Российские компании жалуются на закон о персональных данных: он непонятный, мешает работать и угрожает штрафами. Мы подумали: «А вдруг в России еще легко отделались», — и сравнили наш закон с европейским и американским. Рассказываем, что получилось.
Не расценивайте эту статью как серьезное исследование. Мы не профессиональные юристы и разбирали законы из интереса, как обыватели. При этом обязательно что-то поняли неправильно. Пожалуйста, расскажите в комментариях, где мы ошиблись или что-то упустили.
Если вы уже собираете персональные данные, правильно будет обратиться к настоящему юристу. Он поможет оформить документы и подстраховаться от штрафов.
Сходства и различия законов одной картинкой
В других странах тоже следят за персональными данными?
Да, страны с развитым интернетом постепенно принимают законы о защите персональных данных. Или ужесточают существующие.
В России действует 152-ФЗ «О персональных данных».
В Европе — Генеральный регламент о защите персональных данных или GDPR.
В США пока нет единого закона, но в некоторых штатах уже приняли собственные. Наиболее полный — Калифорнийский закон о защите прав потребителей или CCPA.
Законы похожи друг на друга, ведь у них одна цель — защитить права людей и дать компаниям гарантии, что на них не подадут в суд. Европейский и российский законы работают по одному принципу: запрещают обрабатывать данные, пока пользователь не разрешит. В Калифорнии — наоборот: закон разрешает обрабатывать данные, пока человек не запретит.
Российскому закону 14 лет, а до сих пор непонятно, что считают персональными данными. В других странах с этим наверняка четко
Как бы не так.
В российском законе размытое определение персональных данных — «Информация, по которой получится прямо или косвенно идентифицировать человека». Четкого списка таких данных нет, поэтому на практике часто пользуются правилом: если по информации, которую вы собираете, можно найти пользователя, сотрудника или клиента, это персональные данные.
Например, вы знаете только имя и фамилию человека — Иван Иванов. По ним не найти конкретного Ивана Иванова — таких в России тысячи. Значит, имя и фамилия — это не персональные данные.
Зато если вы знаете еще и телефон Ивана, то без труда найдете нужного человека. Вместе эти данные будут считаться персональными.
Суды обычно относят к персданным комбинации разных категорий данных:
фамилий, имен, отчеств;
физических адресов;
электронных почт;
телефонов;
дат или мест рождения;
фотографий;
ссылок на персональные сайты или соцсети;
профессий, образований;
уровней доходов;
семейных положений;
айпи-адресов и геоданных.
Но на самом деле никогда нельзя быть уверенным, что информацию посчитают или не посчитают персональными данными.
Например, в Белгороде человек подал в суд на «Яндекс.Справочник»: там указали его номер телефона. Роскомнадзор и суд не увидели нарушения: номер опубликовали без данных владельца, а сам по себе он не считается персональными данными. При этом в Москве коллекторской компании передали телефон без других данных о человеке. Тот подал в суд и выиграл.
Или во время голосования о поправках в Конституцию утекли данные избирателей: серии и номера паспортов. Роскомнадзор в комментарии к закону считает их персональными данными: «В частности, к числу идентификаторов, которые сами по себе однозначно определяют физическое лицо, могут быть отнесены: номер и серия паспорта; страховой номер индивидуального лицевого счета; идентификационный номер налогоплательщика…». Но в мэрии Москвы объяснили, что номер и серия паспорта без ФИО и даты рождения — не персональные данные. Роскомнадзор не начал расследование.
Безопаснее считать персональными данными любую информацию о пользователях.
Европейский закон тоже не дает четкого списка персональных данных, а определяет их даже шире. К персональным данным относят еще и информацию, по которой человека могут оценить, сформировать к нему отношение и повлиять на его поведение.
Руководитель посмотрит и заблокирует список веб-страниц, которые посещали сотрудники. Это повлияет на поведение людей: они перестанут заходить на страницы из списка. Значит, список страниц — персональные данные.
Или информация о том, что дедушка человека работал в НКВД, вызовет травлю в интернете. Раз эти сведения влияют на отношение к человеку, их считают персональными данными.
