31 мая 2022 года в баре KHS-Hub казахской столицы Нур-Султана состоялся Meetup по приватности и защите данных от DRC Group, на котором наш управляющий партнер, киберадвокат Саркис Дарбинян и директор DRC Qazaqstan Руслан Дайырбеков рассказали, как стремительно меняется законодательство в сфере защиты персональных данных и какие главные угрозы для приватности сейчас в повестке в цифровом комьюнити обеих стран.
Вот несколько главных тезисов из их выступлений:
• Сейчас пользователи не читают политики конфиденциальности и их не интересуют процессы, связанные с data privacy, до тех пор пока их данные не окажутся скомпрометированными и не утекут.
• Так, только в России за эту весну произошло как минимум 4 крупных утечки персональных данных (Яндекс.Еда, Delivery club, СДЭК и Гемотест). Это данные миллионов пользователей. Среди утекших данных курьеров Яндекс.Еды оказались данные 25 000 курьеров, являющихся гражданами Республики Казахстан, права которых никто не защитил.
• Утечки происходят в том числе из-за того, что действующее законодательство о защите персональных данных в РФ и РК не содержит адекватных способов защиты.
• Максимальные штрафы за утечки как в России, так и в Казахстане являются мизерными и не стимулируют компании предпринимать необходимые меры для защиты. При этом в рамках гражданских исков суды взыскивают компенсацию морального вреда в среднем размере не более 200 USD. Это также не стимулирует пользователей обращаться в суды, так как сумма взыскания меньше гонорара адвоката. При этом компании не боятся судов и поэтому не готовы урегулировать вопросы связанные с утечкой с конечными пользователями.
• В России и Казахстане сейчас синхронизировались работа по внесению изменений в закон, который будет обязывать компании сообщить о произошедших утечках уполномоченный орган в течении 24 часов с момента, как она произошла. Это правильное направление, поскольку в отличие от GDPR (ст.33) такой обязанности никогда не было у операторов.
• В Казахстане и России уполномоченный орган по защите персональных данных не является независимым, а значит не может осуществлять полноценную защиту. Это одна из причин, почему наши страны все еще находятся в списке стран с неадекватным уровнем защиты.
• Минцифры РФ уже согласовало законопроект, ужесточающий ответственность компаний за утечку персональных данных клиентов. Он предполагает не только введение оборотного штрафа в 1%, но и увеличение его до 3%, если компания попытается скрыть инцидент.
• Для того, чтобы не допускать утечки необходимо предпринимать меры организационного, технического и правового характера. В некоторых случаях необходимо делать оценку влияния на защиту данных (DPIA), назначать ответственное лицо (Data Protection Officer)
• Небольшие компании, IT-стартапы не всегда могут позволить нанимать специалиста по приватности в штат. В таких случаях рекомендуется аутсорсить процесс, что становится много дешевле и удобней для бизнеса. DRC Qazaqstan может оказывать подобного рода услуги.
DRC Group продолжает консультировать бизнес, несмотря на все текущие сложности и вызовы. Мы всегда готовы помочь всем нашим клиентам решить любые вопросы, связанные с data privacy compliance по законодательству как России и Казахстана, так и Евросоюза.
• Сейчас пользователи не читают политики конфиденциальности и их не интересуют процессы, связанные с data privacy, до тех пор пока их данные не окажутся скомпрометированными и не утекут.
• Так, только в России за эту весну произошло как минимум 4 крупных утечки персональных данных (Яндекс.Еда, Delivery club, СДЭК и Гемотест). Это данные миллионов пользователей. Среди утекших данных курьеров Яндекс.Еды оказались данные 25 000 курьеров, являющихся гражданами Республики Казахстан, права которых никто не защитил.
• Утечки происходят в том числе из-за того, что действующее законодательство о защите персональных данных в РФ и РК не содержит адекватных способов защиты.
• Максимальные штрафы за утечки как в России, так и в Казахстане являются мизерными и не стимулируют компании предпринимать необходимые меры для защиты. При этом в рамках гражданских исков суды взыскивают компенсацию морального вреда в среднем размере не более 200 USD. Это также не стимулирует пользователей обращаться в суды, так как сумма взыскания меньше гонорара адвоката. При этом компании не боятся судов и поэтому не готовы урегулировать вопросы связанные с утечкой с конечными пользователями.
• В России и Казахстане сейчас синхронизировались работа по внесению изменений в закон, который будет обязывать компании сообщить о произошедших утечках уполномоченный орган в течении 24 часов с момента, как она произошла. Это правильное направление, поскольку в отличие от GDPR (ст.33) такой обязанности никогда не было у операторов.
• В Казахстане и России уполномоченный орган по защите персональных данных не является независимым, а значит не может осуществлять полноценную защиту. Это одна из причин, почему наши страны все еще находятся в списке стран с неадекватным уровнем защиты.
• Минцифры РФ уже согласовало законопроект, ужесточающий ответственность компаний за утечку персональных данных клиентов. Он предполагает не только введение оборотного штрафа в 1%, но и увеличение его до 3%, если компания попытается скрыть инцидент.
• Для того, чтобы не допускать утечки необходимо предпринимать меры организационного, технического и правового характера. В некоторых случаях необходимо делать оценку влияния на защиту данных (DPIA), назначать ответственное лицо (Data Protection Officer)
• Небольшие компании, IT-стартапы не всегда могут позволить нанимать специалиста по приватности в штат. В таких случаях рекомендуется аутсорсить процесс, что становится много дешевле и удобней для бизнеса. DRC Qazaqstan может оказывать подобного рода услуги.
DRC Group продолжает консультировать бизнес, несмотря на все текущие сложности и вызовы. Мы всегда готовы помочь всем нашим клиентам решить любые вопросы, связанные с data privacy compliance по законодательству как России и Казахстана, так и Евросоюза.
