Персональные данные: успеть обеспечить защиту!
Летом 2014 года были приняты поправки, обязывающие предпринимателей обеспечить хранение персональных данных россиян на серверах, находящихся на территории России (ст. 2 Федерального закона от 21 июля 2014 г. № 242-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях"). Предполагалось, что новые правила начнут действовать с 1 сентября 2016 года. Поэтому до сих пор этот вопрос волновал в основном только крупные компании, которым потребуется не один месяц, а быть может, и год, чтобы перенести все персональные данные сотрудников и клиентов с иностранных серверов на российские.
Но не исключено, что новая обязанность появится у предпринимателей уже 1 сентября 2015 года – соответствующий закон уже принят Госдумой и ожидает одобрения Совета Федерации и подписания президентом1. В связи с этим перед компаниями встало сразу несколько важных вопросов: стоит ли вносить изменения в локальные нормативные акты, будет ли усилен контроль со стороны Роскомнадзора и насколько увеличится количество судебных разбирательств по защите субъектом своих прав? В первую очередь поправки затрагивают интернет-магазины, социальные сети и организации, оказывающие туристические услуги. Однако коснутся нововведения всех компаний, так или иначе использующих в работе с персональной информацией граждан иностранные центры обработки данных (далее – ЦОД), поэтому разберем эти вопросы подробнее.
НАША СПРАВКА
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу;
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных;
Обработка персональных данных – любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение (ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных").
Центром обработки данных (или дата-центром), как правило, называют специализированное помещение (здание), в котором размещается серверное и сетевое оборудование, предназначенное для хранения, обработки и распространения информации.
Изменения в локальных нормативных актах
Прежде всего, отметим, что Закон 242-ФЗ не требует принимать новые документы. Однако мы советуем внести в существующие акты некоторые коррективы. Поскольку результатом реализации нового закона является создание собственного ЦОД либо заключение договора на его аутсорсинг, в документы целесообразно включить сведения о наличии и местонахождении такого ЦОД (ст. 2 Закона 242-ФЗ, ч. 5 ст. 18, п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных"; далее – закон о персональных данных). Это уточнение можно прописать отдельным пунктом в Политике обработки персональных данных компании, в локальных нормативных актах, регулирующих обработку персональных данных работников (например, в положении о защите персональных данных работников и в инструкции по правилам обработки, хранения и передачи персональных данных), а также в согласии субъекта (работника или клиента компании) на обработку его персональных данных.
МАТЕРИАЛЫ ПО ТЕМЕ
Поскольку Закон № 242-ФЗ не предусматривает срок для приведения всех документов в соответствие новым требованиям, ориентироваться стоит на вступление закона в силу, поскольку с этого момента Роскомнадзор будет иметь право эти документы проверить (если не будет издан отдельный уточняющий акт).
Причем коснуться это может практически любой компании, поскольку обработкой персональных данных так или иначе занимаются все организации – хотя бы в части обработки данных своих работников. "Если мы обратимся к закону о персональных данных и будем понимать определение персональных данных буквально, то есть как информацию, которая как прямо, так и косвенно способна идентифицировать личность, то по российскому праву любую информацию можно считать персональными данными, даже если речь идет об имени и фамилии в электронной почте," – отмечает советник юридической фирмы "Борениус" Дарья Сергеева.
Руководитель коммерческой практики гражданско-правового департамента Юридической фирмы "КЛИФФ" Елена Денисова уточняет, что в будущем ожидаются разъяснения от Роскомнадзора на предмет того, что же считается персональными данными. Таковыми, по ее прогнозам, могут быть признаны даже написанные латинской транскрипцией имя и фамилия человека.
Насущным также остается вопрос относительно возможности дублирования персональных данных на иностранных серверах, то есть возможность обработки и хранения данных одновременно как в российских ЦОД, так и за рубежом. Конкретных положений на этот счет и ответственности за их нарушение Закон № 242-ФЗ не содержит. Вместе с тем, нет и запрета на это.
МНЕНИЕ
Дарья Сергеева, советник юридической фирмы "Борениус":
"Из Закона № 242-ФЗ не следует, что у нас запрещено дублирование персональных данных на зарубежных и российских серверах. Было много обсуждений по поводу того, где должна быть первая копия данных, а где вторая, но учитывая современные технические возможности, позволяющие производить синхронизацию данных на российском и зарубежном серверах моментально, этот вопрос не имеет практического значения. Поэтому мы пришли к выводу, что дублирование допускается".
