Даём советы и объясняем ситуацию — как не попасть на штраф в 18 млн ₽. В настоящее время персональные данные используются во многих сферах жизни людей и в совершенно различных целях. Начиная от информации в социальных сетях для коммуникации с друзьями, коллегами и заканчивая банковскими реквизитами при покупке товаров, будь то в интернете или в супермаркете. Согласно исследованиям, проведённым в 2019 году, в социальных сетях зарегистрировано порядка 3,48 миллиарда пользователей.
При этом обычный человек совсем не интересуется, куда попадают его данные и что с ними происходит дальше. При покупке товаров человек просто прикладывает телефон или банковскую карту к платёжному терминалу и забирает купленные продукты, размышляя лишь о способах их потребления. Однако кое-кто об этом задумывается, поэтому был внесён законопроект с беспрецедентными для России размерами штрафов за нарушения в сфере персональных данных.
Для начала следует разобраться: а что вообще подразумевается под персональными данными? Закон нам чётко говорит, что это «любая информация, которая прямо или косвенно относится к определённому или определяемому человеку». Однако когда читаешь такое пояснение в первый раз, создаётся впечатление, что это какая угодно информация о людях, начиная с номера телефона и заканчивая цветом волос. Поэтому данный вопрос порождает массу дискуссионных моментов, множественность мнений и является остро обсуждаемым уже довольно давно. При этом ни одна государственная инстанция не может предоставить исчерпывающего списка сведений о человеке, относящихся к персональным данным. Если же обратиться к позициям судов, то в состав персональных данных можно внести несколько достаточно очевидных пунктов: ФИО человека, его паспортные данные, адрес проживания, иная информация из пенсионного дела и/ или трудового договора. При этом ИНН человека или логин на каком-нибудь сайте не являются персональными данными, ведь по этим наборам чисел и символов нельзя понять, что это за человек, какого он возраста, пола. Однако если на аватарке человека есть его фотография или при регистрации он укажет электронную почту, в названии которой будет его ФИО, а в доменном имени — название компании, где он работает, то суммарно эта информация также будет признаваться персональными данными.
Итак, рассмотрим детально, о чём речь В середине июня 2019 года был опубликован законопроект, который вводит новые штрафы за нарушения в сфере персональных данных, и если сейчас максимальный штраф в сети интернет достигает 75 тысяч ₽ для юридических лиц (ст. 13.11 КоАП РФ), то новый законопроект вводит максимальный штраф в той же статье закона до 18 млн ₽. Также существенно повышается штраф и за незаконную обработку персональных данных граждан РФ. А в связи с тем, что под обработкой понимается любое действие с персональными данными, то бизнесу необходимо разрабатывать документацию, соответствующую требованиям законодательства для контроля и урегулирования вопросов использования персональных данных. Однако большинство бизнес-проектов на свою голову относятся пренебрежительно к этому вопросу, не уделяя должного внимания правовым механизмам, регламентирующим использование личной информации, например, при обработке сведений пользователей своих сайтов. Обсуждаемый законопроект, значительно увеличивающий штрафы, призывает компании быть внимательнее при обработке персональных данных и в обязательном порядке предусматривать ряд превентивных мер, минимизируя спектр рисков, связанных с наложением штрафов за нарушения в сфере персональных данных.
Предполагаю, что разработчики этого законопроекта руководствовались и вдохновлялись международной практикой решения тех же вопросов. И здесь нельзя обойти стороной GDPR, вступивший в силу и сильно нашумевший в 2018 году General Data Protection Regulation — это регламент защиты персональных данных граждан Европейского союза, закрепляющий положения об обработке персональных данных. Регламент вступил в силу в мае 2018 года. Он увеличивает штрафы за нарушение правил обработки персональных данных до 20 млн € (~1,4 млрд ₽) или 4% годового дохода компании, тем самым усиливая и ужесточая ответственность за такие правонарушения. В связи с тем, что данный документ имеет экстерриториальное действие, то он применяется ко всем компаниям, обрабатывающим персональные данные граждан Европейского союза, независимо от резидентства или местонахождения такой компании. Но что же происходит на практике? Так в ноябре 2018 года в Германии был вынесен штраф чат-приложению для знакомств Knuddels за утечку логинов и паролей порядка 330 000 пользователей продукта. За это правовой регулятор Германии, руководствуясь именно положениями GDPR, вынес штраф в размере 20 тысяч € (~1,4 млн ₽). Британский правовой регулятор также не дремлет и привлёк к ответственности Equifax — кредитное бюро, являющееся одним из трёх крупнейших кредитных агентств в США наряду с Experian и TransUnion, на 550 тысяч € (~39 млн ₽) за нарушения, касающиеся персональных данных 146 миллионов клиентов компании. В ходе расследования было установлено, что британский филиал Equifax “failed to take appropriate steps” (не предпринял надлежащих шагов) для защиты данных граждан, добавив, что многочисленные сбои в компании привели к тому, что личная информация сохранялась дольше, чем необходимо для целей её обработки, и была совершенно открыта для доступа иных лиц. Британский регулятор также отдельно подчеркнул, что меры для защиты и управления личной информацией были “inadequate and ineffective” (неадекватными и неэффективными).