Калифорнийский закон также не помогает разобраться. Персональными данными там считают информацию, которая «идентифицирует, относится или позволяет сделать выводы о человеке: предпочтения, характеристики». То есть любую информацию о людях.
У меня маленькая компания, а за ней следят и требуют, как от «Гугла». В других странах тоже так?
Не везде.
В России закон касается юридических лиц, ИП, государственных органов и даже обычных людей. Главное, чтобы они собирали, систематизировали, хранили или изменяли персональные данные. Тогда компанию, ИП или госорган называют оператором персональных данных.
Интернет-магазин просит ввести имя, фамилию, номер телефона и адрес, чтобы доставить заказ. Он собирает, хранит и систематизирует данные, поэтому его считают оператором.
Или человек открыл юридический форум и предлагает на нем зарегистрироваться: ввести ФИО и электронную почту. Как и интернет-магазин, он собирает, хранит и систематизирует персональные данные. Поэтому тоже считается оператором.
Оператором может быть компания из любой страны. Главное, чтобы она целенаправленно обрабатывала персональные данные россиян. На этот факт укажут сайт и реклама на русском языке или доставка в РФ.
Spotify продает сервис по подписке россиянам. Страница сервиса в России открывается на русском языке, а российские СМИ его рекламируют. Поэтому компания подпадает под российский закон. Подпадала бы, даже если бы у нее не было российского юрлица.
Пока Spotify не начал работать в России, на него тоже заходили россияне и оставляли данные. Рекламы и сайта на русском не было, а подписаться можно было только через VPN. Поэтому соблюдать российский закон не было нужды. Если бы люди пожаловались на Spotify в Роскомнадзор, компании ничего бы не сделали.
Оператор защищает права иностранцев на территории РФ по российскому закону.
В офисе московской туристической компании зимбабвиец покупает тур. При покупке он передает компании персональные данные. Раз человек территориально в России, компания будет защищать его данные по российскому закону. Если бы зимбабвиец, находясь в Зимбабве, покупал тур с сайта российской компании, она бы не обращала внимания на российский закон. А вот зимбабвийскому пришлось бы следовать.
В общем случае закон под угрозой блокировки и штрафа обязывает операторов зарегистрироваться в Роскомнадзоре и хранить данные о россиянах на российских серверах. Наказывают пока бессистемно.
В 2016 году в России за хранение данных на зарубежных серверах заблокировали LinkedIn. При этом Google, Facebook и Twitter не хранят данные в России. Компаниям дали отсрочку до начала 2020 года, они не выполнили требования, получили штрафы по 4 млн рублей, а потом снова получили отсрочку уже до 2022-го. Штраф выплатил только Facebook.
Поговаривают, что важно хранить на российских серверах только большую часть данных, а если у компании нет представительств в РФ — и вовсе необязательно. Однозначного ответа Роскомнадзор не дает.
В Европе операторами также считают юридических лиц, ИП, государственные органы и людей, которые собирают, систематизируют, хранят, изменяют персональные данные. Регистрироваться в надзорных органах не требуют.
Под угрозой штрафа запрещают хранить данные европейцев на серверах в США и работать с компаниями, которые обрабатывают персональные данные не по закону.
Если испанская компания продает мебель, а российская лесопилка в цепочке поставок не соответствует закону, работать с ней запрещено. Лесопилку попросят соответствовать или разорвут контракт.
В отличие от России, компании-резиденты Евросоюза защищают данные иностранцев по европейскому закону. Территориальное положение иностранца не имеет значения.
Немецкая туристическая компания будет защищать по европейскому закону данные зимбабвийцев, которые пришли на сайт немецкой туристической компании, находясь в Зимбабве. Не важно, что клиенты территориально не в Европе. Российский закон в аналогичной ситуации не защитит.
В остальном европейский закон работает так же, как и российский.
В Калифорнии под действия закона подпадают компании:
с выручкой более 25 млн долларов в месяц;
которые получают более 50% выручки от продажи персональных данных калифорнийцев;
или которые обрабатывают данные более чем 50К пользователей.
Закон не распространяется на государственные органы и внебюджетные организации, а защищает только жителей Калифорнии.
Спрашивать согласие на обработку данных — это бюрократия. Как на Западе?
