Сегодня, 15 декабря, регуляторы Евросоюза должны принять новый закон о защите персональных данных. В ЕС этот закон обсуждался четыре года. Он должен заменить нынешнюю систему из 28 разрозненных европейских законов. Регуляторы уверяют, что новый закон ужесточит правила защиты интернет-пользователей и сократит дорогостоящую бюрократическую волокиту для компаний.

В ходе подготовки законопроекта IT-компании добились смягчения нескольких наиболее спорных положений закона. Они касаются обязательного получения согласия пользователя на использование данных, а также предупреждения об электронной слежке со стороны правительственных организаций.

Однако некоторые компании (занимающиеся облачными вычислениями, продажей интернет-рекламы и другим интернет-бизнесом), опасаются, что принятие закона повысит для них риски и увеличит затраты при работе в Европе.

«Компании могут решить, что вводить инновации на европейском рынке слишком рискованно», поясняет Александер Вален, директор по политике ассоциации Digital Europe (в нее входят десятки компаний, включая Microsoft и Google).

Чиновники ЕС продолжают обсуждать порядок наложения штрафов на нарушителей новых правил.

Изначально предлагалось установить максимальный размер штрафа в 2% от мировой выручки компании-нарушителя. Парламент настаивал на повышении штрафа до 5% выручки. Правительства отдельных стран поначалу одобрили вариант комиссии, но затем согласились повысить сумму до 4%. Ожидается, что этот вариант и будет принят, пишут «Ведомости».

«Если нарушение будет выявлено лишь в небольшом европейском подразделении транснациональной компании, наказанию подвергнется вся компания, целиком. Справедливее было бы устанавливать штраф пропорционально объему локального бизнеса компании и масштабу причиненного ущерба», рассуждает Рене Суммер, директор Ericsson по взаимодействию с правительством и бизнесом.

Остаются также разногласия по другим пунктам закона, включая положения о получении компаниями согласия пользователя на использование данных, а также распределение ответственности за нарушения. Предполагается, что теперь ответственность будет лежать не только на компаниях, собирающих и использующих данные, но и на дата-центрах и облачных хранилищах, с которыми работают эти компании.

После принятия новых правил компании должны будут в течение двух лет привести свой бизнес в соответствие с ними.

1 сентября вступил в силу обновленный закон о персональных данных в России. Изменения также касались вопросов безопасности. Однако, видимо, в нашей стране безопасность больше трактуется как защита отечественных пользователей от иностранных компаний. Зарубежные фирмы, работающие в России и с гражданами РФ обязали произвести перенос серверов с персональными данными на территорию нашей страны.

При этом закон допускает обработку персональных данных за рубежом в случаях, если деятельность компаний регулируется международными договорами — об этом Александр Жаров сообщил вчера. Из-под действия закона, таким образом, выведены визовые центры, авиаперевозчики и СМИ.

Роскомнадзор по поручению Генпрокураторы может начать проверку компаний, в случае, если будут получены соответствующие обращения граждан, считающих, что сервисы обрабатывают пользовательские данные с нарушением закона.

По словам главы Роскомнадзора Александра Жарова, проверка будет происходить следующим образом: «Инспектор [Роскомнадзора] приходит в компанию, работающую с персональными данными, и говорит: «Представьте, пожалуйста, документы, которые подтверждают, что серверные мощности, на которых хранятся эти данные, находится на территории РФ». Компания отвечает: «Пожалуйста». И в 99,9% случаев на этом проверка заканчивается».

Если обнаруживается нарушение, Роскомнадзор обязан передать дело в суд, для определения размера нанесенного гражданам России ущерба. Наказание для компаний-нарушителей предусмотрено двух типов: штраф и блокировка сайта.

Новая редакция российского закона вызвала не просто критику, а заявления о том, что он невыполним: «Например, в случае распределённых систем хранения информации, когда информация физически не локализована на одном сервере, а распределена по всему миру. То есть даже наличие серверов компании в стране, ещё не гарантирует, что на её территории вообще хранится что-то осмысленное», писал пользователь «Мегамозга».

Комментарии (3)


  1. Viacheslav01
    15.12.2015 20:15

    Правительства отдельных стран поначалу одобрили вариант комиссии, но затем согласились повысить сумму до 4%.
    нашим еще учиться и учиться :)


  1. Goodkat
    16.12.2015 03:42

    Не понимаю, в чём заключается вся эта защита пользователей в интернете.

    Мои имя и адрес электронной почты слили спамерам несколько интернет-магазинов, теперь я получаю персональный спам — как меня тут защищают законы?

    У каждого сервиса и интернет-магазина своё собственное соглашение с пользователем, часто на десятки страниц, самые важные я читаю и пытаюсь даже понять, но через пару месяцев они вдруг меняются, и нужно соглашаться с новыми условиями — почему бы не упростить для пользователя этот момент?
    Ведь не нужно читать пользовательское соглашение или подписывать договор, когда покупаешь в магазине картошку, едешь на трамвае или идёшь к парикмахеру?
    Почему бы не сделать несколько типовых пользовательских соглашений на разные виды услуг, чтобы пользователь сразу понимал, на что именно он соглашается, и чего вправе ожидать?


    1. 13oz
      16.12.2015 09:54

      Не понимаю, в чём заключается вся эта защита пользователей в интернете.

      Мои имя и адрес электронной почты слили спамерам несколько интернет-магазинов, теперь я получаю персональный спам — как меня тут защищают законы?


      Закон ЕС не читал (пока), но, как минимум, в такой ситуации у вас будет основание подать в суд на компанию, которая допустила утечку. Или просто написать заявление в местную прокуратуру, что бы уже они искали и наказывали. Я не уверен, что сейчас такая возможность есть.

      Почему бы не сделать несколько типовых пользовательских соглашений на разные виды услуг, чтобы пользователь сразу понимал, на что именно он соглашается, и чего вправе ожидать?


      На сколько я понял, что-то типа этого и хотят сделать. Но, так как государство не может напрямую диктовать коммерческим компаниям, что писать в ToS, они принимают законы, которым ToS должны соответствовать.