Практика
21 марта 2022, 9:09

Персональные данные: как юристу работать с ними

Компания нанимает на работу сотрудника — и в этот же момент получает его персональные данные. Небольшой интернет-магазин просит покупателя указать номер телефона для связи с курьером или рекламной рассылки — и это тоже персональные данные. Штрафы за неправильную работу с ними могут достигать сотен тысяч и даже миллионов рублей. Иногда можно ждать и репутационных потерь, и исков от пострадавших. В общем, ни один бизнес не сможет пройти мимо персональных данных. А Роскомнадзор, который следит за соблюдением законодательства в этой сфере, не пройдет мимо нарушений.

Персональные данные: почему они важны

С обработкой персональных данных каждая компания начинает сталкиваться с момента ее создания — это сведения о сотрудниках, контрагентах, покупателях. Персональные данные, файлы cookie, big data помогают рекламировать и продвигать товары и услуги. К примеру, компании собирают данные о своих покупателях, чтобы направлять им рекламные рассылки, делать специальные предложения, копить скидки и баллы. 

Персональные данные ценны тем, что к ним нет доступа у других либо этот доступ ограничен, подчеркивает руководитель практики правовой защиты информации «Пепеляев Групп» Дмитрий Зыков. И этот ресурс приходится защищать, чтобы не потерять возможность его использовать. «Если не наладить должным образом процесс обработки сегодня, то завтра у Роскомнадзора могут возникнуть вопросы. По мере развития компании проблема будет только расти», — комментирует глава практики «Цифровое право» CMS Russia Ирина Шурмина.

А еще проблемы с персональными данными могут навредить репутации бизнеса. 

Сложно доверять компании, которая не заботится о своих работниках, клиентах, особенно если бизнес такой компании строится на работе с информацией. И хотя в России такие инциденты с информационной безопасностью еще не создают столь много шума, как за рубежом, вряд ли получится совсем избежать внимания бизнес-партнеров на этом фоне.

Дмитрий Зыков

Соблюдение требований в области персональных данных может быть важно и с практической точки зрения, уверен старший юрист корпоративной практики Capital Legal Services Вадим Ковалев. Например, зачастую для участия в госзакупках от компании-участника требуется предоставить уведомление об обработке персональных данных, поданное компанией в Роскомнадзор.

Требования закона: защищать и удалять

Основной закон, регулирующий обращение с персональными данными, — ФЗ № 152-ФЗ «О персональных данных». Этот документ устанавливает подробные требования к каждому аспекту работы с персональными данными. Их можно разделить на четыре большие группы: сбор, обработка, хранение и защита.

Для сбора персональных данных почти всегда нужно согласие конкретного субъекта, но есть и исключения: например, для работодателей, которые собирают данные сотрудников согласно Трудовому кодексу. Обработка персональных данных происходит всегда в строго обозначенных целях, о которых нужно предупреждать. Например, для почтовой рассылки необходимы только адрес электронной почты и, возможно, имя клиента, но точно не его паспортные данные.

Еще один источник требований — закон «Об информации, информационных технологиях и о защите информации». В целом законодательство запрещает бесконечное хранение такой информации — после использования в определенных целях ее нужно либо удалить, либо обезличить.

Правила защиты персональных данных регламентирует и правительственное Постановление от 01.11.2012 № 1119. В целом задача компании сводится к определению уровня угрозы безопасности и требующегося уровня защиты, выбор мер для защиты и последующая регулярная оценка рисков. Перечень мер по обеспечению безопасности данных при их обработке содержится в приказе Федеральной службы по техническому и экспортному контролю от 18.02.2013 № 21.

Какая ответственность: от штрафов до «уголовки»

В основном за нарушение законодательства о персональных данных привлекают к административной ответственности. 

Специальная ст. 13.11 КоАП содержит несколько составов:

за нарушение порядка обработки персональных данных. Например, за обработку в случаях, не предусмотренных законом, или не соответствующую целям сбора данных, либо за обработку без согласия;нарушение прав субъектов персональных данных на информацию, а именно за неопубликование в свободном доступе политики в отношении персональных данных, непредоставление информации по запросу, невыполнение требований об уточнении, блокировке, уничтожении данных.несоблюдение ряда технических требований, регламентирующих сбор и хранение таких данных, и нарушение порядка взаимодействия с государственными органами.

В начале 2021 года штрафы за большинство нарушений выросли в два раза: теперь от 30 000 до 150 000 руб. за первичное нарушение и до 500 000 руб. за повторное. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем прямых контактов с потенциальным потребителем в отсутствие предварительного согласия субъекта наказывается штрафом от 100 000 до 500 000 руб.