В России, чтобы получить согласие на обработку данных, достаточно к электронной форме добавить строчку: «Когда вы нажимаете на кнопку, вы даете согласие на обработку персональных данных». А рядом дать ссылку на политику обработки. Политика — это страница на сайте, где компания рассказывает, какие данные собирает, как использует и кому будет передавать. Эту страницу держат в открытом доступе.
Политика обработки персональных данных нашего сервиса «Дадата»
Иногда компании предлагают кликнуть в чекбокс «Я согласен с политикой обработки данных». Так тоже можно, но не обязательно. Причем из закона непонятно, можно ли проставить галку в чекбоксе по умолчанию: Роскомнадзор может истолковать это как «несознательное согласие» и выписать штраф. Правда, примеров в судебной практике мы не нашли.
В Европе подпись под формой не пройдет: нужен отдельный чекбокс о согласии с каждой целью обработки.
У интернет-магазина две цели: доставить заказ и отправить проморассылку. Поэтому магазин ставит два отдельных чекбокса «Я согласен с политикой обработки данных» и «Я согласен получать рассылку».
Галка в чекбоксе по умолчанию — нарушение: согласие должно быть явным и добровольным. Еще тут запрещают использовать формулировки с «не» возле чекбоксов. Например: «Я не хочу, чтобы вы отправляли мне акции на почту». Считается, что так пользователей вводят в заблуждение.
В Калифорнии пользователи по умолчанию согласны на обработку данных. Позже люди смогут отозвать согласие, отправив запрос.
Без согласия запрещают продавать данные подростков до 16 лет. Чтобы получить согласие, используют чекбокс: «Подтверждаю, что я старше 16 лет». Если человек не кликнет по чекбоксу, компания может обрабатывать данные, но не продавать. Если кликнет, можно и продавать, и обрабатывать.
Лебедев говорит, что без кук интернет работал бы плохо. В других странах это понимают?
Понимают, но ограничивают сбор.
В России непонятно, считаются ли куки сами по себе персональными данными. По идее — только в комбинации с другой информацией: например, ФИО и телефоном. Судебная практика не помогает разобраться: куки признали персональными данными в деле LinkedIn, но соцсеть также собирала фамилии, имена и емейлы. Отдельно за куки пока не штрафовали.
Если сайт собирает куки, достаточно предупредить о сборе, чтобы подстраховаться. Так делают даже те, кто не собирает другие данные. Если на компанию подадут в суд, будет доказательство, что она не обрабатывает персональные данные без спроса.
В Европе уведомление не пройдет: куки приравнивают к персональным данным. Компании в политике по обработке кук объясняют, какие куки и зачем собирают, а человек решает, соглашается или нет.
Есть лайфхак: закон разрешает просить согласие не на все куки сразу, а на отдельные группы.
Человек не хочет, чтобы вы собирали маркетинговые куки и показывали ему рекламу в интернете; а вот аналитические, которые вы используете только для сбора статистики, — пожалуйста. Так компания будет собирать хоть какие-то куки.
В Калифорнии, как и в России, для кук хватит уведомления.
Мы получаем согласие, а потом люди требуют ознакомиться с данными, которые мы обрабатываем. Это потребительский терроризм! На Западе его тоже поощряют?
Еще как.
В России по запросу оператор обязан рассказать, какие данные о человеке обрабатывает, сколько времени хранит, кому передает и для каких целей использует. Люди оставляют запросы любыми способами: например, письмом на электронную почту или по телефону. Компания отвечает в течение 30 дней.
Еще по запросу люди отзывают согласия на обработку, исправляют устаревшую или неточную информацию и удаляют данные, которые используются для рассылки скидок и акций. Компания обязана удалить их по первому требованию.
Частить с запросами в одно юридическое лицо нельзя: отправить разрешают раз в 30 дней.
В Европе, вдобавок к российским правилам, люди могут попросить зашифровать данные и скачать в формате XML, JSON или CSV. Компании отвечают на запросы в течение месяца.
Закон требует, чтобы отозвать согласие на обработку данных можно было так же просто, как и дать его. Например, если человек соглашался галочкой в чекбоксе, то и отозвать согласие он должен галочкой или таким же простым способом. Телефонный звонок или письмо на почту не подойдут — сложно, могут оштрафовать.
