Развитие регулирования
Первую сессию, посвященную развитию регулирования персональных данных, открыла докладом Елена Агаева, партнер, руководитель практики защиты персональных данных Она же выступила модератором. Агаева рассказала об экстерриториальности закона «О персональных данных». В выступлении она объяснила слушателям правило локализации: оно означает, что первичный сбор данных российских граждан должен происходить на территории России и лишь впоследствии их можно передавать трансгранично. Закон «О персональных данных» рассчитан и на те компании, которые не имеют выраженного юридического присутствия в России, например это онлайн-бизнес, собирающий и обрабатывающий персданные, продолжила Агаева. В качестве примера эксперт привела дело United Parcel Service, на которую наложили штраф за повторное нарушение требований о локализации ( № 05-1180/422/2023). Еще Агаева упомянула так называемый закон о «приземлении» IT-компаний и перечислила обязанности иностранного лица, ведущего деятельность в интернете (например, зарегистрировать личный кабинет на сайте Роскомнадзора).
Нужно оценивать, подпадает ли конкретный случай под требования об уведомлении и каким образом происходит передача. А это зависит от того, в какую страну мы передаем эти данные.
Мысль о трансграничной передаче персданных продолжил Валерий Нарежный, советник . Эксперт рассказал, что все страны можно разделить на две категории: с достаточной защитой персональных данных и отсутствием таковой. «Неадекватные» страны — это те, что не участвуют в конвенции Совета Европы и не ввели у себя аналогичное ей регулирование, пояснил Нарежный. Это влияет на порядок трансграничной передачи, в частности на решение, достаточно ли просто подать уведомление в Роскомнадзор и сразу же передать данные или следует выждать после этого десять дней. К слову, если получатель данных — ваш работник, который находится в командировке за рубежом, то порядок трансграничной передачи не нужно соблюдать, добавил спикер. Но есть и такие ситуации, когда предоставление данных неочевидно. Например, если используются иностранные облачные сервисы, которые, по мнению Нарежного, можно назвать серой зоной. По возможности избегайте их использования, посоветовал юрист. Нарежный дал и еще одну важную рекомендацию: сформулировать в договоре условие об уничтожении персональных данных получателем в случае, если Роскомнадзор запретит такую трансграничную передачу.
Ирина Ахмедова, руководитель практики интеллектуальной собственности и персональных данных , предложила перейти от вопроса трансграничной передачи данных к проблемам правонарушений в этой сфере. Ахмедова рассказала о системе квалификации правонарушений, основанной на приказе Роскомнадзора от 27.10.2022 № 178. Правда, добавила она, весь приказ — это квинтэссенция вопросов без ответов. Спикер обратила внимание, что требования об оценке вреда применяются к двум видам случаев: нарушению закона «О персональных данных» и к рисковым правомерным действиям. Все случаи применительно к степени вреда — высокой, средней и низкой — Ахмедова разделила на три группы. Первую она назвала очевидными нарушениями, вторую — случаями, не предусмотренными в законодательстве. В третью категорию вошли рисковые случаи. Классификация степеней вреда не несет практического значения, высказала свое мнение юрист.
Определение степени вреда не имеет никаких последствий, они нигде не написаны. Никаких других разъяснений о том, зачем это нужно, тоже нет.
Резюмируя, эксперт сказала, что бизнесу и юристам требуется дополнительный приказ Роскомнадзора, в котором появились бы ответы на возникшие вопросы. «Может быть, Роскомнадзор нас и не услышит, но я считаю важным высказать эту мысль», — закончила выступление Ахмедова.
На самом деле Роскомнадзор все услышал, потому что следующей микрофон взяла в руки Екатерина Ефимова, руководитель направления персональных данных ФГУП ГРЧЦ (Роскомнадзор). Она подняла тему использования законных оснований при обработке персональных данных.
Раньше субъект мог отслеживать, во взаимоотношения с какими операторами он входит. Сейчас же, с точки зрения гражданина, очень трудно реализовать защиту своих прав. Один вопрос, продолжает Ефимова, если субъект нашел где-то свои слитые персональные данные, но совсем другой — доказать, что кто-то за ним следит и предлагает суперусовершенствованную рекламу. Эксперт заметила, что в российском законодательстве, как и в европейском, действует принцип равенства сторон. Предполагается, что у оператора и субъекта есть базовые знания для реализации своих прав, но это, по ее мнению, не так. Ефимова обратила внимание, что субъект не может даже оценить, в каком количестве отношений он состоит. Большинство текущих правовых оснований нечестны для субъекта персональных данных. Некоторые согласия составляют 80 страниц, объяснила спикер, и непонятно, как дальше жить без тревожности из-за вопроса о том, что же было на этих страницах.