За одно из самых распространенных нарушений — обработку данных без законного основания — штраф составляет от 100 000 до 300 000 руб. Но потенциально он может быть умножен на количество субъектов, чьи данные обрабатывались с нарушением, предупреждает Шурмина. Впрочем, на практике это встречается нечасто, отмечает руководитель направления «Персональные данные и реклама» BCLP Наталия Беломестнова.

Дороже всего обойдется невыполнение обязанности по локализации персональных данных в России — от 1 млн руб. за первое нарушение до 18 млн руб. за повторное.

Но штрафы это не все. Сайт компании может попасть в «Реестр нарушителей прав субъектов персональных данных» и оказаться заблокирован, напоминает Беломестнова. Реестр ведет Роскомнадзор. Туда по решению суда попадают сайты, содержащие информацию, обрабатываемую с нарушением законодательства о персональных данных. Самый известный пример заблокированного за нарушения сайта — соцсеть LinkedIn, которая из-за этого не работает в России с 2016 года. Она отказалась переносить данные на сервера в России.

Возможна и гражданско-правовая ответственность, ведь пострадавший может обратиться в суд с иском о возмещении убытков и компенсации морального вреда.

В Уголовном кодексе нет специального состава преступления за нарушения при работе с персональными данными. Они могут квалифицироваться как нарушение неприкосновенности частной жизни по ст. 137 УК. По словам советника Orchards Анастасии Сивицкой, такая практика уже формируется применительно к случаям, например, массовых утечек персональных данных.

Эксперт обращает внимание и на ситуации с нарушениями, встречающимися в сфере трудовых отношений. Так, работодателя можно привлечь к материальной ответственности по правилам ст. 90 и ст. 232 Трудового кодекса («Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника», «Обязанность стороны трудового договора возместить ущерб, причиненный ею другой стороне этого договора»). А виновного работника можно привлечь еще и к дисциплинарной ответственности по этим же статьям.

Проверки Роскомнадзора: нужно быть готовым

В последнее время наблюдается тенденция к ужесточению контроля за соблюдением требований законодательства в области персональных данных, отмечает президент Национальной Ассоциации Комплаенс Владимир Балакин. Растут не только штрафы сами по себе, но и размеры штрафных санкций по результатам каждой проверки. 

Роскомнадзор применяет новый риск-ориентированный подход. Теперь организации распределены по уровню риска — от высокого до низкого. От этого зависит частота проверок ведомства. «Контрольно-надзорными органами реализуется план по снижению общего числа проверок, по увеличению результативности каждой из них», — объясняет Балакин. Помимо этого, Роскомнадзор больше не выдает предупреждения, а предпочитает сразу прибегать к назначению денежных взысканий, подчеркивает Балакин.

Теперь поводом для внеплановой проверки могут стать несколько жалоб субъектов персональных данных на нарушение их прав, подчеркивает Шурмина. Зато проверочные и контрольные мероприятия РКН должны быть согласованы с Генпрокуратурой. Поэтому теперь можно узнавать о них напрямую через Единый реестр проверок.

Частые ошибки

Больше всего ошибок компании допускают при составлении форм согласий на обработку персональных данных, говорят эксперты. К примеру, в них отсутствуют обязательные реквизиты, предусмотренные законом для согласий в письменной форме, отмечает Ковалев. Так, п. 4 ст. 9 закона «О персональных данных» требует указывать, в частности, реквизиты паспорта лица, цель обработки, перечень передаваемых данных и так далее. На практике проблемы возникают и при заполнении уведомления об обработке персональных данных, которое подают в Роскомнадзор.

Сивицкая указывает на ошибку в виде сбора, обработки и хранения данных в принципе без подписания соглашения об обработке. По словам эксперта, порой такое поведение обусловлено не намерением нарушить закон, а тем, что компания просто не анализирует свою деятельность на предмет фактической обработки персональных данных. «В моей практике был случай, когда организация в ходе своей основной деятельности осуществляла обработку персональных данных в больших объемах, но при этом даже не предполагала, что обрабатывает персональные данные без согласия», — рассказывает юрист.

Часто у субъектов персональных данных нет доступа к информации о политике обработки персональных данных в организации. Если с такой информацией невозможно беспрепятственно ознакомиться, то это тоже нарушение, за которое организацию могут наказать.

