28.11.2019
Совет Федерации одобрил закон о миллионных штрафах за нарушения операторами требований хранения персональных данных в РФ. Как отметили авторы законопроекта, неисполнение обязанности по локализации баз с персональными данными создает угрозу безопасности граждан, функционирования критической информационной инфраструктуры, препятствует эффективной борьбе с терроризмом и экстремизмом, поэтому необходимо принять стимулирующие соблюдение закона санкции за такие нарушения.
При первом нарушении штраф для должностных лиц составит от 100 до 200 тысяч рублей, для юридических лиц - от 1 до 6 миллионов рублей. За повторное нарушение штраф для граждан составит от 50 до 100 тысяч рублей, для должностных лиц - от 500 до 800 тысяч, для юридических лиц - от 6 до 18 миллионов рублей.
Россия еще в 2014 году ввела закон, по которому все зарубежные интернет-компании должны хранить данные российских пользователей на российских серверах. Когда Facebook и Twitter оштрафовали на смехотворные 3000 рублей за несоблюдение закона, стало понятно, что штрафы надо поднимать — тянуть больше нельзя. Поправки в закон уже почти приняты. Но актуален еще и вопрос о том, какие инструменты необходимы Роскомнадзору, чтобы эффективно взымать штрафы с зарубежных компаний и есть ли альтернативы штрафам и пресловутым блокировкам?
25 ноября поправки в закон о повышении штрафов за нарушение локализации персональных данных на территории России были направлены Президенту. Крупные взыскания за нарушение законов о персональных данных с недавнего времени применяются и в других странах. В ЕС действует закон о защите данных в Евросоюзе (GDPR), который вступил в силу в 2018 году. В соответствии с ним, компании могут собирать только те персональные данные европейских пользователей, которые «абсолютно необходимы» для ведения бизнеса. Штрафы за нарушение GDPR внушительны. В июле British Airways была оштрафована на $230 млн за раскрытие данных 500 тыс. клиентов. Позднее сеть отелей Marriot оштрафовали по аналогичному случаю на $123 млн. При этом в Европе данные могут передаваться и в другие страны, но только в те, где есть гарантии защиты. Эксперты отмечают: закон ЕС настолько суров, что их барьеры вкупе со штрафами де-факто означают локализацию. Тем временем, Калифорния в этом году приняла закон о неприкосновенности частной жизни потребителей (CCPA). Как и GDPR, он позволяет пользователям узнать, какие данные о них собирают компании. Кроме того, можно потребовать удаления или запретить продажу своих данных. За нарушение будут взимать до 7500 долларов за каждого пользователя. Ужесточение законов в США ожидается и на федеральном уровне: на днях в Конгрессе предложили регулярно вызывать руководителей крупнейших технологических компаний для отчетов, чтобы они подробно излагали о совершенствовании своих мер, связанных с оборотом персональных данных. Помимо полной локализации персональных данных, принятой, в том числе в России, возможны и более компромиссные модели. Например, определяются данные, которые стоит локализовать и те, которые перемещаются свободно. Если утекают локализованные данные – ответственность очень серьезная. К примеру, локализацию можно ограничить только для общественно-важных данных из таких сфер как финансы, здравоохранение, национальная безопасность. Турция, например, требует от банков и операторов платежных систем, чтобы их серверы находились на территории страны. Австралия и Канада запрещают хранение или обработку личной электронной медицинской информации за пределами страны. Если в РФ закон о локализации будет дополняться, а санкции – возрастать, возможно, и нам придется очертить круг данных для строгой локализации, а какую-то несущественную информацию позволить хранить, в том числе за рубежом, если, конечно, общество и законодатели посчитают такую меру целесообразной. По словам законодателей, суммы штрафов сопоставимы с затратами на перенос серверов. Взимание процента от выручки компании, как меру для особо крупных игроков, как идея уже продвигается в Великобритании. Там с Facebook и Google планируют взыскивать до 4 % от глобальной выручки, если те не смогут своевременно избавляться от противозаконного контента на своих платформах, аналогичная мера может быть принята и в отношении персональных данных. Альтернативой штрафам и блокировкам представляется ограничение на рекламу в России. Обсуждения «цифрового налога» идут в Европе больше года. Связаны они с тем, что компании получают доходы от интернет-рекламы в разных странах, а налоги платят только в одной. Для соцсетей и компаний, продающих рекламу в интернете, предлагают взимать 3 % от прибыли.