Как и зачем защищают персональные данные

На этой неделе стартует Чемпионат Европы по футболу. И к этому времени Еврокомиссия приняла новые стандартные договорные условия (Standard Contractual Clauses, SCC) защиты персональных данных граждан ЕС. По-простому, SCC — это правила того, как европейские компании должны защищать персональные данные в своих операциях за пределами ЕС. Например, если бельгиец решает поехать поболеть за своих в Санкт-Петербурге 12 июня, то местному агентству для организации перелета, проживания и прохода на стадион надо поделиться персональными данными клиента с российскими партнерами. И теперь агентство будет знать, как ему это сделать, не нарушая европейское законодательство и практически с нулевыми судебными рисками.

А как у них?

Введение новых стандартов стало ответом Еврокомиссии на действия гражданского сообщества, борющегося за защиту персональных данных от нежелательных посягательств.

Действие прошлых стандартов было приостановлено в июле 2020 г. по иску австрийского правозащитника Макса Шремса. Истец обоснованно считал, что старые европейские стандарты не защищают личные данные граждан ЕС от слежки со стороны правительств других стран. Так, в США (хотя и не только в США) спецслужбы имеют право получать доступ к персональным данным иностранных граждан на вполне легальных основаниях. Европейский суд тогда признал позицию правозащитников обоснованной и приостановил действие старых правил.

Однако новые SCC вообще не удовлетворили гражданских активистов. Так, Макс Шремс считает, что проблема защиты персональных данных от незаконного использования в других странах никуда не делась. Единственные, кто точно не пострадает от новых SCC, будут крупные компании, которые обезопасили себя от различных борцов за права человека, в том числе и за защиту своих персональных данных. По мнению правозащитников, только эти компании и смогут соблюсти все формальности, чтобы быть максимально защищенными.

А как у нас?

В России нормотворчество в сфере защиты персональных данных также очень интересует крупный ИТ-бизнес. Только фокус здесь не столько на соответствии каким-то стандартам, как в ЕС, сколько на извлечении максимальной выгоды из данных своих пользователей и защите этого ресурса от «чужаков». Классический пример — принадлежащая Mail.ru соцсеть ВКонтакте. Теоретически, любой может пользоваться данными пользователей, просто заходя на их странички, — раньше такие данные назывались общедоступными. Но теперь, после принятия поправок в профильный закон, это становится неправомерным. А вот жизнь самих крупных компаний значительно упростилась — благодаря другим поправкам, они теперь могут получать от своих пользователей разрешение на обработку данных сразу по нескольким направлениям.