Туманный закон об ответственности дата-центров в вопросах хранения персональных данных
07 сентября 2015 г. | Категория: Мир
Недавний инцидент с данными Ashley Madison проливает некоторый свет на хаос в сфере размещения данных в международных дата-центрах и правилах их защиты. Стоит задуматься не только о том, кому вы доверяете свои конфиденциальные данные, но также и о том, что операторы дата-центров должны полностью разобраться в законодательстве, иначе они дорого заплатят за свое неведение.
После инцидента с Ashley Madison юридическая фирма Pinsent Masons изучила законы о защите данных и нашла несколько нестыковок в международном законодательстве.
Европейское законодательство
Существуют сомнения, можно ли квалифицировать происшедшее в Ashley Madison как нарушение требований о безопасности данных по законам ЕС о защите данных. Также есть сомнения, что власти ЕС вправе применить санкции к Ashley Madison, если захотят. Это внушает опасения с точки зрения правовой позиции провайдеров дата-центров, которые хранят подобного рода конфиденциальные данные.
Согласно юристам Pinsent Masons, подписываясь на услуги веб-сайта Ashley Madison, пользователь соглашается, что их взаимоотношения будут регулироваться правом Кипра, и что Ashley Madison находится на Кипре. Условия пользования также указывают, что все иски против компании должны рассматриваться в судах Кипра. Уже одно это должно было насторожить пользователей.
Расследования в Канаде и Австралии
Директива ЕС о защите персональных данных гласит, что оператор, обрабатывающий персональные данные, должен подчиняться местному законодательству о защите данных. Что касается ЕС, если владелец дата-центра работает во многих юрисдикциях, то он должен подчиняться в каждом случае закону в стране пребывания того или иного объекта. Так что правомерность кипрской юрисдикции в случае с Ashley Madison с самого начала была под вопросом.
Правительства Канады и Австралии начали расследование деятельности Ashley Madison в связи с международным масштабом инцидента, так как они хотят понять, какие санкции они могли бы применить, в случае выявления вины компании.
Ashley Madison имеет работников, базирующихся в Великобритании. Однако непонятно, есть ли у нее какие-то объекты в стране, попадавшие под действие Директивы о защите данных. Также неясно, использует ли Ashley Madison обрудование на территории Великобиратии, в смысле Директивы, для обработки персональных данных. Это может быть всего лишь использование куки или баннеров Javascript для сбора информации пользователей.
Pinsent Masons отмечает, что до недавнего времени было нормой, когда потребители, не понесшие финансового ущерба вследствие нарушения законодательства о защите данных, не были вправе требовать компенсации. Однако в этом году Апелляционный Суд Великобритании изменил эту норму, и теперь пострадавшие, испытывающие нравственные страдания, но не понесшие убытков, могут требовать компенсации. Однако в настоящее время это решение оспаривается.
Если каждый британский пользователь Ashley Madison попросит компенсацию в $900, то компании придется заплатить $1 млрд.
И это всего лишь для британских пользователей. Сообщается, что пользователям предлагают подать коллективные иски в США против Avid Life Media, владельца Ashley Madison.
Дополнительную информацию можно получить на сайте www.theguardian.com Теги: Ashley Madison
|
