юрисконсульт группы компаний «Navigator Group», РФ, г. Москва
Комплаенс-контроль в области обеспечения безопасности персональных данных при их обработке путем распространения неопределенному кругу лиц
АННОТАЦИЯ
Данная статья посвящена описанию изменений в законодательстве о персональных данных в Российской Федерации. Рассматриваются существующие проблемы при подготовке согласий на обработку, защите персональных данных и предлагаются пути их решения.
ABSTRACT
This article is describing to the description of changes in the legislation on personal data in the Russian Federation. The existing problems in the preparation of consents to the processing and protection of personal data are considered and ways to solve them are proposed.
Ключевые слова: персональные данные, согласие на обработку персональных данных, оператор.
Keywords: personal data, consent to the processing of personal data, operator.
В последние несколько лет прослеживается тенденция к увеличению размера штрафов за нарушение требований законодательства в области обработки и защиты персональных данных. Вследствие чего выполнение требований закона в части обработки и защиты персональных данных неизменно остается одним из самых важных для российских организаций. Данный вопрос особо актуален в связи с внесением изменений в Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 02.07.2021) «О персональных данных» [1].
Федеральным законом от 30.12.2020 № 519-ФЗ вводится новое понятие «персональные данные, разрешенные субъектом персональных данных для распространения». Законодатель к таковым относит персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку, которое должно быть оформлено отдельно от иных согласий на обработку персональных данных[2].
Особенности их обработки устанавливаются новой статьей 10.1 Федерального Закона «О персональных данных» [1], согласно которой при распространении должны быть соблюдены все запреты и условия, предусмотренные в ней. Всем операторам персональных данных необходимо составить отдельное от иных согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения (далее– «согласие на распространение»). Законодатель, введя данный вид согласия, установил, что требования к содержанию находятся в компетенции Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – «Роскомнадзор»). Проект Требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утвержденный приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24.02.2021 № 18 [6], (далее – «Требования») прошел стадию обсуждения, проведена экспертиза, на данный момент идет его подготовка в окончательном варианте с учетом обсуждений. Примечательно то, что Проект готовится, а согласия организациям уже необходимо брать у субъектов персональных данных, так как с сентября начнут применять штрафные санкции, размер которых значительно повысился: физическое лицо – штраф от 6 000 до 10 000 руб.; должностное лицо организации и ИП – от 20 000 до 40 000 руб.; организации – от 30 000 до 150 000 руб.
Как поступить организациям в данной ситуации не совсем ясно, но однозначно необходимо соблюсти баланс между обработкой персональных данных и действиями, к которым они прибегают в процессе осуществления своей предпринимательской деятельности, в том числе включающими обработку информации, прямо или косвенно относящейся к физическим лицам с целью их распространения неопределенному кругу лиц.
Как правило, причиной обработки персональных данных служит или закрепленные в законодательстве требования, или согласие на обработку персональных данных. Статистика итогов проверок Роскомнадзора позволяет сделать вывод о том, что одной из распространенных ошибок организаций является неправильный процесс сбора данных. Обычно фиксируются такие типовые нарушения, как: отсутствие всех необходимых согласий; несоответствие объему обрабатываемых данных заявленным целям обработки; несоответствие формы согласия требованиям Федерального Закона «О персональных данных».
До начала сбора персональных данных в организации важно определиться с целью их обработки: именно от этого будет зависеть весь процесс обработки персональных данных. Цель должна быть максимально конкретной. Применительно к целям, хотелось бы акцентировать внимание на том, что относительно требований к привычному согласию в пп. 4 п. 4 ст. 9 Федерального Закона «О защите персональных данных» указана необходимость наличия цели обработки в согласии, именно цели (в единственном числе). Предполагаем, что именно ввиду данной формулировки имеется расхождение в практике привлечения к ответственности при нарушении законодательства по защите персональных данных, а именно: имеется множество предписаний Роскомнадзора, согласно которым для каждой конкретной цели необходимо брать отдельное согласие. Не допускается брать одно общее согласие для нескольких целей. Что на взгляд автора, является немного абсурдным. «С иронией отметим, что преумножение бумаги (письменных согласий) в конечном счете приведет к нарушению права на благоприятную окружающую среду, установленного ст. 42 Конституции РФ» [7].
Что касается нового вида согласия, в требованиях к его составлению указано «цель (цели) обработки», что, безусловно, не может не радовать операторов, так как при проверке наличия согласий на распространение не возникнут ситуации поверхностного толкования норм и, как следствие, организациям не будут предписаны штрафные санкции в связи с объединением нескольких целей обработки в одном согласии на распространение.
