Защита персональных данных в разных странах реферат

Обновлено: 02.07.2024

Вернёмся в семидесятые, чтобы посмотреть, как, в общих чертах, развивался законодательный подход к защите персональных данных.

Принятие GDPR (General Data Protection Regulation) было по-настоящему важным событием как для европейцев, так и для компаний, работающих на европейском рынке. Но, несмотря на вызванный резонанс, это — не единственный и уж точно не первый в мире регламент, регулирующий обработку персональных данных. Исторически GDPR — не революционное, а эволюционное решение. Различные законы о защите права на неприкосновенность частной жизни и безопасности соответствующих данных принимались, обновлялись и дополнялись долгие годы.

В 1970 году в немецком штате Гессен был принят первый современный закон о защите персональных данных. Идеологи этого документа предложили регулировать электронную обработку данных, связанных со сбором налогов, ЖКХ и другими муниципальными сервисами. Касалось это лишь местных властей и их подрядчиков — частный сектор оставался нетронутым.

На национальном уровне первый подобный закон — Datalgen (букв. Data Act) — был принят тремя годами позже в Швеции. На тот момент эта страна была чуть ли не самой компьютеризованной в мире – начиная с 60-х годов большая часть государственных данных хранилась на магнитных лентах. Возможные последствия автоматической обработки такого объема данных и их неизбежная централизация беспокоили правительство, что привело к принятию этого закона.

Главным отличием Datalgen от его немецкого предшественника было то, что он регулировал частный сектор. Для получения права на хранение данных граждан в форматах, позволявших автоматическую обработку, бизнесы были обязаны обратиться в Инспекцию по защите данных (Data Inspection Board). Единых правил для работы с персональными данными этот закон не прописывал, но с каждой лицензией выдавался индивидуальный список условий. Неповиновение закону влекло за собой штрафы, конфискацию данных и даже тюремные сроки.

Также подверглась регулированию работа с данными граждан в тех случаях, когда она подразумевала трансграничную передачу персональной информации. Профсоюзы, политические партии и религиозные организации, координировавшие деятельность с зарубежными коллегами, были вынуждены обратиться за специальной лицензией.

С самого начала было понятно, что к регуляции подобных интернету телекоммуникационных сетей закон не был приспособлен. С того времени его несколько раз пересматривали. В 1993-м закон решили существенно переделать, а в 1995-м Швеция вступила в ЕС и начала внедрять у себя общеевропейские нормы и требования, регулирующие работу с персональными данными.

В 1974 году американский сенат принял федеральный закон о праве на неприкосновенность частной жизни (Privacy Act). Он ужесточил требования для обработки персональных данных федеральными министерствами. Помимо этого, для граждан США был расширен доступ к документации, имеющей отношение к их персональным данным.

От справок об образовании до судебных документов — любое государственное агентство обязали по запросу предоставить соответствующую информацию. Это право не распространялось на связанные с человеком секретные документы и материалы судебных процессов. Хотя граждане получили право внести коррективы в полученные данные при наличии ошибок и некорректной информации.

Именно этот, принятый в 1995 году, закон защищал права европейцев до вступления в силу GDPR. Согласно нему, до начала обработки персональных данных третьи лица были обязаны получить согласие на то человека и обосновать необходимость этого процесса. Те же принципы лежат в основе нового европейского законодательства.

Законодательство о защите персональных данных в США до сих пор представляет собой разрозненный набор локальных нормативных актов и узкоспециализированных федеральных законов. Последние, регулирующие банковские организации (FCRA, 1970 и GLB, 1999), медицинские учреждения (HIPAA, 1996) и телекоммуникации (ECPA, 1986) затрагивают обработку персональных данных. Не покрывающиеся этими законами случаи зачастую регулируются на уровне штата.

Часть работы по защите пользовательских данных ложится на плечи Федеральной торговой комиссии США, основанной в 1914 для пресечения картельных сговоров и защиты прав потребителей. Она вправе открывать дела против компаний за недобросовестное отношение к защите персональных данных и их противозаконное использование в работе бизнеса.

