Защита персональных данных в условиях цифровизации: эволюция и современное состояние
Гатиятуллина Эльмира Маратовна
аспирант, Университет управления «ТИСБИ», [email protected]
Статья представляет собой исследование текущего состояния правового регулирования защиты персональных данных в контексте цифровой эпохи. Статья основывается на анализе понятия персональных данных и их значения в современном цифровом мире, и рассматривает историю развития законодательства о персональных данных в России.
Автор статьи подробно изучает основные нормативные акты, регулирующие защиту персональных данных в России, и выявляет основные принципы, заложенные в законодательстве. В частности, рассматривается анализ прав субъектов персональных данных и их основные гарантии.
Особое внимание уделяется проблемам, связанным с правовым регулированием защиты персональных данных в цифровой эпохе. Автор статьи выявляет неоднозначность и недостаточную прозрачность саморегулирования платформ, различие в стандартах и несоответствие международным требованиям. Он приходит к выводу о необходимости улучшения законодательства и эффективного контроля над защитой персональных данных в цифровой среде.
Статья представляет интерес для специалистов в области права, информационных технологий, а также всех, кто интересуется проблемами защиты персональных данных в цифровой эпохе. Результаты исследования могут быть использованы для разработки новых подходов к правовому регулированию и защите персональных данных в современном цифровом обществе. Ключевые слова: защита персональных данных, цифровая эпоха, правовое регулирование, персональные данные, нормативные акты, принципы, права субъектов данных, проблемы, вызовы, саморегулирование, стандарты, международные требования.
Понятие персональных данных и их значение в цифровой эпохе
Определение понятия персональных данных в Российской Федерации закреплено в Федеральном законе от 27.07.2006 г. № 152-ФЗ «О персональных данных». Согласно данному закону, персональные данные определяются широким подходом и включают любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу - субъекту персональных данных.
Данное определение отличается от предыдущих законодательных определений персональных данных в Российской Федерации. Особенностью текущего определения является то, что к персональным данным относится информация, по которой нельзя без использования другой информации определить конкретное физическое лицо. Идентификация субъекта персональных данных не является обязательным условием для отнесения информации к персональным данным [3].
Законодательное определение персональных данных в России подразумевает, что персональные данные могут быть представлены в любой форме и могут включать различные виды информации, такие как имя, адрес, контактные данные, фотографии, биометрические данные, финансовая информация, медицинская информация и другие сведения, относящиеся к субъекту персональных данных.
Определение персональных данных включает как прямую информацию о субъекте, так и косвенную информацию, которая может быть связана с определенным физическим лицом. Например, данные о покупках или интересах пользователя в интернете могут быть косвенно связаны с его личностью. Персональные данные должны относиться к физическому лицу, то есть к субъекту персональных данных. Информация, которая не связана с физическим лицом, не является персональными данными в контексте данного определения.
В современном цифровом мире персональные данные приобретают все большее значение. Цифровая среда представляет собой информационное пространство, где информация может распространяться безгранично, копироваться и храниться без материального носителя. Однако эта среда ставит перед гражданами ряд сложностей, так как юрисдик-ционные границы на цифровую среду невозможно наложить.
В современных условиях цифрового пространства становится явным, что защита персональных данных должна быть приравнена к фундаментальным правам и свободам человека. Утечки персональных данных становятся все более распространенными, таких как «Яндекс.Еда», Delivery Club,
U
8) *
О X
О
а
8) О
т г
(О
сч о сч
(О
«Гемотест», СДЭК, причем утечка самой информации уже может представлять угрозу для граждан, независимо от того, использовались ли эти данные для противоправных действий. Часто украденные данные собираются в базы данных с целью их последующей перепродажи [2].
Случаи утечек персональных данных из крупных компаний, особенно в условиях удаленного формата работы, становятся все более частыми. Базы данных могут содержать информацию о пользователях, их адресах проживания, контактных данных и финансовой информации. Такие утечки могут привести к серьезным последствиям для граждан.
