Читайте также: |
|
--------------------------------
<1> OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data. 1980.
<2> Подробный их перечень и изложение соответствующих положений на английском языке см.: Kuner C. Op. cit. P. 189 ff.
Директива N 95/46/ЕС "О персональных данных" содержит общую презумпцию запрета трансграничной передачи данных. Такая передача возможна лишь при соблюдении общих условий обработки данных (в частности, при наличии законного основания для такой обработки), а также специальных условий, установленных для трансграничной передачи в ст. ст. 25 - 26. К таким специальным условиям относится:
1) наличие адекватной защиты персональных данных в принимающей стране, либо
2) наличие одного из оснований, указанных в ст. 26 (1) (согласие субъекта персональных данных на такую передачу, осуществление такой передачи во исполнение договора, заключенного с субъектом, необходимость защиты жизненно важных интересов субъекта персональных данных и др.), либо
3) наличие одобренных национальными органами по защите персональных данных адекватных защитных механизмов (adequate safeguards) в виде специальных условий, включенных в договор между компаниями - "экспортером" и "импортером" персональных данных, или так называемых обязательных корпоративных правил (binding corporate rules, BCR) <1>. В таких случаях защита прав субъектов персональных данных обеспечивается не средствами законодательства страны - "импортера" персональных данных, а личной ответственностью субъекта - "экспортера" персональных данных за возможные нарушения, которые могут произойти в стране-"импортере".
--------------------------------
<1> Данное исключение предназначено для транснациональных компаний, которые могут использовать свои внутренние корпоративные политики по защите персональных данных в качестве достаточной гарантии адекватной защиты персональных данных, передаваемых в рамках своих подразделений, в том числе расположенных в странах, законодательство которых не предоставляет адекватной защиты персональных данных. См.: Overview on Binding Corporate rules // http://www.ec.europa.eu/justice/data-protection/document/international-transfers/binding-corporate-rules/index_en.htm. См. также: Working Document on Frequently Asked Questions (FAQs) related to Binding Corporate Rules. Article 29 Working Party. 24 June 2008.
Следует отметить, что данные правила применяются и к последующей трансграничной передаче данных (onward transfers), например, в случаях, когда персональные данные сначала передаются провайдеру услуги за границу, который, в свою очередь, пересылает их в другую страну на аутсорсинг <1>.
--------------------------------
<1> См.: ст. II (i) решения Европейской комиссии 2004/915/EC // http://www.eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004:385:0074:0084:en:PDF; First Orientations on Transfers of Personal Data to Third Countries - Possible Ways Forward in Assessing Adequacy. Article 29 Working Party. 26 June 1997.
Процесс признания Европейским союзом третьей страны в качестве предоставляющей адекватный уровень защиты прав субъектов персональных данных является достаточно длительным и сложным. По состоянию на 1 октября 2013 г. такими странами признаны Андорра, Аргентина, Австралия, Канада, Швейцария, Израиль, США (в части передачи персональных данных пассажиров авиатранспорта и соглашений Safe Harbor), Новая Зеландия, а также ряд островов: Фарерские острова, острова Гернси, Мэн, Джерси <1>. Россия, по мнению Европейского союза, не относится к числу стран, обеспечивающих адекватный уровень защиты прав субъектов персональных данных. Как следствие, передача персональных данных из стран Европейского союза в Россию возможна лишь при наличии на то специальных оснований либо в российские подразделения трансграничных компаний на основании CBR.
--------------------------------
<1> http://www.ec.europa.eu/justice/data-protection/document/international-transfers/adequacy/index_en.htm#h2-11
Учитывая существующие положения об ответственности за нарушение законодательства о персональных данных и состояние отечественной правоприменительной практики по данному вопросу <1>, такой подход европейских коллег можно рассматривать как вполне заслуженный и обоснованный. Одного только копирования положений европейского законодательства недостаточно для того, чтобы полученный результат соответствовал европейским стандартам. А учитывая, что Россия завершила процесс ратификации Конвенции о защите физических лиц при автоматизированной обработке персональных данных 1981 г. только спустя восемь лет с момента принятия Федерального закона о ее ратификации, отношение российских государственных органов к проблематике защиты персональных данных становится вполне очевидным.
