Среда , Ноябрь 14 2018
Домой / Android / О персональных данных. Или как у них и что у нас?

О персональных данных. Или как у них и что у нас?

Twitter

Google+

Содержание

  • Введение
  • Что говорит закон
    У них – США и Европа
    У нас — Россия
  • Персональные данные и правоохранительные органы
    У них – США и Европа
    У нас — Россия
  • Заключение
  • Введение

    Заметка Эльдара о том, что Европейские законы запрещают делать фото людей на улицах, вызвала серьёзные споры в комментариях. Предлагаю разобраться, что это за зверь такой «персональные данные», как их хранят и пользуются ими в Евросоюзе, США и России, можно ли их передавать кому-то или куда-то еще, например, в другую страну. Не хочу, чтобы у нас получилось заседание кружка любителей сравнительного правоведения, поэтому буду стараться объяснить всё доступно, как говорится, на пальцах, и сознательно некоторые вещи буду упрощать.

    Действия человека в Интернете оставляют множество следов. «Ушлые компании» их собирают, накапливают, анализируют и затем продают всем желающим в обезличенном виде. Являются ли это персональными данными? Давайте разбираться.

    О персональных данных. Или как у них и что у нас?

    Что говорит закон

    Для начала определимся, что закон/законы различают общую обработку персональных данных и таковую, но осуществляемую компетентными органами в интересах безопасности (на самом деле там длинное и более точное название, интересующимся предлагаю посмотреть, например, директиву ЕС 2016/680).

    Предлагаю начать с общей обработки персональных данных.

    У них – США и Европа

    В США все просто и сложно одновременно. Там нет единого закона, регулирующего обработку персональных данных, нет единого определения персональных данных и т.д. В каждой сфере свой нормативный акт и свое определение. В них, конечно же, куча нюансов, просто так не разобраться. Например, закон о неприкосновенности частной жизни 1974 года запрещает служащим федеральных органов раскрывать содержание информации о гражданах частного характера без их письменного согласия. Закон Грэмма – Лича – Блайли 1999 года среди прочего регулирует защиту «частной персональной информации» банками, страховыми и иными компаниями в финансовой сфере. Упрощенно можно сказать, что основным принципом работы с персональными данными является недопустимость их использования для дискриминации на основе критериев расы, пола, вероисповедания, возраста и т.д.

    Разрешается трансграничная передача персональных данных, то есть их передача в другую страну при наличии соответствующего соглашения. По каждому обращению из-за границы принимается отдельное решение на передачу (или отказ в передаче). Такой договор у США есть, например, с Евросоюзом, но он почему-то применяется в основном в обратную сторону, из ЕС в США.

    О персональных данных. Или как у них и что у нас?

    В Евросоюзе, на всей его территории, действует упомянутый Эльдаром регламент GDPR (General data protection regulation 2016/679). Его требования распространяются только на юридических лиц. Он установил единые правила, регулирующие обработку персональных данных, во всех странах ЕС.

    В этом нормативном акте под персональными данными понимаются любая информация, которая позволяет идентифицировать физическое лицо прямо или косвенно. В регламенте подробно расписан порядок обработки персональных данных, организация этой работы и т.д. Нам, по идее, от него должно быть ни холодно ни жарко, ведь это требования к тем, кто живет и работает в Европе. Но действие этого правового акта распространяется за пределы Евросоюза, если обработка персональных данных связана с предложением товаров и услуг жителям ЕС или с мониторингом их действий/поведения. То есть любые Интернет-магазины, работающие для европейцев, или компании, предлагающие, например, персонифицированую рекламу в ЕС, должны озаботиться тем, чтобы привести свою деятельность в соответствие с этими нормами, а значит понести определенные расходы.

    По новому регламенту компании, которые занимаются обработкой персональных данных, должны будут сообщать о случаях неправомерного доступа к данным. Кроме того, вводятся серьезная ответственность (штрафы с многими нулями или в процентах от выручки за предшествующий финансовый год) за нарушение требований этого нормативного акта.

    Вы, наверное, заметили, что в последнее время многие сервисы обновили политики безопасности, в которые входят и условия обработки персональных данных. Мне, например, с середины мая в почтовый ящик зачастили такого рода письма. Это компании готовились к вступлению в силу регламента Евросоюза GDPR с 25 мая 2018 г., а также получали обязательное согласие на обработку персональных данных.

    В Европе, как я уже упоминал выше, разрешена трансграничная передача персональных данных. Под этим термином в данном случае понимается их передача за пределы границ ЕС, так как внутри Евросоюза действует принцип свободного перемещения персональных данных. Критерии очень похожи на таковые в США – наличие соглашения, соблюдение определённых требований и решение по каждому конкретному случаю.

