CC BY
75
УДК 528.71
DOI 10.33764/2618-981X-2022-8-2-113-117
Сравнительный анализ законодательства в области защиты персональных данных в Российской Федерации и Евросоюзе
Е. А. Овчинникова1 *
1 Сибирский государственный университет геосистем и технологий, г. Новосибирск,
Российская Федерация
* e-mail: 9538685137@mail.ru
Аннотация. В Статье сравниваются некоторые аспекты правового регулирования (позитивное и санкционное) в области персональных данных Российской Федерации и Европейского Союза. Отмечается адаптированность российского законодательства о персональных данных (в части позитивного регулирования) к европейскому.
Ключевые слова: персональные данные, законодательство, GDPR, административный штраф, субъект персональных данных, оператор, контролер
Comparative analysis of personal data law in the Russian Federation and the European union
Е. А. Ovchinnikova1 *
1 Siberian State University of Geosystems and Technologies, Novosibirsk, Russian Federation
* e-mail: 9538685137@mail.ru
Abstract. The article compares some aspects of legal regulation (positive and sanctions) in the field of personal data of the Russian Federation and the European Union. The adaptation of the Russian legislation on personal data (in terms of positive regulation) to the European one is noted.
Keywords: personal data, law, GDPR, administrative fine, subject of personal data, operator, controller
Введение
В работе дается общая характеристика некоторых аспектов законодательства о персональных данных (ПД) РФ и Евросоюза, приводятся общие и отличительные особенности.
Основные источники права в области персональных данных РФ и ЕС
Европейское законодательство: Регламент Европейского Парламента и Совета Европейского Союза 2016/679 от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных / General Data Protection Regulation /GDPR). Указанный документ в силу обозначенной области применения является базовым нормативным правовым актом в области персональных данных не только в Евросоюзе, но и в мире [2].
Законодательство РФ: Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» является базовым источником права о персональных данных в Российской Федерации. Указанный закон в силу объективных факторов значительным образом адаптирован к европейским нормам [4].
Сравнительный анализ правовых норм в области персональных данных РФ и ЕС
Одной из наиболее важных особенностей ОБРЯ является его область применения (пределы действия), которая попросту закрепляет за ним статус экстерриториальности.
Пределы действия ОБРЯ по объекту правового регулирования [2]:
• обработка персональных данных в автоматизированных системах;
• обработка персональных данных при частичном использовании автоматизированных средств;
• обработка персональных данных иными способами, которые по своему содержанию близки к автоматизированным (в этом случае ПД являются частью файловой системы или имеют целью стать частью файловой системы);
Следует отметить, что в таком изложении область регулирования не имеет четких очертаний, то есть является неограниченной, что затрудняет установление юрисдикции и имеет немаловажное значение для участников обозначенных отношений. Так, например, предусмотренные ОБРЯ санкции гораздо более существенные, нежели те, которые применяются в России.
Пределы действия ОБРЯ по субъекту правового регулирования [2]:
• граждане ЕС - субъекты персональных данных, проживающие на территории ЕС;
• граждане ЕС - субъекты персональных данных, которые не проживают на территории ЕС, их персональные данные обрабатываются не на территории ЕС;
• неграждане ЕС - субъекты персональных данных, находящиеся на территории ЕС;
• неграждане ЕС, персональные данные которых обрабатываются на территории ЕС;
• контролер и оператор (обрабатывает персональные данные), осуществляющий свою деятельность на территории ЕС.
Круг субъектов, на которых распространяется действие ОБРЯ практически неограничен. Так, например, негражданин ЕС осуществляет торговую деятельность через сеть Интернет и продает свой товар на территории ЕС. Соответственно, его клиенты - субъекты персональных данных находятся в юрисдикции ЕС, на них объективно распространяется действие ОБРЯ. Рассмотрим частный случай. Товар отправляется через логистическую компанию (по почте) и включает курьерскую доставку, персональные данные курьера отправителем не обрабатываются. Но при этом на организацию-отправителя распространяются правила, предусмотренные ОБРЯ, в том числе и санкции.
Именно в силу указанных обстоятельств и неоднозначности в определении субъекта с целью защиты граждан российское законодательство максимально адаптировано к европейскому, что дает возможность индивидуальным предпринимателям и юридическим лицам не «ломать» голову над каждым отдельным случаем, не приспосабливаться к двум законодательным систем и не платить огромные штрафы.
Пределы действия ФЗ РФ «О персональных данных» по объекту правового регулирования [4]:
• информация о физическом лице, позволяющая прямо определить его личность;
• информация о физическом лице, способствующая косвенному определению его личности;
• персональные данные, обрабатываемые с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях;
• персональные данные, обрабатываемые без использования средств автоматизации, если обработка персональных данных без использования таких средств соответствует характеру действий, совершаемых с использованием средств автоматизации, позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях (более четкая формулировка нежели в GDPR).
К персональным данным относятся любые сведения, соответствующие определению персональных данных, а именно - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу - субъекту персональных данных [4].
