Академия

Защита персональных данных: новые вызовы для бизнеса

Екатерина Ажмулдинова и Полина Карпова рассуждают о современных подходах к регулированию персональных данных. Комментарии дали спикеры круглого стола, состоявшегося по данной теме в рамках Юридической Недели на Урале 2023.

В целях обеспечения информационной безопасности общества защита персональных данных выходит на передний план и является важным вопросом, требующим полномерного регулирования. Такая важность связана с возрастающей угрозой утечки или буквальной кражи персональных данных лиц.

Если раньше персональные данные казались чем-то эфемерным и не имеющим ценности, то в настоящее время они становятся одним из важнейших активов, за которым охотятся маркетологи во всем мире. Потребитель не в силах отказаться от персонализированных товаров и услуг, идеально подобранных под его интересы. В бизнесе персональные данные стали «товаром», который компании перепродают друг другу, что приводит к незащищенности граждан. Именно поэтому у государства возник повышенный интерес к правовому регулированию персональных данных.

Безусловно, многие данные почти о любом человеке или любой организации можно найти онлайн в открытом доступе, но как избежать незаконного использования таких данных, а более того – защитить их?

Впервые деловое сообщество Soft Law обратилось к теме персональных данных в октябре 2023 года. Евгения Червец, адвокат, консультант ИЦЧП, и Артем Артюх, руководитель регионального центра правового обеспечения ПАО «Т Плюс» в Екатеринбурге, собрали круглый стол, посвященный защите персональных данных как новому вызову для бизнеса. Научным консультантом Soft Law Community выступила Екатерина Ажмулдинова, старший юрисконсульт управления международными проектами в АО «Северсталь Менеджмент».

Спикеры – эксперты по информационной безопасности и представители корпораций – делились опытом и искали ответы на вопрос о том, как бизнесу найти баланс между соблюдением требований по защите персональных данных и получением прибыли.


Нина Дяглева, руководитель юридической практики Централизованной службы правового обеспечения ПАО «Т Плюс», представила тему «Согласие на обработку персональных данных: универсальное основание или избыточное требование?». Спикер находит понятие «согласия на обработку персональных данных» субъективным и считает его «неустойчивым основанием» для проведения сбора и анализа информации о лице.

«Согласие на обработку персональных данных очень популярное основание для обработки персональных данных, которое используют операторы.

При этом, согласие имеет очевидный минус – оно полностью зависит от воли клиента и может быть отозвано в любой момент. Это обстоятельство делает согласие самым неустойчивым основанием из всех оснований для обработки, предусмотренных частью 1 статьи 6 ФЗ «О персональных данных».

Более устойчивыми основаниями являются: договор, закон, защита жизни/здоровья субъекта и т.д. Отдельно стоит обратить внимание на такое основание обработки как законный интерес, которое имеет большой потенциал для развития.

Согласие же стоит использовать только в тех случаях, когда других оснований нет или в тех случаях, когда оно необходимо в силу прямого указания в законе.

Кроме того, работа с согласиями требует больших усилий и управленческих решений. Недостаточно просто правильно собрать согласия. Ими нужно безопасно управлять: хранить, синхронизировать согласия, полученные от одного человека из разных источников, следить за отзывом согласий, уничтожать и т.д.».


Михаил Ратушный, руководитель практики защиты персональных данных OZON и Data Protection Officer (DPO), выступил с темой «Поручение на обработку персональных данных: быть или не быть. Особенности оформления договорных отношений при осуществлении обработки персональных данных». Михаил уверен, что поручение на обработку персональных данных является традиционной договорной конструкцией, применяемой в сфере защиты персональных данных. В рамках своего выступления спикер рассмотрел сильные и слабые стороны такой правовой конструкции и дал несколько советов для случая, когда существует необходимость заключения договора поручения.

«Поручение на обработку персональных данных – традиционная для сферы персональных данных договорная конструкция, хоть и не единственно возможная.

