Персональные данные. Возможные риски для бизнеса и необходимые комплаенс-меры

С учетом изменений в законодательстве о персональных данных и практике его правоприменения нарушение его требований стремительно превращается из отдаленного и теоретического риска в реальную угрозу для непрерывности бизнеса многих компаний. Это вызвано, во-первых, вступлением в силу закона о «локализации» персональных данных и изменениями в процедурах проведения проверок, а во-вторых, не утрачивающими своей актуальности общими требованиями законодательства о персональных данных, которые многие компании не соблюдают в полной мере до сих пор.

Авторы: Александр Монин, партнер Baker & McKenzie

Вадим Перевалов, юрист Baker & McKenzie

 

Александр Монин
Александр Монин
Perevalov Vadim
Вадим Перевалов

 

 

 

 

 

 

 

Так, согласно недавно озвученной статистике Роскомнадзора, за последние 11 месяцев им было проведено 805 проверок (в том числе 58 внеплановых), выявлено 1188 нарушений по результатам 1738 мероприятий систематического наблюдения, выдано 613 предписаний и составлено 6374 протокола об административных правонарушениях. Кроме того, было выявлено как минимум три случая неправомерного использования иностранных баз персональных данных.

Данные цифры кажутся не слишком значительными на фоне общего количества операторов персональных данных (по данным Роскомнадзора, сейчас в России от 5 до 7 млн операторов). Однако важно понимать, что большую часть из этих 5–7 млн операторов составляют предприятия малого и среднего бизнеса, индивидуальные предприниматели, нотариусы и прочие, при этом особый интерес контрольно-надзорные органы будут проявлять в отношении достаточно ограниченного числа компаний. Кроме того, согласно заявлениям Роскомнадзора, мы можем ожидать более активную контрольно-надзорную деятельность в предстоящем 2016 году.

Поскольку переход к юридически правильной модели обработки персональных данных на практике может занять [wcm_restrict]
достаточно много времени в силу ограниченности ресурсов компании, мы рекомендуем заблаговременно приводить свою деятельность в соответствие законодательству, не дожидаясь появления Роскомнадзора.

 

Круг затрагиваемых бизнес-процессов

Учитывая комплексный и взаимосвязанный характер задач и комплаенс-мероприятий, вытекающих из законодательства о персональных данных, необходим системный подход к решению проблем.

Компаниям необходимо: во-первых, инвентаризировать все информационные системы и бизнес-процессы, предполагающие обработку персональных данных; во-вторых, определить круг и роли пользователей данных систем и участников данных бизнес-процессов; в-третьих, оценить их значимость для бизнеса компании. При этом важно привлечь широкий ряд участников бизнес-процессов, поскольку некоторые процессы обработки персональных данных могут оказаться неожиданными или невидимыми для руководства компании.

закон о персональных данных

В процессе инвентаризации необходимо также разъяснить всем участникам данного процесса, что под персональными данными в настоящее время понимается не только информация, позволяющая прямо определить конкретное лицо (например, паспортные данные), но также сведения, с помощью которых можно установить лицо по ряду косвенных признаков (например, по сочетанию его адреса электронной почты, пола и даты рождения). Кроме того, под персональными данными также понимается любая иная информация, связанная с такими прямо или косвенно определенными или определяемыми лицами (сведения о заработной плате, наличии загранпаспорта и визы, табельном номере сотрудника, содержимом заказа клиента — физического лица и прочее).

Такая подробная и тщательная инвентаризация бизнес-процессов позволит избежать бессистемной комплаенс-деятельности, непредвиденных рисков, а также своевременно определить последовательности и приоритетные направления для дальнейшей работы.

 

Определение рисков, связанных с несоблюдением законодательства

В случае несоблюдения законодательства о персональных данных компании могут быть привлечены к ответственности как российскими органами государственной власти, так и гражданами, чьи права затронуты таким нарушением.

Первый возможный сценарий привлечения к ответственности — Роскомнадзор может самостоятельно принять решение о проведении плановой проверки компании или провести мероприятия систематического наблюдения (новая форма контрольно-надзорной деятельности, которую Роскомнадзор может осуществлять без участия оператора персональных данных, например, путем изучения интернет-сайтов). В результате таких действий Роскомнадзор может предписать компании устранить выявленные нарушения в течение срока от десяти дней до шести месяцев (по усмотрению Роскомнадзора) и возбудить административное дело с последующим наложением штрафа на должностных и юридических лиц в размере, не превышающем 10 тысяч рублей.

Помимо этого, в случае если речь идет о нарушениях на сайте компании, Роскомнадзор будет вправе инициировать блокировку доступа к данному сайту на основании вступившего в силу судебного акта.

Такой механизм блокировок создает значительные риски для деятельности интернет-компаний (включая онлайн-сервисы, онлайн-магазины, B2B-площадки и прочее), которые не соблюдают или не полностью соблюдают требования законодательства о персональных данных.

Другой, еще более значимый риск наступает в том случае, если компания не устранит какие-либо нарушения, указанные в предписании Роскомнадзора, в обозначенный срок. При таких обстоятельствах, согласно готовящемуся проекту постановления правительства, Роскомнадзор будет вправе провести полномасштабную внеплановую проверку соблюдения законодательства о персональных данных, а также направить требование о приостановлении обработки персональных данных с нарушением законодательства до устранения нарушений. Данные требования могут повлечь гораздо более серьезные последствия для бизнеса по сравнению с блокировкой сайта, например, если речь идет об использовании информационных систем со сведениями об обслуживаемых клиентах.

Наконец, невыполнение в установленный срок законного предписания (постановления, представления, решения) об устранении нарушений законодательства может повлечь административную ответственность для компании и ее должностных лиц (с возможностью дисквалификации должностных лиц на срок до трех лет).