--------------------------------
<1> См. далее.
Российский Закон о персональных данных рассматривает в качестве стран, a priori обеспечивающих адекватную защиту персональных данных, все государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных <1>. Иные страны могут быть отнесены к категории "адекватных" специальным перечнем, который утверждается Роскомнадзором, "при условии соответствия положениям вышеуказанной Конвенции действующих в соответствующем государстве норм права и применяемых мер безопасности персональных данных" (ч. ч. 1, 2 ст. 12). Данный Перечень по состоянию на 1 октября 2013 г. включает следующие страны: Австралия, Аргентина, Израиль, Канада, Марокко, Малайзия, Мексика, Монголия, Новая Зеландия, Ангола, Бенин, Кабо-Верде, Южная Корея, Перу, Сенегал, Тунис, Чили, Гонконг, Швейцария <2>.
--------------------------------
<1> Примечательно, что какой-либо дополнительной проверки в отношении стран - участниц Конвенции для определения степени адекватности защиты ими персональных данных не требуется. Поэтому, формально говоря, тот факт, что соответствующие положения законодательства о персональных данных не применяются на практике или систематически нарушаются при попустительстве уполномоченных органов, не влияют на статус такой страны для целей применения положений ст. 12 Закона о персональных данных.
<2> Приказ Роскомнадзора от 15 марта 2013 г. N 274 "Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных".
Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных до начала осуществления трансграничной передачи персональных данных (ч. 3 ст. 12 Закона о персональных данных). Систематическое толкование положений ст. 12 дает основание для вывода, что оценка степени адекватности защиты персональных данных в той или иной стране является предметом компетенции Роскомнадзора и не является предметом усмотрения оператора. Все, что он должен сделать, - это ознакомиться с соответствующим перечнем и определить, может ли он передавать персональные данные в такую страну в отсутствие специальных оснований, предусмотренных в Законе. Представляется, что данный подход является правильным, поскольку иной подход создавал бы почву для последующих споров между регуляторами и операторами относительно того, насколько оправданным было суждение последнего об адекватности степени защиты персональных данных в стране-"импортере".
При отсутствии оснований для отнесения иностранного государства к категории обеспечивающих адекватную защиту прав субъектов персональных данных трансграничная передача персональных данных, обработка которых осуществляется в соответствии с общими требованиями Закона о персональных данных, может осуществляться в случаях:
1) наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных. При этом в соответствии с ч. 4 ст. 9 Закона о персональных данных равнозначным письменной форме является электронный документ, подписанный электронной подписью. Учитывая, что новый Закон об ЭП ввел понятие простой электронной подписи, которая подтверждает факт ее формирования посредством использования кодов и паролей, проставление галочки на веб-сайте или принятие условий click-wrap- соглашения, сделанное определенным лицом из личного кабинета, доступного после введения логина и пароля, может рассматриваться как письменное согласие при условии соблюдения положений ч. 2 ст. 6 Закона об ЭП;
2) предусмотренных международными договорами Российской Федерации;
3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
4) исполнения договора, стороной которого является субъект персональных данных;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
В связи с неизбежным наличием иностранного элемента при рассмотрении вопроса трансграничной передачи данных возникает вопрос об определении юрисдикции и применимого права. К вопросам юрисдикции применимы те соображения, которые высказаны ранее в главе, специально посвященной рассмотрению вопросов юрисдикции в сети Интернет. Очевидно, что суды и регуляторы страны, где домицилирован субъект персональных данных, будут считать себя компетентными по вопросам рассмотрения споров, связанных с зарубежной обработкой данных такого субъекта нерезидентом. Ключевой вопрос в таком случае заключается в наличии реальной возможности исполнения решений такого суда (регулятора), что имеет место при наличии каких-либо активов на территории страны суда (регулятора).
