Данные персональной важности
Регулирование / Статьи
персональные данные роскомнадзор
11.8.2022

Данные персональной важности

Роскомнадзор озвучил новые подходы к защите личной информации

В ходе заседания Общественного совета (ОС) при РКН 11 августа руководство службы констатировало, что персональные данные стали крайне ценным объектом в цифровой экономике, а значит, требуют усиления защиты. С 1 сентября, когда вступят в силу поправки к закону «О персональных данных», компании должны будут еще больше учитывать интересы субъектов ПД, а также своевременно информировать Роскомнадзор (РКН) при трансграничной передаче данных. О том, как не нарушить новый закон при обработке данных, снизить число надзорных проверок и увидеть людей за цифрами, – в репортаже RSpectr.

ИДЕТ ОХОТА

На заседании Общественного совета при Роскомнадзоре глава РКН Андрей Липов сообщил, что защита персональных данных (ПД) в России вышла на качественно новый уровень. С 1 сентября вступает в силу ряд поправок к закону «О персональных данных». Андрей Липов назвал их своевременными, поскольку реформа позволит усилить защиту граждан от различных видов мошенничества внутри страны, а также от внешних угроз. «В условиях роста числа информационных атак и киберпреступлений из-за рубежа на фоне проведения специальной военной операции это является первостепенно важным», – отметил глава РКН, имея в виду новый закон о трансграничной передаче данных.

На фото: Андрей Липов (глава РКН), Милош Вагнер (замглавы РКН)

О важности контроля за ПД в условиях цифровизации России и всего мира говорил на заседании и заместитель главы РКН Милош Вагнер: персональные данные стали слишком ценным объектом для современной экономики.

Он заявил, что

за персональными данными без преувеличения идет охота. Обновленный закон – часть ответа на этот вызов

Человеку как носителю и владельцу ПД нужны адекватные меры защиты своих прав. Вполне логично, что государство также должно получить инструменты влияния на ситуацию.

Во всем мире усиливается контроль за оборотом данных, и логично, что в российском законе «О персональных данных» появились такие пункты, как необходимость обоснования операторами сбора большого числа информации о субъекте, сказал RSpectr основатель компании по защите персональных данных Б-152 Максим Лагутин.

К сожалению, пока ряд операторов не учитывает интересы носителя данных при сборе и обработке ПД. Примером может служить один из самых распространенных случаев обработки ПД – обработка данных в целях исполнения договора, стороной в которой выступает человек.

Милош Вагнер сообщил, что часто РКН получает жалобы на явно дискриминационные условия таких договоров. В них включают и бессрочные согласия на обработку данных, и условия отзыва согласия, которые трудно выполнить, и непропорциональный объем данных. Встречались даже такие договоры, в которых написано, что человек имеет право получить доступ к своим данным не более двух раз в год.

Милош Вагнер, Роскомнадзор:

– Теперь мы не будем рассматривать в качестве надлежащего правового основания обработку данных на основании договора, если в нем в качестве условия заключения договора есть бездействие субъекта персональных данных. Например, если встретим в оферте слова вроде «нахождение пользователя на сайте является акцептом условий использования сайта в полном объеме».

То же касается и договоров, где есть условия, ограничивающие права и свободы субъекта ПД, отметил он. Например, если договор о приобретении товара предоставляет продавцу право передавать персональные данные покупателя неопределенному кругу лиц для рассылки рекламных сообщений либо осуществлять их обработку в иных целях, не связанных с предметом договора (например, скоринг), без предоставления возможности покупателю отказаться от указанных условий на этапе приобретения товара.

ЖАДНОСТЬ ДО СУДА ДОВЕДЕТ

Большинство экспертов в области оборота ПД согласны с поправками, которые должны ограничить операторов в избыточном сборе данных. В беседе с RSpectr соучредитель ассоциации Russian Privacy Protection Association (RPPA) Алексей Мунтян отметил, что вызывает беспокойство стремление операторов включить в договор об услугах согласие на обработку ПД. «Мы видим, что многие российские компании смешивают такие правовые основания, как “договор” и “согласие”. Поскольку сам по себе договор с субъектом персональных данных является самостоятельным правовым основанием», – сообщил эксперт.

Если ПД субъекта собирают, то нельзя включать требование согласия гражданина на использование инструмента директ-маркетинг для рекламы продуктов и услуг без возможности отказаться от него, например, включая в текст договора, пояснил RSpectr управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников. А для использования третьей стороной необходимо также получить отдельное согласие гражданина, проинформировав его о том, кому конкретно, с какими целями и какие данные будут передаваться.

