Каждый из нас сообщает окружающим информацию о себе: Ф.И.О., дату рождения, реквизиты документов, сведения о здоровье и т.п. А ведь это не просто информация, это — персональные данные, т.е. данные, которые позволяют идентифицировать человека. С появлением и развитием технологий персональные данные распространяются все быстрее. В современной цифровой реальности такая информация может быть использована против человека. Поэтому государства всего мира стараются обеспечить защиту персональных данных своих граждан.
Европа
Для защиты персональных данных в Евросоюзе принят Общий Регламент защиты персональных данных (GDPR). Этот документ был принят в апреле 2016 года, в силу вступил в мае 2018. Он применяется не только к странам-участницам ЕС, но и к любому юрлицу, даже иностранному, которое обрабатывает персональные данные граждан ЕС.
Основные принципы GDPR:
1. Принцип законности, справедливости и прозрачности. Персональные данные должны быть получены законными и справедливыми средствами с согласия субъекта этих данных.
2. Ограничение цели. Цель сбора данных должна быть указана во время сбора, и данные не должны использоваться для других целей.
3. Минимизация данных. Нельзя собирать больше данных, чем требуется для достижения конкретной цели.
4. Точность. Персональная информация должна быть точной, полной и актуальной. Ошибки и неточности в персональных данных должны быть исправлены.
5. Ограничение хранения. Данные запрещено хранить дольше, чем нужно для выполнения целей обработки информации.
6. Целостность и конфиденциальность. Личные данные должны быть защищены гарантиями безопасности от потери, несанкционированного доступа, уничтожения и т.п.
7. Подотчетность. Компании, которые работают с данными, несут ответственность за соблюдение требований GDPR. За нарушение этих требований предусмотрены огромные штрафы.
Европейские страны принимают внутренние законы по защите персональных данных. Такие законы есть, например, в Германии, Исландии, Дании, Испании, Франции. Они базируются на перечисленных принципах и, по сути, уточняют и конкретизируют положения GDPR.
США
В Америке федеральное законодательство определяет только обязанности госорганов в сфере защиты персональных данных. Нормы, которые касаются юрлиц, обрабатывающих персональные данные, принимают на уровне штатов. Например, в штате Калифорния в 2020 году принят закон, регулирующий правила сбора данных и работы с ними. По этому закону физлицо, которое пользуется услугами интернет-компаний, имеет право знать:
— какую информацию о нем собирает интернет-компания;
— с какой целью компании собирает эти сведения;
— каким образом данные будут использованы.
Также физлица вправе требовать уничтожения своих данных и запрещать их передачу третьим лицам.
Следует отметить, что после терактов 11 сентября в США был разрешен сбор данных об американцах на государственном уровне в целях безопасности.
Китай
Здесь с 2017 года действует закон, который обязал интернет-провайдеров получать согласие пользователей на сбор их персональных данных. Законодательство Китая в этой сфере во многом ориентируется на европейский опыт и нормы GDPR.
Япония
В Стране восходящего Солнца закон о защите персональных данных действует с 2005 года. Он направлен, в том числе, на обеспечение права японцев на неприкосновенность их частной жизни. Так, каждый японский интернет-сайт, который работает с данными физлиц, обязан разместить Политику по защите персональной информации. В Политике должны быть указаны меры, которые сайт принимает для защиты персональных данных пользователей.
Россия
Российский закон о персональных данных устанавливает обязанность юрлиц принимать меры по защите данных физлиц. Такие меры должны быть достаточными, чтобы не допустить неправомерный или случайный доступ к данным, их уничтожение, изменение, распространение и другие неправомерные действия. Меры можно разделить:
— на правовые. Это создание комплекта документов, необходимых для защиты персональных данных;
— технические и организационные. Это действия, которые нужно совершить, чтобы обеспечить безопасность. Например, установить шифрование, обучить сотрудников.
Российское законодательство содержит специальные требования по защите персональных данных для отдельных категорий юрлиц. Так, предусмотрен специальный Перечень мер для госорганов. Компании, которые подпадают под действие GDPR, должны соблюдать его требования. Это, например, компании, которые продают свои товары гражданам Евросоюза.
За нарушение законодательства о персональных данных установлена административная и уголовная ответственность. Например, за нарушение правил обработки персональных данных предусмотрена административная ответственность. Размер штрафа для юрлиц — от 30 тысяч руб. до 18 миллионов руб. В зависимости от совершенного нарушения.
Виновные в незаконном собирании или распространении сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия — могут понести уголовную ответственность. Ее размер варьируется от штрафа до 200 тысяч руб. до лишения свободы на срок до 2 лет.
Беларусь
В нашей стране защита персональных данных урегулирована законом о защите персональных данных, который действует с ноября 2021 года. Законом установлены требования к работе с персональными данными, в частности:
1. Персональные данные можно обрабатывать в определенных целях. От целей предстоящей обработки зависит объем получаемых персональных данных. Нельзя запрашивать сведения, которые организации не понадобятся. Например, интернет-магазин не вправе требовать от покупателя паспортные данные или просить указать почтовый адрес, если клиент забирает товар самовывозом.
2. Обрабатывать данные физлица можно после получения его согласия на их обработку. Из этого правила есть исключения, например, согласие не нужно для:
— ведения персонифицированного учета;
— оформления трудовых отношений;
— исполнения договора, заключенного с физлицом.
3. Физлицу нужно предоставлять информацию, которая касается обработки его данных.
4. Нужно обеспечивать достоверность данных и обновлять их при необходимости.
5. Хранить персональные данные можно не дольше, чем нужно для достижения цели, для которой данные были собраны.
