Действующий сейчас порядок сбора согласий на обработку персональных данных создаёт большое количество неудобств как для бизнеса, так и для граждан, будь то сотрудники компаний любого размера или потребители. Как предлагают действовать регуляторы? Какова точка зрения бизнеса? Что можно и нужно изменить?
- Введение
- Федеральные законы 152-ФЗ и 242-ФЗ: требования к сбору согласий на обработку ПДн
- Проблемы с согласиями на обработку персональных данных
- Необходимые изменения в законодательстве о персональных данных
- Позиция Роскомнадзора: как регулятор видит будущее сбора согласий на обработку ПДн
- Выводы
Введение
Получение согласий на обработку персональных данных (ПДн) является одним из требований законодательства. Компаниям и разнообразным госорганизациям приходится собирать их как с сотрудников, так и с покупателей и заказчиков, даже если они просто посетили сайт организации.
Именно с изменения порядка сбора согласий началось заметное ужесточение регуляторной политики в области обработки персональных данных. Скорее всего, движение в данном направлении будет продолжаться: законопроект, который серьёзно меняет порядок сбора таких согласий уже прошёл первое чтение в Госдуме. Когда до него у депутатов, что называется, дойдут руки, он может быть принят очень быстро.
Как подчеркнул управляющий партнер, руководитель практики IP, Tech & Privacy компании Comply Артём Дмитриев, открывая работу секции «Совершенствование правовых механизмов работы с данными» конференции First Russian Data Forum (рис. 1), проблемы со сбором согласий испытывают компании любого размера. Причём российские регулирование и правоприменительная практика в данной сфере серьёзно устарели. И работа сессии как раз была посвящена тому, как бизнес видит пути исправления данной ситуации.
Рисунок 1. Участники сессии «Совершенствование правовых механизмов работы с данными»
Федеральные законы 152-ФЗ и 242-ФЗ: требования к сбору согласий и порядку обработки ПДн
Согласия на обработку персональных данных требует законодательство многих стран. Раньше всего оно было введено в европейских странах, где национальное законодательство о защите личных данных начало появляться около 40 лет назад. Россия присоединилась к соответствующим конвенциям относительно поздно, только в начале нулевых, а закон о персональных данных 152-ФЗ — ещё позже, в 2006 году. Он действует и сейчас, хотя в него за это время было внесено немало поправок.
Любая обработка персональных данных, согласно ч. 1 ст. 6 закона «О персональных данных», может проводиться только с согласия субъекта. Сбор и хранение также считаются обработкой. Причём нужно отдельное согласие на каждую из целей обработки персональных данных. Такое требование появилось в 2023 году.
Обработка ПДн должна строго соответствовать целям. К примеру, если руководство предприятия имеет согласие на использование адреса электронной почты в корпоративном справочнике, это не даёт права размещать его в публично доступной части корпоративного сайта.
Согласие, согласно ст. 9 закона «О персональных данных», должно быть «конкретным, предметным, информированным, сознательным и однозначным».
Согласие в письменной форме должно содержать:
- Цели обработки (например, необходимы для доставки заказа).
- Перечень необходимых персональных данных (ФИО, номер телефона, адрес электронной почты, домашний адрес).
- Список действий с персональными данным (сбор, хранение).
- Место и способы обработки (адрес оператора, автоматизированная, неавтоматизированная).
- Сроки действия согласия.
- Перечень и адреса третьих лиц или компаний, которым могут передаваться персональные данные.
- Признак согласия (подпись, явная видимая пометка в бумажной или электронной форме).
Схожий набор сведений необходимо перечислять в политике обработки персональных данных. Согласно поправкам в закон 152-ФЗ от 2022 года, её должны иметь все организации, собирающие персональные данные, даже если речь идёт об идентификационных файлах (cookie) на веб-сайте.
На распространение персональных данных требуется отдельное разрешение субъекта ПДн. Требования к такому разрешению определены 18-м приказом Роскомнадзора. Форму согласия можно подготовить с помощью специального ресурса регулятора (рис. 2).
Рисунок 2. Шаблон формы согласия на распространение персональных данных
Среди относительно новых требований стоит отметить ч. 8 ст. 10.1 закона 152-ФЗ. Оно запрещает считать бездействие или молчание субъекта признаком согласия на обработку персональных данных.