Однако некоторые специалисты предостерегают компании от поспешных выводов и решений. "Во время кулуарного общения с представителями органов власти нам дали понять, что, скорее всего, Закон № 242-ФЗ будет подразумевать эксклюзивное нахождение серверов в России", – рассказывает руководитель отдела по взаимодействию с государственными органами власти компании по производству товаров ежедневного спроса ООО "Юнилевер Русь" в России, Украине и Беларуси Александр Дубровский. Ответить на этот вопрос можно будет только после появления официальной позиции законодателя или первых результатов правоприменительной практики.
Контроль со стороны проверяющих органов
Закон № 242-ФЗ касается не только требования о хранении персональных данных на территории РФ, но и затрагивает порядок осуществления контроля со стороны Роскомнадзора за деятельностью компаний в сфере соблюдения законодательства о персональных данных. В частности, определено, что действующие на данный момент правила проведения проверок (Федеральный закон от 26 декабря 2008 г. № 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля"; далее – закон о защите прав предпринимателей) не будут распространяться на проверки, связанные с контролем за обработкой персональных данных (ст. 3 Закона № 242-ФЗ).
На данный момент плановые проверки нельзя проводить чаще, чем один раз в три года (ч. 2 ст. 9 закона о защите прав предпринимателей). При этом действуют уполномоченные органы на основании плана проверок, который в обязательном порядке направляется на согласование в органы прокураторы (ч. 3, ч. 6 ст. 9 закона о защите прав предпринимателей). Но с момента вступления в силу Закона № 242-ФЗ Роскомнадзор будет иметь право проводить проверки, не принимая во внимание указанные ограничения. Кроме того, на такие контрольные мероприятия не будет распространяться и максимальный срок для проведения проверок – 20 рабочих дней (ст. 13 закона о защите прав предпринимателей).
ВАЖНО ЗНАТЬ
Примерный перечень документов, предоставляемых Роскомнадзору в ходе проверки
Скачать |
(по материалам официального сайта Роскомнадзора)
"Получается, что в итоге Роскомнадзор может провести проверку соблюдения компанией требований по обработке персональных данных в любой момент и по любому поводу. И длиться она может как угодно долго. По крайней мере, пока не примут какие-то другие акты, которые будут специально регламентировать этот процесс", – подытоживает юрисконсульт американской корпорации по производству программного обеспечения IBM в России и СНГ Александр Савельев.
Однако, невзирая на эту неопределенность, специалисты сходятся во мнении, что ожидать усиления внимания со стороны контролирующих органов в ближайшее время не стоит.
МНЕНИЕ
Андрей Прозоров, ведущий эксперт по информационной безопасности группы компаний InfoWatch:
"У Роскомнадзора ограниченная численность персонала и принципиально увеличить количество проверок ему довольно сложно. А с учетом того, что у ведомства за последнее время появились еще и дополнительные функции (например, ведение реестра блокированных сайтов, контроль за блогерами и т. д.), я очень сильно сомневаюсь, что количество проверок может возрасти без увеличения штата".
В любом случае не стоит забывать, что цель любой проверки – принятие оперативных мер в связи с нарушениями. Так какие же меры реагирования будут применяться в отношении компаний-нарушителей? Закон предусматривает три вида санкций, причем применяться они могут вне зависимости друг от друга как за нарушение правила о локализации ЦОД, так и за другие нарушения при работе с персональными данными.
Административный штраф. Его размер для граждан составляет от 300 до 500 руб., для должностных лиц – от 500 до 1 тыс. руб., а для компаний – от 5 тыс. до 10 тыс. руб. (ст. 13.11 КоАП РФ).
Включение компании в реестр нарушителей. Это автоматизированная информационная система, в которую вносятся доменные имена и указатели страниц сайтов, содержащих информацию, обрабатываемую с нарушением закона. Основанием для включения оператора в этот реестр является вступивший в законную силу акт суда. А основанием для исключения – отмена этого судебного акта или устранение допущенного нарушения в установленном законом порядке (ст. 1 Закона № 242-ФЗ, ст. 15.5 Федерального закона от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации"). Компания, которая находится в таком реестре, попадает под пристальное внимание Роскомнадзора, чьи сотрудники могут на законных основаниях проводить внеплановые проверки и привлекать руководство к ответственности за выявленные нарушения. Кроме того, это напрямую влияет на репутацию компании как в отношениях с деловыми партнерами, так и при взаимодействии с клиентами.
