ИТ-юристы: Как превратить обработку персональных данных из головной боли в преимущество

Недавно издание РБК объявило ИТ - юристов «элитой». Обоснование не представлено, но мы разобрались, зачем ИТ-юристы реально нужны на КАЖДОМ этапе проекта, и почему им столько платят.

1. О роли юристов в разработке новых проектов.

2. Когда подключать юриста к работе с ПД?

3. Информационная безопасность для ПД.

4. Главный факап.

В этом разделе статьи поговорим в принципе о роли юриста в ИТ-проектах.

1. В погоне за выпуском MVP/первыми клиентами/повышением сбыта и пр. часто упускается момент проработки правовых рисков (и это понятно, сначала надо стартовать, потом уже готовить документы под процессы).

Представим ситуации (все совпадения случайны):

А. Бухгалтер, он же менеджер по продажам (дополните сами список ролей в лице одного сотрудника) готовит договор (например, лицензионный) по образу и подобию шаблона в Интернете и советов подруг/коллег/википедии.

На этапе старта - никаких видимых рисков, и вроде бы даже заключение договора с клиентом прошло вполне себе гладко.

Но на этапе коммерциализации может выясниться, что

- некорректные формулировки не позволяют применять налоговые ИТ-льготы (рискуете доначислением налогов);

- неточно/неоднозначно указан момент предоставления доступа к Сервису, пользователь оспаривает оплату по договору, и вот вы уже втянуты в неприятный (ресурсозатратный) судебно-претензионный процесс;

- указанные в договоре гарантии правовой чистоты ничем не подтверждены (продукт делали по-пацански, на доверии, а соблюдение прав 3-х лиц никто не проверял (рискуете получить претензию от правообладателя).

В. Или еще хуже: ваше ПО хотят купить, а на этапе Due Diligence выясняются «нюансы» разработки, не совместимые с коммерциализацией ПО.

В чем еще может быть факап (из самого очевидного для юристов и не вполне очевидного для business owner):

- санкционный комплаенс выявил ограничения, несовместимые с коммерческим использованием на определенной территории;

- подписание неуполномоченным лицом договора (как результат пропуска этапа Проверки контрагента);

- забыли учесть требования к обработке персональных данных (далее ПД);

- не урегулировали вопрос прав доступа к вашему ПО, и он «утек» к конкуренту.

Ситуаций «из жизни» много, потенциальных камней преткновения – еще больше.

Хотя слова – они только слова, пока ошибка не выльется в конкретную цифру расходов компании. Берем пример из области неправовой – стоимость доработки ПО (не важно, по какой причине – технической или юридической) на разных этапах кратно растет (разработчики ПО и специалисты по ИБ подтвердят).

Надеемся, что вы не узнали себя в персонажах нашего рассказа.

Даже если узнали, всегда есть шанс поправить поправимое и смягчить падение, если что-то исправить уже нельзя.

Кстати, про «поправить неисправимое». Помимо выездных on premise проверок регулятор в области ПД – Роскомнадзор – проводит мероприятия по контролю без взаимодействия с контролируемым лицом (ваш сайт/приложение проверяют, а вы об этом можете и не знать). Если где-то вы не доработали в плане соблюдения норм о ПД, Регулятор решает, какую опасность ваши нарушения могут представлять для субъектов персональных данных (согласно Критериям отнесения объектов контроля к определенной категории риска) и распределяет компанию в одну из групп (т.н. Группа тяжести) «А», «Б», «В» и «Г».

Обрабатываете специальные категории ПД – добро пожаловать в группу «А». Сбор ПД (в том числе в Интернете) осуществляется с использованием иностранных программ и сервисов – вам в группу «Б».. Ну и так далее.

Что дальше? Регулятор учитывает вероятность несоблюдения компанией обязательных требований и продолжает делить компании дальше – на группы вероятности «1», «2», «3», «4». Получали за последние 2 года предписания от Роскомнадзора – вам в группу «1», если ни разу не замечены/не привлекались – вам в группу «4».