К безусловным плюсам поручения относится то, что лицо, действующее по поручению, при обработке персональных данных («обработчик») не обязано обеспечивать наличие какого-либо правового основания для обработки персональных данных – таким основанием является договор, заключенный с оператором персональных данных. При этом обязанность заключать договор поручения в случаях, когда одна из сторон договора, обрабатывая персональные данные, не определяет ни цели, ни способов такой обработки, то есть не имеет самостоятельного интереса к обработке, установлена законом для обеих сторон. К примеру, Роскомнадзор традиционно относит провайдера услуг хостинга к такому лицу и, как следствие, требует заключения в таких случаях договора поручения.

Ключевой минус поручения как конструкции – безусловная ответственность оператора за действия (бездействия) обработчика перед третьими лицами, в том числе субъектами персональных данных. В особенности это приобретает значение в свете рассмотрения законопроекта о введении оборотных штрафов за допущенные утечки персональных данных. Как следствие, оператору необходимо прикладывать дополнительные усилия и ресурсы для анализа принятых у обработчика организационно технических мер, поскольку в случае допущенной обработчиком утечки ответственность будет нести непосредственно оператор.

Примечательно, что в то же время сложившаяся практика Роскомнадзора сводится к тому, что российскому законодательству неизвестно деление лиц, участвующих в обработке персональных данных, на операторов и обработчиков – в частности, даже обрабатывая данные по поручению, соответствующее лицо обязано исполнять обязанности, установленные Федеральным законом No 152-ФЗ «О персональных данных» для операторов. К числу таких обязанностей, например, относится требование уведомлять Роскомнадзор о намерении осуществлять обработку персональных данных, в том числе путем ее трансграничной передачи.

Если обработка персональных данных предполагает заключения договора поручения, рекомендуется учитывать следующие практические советы:

  • Крайне важно отражать в договоре все существенные условия поручения, как они предусмотрены ч. 3 ст. 6 Федерального закона No 152-ФЗ «О персональных данных» – в противном случае договор считается не заключенным, что Роскомнадзор и судебная практика рассматривают как самостоятельное нарушение законодательства о персональных данных;
  • Следует зафиксировать право сторон на односторонний отказ от поручения / отмену поручения в самом договоре (особенно если это отдельный договор), поскольку отсутствует единство позиций в судебной практике относительно того, насколько применим п. 2 ст. 977 Гражданского кодекса РФ к поручению на обработку персональных данных;
  • В отличие от европейского GDPR, Федеральный закон No 152-ФЗ «О персональных данных» не ограничивает стороны в возможности выбирать любое иностранное право в качестве применимого до тех пор, пока в договоре перечислены все существенные условия и реализованы все требования Федерального закона No 152-ФЗ «О персональных данных» (например, в части установления обязанности для иностранного обработчика «локализовывать» персональные данные российских граждан на территории России);
  • Оператору рекомендуется четко прописывать порядок и сроки раскрытия информации обработчиком об утечках персональных данных – например, можно требовать от обработчика заполнять опросник по определенной форме, чтобы оператору впоследствии было проще уведомлять Роскомнадзор;
  • Оператору до заключения поручения и регулярно в период его действия следует проводить оценку того, какие организационно-технические меры по защите персональных данных принимаются обработчиком, – если оператор является субъектом МСП и не обладает достаточной экспертизой для полноценного аудита, то можно просить обработчика заполнять типовые листы самооценки, а достоверность содержащихся в них сведений обозначать как заверение об обстоятельствах, имеющих существенное значение для оператора».

Артем Васильев, преподаватель ИЦЧП и УрГЮУ, обратил внимание на частноправовые аспекты обсуждаемого вопроса. Основные идеи, изложенные спикером, могут быть выражены в нескольких тезисах:

«1. Персональные данные (иногда уничижительно – «персданные») – термин, который никакого отношения к частному праву не имеет. То, что государственное законодательство обозначает как «персональные данные», гражданскому праву известно как нематериальные блага, чаще такого рода явления охватываются понятием «личная жизнь». Всякий интересующийся обнаружит подавляющее большинство «персданных» в содержании ст. 150 Гражданского кодекса РФ. Впрочем, все-таки есть некоторая информация, которая безразлична для частного права: паспортные и иные данные документов, идентификационные номера, независимо от потребности, которую таковые удовлетворяют. В версии законодательства о персональных данных последние представляют собой одни из наиболее ценных «активов». Для гражданского права обозначенные наборы цифр и букв недоступны для понимания, поскольку являются искусственно приписанными живым признаками, не более чем некая аллюзия к фантазии Евгения Замятина.