Если человек отправляет запросы слишком часто, компаниям разрешают потребовать плату или не отвечать. Правда частоту в законе не уточняют.
В Калифорнии, в отличии от России и Европы, люди могут попросить не продавать данные. Закон требует, чтобы у человека было как минимум два способа оставить такой запрос: например, письмом на электронную почту и в специальной форме. Отвечают на запросы в течение 45 дней.
Как и в Европе, на частые запросы разрешают не отвечать или требовать плату.
Слышал, что на Западе за персональные данные огромные штрафы. Наверняка это госпропаганда
А вот и нет.
В России размеры штрафов для юридических лиц колеблются от 15 до 75 тыс. рублей. Точная сумма зависит от нарушения.
Если не получить согласие на обработку данных — от 30 до 50 тыс. рублей. А если не удовлетворить запрос пользователя — от 25 до 40 тыс. рублей.
Штрафуют и за хранение данных на серверах вне России — от 1 до 6 млн за первое нарушение и от 6 до 18 млн за повторное.
За соответствием закону следит Роскомнадзор. Он проверяет операторов по плану — обычно раз в 3 года — и реагирует на жалобы пользователей.
В Европе за несерьезные нарушения дают штраф до 10 млн евро или 2% выручки за предыдущий год: например, если компания обрабатывает данные дольше, чем обещала в политике. За серьезные — до 20 млн или 4% выручки за предыдущий год: например, если компания обрабатывает данные без согласия человека.
Когда будут определять размер штрафа, учтут тип данных, нарушала ли компания закон раньше, содействовала ли расследованию, нарушила ли умышленно и как защищала данные.
Английский Marriott получил штраф 20 млн евро: в 2020 году проверяющий заметил, что после утечки в 2014 компания не закрыла дыру в защите базы данных.
Испанское кафе оштрафовали на 900 евро за то, что камера захватывала часть тротуара и лица людей.
Кипрскую полицию — на 6К евро, потому что один из полицейских использовал информацию о владельцах автомобилей в личных целях.
Российскую компанию, которая неправильно обрабатывает данные европейцев, тоже оштрафуют. Взыскать штраф не смогут, зато могут оштрафовать владельца компании на таможне.
За соответствием закону следят надзорные органы каждой страны Евросоюза. При утечке данных компании уведомляют пользователей и надзорный орган в течение 72 часов.
В Калифорнии размеры штрафов колеблются от 2500 долларов за непреднамеренное нарушение до 7500 долларов за умышленное. В случае утечки компанию оштрафуют на 750 долларов за каждого пострадавшего. Например, если утекли данные 1000 человек, то штраф — 750К долларов.
За соответствием закону следит прокурор штата. При утечке компании уведомляют пользователей, а если утекли данные более 500 человек — еще и прокурора.
В России закон как закон, в Калифорнии такой же, в Европе жестче
Российский закон о персональных данных молод. В нем много спорных моментов и широких формулировок, но мало судебной практики. Это нормально, так пока везде. Зато от российских операторов меньше требуют, а штрафы не такие суровые.
В спорных моментах с персональными данными обратитесь за помощью к юристу. Он поможет правильно составить документы, изменить формулировки на сайте и подскажет, где стоит перестраховаться. Так вы не нарветесь на штраф.
Сводная таблица сходств и отличий в законах
Эту статью мы сперва опубликовали в блоге Dadata.ru. Там мы помогаем компаниям держать данные в порядке, взаимодействовать с клиентами и получать от них максимум пользы. Подпишитесь на блог, чтобы читать статьи раньше всех.
nalgeon
Верните мне мой 2007 (?_?)
tea1975
Запаха бомжей на Казанском не хватает?
Ну да ладно, а по теме — работаю в крупной компании, служба безопасности получает всё что хочет: данные от РЖД, ЮТЭЙР по билетам и выполненным поездкам, перелётам, данные от Сбера, от карманного банка по транзакциям, в этом году пошло круче — они получают данные от ОПСОСов по моему местонахождению. О чём блин статья? Если в итоге во всём что я перечислил у них сидят прикормленные сливалы?
sumanai
А где ваши заявления в полицию, прокуратуру и роскомнадзор?