В статье автор рассматривает значение нового общеевропейского регламента General Data Protection Regulation (далее по тексту — GDPR) (вступил в силу 23 мая 2018 г.) для эффективного регулирования в сфере защиты персональных данных в Европейском Союзе (далее по тексту — ЕС).
Крупные штрафы за нарушения при обработке персональных данных, права пользователей на контроль за своими персональными данными, их удаление, исправление и право на переносимость данных сделали GDPR эффективным законодательным инструментом для европейских регуляторов.
Ключевые слова: персональные данные, защита и обработка персональных данных, штрафы, информационная экономика.
Актуальность защиты данных коренится в защите прав личности, и это резко снижает любую возможность рассматривать вопросы конфиденциальности только с точки зрения затрат и экономических выгод.
Тем не менее, следует признать, что правила защиты данных — как и многие другие законы — также порождают издержки для бизнеса из-за реализации юридических предписаний.
По этой причине бремя для частного сектора нового предложения ЕС об общем регулировании защиты данных представляет собой частую критику, высказываемую недоброжелателями этого предложения.
В течение многих лет защита данных считалась неоправданным бременем для частного сектора, поскольку она ограничивает возможности бизнеса, снижает инновации в области индивидуальных услуг и увеличивает эксплуатационные расходы. Эти аргументы были использованы лобби для того, чтобы критиковать директиву ЕС 95/46/EC2 и предлагать ограниченную реализацию ее принципов. Теперь это отношение вновь проявилось в отношении нового предложения ЕС об общем регулировании защиты данных.
Во-первых, эти аргументы представляют собой ограниченное и неверное представление о влиянии правил защиты данных. Они рассматривают издержки, связанные с соблюдением законодательства, без анализа соответствующих выгод и внешних эффектов в других областях (таких как безопасность, корпоративная репутация, стоимость информационных активов), которые также должны быть включены в правильную и глобальную оценку затрат.
Во-вторых, они недооценивают спрос на защиту данных, исходящий от общества в целом. Растущая технологическая мощь сбора данных и интеллектуального анализа данных вызвала реакцию с точки зрения растущей озабоченности по поводу конфиденциальности и социального контроля.
В обществе, где многие голоса подчеркивают риски массового сбора данных, профилирования и концентрации власти над информацией, внимание стало сосредоточено главным образом на политике конфиденциальности, принятой частными компаниями и правительствами.
Эта озабоченность не противоречит теориям, которые утверждают, что право на неприкосновенность частной жизни больше не существует, поскольку люди охотно делятся информацией в обмен на экономические выгоды или бесплатные услуги. Даже если экономическая эксплуатация персональных данных является общепринятым следствием информационной эпохи и повсеместного использования услуг ИКТ, эти элементы не являются достаточными для того, чтобы считать защиту персональных данных устаревшей.
Как показали недавние исследования на молодых людях, более интенсивная активность обмена данными связана с сознанием ценности личной информации и последствий обмена ею, и это сознание выше среди цифровых аборигенов, чем у старших поколений.
Похоже, что чем больше данных эксплуатируется, тем больше людей, по-видимому, обретают сознание информационного самоопределения. Кроме того, информация о рисках, связанных с защитой данных, или новости о нарушениях данных повышают осведомленность о последствиях и актуальности политики конфиденциальности.
Предложение ЕС по общему регламенту защиты данных представляет собой эволюцию существующей модели ЕС, основанной на внедрении в каждой стране директивы 95/46/EC. Это предложение призвано обеспечить более высокий уровень защиты и более однородную обработку данных за счет принятия регламента вместо директивы. Вообще говоря, это предложение не застраховано от критики: Еврокомиссия, вероятно, могла бы принять другую стратегию, более ориентированную на принципы и с менее детализированными правилами.
В последние несколько лет роль информированного согласия переживает кризис. Он остается наиболее важным инструментом для подтверждения центральной роли самоопределения в управлении данными и предоставления отдельным лицам возможности вести переговоры о своей личной информации.
Однако в то же время технологии и современные системы интеллектуального анализа данных (например, Big Data) резко ограничивают возможности пользователя понимать обработку данных, осознавать ее и отказываться от согласия. Эти ограничения более очевидны в социальных сетях.