Кроме того, если требование о пресечении каких-либо нарушений будет закреплено в судебном акте, его неисполнение может квалифицироваться как «злостное неисполнение служащим коммерческой или иной организации вступивших в законную силу приговора суда, решения суда или иного судебного акта», что может повлечь уголовную ответственность по статье 315 УК РФ (с возможностью лишения свободы на срок до двух лет).

Помимо случаев, когда мероприятия по контролю и надзору инициируются Роскомнадзором самостоятельно, существует еще несколько близких по существу сценариев привлечения компании к ответственности: по жалобам частных лиц (например, недовольных работников или покупателей), на основе сообщений средств массовой информации, по поручению правительства и другие.

Наконец, нельзя исключать возможность предъявления претензий непосредственно гражданами, являющимися субъектами персональных данных. Среди таких инициативных граждан на практике легко могут оказаться сотрудники или представители конкурирующих компаний, активисты российских общественных организаций и прочие. Законодательство позволяет таким гражданам предъявлять иски к операторам персональных данных о пресечении деятельности, осуществляемой с нарушением законодательства о персональных данных, а также о компенсации морального вреда.

 

Дополнительные угрозы, связанные с требованиями о локализации персональных данных

Вступившие 1 сентября в силу изменения предписывают операторам при сборе персональных данных, в том числе через Интернет, обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории России.

Иными словами, исходя из предлагаемых государственными органами неофициальных разъяснений данных требований, ввод, хранение и систематизация данных, собранных у российских граждан на территории РФ (в том числе онлайн), могут осуществляться только на компьютеры и серверы с базами данных, территориально размещенными в РФ, после чего они могут быть при необходимости и наличии законных оснований переданы иностранным организациям на территорию иностранных государств.

На практике данные требования означают, что многим компаниям с иностранным участием необходимо будет отказаться от использования существующей или запланированной глобальной ИТ-инфраструктуры, применяемой для обработки персональных данных (справочники работников, CRM- и HRM-системы, системы размещения заказов, сайты электронной коммерции, иногда почтовые серверы и прочее).

Вторым вариантом является создание неких промежуточных технико-правовых решений, которые будут обеспечивать запись и хранение персональных данных на территории России в соответствии с требованиями законодательства и обеспечивать возможность последующей передачи собираемой или обновляемой информации в соответствии с бизнес-нуждами за границу.

Третьим вариантом является уход от требований законодательства путем отказа от использования персональных данных и заменой их информацией, не позволяющей установить субъекта персональных данных (на этапе первоначального сбора либо на этапе передачи данной информации за рубеж), либо путем отказа от использования технологий, которые могут потенциально быть признаны базами данных (в тех случаях, когда это возможно технически).

Игнорирование или ненадлежащее соблюдение данных требований является еще одним основанием для привлечения компании к ответственности, которое также может повлечь за собой описанные выше риски для компаний и их должностных лиц.

Поэтому поиск оптимального способа исполнения требований по локализации персональных данных можно считать достаточно творческим процессом, одновременно требующим детального понимания законодательства, знания подходов контролирующих органов, достаточных представлений о технологиях обработки данных, а также понимания бизнес-процессов и приоритетов каждой конкретной компании.[/wcm_restrict]

 

Комплаенс-мероприятия в отношении обработки персональных данных

После определения ключевых угроз деятельности компании, приоритетных направлений, а также предполагаемых способов локализации персональных данных (когда применимо) целесообразно начинать поэтапную реализацию комплаенс-мер.

На данном этапе компании необходимо проверить осуществление ею как минимум следующих мер:

  • Внесение изменений в существующую [wcm_restrict]
    ИТ-инфраструктуру с учетом требований законодательства о локализации персональных данных;
  • Принятие положения о персональных данных, определяющего порядок и процедуру обработки персональных данных и меры по их защите, а также порядок предотвращения и выявления нарушений, с которым все работники должны быть ознакомлены под роспись;
  • Формирование перечня внутренних информационных систем, в которых осуществляется обработка персональных данных, определение актуальных угроз безопасности персональных данных, классифицирование информационных систем по уровню их защищенности и принятие соответствующих внутренних документов;
  • Реализация правовых, организационных и технических мер по обеспечению безопасности персональных данных (защита информационных систем, обеспечение безопасности помещений и прочее, как правило, с привлечением технических консультантов, имеющих необходимый набор государственных лицензий);
  • Опубликование положения о персональных данных и сведений о реализуемых требованиях к защите персональных данных, как правило, в интранете, а также в Интернете, если с помощью сайта осуществляется сбор персональных данных (в текущем году Роскомнадзор выявил уже более 800 таких нарушений);
  • Получение согласий работников, исполнителей по гражданско-правовым договорам, покупателей, посетителей сайта (и иных физических лиц, если применимо) на обработку их персональных данных;
  • Назначение приказом лица, ответственного за организацию обработки персональных данных;
  • Включение в договоры с третьими лицами условий об обработке персональных данных или заключение отдельных соглашений;
  • Организация внутреннего контроля и (или) аудита обработки персональных данных;
  • В части, не подпадающей под исключения в законодательстве, уведомление Роскомнадзора об обработке персональных данных (при этом формально данная обязанность должна осуществляться до начала обработки персональных данных, однако на практике данное требование редко исполняется операторами).[/wcm_restrict]

Указанный выше перечень является неполным и приблизительным, однако в абсолютном большинстве случаев вышеуказанные меры обязательны для всех негосударственных операторов. Невыполнение любого из данных требований является достаточным поводом для проведения дополнительных комплаенс-мероприятий с целью своевременного выявления и устранения возможных нарушений законодательства о персональных данных.