Аджиева З.И.
Кандидат исторических наук, доцент кафедры государственные и административно-правовые дисциплины, Юридический институт Северо-Кавказская государственная академия.
Ногайлиева М.Х.
Кандидат философских наук, доцент кафедры государственного и муниципального управления и политологии,
Факультет экономики и управления, Карачаево-Черкесский государственный университет имени УД. Алиева.
Кубанов М.Б.
Студент Института цифровых технологий, Северо-Кавказская государственная академия.
Актуальные аспекты правового регулирования защиты персональных данных
Защита персональных данных стала одной из ключевых тем в современном обществе, где цифровизация проникает во все сферы жизни. Неотъемлемой частью этого процесса является правовое регулирование, направленное на обеспечение конфиденциальности, целостности и доступности личной информации граждан. Важность защиты персональных данных становится более очевидной, когда мы осознаем, какие информационные богатства хранятся в электронном формате. Эти данные могут содержать важную информацию о здоровье, финансовом положении, личных привычках и предпочтениях. Утечка таких данных может повлечь за собой серьезные последствия, включая финансовые потери, шантаж, дискредитацию и нарушение личной приватности.
В сфере бизнеса, где сбор и анализ данных стали неотъемлемой частью стратегии, утрата или утечка данных также может привести к значительным убыткам. Компании, которые не могут обеспечить надежную защиту персональных данных своих клиентов, подвергаются риску утраты доверия, а также могут быть подвергнуты судебным и финансовым последствиям.
Важно отметить, что не только финансовые и деловые организации имеют доступ к персональным данным. Правительства и их агентства
Юриспуденция
также собирают и анализируют большие объемы данных о гражданах в целях обеспечения национальной безопасности и соблюдения законов. Поэтому гарантировать, что эти данные хранятся и обрабатываются с соблюдением прав и свобод граждан, является важным аспектом правовой и социальной справедливости.
Существует разнообразие подходов стран к регулированию персональных данных, варьирующихся от строгой защиты конфиденциальности до отсутствия практически любых ограничений на анонимность в сетевых взаимодействиях. Интересно отметить, что в определенных ситуациях раскрытие персональных данных становится эффективным средством защиты интеллектуальных прав. Такая мера требуется при выявлении лиц, распространяющих контрафактные произведения, а также при внедрении систем контроля и фильтрации трафика, запретах на доступ к определенным сайтам для пользователей из определенных регионов, установлении прав доступа к контенту для различных групп пользователей и в других случаях.
Однако, с развитием технологий появляются новые вызовы для защиты персональных данных. Интернет вещей (IoT), искусственный интеллект (AI), блокчейн и другие инновации расширяют возможности сбора и анализа информации, что увеличивает риски утечек данных и нарушений конфиденциальности. Защита персональных данных стала приоритетной задачей в современном мире, и ее важность лишь увеличивается с течением времени.
Многие страны и регионы установили свои законы по защите персональных данных, однако существуют и международные нормы, регулирующие этот вопрос. Одним из основных аспектов таких законов является требование согласия субъекта данных на сбор и использование их информации. Компании должны ясно и понятно информировать пользователей о том, как их данные будут использоваться, и получать их согласие на этот процесс. Кроме того, субъекты данных имеют право на доступ к своей информации, право на ее исправление и право быть «забытым» -удалить свои данные из систем компаний.
Например, Общий регламент по защите данных General Data Protection Regulation, принятый Европейским Союзом, стал образцовым документом для многих стран и регионов. Введенный в действие в мае 2018 года GDPR устанавливает принципы, требования и штрафы для организаций, которые собирают и обрабатывают персональные данные граждан ЕС. В России существует свой аналог Европейского Общего регламента
по защите данных (GDPR), который регулирует вопросы защиты персональных данных - Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Этот закон был принят для регулирования сбора, обработки и хранения персональных данных в России и устанавливает основные принципы и требования, сходные с GDPR.
Важно отметить, что ФЗ от 27 июля 2006 г. № 152-ФЗ и GDPR имеют различия, и они применяются к разным юрисдикциям. Вот некоторые ключевые различия между Общим регламентом по защите данных (GDPR) и ФЗ от 27 июля 2006 г. № 152-ФЗ.
Если рассматривать допустимость сбора данных, то в GDPR, сбор персональных данных разрешен только при наличии одной из шести юридических оснований, включая согласие субъекта данных. Организации обязаны четко и понятно объяснять цели сбора данных и получать согласие от субъектов данных. В ФЗ от 27 июля 2006 г. № 152-ФЗ также установлены строгие правила для сбора и обработки персональных данных, включая требование получения согласия субъекта.
