Персональным данным нужно больше внимания
Результаты исследования "Обзор регулирования защиты персональных данных в зарубежных юрисдикциях" представили на пресс-конференции в ТАСС и.о. директора Института конкурентной политики и регулирования рынков (ИКПРР) НИУ ВШЭ, партнер коллегии адвокатов "Муранов, Черняков и партнеры" Олег Москвитин, главный эксперт ИКПРР НИУ ВШЭ Назар Сапаров и юрист коллегии адвокатов "Муранов, Черняков и партнеры" Алим Березгов. В ходе исследования изучен и систематизирован опыт целого ряда стран, включая США, Великобританию, страны Европейского союза, Бразилию, Индию, Китай, Сингапур и Японию.
Как отметил Олег Москвитин, поводом для проведения исследования стало серьезное ухудшение ситуации с утечками данных в России. Отмечено 60 только крупных и очень крупных инцидентов, а общее количество утекших записей превысило 230 млн. По результатам только одного инцидента в сети лабораторий "Гемотест" возбуждено три уголовных дела.
Но при этом Россия занимает высокое место в Индексе национальной кибербезопасности (NCSI) - 28-е из 160. В России, как напомнил Назар Сапаров, существует законодательство о защите персональных данных, в отличие, например, от США, где на федеральном уровне оно отсутствует и нормативная база очень сильно отличается от штата к штату. Также российская нормативная база распространяется и на государственные органы, тогда как, например, в Японии нормы по защите персональных данных касаются только юридических лиц. При этом в России установлены два фундаментальных принципа: обработка персональных данных должна соответствовать заявленной цели и предоставляться в минимально необходимом для достижения данных целей объеме.
Основным слабым местом российской нормативной базы, как подчеркнул Алим Березгов, является несоразмерность проступка и наказания. Когда ответственность за инцидент с миллионами пострадавших составляет 60 тыс. руб., бизнесу проще заложить их в свои издержки и не заниматься выстраиванием системы защиты. В странах Европейского союза и Великобритании, где действует GDPR (Общий регламент по защите персональных данных), размеры штрафов намного выше. Алим Березгов привел пример штрафа в 450 тыс. евро, который наложен на Twitter ирландскими властями за несвоевременное уведомление регулятора о факте утечки. Авиакомпания British Airways была оштрафована на $120 млн за утечку данных о 500 тыс. клиентов. А в Японии и Китае предусмотрена и уголовная ответственность за умышленные утечки, которые привели к серьезным последствиям.
Однако Олег Москвитин советовал не злоупотреблять применением таких мер, как введение уголовной ответственности, которую при желании можно применять уже сейчас по целому ряду составов. Неотвратимость наказания действует на бизнес намного лучше. Так же как и практика коллективных исков, которая начинает появляться и в России. Только в отношении сервиса "Яндекс.Еда" подано два коллективных иска.
https://www.comnews.ru/content/219965/2022-04-25/2022-w17/yandekseda-otdelalas-legkim-ispugom
По оценке Назара Сапарова, за рубежом все же преобладает упор на внутренний самоконтроль. В России такие методы также необходимо внедрять. Назар Сапаров также считает полезным институт омбудсменов по защите персональных данных, который неплохо показал свою эффективность в целом ряде стран - в частности, в Австралии, Бразилии, Великобритании и ЕС, где соответствующие функции выполняет коллективный орган - Европейский совет по защите персональных данных.
По мнению Алима Березгова, наряду с усилением ответственности, необходимо всячески пропагандировать и поддерживать практики внутреннего комплаенса, в которые вовлечены все сотрудники компаний и учреждений. Они хорошо себя показали в таких сферах, как борьба с коррупцией и антимонопольная практика. При этом использование данных мер, равно как и внедрение технических средств защиты, должно стать смягчающим обстоятельством в случае, если инцидент все же произошел.
Другой мерой, которую необходимо чаще применять, Алим Березгов назвал расширение практики независимого аудита. Причем ее необходимо поощрять и поддерживать.
Полезным будет и страхование ответственности. При этом выплаты, как подчеркнул Алим Березгов, должны идти пострадавшим в ходе инцидентов.
