Закон о персональных данных: практика применения и проблематика реализации

Федеральный закон «О персональных данных» существует уже 15 лет. За это время он неоднократно видоизменялся и дорабатывался, к нему выпускались разъяснения профильных органов.

Несмотря на все доработки, споры и конфликты относительно этого федерального закона и практики его применения случаются до сих пор. Общество недовольно низким уровнем ответственности за утечки данных, бизнес – сложностью операционных процессов и неравномерностью судебной практики.

В этой статье мы обсудим основные сложности работы на основе 152 ФЗ, возможные пути их решения и актуальные проблемы, которые государственный регулятор собирается решать.

Основные положения закона

Если говорить о смысловых составляющих федерального закона, то особое внимание следует уделить следующим статьям:

1. ФЗ 152, ст. 6. Здесь обозначены условия обработки персональных данных. В данной статье обозначены условия, в которых обработка может проводиться. Особый интерес вызывает 5 пункт, который устанавливает ответственность оператора перед субъектом вне зависимости от того, сам он обрабатывает данные или передает их контрагенту.
2. ФЗ 152, ст. 9. В этой статье описана процедура согласия на обработку ПДн. Также, предусмотрена процедура отзыва согласия, инициировать которую субъект вправе в любой момент. Помимо этого, оператор обязан предоставить подтверждение удаления данных.
3. Ст. 16, ФЗ 152. Эта статья закрепляет права субъекта при исключительно автоматической обработке данных. В частности, пункт 3 обязывает оператора в полной мере разъяснить порядок принятия решений на основе автоматических данных и их возможные последствия для субъекта.
4. Ст. 24, ФЗ 152. Одна из наиболее обсуждаемых в данный момент статей, которая касается ответственности за утечки данных. В актуальной редакции интересен аспект компенсации морального вреда, где юридическая возможность слабо соотносится с актуальной практикой.

Еще одно часто обсуждаемое положение – это виды персональных данных по 152 закону. От правильности классификации обрабатываемых данных во многом зависит требуемый уровень защищенности, юридические аспекты соглашения на их обработку и другие тонкости взаимодействия между субъектом и оператором.

Евгений Царев

Управляющий RTM Group

Законодательство выделяет всего четыре группы персональных данных в требованиях к их защите. Можно опираться на влияние факта обработки той или иной категории ПДн на уровень защищенности в соответствии с Постановлением Правительства № 1119 от 1 ноября 2012 года, в котором прослеживается явный ряд от незначительного к значительному: общедоступные, иные, биометрические и специальные.

Эта модель вполне соответствует возможным последствиям от утечки. Всем компаниям необходимо уделять особое внимание защите биометрических и специальных ПДн, ведь доступ злоумышленника к ним может повлечь как большой финансовый и моральный ущерб для субъекта, так и огромный репутационный ущерб для компании-оператора.

К биотметрии относится голос, изображение, отпечатки пальца и сетчатка глаза пользователя, а к специальным ПДн – медицинские показания, религиозные убеждения и политические предпочтения.

Если говорить о проблемах работы на основании этих положений, то можно выделить три из них:

• отсутствие достаточной ответственности для операторов;
• разночтения в судебной практике;
• избыточность операций в ряде аспектов.

Остановимся подробнее на каждом вопросе.

Ответственность оператора за допущение утечки данных

Актуальность этой проблемы наглядно демонстрируется на примере «ПДн-гигантов», таких как Яндекс.Еда, кинотеатр Start, и ряда других, где количество значимых данных исчисляется сотнями тысяч строк, а наказание – десятками тысяч рублей.

В этом контексте широко обсуждается инициатива введения оборотных штрафов для компаний-операторов данных. Здесь важность имеют несколько аспектов:

1. Градация. Очевидно, что одинаковые штрафы для крупного и малого бизнеса повысят ответственность первых и могут парализовать работу с данными для вторых. Это понимают и в Минцифры – в конце августа РБК сообщило, что оборотные штрафы рассматриваются как мера за утечку данных более чем 10 тыс пользователей.
2. Осознанность. Операторы данных получают четкий сигнал от регулятора, что утечка ПДн – это недопустимое событие, и государство намерено добиваться от бизнеса повышенного внимания к этой области.
3. Прозрачность. В данном контексте правильной выглядит идея введения дополнительного штрафа за выявленный факт сокрытия данных об утечке информации.

Кирилл Уголев

Руководитель дивизиона информационной безопасности TEGRUS

Участившиеся инциденты, связанные с утечкой или изменением персональных данных, давно говорят о том, что компании как частные, так и государственные, не до конца осознают их ценность.

Закон точно нуждается в поправках, и многие его положения также менялись в течение этих 15 лет. Но осталось самое важное – заставить операторов более бережно относиться к доверенной им информации.

На мой взгляд, требуется:

1. Увеличить ответственность компаний за целостность и конфиденциальность обрабатываемых данных.
2. Выделить реального технического регулятора для коммерческого рынка (по отраслям) по контролю за выполнением положений обеспечения технической защиты персональных данных.

Нововведения в области ответственности за утечки данных стоит ожидать уже в начале осени. На фоне роста количества утечек информации эти поправки выглядят актуальными и своевременными.

Неоднородность судебной практики

Если обратиться к системе Гарант, то на ее ресурсах можно найти немало примеров разночтений 152 ФЗ в разных ситуациях. Если обобщить практику, то можно выделить несколько распространенных проблем:

• конфликт относительно определения вида персональных данных;
• сложность процедуры передачи персональных данных между контрагентами;
• комплектность персональных данных.

Эта проблема актуальна не только в тех случаях, когда дело дошло до суда, но нередко случается и при профильных проверках. Для решения этой проблемы в условиях растущего числа утечек данных нужны единые, понятные стандарты принятия решений.

