Утечки и освобождение от штрафов: актуальное в сфере персональных данных
Развитие регулирования
Первую сессию, посвященную развитию регулирования персональных данных, открыла своим докладом Елена Агаева, партнер, руководитель практики защиты персональных данных – она же и выступила в качестве модератора. Агаева рассказала об экстерриториальности закона о персданных. В своем выступлении она объяснила слушателям правило локализации – оно означает, что первичный сбор данных российских граждан должен происходить на территории России и лишь впоследствии их можно передавать трансгранично. Закон о персональных данных рассчитан и на те компании, которые не имеют выраженного юридического присутствия в России – например, это онлайн-бизнес, собирающий и обрабатывающий персданные, продолжила Агаева. В качестве примера эксперт привела дело United Parcel Service, на которую наложили штраф за повторное нарушение требований о локализации (№ 05-1180/422/2023). Еще Агаева упомянула так называемый «Закон о приземлении IT-компаний» и перечислила обязанности иностранного лица, ведущего деятельность в интернете (например, зарегистрировать личный кабинет на сайте Роскомнадзора).
Нужно оценивать, попадает ли конкретный случай под требования об уведомлении и каким образом происходит передача – это зависит от того, в какую страну мы передаем эти данные.
Мысль о трансграничной передаче персданных продолжил Валерий Нарежный, советник . Эксперт поведал, что все страны можно разделить на две категории – с адекватной защитой персональных данных и отсутствием таковой. «Неадекватные» страны – это те, которые не являются участниками Конвенции Совета Европы и не ввели у себя аналогичное ей регулирование, пояснил Нарежный. Это влияет на порядок трансграничной передачи – достаточно ли просто подать уведомление в Роскомнадзор и сразу же передать данные или следует выждать после этого десять дней. К слову, если получатель данных – это ваш работник, который находится в командировке за рубежом, то тут порядок трансграничной передачи не нужно соблюдать, добавил спикер. Но есть и такие ситуации, когда предоставление данных неочевидно – например, использование иностранных облачных сервисов, который, по мнению Нарежного, можно назвать «серой зоной». По возможности, избегайте их использования, посоветовал юрист. Нарежный дал и еще одну важную рекомендацию: сформулировать в договоре условие об уничтожении персональных данных получателем в случае, если Роскомнадзор запретит такую трансграничную передачу.
Ирина Ахмедова, руководитель практики интеллектуальной собственности и персональных данных , предложила перейти от вопроса трансграничной передачи данных к правонарушениям в обсуждаемой сфере. Ахмедова рассказала о системе квалификации правонарушений, основанной на Приказе Роскомнадзора от 27.10.2022 № 178. Правда, добавила она, весь этот приказ – это квинтэссенция вопросов без ответов. Спикер обратила внимание, что требования к оценке вреда применяются к двум видам случаев – нарушению Закона о персональных данных и к рисковым правомерным действиям. Все случаи применительно к степени вреда – высокой, средней и низкой – Ахмедова разделила на три группы. Первую она назвала «очевидными нарушениями», вторую – «случаями, не предусмотренными в законодательстве». В третью категорию вошли рисковые случаи. Классификация степеней вреда не несет практического значения, высказала свое мнение юрист.
Определение степени вреда не имеет никаких последствий, они нигде не написаны. Никаких других разъяснений о том, зачем это нужно, тоже нет.
Резюмируя, эксперт сказала, что бизнесу и юристам требуется дополнительный приказ Роскомнадзора, в котором появились бы ответы на возникшие вопросы. «Может быть, Роскомнадзор нас и не услышит, но я считаю важным высказать эту мысль», – закончила выступление Ахмедова.
На самом деле, Роскомнадзор все услышал, потому что следующей микрофон взяла в руки Екатерина Ефимова, руководитель направления персональных данных ФГУП ГРЧЦ (Роскомнадзор). Она подняла тему использования законных оснований при обработке персональных данных.
Раньше субъект мог отслеживать, во взаимоотношения с какими операторами он входит. Сейчас же с точки зрения гражданина очень трудно реализовать защиту своих прав. Один вопрос, продолжает Ефимова, если субъект нашел где-то свои слитые персональные данные, но совсем другой – доказать, что кто-то за ним следит и предлагает супер-усовершенствованную рекламу. Эксперт заметила, что у нас, как и европейском законодательстве, действует принцип равенства сторон. Предполагается, что у оператора и субъекта есть базовые знания для реализации своих прав, но это, по ее мнению, не так. Ефимова обратила внимание на то, что субъект не может даже оценить, в каком количестве отношений он состоит. Большинство текущих правовых оснований нечестны для субъекта персональных данных. Некоторые согласия составляют 80 страниц, объяснила спикер. И как дальше жить без тревожности – что же было на этих страницах?
Помимо этого, Ефимова поделилась, что уже собрался научно-технический совет по гармонизации правовых оснований. Он займется вопросом ухода от культа согласий. Обязательно будет переходный период для выстраивания иерархии правовых оснований, и уже прозвучало предложение внедрить «калькулятор выбора правового основания» на сайте Роскомнадзора.
Технологический прорыв или угроза
За последние годы не только участились случаи передачи субъектом своих персональных данных, но и появилось более детальное регулирование биометрии. Об этом рассказала Рената Любимова, начальник Службы правового сопровождения проектов развития ГУП «Московский метрополитен». По ее словам, раньше биометрические данные обрабатывались хаотично – нашими фотографиями оперировали фитнес-клубы, ИП и прочие. От обычных персданных регулирование не отличалось, хотя, как подметила Любимова, способов, как можно использовать биометрию куда больше. Потому и появились специальные правила для нее, закрепленные в Законе № 572. Теперь использовать биометрию можно только в случаях, установленных правительством, а хранятся «сырые» данные в единой биометрической системе. Любимова рассказала о том, что для этой системы разработали концепцию региональных сегментов – до конца 2027-го в них могут храниться и обрабатываться биометрические данные. В Москве регсегмент действует с августа 2024 года. Любимова выступила за то, что использование биометрии – это технологический прорыв, а не угроза конфиденциальности. Она заверила слушателей в том, что опасения граждан безосновательны, ведь законодательство содержит строгий запрет на сбор биометрии без согласия – за соблюдением этого требования тщательно следят.
Выступавшая сразу после Мария Осташенко, партнер и руководитель практики «Защита данных и кибербезопасность» , о защищенности данных говорила не так уверенно.
Да, мы все хотим больше удобства в жизни, но наши данные все же уязвимы и нуждаются в защите. Развивая технологии, нужно не забывать о принципах конфиденциальности и законности
Осташенко выделила некоторые модели послабления текущих ограничений, связанных с получением согласия на обработку персданных. Во-первых, это отказ от получения согласия в ряде случаев. Во-вторых, упрощение возможности получения такого согласия. В качестве примера для второй модели она привела концепцию out-out (то есть, конклюдентных) согласий и развитие альтернативных оснований для обработки данных.
Последнее предложение поддержал Роман Власов, юрист . Он заметил, что мы как обычные пользователи видим, что операторы предпочитают согласия на обработку, даже если можно использовать другие основания. Власов считает, что законный интерес – это недооцененное основание, ведь в отличие от согласия его нельзя отозвать. Есть плюс и для самих субъектов – мало кому нравится подписывать кучу бумаг. При этом законный интерес должен соответствовать только трем критериям:
- идентификация цели и необходимость обработки персданных для ее достижения;
- квалификация права или интереса в качестве законного;
- отсутствие нарушения прав и свобод субъекта.
С коллегой согласилась Валерия Эйстрах, юрист .
Роскомнадзор все более позитивно относится к альтернативным правовым основаниям. Надеюсь, скоро мы придем к европейскому подходу, когда согласие на обработку будет использоваться лишь в крайнем случае.
Наталия Спицына, cтарший юрист , дополнила, что есть два видения согласий на обработку. Первый – закрытое согласие, самый классический вариант с проставлением галочек. Он очень удобен бизнесу, но у него есть существенный недостаток – Роскомнадзор рассматривает это как ограничение субъекта в выборе условий. Открытый же перечень сложен и непонятен. Идеальный вариант – комбинированное согласие. В этом случае юрист рекомендует предусмотреть опцию «условия и запреты не установлены», чтобы субъект поставил там галочку.
Об идее Осташенко, связанной с конклюдентными согласиями, высказалась Марина Юфа, руководитель практики правовой поддержки защиты данных Авито. Она поделилась кейсом, в котором сотрудница поучаствовала в фотосессии, организованной работодателем. Фото счастливых сотрудников предназначались для публикации на сайте поиска работы, чтобы привлечь соискателей. Правда, на момент публикации сотрудница в компании уже не работала и попросила эти фотографии удалить – работодатель же настаивал, что изначально обозначил цель фотосессии. В итоге, суд подтвердил, что это был случай конклюдентного согласия, но оно прекратилось после увольнения. Получается, сказала Юфа, что такое согласие имеет силу, но есть и ограничения.
Еще одна немаловажная проблема, на которой заострила внимание Осташенко, – это защита субъектов персональных данных. Этому могут способствовать некоторые обсуждающиеся в юридическом сообществе и на уровне государства инициативы. Например, штрафы за сбор и обработку избыточных персданных, усилие ответственности за утечки и развитие «мягкого права» со сторон Роскомнадзора – в частности, появление разъяснений рекомендательного характера и «белые книги».
Как спастись от утечек
Михаил Ратушный, руководитель практики защиты персональных данных Ozon, считает, что универсального решения для защиты персданных не существует. А для того, чтобы строить систему нужно понимать, что ждет нас в 2025-м, заметил спикер. Ратушный уверен в том, что в следующем году произойдет избыточная обработка персданных и отказ от согласий в пользовательских соглашениях. Помимо этого, вероятно, мы столкнемся со страхованием ответственности за утечки. А еще, эксперт подчеркнул, что если увеличатся требования к финансовому обеспечению, то возможность обработки данных потеряют субъекты МСП.
Ирина Левова, директор по стратегическим проектам Ассоциации больших данных (АБД), поддержала тему, добавив несколько слов о смягчающих обстоятельствах при утечках. Суды учитывают финансовое состояние нарушителя – так, если он не обладает большими средствами, штраф могут назначить меньше. Повлияет введение механизма добровольного аудита и успешное его прохождение, а разработка системы оценки в рамках добровольного аудита может еще больше смягчить ответственность. Еще одна добровольная вещь, которая, вероятнее всего, повлияет на размер наказания – это использование механизмов минимизации ущерба субъектам (например, кодексы и отраслевые соглашения). Получается, было бы актуально внести в текущее регулирование изменения, предполагающее прямое указание на смягчение ответственности, резюмировала выступления спикера Эйстрах.
О вызовах, с которыми сталкивается рынок, рассказала Елизавета Дмитриева, руководитель функции DPO Самокат. Дмитриева отлично знает, насколько трудно наладить процессы внутри самой компании, ведь имеет большой опыт в этой сфере. Представьте, говорит она, вы пришли в компанию и пытаетесь сделать в ней комплаенс, начинаете с нуля, как консультант или как DPO. Фокус вашего внимания направлен на что-то, что доступно внешнему наблюдателю, на документы, которые затребует регулятор при проверке. Когда фронтэнд (интерфейс, который видит пользователь) в порядке, то кажется все отлично, но это не совсем так. Если до вас никто серьезно приватностью не занимался, то тут скрывается что-то нехорошее. Например, пользователи дают свою почту для рассылок, а ее используют в совсем других целях. Чем больше компания, тем больше проблема, но обнаружить ее трудно, если не знать куда смотреть.
Про утечки данных добавил Артем Дмитриев, управляющий партнер . Количество утечек год от года растет, сказал юрист, но увеличивается и количество внеплановых проверок. Более того, число проверок выросло больше, чем случаев утечки данных. Он поделился, что команда Comply проанализировала практику и пришла к любопытным выводам – в основном, компании штрафуют, но есть несколько счастливчиков, которые избежали наказания. Всего получилось выделить две группы доказательств, которые помогают освободиться от штрафа:
- правильное реагирование на инцидент (в частности, вы постарались минимизировать ущерб от утечки);
- наличие рутинных privacy-процедур – то есть, у вас не просто иногда проводятся внутренние аудиты, а есть положение об аудитах, вы составляете чек-листы по их итогам и все прочее.
Роскомнадзор может запрашивать нетривиальные документы, например, инструкции по резервации данных в вашей компании. Конечно, если у вас нет таких документов, вы вряд ли быстро найдете такие сведения.
У нас есть мораторий – это то, благодаря чему многие операторы расслабились, включился в обсуждение Артем Евсеев, руководитель практики IP, IT и защиты информации . Но мораторий – это не панацея, непонятно продлят ли его, заметил Евсеев. Из-за наличия моратория у нас нет единой правоприменительной практики и непонятно, как будут считать штрафы по нарушениям, состоящим из нескольких эпизодов.
Если вы уже подали уведомление об утечке данных, то новое уведомление по расширенным данным подавать не следует – в противном случае, придется заплатить второй штраф за ту же утечку.
Подвела итоги обсуждения Екатерина Липова, начальник отдела контроля процессов с ПДн Альфа Банк. Она уверена, что даже если произошла фолс-утечка, нужно сделать выводы и постараться понять, какие сотрудники ненадежны, есть ли в компании комитет, который в случае чего займется проблемой. Липова порекомендовала всем участникам мероприятия начать смотреть на штрафы позитивно и в дальнейшем использовать произошедшую многочасовую дискуссию для правильного построения процессов.