Хранение персональных данных на территории России: права потребителей и обязанности российских компаний
Компании, распространяющие свою цифровую продукцию на территории РФ, должны соответствовать ФЗ 152 — Федеральному закону «О персональных данных» от 2006 года. Он регулирует деятельность по обработке и использованию персональных данных граждан РФ. Закон регламентирует защиту персональных данных, содержат правила обработки и обеспечения персональных данных.
Чтобы какая-то организация или компания могла собирать ваши данные, необходимо получить согласие на их обработку. Это можно сделать, получив письменное согласие, но чаще всего согласие получается через интернет, когда пользователь ставит отметку о согласии на обработку данных. В этом случае на сайте компании сборщика данных должна быть размещена Политика конфиденциальности.
Нарушение закона о персональных данных грозит определенными санкциями. Если компания не защитит информацию о вас, и к ней получат доступ злоумышленники, то ее оштрафуют. Роскомнадзор регулярно проводит плановые и внеплановые проверки сайтов. Последние происходят по заявлениям граждан. Если разработчик хоть в чем-то не соблюдает закон, то рискует оказаться фигурантом административного или уголовного дела. Любой пользователь может написать жалобу за использование его персональных данных. В России уровень и глубина проверок на соответствие 152 ФЗ дискутируется экспертами.
Говоря о 152 ФЗ, невозможно не упомянуть также его европейского коллегу
GDPR
(General Data Protection Regulation) или Общий регламент по защите данных. Хоть и
GDPR
вступил в силу на 10 лет позже, но по большому счету это глобального обновление закона от 1995 года Data Protection Directive. В плане конфиденциальности
GDPR
идет немного дальше отечественного аналога и поднимает такие вопросы как детская конфиденциальность и ее определение, четкость определения персональных данных, прозрачность применения и обработки персональных данных, а также определение количества операторов персональных данных, в том числе предполагаемые действия, перенос и утечка.
С позиции GDPR каждое взаимодействие участников обработки персональных данных должно быть задокументировано. Если какая-то связь при передаче данных внутри оператора будет нарушена, появятся риски получить большие штрафы.
Пользователь в любое время имеет право прекратить пользоваться сервисом и потребовать удаления всех своих персональных данных. Операторы обязаны удалять их по первому запросу владельца, согласно закону о запрете распространения персональных данных граждан России, без их специального согласия, который вступил в силу с 1 марта 2021 года. Контролем за соблюдением этого закона занимается Роскомнадзор. Поэтому если какая-то компания, являющаяся оператором персональных данных, не удаляет их по требованию владельца, необходимо обращаться с жалобой в ведомство.
Роскачество, проводя исследования приложений, также оценивает соответствие политик конфиденциальности с законом. Всего в рамках правовой оценки находится 16 критериев, среди них:
·назначение политики и цели сбора данных,
·
методы обработки персональных данных,
·
перечень действий с персональными данными и срок их хранения.
Немаловажным пунктом является указание в политике ответственного за сбор данных, а также передача этих данных третьим лицам и вопрос, нужно ли получение отдельного согласия на эту передачу. Естественно, что для получения высоких баллов сервис должен располагать свои сервера на территории России и все данные наших соотечественников должны храниться внутри страны, как и требует этого закон.
Российские и иностранные приложения, получившие наивысший балл по правовой оценке по версии Центра цифровой экспертизы Роскачества:
·
Онлайн-аптеки; Ригла (4.74)
·
Фитнес
приложения
; adidas Training by Runtastic (4,77)
·
Такси; maxim — заказ такси, доставка продуктов и еды (4,82)
·
Доставка продуктов; СберМаркет: Доставка продуктов (4,81)
·
Видеосвязь; VK — социальная сеть и звонки (4,68); ZOOM Cloud Meetings (4,36)
·
Онлайн-кинотеатры; PREMIER — сериалы, фильмы, ТВ (5,0)