Анастасия Сивицкая

Руководитель практики интеллектуальной собственности и персональных данных юридической фирмы Клифф Ирина Ахмедова обращает внимание и на избыточный сбор данных в отсутствие законной цели. «Наиболее распространенная ошибка — отсутствие законных оснований для обработки персональных данных, в том числе их обработка, несовместимая с целями сбора», — рассказывает Зыков. Из этого вытекает и еще одно распространенное нарушение — продолжение обработки информации после того, как цели их сбора были достигнуты. Ее нельзя безосновательно хранить столько, сколько заблагорассудится, подчеркивает эксперт.

Кроме того, часто компании игнорируют волеизъявление человека и, например, не дают ему возможности не согласиться с передачей персональных данных третьим лицам, заключает Ахмедова.

Практические советы: постоянный аудит и открытость

Начиная работу с персональными данными, важно помнить, что это понятие максимально широкое и может включать в себя любую информацию, относящуюся к физическому лицу, рассказывает Ахмедова. Поэтому в первую очередь необходимо разобраться в принципах и условиях обработки персональных данных, а также понять, как правильно составить согласие на их обработку.

Прежде всего необходимо правильно подготовить документы, сопровождающие работу, и разместить их проекты в открытом доступе, советует Сивицкая. Это позволит минимизировать риски требований со стороны Роскомнадзора.

Балакин советует обратить внимание на следующие моменты в работе с персональными данными:

✔️ Проверить, подписаны ли согласия на обработку персональных данных всеми соискателями, работниками и иными третьими лицами. Получить согласия, если они отсутствуют.✔️ Принять политику в отношении персональных данных и разместить ее в открытом доступе.✔️ Проверить на соответствие требованиям закона формы согласия.✔️ Назначить ответственных за организацию обработки данных, произвести разграничение доступа среди лиц, работающих с ними. Это позволит минимизировать риск утечки информации.

Необходимо постоянно следить за изменениями законодательства о персональных данных, особенно в части требований к взаимодействию с государственными органами. «Эта отрасль законодательства развивается, что обусловлено как мировыми трендами, так и развитием технологий, громкими случаями утечек», — отмечает Сивицкая.

В 2021 году в законе «О персональных данных» появилась новая ст. 10.1, посвященная распространению данных среди неограниченного круга лица и использованию таких общедоступных данных. На распространение данных требуется отдельное согласие, причем в таком согласии у субъекта должна быть возможность в свободной форме указать запреты и ограничения на использование его данных. «Основная рекомендация здесь — оформлять новые согласия для распространения и осторожно использовать данные из открытых источников, особенно если нет уверенности, что они были распространены с учетом требований новой статьи», — советует Шурмина.

Своими силами или с помощью консультантов?

Если в компании небольшой штат сотрудников и она не обрабатывает большие потоки данных, такая компания вполне может самостоятельно организовать процессы с персональными данными в соответствии с положениями законодательства, уверена старший юрист практики «Интеллектуальная собственность и информационные технологии» Borenius Russia Вера Зотова. Если штат компании большой, а компания также обрабатывает множество категорий и большие объемы данных, передает их через границу, будет полезно воспользоваться помощью консультантов.

В достаточно больших компаниях появляется все больше узкоспециализированных экспертов по организации работы с персональными данными или хотя бы по контролю за этим, так называемые DPO (data protection officer — менеджер по защите персональных данных). Но и таким специалистам может потребоваться сторонняя помощь по первичному анализу и настройке всех процессов, а также разработке необходимых документов. «Но это уже будет зависеть, в частности, и от интересов самой компании — до какой степени ее деятельность должна соответствовать требованиям закона и какой ценой», — отмечает Зыков.

Внешние эксперты могут быть крайне полезны для независимых аудитов персональных данных, чтобы со стороны и с нуля проверить все процессы, выяснить обстоятельства обработки персональных данных и составить или скорректировать все необходимые документы.

Ирина Шурмина

Поскольку в законодательстве есть не только юридические, но и технические требования к работе с персональными данными, имеет смысл обратиться за помощью не только сторонних юристов, но и технических специалистов, советует Сивицкая.

Универсального ответа на вопрос, стоит ли отдать «настройку» режима работы с персональными данными сторонним специалистам или сделать все своими силами, нет, уверена Беломестнова: «Очень многое зависит от размеров бизнеса, его специфики и профессионализма и опыта внутренних юристов компании». Например, в малых или производственных компаниях, чей бизнес не построен вокруг обработки больших массивов пользовательских данных, справиться могут и толковые внутренние юристы. А банкам, сотовым операторам, цифровым платформам, компаниям, активно работающим с пользовательскими данными, в том числе за пределами России, для построения системы управления и защиты персональных данных требуется более экспертный и комплексный подход, который помогут обеспечить внешние консультанты.