Есть ли польза в политиках?
Распространено мнение, что составление регламентов и политик не имеет никакой практической ценности для защиты персональных данных. И уж тем более их наличие никак не способствует реализации субъектами своих прав. Возможно, подобная позиция вызвана тем, что большинство операторов не понимают, для чего нужны те или иные документы, а просто используют типовые формы без какой-либо серьезной адаптации их под собственные процессы. Результат в лучшем случае получается громоздким и противоречивым с точки зрения содержания, а в худшем — не отражает характера обработки данных в организации.
Не спасает и подход Роскомнадзора, который требует от операторов описания и документирования буквально каждого процесса, связанного с обработкой персональных данных, даже когда отсутствие такого описания в действительности не создает реальных рисков для субъектов.
Педантизм Роскомнадзора в вопросах безусловного отражения действий оператора с персональными данными во внутренних документах нашел выражение в приказе Минцифры России от 17.08.2023 № 720. Так, если Роскомнадзор выявит три несоответствия между поданными оператором уведомлениями о намерении обрабатывать персональные данные или осуществлять их трансграничную передачу и сведениями на сайте оператора, это будет самостоятельным индикатором риска нарушения обязательных требований, а следовательно, может повлечь проведение внеплановой проверки оператора. Поэтому операторы вынуждены тратить ресурсы на поддержание своих политик и регламентов в актуальном состоянии и с учетом ранее поданных в Роскомнадзор уведомлений.
В то же время считать «бумажный» комплаенс полностью бесполезным не совсем справедливо. Правильно составленные документы способны удовлетворить не только требования регулятора, но и дать понятное представление о процессах обработки данных самому оператору и третьим лицам. Это означает, что такие документы должны составляться исключительно после полноценного аудита внутренних процессов оператора и отражать их реальную специфику. Важно, что документы не должны быть самоцелью, они не первичны по отношению к фактическим отношениям, связанным с обработкой персональных данных.
Политика как основной документ оператора
Самый важный документ для оператора — политика в отношении обработки персональных данных (п. 2 ч. 1 ст. 18.1 ФЗ № 152 «О персональных данных»). Этот документ может называться по-разному, например «Политика конфиденциальности персональных данных».
Строго говоря, закон требует от оператора принятия именно «документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных». Это значит, что допустимо издание нескольких документов (например, по отдельной политике для каждого сервиса или продукта оператора), если эти документы содержат в себе обязательные реквизиты, определенные законом. На практике достаточно распространен подход, когда оператор принимает одну общую политику, описывающую базовые вопросы (права субъектов персональных данных и подобное), а специфика содержится в отдельных мини-политиках (в частности, в отношении пользователей сайта, работников и других).
Что должно быть в политике
Согласно недавним изменениям закона, в содержании политики обязательно должны быть включены:
- Описание категорий и перечня обрабатываемых персональных данных применительно к каждой цели. Если под перечнем понимаются конкретные данные с максимально возможным уровнем детализации (Ф. И. О., номер телефона и пр.), то категории подразделяются на общие персональные данные («классические» — уже упомянутые Ф. И. О. и номер телефона), специальные (по смыслу ст. 10 ФЗ № 152) и биометрические персональные данные (по смыслу ст. 11 ФЗ № 152). Такое деление полностью совпадает с формой уведомления на сайте Роскомнадзора о намерении осуществлять обработку персональных данных.
Отмечу, что постановление правительства РФ от 01.11.2012 № 1119 также упоминает общедоступные персональные данные как полученные из общедоступных источников (по смыслу ст. 8 ФЗ № 152), которые на практике практически не встречаются ввиду появления специального режима персональных данных, разрешенных для распространения, и иные персональные данные (по сути, это упомянутые общие персональные данные). - Категории субъектов, персональные данные которых обрабатываются (например, работники, кандидаты на вакансии, контрагенты, клиенты).
- Способы обработки (с использованием средств автоматизации — в информационных системах или без таковых, например только на материальных носителях).
- Сроки обработки и хранения. Правилом хорошего тона считается указание оператором конкретных временных промежутков, по истечении которых данные подлежат уничтожению.