Что касается применимого права, то общий подход европейского права в настоящее время заключается в том, что национальное право страны - члена ЕС применяется в отношении случаев обработки персональных данных нерезидентом только при использования для такой обработки оборудования, расположенного на территории такой страны, за исключением случаев, когда оно используется исключительно для целей транзитной передачи данных (ст. 4 (1) (c) Директивы 95/46/ЕС) <1>. Иными словами, в качестве коллизионной привязки используется местонахождение оборудования и характер его использования. Данный подход можно считать достаточно устаревшим в условиях современного уровня развития информационных технологий. Во-первых, субъекту персональных данных достаточно сложно определить, где находится оборудование оператора, и тем более то, для каких целей оно используется. Во-вторых, с технической точки зрения такие данные благодаря технологиям облачных вычислений могут находиться на серверах в разных странах и менять свое местоположение в динамичном режиме.
--------------------------------
<1> Данное исключение сделано как раз для того, чтобы учесть специфику маршрутизации информации в сети Интернет. Как отмечалось ранее, протоколы сети Интернет осуществляют разделение каждого цифрового сообщения на отдельные пакеты данных, каждый из которых направляется автономным способом адресату. Прохождение таких пакетов сообщений не может нарушать прав субъектов персональных данных, в связи с чем применения специальных норм законодательства к такого рода способам обращения информации не требуется (см.: Kuner C. Op. cit. P. 15).
В проекте Общего регламента о защите персональных данных (GDPR) предлагается изменить подход к определению оснований для применения национального права. В частности, в отношении операторов, не домицилированных на территории Европейского союза, в качестве основания для применения права ЕС в области защиты персональных данных указан тот же критерий, что и для применения законодательства о защите прав потребителей: направленность деятельности по наблюдению или предложению товаров (услуг) на граждан ЕС. Ожидается, что такой подход обеспечит персональным данным, обрабатываемым за рубежом, тот же уровень защиты, что и в ЕС, а также большую предсказуемость в вопросах определения применимого права для операторов из третьих стран <1>. Таким образом, европейское право в области защиты персональных данных приобретет еще более явно выраженный экстерриториальный характер. К примеру, российское юридическое лицо, которое реализует свои товары или услуги хотя бы в одной из стран Европейского союза и обрабатывает при этом персональные данные хотя бы одного из граждан такой страны, формально подпадет под действие всей совокупности норм европейского права в области защиты персональных данных (включая штрафы за их несоблюдение). Все это дает основания для вывода о том, что нормы о праве, применимом к зарубежной обработке персональных данных, и нормы об условиях допустимости трансграничной передачи данных преследуют одну и ту же цель: распространение национальных защитных норм законодательства о персональных данных за пределы территории государства, их принявшего. Иными словами, они направлены на экстерриториальное применение права такой страны. Такой подход не может не вызвать коллизий между предписаниями, существующими в различных правопорядках. Элементарный пример: субъекту электронной коммерции, продающему товары (услуги) в разные страны мира, поступает предписание от правоохранительных органов одной из них (например, США) о раскрытии данных своих клиентов в связи с расследуемым преступлением. Выполнение такого предписания может быть нарушением положений европейского права об охране персональных данных, влекущим наложение штрафа. Оператор в таком случае находится между молотом и наковальней, и какие-либо удовлетворительные правовые способы разрешения данной коллизии отсутствуют <2>.
--------------------------------
<1> См.: ст. 3(2) проекта Общего регламента о защите персональных данных (GDPR). См. также: How will the EU's data protection reform make international cooperation easier? // http://www.ec.europa.eu/justice/data-protection/document/review2012/factsheets/5en.pdf.
<2> Безусловно, введение в национальное законодательство специального положения, позволяющего не учитывать отдельные его положения в случаях, когда это необходимо для соблюдения иностранного законодательства, не очень вяжется с концепцией национального суверенитета, но определенные исключения для тех сфер, которые являются предметом международных соглашений и общих интересов (борьба с коррупцией, противодействием отмыванию доходов, полученных преступным путем, борьба с эпидемиями и т.п.), можно было бы сделать, тем более что определенные примеры тому уже есть (см. подробнее: Kuner C. Op. cit. P. 181 - 183).
