Заседание Комиссии по правовому обеспечению Цифровой экономики Ассоциации Юристов России, 27 февраля 2020, Москва

27 февраля 2020 г. в МГЮА имени О.Е. Кутафина состоялось заседание Комиссии по правовому обеспечению Цифровой экономики Ассоциации Юристов России, в рамках которого прошли экспертные обсуждения идеи создания механизма компенсации субъектам персональных данных в целях защиты их прав, установленных законодательством о персональных данных.

Эксперты Центра Россия-ОЭСР проанализировали проект предлагаемых поправок в ФЗ «О персональных данных» и представили свои замечания в ходе дискуссии. Руководитель Центра Антонина Левашенко отметила, что предлагаемый механизм ориентирован на защиту субъектов персональных данных, которые не могут получить должной защиты в условиях действующего правового регулирования. Однако предлагаемый механизм не соблюдает баланс прав и обязанностей субъекта персональных данных и оператора этих данных. Присуждение компенсации и её размер должны определяться в зависимости от обстоятельств совершения нарушения. Если оператор данных выполняет все свои обязательства, установленные законодательством, то критерий добросовестного выполнения обязательств должен служить основанием для освобождения от ответственности. Более того, в случае установления вины оператора данных в допущении нарушения, следует учитывать усилия, прилагаемые оператором для минимизации риска допущения нарушения при обработке персональных данных. Таким образом, у бизнеса должна быть возможность доказать, что им было принято всё возможное для предотвращения нарушения. Ключевое значение должно играть не установление ответственности, а реализация мер, направленных на минимизацию рисков возникновения нарушений, в т.ч. утечек данных. Поэтому важнее развивать цифровой комплаенс операторов персональных данных. Проект цифрого комплаенса был разработан экспертами Центра Россия-ОЭСР.

Эксперт Центра Александра Коваль отметила, что механизм компенсации, который будет действовать на основании факта нарушения прав субъектов данных, не вписывается в сложившуюся международную практику частно-правовой защиты субъектов персональных данных. Так, например, в ЕС, Австралии и др. для компенсации требуется доказание причинно-следственной связи между нарушением и наступившим моральным вредом или ущербом. Механизма компенсации за сам факт нарушения персональных данных за рубежом не используется, а идея его введения в России обсусловлена неэффективностью правоприменения в отношении действующих механизмов защиты. Реализация этой идеи может привести к злоупотреблениям со стороны субъектов данных и избыточному обременению операторов.

В проекте обсуждаемых поправок предусматривается, что размер компенсации определяется «по усмотрению суда исходя из характера нарушения и иных обстоятельств дела с учетом требований разумности и справедливости». Среди иных обстоятельств суд неизбежно будет рассматривать размер потенциальных убытков или морального ущерба, т.е. опять же материальную составляющую нарушения. Таким образом, механизм компенсации будет мало отличаться от существующих средств правовой защиты, разве что возлагать большую ответственность на оператора. В связи с этим эксперты Центра Россия-ОЭСР предложили не ограничиваться рассмотрением нововведения в законодательство о персональных данных, а обратить внимание на возможности усовершенствовать действующие нормы.

Проект поправок подготовлен Ольгой Магомедовой совместно с Александрой Коваль.

Ссылка на документ: https://yadi.sk/i/7aNWqcpTtGvqZw