В России вступил в силу закон об изменении правил обработки общедоступных персональных данных. Он опубликован на официальном интернет-портале правовой информации.
Согласно документу, общедоступными являются данные, которые находятся в открытом доступе — например, на сайтах объявлений или в профилях соцсетей. Ими могут быть ФИО, телефон, электронная почта или фотографии пользователя.
- Новый закон запрещает распространять такую информацию без согласия граждан. Теперь они сами решают, какие их данные можно использовать публично.
- Получать разрешение от них потребуется операторам – владельцам платформ, которые обрабатывают данные пользователей.
- Согласие требуется на любое взаимодействие с персональными данными: будь то публикация в открытом доступе или передача третьим лицам. При этом бездействие граждан в ответ на запрошенное разрешение не будет автоматически считаться согласием.
- Операторы теперь обязаны удалять персональные данные по первому запросу их владельца.
- Согласие россияне смогут предоставить напрямую оператору или через информационную систему Роскомнадзора. Разрешение будет четко фиксировать перечень персональных данных, которые позволят распространять.
Запрет на обработку персональных данных не распространяется на использование в государственных и общественных интересах.
Ответственность
- Со вступлением нового закона в силу, чтобы подстроить рекламу под конкретного пользователя на основе данных из его соцсети, интернет-магазинам придется сначала взять у него разрешение на такие действия. Если компания этого не сделает, ей будет грозить штраф за нарушение правил обработки персональных данных.
- В ситуации, когда персональные данные оказались доступны неограниченному кругу лиц в результате правонарушения, преступления или форс-мажора, любой оператор, допустивший их дальнейшее распространение и тиражирование, обязан будет подтвердить законность своих действий или принять меры по прекращению такого распространения.
- В случае, если произошла утечка базы данных какой-либо организации, ресурс или пользователь, разместивший у себя на веб-сайте или на странице в социальных сетях эту базу или ее часть, будет обязан доказать законность ее копирования, распространения и обработки. Если доказать законность обработки не удастся, то сайт обязан удалить персональные данные. В противном случае его владелец будет оштрафован.
- Если нет письменного согласия гражданина на обработку его персональных данных, должностные лица и ИП заплатят от 20 тыс. до 40 тыс. руб., а компании — от 30 тыс. до 150 тыс. руб. При повторном нарушении штраф для должностных лиц составит от 40 тыс. до 100 тыс. руб., для ИП – от 100 тыс. до 300 тыс. руб., а для компаний – от 300 тыс. до 500 тыс. руб.
Риски для компаний
В декабре 2020 года Ассоциация больших данных (включает в себя «Яндекс», Mail.ru Group, Сбербанк, Газпромбанк, операторов мобильной связи) обратилась к Госдуме с просьбой не принимать закон об изменении правил обработки общедоступных персональных данных. По их мнению, он создаст правовую неопределенность в том случае, если пользователь дал нескольким площадкам согласие на обработку одних и тех же данных, но с указанием разных ограничений.
Председатель комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России Александр Журавлев заявил, что новые ограничения могут осложнить деятельность организаций, использующих в своей работе искусственный интеллект и большие данные и повлияет на всех, кому необходимо использовать информацию из открытых источников в работе. В частности, он коснется СМИ и компаний, которые задействуют системы мониторинга поведения в интернете.
Пример Европы
В мае 2018 года Европейский Союз ввел Общий регламент по защите данных (GDPR). Регламент требует от ИT-компаний получать согласие каждого человека всякий раз, когда они собирают персональные данные гражданина (например, используя cookies).
- Разрешение при этом должно быть выражено в форме утверждения или в однозначных активных действиях пользователя. Согласие на обработку данных ребенка должно быть получено от его родителей или законных представителей.
- GDPR также расширил право резидентов ЕС контролировать обработку персональных данных. В частности, они получили возможность узнавать, каким третьим лицам раскрываются их данные, а также требовать исправления или удаления информации.
- Регламент устанавливает более жесткие правила обмена персональными данными пользователей. В частности, компании обязали уведомлять регулирующие органы о любых нарушениях регламента в течение 72 часов после их обнаружения.
- Максимальный штраф за его нарушение GDPR — 4% от глобального оборота компании.
C момента вступления GDPR в силу европейские регуляторы получили более 281 тыс. уведомлений об утечках данных и наложили штрафов на сумму более €255 млн. Самым крупным из них стал штраф в $50 млн, который Франция наложила на Google в 2019 году. Компанию обвинили в нарушении прозрачности при получении согласия на обработку и использование персональных данных пользователей.