В Госдуму был внесен законопроект, устанавливающий порядок и условия оборота общедоступных персональных данных, а также право гражданина требовать их удаление из общедоступных источников. 

Зачем нужна такая инициатива, какие сегодня есть проблемы в сфере защиты персональных данных в РФ и как эти отношения регулируется в европейском законодательстве, рассказал РАПСИ председатель комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России (МО АЮР) Александр Журавлёв.

В РФ нет прозрачного оборота данных

Вопросы, связанные с персональными данными, регулируются Федеральным законом «О персональных данных». «Этот закон писался, когда еще не были так распространены цифровые сервисы и персональные данные не имели такой значимости, как сейчас. Во-первых, это данные, которые влияют на основополагающее право о защите частной жизни гражданина. Во-вторых, сегодня персональные и другие данные – это источник данных для цифровой экономики, но в то же время они являются топливом для киберпреступлений. Если рассматривать, например, утечки данных, то для граждан возникают разного рода последствия – от банального спама до мошенничества, например, в сфере банковской деятельности и так далее», - говорит Журавлёв.

По его словам, основная проблема заключается в отсутствии в России прозрачного оборота персональных данных. «Когда вы даете согласие оператору персональных данных (государственные органы, бизнес, некоммерческие организации) использовать личную информацию для определенных целей, он туда включает условие о праве передавать эти данные третьим лицам, а этими лицами могут быть дата-центры, другие контрагенты, которые ведут его маркетинговую политику по клиентам и другие. Соответственно, вы точно не знаете, что происходит с вашими данными», - поясняет эксперт.

Одним из шагов для решения проблемы, как отмечает Журавлёв, может стать законопроект об общедоступных персональных данных, предложенный членом комитета Госдумы по информационной политике, информационным технологиям и связи Антоном Горелкиным: «Сейчас требуется только одно письмо-согласие для обработки персональных данных. Законопроект Горелкина вводит отдельное согласие на «общедоступные персональные данные» и категоризирует их, то есть выделяет ФИО, почту, телефон и так далее. Если вы даете для этих целей свои данные, то в согласии оператор должен ясно указывать, на какие именно интернет-ресурсы эти данные будут размещены. То есть вы будете видеть все ресурсы и при необходимости сможете полностью или частично отозвать согласие, и оператор в течение двух рабочих дней обязан будет удалить эту информацию».

Кроме того, по его словам, раньше была проблема — когда Роскомнадзор проверял оператора, он всегда смотрел наличие оригинала письменного согласия. «Для бизнеса это была некая сложность – вроде у нас есть Гражданский кодекс, который говорит о том, что возможен электронный документооборот и заключение/изменение условия обязательств в части путем обмена писем или через электронную цифровую подпись. Но практика применения закона о персональных данных требует от операторов наличия именного письменного согласия. А законопроект Горелкина вводит возможность направления как согласия, так и отзыва в электронном виде. Это удобно и для граждан, и для организаций», - пояснил председатель комиссии по правовому обеспечению цифровой экономики МО АЮР.

Шесть миллионов контактов за 75 тысяч рублей

Если нарушен закон о персональных данных, то гражданин вправе требовать возмещения морального вреда или взыскания убытков. Однако, по словам Журавлева, практика взыскания морального вреда сопровождается определенными сложностями. Так, если произошла утечка данных, то человеку необходимо доказать и предоставить медицинские справки о том, что он испытывал моральные страдания в связи с произошедшим. «Согласно складывающейся судебной практике, обычно сумма взыскания по таким делам составляет от 1,5 тысяч до 5 тысяч рублей, максимальный размер не превышает 20 тысяч рублей. На мой взгляд, такие суммы несоразмерны последствиям нарушения закона. Если произошла массовая утечка данных, и у гражданина возникли последствия, то это сумма не покрывает фактически того, что с ним произошло, и не стимулирует оператора персональных данных надлежащим образом осуществлять хранение», - считает эксперт.