Следует отметить, что согласно федеральному закону, категория персональных данных в качестве конфиденциальной (защищаемой) информации не имеет четко установленных пределов.
В случае с GDPR действует прецедентная практика, которая компенсирует нечеткость законодательства. Отечественная система работает иначе, и неопределенность нормативных предписаний существенно осложняет и ухудшает правоприменительную деятельность. Так, например, ФИО, номер телефона и др. по характеру сведений являются персональными данными, по юридической природе - нет, поскольку они общедоступны. Возникает вопрос: должны ли операторы их охранять? Ответ: конечно, должны. Другой вопрос, более сложный: какое решение принимать судье в случае утечки подобной информации? Данная проблема сегодня регулируется на правоприменительном уровне. Предлагается решение рассматривать персональные данные в определенном составе (следовательно, применять карательные меры), например: ФИО, e-mail, номер телефона. Состав сведений не регламентирован, определяется непосредственно правоприменительным органом.
Таким образом, неопределенность объекта усложняет правоприменительную практику и способствует незащищенности субъектов персональных данных и операторов, как в отношениях с регулятором, так и в судебной практике.
Второй существенной проблемой, основанной на первой, является определение санкционных мер. Следует напомнить, что санкции, применяемые в ЕС, значительным образом отличаются от российских. Рассмотрим некоторые примеры.
1. «2 августа 2017 г. заявитель воспользовался правом на доступ к своим персональным данным в компании Iberia (испанский авиаперевозчик). В частности, он запросил доступ к четырем записям телефонных разговоров 8, 9 и 11 августа 2017 года, на что компания ответила, что «не может удовлетворить его просьбу, кроме как по представлению судебного решения». Субъект подал жалобу в испанский надзорный орган, который установил, что было нарушено право субъекта и порядок взаимодействия с надзорным органом по ст. 58 GDPR. В итоге авиаперевозчик был оштрафован на 40 000 евро и согласился с санкцией» [1].
Что касается российского законодательства, непредоставление оператором персональных данных субъекту (затребованных в законном порядке) предусмотрено частью 4 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях и влечет административную ответственность в виде наложения штрафа на юридических лиц - от сорока тысяч до восьмидесяти тысяч рублей [3].
2. Компания British Airways была оштрафована на 204 110 000 € за нарушение статьи 32 GDPR о безопасности обработки персональных данных [1].
Невыполнение оператором обязанности по хранению персональных данных (ч. 8, ст. 13.11 КоАП) влечет наложение административного штрафа на юридических лиц - от одного миллиона до шести миллионов рублей [3].
Таким образом, очевидно, что санкции в ЕС и в России несопоставимы. Российский законодатель максимально гармонизировал позитивные нормы, что значительно упростило деятельность субъектов. Оператору нет необходимость классифицировать персональные данные по субъектному составу согласно GDPR (на всякий случай) и согласно ФЗ РФ «О персональных данных», а также разграничивать организационные и технические меры их обработке и защите.
Обсуждение
Работа содержит интерпретацию анализа некоторых аспектов правового регулирования персональных данных в Российской Федерации и Евросоюзе. Приведены примеры размеров административных штрафов, предусмотренных за нарушения в области персональных данных в РФ и ЕС.
Заключение
Глобальный характер современного информационного пространства приводит к определенным сложностям в жизни и деятельности всех субъектов правовой системы: граждан, юридических лиц, судебных и законодательных органов. Следует отметить, что далеко не всегда необходимо «перенимать» иностранную юри-
дическую практику, но в случае с персональными данными российский законодатель поступил наилучшим образом с точки зрения правоприменения, унифицировав нормативное регулирование. Кроме того, карательная практика, как видно, была адаптирована именно под отечественного субъекта.
Вместе с тем, позаимствованная из ОБРЯ нечеткость некоторых положений безусловно является негативным аспектом законодательства в области персональных данных.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. 12 самых известных штрафов за нарушение ОБРЯ - Режим доступа: Ьйр8://ёа1а-рг1уаеу-office.com/12-camyh-izvestnyh-shtrafov-za-narushenie-gdpr/ (дата обращения 10.04.2022 г.). -Текст: электронный.
2. ОБРЯ — новые правила обработки персональных данных в Европе для международного 1Т-рынка [Электронный ресурс] Юридическая помощь в цифровом пространстве, 6 декабря 2017. - Режим доступа: https://habr.com/ru/company/dlgltalrlghtscenter/blog/344064/ (дата обращения 10.04.2022 г.). - Текст: электронный.
3. Кодекс Российской Федерации об административных правонарушениях [федер. Закон: принят Гос. Думой 20 декабря 2001 г.: по состоянию на 2 октября 2018 г.]. - М.: Собрание законодательства Российской Федерации, 2002. - № 1 (часть. I). - ст. 1.
4. О персональных данных [ Федер. закон: принят Гос. Думой 8 июля 2006 г.: по состоянию на 2 июля 2021 г.]. - М.: Собрание законодательства Российской Федерации, 2006. - № 31. -Ч. 1. - ст. 3451.
© Е. А. Овчинникова, 2022