Например, одним из законов, за соблюдением которого следит ФТК, является принятый в 1998 году Children’s Online Privacy Protection Act (COPPA). Он запрещает сбор данных о пользователях младше 13 лет без согласия родителя или опекуна. Именно из-за сложности подтверждения родительского согласия большая часть социальных сетей отказывается регистрировать детей.

На протяжении 18 лет — с 1993 по 2011 — Россия вела переговоры о вступлении в ВТО. 7 ноября 2001 года, выполняя очередное из условий организации, страна подписала вышеупомянутую Конвенцию Совета Европы о защите персональных данных. Этот документ стал основой российских законов, регулирующих аспекты обработки персональных данных. Результат труда законодателей был подписан в 2006 году и введён в силу годом позже.

Чтобы понять, что делать, европейская комиссия начала опрашивать граждан на тему их отношения к защите персональных данных. В 2012 году полученная обратная связь легла в основу черновика нового закона, теперь известного под названием GDPR. В 2016 закон был принят, а в 2018 вошел в полную силу.

Теперь граждане ЕС могут требовать от поисковых систем удаления связанных с ними данных из поисковой выдачи без каких-либо причин, кроме собственного желания. Права, позволяющие контролировать распространение информации о себе в интернете, также имеются у граждан Индии и Аргентины.

1 июня в Китае вошёл в силу первый национальный Закон о кибербезопасности. Согласно нему, компании должны защищать персональные данные пользователей от незаконного использования, потери, искажения или повреждения. Ранее в Китае существовали десятки разрозненных директив и правил в разных законодательных сферах. Закон о кибербезопасности стал первым подобным документом, действующим на макроуровне.

Новый закон делит информационные системы на пять категорий. В первые две попадают компании, чья кибербезопасность не представляет интереса для государства. Компании третьей категории и выше обязаны раз в два года проходить проверку у одного из агентств-подрядчиков и отчитываться о проделанном аудите перед Бюро общественной безопасности.

Закон о кибербезопасности также включает в себя директивы, в целом связанные с сектором IT. Помимо прочего, он регулирует VPN и трансфер информации за пределы страны. Например, в ответ на эти меры Apple перевели данные китайских пользователей iCloud в дата-центры на территории Китая.

Несмотря на то, что Великобритания была членом ЕС на момент вступления в силу GDPR, она параллельно вела работу над собственным Актом о защите информации. Чтобы избежать инфраструктурного коллапса после потенциального выхода страны из ЕС, закон сделали полностью совместимым с GDPR.

Однако, в отличие от общеевропейской директивы, британский Акт регулирует сферы, находящиеся вне юрисдикции ЕС, — такие, как иммиграция и национальная безопасность.

В данный момент внимание общественности обращено на ситуацию в развитых странах. Но подобные законодательные меры принимаются не только там. Международная компания DLA Piper сравнила законы разных стран по защите данных и составила карту, наглядно демонстрирующую отличия между ними.

Статья 4(1) GDPR определяет персональные данные как любую информацию, которая относится к физическому лицу, являющемуся их субъектом. К ней могут относиться такие идентификаторы человека, как имя, сведения о местонахождении, онлайн-идентификаторы (компьютера или смартфона), а также сведения, специфические для данного конкретного индивидуума с точки зрения физиологии, генетики, интеллекта, экономики или культуры.

Если дело касается граждан или компаний Евросоюза, то находится ли технически при этом оператор ПД (контроллер, если он собирает персональные данные, или процессор, если он их обрабатывает) в ЕС или за его пределами, с точки зрения закона абсолютно одинаково — в том числе и в плане последствий за его нарушение.

При этом надо заметить, что невыполнение правил GDPR ведет к наложению крупных штрафов вплоть до 20 миллионов евро или до 4 процентов от выручки (в зависимости от того, какая сумма в итоге будет больше), За отсутствие сотрудника по защите данных там, где это нужно по закону, или же за незаконную обработку персональных данных несовершеннолетнего еврорегламентом предусмотрены хоть и меньшие финансово, но все же весьма существенные штрафы — 10 миллионов евро или 2% от общего годового оборота предприятия.