    О персональных данных. Или как у них и что у нас?

    У нас — Россия

    В России действует Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (с изменениями и дополнениями). Его требования распространяются на юридических и физических лиц Российской Федерации, которые осуществляют обработку персональных данных граждан нашей страны (именно граждан России, а не любых жителей Земли). Персональные данные определяются примерно так же, как и в ЕС – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

    Штрафы не такие большие, как в Европе и исчисляются максимум несколькими десятками тысяч рублей. Но в российском законодательстве есть своя особенность под названием локализация персональных данных. Это означает, что персональные данные (если можно так выразиться, их оригиналы) должны храниться на территории нашей страны, а рабочая копия может быть где угодно.

    Трансграничная передача персональных данных разрешена, но условия не такие жесткие. Специального соглашения не требуется, необходимо лишь выполнение определенных условий. Решение о передаче принимает лицо, обрабатывающее персональные данные.

    Персональные данные и правоохранительные органы

    У них – США и Европа

    Теперь предлагаю рассмотреть особенности доступа к персональным данным и их передачи компетентными органами в интересах безопасности.

    О персональных данных. Или как у них и что у нас?

    В Европе, как я уже упоминал, с 6 мая 2018 г. действует директива 2016/680. Она вводит единые для всех стран-членов требования к защите персональных данных в указанной сфере. В ЕС рассчитывают, что унификация позволит заметно сократить материальные и временные затраты на обработку информации. Новые правила будут распространяться на обмен персональными данными на национальном, трансграничном и международном уровнях. Передача такой информации за границу может осуществляться только на основании решения Еврокомиссии об «адекватности уровня защиты персональных данных» в третьей стране или международной организации либо при наличии соглашения между странами.

    «Адекватность» уровня защиты персональных данных будет определять Еврокомиссия. По сути это проверка на соответствие норм в третьей стране законодательной и административной практике Евросоюза. Наиболее сложным моментом в реализации директивы оказалась адаптация IT-систем к выполнению функций регистрации и хранения учетных данных о фактах доступа к персональным данным. Большинство стран-членов уже заявили, что смогут завершить установку соответствующего оборудования только к 2026 году.

    Соединенные Штаты пошли еще дальше. У них в марте 2018 года был принят закон об уточнении правомерности использования хранящихся за рубежом данных, так называемый CLOUD Act (Clarifying Lawful Overseas Use of Data Act), который фактически ликвидирует существующие механизмы защиты данных, хранящихся за рубежом.

    О персональных данных. Или как у них и что у нас?

    Что это значит? Закон позволяет правоохранительным органам США запрашивать у американских IT-компаний хранящиеся у них данные американских граждан вне зависимости от того, где эта информация физически находится, а поставщики услуг электронной связи обязаны передавать эти данные уполномоченным органам. Учитывая, что многие глобальные IT-компании находятся в юрисдикции США, американские власти получают доступ к переписке, метаданным и учетным записям пользователей всего мира.

    Например, полиция США может обязать Google или Facebook предоставить персональные данные пользователей, даже если они хранятся в Европе. Ранее правоохранительные органы могли требовать у компаний только те данные, которые находятся на территории США.

    В случае необходимости получения информации из другой страны, в действие вступала система договоров о взаимной правовой помощи (Mutual Legal Assistance Treaties, MLAT). Она довольно громоздкая и сложная. Механизм передачи данных регулируется национальным законодательством каждой из стран. Срок рассмотрения одного запроса в среднем составляет 10 месяцев. Чаще всего к моменту получения информации от другого государства она становилась неактуальной.

    Непосредственной причиной выработки нового закона стал судебный процесс Microsoft против правительства США.

    О персональных данных. Или как у них и что у нас?

    В 2013 году в ходе расследования схемы распространения наркотиков, ФБР предъявило Microsoft судебный ордер для просмотра переписки одного из пользователей. Он был гражданином США, но переписка хранилось на серверах в Ирландии. Этот пользователь указал в качестве своего местоположения Ирландию, а политика Microsoft предписывала хранить информацию по возможности ближе к местоположению пользователя. ФБР отказали в выдаче данных, ссылаясь на то, что это противоречит законам Ирландии. Поэтому представители компании предложили ФБР обратиться к ирландским властям за разрешением.

    Как раз в это время были опубликованы разоблачения Э. Сноудена. Граждане стали подозревать, что правительство США шпионит за ними через Интернет-компании. Особенно этот вопрос беспокоил иностранных пользователей. Поэтому Microsoft разрешила государственным и корпоративным заказчикам выбирать, в какой стране они желали бы хранить свою информацию.