Гражданин также вправе потребовать убытки с оператора персональных данных. «Согласно статье 15 ГК РФ, убытки делятся на реальный ущерб и упущенную выгоду. В данном случае подходит реальный ущерб, потому что это те расходы, которые лицо понесло или понесет для восстановления нарушенного права. Но за время существования закона о персональных данных не было ни одного случая взыскания убытков. Без прозрачного оборота персональных данных невозможно установить причинно-следственную связь, а это один из элементов состава убытков», - говорит Журавлёв.

Кроме того, лицо, чьи права были нарушены, вправе обратиться к регулятору (Роскомнадзор), который может действовать в общественных интересах. Он по заявлению гражданина проводит проверку в отношении лица, которое нарушило закон о персональных данных, и может оштрафовать его и обратиться в суд, а при определенных нарушениях даже заблокировать сайт. «Допустим, утекла у нас база в 6 миллионов записей с персональными данными – регулятор на практике штрафует и применяет КоАП не за каждую запись, а по совокупности. У нас получается, 6 миллионов контактов утекло – 75 тысяч рублей заплати и спи спокойно», - приводит пример собеседник агентства.

В связи с этим МО АЮР предложило инициативу, связанную с изменением закона о персональных данных в части взыскания фиксированной компенсации от 10 тысяч до миллиона рублей за утечку персональных данных. «Этот механизм по аналогии с защитой авторских прав в ГК, то есть гражданин может обратиться в суд и в зависимости от тяжести деяния, которое произошло, суд уже решает, какой размер компенсации ему присуждать. Второе – компенсации применятся только при наличии вины оператора. И третье – бремя доказывания лежит на стороне оператора, то есть гражданин не должен будет доказывать факт нарушения, так как в этих отношения — он слабая сторона», - сказал Журавлев.

Он также считает, что нужно вводить дифференцированную шкалу и значительно увеличивать штрафы, предусмотренные КоАП, потому что сегодня они никак не стимулируют операторов для того, чтобы соблюдать законодательство. «При этом должен быть минимальный порог – если эти штрафы применяются к малому бизнесу, чтобы они были соразмерны тому, что происходит, и малый бизнес не страдал, особенно сейчас, во время пандемии. То есть минимальный порог должен составлять 5-10 тысяч рублей», - пояснил эксперт.

GDPR или право граждан на приватность

В мае 2018 года в Европе вступил в силу Общий регламент по защите персональных данных Европейского союза (General Data Protection Regulation или GDPR). По словам Журавлева, данный документ надежно защищает право граждан на приватность, в том числе в нем категоризированы разные виды данных и предусмотрена возможность обезличивания данных. В отличие от российского законодательства в GDPR достаточно большие штрафы, которые могут составлять до 4% от оборота компании.

«British Airways был оштрафован на 204 миллиона 600 тысяч евро за то, что он не предпринял необходимые меры по защите данных и произошла утечка информации о более 500 тысяч граждан. На втором месте - Marriott International со штрафом в размере 110 миллионов 390 тысяч за то, что он не защитил надлежащим образом сайт, и хакеры смогли внедрить свою ссылку и похитить данные 339 миллионов пользователей. Гугл был оштрафован на 50 миллионов евро за то, что не сообщал пользователям, а также регулятору о том, как именно он использует данные тех, кто пользуется его продукцией. В январе итальянский оператор TIM был оштрафован за то, что рассылал письма лицам, которые не являлись его клиентами и не давали согласия на рассылку, плюс у него произошла утечка данных, штраф - 27 миллион 800 тысяч евро», - рассказал Журавлев.

Он добавил, что исходя из этих примеров, можно сказать, что Евросоюз создал такую систему, которая позволяет говорить о наличии приватности непосредственно на его территории и за пределами (экстерриториальное применение закона). «Иногда даже там перегибают: в некоторых странах запрещают пользоваться табличками с именами перед входом, если на то не дано было согласие непосредственно жильца, за это тоже штрафуют», - отметил председатель комиссии по правовому обеспечению цифровой экономики МО АЮР.

Для того, чтобы защитить персональные данные граждан России, Журавлев считает, необходимым сделать прозрачным оборот данных, категоризировать виды данных, которые сегодня имеются, ввести в законодательство понятие и порядок обезличивания данных, создать стимул для операторов данных в виде дифференцированных штрафов по КоАП и ввести в законодательство предложенный механизм компенсации.