Блокирование веб-ресурса, на котором осуществляется обработка персональных данных (ст. 1 Закона № 242-ФЗ, ст. 15.5 Федерального закона от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации"). Для этого субъект персональных данных должен обратиться в Роскомнадзор с заявлением о принятии мер по ограничению доступа к обрабатываемой с нарушением закона информации. К такому заявлению нужно будет приложить вступивший в законную силу судебный акт. После получения указанных документов Роскомнадзор в течение трех рабочих дней уведомит провайдера хостинга о нарушении, а тот, в свою очередь, в течение одного рабочего дня должен будет поставить об этом в известность владельца ресурса. Если владелец сайта за сутки не устранит выявленное нарушение (например, удалит незаконно размещенные персональные данные субъекта или подтвердит нахождение ЦОД на территории России), провайдер хостинга ограничит доступ к веб-ресурсу. Если же ни провайдер, ни владелец сайта не предпримут предусмотренные законом меры для устранения нарушения, операторы связи ограничат доступ к информационному ресурсу (сетевому адресу, доменному имени и указателю страниц сайта в сети Интернет). При этом эксперты не склонны драматизировать и считают, что активно блокировать сайты чиновники не будут.
МНЕНИЕ
Александр Савельев, юрисконсульт американской корпорации по производству программного обеспечения IBM в России и СНГ:
"Есть вероятность, что этот закон – своего рода "дубина" в отношении бизнеса, может быть, иностранного. Эта "дубина" может и не бить, а просто нависать над головами предпринимателей. Ведь самое эффективное – не сами санкции, а угроза их применения. То же самое и здесь. Кстати, очень часто из уст чиновников звучит фраза о "цифровом суверенитете России". И если посмотреть на комплекс мер, которые сейчас принимаются (в частности, политика импортозамещения и попытки государства организовать контроль над Интернетом), то получается, что в целом поправки последнего времени могут быть расценены как направленные на защиту национальных интересов, а не просто на защиту субъектов персональных данных".
Защита субъектом персональных данных своих прав
Субъект персональных данных (сотрудник или клиент компании) имеет право обжаловать действия оператора как в Роскомнадзор, так и непосредственно в суд (ч. 1 ст. 17 закона о персональных данных).
"Если посмотреть статистику Роскомнадзора, которую он публикует ежегодно, четко видна тенденция по увеличению количества жалоб субъектов персональных данных на операторов, потому что теперь подавать эти жалобы через сайт Роскомнадзора очень легко", – отмечает Андрей Прозоров.
При этом основания и порядок обращения субъекта персональных данных в суд в целях защиты его нарушенных прав остались прежними. А это значит, что резкого увеличения количества судебных споров в защиту субъектов персональных данных пока ожидать не стоит, даже с учетом вступления новых правил в силу. Но это вовсе не значит, что компании могут игнорировать новые требования.
МНЕНИЕ
Дмитрий Зыков, руководитель группы правовой защиты информации юридической компании "Пепеляев Групп":
"Особый судебный порядок для оспаривания действий оператора персональных данных не предусмотрен, поэтому обращение в суд происходит в обычном порядке искового производства. Госпошлина для физических лиц по таким требованиям составляет всего 200 руб. Сегодня таких судебных споров на практике немного, а решения по тем спорам, которые есть, выносятся как в пользу субъектов персональных данных, так и в пользу операторов. Однако если налицо какое-то существенное нарушение, то компания, конечно, проигрывает. Локализация баз данных на территории России – это факт, который можно установить и достаточно объективно показать суду, а значит, вероятность того, что решение будет вынесено не в пользу компании-оператора, возрастает".
Таким образом, принимая во внимание все требования Закона № 242-ФЗ и мнения экспертов по этому вопросу, можно надеяться, что он не станет основанием для резкого усиления внимания со стороны проверяющих органов и увеличения количества судебных споров.