Если у вас уже созрел вопрос, причем тут участие юриста, ПО и вообще – это все не в тему статьи – скажем кратко:

У любого программного обеспечения есть свой цикл жизни, начиная с идеи и заканчивая прекращением поддержки выхода обновлений. Разберем, на какой стадии жизни проекта юрист действительно необходим. Мы понимаем, что у каждой ИТ-компании выстроен свой путь создания продукта, поэтому за основу взяли концепцию стадий жизненного пути ПО, указанной в Стандарте ISO/IEC/IEEE DIS 12207.

Затрагивать особенности моделей разработки в этой статье мы не будем. Но если вам будет интересно узнать роль и функции юриста по различным методологиям разработки ПО, ставьте пальцы вверх и оставляйте комментарии под статьей. А теперь перейдем к стадиям.

На стадии идеации часто происходит зарождение различных идей, накидываются все возможные варианты реализации задумки, какие-то общие шаблоны, концепты, функциональность. Если это коммерческий продукт, особенно то ПО, которое работает в Web среде, у вас обязательно появятся ПД ваших пользователей.

На этом этапе юрист сможет вам разъяснить, что такое ПД, какие дополнительные риски несет в себе добавление тех или иных категорий ПД на обработку в разрабатываемый сервис. Именно на этой стадии можно заранее сформулировать цели, правовые основания обработки ПД, что поставит более понятные задачи перед разработчиками. На соответствие требованиям ПД может быть заложено определенное время, ресурсы.

От некоторых сложных идей разработчики смогут отказаться, поскольку обеспечить требования к защите таких ПД довольно сложно. Например, при работе со специальной категорией персональных данных существуют определенные нюансы работы с несовершеннолетними, получением их согласий на обработку ПД, или обеспечением мер безопасности хранения ПД. Если это биометрические ПД, то все эти данные должны быть собраны и в том числе переданы в Единую систему биометрии (в соответствии с ФЗ №572). Также юрист может разъяснить особенности работы с различной конфиденциальной информацией, если она подразумевается в проекте. Например, особенности обработки данных, связанных с банковской тайной, или профессиональной тайной МФО или ломбардов; медицинской тайной, если это касается работы с медицинскими организациями или учреждениями и т.д. Юридическое понимание ситуации позволит найти больше путей к разработке вашего продукта, а также предупредит о возможных правовых рисках технических решений.

На этой стадии также может быть составлено и подписано соглашение о неразглашении (NDA или соглашение о конфиденциальности информации), что позволит минимизировать риски утечки ПД, а также усилить морально нравственное давление на работников или коллег разработчиков не разбалтывать о работе над проектом. Об особенностях NDA можете почитать в одной из наших предыдущих статей.

На этапе разработки работа над проектом уже кипит и не на шутку. Чтобы продукт вышел в свет, нужно не только его разработать, но и юридически оформить, а также подготовиться к прохождению всех необходимых процедур и регистраций. На этой стадии у юриста довольно сильная роль и широкий перечень действий, включая выбор средств разработки программных языков. Как известно не все технологии поощряются Минцифры. И выбор неверного стека может привести к отказу в регистрации в Реестре Российского ПО, и как следствие – лишение возможности получения налоговых льгот по НДС при дальнейшей реализации вашего ПО на рынке.

Что же на этой стадии важного может сделать юрист в части ПД?

Прежде всего юрист сможет подготовить план «минимум» для соответствия проекта требованиям законодательства о защите ПД. От варианта «минимум» может быть проложен путь к «идеальному», когда уже на стадии использования или поддержки продукта будет подготовлен полный цикл работы с ПД, закрывающий даже самые каверзные риски и требования в работе с ПД (например, такие как меры безопасности и их постоянного, непрерывного совершенствования, а также вопросы трансграничной передачи ПД). Такой план позволит довольно точно скорректировать бюджеты и сроки разработки. Если в информационной безопасности вирусы обновляются чуть ли не каждый день, то требования закона к защите ПД меняются довольно редко, в связи с чем намеченный план предметно может не корректироваться долгое время.