Оба законодательства предоставляют субъектам данных ряд прав, включая право на доступ к своим данным, их исправление, удаление и передачу другой организации. Однако GDPR вводит дополнительное право на передачу данных (портабельность), которое отсутствует в российском законодательстве.
И GDPR, и ФЗ от 27 июля 2006 г. № 152-ФЗ требуют от организаций уведомления о нарушениях безопасности данных. Однако GDPR требует уведомления в течение 72 часов после обнаружения инцидента, в то время как ФЗ от 27 июля 2006 г. № 152-ФЗ требует уведомления «не позднее чем через три рабочих дня».
Также оба законодательства предусматривают штрафы за нарушения, но штрафы за нарушение GDPR могут быть значительно выше, чем штрафы по российскому законодательству. И GDPR, и ФЗ от 27 июля 2006 г. № 152-ФЗ устанавливают правила для передачи данных за пределы своих юрисдикций. Однако они могут иметь разные требования к стандартам и мерам безопасности при международной передаче данных.
По срокам хранения данных в GDPR устанавливается обязанность хранить данные только в течение необходимого срока. В российском законодательстве сроки хранения данных также определены и зависят от целей обработки данных.
Процедуры оценки воздействия на защиту данных (Data Protection Impact Assessment): в GDPR предусматриваются процедуры DPIA для
оценки воздействия на защиту данных. В российском законодательстве такое требование отсутствует [7].
Юридический аспект защиты персональных данных также включает в себя вопрос о согласии субъектов данных на сбор и обработку их информации. Законы обязывают организации получать явное и информированное согласие от лиц, чьи данные они собирают. Субъекты данных имеют право на доступ к своим данным, их исправление и удаление, а также право на забвение.
В мировой экономике пересечение границ стало нормой, и это затрагивает также передачу персональных данных. Законы о защите данных содержат правила о передаче персональных данных за пределы страны или региона. Эти правила обязывают организации соблюдать определенные стандарты и меры безопасности при международной передаче данных.
Так, Постановление Правительства РФ № 24 от 16.01.2023 определяет условия запрета на передачу персональных данных за границу:
- Отсутствие защиты данных со стороны органов другой юрисдикции.
- Вхождение юридического лица из другой юрисдикции в список запрещенных организаций на территории России.
- Отнесение юридического лица из другой юрисдикции к категории нежелательных организаций в России.
- Несоответствие передачи данных их первоначальным целям сбора [6].
Многие юрисдикции также устанавливают требования к обязательной
отчетности о нарушениях данных. Организации обязаны уведомлять регуляторов и субъектов данных в случае утечки или нарушения безопасности данных. Это способствует более прозрачной и ответственной обработке данных.
Но, несмотря, на принятые меры утечка персональных данных является одной из главных проблем на сегодняшний день. Так, в мае 2022 года стало известно о факте утечки данных пользователей DeliveryQub. Компания подтвердила, что в открытый доступ попала частичная база данных, содержащая информацию о заказах более миллиона пользователей. Это включало в себя различные данные о клиентах доставки, вызвав озабоченность среди пользователей. Также в 2022 году произошла утечка личных данных сотрудников медицинских лабораторий «Гемотест», что вызвало волнение и подняло вопросы о безопасности обработки медицинских данных. В августе 2022 года случилась утечка данных клиентов Tele2, когда в открытый доступ попали личные данные 7,5 миллионов
абонентов. Эта информация включала в себя ФИО, пол, номера телефонов и прочие личные сведения. В июле того же года стали известны случаи утечек персональных данных как сотрудников «Билайна», так и клиентов «Почты России». В первом случае доступ к информации из корпоративного справочника получил каждый сотрудник, а во втором - в открытый доступ попала личная информация клиентов почтовой службы.
В марте 2022 года произошла утечка данных «Яндекс.Еды». Похищены были данные почти 50 миллионов пользователей сервиса, включая фамилии, номера телефонов, адреса доставок, комментарии к заказам и даже суммы чеков. Утечка произошла в результате атаки на стороннюю 1Т-ин-фраструктуру внешнего хостинга, где стояли виртуальные серверы. И это данные только за 2022 год.
Эти случаи подчеркивают важность обеспечения надежной защиты данных в различных сферах, чтобы предотвращать возможные утечки и соблюдать конфиденциальность личной информации.
В России существует законодательная база, направленная на обеспечение безопасности персональных данных в цифровом пространстве, особенно в Интернете. Одним из ключевых документов в этой области является Федеральный закон «Об информации, информационных технологиях и защите информации» от 27.07.2006 № 149-ФЗ, известный как Закон об информации. Этот закон определяет не только сущность информационно-телекоммуникационных сетей, включая Интернет, но также регулирует вопросы сертификации, разработки программ для обеспечения информационной безопасности, а также внедрения современных систем аутентификации пользователей на различных онлайн-сервисах [2].
Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» содержит еще одно важное положение, связанное с обработкой персональных данных. Речь идет о статье 15.5, которая устанавливает порядок ограничения доступа к информации, обрабатываемой с нарушением законодательства о персональных данных. В соответствии с этой статьей создается реестр лиц, нарушивших права субъектов персональных данных. В этот реестр включаются ресурсы, нарушившие законы о персональных данных [3].
Особое внимание привлекли общественные дискуссии и споры, вызванные так называемым «Пакетом Яровой», в отношении требований к хранению данных и их передаче спецслужбам. Приведенные выше примеры наглядно иллюстрируют разнообразные угрозы и последствия утечек персональных данных в различных секторах. В современном
мире обеспечение защиты данных становится вопросом первостепенной важности, требующим внимания как со стороны специалистов в области информационных технологий, так и со стороны юристов и законодателей.
Из всего выше описанного возникает вопрос: «Как решить проблему защиты персональных данных?». Команда Digital Rights Center (это объединение профессиональных юристов в сфере киберправа (IT & IP)) в статье на Хабре обсуждают различные методы защиты персональных данных, включая разработку организационных и технических мер для обеспечения необходимого уровня защищенности, которые включают в себя:
- Определение требуемого уровня защиты - это первый шаг в процессе разработки мер защиты. Он включает в себя оценку типов данных, которые обрабатываются, и уровня риска, связанного с их обработкой.
- Разработка организационных мер - может включать в себя создание политик и процедур для обработки и хранения данных, а также обучение персонала основам безопасности информации.
- Разработка технических мер, что может включать в себя использование технологий безопасности, таких как шифрование, аутентификация и системы обнаружения вторжений, для защиты данных от несанкционированного доступа.
- Выбор наиболее эффективных средств защиты. После определения требуемого уровня защиты и разработки возможных мер следует выбрать наиболее эффективные средства для достижения этого уровня.
Эти методы могут быть применены в различных комбинациях в зависимости от конкретных потребностей организации и типа, обрабатываемых данных.
С одной стороны, IT-специалисты разрабатывают новейшие технологии и методы для обеспечения безопасности данных: от современных алгоритмов шифрования до многопользовательских систем контроля доступа и антивирусных программ. Однако, технологии одни по себе не способны обеспечить полную защиту без соответствующего правового регулирования.
С другой стороны, юридическая система должна быстро реагировать на изменения в IT-сфере, создавая соответствующие законы и регулятивные акты, которые обеспечивают защиту прав граждан и интересов компаний. Это задача особенно сложная, учитывая быстрый темп развития технологий [1].
В 2017 году внесены поправки в Кодекс об административных право-
нарушениях РФ, приводящие к увеличению штрафов за нарушения в области защиты персональных данных. Это свидетельствует о стремлении законодателей к более эффективной защите персональных данных и увеличению юридической ответственности нарушителей. Примеры утечек персональных данных, такие как утечка в БасеЬоок или в Яндекс, подчеркивают неотложную потребность в усилении мер безопасности. Эти инциденты также являются напоминанием о том, что важность интеграции технологий и законодательства не может быть недооценена [4].
Различные компании, такие как Яндекс.Еда, БеНуегуОиЬ и сеть лабораторий «Гемотест», столкнулись с нарушением конфиденциальности пользовательских данных, что привело к наложению штрафов в размере от 60 до 80 тысяч рублей.
Однако, несмотря на наличие штрафов, которые, кажется, невелики для компаний такого уровня, данная ситуация указывает на проблему в подходе к безопасности данных. Штрафы становятся всего лишь небольшой финансовой наградой для компаний, в сравнении с потенциальными убытками от утечек данных. Вместо того чтобы активно предотвращать утечки, компании предпочитают оплачивать штрафы.
Это подчеркивает необходимость более строгих и эффективных мер по обеспечению безопасности данных. Штрафы должны быть достаточно значительными, чтобы стимулировать компании внедрять эффективные меры безопасности и защищать личные данные клиентов. Только тогда можно ожидать, что компании будут активно работать над предотвращением утечек, вместо того чтобы рассматривать штрафы как стандартные операционные издержки.
В заключении следует подчеркнуть, что задача обеспечения защиты персональных данных является совместной ответственностью всего сообщества: от разработчиков и 1Т-специалистов до законодателей и регулятивных органов.
Борьба с угрозами для защиты персональных данных требует не только обновления законодательства, но и повышения осведомленности и обучения общества. Это касается как граждан, так и компаний. Разработка и внедрение эффективных мер безопасности, шифрование данных, а также постоянное обновление систем защиты становятся необходимостью для минимизации рисков [5].
