«Мягкое право» для персданных

Помогут ли механизмы самоконтроля операторов в защите личной информации граждан

Для защиты субъектов персональных данных необходимо ввести элемент «мягкого права», поскольку, в дополнение к государственному, необходим самоконтроль операторов персданных, полагают в Роскомнадзоре. Эксперты одобряют эту инициативу и считают своевременной, ведь механизмы добровольной компенсации помогут смягчить для граждан ущерб от утечек информации. О том, как рынок видит реализацию «мягкого права», – в материале RSpectr.

КОНТРОЛИРУЙ СЕБЯ САМ

В рамках проекта ФЗ «Об административной ответственности» следует предусмотреть механизмы добровольной компенсации в случае нарушения операторами прав субъектов персональных данных, заявил замглавы Роскомнадзора Милош Вагнер на Петербургском международном юридическом форуме (ПМЮФ) 26 июня.

Милош Вагнер, Роскомнадзор:

– Эти механизмы позволят операторам персональных данных из административной ответственности перейти в гражданско-правовую плоскость.

«Мягкое право» – это хорошие практики, «белые книги», разъяснения контекста и правил работы с данными, которые имеют лишь рекомендательный характер, но не санкционированы властью в форме закона, поделился с RSpectr управляющий партнер Comply Артем Дмитриев. Такие или похожие инструменты, по его словам, уже есть, например, «белая книга» Ассоциации больших данных (АБД).

Артем Дмитриев, Comply:

– Здорово, что эта тема была акцентирована в выступлении Милоша Вагнера. Ведь важно понимать, что без прямого участия контролирующих органов в работе над нормами такого права вряд ли получится сделать его безопасным и комфортным для применения всеми участниками рынка, в том числе субъектами персданных.

Для того чтобы «мягкое право» начало работать,

необходима платформа для эффективного взаимодействия бизнеса и государства в форме, например, совета с участием Минцифры и Роскомнадзора

А также экспертного и бизнес-сообществ, продолжил юрист. Это, по его мнению, позволит обеспечить реальное и оперативное воздействие принимаемых на платформе решений на рынок, в том числе на правоприменительную практику и создание того самого «мягкого права».

К наиболее приоритетным и очевидным направлениям «мягкого права» Артем Дмитриев относит проработку и согласование с контролирующими органами концепций opt-out (конклюдентных) согласий и законного интереса. При проработке этих концепций как раз могут быть учтены и рекомендованы дополнительные гарантии защиты прав субъектов ПД, например, эффективная механика отзыва субъектами таких согласий и возражения против обработки через формы отписок и стоп-листы, понятность субъектам условий такой обработки персданных (рекомендации к уведомлениям, стандартизированные иконки в приложениях и на сайтах).

«Кроме совершенствования согласий, другими перспективными направлениями для обсуждения и проработки мягкого права должны быть вопросы обезличивания данных, понятные и прозрачные критерии для добровольной оценки соответствия операторов ПД», – полагает эксперт.

По мнению Артема Дмитриева, по этим направлениям

при совместной работе государственных органов, экспертного и бизнес-сообществ должны разрабатываться методические рекомендации и отраслевые стандарты

НЕ ДОВОДИ ДО ПРЕДЕЛА

В настоящее время Советом по этике работы с данными рассматривается рекомендуемая практика по компенсациям в случае утечки, сообщили в Ассоциации больших данных. Кроме того, весной 2024 года ряд крупных компаний подписал «Отраслевой стандарт защиты данных», в котором содержатся дополнительные обязательства по защите подобной информации.

Пресс-служба, Ассоциация больших данных:

– Бизнес независимо от регулирования заинтересован прежде всего в защите данных и лояльности пользователей. В Бразилии, Индии, Южной Корее, странах ЕС и США инициативы саморегулирования и самоконтроля являются одним из основных смягчающих обстоятельств в ситуации выбора меры ответственности за утечки.

Механизмы самоконтроля и добровольной компенсации не помогут в защите персональных данных, они направлены на досудебное урегулирование последствий, рассказал RSpectr ИТ-архитектор практики «Технологическая трансформация» в компании «Рексофт Консалтинг» Григорий Гашников.

Григорий Гашников, «Рексофт Консалтинг»:

– Полагаю, что «мягкое право» предлагается в противовес строгости требований существующего законодательства. Они приводят к существенному количеству запросов операторов персональных данных к Роскомнадзору по согласованию трактовки их частных обстоятельств обработки персданных.