На стадии в лайв режиме могут изменяться проекты документов (политики конфиденциальности, согласий на обработку), обсуждения вопросов использования cookie файлов, направленных на сбор статистической информации и другого анализа данных; согласование мест хранения ПД в зависимости от предполагаемого уровня потенциального вреда субъектам ПД и требований к уровню защищенности информационных систем, установленных Правительством РФ.

Если проекты связаны с ПО по обеспечению информационной безопасности, средствами технической защиты, юрист может разработать специальный roadmap по получению соответствующих сертификатов или лицензий ФСТЭК, ФСБ.

Может также составляться модель угроз информационной системе (вашего сервиса) и по мере разработки дополнятся, актуализироваться. Разумеется, вопросы ИБ должны решаться совместно с безопасниками.

Стадия производства характеризуется тем, что ПО уже готовиться к непосредственной эксплуатации. Пожалуй, это одна из самых важных стадий, ведь именно на ней мы должны убедиться, что все баннеры, чекбоксы и ссылки на юридические документы размещены корректно и без ошибок. Юрист помогает подать уведомление о намерении обрабатывать ПД (если ваша компания это стартап) или уведомление об изменении сведений в реестре (если вы ранее уже подавались). На стадии введения в эксплуатацию окончательно закрываются все внешние риски, связанные с несоблюдением законодательства о ПД. Перед вводом в эксплуатацию разработчик вместе с юристом может пройтись по ст. 13.11 КоАП, как по чек-листу возможных рисков.

На этой стадии можно окончательно одобрить Реестр процессов ПД (RoPA). Вести его не обязательно (поскольку в законе нет такой обязанности), но для любого бизнеса этот документ играет очень важную роль по мониторингу процессов обработки ПД в компании и ее информационных системах. Обязательно должны быть проговорены и приняты процедуры по обучению персонала вопросам обработки и защиты ПД, если бюджет позволяет. Перед выпуском продукта в организации, обрабатывающей ПД, обязательно должна быть разработана процедура реагирования на инциденты безопасности.

Продукт запущен, клиенты льются ручьем. И вот их уже стало больше 100 000, начали вводить новые фичи в проект, которые потребляют больше ПД ваших клиентов, ввели еще и алгоритмы ИИ по изучению предпочтений пользователя сервиса и т.д. На этой стадии юрист сможет напомнить, что работа с ПД в организации это живой процесс, который требует постоянного обновления внутренних документов для продолжения соответствия всем требованиям законодательства в области защиты ПД.

Напоминаем, что сбор ПД не может быть избыточным, а также собираемые ПД должны соответствовать заявленным в Политике целям. К тому же цели должны быть конкретны, предметны и недвусмысленны. Кроме того требования к обеспечению безопасности меняются по мере роста количества пользователей сервиса.

Здесь же начинается работа с субъектами ПД. Юрист поможет:

Но как показывает практика абсолютной защиты от взломов не существует. Вся проделанная вами работа по обеспечению безопасности обработки ПД будет засчитываться в вашу пользу при смягчении или ужесточении наказания за утечку. Стратегия работы с ПД позволит не только сгладить административную ответственность, но и снизить риски получения уголовной ответственности вашим ответственным за организацию и работу с ПД в организации. Кстати, обычно, в небольших компаниях именно генеральный директор является таким лицом. Возможно стоит переложить эту работу на юриста-прайвасиста или отдельное лицо?

У всего есть свой конец. Неизменная философская истина. В конце жизни любого ПО происходит постепенное или резкое затухание работы сервисов, а вместе с ним необходимо соблюсти ряд важных законодательных процедур по блокированию доступа и уничтожению персональных данных. Юрист поможет не только с процедурой банкротства, ликвидации общества, но и просто со свертыванием работы того или иного продукта в компании.

