Законы РФ и ЕС о хранении персональных данных готовы вступить в коллизию

Законодательство Европейского союза (ЕС) о защите персональных данных может вступить в коллизию с действующими российскими законами в этой области, что вызовет затруднение в работе международных компаний, работающих по обе стороны границы.

Такое заявление сделал старший научный сотрудник НИУ "Высшая школа экономика", юрисконсульт "IBM Россия/СНГ" Александр Савельев.

По его словам, Россия не создавала "закон о блогерах" (ФЗ-97) и "закон о хранении персональных данных" (ФЗ-242) с нуля, поскольку аналогичный тренд существует уже несколько лет в Европе.

Более того, федеральный закон №152 устанавливал ограничения на трансграничную передачу персональных данных в "ненадежные страны", к числу которых относятся, например, Соединенные Штаты Америки, с самого момента его принятия еще в 2006 году.

С того же года на территории ЕС была принята схожая с "законом о блогерах" Директива о хранении данных (EU Data Retention Directive 2006/24/EC), имплементированная в национальные законодательства стран - членов Евросоюза.

Там также существуют ограничения на трансграничную передачу данных, оформленные Директивой о защите данных (EU Directive on Data Protection 95/46/EC). "Здесь "неадекватной" страной является уже Россия - в нее нельзя передавать персональные данные в отсутствие специальных оснований", - заметил Александр Савельев.

Более того, сейчас в ЕС обсуждается новый проект Общеевропейского регламента о персональных данных (EU General Data Protection Regulation), который призван прийти на смену Директивы 95/46/EC и унифицировать все законодательство в пределах ЕС по вопросам персональных данных.

Документ устанавливает очень высокие стандарты защиты персональных данных, создавая повышенные требования для всех иных стран в случае передачи им подобной информации.

Проект предлагает распространить действие регламента и на иностранных операторов персональных данных, не имеющих присутствия в Евросоюзе, если они собирают данные европейских пользователей или осуществляют иную направленную деятельность на территории одной из стран ЕС.

Европейское законодательство может применяться к российской компании, которая допускает возможность использования ее сервисов европейскими пользователями и в результате получает от них определенные данные.

Если не обеспечить предварительное тщательное обезличивание такой информации, действия могут квалифицироваться как обработка персональных данных граждан ЕС и попасть под действие европейского регламента.

"В нем также предусматриваются большие штрафы: по одному варианту, это до 1 млн евро и 2% годового оборота, по другому - до 5 млн евро и 5% годового оборота. Но в любом случае – немало, гораздо больше, чем по российскому законодательству", - объяснил Савельев.

Отмечается, что законодательства США и Европы также нередко входят в клинч между собой. В качестве компромисса было заключено особое соглашение между США и ЕС (Safe Harbor), однако оно всего комплекса проблем также не решило.

Источник: Comnews.ru