Проблема работы с персональными данными, их защиты стоит очень остро, нельзя сказать, что 152-ФЗ регулирует эту сферу полностью, так как ежедневно появляются все новые технические особенности, правовые коллизии, которые показывают нам несовершенство законодательства в этой отрасли. В период своего появления закон являлся скорее желательной мерой того времени, так как интернет и смартфоны еще не были так развиты и распространены, но вопрос сохранности личных данных уже назревал.

 Сейчас, когда идет глобальная цифровизация, проблема защиты персональных данных заключается в неспособности субъекта персональных данных повсеместно отслеживать их использование. Даже когда он регистрируется на сайте и указывает свои персональные данные, процент, что он дочитает условия использования своих ПД, крайне мал. Т.е. одна из проблем – низкая осведомленность субъектов ПД о том, как защитить личную информацию.

Есть еще один момент – с 1 марта 2021 года в силу вступили изменения в 152-ФЗ, которые позволяют гражданам при обращении к оператору требовать удаления своих персональных данных с ресурса. Но на практике это практически не представляется возможным, потому что администрации ресурса проще не выходить на связь, не отвечать на обращение. Добиться удаления своих данных в таком случае можно только обратившись в суд, но как отмечает судебная практика – таких прецедентов практически нет из-за сложности сбора доказательной базы.

Проблема сбора избыточных персональных данных пока практически не регламентирована. Например, один из принципов закона «О персональных данных» - обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки (ч. 5 ст. 3 закона о персональных данных)[1]. Тем не менее, на практике гражданину часто просто отказывают в обслуживании, если он не предоставит весь выдвинутый перечень ПД. Как пример – на входе в некоторые БЦ в Москве с паспорта гостя снимают скан, что вызывает вопросы о целесообразности данного шага и дальнейших целях использования данных паспорта, будут ли уничтожены эти сканы после того, как гость покинет здание?

Истории, связанные с «даркнетом» и так называемыми брокерами персональных данных, все чаще выходят на первый план. Сейчас в мире существует по разным оценкам более 4 тысяч компаний, предоставляющих базы данных за деньги. Основной источник сбора информации – это, конечно, данные с сайтов и сервисов, где неосмотрительные граждане соглашаются на все, не читая. Подозрительные приложения на смартфоны также запрашивают доступ к нашей геолокации, перепискам, фотографиям, камерам, а это огромный пласт информации, который можно потом выгодно продать корпорациям. Нельзя на сто процентов ответить, сколько зарабатывают информационные брокеры, но некоторые публикации говорят про миллиарды долларов. Financial Times упоминали недавно о том, что «даркнет» перекочевал в «телеграм», и именно там базируются киберпреступники[2].

Что касается сложностей в определении персональных данных, то закон в ст. 3 ФЗ от 27.07.2006 N 152-ФЗ "О персональных данных" трактует понятие “Персональные данные” (ПД), как любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), но так, как термин выглядит достаточно расплывчато, возникают вопросы – что относится к ПД, а что нет? Например, Роскомнадзор еще не смог в полной мере объяснить, является ли адрес электронной почты или ID персональными данными. И файлы cookies, которые сейчас требуются абсолютно на всех сайтах, являются сами по себе ПД? А просто ФИО всегда ли будут являться ПД? Существует мнение, что если адрес электронной почты носит имя или фамилию в названии, то это уже ПД.  И к сожалению, правоприменительная практика здесь очень разношерстна. Единого мнения нет у РКН и суда. Наказание же вполне реально: нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет административную ответственность по ст.13.11 КоАП РФ – штраф до 75 000 рублей максимум, или же незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении – ответственность уголовная с возможным лишением свободы, арестом или принудительными или исправительными работами.

Тем не менее, случаи утечек персональных данных происходят часто. В 2019 году Сбербанк пострадал от кражи ПД своих клиентов. В интернете тогда появилось сообщение, что данные более 60 млн кредитных карт украдены. Потом банк уточнил, что их всего 5 тысяч, и наказали руководителя одного из бизнес-подразделений за слив информации. А в сентябре этого года прошла информация, что из компании «Вымпелком» было украдено более 2 млн данных о клиентах сотового оператора «Билайн»[3]. Если это окажется правдой, то клиенты смогут требовать компенсацию за компрометацию персональных данных.

Мировая практика показывает, что еще не все страны разрешили вопрос регулирования ПД на своей территории. Лидером по защите персональных данных в мире, пожалуй, является Германия. Это первая в мире страна, которая законодательно закрепила в 1970 году защиту и неприкосновенность ПД в земле Гессен, в 1977 уже был принят Федеральный закон.  Контроль за исполнением закона осуществляет государственная комиссия по контролю за ПД. С конца 90-х Европейский Союз стремится унифицировать законодательство по защите ПД, и Германия подписала и ратифицировала несколько международных конвенций по защите частной жизни и персональных данных. Большой интерес вызывает канадский закон о защите ПД: он прописывает досконально все, что считается персональными данными индивида, и каждый гражданин вправе запросить в органах существующее о себе досье и исправить в нем то, что считает нужным. В США к защите персональных данных относятся далеко не так скрупулёзно, поэтому штаты и входят в список стран не обеспечивших должную неприкосновенность персональных данных. Нет там и специальных законов или даже пункта Конституции, который бы отвечал за сохранность ПД, хотя постоянно ведутся споры о такой необходимости.

[1] Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ (последняя редакция). URL: http://www.consultant.ru/document/cons_doc_LAW_61801/ (Дата обращения: 22.09.2021)

[2] Telegram emerges as new dark web for cyber criminals. Financial times. URL: https://www.ft.com/content/cc3e3854-5f76-4422-a970-9010c3bc732b (Дата обращения: 22.09.2021);

[3] URL: https://www.kp.ru/online/news/4440245/ (Дата обращения: 18.09)