В ряде случаев согласие на обработку не требуется. Перечень таких случаев определён Роскомнадзором. Сбор персональных данных для личных целей не подпадает под регулирование.
Закон 242-ФЗ предписывает обрабатывать персональные данные граждан России на территории Российской Федерации. Отдельные моменты отражены и в других законах. Так, многие аспекты, связанные со взаимоотношениями работодателей и сотрудников, регулирует Трудовой кодекс, а между покупателями и заказчиками — законодательство о защите прав потребителей.
Проблемы с согласиями на обработку персональных данных
Начальник управления развития интеллектуальной собственности департамента операционной модели цифрового развития, вице-президент «Банка ВТБ» Наталия Оленева (рис. 3) назвала персональные данные наиболее проблемной категорией, а усиление ограничений, связанных с их обработкой, ещё больше осложняют работу компаний. Причём значительную часть проблем и неудобств вызвал новый порядок получения согласий.
Рисунок 3. Вице-президент, начальник управления «Банка ВТБ» Наталия Оленева
Особенно много проблем, как подчеркнула Наталия Оленева, сбор согласий создаёт группам компаний и холдингам, которым приходится заниматься оформлением документационного обеспечения бизнес-процессов, связанных с обменом данными между разными структурами. Причём часто это приходится делать «по живому».
Также изменение порядка сбора согласий существенно осложнило взаимодействие со сторонними компаниями, например, страховыми или медицинскими для транспортных компаний, где обязательными требованиями являются, с одной стороны, предрейсовые осмотры водителей, машинистов, пилотов, с другой — страхование транспортных средств.
В обоих данных случаях получение всех необходимых согласий резко увеличило административные расходы. Как отметила Наталия Оленева, у компаний нет других законных оснований для обработки персональных данных, кроме получения согласий.
Что касается покупателей, заказчиков и клиентов, то необходимость подписывания нескольких документов вместо одного приводит к тому, что текст согласия они часто просто не читают. Тем более, что текст их часто объёмный. В итоге суть получения согласия выхолащивается.
Также Наталия Оленева резко раскритиковала запрет на смешивание данных. По её оценке, этот запрет является «тормозом развития» для технологий передовой аналитики, в том числе искусственного интеллекта и машинного обучения.
Директор по стратегическим проектам «Ассоциации больших данных» Ирина Левова (рис. 4) и вовсе назвала механизм сбора согласий себя изжившим. Также она назвала источником дополнительных расходов затраты на квалифицированных юристов, которых необходимо привлекать для составления текстов соответствующих документов. Она заявила, что этот механизм неизбежно будет меняться, причём уже в течение ближайшего года.
Рисунок 4. Директор по стратегическим проектам «Ассоциации больших данных» Ирина Левова
Необходимые изменения в законодательстве о персональных данных
По мнению участников дискуссии, изменения в данной сфере давно назрели. Управляющий партнёр юридической компании «ЭБР» Александр Журавлёв (рис. 5) назвал давно назревшим решением внедрение модульных согласий, когда требуется подписать один документ для обоснования группы связанных целей обработки данных. Это избавит от большинства проблем, связанных с обеспечением законности процедур, связанных с обменом данными внутри холдингов и групп компаний, а также при смене партнёров, и, в итоге, позволит снизить административные расходы и устранить неопределённости.
Также, как подчеркнул Александр Журавлёв, недостаточно чётко прописан механизм передачи данных третьим лицам на основании законного интереса. Это приводит к разнообразным коллизиям в толковании. Александр Журавлёв отметил, что даже разные региональные отделения регулятора могут придерживаться разной позиции. А нарушение его влечёт довольно крупный (до 700 тыс. рублей) штраф.
Рисунок 5. Управляющий партнёр юридической компании «ЭБР» Александр Журавлёв
Генеральный директор и основатель Privacy Advocates Алексей Мунтян (рис. 6) заявил о том, что существующий порядок обработки персональных данных привёл к серьёзному дисбалансу. Его пытаются использовать как компании, пытаясь переложить ответственность за все спорные моменты на покупателей и заказчиков, так и сотрудники, пытаясь посильнее воздействовать на работодателей при трудовых спорах. Однако, по мнению главы Privacy Advocates, суды все чаще встают на сторону работодателей при таких спорах.
