Управление персональными данными. Новая формальность или новая реальность?

Авторская колонка юриста Ивана Первашова

Вы допиваете капучино в любимом кафе с видом на черноморское побережье, официант приносит счет, а вместе с ним – предложение вступить в программу лояльности заведения с массой специальных предложений для постоянных, любимых гостей. Заполнение пары строк, ФИО, дата рождения, номер телефона, электронный адрес, подпись – готово.  Теперь вы в игре. Только что вы стали возможной причиной полумиллионного штрафа владельца кафе, а сами – потенциальной жертвой «сотрудников банка» и прочих мошенников.

Или вы владелец клиники или СПА-салона, и улучшения качества обслуживания собираете базу данных клиентов с их днями рождения и предпочтениями. Сотрудники работают с данными в программах, хранят на локальных дисках, или в облачных хранилищах. Используются службы рассылок. Если так, значит играете по-крупному, на несколько миллионов рублей.

Дело в том, что наступила новая реальность для работы с персональными данными. За короткий срок в этом еще довольно туманном для большинства вопросе успели появиться тонкости с ценником в десятки и сотни тысяч за каждую ошибку. Проблему не видите? А она уже есть. Пока маховик госконтроля набирает обороты самое время навести порядок. Вопросы сбора, хранения и работы с данными клиентов — это не усмотрение маркетинга, а ответственность собственника.

Тут важно не заблуждаться, что если на рецепции собирают подписи клиентов под «согласиями» клиентов, а сайт и локальная документация пополнились парой документов, то требования закона о защите персональных данных выполнены. На эту часть нашей жизни нужно начать смотреть под другим углом, и вот чему.

Новый порядок

Цифровые технологии, базы данных, крипто-шифрование – ворвались в нашу жизнь и уже не понятно, где заканчиваются они, и где начинаемся мы. Каждый из нас просыпается и засыпает с устройством, которому уже безвозвратно доверил всю информацию о себе, от адресной и платежной до биометрической, о поведении и привычках, покупках и предпочтениях, нас анализируют … покупают и продают. Поэтому информация о нас, то есть мы с вами стали доминирующим ресурсом и важнейшим товаром, а наша польза далеко не всегда главный мотив тех, кто получает доступ к информации о нас. Начинается с имени, адреса и счета для договора, но никогда ими не заканчивается.

Еще в конце прошлого века ученые оценили значение информации, количество утечек, преступлений и жизненных трагедий от утечек чувствительной персональной информации, а главное четкие тенденции роста злоупотреблений как локальными злоумышленниками, так и транснациональными гигантами.

Тогда родилась первая директива Европарламента № 95/46 ЕС от 24.10.1995. Новый закон регулировал защиту данных европейцев и устанавливал правила хранения, перемещения личной информации от одного «собирателя данных» к другому. США и все другие торговые партнеры должны были или отказаться от европейского рынка или уважать права европейцев. Появился термин «персональные данные» и правило, что хранение и использование каждого вида данных должно быть обоснованно не только информированным согласием, но и необходимостью. Информация может храниться только в минимальном необходимом объеме и только пока она требуется для оказания услуг человеку, а если закончили оказание услуг, то по общему правилу удалили данные. Иное нужно грамотно обосновать.

В 2006 году появился российский Федеральный закон «О персональных данных» № 152-ФЗ. Оказывая услуги в различных юрисдикциях, констатируем, что российский закон значительно менее строгий, чем, например, европейский General Data Protection Regulation (GDPR), пришедший на смену директиве, но тенденции те же.

Данные стали ключевым активом, а информационная безопасность и защита приватности стали обязанностью и статьей расходов для государств и всех организаций. Информация не только товар, но и бремя. Чем информации больше, чем больше обработок и чем чувствительнее данные, тем выше риски. Бизнес не может отказаться от использования данных в маркетинге, но активность маркетологов нужно сбалансировать компетенциями специалистов по информационной безопасности и персональным данным.

Российский закон о персональных данных.
Получая данные, организация (на языке 152-ФЗ) становится «оператором обработки персональных данных») и получает внушительный комплект обязанностей, внимание к которым государство с 2020 привлекает регулярным увеличением штрафов. Маркировка рекламы – это лишь небольшое течение в океане глобальной информационной гигиены.

Предполагается, что у каждой фирмы в B2C есть политика обработки персональных данных, приказ о назначении ответственного, реестр персональных данных, положение о защите персональных данных работников, актуальные на 2024 год формы согласия на все виды данных и обработок, типовые договоры с клиентами, все направляют уведомления субъектов персональных данных и Роскомнадзора.

Для грамотных предпринимателей уже пройденный этап, такие вопросы, как например получение информированного и специфического согласия на каждую обработку по принципу «одна цель обработки = одно согласие». Получая от одного и того же субъекта данных необходимое количество согласий, они обосновывают для удовлетворения каких его интересов необходимы каждые из них.

В то же время не все могут сказать, что настроили процесс обработки управления объемом и сроками хранения, удаления, направления актов. Не все получили право на трансграничную передачу данных, которая происходит, например, при использовании в бизнесе иностранных сервисов универсальных как Google и Microsoft и специальных: CRM и прочих систем.

Многие клиенты обращаются за комплексной правовой и организационной поддержкой, когда узнают, что кроме вышеизложенного каждый оператор обязан предпринимать меры по защите персональных данных от утечек, распознавать лиц, имеющих доступ к персональным данным, эксплуатировать только разрешенное ПО, вести учет носителей персональных данных и событий, угрожающих персональным данным, защищать системы хранения и передачи персональных данных.

Почему не инвестировать это дорого? Новые штрафы.

В 2023 году штрафы за нарушение законодательства о персональных данных в России выросли кратно. Например, за каждый факт обработки персональных данных без надлежащего (точного и верного, а не любого) согласия:

Использование данных российских пользователей при работе с иностранными облачными хранилищами, программами управления данными о клиентах, сервисами рассылок (считается, что в таких случаях данные как пользователей, так и клиентов пересекают границу) требует согласования Роскомнадзора и отчетности, а штраф за каждое нарушение теперь от 60 000 до 100 000 рублей.

Также увеличили ответственность и за нарушения, о которых большинство и не предполагает: тонкости защиты персональных данных, не опубликование некоторых видов локальных документов компании и тем более их отсутствие.

В Государственную Думу внесен проект о так называемых «оборотных штрафах» (Законопроект № 502104-8). На Западе часть нарушений уже штрафуется не в фиксированном размере, а в процентах от оборота компании за год. В России сейчас предлагается штраф от 0,1% до 3% от годовой выручки, но не менее 15 млн рублей и не более 500 млн рублей.

Что нужно делать бизнесу?

Для базовой безопасности капитала и будущего своего бизнеса разумно объективно оценить ситуацию, проверив себя своими силами или заказав такую услугу. Далее не только разработать необходимые документы (иначе документы будут малополезны и устареют через несколько месяцев), но вписать разработанные решения в реальные бизнес-процессы предприятия и запустить систему регулярного пересмотра. В крупных компаниях это делегируют обученным специалистам в штате, а для малого и среднего бизнеса экономически обоснованным остается аутсорсинг таких непрофильных функций через услуги консалтинговых (юридических) фирм.

В Крыму и Севастополе такой фирмой стала юридическая фирма Precedent consulting, которая по заключению федерального профессионального рейтинга «Право-300», ИД «Коммерсантъ» и других уже несколько лет остается региональным лидером, занимая высшую строчку рекомендаций экспертов для бизнеса.

Какой бы путь вы не выбрали, оставайтесь сильными и актуальными, укрепив направление информационной безопасности и защиты приватности.