Руководствуясь тем, что указано в Требованиях и Федеральном Законе «О персональных данных» невольно напрашивается вывод о необходимости приведения в соответствие с требованиями закона процесс взятия согласий субъектов персональных данных, сами согласия, при необходимости, локальные нормативные акты организаций (например, Положение об обработке персональных данных работников и т.п.), а также организацию процесса составления и сбора новых согласий операторами.
Операторам важно представлять, что в согласии на распространение необходимо обязательно предусмотреть все условия и запреты, если их нет, то обязательно прописать, что условия и запреты отсутствуют; указать срок, в течение которого согласие на распространение действительно (важно помнить: не допускаются указания на события, которые должны наступить, на бессрочный характер согласия, а также указание на пролонгацию. Необходимо установить конкретный срок: 1 год, 2 года, 5 лет и т.д.).
В связи с внесенными в законодательство о персональных данных изменениями у оператора появилась новая обязанность по публикации информации об условиях и наличии запретов при обработке персональных данных для распространения. Только каким образом, в каких именно ресурсах законодатель не конкретизирует. Предполагаем, что если, например, публикуются персональные данные на портале компании, осуществляющей обработку персональных данных работников, то следует опубликовать под этими данными условия согласия субъекта, наличие запретов и т.д. В связи с возникновением такого вопроса у многих операторов, считаем необходимым законодательно предусмотреть и порядок публикации данного согласия. Следует уточнить, что делать при публикации на сайте компаний видеоматериалов, фотографий с участием работников, которые были уволены до внесения изменений в Федеральный Закон «О персональных данных». Данный аспект законодателем также не учтен, конечно, в идеале необходимо закрепить в нормативно-правовых актах, что делать операторам в данном случае. Как возможный вариант: закрепить отсутствие необходимости брать согласие на распространение, например, с теми работниками, с которыми трудовой договор расторгнут. Или же иной порядок для избегания излишней бюрократии деятельности операторов.
Операторам необходимо помнить, что в согласии на распространение должны быть прямо указаны все ресурсы оператора, в которых будут публиковаться персональные данные субъекта персональных данных (с указанием http, www и т.д.).
Субъектам персональных данных рекомендуется внимательно прочитать согласие на распространение перед тем, как его подписать, максимально конкретно прописывать условия и запреты обработки, также самостоятельно постараться оценить объем персональных данных, указанных в согласии на распространение и цель их обработки. В случае дачи согласия на распространение биометрических персональных данных, необходимо знать, что право на обработку такой категории персональных данных должно быть изначально предоставлено согласием общим, что, конечно, важно представлять и операторам, так как при отсутствии такой категории персональных данных в общем согласии и необходимости их распространения, нужно будет составлять не только новое согласие на распространение, но и менять старые. К тому же, важно подчеркнуть о своем праве в любой момент отозвать согласие, особенно, когда в этом отпала необходимость.
Таким образом, в связи с наличием разрозненного, неоднозначного регулирования вопросов защиты персональных данных, а также толкования положений нормативно-правовых актов, необходимо тщательно проработать порядок и способы соблюдения законодательства в области защиты персональных данных. Функция комплаенса играет важную роль в обеспечении соответствия деятельности компании документам, определяющим порядок использования персональных данных, и должна обеспечивать компании: защиту от претензий и штрафов со стороны регулирующих органов; преимущество перед конкурентами, т. к. будет доверие к организации со стороны потенциальных и существующих контрагентов и клиентов; отсутствие негативных отзывов в прессе и СМИ, связанных с неудовлетворительными результатами прохождения проверок регулирующих органов.
Список литературы:
- Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 02.07.2021) «О персональных данных» / [Электронный ресурс] – Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_61801/ (дата обращения 21.07.2021)
- Федеральный закон от 30.12.2020 № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» / [Электронный ресурс] – Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_372682/ (дата обращения 21.07.2021)
- Архипов В.В.: «Проблема квалификации персональных данных как нематериальных благ в условиях цифровой экономики, или нет ничего более практичного, чем хорошая теория» / [Электронный ресурс] – Режим доступа: https://zakon.ru/publication/igzakon/7385 (дата обращения 21.07.2021)
- Галимова А.Ш., Иванова Е.Е.: «Проблемы защиты персональных данных в России» // Гуманитарные научные исследования. 2017. № 1;
- Polyakov A.V. and Timoshina E.V. General Theory of Law: Course Book [Obshchaya teoriya prava: Ucheb.]. Saint Petersburg, 2005.
- Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24.02.2021 № 18 "Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения"/ [Электронный ресурс] – Режим доступа: http://publication.pravo.gov.ru/Document/View/0001202104210039 (дата обращения 21.07.2021)
- Конституция Российской Федерации (принята всенародным голосованием 12.12.1993 с изменениями, одобренными в ходе общероссийского голосования 01.07.2020) / [Электронный ресурс] – Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_28399/ (дата обращения 21.07.2021)