Сегодня, 15 декабря, регуляторы Евросоюза должны принять новый закон о защите персональных данных. В ЕС этот закон обсуждался четыре года. Он должен заменить нынешнюю систему из 28 разрозненных европейских законов. Регуляторы уверяют, что новый закон ужесточит правила защиты интернет-пользователей и сократит дорогостоящую бюрократическую волокиту для компаний.
В ходе подготовки законопроекта IT-компании добились смягчения нескольких наиболее спорных положений закона. Они касаются обязательного получения согласия пользователя на использование данных, а также предупреждения об электронной слежке со стороны правительственных организаций.
Однако некоторые компании (занимающиеся облачными вычислениями, продажей интернет-рекламы и другим интернет-бизнесом), опасаются, что принятие закона повысит для них риски и увеличит затраты при работе в Европе.
«Компании могут решить, что вводить инновации на европейском рынке слишком рискованно», поясняет Александер Вален, директор по политике ассоциации Digital Europe (в нее входят десятки компаний, включая Microsoft и Google).
Чиновники ЕС продолжают обсуждать порядок наложения штрафов на нарушителей новых правил.
Изначально предлагалось установить максимальный размер штрафа в 2% от мировой выручки компании-нарушителя. Парламент настаивал на повышении штрафа до 5% выручки. Правительства отдельных стран поначалу одобрили вариант комиссии, но затем согласились повысить сумму до 4%. Ожидается, что этот вариант и будет принят, пишут «Ведомости».
«Если нарушение будет выявлено лишь в небольшом европейском подразделении транснациональной компании, наказанию подвергнется вся компания, целиком. Справедливее было бы устанавливать штраф пропорционально объему локального бизнеса компании и масштабу причиненного ущерба», рассуждает Рене Суммер, директор Ericsson по взаимодействию с правительством и бизнесом.
Остаются также разногласия по другим пунктам закона, включая положения о получении компаниями согласия пользователя на использование данных, а также распределение ответственности за нарушения. Предполагается, что теперь ответственность будет лежать не только на компаниях, собирающих и использующих данные, но и на дата-центрах и облачных хранилищах, с которыми работают эти компании.
После принятия новых правил компании должны будут в течение двух лет привести свой бизнес в соответствие с ними.
1 сентября вступил в силу обновленный закон о персональных данных в России. Изменения также касались вопросов безопасности. Однако, видимо, в нашей стране безопасность больше трактуется как защита отечественных пользователей от иностранных компаний. Зарубежные фирмы, работающие в России и с гражданами РФ обязали произвести перенос серверов с персональными данными на территорию нашей страны.
При этом закон допускает обработку персональных данных за рубежом в случаях, если деятельность компаний регулируется международными договорами — об этом Александр Жаров сообщил вчера. Из-под действия закона, таким образом, выведены визовые центры, авиаперевозчики и СМИ.
Роскомнадзор по поручению Генпрокураторы может начать проверку компаний, в случае, если будут получены соответствующие обращения граждан, считающих, что сервисы обрабатывают пользовательские данные с нарушением закона.
По словам главы Роскомнадзора Александра Жарова, проверка будет происходить следующим образом: «Инспектор [Роскомнадзора] приходит в компанию, работающую с персональными данными, и говорит: «Представьте, пожалуйста, документы, которые подтверждают, что серверные мощности, на которых хранятся эти данные, находится на территории РФ». Компания отвечает: «Пожалуйста». И в 99,9% случаев на этом проверка заканчивается».
Если обнаруживается нарушение, Роскомнадзор обязан передать дело в суд, для определения размера нанесенного гражданам России ущерба. Наказание для компаний-нарушителей предусмотрено двух типов: штраф и блокировка сайта.
Новая редакция российского закона вызвала не просто критику, а заявления о том, что он невыполним: «Например, в случае распределённых систем хранения информации, когда информация физически не локализована на одном сервере, а распределена по всему миру. То есть даже наличие серверов компании в стране, ещё не гарантирует, что на её территории вообще хранится что-то осмысленное», писал пользователь «Мегамозга».
Автор: semen_grinshtein