Помимо этого, отметила Ефимова, уже собрался научно-технический совет по гармонизации правовых оснований. Он займется вопросом ухода от культа согласий. Обязательно будет переходный период для выстраивания иерархии правовых оснований, и уже прозвучало предложение внедрить «калькулятор выбора правового основания» на сайте Роскомнадзора.
Подробно о тенденциях судебной практики по делам, связанным с привлечением к административной ответственности за нарушение требования о локализации персональных данных, рассказала Ксения Смирнова, генеральный директор, Privacy Tech. Начиная с 2019 года, приняли более 50 судебных решений по этой категории дел, при этом большинство из них касалось иностранных ИТ-компаний и завершилось наложением административного штрафа. Несмотря на высокие штрафы за нарушение требования о локализации (до 18 млн руб.), мировые суды учитывают разные смягчающие обстоятельства в подобных разбирательствах, особенно, если компания соблюдает российское законодательство. Еще Смирнова сформулировала несколько критериев успешной стратегии в таких делах на досудебной и судебной стадиях. Она посоветовала конструктивно взаимодействовать с регулятором: предоставлять чиновникам пояснения и документы, контролируя входящую корреспонденцию.
Технологический прорыв или угроза
За последние годы не только участились случаи передачи субъектом своих персональных данных, но и появилось более детальное регулирование биометрии. Об этом рассказала Рената Любимова, начальник Службы правового сопровождения проектов развития ГУП «Московский метрополитен». По ее словам, раньше биометрические данные обрабатывались хаотично, и, к примеру, фотографиями клиентов оперировали фитнес-клубы, индивидуальные предприниматели, магазины и прочие. От обычных персданных регулирование не отличалось, хотя, как подметила Любимова, способов, как можно использовать биометрию, куда больше. Потому и появились специальные правила для нее, закрепленные в законе № 572. Теперь использовать биометрию можно только в случаях, установленных правительством, а хранятся «сырые» данные в единой биометрической системе. Любимова рассказала, что для этой системы разработали концепцию региональных сегментов — до конца 2027-го в них могут храниться и обрабатываться биометрические данные. В Москве регсегмент работает с августа 2024 года. Любимова выступила за то, что использование биометрии — это технологический прорыв, а не угроза конфиденциальности. Она заверила слушателей в том, что опасения граждан безосновательны, ведь законодательство содержит строгий запрет на сбор биометрии без согласия, и за соблюдением этого требования тщательно следят.
Выступавшая после Мария Осташенко, партнер и руководитель практики «Защита данных и кибербезопасность» , о защищенности данных говорила не так уверенно.
Да, мы все хотим больше удобства в жизни, но наши данные все же уязвимы и нуждаются в защите. Развивая технологии, нужно не забывать о принципах конфиденциальности и законности.
Осташенко выделила некоторые модели послабления текущих ограничений, связанных с получением согласия на обработку персданных. Во-первых, это отказ от получения согласия в ряде случаев. Во-вторых, упрощение возможности получения такого согласия. В качестве примера для второй модели она привела концепцию opt-out (то есть конклюдентных) согласий и развитие альтернативных оснований для обработки данных.
Последнее предложение поддержал Роман Власов, юрист Он заметил: обычные пользователи видят, что операторы предпочитают согласия на обработку, даже если можно использовать другие основания. Власов считает, что законный интерес — это недооцененное основание, ведь в отличие от согласия его нельзя отозвать. Есть плюс и для самих субъектов — мало кому нравится подписывать множество бумаг. При этом законный интерес должен соответствовать только трем критериям:
- идентификация цели и необходимость обработки персданных для ее достижения;
- квалификация права или интереса в качестве законного;
- отсутствие нарушения прав и свобод субъекта.
С коллегой согласилась Валерия Эйстрах, юрист
Роскомнадзор все более позитивно относится к альтернативным правовым основаниям. Надеюсь, скоро мы придем к европейскому подходу, когда согласие на обработку будет использоваться лишь в крайнем случае.
Наталия Спицына, cтарший юрист , дополнила, что есть два видения согласий на обработку. Первый — закрытое согласие, самый классический вариант с проставлением галочек. Он очень удобен бизнесу, но у него есть существенный недостаток: Роскомнадзор рассматривает это как ограничение субъекта в выборе условий. Открытый же перечень сложен и непонятен. Идеальный вариант — комбинированное согласие. В этом случае юрист рекомендует предусмотреть опцию «условия и запреты не установлены», чтобы субъект поставил там галочку.
Об идее Осташенко, связанной с конклюдентными согласиями, высказалась Марина Юфа, руководитель практики правовой поддержки защиты данных «Авито». Она поделилась кейсом, в котором сотрудница поучаствовала в фотосессии, организованной работодателем. Фотографии счастливых сотрудников предназначались для публикации на сайте поиска работы, чтобы привлечь соискателей. Правда, на момент публикации сотрудница в компании уже не работала и попросила эти фотографии удалить, а работодатель настаивал, что изначально обозначил цель фотосессии. В итоге суд подтвердил, что это был случай конклюдентного согласия, но оно прекратилось после увольнения. Получается, сказала Юфа, что такое согласие имеет силу, но есть и ограничения.