Он напомнил, что еще в июле и сентябре 2021 года Роспотребнадзор и РКН совместно с Центробанком направили два информационных письма, где регуляторами детально был разобран порядок получения согласия субъектов на использование и обработку данных в договорах и веб-формах на сайтах. А в нынешнем году сложилась и судебная практика.

Михаил Емельянников, «Емельянников, Попова и партнеры»:

– В 2022 году Мосгорсуд, рассматривая жалобу страховой компании на решение Мещанского районного суда, отметил следующее. Попытка сообщить условия полиса ОСАГО только в обмен на получение ПД и указывать такие условия в пользовательском соглашении на своем сайте–противоречат закону. Суд потребовал от страховой компании предоставлять информацию по полису, а также изменить условия пользовательского соглашения на сайте, убрав согласие на передачу и обработку ПД до заключения договора страхования.

Эксперт сообщил, что с 1 сентября вступают в силу поправки в КоАП, которые предусматривают уже административную ответственность за подобные нарушения. Правда, штраф небольшой – 50 тыс. рублей, но он хотя бы появился, отметил Михаил Емельянников.

ПРОИНФОРМИРОВАЛ – ЗАЩИТИЛСЯ

Согласно новому закону, оператор обязан предоставить человеку, чьи данные он обрабатывает, исчерпывающую информацию – о правовых основаниях, цели обработки, кому и почему передавал данные, состав данных, источники их получения.

С 1 сентября 2022 года срок ответа на такие запросы не должен превышать десять рабочих дней

Стоит отметить, что в законе есть оговорка о том, что срок ответа может быть увеличен еще на пять рабочих дней. Но она внесена на случай, если у оператора есть объективные причины для такой задержки, а не для того, чтобы легально продлевать еще на неделю ответ, вспомнив о жалобе «в последний день».

Милош Вагнер, Роскомнадзор:

– При обсуждении закона в Госдуме приводились примеры, когда оператору нужно обращаться к бумажным документам, находящимся в другом конце страны в архиве. Либо если оператор вообще ведет исключительно бумажную обработку данных. Во всех остальных случаях срок ответа должен быть десять дней.

Оператор должен информировать Роскомнадзор об инцидентах с персональными данными. Это необходимо, чтобы как можно раньше начать принимать меры по снижению доступности скомпрометированных данных, находить и блокировать ресурсы, распространяющие данные. Направлять требования об удалении данных или привлекать их владельцев к административной ответственности.

Оператор должен информировать Роскомнадзор об инцидентах с персональными данными. Это необходимо, чтобы как можно раньше начать принимать меры по снижению доступности скомпрометированных данных, находить и блокировать ресурсы, распространяющие данные. Направлять требования об удалении данных или привлекать владельцев интернет-ресурсов к административной ответственности.

Речь идет, в первую очередь, об инцидентах, либо связанных с произошедшей утечкой данных. Выполнить эту обязанность необходимо с момента выявления утечки, когда о ней стало известно оператору или Роскомнадзору, а не с момента самой утечки.

В РКН пояснили, что информирование может происходить в два этапа: в течение суток предоставить описание скомпрометированных данных и сведения о контактном лице, в течение трех суток сообщить о результатах внутренней проверки и (при наличии) о лицах, чьи действия привели к утечке.

В ближайшее время планируется запустить на портале Роскомнадзора соответствующую форму для уведомления в электронном виде. Для ее использования необходимо, чтобы организация была зарегистрирована в Единой системе идентификации и аутентификации (ЕСИА).

Милош Вагнер подчеркнул, что именно

надлежащее и своевременное информирование будет приниматься во внимание Роскомнадзором при рассмотрении вопроса о привлечении к административной ответственности

Кроме того, это, конечно же, довод для судьи, который будет рассматривать протокол, в пользу того, что организация стремилась ответственно подходить к исполнению законодательства и к защите ПД.

Милош Вагнер, Роскомнадзор:

– Ситуация такова, что размеры санкций за нарушения в области ПД будут увеличены в законодательстве. В связи с этим навыки ответственного поведения операторам необходимо вырабатывать уже сейчас.

В основе нынешнего законодательного решения лежат, с одной стороны, расширение круга обязанностей операторов по защите персональных данных, а с другой – усиление контроля за их оборотом со стороны уполномоченного органа, пояснила RSpectr директор Центра правовой помощи гражданам в цифровой среде Людмила Куровская. Она отметила, что соблюдение этого баланса должно повысить защиту субъекта персональных данных.