2. Вопреки устоявшемуся убеждению, законодательство о персональных данных не запрещает манипуляции с т.н. персональными данными, но разрешает таковые против воли правообладателя. Если бы не существовало Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», то любые действия в отношении нематериальных благ находилось бы во власти действительного правообладателя и в случае осуществления любых действий помимо или против воли человека были бы противоправны. Федеральный закон от 24.04.2020 № 123-ФЗ «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации – городе федерального значения Москве…» фактически декларирует неизвестное гражданскому законодательству право неназванных частных лиц свободно использовать нематериальные блага всякого, кто оказывается на территории города Москвы. Наверняка, упомянутый закон принесет пользу обществу в целом. Однако, нельзя не отметить, что столь щедрое предоставление государства не снабжено эффективным, беспощадным, сопоставимым с тем, который государство использует для охраны своих «нематериальных благ» (ст. 275, 276, 283, 283.1, 283.2., 284 УК РФ) охранительным инструментарием. До настоящего времени известный законопроект об административной ответственности за т.н. «утечки персональных данных» так и не принят.

3. Источником недостатков состояния охраны того, что государственное законодательство называет персональными данными, является неразработанность правовой формы атрибуции нематериальных благ человеку. Ответственными являются и законодатели, не проявляющие особого интереса к правовому положению гражданина, и ученые в сфере частного права, прилагающие большую часть своих интеллектуальных усилий к исследованию сферы профессионального гражданского оборота, равно и сами граждане, до конца еще не осознавшие себя в гражданском мире. В отношении последних уместно суждение В.С. Высоцкого из стихотворения «Дайте собакам мяса»: «Вчера мне дали свободу. Что я с ней делать буду?». Нужно время.

4. Форма атрибуции и, соответственно, монопольная, поддерживаемая правопорядком правовая конструкция присвоения нематериальных благ существует независимо от воли законодателя, у нее (формы) лишь нет названия. Для вещей – собственность, для результатов художественного творчества – исключительное право, а для нематериальных благ – просто нет пока названия, не придумали, можно конкурс объявить. Нематериальные блага не являются чем-то дарованным правопорядком, не являются пожалованными властью, они принадлежат гражданам в силу природных причин, иное предположение относимо к мировоззрению примерно двести и более лет тому назад.

Сомневающийся легист может обнаружить подтверждение существования такой формы атрибуции в содержании Постановления Конституционного Суда РФ от 25.05.2021 № 22-П «По делу о проверке конституционности п. 8 ч. 1 ст. 6 Федерального закона «О персональных данных» в связи с жалобой общества с ограниченной ответственностью «МедРейтинг». Юристу, понимающему, что такое право, подобное подтверждение не нужно.

5. Человек самостоятельно определяет способы использования своих нематериальных благ, подобно собственнику, он имеет власть решить разрешить или запретить извлечение любого рода полезностей из его личного достояния. Известное судебное дело № А40-18827/2017 общества «ВКонтакте» против общества «Дабл», имевшее предметом спора то, что не принадлежало ни одному из указанных лиц, лишь показатель недостатков российского правопорядка. Осознание указанного обстоятельства в купе с активным использованием доступного частноправового инструментария организации отношений по поводу нематериальных благ способно дать ощутимые результаты. По меньшей мере, может быть дезавуировано заблуждение держателей многочисленных социальных сетей о безвозмездности отношений с пользователями – в действительности имеют место потребительские контракты. Обозначенная квалификация экипирует пользователя чрезвычайно эффективными инструментами защиты личных прав против могущественных интернет-компаний.

6. Человек имеет инструмент охраны своих личных благ, необходимо лишь расчехлить таковой: п. 16 и п. 30 Постановления Пленума Верховного Суда РФ от 15.11.2022 № 33 «О практике применения судами норм о компенсации морального вреда» запрещает присуждение потерпевшему чрезвычайно малой, незначительной денежной суммы. Не требуется особой фантазии для того, чтобы представить, насколько сокрушительной может быть активность граждан для тех, кто относится без должной степени уважения к нематериальным благам, в частности, допускает т.н. утечки.