Законодательство не всегда успевает за развитием способов кражи персональных данных, что приводит к пробелам в регулировании защиты персональных данных. Преступления в сфере использования информационных технологий, связанные с утечкой персональных данных, обладают высокой степенью латентности и часто остаются нераскрытыми.
История развития правового регулирования защиты персональных данных в России
Развитие законодательства о персональных данных в России прошло несколько основных этапов, которые отразили значимые изменения и дополнения в правовой сфере защиты персональной информации.
В 1993 году в Российской Федерации были закреплены конституционные нормы, относящиеся к защите частной жизни и персональных данных. Часть 1 статьи 23 Конституции РФ гарантировала каждому право на неприкосновенность частной жизни, личную и семейную тайну, а статья 24 запрещала сбор, хранение и распространение информации о частной жизни человека. Эти статьи стали основой для развития законодательства о защите персональных данных в России.
В 1995 году был принят Федеральный закон РФ «Об информации, информатизации и защите информации». Этот закон установил основные требования и условия по обработке персональных данных. Однако, его функционирование до 2006 года было затруднено некоторыми проблемами, включая неопределенность в сфере социально-информационных отношений и охраны частной жизни.
В 2006 году был принят Федеральный закон «О персональных данных», который стал основным законодательным актом в сфере защиты персональных данных в России. Этот закон устанавливает основные принципы обработки персональных данных, права субъектов персональных данных, требования к операторам и другие нормы. Закон устанавливает требования к согласованию субъектов на обработку и предоставление их персональных данных, и предусматривает ответственность за нарушение норм закона. Принятие этого закона имело существенное значение для развития законодательства в области защиты персональных данных в России.
В последующие годы законодательство о персональных данных в России продолжало развиваться
в ответ на появление новых технологий и угроз безопасности. В 2014 году был принят Федеральный закон, вносящий изменения в отдельные законодательные акты в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях. Данный закон расширил обязанности Роскомнадзора по обеспечению конфиденциальности персональных данных российских граждан. Этот закон внес ряд изменений и дополнений в регулирование персональных данных, направленных на усиление контроля и защиты персональных данных в информационно-телекоммуникационных сетях. Он расширил требования к операторам персональных данных и ужесточил ответственность за нарушение правил обработки персональных данных [4].
В 2015 году вступил в силу Федеральный закон «О внесении изменений в Федеральный закон «Об информации, информатизации и защите информации» и отдельные законодательные акты Российской Федерации». Этот закон уточнил порядок обработки персональных данных в информационно-телекоммуникационных сетях и ввел новые требования к операторам персональных данных. Закон предусматривает обязанность операторов персональных данных указывать информацию о месте нахождения баз данных, в которых обрабатываются персональные данные российских граждан.
В 2016 году был утвержден Указ Президента РФ о Доктрине информационной безопасности Российской Федерации. Этот правовой акт детализировал и конкретизировал основные положения защиты частной жизни, информационной политики и информационной безопасности в соответствии с национальными интересами страны.
В 2017 году были внесены поправки в Кодекс об административных правонарушениях РФ, увеличивающие штрафы за нарушения в области защиты персональных данных. Это свидетельствует о стремлении законодателей к более эффективной защите персональных данных и повышению юридической ответственности для нарушителей.
Существующее законодательство о персональных данных в России имеет некоторые положительные аспекты, такие как определение основных прав и обязанностей субъектов персональных данных и операторов, установление требований к обработке персональных данных и ответственности за нарушение закона.
Одной из основных проблем существующего законодательства является его недостаточная адаптация к изменяющимся технологическим и социальным реалиям. В цифровой эпохе появляются новые способы сбора, хранения и использования персональных данных, и возникают новые риски связанные с киберпреступностью и нарушением конфиденциальности данных.
Основные принципы правового регулирования защиты персональных данных в России
Законодательство о персональных данных в России основывается на нескольких принципах, зало-
женных в законодательных актах. Основная законодательная основа в этой области представлена Федеральным законом № 152-ФЗ, который регулирует обработку, хранение и доступ к персональным данным. Цель данного закона заключается в обеспечении защиты прав и свобод человека и гражданина при обработке его персональных данных, включая защиту прав на неприкосновенность частной жизни и личную тайну.