ОРИЕНТИРОВАНИЕ НА БАЛАНС

Роскомнадзор также стремится к золотой середине в отношениях с участниками оборота данных. Это подтверждает и внедрение риск-ориентированной модели. Нововведение развивает положения реформы контрольно-надзорной деятельности. Одно из ключевых положений которой состоит в применении риск-ориентированного подхода при планировании проверок.

Реестр операторов в данном случае является основой планирования в области персональных данных

Предоставленные оператором сведения позволят дать оценку соответствия деятельности оператора требованиям закона о ПД без проведения так называемых проверок во взаимодействии. Милош Вагнер отметил, что актуальная и достоверная информация в уведомлении может позволить отнести деятельность оператора к низкой категории риска. А значит, проверки такого оператора будут запрещены или станут гораздо реже, чем предусмотрено общими правилами.

Важно понимать, что не всегда нормативные поправки могут защитить граждан, поясняет Алексей Мунтян. Эксперт уверен, что значительную роль должны играть такие организации, как Роскомнадзор, суды и Роспотребнадзор. А также некоммерческие организации и сообщества privacy-профессионалов, которые могут способствовать повышению уровня цифровой грамотности населения.

Алексей Мунтян, RPPA:

– Например, Центр правовой помощи гражданам в цифровой среде при ГРЧЦ в своей работе демонстрирует достаточно обнадеживающие результаты, связанные с действенной помощью людям в защите, в том числе судебной, их прав как субъектов ПД. Некоторые компании больше боятся не надзорных проверок, а конфликтов с возмущенными клиентами, где возникают репутационные риски.

Тем более что молодое поколение все чаще осознает ценность своих персональных данных и делает выбор в пользу той компании, которая корректно их обрабатывает и не нарушает права гражданина, отметил эксперт.

Глава ассоциации считает, что

одними запретами ситуацию кардинальным образом не исправить, можно лишь приглушить проблему на какое-то время

Он отметил, что ряд положений написан с юридической точки зрения не очень удачно. И крупные компании эти ограничения не остановят.

Алексей Мунтян уверен, что проблема лежит намного глубже: «Мы все стали относиться к ПД как к бухгалтерии и не видим за данными людей, которые являются как их источником, так и возможными жертвами».

Алексей Мунтян, RPPA:

– Концепция регулирования должна переключиться с самих данных на их носителей, чтобы развивать этические правила для всех, кто хочет обрабатывать данные. Каждый человек должен понимать, какие данные и для каких целей будут использовать с его согласия. Есть значительная категория личной информации, которой люди не готовы делиться. А государство должно сделать так, чтобы IT-гигантам было экономически невыгодно использовать ПД. Штрафные санкции делают этот процесс лишь затратным, но даже оборотные штрафы не остановят крупный бизнес.

На фото: Ирина Алёхина (член Общественного совета РКН)

Схожую позицию в ходе заседания высказала член Правления Общероссийской организации малого и среднего предпринимательства «ОПОРА РОССИИ», заместитель председателя Общественного совета при РКН Ирина Алёхина: «Нужен новый концептуальный подход к защите персональных данных». В частности, необходимо повышать цифровую грамотность населения, формировать ответственное отношение и к своим ПД, и тем более к обрабатываемым.

Ирина Алёхина, «ОПОРА РОССИИ»:

– Данные стали востребованным товаром и достаточно недорогим для операторов — современные технологии позволяют достаточно просто их обрабатывать. Часто они становятся базовым бизнесом.

Она отметила, что операторам следует четко соблюдать требования законодательства и быть готовым к дополнительным расходам, связанным с обработкой персональных данных.

Автор: Денис Кунгуров

Изображение: RSpectr

Еще по теме

Чего хотят экосистемы в сфере обработки данных

Что кроется в деталях обновленного закона «О персональных данных»

Минцифры рассылает во все военкоматы правительственные телеграммы о порядке действий в отношении IT-специалистов

Реален ли баланс между требованиями по обработке персональных данных и интересами бизнеса

Как оператору связи соблюдать требования по установке технических средств противодействия угрозам

Как внедрение стандартов ИИ и Big Data помогут защите персональных данных

Кто ответит за усиление киберзащиты в российских организациях

Когда утвердят операторов рекламных данных и в каком виде передавать информацию в госреестр

Какое наказание нужно противопоставить преступлениям с персональными данными

Законопроект о принудительном лицензировании контента попал под критику

Почему назрел вопрос регулирования персональных генетических данных

Эксперимент по мониторингу здоровья поможет расширить рынок устройств для наблюдения за пациентами

Общество требует внедрять прозрачные механизмы проверки возраста пользователей платформ

Как Центробанк собирается бороться с хищениями средств с банковских карт

Как регуляторы разных стран добиваются прозрачности алгоритмов интернет-площадок