Защита персональных данных: что нового?
19 октября 2022
Что поменялось в обработке персональных данных с 1 сентября 2022 года? Как избежать рисков при обработке персональных данных? На кого распространяется действие ФЗ «О персональных данных»? Что такое поручение на обработку персональных данных? Как оформить согласие на обработку персональных данных?
Эти и многие другие вопросы обсуждали спикеры и участники онлайн конференции «Защита персональных данных с учетом новых требований», организованной компанией «Гротек». Модератором мероприятия выступил Андрей Мирошкин, генеральный директор компании-организатора.
Специалисты Группы компаний РСТБ присоединились к мероприятию и познакомились с выступлениями спикеров.
Мы публикуем подробный конспект выступления спикера конференции – Станислава Румянцева, к.ю.н. CIPP/E, старшего юриста юридической фирмы «Городисский и Партнеры». Тема доклада – «Поручение обработки персональных данных: ТОП-5 способов снизить правовые риски».
Что такое поручение на обработку персональных данных?
«Разберем на примере кадрового делопроизводства. У нас есть работодатель, он выступает оператором персональных данных в отношении своих работников. Работодатель желает передавать персональные данные работника по двум адресам. С одной стороны, у него есть страховая компания, и он хочет подключить работника к программе добровольного медицинского страхования. Для этой цели он собирает у работника персональные данные (Ф.И.О., контактные данные, сведения о состоянии здоровья и т.д.). Работник дает согласие и дальше данные передаются в страховую компанию. Это не является поручением на обработку персональных данных. Потому что страховая компания, получив персональные данные, будет обрабатывать их для тех целей, которые определяются для страховой компании страховым законодательством. То есть она получает данные у работодателя, а дальше работодатель не имеет особого представления о том, что с этими данными делает страховая компания. Страховая компания самостоятельно определяет, какими способами она будет обрабатывать, какие действия она будет совершать, сколько времени эти данные буде хранить. Потому что у нее есть свое отраслевое законодательство и свои требования о том, как оказываются услуги ДМС. Но есть и другой пример. К примеру, аутсорсинг бухгалтерии. Допустим, в компании нет своего бухгалтера. В этой ситуации работодатель передает данные работника аутсорсинговой компании на основании договора оказания услуг. Предмет этого договора предполагает, что аутсорсинговая компания должна в ежедневном режиме обрабатывать персональные данные работника для тех целей, которые определены в договоре для совершения ряда бухгалтерских операций. Таким образом получается, что работодатель как бы инструктирует аутсорсинговую компанию, говорит ей, что именно нужно делать с данными. И какими способами. Например, в системе «1С». Это все прописывается в договоре, эти данные будут обрабатываться. В течение какого-то срока для достижений каких-то целей. Такие отношения, когда оператор персональных данных указывает цель обработки, действия с данными, какие именно данные будут обрабатываться. Такие отношения и называются в российском законодательстве «отношениями по поручению обработки персональных данных». Эти отношения в соответствии с ч.3 ст.6 ФЗ «О персональных данных» должны регламентироваться договором на поручение обработки персональных данных. Законодательство устанавливает ряд обязательных требований к условиям договора. Какие же это условия? Здесь оговоримся, что эти условия могут быть явными и не очень явными, скрытыми за пластами законодательства.
Изменения в законодательстве
В перечне новых условий, которые должны указываться в договоре с 1 сентября 2022 г. (примеч.: летом были приняты серьезные поправки к ФЗ «О персональных данных», которые добавили условия в договор поручения) – перечень персональных данных/; требования (о локализации баз персональных данных и др.), предусмотренные частью 5 статьи 18 и статей 18.1 ФЗ «О персональных данных»/ обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в т.ч. до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных настоящей статьей/; требования об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи21 Федерального закона. Если в компании ранее заключались договоры на поручение обработки персональных данных, теперь пришло время эти договоры обновить, включив в них новые условия.
Помимо части 3 статьи 6 и другие нормы закона, которые тоже необходимо учитывать. Прежде всего в статье 21 ФЗ «О персональных данных» содержатся нормы, касающиеся блокирования, уточнения и уничтожений персональных данных. Но и это еще не все. Имеется статья 88-я Трудового кодекса РФ, которая касается случаев передачи персональных данных работников третьим лицам. И вот здесь написано, что работодатель, когда передает персональные данные работника, обязан предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
Как оформить согласие на обработку персональных данных?
Второй момент по теме выступления – это правильное оформление согласия на поручение обработки персональных данных. В соответствии с частью 3 статьи 6 ФЗ «О персональных данных» существует возможность поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено ФЗ, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта. Получить согласие на деле, можно далеко не всегда. Разберем на примере. Есть компания - оператор персональных данных, и она использует подрядчиков: кадровый аутсорсинг, облачную IT – систему, которую она использует для маркетинговых данных. Все это необходимо юридически оформить. В соответствии с российским законодательством, для того чтобы передать обработчику данные работника, необходимо получить согласие в письменной форме, требования которой установлены в части 4 статьи 9 ФЗ «О персональных данных». Если мы имеем дело не с работником, а, допустим, клиентом или потенциальным клиентом, то чтобы загрузить его данные в облачную CRM-систему, потребуется их согласие в любой форме, позволяющей подтвердить их согласие. Если мы берем письменное согласие, то там указывается цель обработки персональных данных; действия, которые можно совершать с персональными данными; сроки их обработки и т.д. Все условия, которые мы предусмотрели в форме (бланке) письменного согласия, они обязательно в том же самом виде должны быть оформлены в договоре на поручение обработки. На практике очень часто можно столкнуться с такой ситуацией, когда подрядчик (обработчик персональных данных), при заключении договора на оказание услуг говорит: «Давайте мы укажем цель обработки – «в целях исполнения договора между оператором и обработчиком». Так вот, если вы укажете такую цель, то получается, что в вашем согласии на обработку персональных данных вы тоже напишите, что «согласие дается в целях исполнения договора между оператором и обработчиком». Дальше мы можем догадаться, что субъекту персональных данных вообще не интересно, что это за договор и между кем он заключен. Естественно, никто такого согласия не даст. А это значит, что формулировку «цель» нужно продумывать на этапе составления согласия. Потом договориться с обработчиком, что именно эта формулировка дословно окажется в договоре на поручение обработки. Это далеко не всегда можно сделать. Это очень сложный момент. Но если это правило не будет соблюдено, то можно попасть под административную ответственность по части1 статьи 12.11КоАП РФ, а именно – обработка персональных данных без должных правовых оснований. А если закон требовал, чтобы согласие было в письменной форме, то можно попасть и под часть 2 статьи 12.11 КоАП РФ. Это будет неправильное оформление согласия в письменной форме. Ответственность будет еще выше.