Возможность добровольной компенсации вводится как раз для того,

чтобы не квалифицировать все прецеденты с утечкой данных как уголовную ответственность

Для этого остается поле урегулирования спора между оператором и субъектом в рамках гражданского права, так как оценка ущерба – часто сложно реализуемая процедура, продолжил эксперт.

По его словам, утечка информации о количестве заказов в онлайн-сервисе с адресами и номерами карт гражданина – это неприятная для субъекта персданных ситуация. Но, если нет прямого ущерба в связи с этой утечкой, косвенный, репутационный или иной ущерб доказать непросто. Поэтому для операторов ПД появляется установленная законодательно возможность самим изначально обозначить лимит компенсации, на который может согласиться сторона, считающая себя пострадавшей.

ВОПРОС В СУММЕ

По мнению заместителя генерального директора по науке «СиСофт Девелопмент» Михаила Бочарова, для защиты персональных данных граждан могут быть эффективны следующие механизмы самоконтроля и добровольной компенсации операторов ПД:

• повышение ответственности и назначение ответственных структур внутри компании;
• осознание всеми участниками процесса обработки, включая операторов и владельцев, возможных угроз и необходимости обеспечения безопасности данных;
• уверенность операторов в своих намерениях при обработке персональных данных и ограничение доступа к ним.

Эти меры помогут создать более ответственное отношение к персональным данным и повысить уровень их защиты, подчеркнул он в беседе с RSpectr.

Добровольная компенсация пострадавшим гражданам со стороны операторов, допустивших утечку, может сработать, но встает вопрос, насколько граждане посчитают сумму компенсации приемлемой, обратил внимание RSpectr адвокат, партнер Privacy Advocates Александр Партин.

Александр Партин, Privacy Advocates:

– Например, при очень маленькой сумме (с точки зрения затронутых субъектов) компания-оператор может, наоборот, получить негативный отклик и ухудшить свою репутацию. При этом с точки зрения самой компании общая сумма компенсации может как раз быть очень значительной.

Эксперт подчеркнул, что

оборотные штрафы и уголовная ответственность несут превентивную и карательную функции

Выплаты субъектам, по его словам, имеют компенсаторную функцию и должны смягчить негативные для граждан последствия от утечки.

Механизмы самоконтроля могут быть самые разные, например, добровольной сертификации, прохождения процедуры оценки соответствия на выполнение требований определенных стандартов, прокомментировал RSpectr основатель Privacy Advocates Алексей Мунтян. Проблема, по его словам, заключается в том, что данная инициатива является попыткой «утопающих» спасти самих себя.

Алексей Мунтян, Privacy Advocates:

– У нас отсутствуют системы сертификации и каких-либо стандартов, которые напрямую решают вопросы подтверждения комплаенса со стороны компаний, есть только представления отдельных компаний, которые внедряют у себя эти принципы.

Эксперт не согласен с трактовкой, что из административной плоскости ответственность перейдет в гражданско-правовую. Выплата добровольной компенсации, по его словам,

не означает, что субъекты лишатся права подавать исковые требования к компаниям

«Мы наблюдаем определенную рассинхронизацию между ужесточением государственного регулирования и введением механизмов самоконтроля», – отметил Алексей Мунтян. Поскольку инициатором законопроектов по ужесточению ответственности операторов ПД и введению уголовной ответственности наряду с оборотными штрафами является ИТ-комитет Госдумы. Минцифры и Роскомнадзор занимаются этим вопросом более профессионально, и они, видимо, понимают, что ужесточение ответственности будет иметь ограниченный эффект, полагает он.

Проблема, по мнению юриста, кроется не в отсутствии жесткой ответственности за утечки персональных данных, а гораздо глубже. Даже глубже, чем несовершенство 152-ФЗ «О персональных данных»:

бизнес пока дестимулирован минимизировать обработку ПД, он не видит в этом для себя большого позитивного эффекта

«Поэтому такая работа должна носить системный и комплексный характер: не запугивать операторов огромными штрафами, а проводить разъяснительную работу в области безопасного обращения с персональными данными», – резюмировал эксперт.

Екатерина Лаштун

Изображение: RSpectr, Adobe Stock