Разработка китайского законодательства в области защиты ПД началась в ноябре 2016 года, когда китайский парламент — Постоянный Комитет Всекитайского собрания народных представителей (ПК ВСНП) — принял закон, запрещающий интернет-провайдерам собирать информацию о пользователях без их согласия. Этот закон официально вступил в силу с 1 июня 2017 года. И сейчас, несмотря на то, что вмешательство государства и компартии Китая пронизывает все сферы, в том числе и информационную, КНР в области защиты персональных данных в целом стремится идти по пути GDPR и выработать более-менее аналогичные стандарты по защите ПД.

США и Канада

Примечательно, что американские законы позволяют расследовать даже те преступления, связанные с компьютерной информацией, которые не направлены напрямую против граждан США, но имели место в отношении серверов, расположенных на территории Соединенных Штатов. Такая криминальная экстерриториальность вытекает из смысла статьи 15 Конвенции ООН против транснациональной организованной преступности от 15 ноября 2000 года, которая в таких случаях не ограничивает юрисдикцию пределами национального законодательства страны-участника.

Япония и Сингапур

В России, как и в Европе, после принятия основополагающих законодательных актов — Федерального закона № 152-ФЗ и GDPR соответственно — субъекты персональных данных получили стройную систему защиты своих прав. Но, несмотря на это, российское законодательство страдает рядом существенных пробелов и недостатков, которые бросаются в глаза.

В целом уже очевидно, что российские власти идут по пути Китая и пытаются нащупать хрупкий баланс между формальным невмешательством государства и законодательной охраной ПД с одной стороны, и необходимостью сбора и использования информации о гражданах РФ исключительно в собственных интересах, постепенно и исподволь вытесняя других субъектов из поля подобной деятельности. Как именно это будет выглядеть на практике. Как говорится, будем не ждать, а готовиться.

В современных бизнес-реалиях международные (глобальные) корпорации (далее – МК), присутствующие на рынках нескольких стран или даже континентов, являются основными адресатами национальных законов, регулирующих обращение с персональными данными (далее – ПД). Юридическая и бизнес-структуры таких МК (состоящие, например, из аффилированных юридических лиц, учрежденных в одной или нескольких странах; лиц, входящих в одну группу; или даже лиц, формально не аффилированных, но связанных долгосрочными соглашениями в рамках определенных бизнес-процессов и т.п.) неизбежно влекут необходимость постоянного осуществления взаимной передачи большого количества ПД между участвующими в структуре юридическими лицами.

В частности, такая взаимная передача ПД может быть необходима для:

внутренних целей поддержания структуры МК (например, оформления деловых поездок сотрудников, оформления перевода сотрудников между юридическими лицами в разных странах, организации центров процессинга для оптимизации процессов компании (общей обработки платежей в рамках региона) и т.п.);
проведения международных бизнес-операций МК (например, передачи ПД контрагентов, таких как общая контактная информация, информация для перевозок, информация в рамках электронной коммерции и т.п.);
передачи уполномоченным органам других стран (для целей осуществления таможенного и экспортного контроля, предоставления финансовой отчетности, лицензирования и сертификации, учреждения дочерних компаний и т.п.).

В последние годы национальные законодатели стали фактически придерживаться подхода к ПД как к еще одному виду ценных объектов, которые могут продаваться и покупаться (в различных правовых системах и национальных системах права их теоретическая классификация может быть различной – от имущества и имущественных прав до прав интеллектуальной собственности). Соответственно, для регулирования оборота ПД появляется ряд национальных и межнациональных нормативных правовых актов, которые будут регулировать оборот ПД в ближайшие десятилетия.

В связи с этим особо сложным и требующим неординарного подхода является выполнение противоречащих друг другу требований, например:

1. Общий регламент ЕС о защите ПД (General Data Protection Regulation или сокращенно – GDPR) одобрен Европарламентом 14 апреля 2016 г., вступил в силу 25 мая 2018 г. и является основополагающим и весьма подробным документом, регулирующим оборот ПД граждан стран ЕС.