Во-первых, огромный объем данных, предоставляемых пользователями, представляет собой оптимальный набор данных для прогнозного анализа, и во многих случаях пользователь не осознает возможности извлечения новых и различных данных из предоставленной информации.
Технологические решения, используемые для управления данными, и то, как они работают, неизвестны пользователю, поскольку они не очевидны.
Во-вторых, информация об обработке данных и связанных с ней технологиях предоставляется посредством длительной, неясной и изменчивой политики конфиденциальности, в результате чего происходит раскрытие информации, которое является только формальным, но не представляет собой достаточного решения для того, чтобы гарантировать самоопределение пользователя.
Наконец, наличие крупных игроков и концентрация конкретных сервисов в руках одной-двух компаний (Facebook, Google, Twitter и т. д.) побуждают пользователей принять предложенные условия, чтобы не потерять возможности, предоставляемые интернет-сервисами.
В этом смысле во многих случаях крупные ИТ-компании открыто заявляют, что наша личная информация является необходимой валютой для оплаты их бесплатных услуг. В этом случае сохранение фокуса защиты данных на личности и ее решениях уже не является адекватным.
Если законодатели рассматривают защиту данных как основополагающее право, то необходимо усилить ее защиту, чтобы сделать ее эффективной и не обусловленной асимметриями, обусловленными вышеописанными факторами. В этом смысле эффективным способом получения технологий, ориентированных на конфиденциальность, является обязательная оценка последствий защиты данных на этапах проектирования и разработки продукта/услуги, чтобы с самого начала сделать продукты и услуги внутренне устойчивыми к неправомерному использованию личной информации.
Эта цель реализуется предложением ЕС с помощью трех различных инструментов: оценка воздействия на защиту данных, конфиденциальность по дизайну/по умолчанию и предпочтение минимизации сбора данных (принцип минимизации данных). Более поздний принцип уже существует в директиве 95/46 / ЕС18, но теперь он подкреплен новым ограничительным определением, которое ограничивает сбор данных «до минимума, необходимого в отношении целей, для которых они обрабатываются».
Традиционный и устаревший подход, основанный на использовании данных и минимизации конфиденциальности пользователей, больше не представляется лучшим способом работы с пользователями в бизнесе.
Растущее внимание к вопросам конфиденциальности и защиты данных по обе стороны Атлантики должно побудить рассматривать защиту данных не только с точки зрения затрат, но и с точки зрения выгод, а также в качестве конкурентного преимущества для привлечения пользователей, которые все больше интересуются услугами и продуктами, ориентированными на конфиденциальность. По этой причине важную роль может сыграть новое предложение ЕС об общем регулировании защиты данных, которое содержит различные положения, способные укрепить доверие пользователей к поставщикам услуг, а также расширить свободу выбора для пользователей.
Нормативные акты, гарантирующие защиту данных и информационное самоопределение, полезны для повышения склонности пользователей к обмену личными данными и стимулирования цифровой экономики.
В то же время они также уменьшают недобросовестную конкуренцию, основанную на неясных и вводящих в заблуждение политиках и практиках конфиденциальности. Тем не менее, сложные системы управления данными, а также неясная политика и практика конфиденциальности предполагают, что защита данных должна основываться не только на отдельных лицах и их решениях.
Изучение правовых предписаний с учетом их потенциального влияния на поведение пользователей, по-видимому, предполагает иную и позитивную интерпретацию предложения ЕС с учетом долгосрочной стратегии, ориентированной на справедливый и устойчивый рост цифровой экономики.
Литература:
- Дмитрик Н. А. (2018) Пределы правового регулирования в цифровую эпоху. Информационное общество. № 3, с. 47‒58;
- Курбалийя Й. (2018) Управление Интернетом. DiploFoundation, Москва, Россия. Пазюк А., Соколова М. (2015);
- Защита персональных данных: введение в проблематику: учебное пособие. Центр правовой информации. Минск, Белоруссия. Роговский Е. А. (2017);
- Butin D., Chicote M., Le Métayer D. Strong Accountability: Beyond Vague Promises // Reloading Data Protection. Multidisciplinary Insights and Contemporary Challenges / Gutwirth S., Leenes R., de Hert P. (eds.). — Springer, 2014. — P. 343–369.;
