Защита персональных данных является одним из распространенных объектов государственного регулирования. В частности, совсем недавно Государственная Дума приступила к рассмотрению законопроекта № 101234-8 (далее — законопроект) о внесении изменений в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных. В законопроекте был предложен ряд серьезных поправок, направленных на изменение правового статуса субъектов персональных данных, а также усиление государственного контроля в этой сфере. В материале рассмотрим проблемы защиты персональных данных и то, как их смогут решить законодательные инициативы в части их регулирования и ответственности за нарушение законодательства о персональных данных.
С обработкой, хранением и передачей персональных данных сегодня сталкиваются практически все: от небольших стартапов до крупных государственных и коммерческих организаций. Все они выступают операторами персональных данных и несут ответственность за обеспечение кибербезопасности граждан. Оставляя информацию о себе в медицинском центре или при оформлении в штат, субъект персональных данных имеет право на защиту информации о себе, в том числе от незаконного хранения и обработки и, как следствие, утечек.
На территории России обработку персональных данных регулирует Закон о персональных данных, а за соблюдением требований к обработке следит Роскомнадзор (далее — РКН). В этом законе нет четкого перечня данных, относящихся к персональным, что оставляет простор для толкования. Принято считать, что к персональным данным относится та информация, с помощью которой можно идентифицировать человека прямо или косвенно. Закон выделяет несколько категорий таких данных:
- общие. Это наиболее часто используемые в бытовой жизни персональные данные: ФИО, адрес регистрации, образование, должность и место работы, номер телефона и адрес электронной почты (ст. 3 Закона о персональных данных). При этом номер телефона как набор цифр без привязки к конкретному человеку, согласно позиции РКН, не относится к персональным данным, так как идентифицирует устройство, а не человека1;
- специальные. К этой категории относятся более чувствительные персональные данные: расовая и национальная принадлежность, вероисповедание, политические и философские взгляды, состояние здоровья, подробности интимной жизни, наличие или отсутствие судимости (ст. 10 Закона о персональных данных);
- биометрические. Биометрия подразумевает идентификацию человека по физиологическим и биологическим особенностям: отпечаткам пальцев, фото, анализу ДНК, группе крови, росту, весу, скану радужной оболочки глаза и другим (ст. 11 Закона о персональных данных).
Также в законе сформулированы принципы обработки персональных данных (ст. 5 Закона о персональных данных):
- Законные основания. Просто так собирать данные субъектов персональных данных, конечно же, нельзя. Отношения оператора и субъекта должны выстраиваться в соответствии с конкретными основаниями: согласие на обработку персональных данных, заключение договора, принятие условий публичной оферты на сайте, а также иные условия, указанные в ст. 6 Закона о персональных данных, могут выступать основанием для обработки персональных данных.
- Понятная цель. Собирать персональные данные, не имея при этом цели их обработки — недопустимо. Цель должна быть заранее определенной и законной.
- Избыточность. Перечень собираемых персональных данных должен четко соответствовать поставленной цели. То есть если для организации доставки уточнять у получателя дату рождения не требуется, делать этого не стоит.
- Уничтожение. Обработка персональных данных не может быть бессрочной, и этот срок ограничивается либо законодательно, либо достижением определенной цели. После того как цель была достигнута, они подлежат уничтожению/удалению.
- Запрет объединения. Закон запрещает совместное хранение персональных данных физлиц, если цели их обработки отличаются, необходимо формировать отдельные базы данных и разграничивать места их хранения.
Закон о персональных данных (ч. 1 ст. 6) содержит несколько оснований для обработки персональных данных, помимо согласия:
- если физлицо является участником судебного процесса;
- если данные необходимы для предоставления государственных и муниципальных услуг, в том числе для регистрации на портале «Госуслуги»;
- если данные необходимы для заключения или исполнения договора, выгодоприобретателем или поручителем по которому выступает физлицо;
- если данные необходимы для проведения статистических или иных исследований, при этом данные должны быть обезличены;
- в экстренной ситуации, когда важно сохранить жизнь и здоровье гражданина, а получить его согласие невозможно;
- если осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;
- если данные необходимы для обеспечения журналистской, творческой или научной деятельности, а также для работы СМИ, при условии, что это не нарушает права и законные интересы гражданина. В случае принятия ряда поправок текущую редакцию закона ждут существенные изменения.
Как предлагается усовершенствовать законодательство о персональных данных в законопроекте № 101234-8
Законодатель объясняет необходимость внесения изменений в действующее законодательство недостаточностью механизмов защиты персональных данных, не обеспечивающих в полной мере право граждан РФ на неприкосновенность частной жизни.
В частности, в законопроекте предлагается следующее:
- до 10 дней сокращаются сроки исполнения операторами запросов органов власти и граждан по вопросам, связанным с незаконной обработкой персональных данных.
Несвоевременное реагирование оператора на запросы субъекта, например, в случае утечек создает благодатную почву для совершения преступлений и правонарушений, таких как заочное оформление кредитов, иных действий мошеннического характера; - передача данных из Единого государственного реестра недвижимости будет осуществляться, за некоторыми исключениями, только с согласия физического лица, на которое зарегистрирована собственность.