Безусловно, для российского бизнеса, а особенно для молодых бизнес-проектов прочтение фактов о штрафах таких размеров за утечку или ненадлежащую обработку персональных данных людей поражают и удивляют, однако история знает цифры совсем другого порядка, которые действительно способны впечатлить. Так, в начале 2019 года GDPR постучал в дверь Google, а именно правовой регулятор Франции, с комментарием, что при использовании смартфонов на платформе Android цели обработки описаны “in a too generic and vague manner” (слишком обобщённо и расплывчато), как и категории данных, обрабатываемых для этих разных целей. Аналогично передаваемая информация недостаточно ясна, чтобы пользователь мог понять, что правовой основой обработки операций для персонализации рекламы является согласие, а не законный интерес компании. В результате разбирательства Google был оштрафован на 50 млн € (~3,5 млрд ₽) за нарушение положений GDPR по мнению Национальной комиссии по делам информационных технологий и правам человека Франции. В сентябре 2018 года социальная сеть Facebook была взломана, и злоумышленники похитили персональные данные примерно 50-ти миллионов пользователей. В результате проведения расследования европейскими правовыми регуляторами вина социальной сети была установлена, и в настоящий момент ведётся утверждение штрафа в размере 5 млрд $ (~очень много рублей). Конечно, это всё разговоры о штрафах в других частях мира — Европе, США — и речь о гражданах этих стран Но есть ощущение, что, вводя этот законопроект об увеличении штрафов в сфере персональных данных до 18 млн ₽, законотворцы в России решили «сделать свой GDPR» со своими историческими максимумами по штрафам. Россия — это страна, в которой штрафы за нарушения в сфере персональных данных всегда были достаточно низкими, ведь только в 2017 году их максимальная отметка достигла 75 тысяч ₽, ранее было ещё меньше, и это происходит на фоне штрафа Uber на 148 млн $ (~9,3 млрд ₽) в 2016 году — такой контраст действительно поражает и заставляет задуматься. Мы не можем отрицать, что сегодняшние технологии, гаджеты очень плотно вошли в мир современного человека и в зону его коммуникаций. Настолько плотно, что учёные и психологи совершенно серьёзно выделяют новый вид фобии — номофобию (страх отсутствия мобильного телефона). А ведь взаимодействие человека с мобильным телефоном, планшетом или ноутбуком неизбежно приводит к предоставлению его персональных данных компаниям-владельцам используемых устройств, мобильных приложений, сайтов.
Бесспорно, это в значительной мере изменяет степень общественной опасности правонарушений в сфере персональных данных, и, конечно же, динамично изменяющиеся условия требуют адекватной реакции и корректировки законов в целях предупреждения противоправных действий в сфере персональных данных. Но остаётся лишь найти ответ на один вопрос — штраф в 18 миллионов — это адекватная реакция? В целях минимизации риска применения санкций в России всем бизнес-проектам в первую очередь рекомендуется выяснить — отвечает ли документация сайта и организации требованиям законодательства о персональных данных Закон говорит нам, что при обработке персональных данных организация обязана принимать необходимые правовые, организационные и технические меры для защиты личных сведений пользователей от незаконного или случайного доступа к ним и от иных неправомерных действий в отношении персональных данных.
В частности, под правовыми мерами подразумевается документальное оформление условий обработки персональных данных на сайте в виде пользовательского соглашения, политики обработки персональных данных и cookie policy, а за пределами онлайн-пространства — в виде локальных нормативных актов, то есть внутренней документации организации, касающейся персональных данных. Организационные и технические меры связаны с работой сайта и с использованием средств защиты информации на нём. Речь идёт о целом постановлении Правительства РФ, которое содержит объёмный список требований к защите персональных данных при их обработке с целью обеспечения необходимого уровня безопасности личных сведений граждан РФ. Сведения каждого пользователя должны быть защищены надлежащим образом от третьих лиц, при этом важно своевременное информирование пользователя об использовании его персональных данных в тех или иных целях. Данные блоки мер для защиты персональных данных пользователей закрепляют спектр императивных норм, обязательных для исполнения, поэтому выполнение таких требований существенно снижает вероятность назначения штрафа. В целом в положениях нет избыточности, все действия действительно важны и работают на защиту как личной информации пользователей сайта, так и интересов организации.
Согласно отчёту Роскомнадзора, в 2018 году было проведено 832 плановые проверки, при этом нарушения были выявлены в 80% случаев от общего числа проведённых проверок. Внеплановых проверок проведено всего 49, а нарушения были выявлены в 33% случаев. Высокий процент выявления нарушений при плановых проверках говорит лишь о том, что на практике большинство организаций просто не знают, как в рамках требований законодательства управлять персональными данными, которые они обрабатывают. За весь 2018 год органами Роскомнадзора было составлено и направлено в суды 156 протоколов об административных правонарушениях в отношении персональных данных за такие нарушения: Количество протоколов об административных правонарушениях в отношении персональных данных, 2018 год, Роскомнадзора.
Как вы видите, превалирующее большинство протоколов об административных нарушениях были вынесены по ч. 1 ст. 13.11 КоАПа РФ, то есть, например, за обработку персональных данных без получения согласия, либо обработку, которая несовместима с целями сбора персональных данных. И если в 2018 году эти штрафы составляли максимум 50 тысяч ₽, то обсуждаемый законопроект увеличивает их до 18 млн ₽, поэтому если вы думали о закрытии рисков, связанных с персональными данными, но откладывали решение вопроса на потом, то сейчас самое время сменить приоритеты и предпринять необходимые меры по обеспечению безопасности персональных данных.