Применение специальных положений о трансграничной передаче данных в сфере электронной коммерции наталкивается на вопрос о том, что понимать под такой передачей. Дефиниция, содержащаяся в Законе о персональных данных ("передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу"), мало помогает в таком понимании. В частности, является ли трансграничной передачей данных размещение информации на веб-сайте, сервер которого находится в другой стране? С одной стороны, вроде бы да, поскольку информация, размещенная на веб-сайте a priori доступна пользователям со всего мира, а реализация доступа к ней с технической точки зрения представляет собой обмен данными между таким веб-сайтом и компьютером пользователя. С другой стороны, очевидно, что столь широкое понимание трансграничной передачи данных фактически превратит регулирование такой передачи в регулирование процесса обмена информацией в сети Интернет. С практической точки зрения такой подход перечеркнет смысл наличия специальных норм о трансграничной передаче данных: из специальных норм они превратятся в общие и окажутся просто не в состоянии "переварить" тот объем информации, который имеет место в сети Интернет, превратившись в один из наиболее декларативных компонентов всего законодательства о персональных данных.
В свое время данный вопрос встал перед Европейским судом, который, руководствуясь прагматическими соображениями, признал отсутствие трансграничной передачи данных при размещении персональных данных на веб-сайте, безотносительно к месту расположения сервера, на котором такой веб-сайт расположен. По мнению суда, при размещении информации на веб-сайте отсутствует факт ее автоматической передачи множеству пользователей из разных стран: такая передача происходит по инициативе пользователя, а не лица, разместившего информацию. Суд также указал, что иной подход повлек бы распространение законов ЕС о персональных данных на весь Интернет, что явно не входило в намерения европейских законодателей <1>. Представляется, что данная правовая позиция является актуальной и в российских условиях как минимум в силу схожести исходных регулятивных положений, а как максимум - в силу ее разумности.
--------------------------------
<1> Bodil Lindquist, ECJ Case C-101/01. 06.11.2003.
Завершая рассмотрение положений о трансграничной передаче персональных данных, необходимо отметить следующее. Лицо, осуществляющее предпринимательскую деятельность в сети Интернет либо отдающее на аутсорсинг те элементы своего бизнеса, которые связаны с персональными данными (IT- инфраструктура, бухгалтерия и т.д.), сталкивается с потенциальной трансграничной передачей персональных данных. В связи с этим в политику конфиденциальности и договоры с субъектами персональных данных целесообразно включать условия о согласии на такую передачу, по возможности как можно более конкретно сформулированные. Даже если изначально предполагается, что в качестве страны - импортера данных выступит государство, обеспечивающее с точки зрения ст. 12 Закона о персональных данных адекватный уровень защиты, все равно нельзя быть уверенным в том, что эта информация в силу технических причин или изменившейся коммерческой ситуации не окажется в иной, менее "благонадежной" стране. В случае же с обработкой персональных данных граждан ЕС включение таких положений является практически абсолютной необходимостью в свете усиления регулятивной политики в данном направлении и существенном повышении штрафов.
§ 3. Ответственность за несоблюдение требований
законодательства о персональных данных
В соответствии со ст. 24 Закона о персональных данных лица, виновные в нарушении требований указанного Закона, несут предусмотренную законодательством Российской Федерации ответственность. Поскольку указанная норма является отсылочной, то установление конкретных видов правонарушений и применение соответствующих мер ответственности регулируются иными нормативными актами.
Основной и наиболее распространенной формой ответственности за нарушение положений законодательства о персональных данных является административная ответственность. КоАП РФ содержит несколько составов, применимых к нарушениям в указанной сфере:
1) ст. 13.11 КоАП РФ: "нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)", предусматривающая ответственность в виде предупреждения или наложения штрафа на граждан - в размере от 300 до 500 руб.; на должностных лиц - от 500 до 1000 руб.; на юридических лиц - от 5000 до 10000 руб. В качестве органа, уполномоченного на возбуждение административного правонарушения по данной статье, выступают органы прокуратуры, рассмотрение дела осуществляется судом. Данный состав является основным и применяется к большинству случаев нарушения оператором установленных обязанностей по обработке персональных данных (осуществление обработки данных без получения согласия субъекта персональных данных, передача персональных данных третьим лицам) <1>;
--------------------------------
<1> См., например: Постановление ФАС Уральского округа от 13 января 2012 г. N Ф09-9061/11.