В закон внесены поправки, вступившие в силу с 1 марта, которые запрещают операторам размещать и распространять персональные данные без согласия субъекта данных. Теперь владелец данных самостоятельно определяет, какая информация может быть использована публично, а какая должна оставаться приватной. Он имеет право указать срок действия согласия или потребовать прекращения передачи своих персональных данных третьим лицам или обратиться в суд.
Ключевой в законодательстве является статья 14, которая предусматривает право субъектов персональных данных требовать блокировки или удаления своих данных у оператора. Теперь для этого нет необходимости доказывать неполноту, устарелость, недостоверность или незаконное получение данных. Субъекты имеют право на блокировку или удаление своих персональных данных просто потому, что они являются их персональными данными. Это значительно повышает ответственность операторов персональных данных.
Операторы персональных данных обязаны незамедлительно информировать уполномоченные органы о кибератаках и утечках данных. Информирование происходит в два этапа: в течение суток описываются скомпрометированные данные, а в течение трех суток предоставляются результаты внутренней проверки. Операторы должны сообщать о намерении передачи персональных данных за рубеж, и в некоторых случаях такая передача может быть ограничена [5].
Другой не менее значимый закон, связанный с персональными данными, это Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации». В нем содержится статья 15.5, которая устанавливает порядок ограничения доступа к информации, обрабатываемой с нарушением законодательства о персональных данных. В соответствии с этой статьей создается реестр нарушителей прав субъектов персональных данных, в который включаются ресурсы, нарушившие закон о персональных данных.
Законодательство о персональных данных предусматривает ответственность за нарушение правил обращения с персональными данными. В КоАП и УК РФ установлены соответствующие статьи, которые предусматривают административные и уголовные наказания для нарушителей. Например, в КоАП предусмотрена статья 13.11 «Нарушение законодательства Российской Федерации в области персональных данных», которая может быть наказана штрафом до 18 миллионов рублей. В УК РФ есть статья 137 «Нарушение неприкосновенности
частной жизни», которая может применяться в случае нарушения правил обращения с персональными данными.
Субъекты персональных данных обладают рядом основополагающих прав, которые обеспечивают им контроль над своими личными данными и защиту их прав и свобод. В соответствии с федеральным законодательством о персональных данных в России (Федеральный закон от 27 июля 2006 г. № 152-ФЗ), эти права гарантируются и могут быть осуществлены субъектами персональных данных.
Первое из этих прав - право на информацию. Субъект персональных данных имеет право на получение информации от оператора о наличии и обработке его персональных данных. Это включает информацию о целях, способах и условиях обработки данных. Такое право позволяет субъекту быть осведомленным о том, какие данные собираются и как они используются.
Далее, субъект персональных данных имеет право на доступ к своим персональным данным. Он может требовать получения копий своих данных и ознакомления с ними. Это право обеспечивает субъекту возможность контролировать точность и полноту его персональных данных, и понимать, какие именно данные обрабатываются.
Субъект имеет право на исправление своих персональных данных. Если данные являются неполными, устаревшими, неточными или незаконно полученными, субъект может требовать их исправления или уточнения. Это право помогает обеспечить актуальность и достоверность персональных данных субъекта.
Субъект персональных данных имеет право на блокировку или удаление своих персональных данных. Если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, субъект может потребовать их блокировки или удаления. Это право дает субъекту контроль над своими данными и позволяет ему управлять их использованием [7].
Дополнительно, субъект персональных данных имеет право на ограничение обработки своих данных. В случаях, когда точность данных оспаривается или обработка является незаконной, субъект может требовать ограничения обработки своих персональных данных. Это право обеспечивает защиту прав и интересов субъекта в ситуациях, когда обработка данных вызывает сомнения или вопросы.
Субъект персональных данных имеет право на переносимость данных. Это означает, что субъект может требовать получить свои персональные данные, предоставленные одним оператором, и передать их другому оператору. Такое право позволяет субъекту легко перемещаться между различными сервисами и организациями, сохраняя контроль над своими данными.