Действующее законодательство никак не ограничивает предоставление сведений третьим лицам о недвижимости, включая адреса проживания, которые также относятся к персональным данным. Такая ситуация создает реальную угрозу безопасности, в том числе физических лиц, их родных и близких. В текущей обстановке данный аргумент видится как никогда актуальным; - операторов обяжут прекратить обработку персональных данных по требованию их владельца в 30-дневный срок.
Трансграничная передача персональных данных: предложения законопроекта
Особое внимание в законопроекте уделено регулированию трансграничной передачи персональных данных. Поправки предполагают, что до начала трансграничной передачи персональных данных операторы будут обязаны уведомлять Роскомнадзор об осуществлении трансграничной передачи персональных данных по определенной форме, помимо уже существующей обязанности оператора после начала обработки подавать соответствующее уведомление в надзорный орган о начале обработки персональных данных, а также для включения в реестр операторов.
При передаче в страну, не обеспечивающую адекватную защиту прав субъектов персональных данных, в таком уведомлении оператору необходимо будет предоставить сведения о правовом регулировании персональных данных в стране-импортере.
Фактически РКН получит право разрешить или запретить такую трансграничную передачу в течение 30 дней с момента уведомления. В случае запрета или ограничения передачи ранее переданные данные оператор будет обязан уничтожить.
Государство всерьез обеспокоено обеспечением безопасности персональных данных россиян, передаваемых за рубеж, в особенности если это касается стран, не обеспечивающих адекватной защиты прав субъектов персональных данных, и принимает жесткие меры по частичному или полному предотвращению такой передачи.
Судя по первоначальному варианту законопроекта, данное ограничение сильно усложнит жизнь операторам, особенно тем, которые пользуются американскими сервисами (так как США, с точки зрения Роскомнадзора, являются страной, не обеспечивающей адекватной защиты персональных данных). Безусловно, в документ еще будут внесены поправки. Но уже сейчас становится ясно, что законопроект направлен на ужесточение требований к операторам в сфере обработки персональных данных. Учитывая контекст, в котором рассматривается законопроект, можно предположить его утверждение если не в полном объеме, то в значительной части. Законопроект затрагивает также процессы регулирования передачи биометрии:
- планируется ввести запрет на обработку биометрических данных несовершеннолетних, кроме случаев, когда в соответствии с законодательством РФ об обороне, безопасности, в том числе транспортной, противодействии терроризму, а также в связи с проведением обязательной государственной дактилоскопической регистрации персональные данные субъекта могут обрабатываться без его согласия;
- предлагается запретить отказ от оказания услуги по причине непредставления биометрических персональных данных субъектом, если в соответствии с федеральным законом получение оператором согласия на обработку персональных данных не является обязательным.
Цена ответственности персональных данных: за что штрафует Роскомнадзор сейчас
Некоторые индивидуальные предприниматели и частные компании даже не подозревают о том, что являются операторами персональных данных. Достаточно даже просто сбора маркетинговых и аналитических cookie-файлов на такой страничке с размещением формы обратной связи для генерации заказов, чтобы попасть под действие Закона о персональных данных и пристальное внимание Роскомнадзора.
Фактически в этом случае операторы персональных данных — это любые компании, индивидуальные предприниматели и самозанятые, которые собирают информацию о клиентах с помощью, например, регистрации на сайте, авторизации через социальные сети, cookie-файлов, ответных звонков и сообщений в чатах, заказов товаров и услуг, подписок на рассылки, формы обратной связи. Способ сбора данных роли не играет, будь то электронная почта, соцсеть, общение с менеджером. В любом из этих случаев происходит процесс передачи персональных данных субъектом оператору. Конечно, физические лица, которые собирают данные в некоммерческих, личных целях, согласно ст. 1 Закона о персональных данных, операторами не являются. Статусом оператора также не обладают государственные организации, которые обеспечивают деятельность Архивного фонда РФ и действуют на основании закона «Об архивном деле». Исключением также являются компании, которые обрабатывают данные, отнесенные к государственной тайне указом Президента РФ.
Причем необязательно работать исключительно в интернете, чтобы собирать и обрабатывать персональные данные. Если в магазине продавец оформляет дисконтную карту и фиксирует номер телефона покупателя, это тоже сбор персональных данных.
Ошибочным является представление, что заниматься хранением и обработкой персональных данных в соответствии с законом под силу любому сотруднику. С учетом того, что в законе значительное внимание уделяется конкретизации целей обработки персональных данных, соответствующие формы согласий должны максимально соответствовать требованиям закона и быть разработаны с учетом особенностей деятельности компании. Согласно ст. 18.1 Закона о персональных данных, организация должна обеспечить свободный доступ к политике персональных данных. Ее необходимо разместить на сайте, если с его помощью происходит сбор персональных данных.
Не уступает в частоте такое нарушение, как отсутствие оснований для обработки персональных данных, собираемых на сайте. Такими основаниями могут выступать согласие или публичная оферта. Причем в особо критических случаях отсутствие этих документов грозит блокировкой сайта.
