ПРАВО.ru
Законодательство
1 декабря 2022, 16:33

Юристы раскритиковали новую оценку рисков в сфере персональных данных

Потенциально таргетированная реклама или персональные e-mail-рассылки могут означать среднюю степень риска вреда от нарушений закона о персональных данных. А это может означать повышенные меры безопасности и, возможно, выше штраф за нарушения. Такой вывод можно сделать из нового приказа Роскомнадзора.

Закон о персональных данных обязывает операторов оценивать возможный вред в случае нарушений закона. Сейчас они делают это произвольно. Но на днях Роскомнадзор опубликовал приказ, который регламентирует этот процесс. Применять его надо будет с 1 марта 2023 года.  

Оценкой вреда будет заниматься ответственный за организацию обработки персданных или комиссия, которую образует оператор. Приказ определяет три степени возможного вреда. «Предполагается, что оператор будет соотносить возможный вред от нарушения закона, например, от утечек персональных данных, с мерами безопасности оператора. Чем больше потенциальный вред от нарушения закона, тем строже должны быть меры безопасности  (а, возможно, выше и штрафы за нарушения)», - объясняет Андрей Алексейчук, старший юрист практики IP/IT АБ Качкин и Партнеры Качкин и Партнеры Федеральный рейтинг. группа ГЧП/Инфраструктурные проекты группа Недвижимость, земля, строительство (консультирование) Профайл компании .

Приказ конкретизирует, когда присваивается та или иная степень опасности. Результат оценки вреда оформляется актом.

Высокая степень опасности – это, например:

  • Обработка биометрических данных для установления личности*.
  • Обработка специальных категорий данных вроде расовой и национальной принадлежности, состояния здоровья, интимной жизни, сведений о судимости и так далее*.
  • Обезличивание персданных, в том числе для оценочных, потребительских и ряда других исследований.

Примеры среднего уровня опасности:

  • Распространение данных на сайте оператора в интернете, предоставление персданных неопределенному кругу лиц.* 
  • Обработка персданных в других целях, не таких, как первоначальная цель сбора.
  • Продвижение товаров, работ, услуг путем прямых контактов с потенциальным потребителем с использованием баз данных другого оператора. «Под такую формулировку можно подвести, например, таргетированную рекламу (которую использует почти любой бизнес) или персональные e-mail рассылки – что по умолчанию порождает в работе бизнеса возможную среднюю степень вреда при обработке данных», - комментирует Алексейчук.

Низкая степень опасности присваивается, например, ведению общедоступных источников персональных данных, таких как справочники (согласно ст. 8 закона о персональных данных).

* — кроме случаев, установленных федеральными законами, которые предусматривают цели, порядок и условия обработки таких данных.

Мнения юристов

Руководителю практики юрфирмы INTELLECT (ИНТЕЛЛЕКТ) INTELLECT (ИНТЕЛЛЕКТ) Федеральный рейтинг. группа Защита персональных данных группа Цифровая экономика группа ТМТ (телекоммуникации, медиа и технологии) 13место По количеству юристов 30место По выручке на юриста 45место По выручке Профайл компании Михаилу Хохолкову непонятно, как эти три категории соотносятся с постановлением Правительства от 29 июня 2021 г. N 1046 "О федеральном государственном контроле (надзоре) за обработкой персональных данных". Это постановление устанавливает систему оценки и управления рисками при обработке персональных данных для целей контроля Роскомнадзором за операторами, и там группа риска зависит от одной из четырех групп тяжести и четырех групп вероятности.

«Понятно, что цели постановления Правительства и приказа Роскомнадзора разные: в первом случае контроль, во втором — самоконтроль», — рассуждает Хохолков. Но вопросы это не снимает.

Почему критерии разные? И зачем делать еще одну оценку вреда, если Роскомнадзор сделает это за оператора? И что будет, если оценка Роскомнадзора не совпадет с оценкой оператора? Обжаловать ее в суде?

Михаил Хохолков 

Хотя, если смотреть на приказ формально, достаточно просто составить согласно его требованиям еще один документ — акт оценки вреда, подытоживает Хохолков.

Алексейчук критикует проект: по его мнению, критерии сформулированы недостаточно определенно и не учитывают бизнес-практики, которые сложились в отрасли. Ему непонятна логика выбора именно этих критериев.

Неясно, почему одна только обработка данных на основании федерального закона исключает какой бы то ни было потенциальный вред для субъектов персональных данных. А если оператор в рамках единой биометрической системы [предусмотренной законом] допустит утечку персональных данных — получается, никакого вреда для субъектов не возникнет?

Андрей Алексейчук

Похожая формулировка предусмотрена для данных о состоянии здоровья — обработка этих данных порождает высокую степень потенциального вреда, если цели, порядок и условия обработки данных не предусмотрены федеральным законом. «Но обработка данных о состоянии здоровья медицинскими организациями предусмотрена ФЗ «Об основах охраны здоровья граждан». То есть, возможная утечка или нарушение правил обработки данных медицинскими организациями не порождает вообще никакого потенциального вреда», - приводит пример Алексейчук.

Штрафы за утечку данных: дискуссия продолжается

С весны, когда произошел ряд громких утечек персональных данных клиентов «Яндекс.Еды», Delivery Club, медлаборатории «Гемотест», Министерство цифрового развития готовит законопроект, который определит штрафы за утечку данных для компаний. Пока они составляют до 10 млн руб. за первое нарушение и до 3% от оборота за повторное. 29 ноября 2022 года сообщалось, что Минцифры предлагает смягчить эту ответственность для тех компаний, которые компенсировали ущерб 2/3 пострадавших.

Алексейчук предлагает вводить «штраф» за утечки в пользу пострадавшего субъекта персональных данных сверх убытков и морального вреда по аналогии с «потребительским» штрафом. Эксперт предлагает ограничить взыскание такого штрафа ситуациями, когда утечка произошла по вине оператора, например, из-за умышленных противоправных действий сотрудника оператора, или из-за неисполнение оператором требований в сфере безопасности. Штраф имеет смысл взыскивать и в ситуациях, когда утечка произошла не по вине оператора, но оператор умышленно сокрыл информацию об утечке. По мнению Алексейчука, это мотивирует пользователей не относиться к утечкам данных безразлично, а судиться, и к защите их прав могут подключиться на комфортных для пользователя условиях юристы и организации, которые работают в этой сфере.