В современном мире защита персональных данных не просто технический аспект, а ключевой элемент доверия и этического обязательства перед обществом. Постоянное обсуждение и совершенствование право-
вого регулирования в этой области являются важными шагами для обеспечения баланса между инновациями и защитой личной информации граждан.
Список литературы:
1. Абдулова Э.Д. Правовое регулирование в сфере защиты персональных данных // Молодой ученый. 2022. № 5 (400). С. 151-154. // URL: https://moluch.ru/archive/400/88506/ (Дата обращения: 15.11.2023).
2. Васильева Ж.С., Медведев В.А. Тенденции развития законодательства в сфере защиты персональных данных // Вестник РУК. 2017. № 2 (28). // URL: https://cyberleninka.ru/article/n/tendentsii-razvitiya-zakonodatelstva-v-sfere-zaschity-personalnyh-dannyh (Дата обращения: 15.11.2023).
3. Гатиятуллина Э.М. Защита персональных данных в условиях цифровизации: эволюция и современное состояние // Закон и власть. 2023. № 3. // URL: https://cyberleninka.ru/article/n/zaschita-personalnyh-dannyh-v-usloviyah-tsifrovizatsii-evolyutsiya-i-sovremennoe-sostoyanie (Дата обращения: 15.11.2023).
4. Казакевич Е.И., Губин Е.П. Защита прав и свобод человека при обработке персональных данных в период цифровой трансформации // Уральский журнал правовых исследований. 2022. № 4 (21). // URL: https://cyberleninka.ru/article/n/zaschita-prav-i-svobod-cheloveka-pri-obrabotke-personalnyh-dannyh-v-period-tsifrovoy-transformatsii (Дата обращения: 15.11.2023).
5. Мираев А.Г. Понятие персональных данных в Российской Федерации и Европейском союзе // Юридическая наука. 2019. № 5. // URL: https://cyberlenmka.m/artide/n/ponyatie-personalnyh-dannyh-v-rossiyskoy-federatsii-i-evropeyskom-soyuze (Дата обращения: 23.11.2023).
6. Селюк А.С. Защита персональных данных в цифровом пространстве // Вестник Университета имени О. Е. Кутафина. 2023. № 2 (102). // URL: https://cyberleninka.ru/article/n/zaschita-personalnyh-dannyh-v-tsifrovom-prostranstve (Дата обращения: 15.11.2023).
7. Сычева М.И. Проблемы правового регулирования защиты персональных данных в сети Интернет // Международный журнал гуманитарных и естественных наук. 2022. № 10-3 (73). С. 175-178.
Bibliography
1. Abdulova E.D. Legal regulation in the field of personal data protection // Young scientist. 2022. № 5 (400). P. 151-154. // URL: https:// moluch.ru/archive/400/88506/ (11.15.2023).
2. Vasilyeva Zh.S., Medvedev V.A. Trends in the development of legislation in the field of personal data protection // Bulletin of RUK. 2017. № 2 (28). // URL: https://cyberleninka.ru/article/n/tendentsii-razvitiya-zakonodatelstva-v-sfere-zaschity-personalnyh-dannyh (11.15.2023).
3. Gatiyatullina E.M. Protection of personal data in the context of digitalization: evolution and current state // Law and power. 2023. № 3. // URL: https://cyberleninka.ru/article/n/zaschita-personalnyh-dannyh-v-usloviyah-tsifrovizatsii-evolyutsiya-i-sovremennoe-sostoyanie (11.15.2023).
4. Kazakevich E.I., Gubin E.P. Protection of human rights and freedoms when processing personal data during the period of digital transformation // Ural Journal of Legal Research. 2022. № 4 (21). // URL: https://cyberleninka.ru/article/n/zaschita-prav-i-svobod-cheloveka-pri-obrabotke-personalnyh-dannyh-v-period-tsifrovoy-transformatsii (11.15.2023).
5. Miraev A.G. The concept of personal data in the Russian Federation and the European Union // Legal science. 2019. № 5. // URL:
https://cyberlenmka.m/artide/n/ponyatie-personalnyh-dannyh-v-rossiyskoy-federatsii-i-evropeyskom-soyuze (11.23.2023).
6. Selyuk A.S. Protection of personal data in the digital space // Bulletin of the O. E. Kutafin University. 2023. № 2 (102). // URL: https:// cyberleninka.ru/article/n/zaschita-personalnyh-dannyh-v-tsifrovom-prostranstve (11.15.2023).
7. Sycheva M.I. Problems of legal regulation of the protection of personal data on the Internet // International Journal of Humanities and Natural Sciences. 2022. № 10-3 (73). P. 175-178.