Наконец, субъект персональных данных имеет право на обжалование неправомерной обработки своих данных. Если субъект считает, что его персональные данные обрабатываются неправомерно или нарушают его права, он имеет право обратиться
и
и *
о х
а
а
и о т
V
(О
сч о сч
(О
в уполномоченный орган по защите персональных данных или в суд для защиты своих прав и интересов.
Все эти права предоставляют субъектам персональных данных возможность контролировать свои личные данные, защищать свои права и свободы, требовать соблюдения законодательства о персональных данных со стороны операторов.
Проблемы правового регулирования защиты персональных данных в цифровой эпохе
В цифровой эпохе правовое регулирование защиты персональных данных стало острой проблемой. С появлением цифровых платформ, принадлежащих крупным интернет-компаниям, объем персональных данных значительно увеличился. Эти платформы действуют в различных сферах, таких как социальные сети, игры, экономические и цифровые платформы.
Цифровые платформы разрабатывают собственные стандарты регулирования, которые прослеживаются в пользовательских соглашениях, политиках конфиденциальности и дополнительных соглашениях. Эти документы представляют собой внутрикорпоративные решения и не обсуждаются с пользователями. Пользователи могут только присоединиться и согласиться с установленными правилами.
Однако такое саморегулирование сферы защиты данных имеет некоторые проблемы. Во-первых, нормы соглашений являются гибкими и не указывают на конкретные нормы, что оставляет место для различных толкований. Во-вторых, основным условием предоставления данных является согласие пользователей, но эти соглашения часто формулируются неясно или с использованием юридического жаргона, что затрудняет понимание пользователем сути и последствий предоставления данных. В-третьих, существует отсылка к законодательству, однако такие нормы содержат отсылку к собственным правилам платформы, что может привести к несоответствию с международными и национальными требованиями [1].
Внутрикорпоративное саморегулирование не всегда учитывает все международные требования. Некоторые компании следуют нормам общего регламента по защите данных (GDPR), однако не все платформы придерживаются таких стандартов или необходимых требований [6].
Пользовательские соглашения и политики конфиденциальности могут различаться в зависимости от платформы. Некоторые компании более точно прописывают предмет соглашения и цели обработки данных, в то время как другие документы могут быть менее конкретными.
В связи с этим возникают проблемы с защитой персональных данных пользователей. Некоторые пользователи могут не осознавать, какие данные собираются и как они будут использоваться. Возникает вопрос о контроле и управлении своими данными, особенно при трансграничной передаче данных.
Проблемы правового регулирования защиты персональных данных в цифровой эпохе связаны с неоднозначностью и недостаточной прозрачностью саморегулирования платформ, различием в стандартах и несоответствием международным требованиям. Это подчеркивает необходимость улучшения законодательства и эффективного контроля над защитой персональных данных в цифровой среде. В связи со сложностью определения юрисдикцион-ных границ цифровой среды использование персональных данных в цифровой среде носит трансграничный характер. Национальное законодательство различных стран также разнится в подходах к обеспечению защиты данных своих граждан, в этом случае совместная работа по определению некоторых основополагающих положений, которые обеспечили бы соблюдение прав субъектов персональных данных, могла бы стать основой для создания единого международного стандарта защиты персональных данных в цифровой среде. С учетом изложенного видится необходимым разработка и создание международных стандартов, определяющих требования к защите персональных данных в цифровой среде.
Литература
1. Гонтарь Л. О. Защита персональных данных в условиях развития интернет-компаний: международно-правовое регулирование vs саморегулирование // Труды по интеллектуальной собственности. 2021. Т. 37. № 1-2. С. 134.
2. Дмитриева Е. Г. Проблемы защиты персональных данных в цифровом мире и пути их решения // Право и бизнес. 2021. № 3.
3. Мираев А.Г. Понятие персональных данных в Российской Федерации и Европейском союзе // Юридическая наука. 2019. №5. URL: https://cyberlenmka.m/artide/n/ponyatie-personalnyh-dannyh-v-rossiyskoy-federatsii-i-evropeyskom-soyuze (дата обращения: 23.05.2023).