В частности, GDPR обязывает получать предварительное согласие гражданина страны ЕС для использования его ПД для различных целей (например, для обработки его данных в рамках клиентской базы коммерческой организацией).

Другой не менее интересный документ – Закон Калифорнии о защите информации потребителей (California Consumer Privacy Law, 2018 г.), был принят в 2018 г. и полностью вступит в силу 1 января 2020 г. Это первый в США такого рода закон, остальные штаты работают в данном направлении, принятие ими аналогичных актов ожидается в ближайшие годы. Согласно названному закону потребитель (этот термин использован в максимально широком смысле, то есть включает в себя практически всех жителей Калифорнии) должен получить возможность исключить свои ПД из коммерческого оборота компании. Как GDRP, так и Закон Калифорнии, применяются экстерриториально в отношении соответствующих ПД, то есть любой обработчик ПД граждан ЕС независимо от его местонахождения обязан исполнять GDPR.

Соответственно, МК, собирающая ПД клиентов одновременно в США (что, вероятнее всего, будет включать штат Калифорнию как основной рынок внутри США) и в ЕС, должна предусмотреть два различных подхода к сбору данных, получению согласия и уведомлению владельцев ПД: для граждан ЕС нужно получать предварительное согласие для обработки, а для граждан Калифорнии – предоставить возможность вывести свои ПД из оборота (вероятно, последнее будет существенно сложнее осуществить, так как ПД могут быть уже использованы в различных бизнес-процессах, и придется предоставлять владельцу возможность исключить такие ПД из каждого из них).

2. Еще один пример – работа в юрисдикциях, требующих локализации всех или части ПД в пределах их территориальных границ (например, Россия или Китай (Закон о кибербезопасности Китая – China Cyber Security Law, 2017 г.). МК может столкнуться с трудностями при обработке ПД в третьей стране (например, для передачи ПД в общий дата-центр компании в целях обработки HR-документов или платежей). Для этого МК должна проанализировать, какие данные необходимы для обработки, ограничить передачу данных только набором необходимых данных, не передавать данные, ограниченные в передаче, и выполнять требования о локализации.

Для соблюдения законодательных требований МК должны внедрять в рамках своей структуры определенные практики, чтобы их дочерние юридические лица, учрежденные в различных юрисдикциях, могли эффективно соблюдать требования обработки ПД всех стран, где работает МК.

1. Универсальным решением является принятие МК общей политики по работе с персональными данными. Такая политика должна продолжать (и разъяснять) положения основной внутренней политики организации (как, например, Кодекса делового поведения и пр.). Данная внутренняя политика может взять в качестве общей основы общепризнанные основные принципы работы с ПД, разработанные независимой ассоциацией/международной организацией (типовые положения).

Наиболее часто встречающиеся примеры таких типовых документов:

Общепринятые принципы обращения с ПД (Generally accepted privacy principles or GAPP). GAPP разработаны путем совместных консультаций Канадского института дипломированных бухгалтеров и Американского института сертифицированных публичных бухгалтеров;
Принципы обращения с ПД Организации экономического сотрудничества и развития (Organization of economic cooperation and development or OECD);
Принципы обращения с ПД Азиатско-Тихоокеанского экономического сотрудничества (Asia-Pacific Economic Cooperation or APEC).

Структура типовых положений обычно включает следующие разделы (на примере GAPP): порядок оборота, уведомление об использовании, получения согласия, порядок сбора, использование и хранение, доступ к ПД, раскрытие третьим лицам, защита ПД, качество ПД.

Такая общая политика в силу ее универсальности и недетализированности ее положений всегда будет соответствовать требованиям нормативных правовых актов любого государства, регулирующих оборот ПД. Соответственно, можно порекомендовать российским компаниям, выходящим на международные рынки, принимать такую общую политику на основе типовых положений; это может способствовать успешному взаимодействию с иностранными партнерами, которые будут понимать, что политика компании в области ПД основана на общепризнанных и понятных им стандартах.