Об обработчиках персональных данных
Третий момент – это вопрос о привлечении суб-обработчиков. В российском законодательстве не предусмотрена возможность, чтобы обработчик привлекал суб-обработчика. В сфере IT это обычно выглядит так. Наша компания хочет использовать облачный сервис, допустим, CRM-систему. У облачного сервиса есть сторонний Дата- центр, который обеспечивает хостинг, и не только хостинг. Например, в CRM-систему интегрировано решение третьих лиц. С точки зрения гражданского права эти лица будут являться суб-обработчиками нашего обработчика. С точки зрения законодательства о персональных данных такая структура не предусмотрена, что создает колоссальные проблемы для бизнеса. Чтобы все это заработало в легальном поле, необходимо внедрить договорную структуру, когда гражданско-правовой договор будет реализовываться так, как написано в ГК, то есть по «цепочке»: оператор заключил договор с обработчиком, обработчик– с суб-обработчиком. А вот договор на поручение обработки персональных данных (не коммерческие договоры, не предусматривающие денежных платежей), будут всегда, с одной стороны, подписываться оператором, с другой - его обработчиками и суб-обработчиками. В таком случае схема будет соответствовать ФЗ «О персональных данных».
Реагирование на инциденты
Четвертый пункт нашей программы касается реагирования на инциденты. Нынешние поправки к ФЗ «О персональных данных» обязывают оператора персональных данных информировать Роскомнадзор об утечках данных и других инцидентах в течение 24-х часов с момента их появления. В течение 72-х часов необходимо подать второе уведомление, где уже отчитаться о результатах проведенного расследования. Часть 3 статьи 6 ФЗ «О персональных данных» требует, чтобы оператор и обработчик договорились о том, что если инцидент произойдет на стороне обработчика, обработчик оперативно проинформирует оператора об этом инциденте. Как оператору проводить внутреннее расследование, если утечка произошла на стороне обработчика? Как же им договориться о проведении внутреннего расследования, да еще и сделать это за 72 часа? Вот это необходимо детально прописать в договоре. И возможно даже продумать состав совместной комиссии, которая будет заниматься расследованием инцидента.
Перед кем нести ответственность?
Пятый пункт, про который поговорим, касается ответственности. По общему правилу для договора поручения обработки персональных данных ответственность строится следующим образом. Перед кем нести ответственность? Перед субъектом персональных данных или государством? Мы не берем редкие случаи с уголовной ответственностью. Говорим про административную ответственность. Перед субъектом персональных данных отвечает оператор. Перед оператором несет ответственность обработчик персональных данных (если он российский). Если появился иностранный обработчик, то согласно новым поправкам к ФЗ «О персональных данных» он несет двойную ответственность. Он отвечает перед оператором за свои действия и также напрямую перед субъектом. Какую они несут ответственность с точки зрения гражданского права? У них солидарная ответственность? Или независимая? Закон не содержит ответа на этот вопрос. Это будет решено судебной практикой. Это один из пробелов. Далее мы обратим внимание на то, что иностранный обработчик – это, вероятно, обработчик, находящийся за границей. Обращу ваше внимание, что представительство иностранной компании или филиал, действующие в России, тоже являются иностранной компанией. Как отвечать такому образованию, закон не содержит ответа. Что же касается административной ответственности, то тут все просто – перед государством будут отвечать все: и российский и иностранный обработчик, и оператор. Штрафы налагаются судом, протокол составляют несколько государственных органов. Наиболее вероятный – Роскомнадзор, могут быть еще варианты. Например, прокуратура. С административной ответственностью все более-менее понятно. Для того чтобы минимизировать риски ответственности, необходимо предусмотреть в договоре ряд условий: условия о неустойках, возмещению убытков обработчиком в случае возникновения нарушений и негативных последствий. Важно прописать порядок совместных действий обеих сторон при получении обращений от субъектов персональных данных и в случае проведения контрольно-надзорных мероприятий в отношении оператора. Также полезно предусмотреть гарантии и заверения, что допускает Гражданский кодекс. Чтобы обработчик заранее заверил, что он полностью соблюдает ФЗ «О персональных данных» и особенно его разделы, касающиеся информационной безопасности.
Таким образом, резюмирую. Договор поручения нужно заключать всегда. Обязательно учтите все условия, о которых мы сегодня говорили. Убедитесь, что условия договора на поручение обработки персональных данных не противоречат согласиям субъектов персональных данных. Старайтесь избегать схем с суб-обработчиками – заключайте договоры на поручение обработки напрямую. Заранее продумайте порядок взаимодействия с обработчиком в случае утечек данных и иных инцидентов информационной безопасности. Предусмотрите условия о возмещении убытков, неустойке, гарантиях и заверениях, порядке действий в случае надзорных проверок и обращений субъектов персональных данных».