Далее наиболее конкретными примерами проиллюстрируем, почему привлечение юристов в работе с ПД на разных этапах проекта может сэкономить много нервов, энергии и финансов.

Вопрос привлечения на проект юриста в большинстве случаях упирается в бюджет.Поэтому поясним выгоду привлечения юриста на примере штрафов.

Пример №1. В ПО обрабатываются ПД. Юрист на старте разработки (стадия идеации или разработки) может дать бесценные рекомендации, указав на потенциальные:

- нарушения правил локализации (обработка ПД на серверах за пределами РФ) – прямой путь к штрафу по ч.5 ст.13.11 КоАП РФ) в размере от 1 млн до 18 млн. (Вот тут выдохнет ваш финансовый директор, риск потери денег снижен).

- нарушения правил безопасной обработки ПД (если юрист еще и специалист по ИБ): риски потерь в вашей ИТ-инфраструктуре и наступления недопустимых последствий не только для проекта, но и для бизнеса в целом (остановка бизнес-процессов, нарушения, не совместимые с SLA, согласованном с вашим заказчиком и пр.).

Пример №2. Другая ситуация на этапе коммерциализации готового продукта (то есть этапе ввода в эксплуатацию или использования) – заключение договора с клиентом. На первый взгляд все просто. Договориться с заказчиком о цене и сроках, а дальше только бери и делай.

А вот судебная практика в ИТ спорах показывает, что видение заказчика и исполнителя по договору могут сильно различаться, что приводит к спорам:- по договорам оказания услуг по разработке ПО;- по лицензионным договорам;- по договорам поставки программных продуктов;- по договорам авторского заказа…(и так далее, здесь лишь самые распространенные споры).

Расчет стоимости сопровождения спора не будем приводить, а вот сроки разрешения споров точно можем обозначить: минимум полгода (если очень повезет), а в среднем 1-1.5 года.

Как уже отмечалось, несоблюдение требований законодательства о защите ПД может привести к крупным штрафам. В разных юрисдикциях размеры штрафов могут сильно различаться. Например, в соответствии с Общим регламентом по защите данных (GDPR) ЕС размер штрафа может достигать 20 миллионов евро или 4% от годового оборота компании, в зависимости от того, что больше. В России штрафы за нарушение законодательства о персональных данных также могут быть значительными.

Кроме того, отсутствие юридического сопровождения может привести к дополнительным расходам на устранение последствий нарушений, таких как судебные издержки, выплаты компенсаций субъектам ПД и т. д.

Если вы решите расширять географию присутствия бизнеса, то разработанный вами продукт должен отвечать требованиям той страны, в которой планируете работать.Допустим, вы хотите запустить мобильное приложение во Франции, которое уже успешно работает в России. Просто сделать перевод интерфейса недостаточно. Потребуется, как минимум проанализировать французские правила работы с ПД:

Если на этапе запуска приложения (этапе производства) вы уже запланировали расширение географии, то в этом плане однозначно отдельным пунктом должно быть указано «юридическая проверка локальных правовых требований» (юрист, специализирующийся на международном праве в области защиты ПД, поможет компании адаптировать свои процессы обработки данных к требованиям законодательства разных стран и избежать проблем при расширении географии деятельности).

Позволим себе сравнить роль юриста с ролью бизнес-аналитика в создаваемом проекте. Юрист:

Не забываем, что при продвижении продукта требуется соблюдение законов о рекламе, антимонопольных правил и пр. Эти нюансы должен держать в голове юрист, а не разработчик/бизнес-аналитик или основатель проекта.

Большинство правовых «багов» проекта можно выявить еще на этапе разработки (так же, как и баги самого ПО).

Вот вам вид на проблематику с другого угла.

Предположим, что ваше мобильное приложение обрабатывает данные только совершеннолетних граждан (v.1.0).

