В последние годы проблема защиты персональных данных становится все более острой, что приводит к необходимости совершенствовать законодательство в соответствии с современными вызовами цифровой экономики. О нововведениях регулятора, штрафах за нарушения правил о локализации, ожидаемых законодательных изменениях и ответственности компаний при работе с персональными данными говорили представители юридического сообщества, бизнеса и контролирующих органов в рамках конференции «Защита персональных данных в эпоху цифровой революции: ответственность компаний и минимизация рисков», организованной ИД «Коммерсантъ».
Фото: Александр Коряков, Коммерсантъ
Нововведения и ожидания
В настоящее время в России ведется работа по ратификации протокола о внесении изменений в Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, подписанного 10 октября 2018 года. «Данная конвенция существует уже на протяжении 37 лет, и за это время жизнь продвинулась вперед: поменялись формы обработки данных, появились трансграничные передачи, изменились способы передачи данных, были созданы новые типы персональных данных, в частности, генетическая информация также становится их разновидностью»,— говорит Елена Агаева, советник, руководитель практики слияний и поглощений и корпоративного права адвокатского бюро «Егоров, Пугинский, Афанасьев и партнеры». В связи с этим был разработан протокол, который обновляет регулирование в соответствующей области. По словам госпожи Агаевой, ожидается, что в течение нескольких месяцев после ратификации протокола в российское законодательство будут внесены изменения с целью его гармонизации с европейским законодательством в области персональных данных.
Помимо работы над законопроектом, в стране также создаются центры компетенций в округах при территориальных управлениях Роскомнадзора. «В прошлом году были созданы три таких центра как эксперимент, но он будет продолжаться и дальше. В этом году появились центры компетенций в Центральном и Северо-Западном федеральных округах. Рабочие группы состоят из специалистов Роскомнадзора, а также экспертов и представителей бизнеса. У участников рабочих групп есть возможность получать информацию из первых рук, а также принимать участие в законотворческом процессе»,— добавляет она.
Также в ближайшее время ожидается появление матрицы персональных данных, где Роскомнадзор представит свое обновленное видение, что может рассматриваться в качестве персональных данных. Госпожа Агаева напомнила, что в декабре прошлого года был принят, опубликован и сразу же вступил в силу закон, который вводит существенные штрафы за нарушение правил по локализации персональных данных. Размеры штрафов при этом могут достигать 18 млн рублей для компаний, а нижний порог достаточно высокий: 1 млн рублей. «При этом формулировки закона недостаточно конкретны, и в них, в частности, не установлены критерии повторности правонарушения, что может привести к значительному увеличению совокупного размера штрафов»,— добавляет она.
В соответствии с 152-ФЗ «О персональных данных» при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети “Интернет”», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории РФ. Правило о локализации определяет, что сбор и обновление персональных данных российский граждан должны осуществляться изначально в той базе данных, которая находится на российском сервере. «Это основной принцип. В дальнейшем при соблюдении определенных условий мы сможем передавать данные иностранным лицам, в другие юрисдикции при соблюдении требований трансграничной передачи. Но сначала мы должны записать данные в российскую базу. И регулятор будет следить за этим достаточно серьезно и прицельно»,— отмечает эксперт. По ее словам, регулятора интересуют прежде всего крупные компании. «Например, в феврале этого года вынесены судебные решения в отношении Twitter Inc. и Facebook Inc. в связи с нарушением требования о локализации баз персональных данных в России. Каждая компания оштрафована на 4 млн рублей»,— приводит пример госпожа Агаева.
Многообразие форм
Закон о персональных данных допускает получение согласия на их обработку в различных формах. На практике используются бумажные согласия, которые оформляются в документальном виде, в других случаях актуально заключение согласия в электронной форме. «Также в определенных случаях согласием на обработку данных может считаться факт передачи визитки партнеру на деловой встрече»,— добавляет Елена Квартникова, юрист практики слияний и поглощений и корпоративного права адвокатского бюро «Егоров, Пугинский, Афанасьев и партнеры».
Говоря о письменном согласии, эксперт уточняет, что оно необходимо при передаче третьим лицам персональных данных работников или при обработке специальных категорий персональных данных (например, сведений о состоянии здоровья) и биометрии. По ее словам, очень важно, чтобы собранные персональные данные можно было обрабатывать только в изначально установленных целях, а их объем должен отвечать заранее установленным целям обработки и не быть избыточным.
Что касается политики обработки персональных данных, то госпожа Квартникова поясняет, что в настоящее время нет четких указаний в законодательстве, что в ней должно быть отражено, есть только рекомендации. Среди ожидаемых изменений в регулировании она выделяет право субъекта персональных данных (ПД) отказаться от предоставления согласия в случае планируемой обработки ПД в целях отличных от целей, заявленных при сборе ПД; право субъекта ПД в случаях, установленных в законе и не требующих получения согласия, вносить изменения в согласие на обработку ПД в части изменения целей, объема обрабатываемых ПД и условий их обработки, а также связанных с согласием на обработку биометрических ПД только при условии личного предоставления их субъектом ПД за некоторыми исключениями. В числе других ожидаемых изменений — возможность указания в письменном согласии на обработку ПД ссылки на официальный сайт оператора, где будет указан перечень лиц, которые выполняют обработку персональных данных по его поручению, отмечена возможность указания в согласии нескольких целей обработки, а также более детальная регламентация способов подтверждения согласия в случаях, не требующих письменного согласия.
