Полное имя, дата рождения, данные документов, информация о здоровье и т.д. Это не просто информация, а персональные данные, то есть данные, позволяющие идентифицировать человека. С появлением и развитием технологий персональные данные распространяются все быстрее и быстрее. В современной цифровой реальности такая информация может быть использована против человека.
По этой причине государства по всему миру стараются обеспечить защиту персональных данных своих граждан.
Европа
Для защиты персональных данных Европейский союз (ЕС) принял Общий регламент по защите данных (GDPR). Документ был принят в апреле 2016 года и вступил в силу в мае 2018 года; он распространяется не только на страны-члены ЕС, но и на любое юридическое лицо, которое обрабатывает персональные данные граждан ЕС, даже если это иностранное юридическое лицо.
Основными принципами GDPR являются:
- Принципы законности, справедливости и прозрачности. Персональные данные должны быть получены законным и справедливым путем, с согласия субъекта данных.
2. Ограничение цели. Цель сбора данных должна быть четко указана в момент сбора, и данные не должны использоваться для каких-либо других целей.
3. Минимизация данных. Не должно собираться больше данных, чем необходимо для достижения конкретной цели.
4. Точность. Личные данные должны быть точными, полными и актуальными. Ошибки или неточности в личных данных должны быть исправлены.
5. Ограничение хранения. Данные не могут храниться дольше, чем это необходимо для достижения цели, для которой обрабатывается информация.
6. Целостность и конфиденциальность. Личные данные должны быть защищены от потери, несанкционированного доступа и уничтожения.
7. Подотчетность. Компании, работающие с данными, несут ответственность за соблюдение требований GDPR. Нарушение этих требований влечет за собой огромные штрафы.
В европейских странах приняты национальные законы о защите персональных данных. Например, такие законы есть в Германии, Исландии, Дании, Испании и Франции. Они основаны на вышеуказанных принципах и, по сути, уточняют и конкретизируют положения GDPR.
Соединенные Штаты
В США федеральный закон устанавливает только обязательства органов государственной власти в области защиты персональных данных. Нормы, касающиеся юридических лиц, обрабатывающих персональные данные, принимаются на уровне штатов. Например, в Калифорнии в 2020 году был принят закон, устанавливающий правила сбора данных и работы с ними. Согласно этому закону, лица, пользующиеся услугами интернет-компаний, имеют право знать:
— какую информацию собирает интернет-компания;
— для каких целей интернет-компания собирает данные;
— как эти данные будут использоваться.
Люди также имеют право потребовать уничтожения своих данных и запретить передачу их третьим лицам.
Китай
С 2017 года действует закон, обязывающий интернет-провайдеров получать согласие пользователей на сбор их персональных данных. Китайское законодательство в этой области ориентируется на европейский опыт и нормы GDPR.
Япония
В Стране восходящего солнца с 2005 года действует Закон о защите персональных данных. Закон направлен, в частности, на обеспечение неотъемлемых прав японцев в их частной жизни. В соответствии с ним все японские веб-сайты, работающие с персональными данными, обязаны публиковать политику конфиденциальности. В политике конфиденциальности должны быть указаны меры, которые сайт принимает для защиты персональных данных своих пользователей.
Россия
Российский закон о персональных данных устанавливает обязанность юридических лиц принимать меры по защите персональных данных. Такие меры должны бытьдостаточнымидляпредотвращениянесанкционированногоилислучайногодоступак данным, их уничтожения, изменения, распространения и других неправомерных действий с ними. Эти меры можно разделить на следующие категории
— Правовые. Подразумевают создание ряда документов, необходимых для защиты персональных данных;
— Технические и организационные. Это действия, которые необходимо предпринять для обеспечения безопасности. Например, это внедрение шифрования и обучение сотрудников.
Российское законодательство содержит специальные требования по защите персональных данных для отдельных категорий юридических лиц. Например, существует перечень специальных мер для государственных органов; компании, подпадающие под действие GDPR, должны соблюдать их требования. Например, это компании, которые продают товары гражданам ЕС.
Нарушение закона о персональных данных влечет за собой административную и уголовную ответственность. Например, административная ответственность наступает, если компания нарушает Положение об обработке персональных данных. Штрафы для юридических лиц составляют от 30000 до 18 млн рублей. Это зависит от характера правонарушения.
Незаконный сбор или распространение информации о частной жизни физического лица, являющейся конфиденциальной для него или его семьи, без его согласия может повлечь за собой уголовную ответственность. От штрафа в размере до 200000 рублей до лишения свободы на срок до двух лет.
Беларусь
В Беларуси защита персональных данных регулируется Законом о защите персональных данных, который действует с ноября 2021 года. Закон устанавливает, в частности, требования к обработке персональных данных:
1. персональные данные могут обрабатываться в определенных целях Объем персональных данных, подлежащих обработке, зависит от цели будущей обработки. Информация, которая не требуется организации, не может быть запрошена. Например, интернет-магазин не может запрашивать у покупателя паспортные данные или почтовый адрес, если покупатель получает товар самовывозом.
Персональные данные могут обрабатываться только после получения согласия человека на их обработку. Из этого правила есть исключения, например, согласие не требуется в следующих случаях:
— ведение отдельных личных дел
— оформление трудовых отношений
2. Исполнение договора, заключенного с физическим лицом; и
3.Физическим лицам необходимо предоставить информацию, относящуюся к обработке их собственных данных
4. Данные должны быть достоверными и обновляться по мере необходимости.
5. Персональные данные не могут храниться дольше, чем это необходимо для выполнения цели, для которой они были собраны.
Узбекистан
В нашей стране защита персональных данных урегулирована Законом Республики Узбекистан «О ПЕРСОНАЛЬНЫХ ДАННЫХ». Принятый Законодательной палатой 16 апреля 2019 года и одобрен Сенатом 21 июня 2019 года.
Основные понятия, при веденные в 4 Статье сразу разъясняют обывателю все термины и значения.
В настоящем Законе применяются следующие основные понятия:
персональные данные, субъект персональных данных (субъект), база персональных данных, обработка персональных данных, и многие другие.
В 5 Главе — Защита персональных данных, статье 27 изложено самое важное — Гарантии защиты персональных данных. А именно Государство гарантирует защиту персональных данных.
Шерзод Буриев,
СЕО, Security Master Group