Layer 1

Скрытые угрозы 2022-2023 гг. Утечка данных и многомиллионные штрафы

15 июня 2023 Четверг
Юриспруденция
Место проведения: Double Tree by Hilton, Новосибирск, ул. Каменская, 7/1
Скрытые угрозы 2022-2023 гг. Утечка данных и многомиллионные штрафы

Миллионы за персональные данные

В последнее время законодательство о персональных данных претерпело множество изменений, которые влекут ужесточение регулирования для бизнеса. О том, что изменилось в этой сфере за последний год, как операторам персональных данных соответствовать актуальным требованиям законодательства и какие меры предпринять, чтобы избежать миллионных штрафов, обсудили на бизнес-завтраке, организованном ЮК «ЛексПроф» при информационной поддержке сибирского представительства ИД «Коммерсантъ».

Разобраться с понятиями

За последний год в законодательстве о персональных данных произошло много изменений, обусловленных в том числе цифровым прогрессом. Компаниям, у которых нет в штате квалифицированного юриста, приходится непросто — вероятность наступления юридических рисков растет так же, как и размеры штрафов за «промахи». Адвокат, управляющий партнер ЮК «ЛексПроф», заслуженный юрист Новосибирской области Татьяна Гончарова, открывая мероприятие, рассказала, что сегодня главная задача корпоративных юристов — видеть, какие тенденции есть на рынке и предотвращать ситуации, в которых могут случаться ошибки.

Юрист ЮК «ЛексПроф», специалист в сфере цифрового права Илья Манилов отмечает, что сегодня почти каждый субъект экономических отношений является оператором персональных данных, а абсолютно все граждане — их носителями. При этом многие операторы даже не задумываются о наличии у них такого статуса и его значении.

Данная проблема связана, в частности, с тем, что у операторов нет комплексного представления о сущности и категориях персональных данных. Более того, единого мнения об отнесении тех или иных сведений к персональным данным нет даже у правоприменителей.

В Законе «О персональных данных» дана чрезмерно общая формулировка, согласно которой персональными данными признается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). По поводу содержания этого определения ведутся многочисленные споры. Иногда даже суды и Роскомнадзор не могут прийти к единому мнению по поводу отнесения тех или иных данных к персональным.

Действительно, помимо привычных ФИО, к персональным данным сегодня могут быть отнесены и многие другие сведения, помогающие в совокупности идентифицировать лицо. Например, адрес личной электронной почты, данные документов, данные о семейном положении и вероисповедании гражданина, изображение лица и другие. Юристы отмечают, что сегодня персональными данными являются даже файлы cookie (с их помощью сайты запоминают информацию о наших посещениях). В судебной практике мы можем встретить примеры квалификации сведений о температуре тела гражданина в качестве персональных данных.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Илья Манилов предупреждает, что даже если вы имеете статус ИП без привлечения сотрудников и запросили у клиента реквизиты для заполнения договора — вы уже ведете операции с персональными данными.

Эксперты отмечают, что очень важно разработать формы согласий на обработку персональных данных под каждую конкретную цель их обработки, а также контролировать их подписание. Устная форма согласия на обработку не обладает силой правомерного дозволения.

Новые требования вступили в силу

«Минцифры объявило 2023 год — годом развития регуляторики в области защиты персональных данных»,— констатирует старший юрист ЮК «ЛексПроф», специалист по корпоративному праву Кристина Пологутина. В июле 2022 года был принят Федеральный закон №266-ФЗ, которым введены два больших пакета изменений в порядок работы с персональными данными.

Так, например, увеличилось количество случаев, когда операторы должны уведомлять Роскомнадзор об обработке персональных данных (ранее перечень исключений, когда такое уведомление не требовалось, насчитывал девять пунктов, сейчас — три), а значит, компаниям, которые ранее подпадали под исключение, необходимо подать соответствующее уведомление. О том, что компания передает персональные данные за границу, теперь необходимо отдельно сообщать в Роскомнадзор, как и о компьютерных инцидентах, которые повлекли утечку персональных данных. Также увеличен пакет обязательных документов, обеспечивающих обработку персональных данных, изменились требования к согласию на обработку персональных данных.

Кристина Пологутина обратила внимание на то, что в мае 2023 года в Госдуму внесен законопроект №353266-8, в результате принятия которого будут существенно увеличены штрафы по одному из самых распространенных составов правонарушения —за обработку персональных данных без письменного согласия субъекта. Если сейчас в КоАП для компании предусмотрен штраф от 30 до 150 тыс. руб., то после изменений такой штраф составит уже от 300 до 700 тыс. руб. За повторное нарушение штрафы могут доходить до 1,5 млн руб. При этом важно учитывать, что штраф будет накладываться за каждый отдельно выявленный факт нарушения.

Не стоит забывать, что, помимо основного вида ответственности (административной), компания и должностное лицо, ответственное за обработку персональных данных, могут быть привлечены также к уголовной, гражданско-правовой (взыскание убытков и морального вреда), дисциплинарной и материальной ответственности (для должностного лица).

