  источник получения
  •  срок обработки данных, срок хранения
  •  осуществляется ли трансграничная передача данных и иные сведения, предусмотренные законодательством

Любой гражданин РФ имеет право направить запрос в компанию и потребовать уничтожить данные, прекратить согласие на обработку данных. Но в некоторых случаях компания может ему отказать.

Компания может отказать в том случае, когда необходимость хранения данных обеспечена другим законом. Например, если сотрудник уволился и требует, чтобы компания удалила все данные о нём, то компания может отказать на основании того, что по этим данным будет производиться отчетность по МСФО. Компания также может не сразу удалить данные, а заблокировать их обработку на срок до полугода и затем удалить.

За 2014 год в Роскомнадзоре было  зарегистрировано 20 132 обращения граждан, связанных с обработкой персональных данных. Частные лица постоянно запрашивают информацию о персональных данных у компании. Чаще всего — просят удалить персональные данные или узнать, откуда компании их получили. 

Main_418335_383971934949468_207800821_n
Максим
Лагутин
СЕО
Б-152

«Российские компании до сих пор плавают в этом законе, несмотря на то, что штрафы за незаконную обработку данных вырастут до 50 тысяч рублей и до 300 тысяч рублей по персональным данным спецкатегории. Несмотря на довольно жесткие требования к хранению и обработке в плане технической защиты, остальные требования вполне выполнимы. Я считаю этот закон необходимым, иначе мы вновь вернемся в 2000-е годы, когда любую базу данных можно было купить в переходе»

Персональные данные детей

Вопрос о персональных данных детей обсуждается с самого начала века. В конце прошлого века использование Интернета в Северной Европе перевалило за 50%, в Западной — превысило 20%, так что у наиболее активной части общества, включая и профессионалов СМИ, сложилось ощущение, что все уже в Интернете. 

Во всех семьях, где Интернет есть, дети легко пользуются им, начиная с трёх лет. При этом дети чересчур доверяют взрослым, не заботясь о том, что те собирают на них цифровые досье для своих коммерческих или каких-то иных целей. Привлекли серьезное внимание к проблеме Джон Палфри и Урс Гассер, которые в 2007 году написали книжку «Дети цифровой эры», где отметили, что виртуальный ID подростка формируется поисковыми машинами и социальными сетями, а инженеры и коммерсанты трудятся над тем, чтобы передавать и продавать его в магазины  и обратно (сегодня это называют «большие данные»).

На данный момент в европейском праве не зафиксировано специальных положений, которые регулируют обработку и хранение данных детей. В 2018 году будет принят ряд мер, которые обяжут такие агрегаторы данных, как Facebook и Snapchat, запрашивать разрешение на обработку данных ребенка до 16 лет (в некоторых странах — до 13 лет).В США существует закон о защите конфиденциальности детей в Интернете (сокращенно — COPPA), который обязывает детские сайты и приложения при регистрации запрашивать разрешение у родителей в возрасте до 13 лет. 

В России хранение персональных данных (ПД) детей регулируется теми же законами, что и обработка ПД взрослых —  федеральным законом N 152-ФЗ «О персональных данных», № 149-ФЗ «Об информации, информационных технологиях и о защите информации», N 124-ФЗ (ред. от
28.11.2015) «Об основных гарантиях прав ребенка в Российской
Федерации», а также рядом других федеральных законов.

Main_149453_200
Денис
Жилин
директор по маркетингу
Разумный интернет

«Практически любая сделка, регистрация или обращение человека сопровождается подписанием соглашения о предоставлении ПД. Зачастую пользователи не способны контролировать их распространение, либо не придают этому факту значения, что в свою очередь способствует возникновению угроз для пользователей (мошенничество, вымогательство, шантаж, агрессивный маркетинг) и нарушению их прав в сети интернет. Таким образом, правовые нормы должны не только регулировать вопросы обработки и хранения персональных данных, но и защищать конечных пользователей от недобросовестного их использования, более четко конкретизируя необходимость их предоставления, в том числе сторонним организациям»

Почему различаются законы о персональных данных

Facebook, Instagramm и другие проекты-агрегаторы больших данных, возникают в очень узком кругу стран, но нацелены на глобальную аудиторию. По этой причине законодательства различных стран в отношении персональных данных отличаются, и будут отличаться.
Main_423253_3423869877581_295517468_n
Леонид
Делицын
аналитик ГК Финам

«Перед странами, где возникает крупный Интернет-бизнес, стоит задача не только сохранить пользователей, но и развивать бизнес. Поэтому в США ограничения на использование персональных данных будут не столь жёсткими, как в Европе (многое, конечно, зависит от активистов и представляющих их юридических контор), и можно также предположить, что данные жители других стран будут защищаться не столь активно, как данные собственных. Что касается стран третьего мира, где Интернет слабо распространён, то они, во-первых, будут копировать законы развитых стран, во-вторых, конечно, попробуют обложить хоть каким-нибудь налогом глобальные компании, зарабатывающие на местной аудитории»

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе всех новостей и событий Рунета.

Теги: , , , , , , ,
Комментарии 0
Зарегистрируйтесь или , чтобы оставлять комментарии.