2. Еще один общепринятый подход к решению проблемы – внедрение локальных политик в отдельных компаниях группы МК. Этот процесс может включать в себя следующие этапы:

принятие обязательной локальной политики по ПД, отвечающей специальным требованиям соответствующей юрисдикции (например, в России – требование о назначении конкретного лица, ответственного за соблюдение политики/обработку ПД);
принятие локальной политики по ПД по усмотрению – даже когда местное законодательство специально не требует наличия такой политики (в том числе для того, чтобы положения глобальной политики МК стали обязательными для выполнения в конкретном юридическом лице, были переведены на местный язык и пр.);
предъявление к локальным поставщикам и контрагентам требований соответствовать основным положениям по защите ПД, принятым головной компанией/соблюдать политику локальной компании.

3. Во многих случаях принятие политик в компаниях группы МК недостаточно, поэтому необходимы точечные решения, например:

Соглашение о передаче ПД между юридическими лицами группы МК, как правило, включает в себя следующие основные разделы:

список участвующих сторон и определение процесса передачи ПД (например, какая сторона передает и какая сторона получает и обрабатывает ПД);
список ПД, которые будут передаваться, и связанные с этой передачей обязанности следовать правилам каждой юрисдикции в отношении сбора, обработки, передачи и хранения ПД;
определение предоставляемых услуг между сторонами (цель передачи) и необходимости передачи и обработки ПД;
список субподрядчиков по обработке ПД (кому участвующие лица могут делегировать обработку полученных ПД);
механизм добавления новых участников соглашения из той же группы компаний (присоединение).

В данной статье освещены лишь некоторые аспекты работы с ПД в рамках международных проектов. В любом случае интерес к сфере регулирования ПД со стороны регуляторов только растет, поэтому юристы и специалисты по работе с ПД в МК должны периодически проверять актуальность принятых мер.

В частности, такая взаимная передача ПД может быть необходима для:

внутренних целей поддержания структуры МК (например, оформления деловых поездок сотрудников, оформления перевода сотрудников между юридическими лицами в разных странах, организации центров процессинга для оптимизации процессов компании (общей обработки платежей в рамках региона) и т.п.);
проведения международных бизнес-операций МК (например, передачи ПД контрагентов, таких как общая контактная информация, информация для перевозок, информация в рамках электронной коммерции и т.п.);
передачи уполномоченным органам других стран (для целей осуществления таможенного и экспортного контроля, предоставления финансовой отчетности, лицензирования и сертификации, учреждения дочерних компаний и т.п.).

Наиболее часто встречающиеся примеры таких типовых документов:

Общепринятые принципы обращения с ПД (Generally accepted privacy principles or GAPP). GAPP разработаны путем совместных консультаций Канадского института дипломированных бухгалтеров и Американского института сертифицированных публичных бухгалтеров;
Принципы обращения с ПД Организации экономического сотрудничества и развития (Organization of economic cooperation and development or OECD);
Принципы обращения с ПД Азиатско-Тихоокеанского экономического сотрудничества (Asia-Pacific Economic Cooperation or APEC).

принятие обязательной локальной политики по ПД, отвечающей специальным требованиям соответствующей юрисдикции (например, в России – требование о назначении конкретного лица, ответственного за соблюдение политики/обработку ПД);
принятие локальной политики по ПД по усмотрению – даже когда местное законодательство специально не требует наличия такой политики (в том числе для того, чтобы положения глобальной политики МК стали обязательными для выполнения в конкретном юридическом лице, были переведены на местный язык и пр.);
предъявление к локальным поставщикам и контрагентам требований соответствовать основным положениям по защите ПД, принятым головной компанией/соблюдать политику локальной компании.

список участвующих сторон и определение процесса передачи ПД (например, какая сторона передает и какая сторона получает и обрабатывает ПД);
список ПД, которые будут передаваться, и связанные с этой передачей обязанности следовать правилам каждой юрисдикции в отношении сбора, обработки, передачи и хранения ПД;
определение предоставляемых услуг между сторонами (цель передачи) и необходимости передачи и обработки ПД;
список субподрядчиков по обработке ПД (кому участвующие лица могут делегировать обработку полученных ПД);
механизм добавления новых участников соглашения из той же группы компаний (присоединение).

Читайте также: