Offline и online: как бизнесу работать с персональными данными

С обработкой персональных данных сталкиваются все компании и предприниматели. И те, кто работает offline, и те, кто ведет бизнес в интернете. Один из самых популярных вопросов – как не попасть на большие штрафы из-за нарушения законодательства о защите персональных данных? Требование о «локализации» баз с персональными данными российских граждан появилось несколько лет назад, но реализовать его все так же непросто. Кому-то добавил сложностей новый закон о «приземлении» ИТ-компаний. А если российская организация выходит на европейский рынок, нужно соблюдать еще и GDPR. Обо всем об этом, а также о проверках Роскомнадзора и комплаенс-проектах в сфере персональных данных мы поговорили с Сергеем Медведевым — партнером юридической фирмы «Городисский и Партнеры», лучшим российским юристом в области защиты информации и персональных данных по версии Best Lawyers 2021.

— Какие услуги операторы персональных данных могут получить в вашей компании?

— Законодательство о персональных данных в последнее время меняется в России чуть ли не ежемесячно. В этой связи на рынке возрастает потребность в юристах, специализирующихся на вопросах в сфере защиты персональных данных. Для нашей фирмы практика защиты информации и персональных данных — одно из самых главных направлений в области ТМТ [телекоммуникации, медиа и технологии — прим. ред.]. Наши услуги в сфере персональных данных можно разделить на четыре большие группы. Юридический консалтинг (подготовка заключений, меморандумов, различных ответов на вопросы клиентов, а также консультирование по вопросам защиты персональных данных в рамках коммерческих и корпоративных сделок и гражданско-правовых договоров), сопровождение проверок регулятора (Роскомнадзора),комплаенс-проекты и подготовка документации по персональным данным, а также судебные споры. Важно заметить, что мы полностью делаем юридическую и организационную часть, а техническую часть самостоятельно не выполняем.

— Если рассматривать юридический консалтинг, с какими вопросами чаще всего к вам приходят клиенты?

— Один из самых популярных запросов в последнее время — работа с персональными данными в Интернете. Эта потребность есть как у российских, так и у зарубежных компаний. Например, когда открывается интернет-магазин в Рунете, нужны разные документы, подтверждающие бизнес-процессы и выполнение оператором требований законодательства. В частности, политика обработки персональных данных, согласия физического лица (субъекта) на обработку персональных данных, а также политика в отношении cookie-файлов. Да, кстати, по мнению Роскомнадзора «отслеживание» поведения субъекта в Инете по cookie — это тоже работа с персональными данными. Также мы делаем пользовательские соглашения, публичные оферты, лицензионные соглашения и иные документы в зависимости от запроса и ситуации клиента.

Довольно часто у нас бывают вопросы, связанные с поручениями на обработку персональных данных в сделках. Например, при франчайзинге, лицензировании, трансфере технологий. Если сделка трансграничная, ситуация, конечно же, усложняется — подключается еще и зарубежное правовое регулирование. Мы помогаем уследить за тем, чтобы соблюдались все применимые нормы и законы, не только российские. Работаем по иностранному праву через субподрядчиков (иностранных консультантов).

— Российское законодательство в этой сфере не самое суровое?

— Нет, регулирование в США и Европе гораздо жестче по отношению к операторам персональных данных. Возьмем, к примеру, GDPR – Общий регламент защиты персональных данных Евросоюза. Российская компания обязана соблюдать его, если продает товары или оказывает услуги на европейском рынке. GDPR серьезнее ограничивает операторов как минимум по трем причинам.

Во-первых, в нем гораздо больше требований, чем в нашем законе. Грубо говоря, чтобы не нарушить европейские правила, бизнес должен постоянно думать о персональных данных своих клиентов, формировать реестры, вносить изменения в документы и так далее. Поэтому многие компании привлекают внешних консультантов, нанимают сторонних DPO (ответственных за обработку персональных данных), чтобы не делать всё своими руками.

Во-вторых, GDPR предусматривает огромные штрафы. Они могут достигать 20 млн евро или 4% годового глобального дохода компании. В России таких штрафов не бывает.

В-третьих, за соблюдением GDPR нужно внимательно следить. Обо всех утечках данных надо своевременно сообщать регулятору и принимать необходимые меры. В России пока нет ответственности за утечку данных.

— А что такое комплаенс-проект? Это вообще популярная услуга в России?

— Комплаенс-проект – это прежде всего исследование бизнес-процессов в компании на предмет «вовлечения» в них персональных данных, выполнение юридических, организационных и технических мер защиты, включая подготовку необходимой документации для обеспечения соответствия требованиям законодательства, подачу уведомления в Роскомнадзор, а также проведение тренинга по работе с персональными данными. Это комплексная и достаточно популярная услуга, которую клиенты запрашивают сейчас.

По своему опыту, я бы поставил ее на второе место по востребованности, сразу после общего юридического консалтинга. При выполнении комплаенс-проектов мы исследуем и оцениваем все бизнес-процессы компании, выясняем, по каким «каналам» она получает и передает персональные данные в группе компаний, например, и в пользу контрагентов. Основные типы персональных данных — это данные работников и данные клиентов (контрагентов). Бывают также разные цели, способы, сроки и правовые основания для обработки данных. Для всех категорий субъектов персональных данных мы «рисуем» матрицу, на основе которой формируем необходимый комплект документов.

Как правило, у компании уже есть 5-10 документов, и она думает, что этого достаточно, чтобы соответствовать закону. Приходится разочаровывать клиента и объяснять, что этого не достаточно. Часто, например, в компаниях нет положения о видеонаблюдении, положения об архиве, положения о пропускном режиме. Мы помогаем подготовить полноценный комплект документов, отвечающий всем требованиям законодательства, а также подаем уведомление в Реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор. Некоторые компании полагают, что они могут не подавать такое уведомление. Но по практике под исключения из этого правила почти никто не подпадает.

Добавлю, что в комплаенс-проектах есть не только правовая, но и техническая составляющая, которую я упомянул. Мы работаем с несколькими проверенными и опытными субподрядчиками – специализированными ИТ-компаниями, у которых есть нужные лицензии для такой работы. Эти организации помогают нашим клиентам реализовать технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах. Например, проводят аудит информационных систем персональных данных, помогают выбрать уровень защищенности персональных данных в ИТ-системах, готовят модель угроз, консультируют по различным вопросам информационной безопасности.

— А проверки Роскомнадзора – большой стресс для компании? К консультантам приходят с такими вопросами или предпочитают сами справляться?

— Конечно, приходят, и очень часто. Повышенное внимание регулятора никому не нравится, все хотят подготовиться получше, чтобы не нарваться на штрафы. Роскомнадзор может проводить не только плановые, но и внеплановые проверки операторов персональных данных. График плановых проверок публикуется на год вперед. А вот к внеплановой выездной проверке подготовиться почти невозможно, о ней должны предупредить не менее чем за 24 часа до начала ее проведения. Кстати, с 1 июля 2021 г. действует новое Положение о федеральном государственном контроле (надзоре) за обработкой персональных данных, поэтому операторам надо подготовиться к прохождению проверок по новым правилам.

Не так давно мы помогали «пережить» проверку Роскомнадзора российской дочерней компании Alibaba Group. Ее российский сегмент, aliexpress.ru, обрабатывает персональные данные десятков миллионов российских пользователей. Мы провели первоначальный аудит бизнес-процессов, оценили риски, подготовили документы, предоставили ряд консультаций, сопровождали клиента во время визитов представителей Роскомнадзора. В итоге проверка прошла в целом успешно, никаких штрафов не было. Хотя обойтись без нарушений достаточно сложно на практике — требований много, объем работы очень большой, а времени, как правило, недостаточно, чтобы на максимум отработать соответствующий проект.

— Споры о персональных данных – это обычно конфликты с их субъектами, то есть с физлицами. Может ли бизнес использовать законодательство о персональных данных, чтобы «уколоть» конкурента?

— Да, такое тоже встречается, когда, например, человек подает жалобу в Роскомнадзор или обращается в суд за защитой своих прав, но фактически в интересах конкурента. Дело в том, что самый серьезный риск в таких спорах — блокировка интернет-ресурса. Для всех компаний, которые ведут бизнес в интернете это критично, потому что влечет огромные убытки в связи с блокировкой их деятельности в онлайн-режиме. Поэтому к спорам в этой области нужно относиться очень серьезно.

Не так давно у нас в практике было подобное дело. Физлицо, скорее всего, связанное с конкурентом, подало иск к нашему клиенту – крупному российскому маркетплейсу. Якобы тот незаконным образом собирал и использовал персональные данные, а также передавал их сторонним сервисам без согласия истца. Нам удалось выиграть это дело и «засилить» решение суда первой инстанции в апелляции. Можно отметить, что это дело стало одним из прецедентных для формирования судебной практики по защите персональных данных при использовании средств веб-аналитики.

— Комплаенс-проекты, проверки Роскомнадзора, судебные споры – это объемные и комплексные проекты. А с более мелкими вопросами работаете?

— Конечно, точечно мы тоже помогаем. Недавно к нам обратился крупный французский бренд одежды и аксессуаров. Ему нужна была форма согласия на обработку персональных данных клиентов, чтобы доставлять им товары и рассылать рекламу. Мы разработали эту форму.

— Какие требования в области персональных данных бизнесу особенно трудно соблюдать?

— Если нужно назвать что-то одно, то я остановился бы на «локализации» персональных данных. С 2015 года все операторы обязаны осуществлять первичный сбор и хранить персональные данные российских граждан с использованием баз данных, находящихся на территории РФ. За нарушение в том числе этого требования заблокировали соц-сеть LinkedIn. В последнее время обострился конфликт Роскомнадзора с Facebook и Twitter. В прошлом году этим соц-сетям назначили крупные штрафы.

Недавно на сайте Роскомнадзора появилась информация, что сервисы Facebook, WhatsApp и Twitter своевременно не предоставили документы, подтверждающие выполнение требования о локализации. Таким образом, для Facebook и Twitter это будет повторное нарушение требования о локализации (ч. 9 ст. 13.11 КоАП), что может повлечь за собой штрафы до 18 млн руб.

Кстати, для того, чтобы добиться соблюдения требований российского законодательства иностранными компаниями регулятор стал применять и технические меры. Помните, как недавно замедляли работу Twitter? На мой взгляд, это было связано с отказом соцсети удалить запрещенную в РФ информацию. Думаю, нельзя исключать, что такие меры воздействия со временем могут распространиться и на иные сферы и сервисы, работающие в России.

Недавно Роскомнадзор начал отправлять «веерные» рассылки международным компаниям. Просит сообщить, каким образом локализованы данные граждан РФ. Мы следим за практикой регулятора по этому вопросу тоже и предлагаем нашим клиентам некоторые правовые пути решения этого вопроса.

Да, Роскомнадзор периодически проводит семинары и вебинары по локализации. Но у компаний все равно возникают вопросы. Например, многие интересуются, можно ли использовать привычное им «облачное» решение, которое работает в РФ? К сожалению, чаще всего ответ отрицательный, необходимо использовать локальный «физический» сервер. Как правило, эта проблема возникает у иностранных компаний, у которых нет российских подразделений и местных серверов. Получается, что сервер нужно арендовать, а это дополнительные расходы и увеличение риска утечки данных, за что нет ответственности, как я уже отметил.

— Утечки персональных данных бывают и у зарубежных, и у российских компаний. Юридически с этим как-то можно бороться?

— Сейчас у нас нет эффективного механизма привлечения к ответственности за утечки данных, отсутствуют оборотные штрафы за такие действия по примеру GDPR. Парадоксально, но привлечь операторов за неправильно оформленное согласие на обработку персональных данных значительно проще, чем за допущенную утечку данных. Кстати, сложно привлечь к ответственности тех, кто использует нелегально полученные персональные данные или даже продает их третьим лицам. Такого состава правонарушения нет в ст. 13.11 КоАП, где прописаны основные штрафы за нарушения в области персональных данными.

— Теперь вместо термина «общедоступные персональные данные» в законе фигурирует понятие «персональные данные, разрешенные субъектом персональных данных для распространения». Как эти поправки влияют на работу операторов персональных данных?

— Эти изменения вступили в силу с 1 марта 2021 года. Теперь нужно получать согласие на распространение персональных данных по новой форме, требования к содержанию которой были недавно утверждены Роскомнадзором. В таком согласии нужно устанавливать определенные запреты и условия использования и передачи данных. В каждой компании есть свои бизнес-процессы, поэтому существующую форму согласия необходимо адаптировать под каждую ситуацию и каждого клиента. Например, для соц-сети нужно одно согласие, для интернет-магазина — совсем другое.

— Мы говорили о «локализации» персональных данных. Бок о бок с ней идет новый закон о «приземлении» ИТ-компаний. В чем смысл такой атаки на иностранный бизнес?

— Действительно, согласно этому закону теперь владельцам иностранных информационных ресурсов придется выбрать между созданием филиала, открытием представительства или учреждением российского юридического лица в России. Это правило применимо не ко всем, а только к тем, у кого суточная аудитория больше 500 000 российских пользователей.

Для чего нужны такие новые правила? Во-первых, это «рычаг» с политической точки зрения. А во-вторых, этот закон можно использовать для того, чтобы штрафы за нарушения в области локализации данных попадали в российский бюджет. Например, у Facebook и Twitter нет ни локализованных баз данных, ни корпоративного присутствия в России. Вот Роскомнадзор штрафует их, но как получить штраф, если они не выплатят его добровольно? Гораздо проще будет принудительно исполнить такое решение или повлиять на его исполнение, если у иностранной компании будет российская «дочка» и имущество на нашей территории. Кстати, иностранные компании должны учредить офис в России к 1 января 2022 года, времени остается совсем мало.