В статье автор проводит сравнительно-правовое исследование правового регулирования защиты персональных данных в Российской Федерации и Европейском союзе.
Ключевые слова: персональные данные, защита, обработка, Европейский союз, информационная безопасность.
В век стремительного развития информационно-коммуникационных технологий, объемы передаваемой, обрабатываемой и хранимой информации постоянно увеличиваются, поэтому в настоящее время актуальным остается вопрос защиты персональных данных.
По некоторым оценкам, в 2023 г. число утечек персональных данных в России по сравнению с 2021 г. увеличилось в 40 раз, из них около 80 % случаев утечки персональных данных связаны с действиями работников. Также случаются кражи баз данных, содержащих персональные данные, при помощи так называемых хакерских атак, в том числе в ситуациях, когда операторы персональных данных не обеспечили адекватную защиту персональных данных, которые обрабатывались с использованием средств автоматизации, хранились на электронных носителях [1, с. 25].
Отечественное законодательство о персональных данных тесно связано с европейским. В Российской Федерации основные нормы о защите персональных данных содержатся в ФЗ «О персональных данных», ФЗ «Об информации, информационных технологиях и о защите информации». Законодательство о защите и обработке персональных данных построено по принципу сохранения баланса между необходимостью использования персональных данных для целей государства и бизнеса и обеспечением конфиденциальности и защиты данных субъектов. При этом ФЗ «О персональных данных» был принят в связи с ратификацией Россией Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 г. и заимствовал многие ее положения.
В Европейском союзе основу законодательства о персональных данных составляет Регламент ЕС № 2016/679, устанавливающий единые правила для обработки персональных данных во всех странах-членах. Его задача состоит в приведении действующих правил обработки персональных данных в соответствие с требованиями новых технологий, включая Интернет, облачные вычисления и социальные сети. Идеи Регламента могут быть использованы для устранения недостатков российского законодательства о персональных данных, создания условий для его действительного применения на практике и эффективного обеспечения прав граждан на защиту их персональных данных [2, с. 24].
В целом, Россия и Европейский союз имеют свои особенности в обработке и защите персональных данных. Законодательство Европейского союза придает особое внимание правам субъектов персональных данных. В России законодательство также регулирует обработку персональных данных, но с некоторыми отличиями в подходе и применении. При этом в России и Европейском союзе придерживаются принципа защиты персональных данных, но с разными акцентами и подходами к регулированию и наказанию нарушений.
Анализ правового регулирования прав и обязанностей участников отношений в сфере защиты персональных данных Российской Федерации и Европейского союза, показывает, что их регламентация ФЗ «О персональных данных» существенно уступает нормам Регламента № 2016/679 не только по объему, но и по содержанию. Некоторые предусмотренные европейским законодательством права и обязанности в ФЗ «О персональных данных» вовсе отсутствуют.
Структура органов по защите персональных данных в Европейском союзе и России существенно различается. В Российской Федерации функция по защите персональных данных возложена на национальные органы — судебные и административные. К ним, в частности относится: Роскомнадзор, ФСБ РФ, ФСТЭК России, органы прокуратуры.
В Европейском союзе структура органов по защите персональных данных децентрализована и составляет два уровня: наднациональные уполномоченные органы по защите персональных данных: Европейский совет по защите данных (EDPB), Европейский надзорный орган по защите данных (EDPS) и национальные надзорные органы стран-членов Европейского союза (DPА). Указанные различия отражают разные подходы к организации и функционированию органов по защите данных в России и Европейского союза, что влияет и на эффективность и степень защиты персональных данных.
За нарушение правил обработки персональных данных как российским, так и европейским законодательством предусматриваются меры ответственности. При сравнении российского законодательства и Регламента ЕС № 2016/679 можно сделать вывод о том, что защищаемые блага схожи между собой, при этом территориальная и юрисдикционная сфера их применения самостоятельна, отсутствует «гармонизация».
За правонарушения в области персональных данных в Российской Федерации предусматривается административная, уголовная, гражданско-правовая, дисциплинарная и материальная ответственность, что свидетельствует о межотраслевом характере совершаемых в данной сфере правонарушений.
В случае нарушения законодательства Европейского Союза об обработке персональных данных компетентными органами также могут быть применены меры ответственности. Они применяются либо при поступлении от физического лица соответствующего запроса, либо уполномоченным органом по его усмотрению. При этом уполномоченные органы Европейского Союза и его государств-членов также могут быть привлечены к ответственности за неисполнение обязанностей. Ответственность за нарушение правил обработки персональных данных наступает не только за материальный ущерб, но и за моральный и репутационный (нематериальный) вред. Одной из самых популярных мер ответственности, налагаемой в Европейском Союзе, является штраф, причем его размер весьма внушительный. Важно, что в случае, если деятельность российских организаций подпадает под регулирование Регламента ЕС 2016/679 к ним применяются меры ответственности, предусмотренные европейским законодательством.
Таким образом, вопрос защиты персональных данных с каждым годом становится все сложнее и актуальнее, и это лишний раз подчеркивает важность формирования и становления института защиты персональных данных в российской системе права. И здесь возможно, на наш взгляд, предложить учесть опыт передовых стран. Проведя сравнительно-правовое исследование законодательства о защите персональных данных в Европейском союзе и Российской Федерации, можно сделать вывод, что в России некоторые вопросы правового регулирования, к сожалению, отстают от того уровня, который на данный момент установлен в Европейском Союзе. Регламент ЕС 2016/679 представляет собой в мировой практике наиболее прогрессивный законодательный акт по защите прав физических лиц в отношении обработки их персональных данных. При этом российское законодательство очевидно нуждается не в простом копировании европейского регулирования, но в адаптации актуальных и современных положений в национальном правовом поле.
Совершенствование российского законодательства о защите персональных данных с учетом опыта Европейского союза — это важный шаг на пути к обеспечению информационной безопасности граждан и повышению доверия к цифровой среде. На наш взгляд, необходимо учитывать все сильные и слабые стороны защиты персональных данных в рамках публичного права, не забывая одновременно развивать гражданско-правовые механизмы компенсации вреда.
Литература:
1. Бережнов А. А. Проблемы защиты персональных данных работников на современном этапе // Трудовое право в России и за рубежом. — 2024. — № 3. — С. 25–28.
2. Прокопович Г. А. Теоретические аспекты и особенности института персональных данных в системе права // Администратор суда. –2024. — № 3. — С. 24–28.