4. Сексте Я.А., Маркевич А.С. — Проблемы становления и развития института защиты персональных данных в РФ: историко-правовой аспект // Вопросы безопасности. - 2020. - № 4. - С. 28 - 35. DOI: 10.25136/2409-7543.2020.4.33798 URL: https://nbpublish.com/library_read_article.php?id=3379 8
5. Соколова М. Защита персональных данных: международные принципы и стандарты. 2015 // D0I:10.13140/RG.2.1.1895.8565
6. Солдатова В. И. Защита персональных данных в условиях применения цифровых технологий // Lex Russica. 2020. №2 (159). URL: https://cyberleninka.ru/article/n/zaschita-personalnyh-dannyh-v-usloviyah-primeneniya-tsifrovyh-tehnologiy (дата обращения: 23.05.2023).
7. Сычева М. И. Проблемы правового регулирования защиты персональных данных в сети Интернет // Международный журнал гуманитарных и естественных наук. — 2022. — № 10-3 (73). — С. 175— 178.
Protection of Personal Data in the context of digitalization: evolution and current state
Gatiyatullina E.M.
University of Management "TISBI"
This article presents a study on the current state of legal regulation regarding the protection of personal data in the context of the digital era. Based on an analysis of the concept of personal data and their significance in the modern digital world, the article examines the history of personal data legislation in Russia.
The author delves into the important regulatory acts governing the protection of personal data in Russia, highlighting the fundamental principles embedded in the legislation. Specifically, an analysis of the rights of data subjects and their main guarantees is conducted.
Significant attention is given to the challenges associated with the legal regulation of personal data protection in the digital era. The article identifies issues of ambiguity and insufficient transparency in platform self-regulation, disparities in standards, and non-compliance with international requirements. The author concludes that there is a need for improved legislation and effective control over the protection of personal data in the digital environment.
This article is of interest to legal professionals, information technology experts, and anyone concerned with the issues of personal data protection in the digital era. The research findings can be utilized to develop new approaches to legal regulation and safeguarding personal data in the modern digital society.
Keywords: personal data protection, digital era, legal regulation, personal data, regulatory acts, principles, data subject rights, issues, challenges, self-regulation, standards, international requirements.
References
1. Gontar L.O. Protection of Personal Data in the Development of Internet Companies: International Legal Regulation vs Self-Regulation // Intellectual Property Proceedings. 2021. Vol. 37. No. 1-2. P. 134.
2. Dmitrieva E.G. Problems of Personal Data Protection in the Digital World and Ways to Solve Them // Law and Business. 2021. No. 3.
3. Miraev A.G. The Concept of Personal Data in the Russian Federation and the European Union // Legal Science. 2019. No. 5. URL: https://cyberleninka.ru/article/n/ponyatie-personalnyh-dannyh-v-rossiyskoy-federatsii-i-evropeyskom-soyuze (accessed: May 23, 2023).
4. Sexte Ya.A., Markevich A.S. - Problems of Formation and Development of the Personal Data Protection Institute in the Russian Federation: Historical and Legal Aspect // Security Issues. - 2020. - No. 4. - P. 28-35. DOI: 10.25136/2409-7543.2020.4.33798 URL: https://nbpublish.com/library_read_article.php?id=33798
5. Sokolova M. Protection of Personal Data: International Principles and Standards. 2015 // D0I:10.13140/RG.2.1.1895.8565
6. Soldatova V.I. Protection of Personal Data in the Application of Digital Technologies // Lex Russica. 2020. No. 2 (159). URL: https://cyberleninka.ru/article/n/zaschita-personalnyh-dannyh-v-usloviyah-primeneniya-tsifrovyh-tehnologiy (accessed: May 23, 2023).
7. Sycheva M.I. Problems of Legal Regulation of Personal Data Protection on the Internet // International Journal of Humanities and Natural Sciences. -2022. - No. 10-3 (73). - P. 175-178.
u
a) *
o x
00 a
a) o
T V