Секреты под замком: как защитить информацию в 2021 году
Защита, документы и соглашения
Отсутствие информационного воспитания как у работников, так и работодателей, приводит к утечкам различных сведений, заявил руководитель практики правовой защиты информации «Пепеляев Групп» Дмитрий Зыков. Поэтому надо заботиться, чтобы конфиденциальная информация защищалась, проводить организационную и юридическую работу.
Не все отдают себе отчет в том, что они работают с конфиденциальной информацией и что нужно соблюдать правила работы с такой информацией.
Для усиления защиты данных эксперт рекомендует использовать «информационное воспитание»: разрабатывать локальные нормативные акты компании о безопасности конфиденциальной информации и применять технические средства защиты. Следует обратить внимание и на зоны риска, актуальные в 2021 году. Сейчас, когда многие работают удаленно, следить за сохранностью данных стало сложнее, поэтому важно уделять этому больше внимания и, например, запрещать сотрудникам пользоваться внешними информационными ресурсами для обмена документами.
Подробнее о том, как оградить фирму от разглашения коммерческой тайны, рассказала Ирина Ахмедова, руководитель практики интеллектуальной собственности и персональных данных Клифф. Зачастую компании хотят усилить существующий режим защиты персональных данных и охранять их в качестве коммерческой тайны. Так же бывает и с результатами интеллектуальной деятельности. «Режим коммерческой тайны позволяет наилучшим образом защитить информацию. Он обеспечен законом и государством, и в случае, если компания располагает необходимыми финансовыми и бюрократическими ресурсами, он позволит наилучшим образом защитить информацию», — отметила юрист.
К коммерческой тайне, по словам Ахмедовой, можно отнести «практически любую информацию». Но нужно ознакомить с положением всех сотрудников, подписать с ними и контрагентами соглашения. Также важно вести учет лиц, получивших доступ к такой информации. «Чем детальнее расписан подход к коммерческой тайне, тем больше шансов, что в случае судебного разбирательства виновные [в разглашении тайны] будут наказаны», — объяснила юрист.
Эксперт посоветовала внимательнее относиться к правам доступа к документам, составляющим тайну. Желательно четко давать понять об этом сотрудникам, в чем помогут водяные знаки на каждой странице файла. Можно также предусмотреть, что документ нельзя скопировать и изменить, ограничить права доступа. Не лишним будет оформить запрет использования облачных хранилищ для хранения таких документов, советует Ахмедова.
А о защите персональных данных говорил Михаил Хохолков, ведущий юрист INTELLECT. С 1 марта 2021 года вступили в силу поправки в закон «О персональных данных». Поэтому теперь для распространения персональных данных нужно получить согласие от гражданина по специальной форме согласия. Каждый оператор должен разработать свой бланк согласия или веб-форму, напомнил эксперт. Он дал несколько советов по оформлению такой формы. Так, согласие должно содержать сведения о Ф. И. О. клиента, контактной информации, целях распространения данных и другую информацию. Согласие дается на четко определенный срок, напомнил юрист. Допускается любая форма согласия, позволяющая подтвердить факт его получения.
Максим Зиновьев, руководитель отдела по защите персональных данных юридической фирмы Б-152, остановился на теме Legal design в выработке политики конфиденциальности компании. Политику конфиденциальности просто не читают, если она представляет собой «стену текста». Поэтому важно, чтобы документ был наглядным и понятным. Юрист предложил вычеркивать ненужные разделы из Политики, избавиться от сложных терминов. При этом самые важные положения он советует излагать в самом начале документа, вместе с оглавлением, чтобы субъект мог быстро найти то, что его интересует. Цветовое кодирование, крупные заголовки, читаемые шрифты — визуальная составляющая тоже важна, подчеркнул Зиновьев.