На практике обозначение таких сроков, впрочем, не всегда возможно, поскольку они могут варьироваться в зависимости от обстоятельств (например, убыточные организации обязаны хранить первичную документацию дольше прибыльных организаций по правилам налогового и бухгалтерского учета) или в зависимости от конкретных бизнес-процессов (например, в рамках разных сервисов оператора для достижения цели требуются объективно разные сроки). В таких случаях оператору следует описать конкретные события, наступление которых будет означать прекращение обработки (например, расторжение пользовательского соглашения с пользователем, которое по умолчанию бессрочное). - Порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований. Как правило, здесь операторы ограничиваются стандартными формулировками о том, что прекращают обработку и уничтожают данные по достижении цели, отпадении правовых оснований для обработки или ликвидации оператора, а более детальное описание процесса включают в иные документы и локальные акты. Нужно понимать, что нельзя подходить к этому пункту излишне формально, потому что уже почти полтора года действует приказ Роскомнадзора от 28.10.2022 № 179. Убедитесь, что описанные в ваших документах процедуры уничтожения удовлетворяют требованиям этого документа.
Прочие разделы оператор определяет самостоятельно, поскольку закон не относит их к обязательным для указания в политике.
Я рекомендую дополнить политику также разделами, которые описывают следующее:
- Процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений, поскольку п. 2 ч. 1 ст. 18.1 закона требует от оператора включения таких сведений в локальные акты.
Такие процедуры могут включать в себя как реагирование на запросы и жалобы субъектов персональных данных, так и порядок проведения оператором мероприятий внутреннего контроля, направленных на предупреждение возможных нарушений закона. Если у оператора отсутствуют специфические контрольные мероприятия, которые уместно описывать в отдельном акте или детали которых относительно конфиденциальны и не подлежат разглашению широкому кругу лиц, то их общее описание можно привести в политике, дабы не плодить лишние документы. - Права субъектов персональных данных и порядок их реализации. Например, в этом разделе имеет смысл указать конкретный адрес электронной почты, выделенный для обращений от субъектов персональных данных.
Крайне важен запрет на включение в политику и соответствующие локальные акты положений, которые ограничивают права субъектов персональных данных или возлагают на оператора дополнительные полномочия и обязанности. Ограничением прав субъектов Роскомнадзор может посчитать, например, излишне обременительную процедуру отзыва согласия (особенно если согласие давалось не в той же форме) или отступление от императивных положений закона (например, продолжение обработки персональных данных после отпадения цели «на всякий случай»).
Что касается запрета на введение дополнительных полномочий и обязанностей, то это нельзя рассматривать как невозможность оператора проводить непредусмотренные законом мероприятия в области обработки данных (например, путем ведения реестра обработок или проведения внешних пентестов). Оно должно пониматься также через призму ограничения прав субъектов, в частности если оператор устанавливает для себя дополнительную процедуру идентификации субъекта путем затребования у него паспортных данных, хотя изначально такие данные оператор не обрабатывал.
В отличие от российского закона европейскому регулированию также известно требование о составлении политики на простом и понятном для субъекта персональных данных языке без излишних юридических терминов и бессмысленных отсылок к положениям закона. Проще говоря, структура документа должна быть максимально незамысловатой и с удобной навигацией между основными разделами. Предложения дополнить закон аналогичными требованиями к политике звучат в профессиональном сообществе достаточно давно и настойчиво, но пока не привели к результату.
Как публиковать политику
Согласно письму Роскомнадзора от 19.10.2021 № 08-71063, если оператор собирает персональные данные с использованием интернета, то политика должна быть размещена также в интернете, а у субъектов должен быть к ней доступ. В противном случае размещение политики в интернете не требуется, но она все еще должна быть доступна к ознакомлению неограниченным кругом лиц (например, она может быть размещена на информационном стенде в офисе оператора).
Требование иметь политику и публиковать ее в открытом доступе формально адресовано только оператору-юрлицу. Тем не менее я рекомендую вести такой документ всем, кто работает с большим массивом персональных данных, скажем, если у вас есть сайт или вы оказываете услуги в интернете. Это потенциально повышает доверие со стороны субъектов, которые привыкли видеть подобный документ практически на любом сайте и позволяет систематизировать те процессы обработки, которые у оператора уже есть.
По правилам последней редакции закона (от 14 июля 2022 года), при сборе персональных данных в интернете необходимо также размещать ссылку на политику под каждой формой сбора (или как минимум на той же странице в «подвале» сайта). Если данные собираются и обрабатываются в форме обратной связи на основании согласия, то требования закона можно выполнить такой формулировкой: «Заполняя настоящую форму, даю согласие на обработку персональных данных (гиперссылка на более подробные условия) в соответствии с политикой (гиперссылка на документ)».
Еще следует учесть, что с политикой должны быть ознакомлены не только работники, которые прямо участвуют в обработке персональных данных (п. 6 ч. 1 ст. 18.1 ФЗ № 152), но вообще все работники оператора, поскольку политика устанавливает порядок обработки их персональных данных, определяет права и обязанности работников в области персональных данных (п. 8 ст. 86 ТК).