Еще одна важная проблема, на которой заострила внимание Осташенко, — это защита субъектов персональных данных. Этому могут способствовать некоторые обсуждаемые в юридическом сообществе и на уровне государства инициативы. Например, штрафы за сбор и обработку избыточных персданных, усилие ответственности за утечки и развитие «мягкого права» со стороны Роскомнадзора, в частности появление разъяснений рекомендательного характера и «белые книги».
Как спастись от утечек
Михаил Ратушный, руководитель практики защиты персональных данных Ozon, считает, что универсального решения для защиты персданных не существует. А для того чтобы строить систему, нужно понимать, что ждет нас в 2025-м, заметил спикер. Ратушный уверен, что в следующем году произойдет избыточная обработка персданных и отказ от согласий в пользовательских соглашениях. Помимо этого, вероятно, появится страхование ответственности за утечки. А еще эксперт подчеркнул, что если увеличатся требования к финансовому обеспечению, то возможность обработки данных потеряют субъекты малого предпринимательства.
Ирина Левова, директор по стратегическим проектам Ассоциации больших данных (АБД), поддержала тему, добавив несколько слов о смягчающих обстоятельствах при утечках. Суды учитывают финансовое состояние нарушителя, и если он не обладает большими средствами, то штраф могут снизить. Повлияет введение механизма добровольного аудита и успешное его прохождение, а разработка системы оценки в рамках добровольного аудита может еще больше смягчить ответственность. Еще одна добровольная вещь, которая, вероятнее всего, повлияет на размер наказания — это использование механизмов минимизации ущерба субъектами (например, кодексы и отраслевые соглашения). Получается, было бы актуально внести в текущее регулирование изменения, предполагающее прямое указание на смягчение ответственности, резюмировала выступления спикера Эйстрах.
О вызовах, с которыми сталкивается рынок, рассказала Елизавета Дмитриева, руководитель функции DPO «Самоката». Дмитриева отлично знает, насколько трудно наладить процессы внутри самой компании, ведь имеет большой опыт в этой сфере. Представьте, говорит она, вы пришли в компанию и пытаетесь сделать в ней комплаенс, начинаете с нуля как консультант или как DPO. Фокус вашего внимания направлен на что-то, что доступно внешнему наблюдателю, на документы, которые затребует регулятор при проверке. Когда фронтенд (интерфейс, который видит пользователь) в порядке, то кажется, что все отлично, но это не совсем так. Если до вас никто серьезно приватностью не занимался, то тут скрывается что-то нехорошее. Например, пользователи дают свою почту для рассылок, а ее используют в совсем других целях. Чем больше компания, тем больше проблема, но обнаружить ее трудно, если не знать, куда смотреть.
Об утечках данных говорил и Артем Дмитриев, управляющий партнер Количество утечек год от года растет, сказал юрист, но увеличивается и число внеплановых проверок. Более того, объем проверок вырос больше, чем число случаев утечки данных. Он поделился, что команда Comply проанализировала практику и пришла к любопытным выводам. Например, в основном компании штрафуют, но есть несколько счастливчиков, которые избежали наказания. Всего получилось выделить две группы доказательств, которые помогают освободиться от штрафа:
- правильное реагирование на инцидент (в частности, компания постаралась минимизировать ущерб от утечки);
- наличие рутинных privacy-процедур, то есть не просто иногда проводятся внутренние аудиты, а есть положение об аудитах, составлены чек-листы по их итогам.
Роскомнадзор может запрашивать нетривиальные документы, например инструкции к ИСПД, включая доступы, резервирование данных в вашей компании и так далее. Конечно, если у вас нет таких документов, вы вряд ли быстро найдете такие сведения.
Сейчас действует мораторий, а потому многие операторы расслабились, включился в обсуждение Артем Евсеев, руководитель практики IP, IT и защиты информации Но мораторий — это не панацея и непонятно, продлят ли его, заметил Евсеев. Из-за моратория нет и единой правоприменительной практики, и неясно, как будут считать штрафы по нарушениям, состоящим из нескольких эпизодов.
Если вы уже подали уведомление об утечке данных, то новое уведомление по расширенным данным подавать не следует. В противном случае придется уплатить второй штраф за ту же утечку.
Подвела итоги обсуждения Екатерина Липова, начальник отдела контроля процессов с ПДн «Альфа Банка». Она уверена, что даже если произошла фолс-утечка, то нужно сделать выводы и постараться понять, какие сотрудники ненадежны, есть ли в компании комитет, который в случае чего займется проблемой. Липова порекомендовала всем участникам мероприятия начать смотреть на штрафы позитивно и в дальнейшем использовать произошедшую многочасовую дискуссию для правильного построения процессов.