Алексей Мунтян обратил внимание на то, что давно назрела модернизация главы 14 Трудового кодекса, которая регламентирует оборот персональных данных сотрудников внутри организации. Данный момент, по его мнению, вполне можно заложить в трудовой договор или локальные акты, не требуя оформления согласий на каждое изменение. По мнению Алексея Мунтяна, существующий порядок целесообразно сохранить только для обработки биометрических данных и персональных данных специальных категорий.
Рисунок 6. Генеральный директор Privacy Advocates Алексей Мунтян
Наталия Оленева вслед за президентом «Ассоциации больших данных» Анной Серебряниковой предложила также создать в России биржу данных, возможно, не одну. Такие площадки уже давно работают в Китае и очень хорошо себя зарекомендовали. Данную инициативу также поддержали участники секции «Технологии повышения конфиденциальности — как внедрять и как регулировать». Вместе с тем, министр цифрового развития, связи и массовых коммуникаций Максут Шадаев отнёсся к данному предложению с осторожностью, назвав централизацию хранения больших объёмов данных рискованной.
Позиция Роскомнадзора: как регулятор видит будущее сбора согласий на обработку ПДн
Позицию регулятора изложил замглавы Роскомнадзора Милош Вагнер (рис. 7). В целом сбор согласий, по его словам, является «последним из обоснований для обработки персональных данных», когда все другие пути исчерпаны. Согласие нужно собирать лишь тогда, когда от волеизъявления человека что-то зависит, в противном случае речь идёт о пустой бумажке, без которой вполне можно обойтись.
В частности, он согласился с тем, что юридические службы компаний часто перестраховываются и рекомендуют собирать документы там, где этого, с вероятностью в 90%, делать не нужно. Замглавы ведомства напомнил, что Роскомнадзор определил список ситуаций, когда сбор согласий на обработку персональных данных со стороны работодателя не требуется. Милош Вагнер анонсировал пополнение данного списка, но оно будет постепенным. По его мнению, сохранение конфиденциальности данных должно быть в приоритете, делать персональные данные доступными всем и каждому нельзя.
Рисунок 7. Заместитель руководителя Роскомнадзора Милош Вагнер
В рамках пресс-конференции «Утечки данных как социально-экономическая проблема» Милош Вагнер предостерёг от сбора избыточного объёма персональных данных без их удаления или архивирования в маскированном или обезличенном виде после достижения целей обработки. Он прямо назвал такую практику предпосылкой большей части инцидентов, связанных с утечками данных.
Некоторое время назад даже появилась информация, что Роскомнадзор планирует ввести единые стандарты обработки персональных данных, которые бы минимизировали их сбор. В ведомстве не исключили, что данный порядок может быть закреплён на законодательном уровне.
Управляющий директор «Авито» по юридическим вопросам Александр Смирнов (рис. 8) поделился опытом компании. Там создана кросс-функциональная группа по защите персональных данных, куда входят сотрудники ИТ, ИБ и юридических подразделений компании. Её целью является выработка и поддержание культуры приватности.
Причём именно юристы определяют, что именно является персональными данными. В других компаниях этим обычно занимается ИБ-служба. Управление согласиями сотрудников вынесено в «Авито» на специальный раздел корпоративного портала. Также удалось сократить количество собираемых согласий с 18 до 7.
Рисунок 8. Управляющий директор «Авито» по юридическим вопросам Александр Смирнов
Выводы
Порядок сбора согласий неизбежно будет меняться. Все участники процесса, включая бизнес, граждан и государство заинтересованы в том, чтобы устранить существующий дисбаланс, создающий почву для злоупотреблений и выхолащивающий дух законодательства по защите персональных данных. Также будут уточняться положения законодательства, при толковании которых возможны разночтения.
Впрочем, даже при действующей нормативной базе существуют способы минимизации возможных проблем. Прежде всего, речь идёт о случаях, в которых собирать согласия не требуется — их перечень определил Роскомнадзор. Есть также возможность задействовать механизмы, связанные с законным интересом компании-оператора персональных данных, но тут возможны юридические риски из-за недостаточно чётких формулировок в нормативной базе.