2) ст. 5.39 КоАП РФ: "отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации", предусматривающая ответственность в виде наложения на должностных лиц штрафа в размере от 1000 до 3000 руб. В качестве органа, уполномоченного на возбуждение административного правонарушения по данной статье, выступают органы прокуратуры, рассмотрение дела осуществляется судом. Данный состав направлен на защиту права субъекта персональных данных на доступ к информации об осуществляемой обработке его персональных данных, предусмотренную ст. 14 Закона о персональных данных;
3) ч. 2 ст. 13.12 КоАП РФ: "использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации", предусматривающая ответственность в виде штрафа на граждан в размере от 300 до 500 руб. с возможной конфискацией несертифицированных средств защиты; на должностных лиц - от 1000 до 2000 руб.; на юридических лиц - от 10000 до 20000 руб. с возможной конфискацией несертифицированных средств защиты. В качестве органа, уполномоченного на возбуждение и рассмотрение административного правонарушения по данной статье, выступают органы федеральной службы безопасности. Следует учитывать, что диспозиция данной санкции охватывает случаи, когда осуществляется использование несертифицированных средств защиты информации в то время, как нормативным актом предусмотрена их обязательная сертификация. Сертификация является лишь одной из форм подтверждения соответствия наряду с иными (государственный контроль (надзор), испытания, регистрация, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме - ч. 3 ст. 7 Закона о техническом регулировании). В настоящее время установлено лишь требование о том, что средства защиты информации, используемые в информационной системе, должны пройти процедуру оценки соответствия (п. 4 Приказа ФСТЭК России от 18 февраля 2013 г. N 21). Про то, что такая оценка соответствия должна проводиться исключительно в форме обязательной сертификации, там ничего не говорится. Так или иначе, ранее уже отмечалось, что у ФСТЭК России есть свое видение данного вопроса;
4) ст. 19.7 КоАП: "Непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде", предусматривающая ответственность в виде штрафа на граждан в размере от 100 до 300 рублей; на должностных лиц - от 300 до 500 рублей; на юридических лиц - от 3000 до 5000 рублей. Данная статья применима к случаям ненаправления оператором персональных данных уведомления в Роскомнадзор об обработке персональных данных в тех случаях, когда оно должно было быть направлено <1>.
--------------------------------
<1> См.: Постановление Двенадцатого арбитражного апелляционного суда от 1 сентября 2011 г. по делу N А06-858/2011.
Следует отметить, что в соответствии с ч. 3 ст. 2.1 КоАП РФ в случае совершения юридическим лицом административного правонарушения и выявления конкретных должностных лиц, по вине которых оно было совершено (ст. 2.4 КоАП РФ), допускается привлечение к административной ответственности по одной и той же норме как юридического лица, так и указанных должностных лиц <1>.
--------------------------------
<1> См.: п. 15 Постановления Пленума Верховного Суда РФ от 24 марта 2005 г. N 5 "О некоторых вопросах, возникающих у судов при применении Кодекса Российской Федерации об административных правонарушениях".
Однако даже при совокупном наложении штрафа на должностное лицо и юридическое лицо очевидно, что его размер является далеко не самым высоким, что существенно снижает превентивную функцию административной ответственности. Это осознает и Роскомнадзор, который выступил в качестве инициатора внесения изменений в КоАП РФ. С законопроектом можно ознакомиться на сайте Роскомнадзора <1>.
--------------------------------
<1> http://www.rkn.gov.ru/docstore/doc1353.htm?print=1. См. также: Керенский И.В. Роскомнадзор предлагает в разы увеличить штраф за нарушение правил обработки персональных данных // СПС "КонсультантПлюс".
Данный законопроект предлагает закрепление дифференцированного подхода к правонарушениям в сфере оборота персональных данных. Так, в отдельные составы могут быть выделены правонарушения оператора персональных данных, обработка персональных данных без согласия субъекта персональных данных, незаконная обработка специальных категорий персональных данных и несоблюдение условий трансграничной передачи персональных данных. Существенно увеличивается размер штрафов, максимальный размер в отношении юридических лиц может составить 700000 руб. либо в размере 2% совокупного дохода за прошедший отчетный год.