Для того чтобы избежать уже совсем немаленьких штрафов, специалисты ЮК «ЛексПроф» рекомендуют систематически проводить аудит деятельности оператора как по оценке состава и содержания необходимых документов, так и на наличие необходимых уведомлений в контролирующие органы.

Но есть исключения

Однако, в законе есть исключения, которые позволяют не запрашивать согласие на обработку персональных данных. Специалист ЮК «ЛексПроф» Елизавета Пакуш обратила внимание участников встречи на ч.1 ст.6 Закона «О персональных данных». В статье указано 11 пунктов, когда письменное согласие не требуется.

Например, это касается ситуаций, когда речь идет о целях, предусмотренных международным договором или законом. Или в случае, когда такие функции и полномочия на оператора напрямую возложены законодательством РФ (как при передаче в ФНС данных о лице, чьим налоговым агентом вы являетесь). В рамках исполнительного и судебного производства оформлять такое согласие также не нужно.

Вопрос с получением согласия на обработку данных кандидата для заключения трудового договора тоже не остался незатронутым. Согласие не нужно, если без таких персональных данных подготовка трудового договора действительно невозможна. А вот на получение иных сведений (о контактном номере телефона, почты, семейном положении и т.п.) согласие потребуется.

«Также исключение составляют случаи, когда дело касается “жизни и смерти”, критического состояния здоровья при условии, что получение такого согласия просто невозможно. К примеру, человеку нужно оказать экстренную медицинскую помощь»,— пояснила Елизавета Пакуш.

Эксперты также отмечают, что оператору персональных данных нужно уведомлять Роскомнадзор о намерении обработать персональные данные, а не об уже свершившемся факте. Так, специалист ЮК «ЛексПроф» Екатерина Ануфриева пояснила, что данное уведомление можно подавать различными способами: по почте, через сайт Роскомнадзора, через портал «Госуслуги». Помимо уведомления об обработке персональных данных, с 1 марта 2023 года необходимо также подавать сведения об утечке персональных данных в Роскомнадзор.

«Важно понимать, что с сентября 2022 года изменились также и случаи обработки персональных данных. Например, теперь необходимо подавать уведомление и при обработке персональных данных в соответствии с трудовым законодательством — ранее это являлось исключением, уведомление в таком случае не носило обязательный характер»,— обращает внимание Екатерина Ануфриева.

Что касается контроля и надзора за порядком обработки персональных данных, то его осуществляют Роскомнадзор и прокуратура. «Причем в связи с введением моратория на плановые проверки операторам необходимо учитывать риски роста прокурорских проверок»,— предупреждает Екатерина Ануфриева.

Надзорные органы узнают о нарушениях из разных источников, будь то поступившие обращения либо самостоятельный мониторинг интернет-сайтов. Интересно и то, что ранее Роскомнадзор внедрил практику систематического наблюдения, когда сайты операторов с определенной частотой проверяются на соответствие требованиям закона.

«Нужно учитывать, что может проверяться сайт компании на предмет нарушений. Самое частое нарушение — отсутствие политики по обработке персональных данных»,— предупреждает Екатерина Ануфриева. Следовательно, наилучшим методом подготовки к проверкам является аудит деятельности оператора и устранение выявленных нарушений, прежде чем о них узнали контрольные органы.

«За семью печатями»

Если компания намерена осуществить трансграничную передачу данных, то сейчас ей может быть отказано в этом.

Трансграничная передача персональных данных – это передача таких данных на территорию иностранного государства органу власти этого государства, иностранному физическому или юридическому лицу.

К примеру, сбор данных клиентов и сотрудников через онлайн-формы заграничных компаний или же автоматизированное направление персональных данных заграничному контрагенту (даже если он является гражданином одной из стран СНГ) — это уже трансграничная передача.

Если в 2022 году сообщение о трансграничной передаче, направляемое в Роскомнадзор, носило уведомительный характер, то с марта 2023 года уведомление приобрело разрешительный характер.

Елизавета Пакуш рассказала об обязательном порядке работы с иностранным лицом, которому вы хотите передать персональные данные. В первую очередь необходимо обратиться к Приказу Роскомнадзора от 05 августа 2022 года № 28, которым определен перечень стран с «адекватным уровнем защиты персональных данных». При передаче данных в страну, не включенную в данный перечень, необходимо убедиться в том, что при передаче данных иностранному лицу это не повлечет угрозу их безопасности

Поэтому при работе с иностранным лицом из страны с «неадекватным уровнем защиты» необходимо запросить: сведения о принимаемых мерах по защите передаваемых персональных данных и об условиях прекращения их обработки; информацию о правовом регулировании в области персональных данных иностранного государства; сведения об органах власти иностранного государства, иностранных физических лицах, иностранных юрлицах, которым планируется трансграничная передача (наименование либо ФИО, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).

Только после получения таких сведений и их фиксации вы можете направить уведомление о трансграничной передаче персональных данных. Если же не предпринять эти действия, то можно получить отказ на передачу данных. При этом направлять уведомление по каждому конкретному случаю передачи персональных данных не требуется, так как в уведомлении вы указываете конкретную страну передачи и достигаемую такими действиями цель.