При этом в планах v.2.0. (о которых надо обязательно сообщить юристу) есть расширение субъектного состава – несовершеннолетних и, допустим, слабовидящих.

В таком случае шкала приоритетов, о которых вам скажет юрист, будет выглядеть так:

Многие очень хотят снять с себя риски административной ответственности, накрыться покрывальцем красиво оформленных документов на своем Сайте, подать уведомление в Роскомнадзор и забыть об этом страшном сне на долгое время. И действительно, на какое время такого отношения может хватить. Роскомнадзор эту ситуацию тоже прекрасно понимает и знает. Однако теперь опасность может прийти с другой стороны. Риски утечек никто не отменял, и если ваша компания совсем не принимала никаких мер по сохранению ПД, то вероятность получения штрафа очень высока (если, конечно, об утечке будет известно Роскомнадзору. А если Роскомнадзор узнает, что у вас была утечка, и вы о ней еще и не сообщили в установленные законодательством сроки, сумма штрафа будет значительно выше). С 30.05.2025 штрафы за утечки ПД довольно большие, в худшем случае могут достигать чуть ли не 30 млн. рублей.

Утечка ПД может привести к серьезным последствиям как для субъектов ПД, так и для компании. Для субъектов ПД это могут быть:

Для компании утечка ПД может привести к:

Организация безопасности ПД на основе юридических требований позволяет минимизировать риск утечки данных и связанных с ней негативных последствий.

Репутация компании — это один из самых ценных ее активов. Утечка ПД может нанести серьезный удар по репутации компании и привести к потере доверия клиентов и партнеров.

Это особенно важно для компаний, работающих с крупными заказчиками или участвующих в тендерах или госзакупках. Крупные заказчики обычно предъявляют высокие требования к безопасности данных, и компания, не обеспечивающая должный уровень защиты ПД, может быть исключена из числа потенциальных поставщиков.

Соблюдение требований законодательства по обеспечению безопасности ПД позволяет компании подтвердить свою надежность и защитить свою репутацию.

Постановление Правительства №1119, на которое мы уже ранее ссылались, и другие документы ФСТЭК или ФСБ, включая документы рекомендательного характера, как например Методика оценки угроз безопасности информации, утвержденная ФСТЭК России 05.02.2021, являются минимумом по обеспечению безопасности персональных данных. Для того, чтобы идти в ногу со временем, компании необходимо иметь свой отдел, в котором юристы совместно с безопасниками оценивают угрозы информационным системам, либо искать опытных специалистов на аутсорсинге.

Новые технологии, такие как искусственный интеллект (ИИ) и блокчейн, открывают новые возможности для обработки и использования ПД. Однако они также создают новые риски для безопасности данных. Именно поэтому в Европе уже начали душить стартапы новыми требованиями. Помимо GDPR для этих технологий еще потребуется соблюсти требования Ai Act. Думаем, не стоит напоминать о многомиллионных судебных делах в ЕС за нарушение требований GDPR. В России, к слову, также могут быть произведены точечные регуляторные изменения разработки ИИ.

В наше время, когда инновации создаются не в гараже, а в офисах или дома, юрист является неотъемлемым членом команды, помогающим плавно без сучка, заноз и шишек реализовать любой ИТ-проект, вывести его на рынок, а также помочь не потерять его в лесу практически бесконечных, лютых требований к обработке ПД и обеспечению их защиты. Поэтому главный факап – не привлекать к работе над проектом юриста.

Если вы хотели бы хотели избежать рисков получения многомиллионных штрафов из-за несоблюдения законодательства в области защиты ПД и в целом минимизировать внимание контрольных органов к своей организации, составить договоры защищаю ваши права и ваш продукт на технологическом рынке, можете обратиться к нам: +7 (969) 790-00-90, написать в телеграм @aglrequest или по электронной почте info@ag-legal.ru. Или задать их в комментариях под статьей.

Подписывайтесь на наш телеграм канал, где мы разбираем и другие актуальные для IT юридические вопросы.