Согласие на обработку персональных данных должно строго соответствовать требованиям действующего законодательства РФ. Особое внимание необходимо обратить на согласие о передаче оператором данных физлица третьим лицам или трансграничную передачу.
Также легко нарушить требования закона, если продолжать обрабатывать персональные данные, которые подлежат уничтожению/удалению.
Часто операторы, особенно работодатели, составляют уведомление об обработке персональных данных неверно. Либо, убежденные, что обрабатывают данные в рамках трудового законодательства, вообще не уведомляют РКН, что в корне неправильно. Штрафы за несоблюдение требований законодательства в сфере защиты персональных данных указаны в КоАП РФ. С марта 2021 г. размер штрафов существенно вырос.
Так, за первичное нарушение по ч. 1 ст. 13.11 КоАП РФ штраф составит:
- 2—6 тыс. руб. для граждан;
- 10—20 тыс. руб. для должностных лиц и предпринимателей;
- 60—100 тыс. руб. для бизнеса и госкомпаний.
- Повторное нарушение обойдется дороже:
- 4—12 тыс. руб. для граждан;
- 20—50 тыс. руб. для должностных лиц;
- 50—100 тыс. руб. для предпринимателей;
- 100—300 тыс. руб. для бизнеса и госкомпаний.
Несмотря на довольно серьезные санкции, предусмотренные КоАП РФ, персональные данные граждан продолжают утекать, а РКН продолжает выявлять нарушения и штрафовать операторов. С учетом планируемых изменений в законодательстве меры по обеспечению безопасности персональнных данных россиян станут гораздо серьезнее, возрастет ответственность операторов. С другой стороны, массовые утечки персональных данных доставляют немало проблем рядовым пользователям.
В большинстве случаев персональные данные появляются в открытом доступе по вине оператора, из-за несерьезного отношения к теме обработки персональных данных. То, что казалось незначительным, приобретает более весомую форму, ощутимую в первую очередь по сумме убытков, которые оператор понесет в случае привлечения к ответственности.
Новая административная ответственность в предложениях Минцифры России
На Федеральном портале проектов нормативных правовых актов Минцифры России опубликовало проект федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (ID проекта 02/04/06-22/00128073). Ключевой целью законопроекта является установление административной ответственности за нарушение порядка применения информационных технологий в целях идентификации физических лиц.
Как констатирует законодатель в пояснительной записке, сегодня возможности применения удаленной идентификации физических лиц посредством единой информационной системы персональных данных расширены. Они включают обработку, сбор и хранение биометрических персональных данных, их проверку, передачу информации о степени соответствия предоставленной биометрии реальным данным физического лица. Так, например, идентификация физического лица с использованием биометрии приравнивается к действиям по проверке документов, удостоверяющих личность (ч. 27 ст. 14.1 Федерального закона № 149-ФЗ «Об информации, информационных технологиях и о защите информации»). Этот механизм может быть использован для любых операций, в том числе — для оказания государственных и муниципальных услуг.
В случае нарушения порядка обработки, включая сбор и хранение биометрических персональных данных, владельцы и (или) операторы несут ответственность. Вместе с тем специальные нормы административного законодательства для привлечения таких лиц к ответственности сегодня отсутствуют.
В свою очередь, в пояснительной записке к законопроекту также указано, что предусмотренные изменения повысят эффективность соблюдения требований законодательства, положительный эффект ожидается в вопросах профилактики правонарушений при идентификации физических лиц с использованием биометрии, а также минимизируют ущерб от таких нарушений.
Законодатели считают, что нарушение работы с биометрическими данными, такой как сбор, обработка и хранение в Единой биометрической системе, государственных информационных системах, а также когда оператором выступает неаккредитованное в установленном порядке лицо, может нанести существенный вред охраняемым законом интересам личности, общества и государства.
Законопроект направлен на защиту общественных отношений в сфере применения информационных технологий в целях идентификации физических лиц.
Законопроектом предусматриваются штрафы для должностных и юридических лиц:
- за нарушение порядка обработки, включая сбор и хранение, параметров биометрических персональных данных оператором:
- для должностных лиц — от 100 тыс. до 300 тыс. руб.;
- для юридических лиц — от 300 тыс. до 500 тыс. руб.;
- за обработку биометрических персональных данных оператором без аккредитации:
- для должностных лиц — от 300 тыс. до 600 тыс. руб.;
- для юридических лиц — от 500 тыс. до 1 млн руб.
Следить за соблюдением указанного порядка и выдавать предписания о штрафах будет Роскомнадзор. Для участников финансового рынка надзорной инстанцией выступит Банк России.
Таким образом, проект изменений в законодательство о защите персональных данных подкреплен новыми штрафными санкциям. Установление таких санкций (штрафов) указывает на ужесточение требований к операторам, осуществляющим обработку, хранение и передачу персональных данных, приобретает более весомую форму, ощутимую в первую очередь по сумме убытков, которые оператор понесет в случае нарушения. В цифровом обществе вопросам безопасности персональных данных необходимо уделять особое внимание, ведь забота о благополучии граждан — приоритетная задача любого государства.
1 https://15.rkn.gov.ru/p8880/p15987/.