Максим Али

Руководитель практики интеллектуальной собственности и информационного права (IP/IT) Maxima Legal

Основная проблема законодательства о персональных данных в его чрезмерной казуистичности, которая приводит к парадоксальным позициям в практике. Например, одни и те же виды данных одни суды признают персональными, а другие – нет. Или бывают совершенно необъяснимые подходы: например, когда номер мобильного не признается персональными данными, а номер банковского счета – признается.

В правовой системе должны быть: пласт законодательства и подзаконных актов, разъяснения надзорного органа (к слову, подобные разъяснения в ЕС, которые издает рабочая группа по GDPR, являются крайне информативными и имеют огромное значение для практики), а также судебная практика.

К сожалению, в нашей реальности разъяснения Роскомнадзора пока еще весьма фрагментарные и, в итоге, многие актуальные вопросы специалистам приходится прояснять на публичных мероприятиях, проводимых под инициативе РКН.

Судьи редко сталкиваются с подобными делами, да и рассматривают их в потоке других дел. В итоге случается так, что перегруженным мировым судьям в перерыве между относительно небольшими спорами (взыскание налогов, долгов по ЖКХ, споры с потребителями и т.п.) приходится рассматривать дела о миллионных штрафах для запрещенных социальных сетей.

В рамках этой проблемы важна разъяснительная работа и стандартизация. Причем для всех участников процесса: как судей, так и представителей операторов ПДн. При этом практика открытых дверей, которую проводит Роскомнадзор, позволяет решить «горячие» вопросы, но не дает системного представления.

Защита от утечек ПДн

Константин Степанов

Исполнительный директор IT-компании HFLabs

Для начала нужно провести аудит работы с данными в компании. Бизнес должен проанализировать, какие данные он собирает и для чего, в каких процессах они используются. Нередко компании просят клиентов предоставить как можно больше информации о себе, которая впоследствии оказывается не нужна.

Важно разобраться в каких системах хранится информация о клиентах. В идеале, персональные данные клиентов и их транзакции нужно хранить в разных системах, чтобы в случае утечки в открытом доступе не оказался полный пакет информации о человеке. Такие утечки – самые чувствительные. Злоумышленники узнают не только адрес человек и его номер телефона, но и, например, на какие суммы он совершает покупки..

Обязательно нужно проверить уровни доступа к персональным данным клиентов. Современное программное обеспечение позволяет отслеживать, кто и когда открывал карточки клиентов. Сами сотрудники тоже должны знать о таких мерах контроля, чтобы у них не было соблазна нарушить закон.

В рамках проблемы защиты от утечек можно выделить несколько аспектов:

1. Избыточность данных. Она возникает, когда компания стремится собрать как можно больше информации о пользователе, часть из которой в дальнейшем не используется и просто хранится. Второй момент – это отсутствие временных рамок работы с данными, когда клиентская база количественно растет за счет неактивных пользователей.
2. Рост ценности ПДн. Базы данных – это товар, ценность которого осознает не только правовой регулятор, но и злоумышленники. Соответственно, количество попыток их кражи будет расти.
3. Пренебрежение защитными механизмами. Серьезно снизить нагрузку на защитные инструменты компании может процесс шифрования или обезличивания данных.

Денис Суховей

Руководитель департамента развития технологий АО «Аладдин Р.Д.»

Правильно выстроенные процессы с точки зрения снижения рисков утечек данных – это часть комплекса мер, которые вряд ли будут эффективными без их взаимоувязки с защитными инструментами.

В контексте соблюдения требований 152 ФЗ есть опасность дрейфа в «бумажную безопасность», когда законодательные нормы и правила выполняются формально. В нынешних условиях, когда российские компании являются легитимной целью для хакеров всего мира, это неприемлемо.

С одной стороны, обеспечение практической безопасности через процессы требует достаточно серьезных преобразований в структуры корпоративного ИБ-ландшафта – на подобные шаги редко какие компании решаются. С другой – на операторов персональных данных давит указ Президента №250, который закрепляет за конкретными руководителями персональную ответственность за утечки.

В сложившихся условиях, на мой взгляд, применение шифрования данных будет оптимальным вариантом. Это быстрое и простое решение, которое достаточно эффективно противодействует угрозам утечек персональных данных. Даже взломав инфраструктуру и получив в распоряжение массив зашифрованных данных, хакеры не смогут им распорядиться. При таком сценарии даже случившийся инцидент не является утечкой персональных данных, а значит, не подпадает под 152 ФЗ и 250 указ.

Обезличивание данных нельзя назвать панацеей – злоумышленники умеют находить соответствия новой информацией с уже имеющейся в базах данных, проводить процедуры дешифрования. Однако, это совершенно другой уровень работы, требующий больших ресурсов и компетенций. В то же время, обезличивание данных решает проблему бизнеса, поскольку они перестают попадать под категорию персональных.

Итоги

ФЗ «О персональных данных» сочетает в себе четкость инструкций и понятий в одних областях и размытость – в других. Такой дисбаланс порождает большое количество частных случаев с «авторскими» решениями ситуаций.

Очевидно стремление регулятора легко решить сложную задачу. В этом контексте примечательна выстроенная модель взаимодействия с целевыми группами. Например, факт подготовки представителями бизнеса мотивированных предложений в области работы с обезличенными данными, о которой в середине августа сообщили РИА-новости со ссылкой на издание «Ъ».

Ввиду актуализации проблемы работы с данными и ростом числа утечек стоит ожидать от регулятора не только нововведений и доработок существующих проблемных точек, но и глубокой разъяснительной работы. Вопрос ее эффективности во многом зависит от готовности государства тратить ресурсы на эту задачу и готовности бизнеса к самостоятельному распространению полученной информации внутри целевой аудитории.