Об уголовно-правовых рисках при сборе и разглашении информации о частной жизни и доступу к компьютерной информации говорил Андрей Иванов, юрист уголовно-правовой практики АБ «Егоров, Пугинский, Афанасьев и партнеры». По его словам, эти вопросы регулируются статьями УК «нарушение неприкосновенности частной жизни», «нарушение тайны переписки, переговоров, сообщений» и «незаконное получение и разглашение тайны». Эксперт отмечает, что незаконный сбор и разглашение информации о частной жизни являются для бизнеса вполне реальными рисками, и отнюдь не только уголовными. «Среди косвенных рисков — проведение следственных и оперативных действий в помещениях компании, изъятие и арест имущества, обращения потерпевших с гражданскими исками, а также репутационные риски»,— поясняет господин Иванов.
Баланс интересов
На сегодняшний день имеет место дисбаланс в вопросах работы с персональными данными между интересами бизнеса, граждан и регулятора, убежден Дмитрий Липин, заместитель исполнительного директора — руководителя аппарата Ассоциации юристов России. «Например, мы видим, что бизнес руководствует при обработке персональных данных исключительно собственными интересами. Но фраза “Интересы бизнеса превыше всего” действует ровно до тех пор, пока интересы представителей бизнеса как физических лиц не будут нарушены другим бизнесом. Тогда они свою позицию изменят»,— уверен господин Липин. Он убежден, что перекосов в ту или иную сторону существовать не должно.
По словам господина Липина, сейчас довольно часто можно услышать замечания, связанные с нарушением прав граждан при обработке их персональных данных третьими лицами. «В действующем законе есть некоторые недоработки, вызывающие опасения. Многие бизнес-структуры сейчас в едином документе говорят и об обработке, и о передаче. На мой взгляд, целесообразно отделить процедуру обработки от процедуры передачи третьим лицам. Если сейчас гражданин дает согласие на обработку, он не может отказаться от второго условия. Фактически это принуждение»,— резюмирует эксперт. Господин Липин убежден, что подобных ситуаций допускать нельзя.
В числе других проблем, о которых упомянул эксперт,— недостаточная ответственность бизнеса. Господин Липин приводит в пример ситуации, когда коробки с персональными данными могут быть выброшены и ими может воспользоваться кто угодно. «Самое сложное найти виноватого в этой цепочке. Как понять, где находятся персональные данные гражданина? Сегодня он совсем не вовлечен в этот процесс. Бизнесу надо задуматься над тем, как показать гражданину, что ему ничего не грозит»,— подчеркивает он.
Заместитель руководителя аппарата Ассоциации юристов России также упомянул о регулировании обезличенных данных — одном из глобальных изменений нынешнего времени. Минкомсвязи уже подготовило проект данного федерального закона, который сейчас находится на согласовании. «На наш взгляд, есть две категории обезличенных данных. Первая категория — это данные, которые не утратили связь с физическим объектом. Вторая категория — данные, которые эту связь утратили. Этим категориям надо тщательно прописать понятийный аппарат»,— констатирует Дмитрий Липин.
Международные практики
Об опыте работы с персональными данными компании Heineken рассказала Татьяна Смирнова, старший советник по правовым вопросам и комплаенсу ООО «Объединенные пивоварни “Хейнекен”». По ее словам, компания запустила глобальный портал, посвященный вопросу персональных данных. «Это очень хороший инструмент. В глобальном офисе есть целый отдел, занимающийся исключительно вопросами персональных данных. И у всех сотрудников компании есть возможность использовать данный электронный ресурс, чтобы ознакомиться с последними наработками в этом направлении»,— говорит госпожа Смирнова.
По ее мнению, в целом законодательство, связанное с обработкой персональных данных, во всем мире примерно одинаковое. «При этом российское законодательство отличается очень жесткими правилами по локализации. В Евросоюзе этого нет»,— отмечает эксперт. На глобальном уровне у компании Heineken есть шесть принципов конфиденциальности при работе с персональными данными: ограниченное использование, минимизация данных, чувствительные данные, прозрачность и права граждан, безопасность и доступ лиц. «Любой процесс, внедряемый в компании, должен проводиться с учетом указанных принципов»,— поясняет она.
Говоря о российском опыте, Татьяна Смирнова рассказала, что в нашей стране работает Legal Compliance System — единая электронная система по оценке рисков во всех сферах деятельности компании. «Ее основными преимуществами являются автоматизация процессов, единое информационное поле, прозрачная система ответственности сотрудников и возможность выявления высоких рисков и принятие мер по их устранению»,— добавляет госпожа Смирнова. Также в российском подразделении Heineken ведется проект A-challenge Project, направленный на снижение рисков при прохождении проверок. «Силами юристов компании было разработано 14 презентаций и вебинаров по различным проверкам со стороны нескольких государственных органов. Кроме того, мы рассылаем фокусным группам ежемесячные обзоры изменений законодательства. У нас даже есть обучающий фильм о правилах поведения при проверках»,— делится опытом Татьяна Смирнова.