Для того чтобы определить, много это или мало, имеет смысл посмотреть, какой размер штрафов за нарушения законодательства о персональных данных установлен в странах Европы. Так, например, максимальный штраф за серьезное нарушение законодательства о персональных данных в Великобритании составляет 500000 ф. ст. <1>. Во Франции размер штрафа за единичное нарушение может достигать 150000 евро, за повторное - до 300000, или 5% годового дохода <2>. В Германии средний штраф составляет 50000 евро, максимальный штраф - 300000 евро <3>. Причем Германии есть чем похвастаться в данной области. В октябре 2009 г. к ответственности за нарушение законодательства о персональных данных был привлечен крупнейший оператор железных дорог в Германии, компания Deutsche Bahn AG, которой был назначен штраф в размере 112350350 евро.
--------------------------------
<1> Information Commissioner's Guidance About the Issue of Monetary Penalties Prepared and Issued Under Section 55C (1) of the Data Protection Act 1998. 2012. Section 5.1.
<2> Art. 47 Loi relative la protection des personnes physiques des traitements de personnel et modifiant la loi. N 78 - 17 du 6 janvier 1978 relative l'informatique, aux fichiers et aux .
<3> § 43 Bundesdatenschutzgesetz 2009.
В проекте Общего регламента о защите персональных данных предлагается не только унифицировать принятые в отдельных странах ЕС размеры штрафов, но и повысить их. Так, максимальный штраф составит 100000000 евро, или до 5% годового мирового дохода <1>.
--------------------------------
<1> Art. 79 Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) Updated version: http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/dv/comp_am_art_30-91/comp_am_art_30-91en.pdf.
Так, максимальный штраф за непредоставление ответов на запросы субъектов персональных данных или регулятора составит 250000 евро, или 0,5% годового мирового дохода; за нарушение положений регламента - 500000 евро, или 1% годового мирового дохода; за нарушение специальных положений регламента - 1000000 евро, или до 2% годового мирового дохода <1>.
--------------------------------
<1> Art. 79 Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) // http://www.ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf.
Как видно, предлагаемые в законопроекте Роскомнадзора штрафы за нарушение персональных данных существенно не дотягивают по размерам до среднеевропейских. Про действующие же ныне штрафы вообще говорить смешно. Для многих компаний с традиционным российским менталитетом гораздо проще оставить все как есть и заплатить штраф, чем погружаться в хитросплетения требований законодательства, привлекать специализированные компании и приобретать специальную инфраструктуру. Очевидно, что такое положение вещей ставит субъектов электронной коммерции в неравное положение. Добросовестные участники, которые дорожат своей репутацией, а также те, которые ведут внешнеэкономическую деятельность со странами Европы, будут прилагать усилия по обеспечению соблюдения требований законодательства Российской Федерации о персональных данных. Все остальные участники отечественного оборота в большинстве случаев не будут демонстрировать того же рвения. Учитывая избирательный подход отечественных правоприменительных органов к выбору мишеней для проверок, нетрудно догадаться, какие именно компании попадут под их прицел. А принимая во внимание запутанный характер и весьма обтекаемые формулировки отечественного законодательства о персональных данных, найти несоответствия будет не так сложно, даже если оператор приложил максимум усилий для того, чтобы сделать "все по закону". Так что штрафы, конечно, повышать нужно, чтобы хотя бы не было стыдно говорить об их размерах в пересчете на доллары или евро зарубежным коллегам. Но пока не будут решены глобальные проблемы отечественного правоприменения (коррупция, некомпетентность, избирательность), повышение штрафов ляжет бременем на добросовестные компании, не достигая главного источника утечек персональных данных: государственных органов и no-name компаний.
Дата добавления: 2015-08-02; просмотров: 84 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Глава 9. ПЕРСОНАЛЬНЫЕ ДАННЫЕ В СФЕРЕ ЭЛЕКТРОННОЙ КОММЕРЦИИ 3 страница | | | Глава 9. ПЕРСОНАЛЬНЫЕ ДАННЫЕ В СФЕРЕ ЭЛЕКТРОННОЙ КОММЕРЦИИ 5 страница |