Зачастую персональные данные и базы таких данных становятся предметом сделки между двумя компаниями. Станислав Румянцев, старший юрист ЮФ «Городисский и Партнеры», показал на примерах, какие ошибки могут содержаться в таких сделках. Например, иностранная компания разработала онлайн-игру, нашла в России партнера, предоставила ему право на техническую поддержку и локализацию продукта. Основной актив такого продукта — база данных пользователей, субъектов персональных данных, пояснил юрист. При этом оператором базы данных стала российская компания, и это стало ошибкой иностранных партнеров: тем следовало назвать оператором себя, а российскому контрагенту просто доверить обрабатывать данные по поручению.
Если нужно заключить соглашение, по которому подрядчик будет заниматься формированием или администрированием базы данных, включите в договор указание не только на Гражданский кодекс, но и на Закон о персональных данных. Он имеет большую силу в таких делах.
Против Роскомнадзора
А Иван Кайсаров, старший юрист Versus.legal, рассказал о последствиях нарушения закона о персональных данных. В 2021 году в законодательстве появились штрафы до 200 000 руб. для юридических лиц за разглашение персональных данных. А еще недавно все штрафы за нарушения увеличили в два раза. Самые крупные все еще положены за нарушение обязанности по локализации персональных данных — до 18 млн руб. за повторное нарушение.
В первую очередь у вас должна быть работа в трех направлениях: правовом, разъяснительно-воспитательном и техническом. Если у вас много дистанционных работников, система должна обеспечить конфиденциальность данных.
Среди типичных нарушений, которые допускают компании, Кайсаров выделил получение «резиновых» согласий на обработку данных без конкретных целей, отсутствие бумаг, описывающих процесс обработки данных, и передача информации третьим лицам без права на это. Он посоветовал четко прописывать в документах все процедуры работы с данными, и тогда проблем с государством в лице Роскомнадзора будет меньше.
О том, как успешно пройти проверку надзорного органа, говорили начальник отдела правовой поддержки цифровых сервисов и сопровождения проектов X5 Group Александра Николаева и Артем Дмитриев, руководитель практики по защите данных PwC Russia. Дмитриев отметил последние изменения в контрольно-надзорной деятельности. Теперь все проверочные и контрольные мероприятия РКН должны быть согласованы с Генпрокуратурой. Поэтому стало возможным узнавать о мероприятиях напрямую через «Единый реестр проверок».
Еще одно важное изменение — новый риск-ориентированный подход. Теперь организации распределены по уровню риска от «высокого» до «низкого». От этого зависит частота проверок ведомства. А сама продолжительность проверок сократилась вдвое — с 20 до 10 дней. «К проверкам Роскомнадзора нужно готовиться точно так же, как если бы она проводилась в течение 20 дней. Поэтому они будут смотреть на понятные им «болевые места», — подчеркнул юрист.
У Роскомнадзора не хватает людей, чтобы проводить много проверок и проводить их тщательно. Это очевидно.
Юрист практики интеллектуальной собственности Lidings Алексей Возжаев рассказал о самых интересных спорах Роскомнадзора с коммерческими компаниями. По словам эксперта, он пытался составить топ-5 споров за прошедший год, и в топ вошли WhatsApp, Facebook, Twitter и Google. Эти компании наказали на нарушение правила, согласно которому иностранные IT-гиганты должны локализовать данные пользователей в России. Сейчас многие иностранные компании, которые работают в России, получают «письма счастья» на этот счет, подчеркнул Возжаев.
Вспомнил юрист и о постановлении Конституционного суда № 22-П, в котором врач из Воронежа добивалась удаления ее профиля с портала отзывов о врачах, поскольку некоторые из этих отзывов оказались оскорбительными. КС признал, что распространение данных работника, ранее раскрытых медицинской организацией, не нарушает прав таких работников (подробнее — «КС разрешил публиковать общедоступные данные о врачах»).
В конце сентября и начале октября Право.ru проведет множество интересных мероприятий. Вот ближайшие из них:
30 сентября — Налоговая политика и налоговые споры.
13 октября — Девелопмент и строительство: правовые вопросы.
19 октября — Семейное и наследственное право: законодательные изменения и актуальная практика.