В письме А.С. Суворину от 07 января 1889 года А.П. Чехов весьма точно определил, что именно требуется современному ему и нам человеку: «… выдавливает из себя по каплям раба и как он, проснувшись в одно прекрасное утро, чувствует, что в его жилах течет уже не рабская кровь, а настоящая человеческая…». Выводы делайте сами.»


Наталья Немудрая (Савукова), эксперт по информационной безопасности и защите персональных данных из компании «Астрал», обратилась к теме «Критические нарушения на сайте компании, которые могут привлечь внимание Роскомнадзора». Тема важная для каждой компании, которая осуществляет свою деятельность в Интернете из-за риска проверки сайта контролирующими органами вследствие выявления нарушений. Наталья считает, что соблюдение законодательства о персональных данных – это не только обязательство перед государством, но и перед клиентом в целях получения залога доверия.

«В рамках круглого стола затронута тема, которая безусловно актуальна для каждой компании, работающей в интернете – проверка сайтов контролирующими органами. Доклад был посвящен важности соблюдения законодательства о защите персональных данных и бережному отношению к ним.

Рассматривались следующие вопросы: наличие на сайте форм сбора персональных данных и необходимость размещения ссылки на согласие под каждой формой, наличие на сайте политики по обработке данных, а также управление данными cookie и использование сервисов веб-аналитики, таких как Яндекс.Метрика и Google Analytics. Особое внимание уделялось требованию, чтобы веб-сайты располагались на территории Российской Федерации, из-за ограничений на передачу данных за границу, связанных с невозможностью гарантировать их безопасность.

Следует понимать, что соблюдение законов в области защиты данных не только обязательство перед государством, но и залог доверия клиентов. Наши клиенты предоставляют нам свои личные данные, и ожидают, что мы обеспечим конфиденциальность. Это не просто юридическое требование, это начало уважения к нашим клиентам.

Хочется отметить, что даже мелкие нарушения в обработке персональных данных могут привести к серьезным последствиям. Это могут быть штрафы, репутационные потери, а иногда и уголовная ответственность. И, что намного важнее, это может разрушить доверие клиентов. Мы не можем позволить себе игнорировать эту проблему.

Управление данными не ограничивается лишь соблюдением юридических норм, это наша обязанность перед обществом. Правильная защита данных начинается с правильной культуры внутри компании. Это вопрос уважения к конфиденциальности и правам клиентов.
Соблюдение законов и бережное отношение к персональным данным является неотъемлемой частью нашего успеха. Необходимо всегда помнить об этом и интегрировать эти принципы в нашу деятельность».


Дополнительным вызовом для бизнеса становятся новые требования с 1 марта 2023 по уведомлению Роскомнадзор о трансграничной передаче данных в другие страны. До сих пор у операторов данных нет четкого понимания, какие случаи обработки данных подпадают под это требование: стоит ли толковать положения закона расширительно и уведомлять о любой малейшей передаче данных за территорию РФ, включая использование иностранных ПО или заключая договоры в B2B секторе на поставку оборудования, либо же толковать его узко и предпочесть «отсидеться», не уведомляя Роскомнадзор, дождавшись разъяснений или практики применения. Кроме того, нет понимания, как часто нужно подавать обновление уведомления о трансграничной передаче данных, если состав контрагентов в иностранных государствах меняется.

Пока оборотные гигантские штрафы за нарушение требований законодательства о персональных данных только обсуждаются, большая часть бизнеса предпочитает наблюдать. Насколько оправдано такое решение, покажет практика. Остается риск того, что компании не успеют быстро наладить процессы и документооборот после введения серьезных штрафов.

Авторы: Екатерина Ажмулдинова и Полина Карпова

Мы используем cookies для нормальной работы нашего сайта, а также сервисы веб-аналитики Яндекс.Метрика.
Отключить cookies Вы можете в настройках своего браузера, также Вы можете использовать Блокировщик Яндекс Метрики.
Нажимая ОК, Вы подтверждаете свое согласие на обработку персональных данных.
OK
Политика конфиденциальности