Не успел 519 –ФЗ вступить в силу 18 марта, как 23 марта 2021 Роскомнадзор предложил сразу три инициативы по регулированию законодательства в сфере персональных данных. Надзорный орган предложил распространить принципы закона о персональных данных на иностранные интернет-площадки, обязать операторов персональных данных возмещать ущерб в случае неправомерной передачи персональных данных и ограничить трансграничную передачу персональных данных.
Во время заседания рабочей группы комитета Госдумы по борьбе с киберпреступлениями заместитель руководителя Роскомнадзора Владимир Логунов выступил с предложением распространить действие закона о персональных данных на зарубежные интернет-платформы. Как считают в ведомстве, реализовать данную меру можно в соглашении между уполномоченным органом власти в области персональных данных, то есть Роскомнадзором, и иностранными органами власти.
Представитель Роскомнадзора также подчеркнул необходимость защитить права граждан России, ограничив трансграничную передачу персональных данных. «То есть <...> внести некоторые правила трансграничной передачи, чтобы не распространять их на зарубежные юрисдикции, на иностранные интернет-площадки», — пояснил замглавы ведомства.
Помимо этого, регулятор предложил ввести институт возмещения, в том числе морального ущерба субъектам персональных данных, чтобы оно было соразмерно причиненному ущербу.
Рассматриваемые меры будут способствовать дополнительной защите прав субъектов персональных данных.
Предложения Роскомнадзора направлены на усиление влияния национального закона в отношении тех компаний, которые предоставляют пользователям сервисы, в основном коммуникационные, из иностранных юрисдикций. В целом, ведомство поддерживает усилившееся направление по приведению иностранных интернет-компаний в российское регулирование, которое активно развивают представители Государственной Думы.
Идея введения механизма компенсации пострадавшим от утечки персональных данных может послужить существенным стимулом для операторов привести свои практики в соответствие с требованиями закона. В настоящее время штрафы фактически идут в пользу государства и конечный пользователь лишен возможности повлиять на подход оператора в отношении приватности. При новом механизме ответственности компаниям будет грозить не только штраф регулятора, финансовый и репутационный ущерб в рамках сегмента рынка, но и фактическая потеря лояльности пользователей, что в свою очередь значительно отразиться на спросе.
Испанский надзорный орган по защите данных (далее – AEPD) наложил штраф на общую сумму 6 000 000 евро на финансово-кредитную организацию CAIXABANK, S.A. за обработку персональных данных без законных оснований и за непредставление субъекту необходимой информации по тому, какие данные обрабатываются.
Как установил AEPD, в политике конфиденциальности CAIXABANK не было информации о категориях обрабатываемых персональных данных, о целях обработки, законном основании обработки. Банк нарушил ст. 13 и 14 GDPR, что было оценено в размере 2 000 000 евро штрафа.
Также надзорный орган Испании установил, что CAIXABANK не предусмотрел никакого механизма получения согласия субъекта персональных данных; а само согласие не отвечало критериям конкретности, информированности и сознательности. Регулятор подчеркнул, что обработка, основанная на законном интересе банка, не была достаточно обоснованной. Таким образом вследствие нарушения статьи 6 GDPR, AEPD дополнительно оштрафовал компанию на 4 000 000 евро.
В решении уточняется, что испанский регулятор учитывал характер, тяжесть и продолжительность нарушения; степень ответственности контроллера с учетом принятых технических и организационных мер; категории персональных данных, затронутых неправомерной обработкой; взаимосвязь между деятельностью компании и обработкой персональных данных; размер компании и ее оборот.
На сегодняшний день, это самый высокий штраф, который присуждался надзорным органом Испании по защите данных.
Весной 2021 года вступят новые правила конфиденциальности Apple, согласно которым разработчики приложений обязаны запрашивать у пользователя согласие на отслеживание его рекламной активности. А Facebook готовит антимонопольный иск к компании. По его мнению, многочисленные новые ограничения в правилах размещения приложений направлены на сторонних разработчиков и создают преимущество только для приложений Apple.
Еще с июня 2020 года стало известно об изменениях в правилах конфиденциальности Apple. Компания ввела ярлыки конфиденциальности и обязала разработчиков приложений указывать какие данные о пользователях собираются приложением. Новые правила, запрещающие отслеживать рекламную активность пользователя, могут существенно снизить доход некоторых компаний.
Facebook может потребовать либо возмещения убытков в судебном порядке, либо инициировать изменения в политике Apple для iOS-приложений, для чего социальная сеть может призвать и другие компании участвовать в процессе.
4 января Европейский Совет по защите данных (European Data Protection Board, EDPB) опубликовал руководство, в котором на конкретных примерах разъяснил нормы GDPR об уведомлении надзорного органов и субъектов при утечках и иных нарушениях безопасности данных.
До вступления GDPR в силу рабочая группа ст. 29 (предшественница EDPB) выпустила мнение об уведомлении при нарушении безопасности персональных данных (2014 г.), а также руководство по уведомлению о факте утечки персональных данных (2018 г).
Новое руководство призвано не заменить, но дополнить действующие разъяснения и подкрепить их опытом из сложившейся практики.
Новое руководство содержит описания 18 кейсов нарушения безопасности персональных данных, среди которых 4 кейса посвящены программе-вымогателю, 4 – утечкам, 2 – человеческому фактору, 3 – потерянным устройствам или документам, 4 – ошибкам при отправке сообщения, 1 – краже личности.
Пандемия коронавирусной инфекции оказала влияние не только на бизнес, но и на преступное сообщество. Хакеры на протяжении всего периода борьбы с COVID-19 пытаются обратить ситуацию себе на пользу, а также атакуют учреждения здравоохранения. Борьбу с киберпреступниками проводят инициативные группы, альянсы, корпорации, исследовательские группы в области ИБ и компании, занимающиеся информационной безопасностью.