    Дело уже дошло до Верховного суда США, но после принятия CLOUD Act, стороны договорились, что власти переоформляют свои требования по новому закону и оперативно получают необходимые данные, а компания отзывает все протесты. Все остались довольны (особенно судьи верховного суда, потому что им не пришлось разрешать это непонятное дело).

    У нас — Россия

    А что же в России? У нас получение информации из-за рубежа регулируется соглашениями о взаимной правовой помощи или иными похожими межправительственными соглашениями. Есть в законе о персональных данных уже упоминавшееся требование об их локализации, действует закон, запрещающий размещение государственных IT-систем за пределами страны, а также знаменитый «пакет Яровой». Эти нормативные правовые акты позволяют обеспечивать безопасность персональных данных, их обработку на территории России, а при необходимости предоставить доступ к ним для российских компетентных органов.

    С точки зрения доступа к персональным данным в интересах безопасности, эти решения были оправданными. Я думаю, вы представляете, как иностранные компании реагируют на запросы правоохранительных органов России о предоставлении нужных данных. Например, по статистике почтового сервиса Gmail с января по июнь 2017 года, американские органы власти попросили Google раскрыть пользовательские данные 16823 раза и более чем 13500 раз (81% случаев) получили данные. В тот же период Россия обратилась к Gmail 318 раз и лишь немногим более 30 раз (10% случаев) получила некоторые данные.

    О персональных данных. Или как у них и что у нас?

    Заключение

    Краткие итоги:

    • персональные данные во многих странах мира законодательно тщательно охраняются. Но эти меры, к сожалению, не снижают количество «сливов»/«утечек» баз персональных данных;
    • требования об обеспечении безопасности персональных данных являются эффективным инструментом увеличения трат на сектор информационных технологий;
    • если вы живете в России и ваша деятельность не связана с предложением товаров и услуг жителям ЕС или с мониторингом их действий/поведения в Интернете, то на Вас требования регламента GDPR не распространяются;
    • внедрение «пакета Яровой» может привести к определенным юридическим проблемам у российских операторов связи, потому что в массив хранимой информации так или иначе будут попадать сведения о жителях ЕС, без их явного согласия. Это, в свою очередь, является нарушением регламента GDPR и может повлечь за собой серьезные штрафы;
    • США вопросах доступа к персональным данным в интересах безопасности в очередной раз поступают так, как им удобно, абсолютно не заботясь об остальном мире. Экстерриториальное действие американского законодательства может вызвать возмущение даже у традиционных союзников;
    • ну и самое главное, как быть простому человеку? Если вы законопослушный гражданин, то Вам, скорее всего, нечего скрывать. В этом случае все описанные законы не влияют на вашу повседневную деятельность. Если же вам надо что-то скрыть, то, думаю, вы и без моих советов знаете, что и как делать. На всякий случай, напомню базовые вещи. Всю необходимую информацию целесообразно хранить на автономном компьютере, который никогда и ни при каких условиях даже опосредованно не был и не будет подключен к Интернету, а в повседневной деятельности пользоваться не смартфоном, а простым кнопочным телефоном и бумажной записной книжкой. Всем остальным, кто находится между этими двумя крайностями, надо просто знать и учитывать упомянутые нюансы обработки персональных данных. Кроме того, настоятельно рекомендую внимательно читать соглашения о защите информации, с которыми вы всегда соглашаетесь (ставите об этом галочку) в процессе регистрации на том или ином сервисе.
    • очевидно, со временем Европа пойдет по пути США, и правоохранительные органы ЕС также получат упрощенный доступ к персональным данным. В свою очередь для тех людей, кому есть что скрывать, будут расширяться предложения по изменению своих персональных данных, их «автономизации» и т.д. Например, уже сейчас есть сервисы, которые незаметно для человеческого глаза меняют на фото местами один-два пикселя в определенных блоках для того, чтобы машинное распознавание не могло идентифицировать человека.

    P.S. Эта тема важная, потому что надо понимать, как и кем могут использоваться ваши персональные данные. Надеюсь, статья была полезна.

    Пишите в комментариях, опасаетесь ли за сохранность своих персональных данных и читаете ли соглашения об их защите при регистрациях в онлайн сервисах или в офлайн организациях (банки, медцентры,страховые компании)?

    Иван Александров

    К содержанию >>>

    источник

    Проверьте также

    Берёзки NEWS №41. Подводные камни

    Twitter Google+ Обращаем внимание на проблемы, с которыми производители смартфонов не хотят бороться. В каждом ...

    Добавить комментарий