Отказ в трансграничной передаче может поступить в течение 10 рабочих дней с момента направления такого уведомления. Основанием для него могут стать такие формулировки: защита основ конституционного строя РФ и безопасности государства, обеспечение обороны страны; защита экономических и финансовых интересов РФ; обеспечение дипломатическими и международно-правовыми средствами защиты прав, свобод и интересов граждан РФ, суверенитета, безопасности, территориальной целостности РФ и других ее интересов на международной арене.

Избежать утечки

Утечка данных представляет опасность как для самих субъектов персональных данных, так и для компаний, которые это допустили. Елизавета Пакуш поделилась статистикой, согласно которой число утекших записей из баз данных российских операторов в 2022 году в 10 раз превысило население России. Общее количество «утекших» строк в 2022 году составило 1,4 млрд, в то время как в 2021 году их насчитывалось 33 млн.

При утечке персональных данных необходимо уведомить не только Роскомнадзор, но и ГосСОПКА. Установленная форма уведомления содержит обязательные графы, среди которых: данные ответственного лица за обработку персональных данных у конкретного оператора; информация о том, какие причины привели к нарушению прав субъектов персональных данных; предполагаемая оценка причиненного вреда (всего выделяют три степени вреда); информация о мерах, предпринятых до и после инцидента, и т.д. Важно также провести внутреннее расследование и передать об этом сведения регулятору.

Утечка персональных данных может быть обусловлена техническим несовершенством оборудования и ПО, важно задуматься и об этих рисках. Технический директор ГК «Компьютеры и сети» Сергей Резников отмечает, что в первую очередь важно учитывать выполнение требований законодательства, поэтому все начинается с планирования организационных и технических мер по защите информационных систем клиента.

При этом, по его словам, компании сталкиваются с проблемой, когда требуемый набор технических мер просто не удовлетворяет принципам практической безопасности и современным реалиям. «В связи с этим мы работаем с нашими заказчиками не просто на выполнение обязательных требований, но также стараемся, чтобы предлагаемые нами технические решения действительно помогали построить комплексную защиту и оказались полезны в дальнейшем»,— рассказывает Сергей Резников.

«Для того чтобы максимально снизить риски при работе с персональными данными с учетом последних изменений, компаниям следует подготовить пакет документов»,— рекомендует Илья Манилов. Среди них — политика обработки персональных данных (политика конфиденциальности); положение об обработке, защите, уничтожении персональных данных сотрудников; форма согласия на обработку персональных данных; отдельное согласие на передачу персональных данных третьим лицам; акт оценки возможного вреда субъектам персональных данных при их утечке, а также акт уничтожения персональных данных.

«Эффективным превентивным механизмом является регулярное проведение аудита документации и информационных систем организации на соответствие требованиям закона о персональных данных. Такой аудит должен быть поручен специалистам, которые проведут комплексную оценку деятельности компании на соответствие законодательству о персональных данных с учетом всех изменений и помогут эффективно выстроить процессы внутри компании, тем самым обезопасив операторов от многомиллионных штрафов»,— резюмирует адвокат, управляющий партнер ЮК «ЛексПроф» Татьяна Гончарова.

Минцифры РФ объявило 2023-й годом развития регуляторики в области защиты персональных данных.

В апреле 2022 года ФЗ №152 «О персональных данных» претерпел серьезные изменения, которые вступили в силу с 1 сентября 2022 года и касаются почти всех компаний на территории России. С 1 марта 2023 года также вступили в силу существенные изменения в процессах обработки и хранения персональных данных. Изменения происходят довольно быстро, и бизнес вынужден пересматривать свою политику в отношении защиты персональных данных.

Операторами персональных данных являются все организации, у которых есть сотрудники и/или клиенты. При этом неправильное обращение с персональными данными может повлечь за собой миллионные штрафы и даже привлечение к уголовной ответственности.

Специалисты ООО «ЮК “ЛексПроф”» расскажут, что изменилось и почему это касается каждой компании, к чему и как готовиться бизнесу, как операторам персональных данных соответствовать актуальным требованиям и эффективно выстроить процессы внутри компании, тем самым обезопасив компанию от многомиллионных штрафов.


Возрастное ограничение: 16+

Поделиться:

Программа:

15 июня Четверг

Спикеры:

  • Татьяна Гончарова
    Татьяна Гончарова

    адвокат, управляющий партнер ЮК «ЛексПроф», заслуженный юрист Новосибирской области

  • Кристина Пологутина
    Кристина Пологутина

    старший юрист ЮК «ЛексПроф», специалист по корпоративному праву

  • Илья Манилов
    Илья Манилов

    старший юрист ЮК «ЛексПроф», дипломированный специалист в сфере цифрового права

  • Елизавета Пакуш
    Елизавета Пакуш

    специалист ЮК «ЛексПроф»

  • Екатерина Ануфриева
    Екатерина Ануфриева

    специалист цифрового права ЮК «ЛексПроф»

  • Сергей Резников
    Сергей Резников

    технический директор ГК «Компьютеры и сети»

Организатор:

Стратегический инфопартнер:

Заявка на участие

По вопросам партнерства и участия