С 1 сентября действуют изменения в области персональных данных. Что проверить руководителю, чтобы защитить бизнес?

Первое полугодие 2022 в России выдалось крайне скандальным в отношении массовых утечек персональных данных (далее - Пдн) из крупных компаний. Пострадали десятки миллионов пользователей сервисов Яндекс.Еда, Delivery Club, СДЭК, Гемотест и др., их данные попали в открытый доступ. По некоторым сведениям, в сеть попали даже данные сотрудников силовых ведомств и военнослужащих, а это уже вопрос национальной безопасности. На коммерческие компании, допустившие утечки, наложены штрафы Роскомнадзором, подано несколько коллективных исков, и, конечно, пострадал их имидж. Возмущение общественности подстегнуло пристальное внимание законодателей к теме защиты персональных данных, а также подготовку ряда законопроектов в данной сфере. В целом мы наблюдаем тенденцию к ужесточению контроля и ответственности за нарушения законодательства о персональных данных.

Роскомнадзор в своих итогах работы за 2021г. по защите интересов граждан в сфере персональных данных подсчитал, что:

- за год поступило 38 тыс.жалоб на неправомерную обработку Пдн,

- проведено более 3,9 тыс. контрольных мероприятий, при этом в 80% выявлены нарушения.

Самые частые нарушения:

• не назначен ответственный за обработку Пдн,
• не обеспечен внутренний контроль и необходимые меры безопасности Пдн,
• отсутствуют правовые основания для обработки Пдн.

01 сентября 2022г. вступили в силу новые нормы о сборе персональных данных клиентов. Судя по всему, на маркетплейсах и других сервисах накопилось много избыточных персональных данных пользователей, поэтому законодатель отдельно отметил это в Законе о защите прав потребителей, и теперь, помимо Роскомнадзора, следить за исполнением законодательства будет ещё и Роспотребнадзор, у которого появился инструмент реагирования на жалобы потребителей. Данные изменения напрямую затрагивают работу компаний из сферы B2C.

Маркетологам таких компаний следует проверить, чтобы набор собираемых персональных данных соответствовал объявленной цели сбора. Если же собираются данные, которые явно не требуются для достижения указанной цели, то такие данные будут считаться избыточными, по принципу "собирай только то, что нужно для оказания услуги".

Как определить избыточность персональных данных?

• Избыточность должен определить сам оператор Пдн. Если он ошибется в этом вопросе, то он может быть привлечен к отвественности Роспотребнадзором по жалобе клиента или в рамках другой проверки.
• Избыточность нужно определять для каждой отдельной причины сбора Пдн. Операторы должны провести тщательную проверку на предмет избыточности сбора Пдн.
  
• Закон не содержит уточнений и правил по проверке избыточности Пдн. Закон лишь устанавливает общий принцип недопустимости сбора избыточных данных для того, чтобы иметь гибкость в разрешении спорных ситуаций. Со временем появится судебная практика и разъяснения гос.органов на этот счет. Однако, уже сейчас операторы могут и должны проводить проверку избыточности собираемых Пдн.
  

• В случае возникновения сомнений по вопросу избыточности собираемых Пдн лучше обратиться к консультантам по персональным данным для получения рекомендаций.

Маркетологу нужно проверить, чтобы:

1. для рекламных акций или рассылок не собирались избыточные данные,
2. на получение рассылки были получены отдельные согласия от пользователей,
   
3. на все собираемые данные были собраны согласия клиентов,
   
4. на сайте или в мобильном приложении компании не использовались предустановленные галочки в согласиях на обработку Пдн.

Многие из данных требований к согласиям применялись и ранее, однако, ряд перечисленных правил маркетологи игнорировали. Тем временем, получение понятных и прозрачных согласий от пользователей можно использовать как маркетинговый инструмент улучшения имиджа компании. Пока одни компании допускают массовые утечки, другие улучшают свой имидж посредством внимательного отношения к клиентам путем обычного соблюдения законодательства.

Если пользователь сообщит, что не хочет получать рассылку, а компания проигнорирует его просьбу, пользователь сможет пожаловаться в ФАС и за нарушение законодательства о рекламе компании грозит административный штраф должностному лицу - от 4 до 20 тыс.руб., юридическому лицу - от 100 до 500 тыс.руб. Данная ответственность в законодательстве не новая, но применима к вышеуказанным новым правилам, и такие крупные штрафы для компании могут быть достаточно существенны, чтобы директор был в курсе требований закона.

Нужно учитывать, что обработка Пдн без согласия субъекта, также как и нецелевая обработка Пдн являются самостоятельными правонарушениями. Ответственность предусмотрена ч.1 ст.13.11 КоАП в виде штрафов:

- на должностных лиц - от 10 до 20 тыс. руб.

- на юридических лиц - от 60 до 100 тыс. руб.

Штраф может быть наложен за каждый отдельный факт обработки Пдн без согласия или за каждый факт нецелевой обработки Пдн. А это значит, что оператор может получить 100 штрафов за обработку 100 комплектов Пдн без согласия субъекта. При этом штраф может быть наложен одновременно как на юридическое лицо - оператора, так и на должностное лицо, допустившее нарушение.

В случае повторного привлечения к ответственности за данное нарушение штрафы ещё выше (ч.2 ст.13.11 КоАП):

- на должностных лиц - от 20 до 50 тыс. руб.

- на юридических лиц - от 100 до 300 тыс. руб.

Если цели и способы дальнейшего дальнейшего использования Пдн будут соответствовать дальнейшим целям и способам, указанным в согласии на обработку Пдн, то использование будет возможно.

Если же такого согласия нет, то оператор будет обязан получить у пользователя отдельное согласие на обработку Пдн для новых целей. В противном случае, использование Пдн в иных целях будет признаваться обработкой Пдн в отсутствие законного основания (согласия пользователя).

Таким образом, нужно получить у клиентов согласие на рассылку.

Руководителю отдела продаж нужно проверить, чтобы:

1. продавцы актуализировали данные клиентов, желательно тем же способом, которым персональные данные были получены, при этом молчание клиента не считается знаком согласия, оно должно быть выражено в активной форме,
2. собранная база клиентов не содержала избыточных персональных данных о каждом из них, о результатах сообщить ответственному за обработку Пдн в компании ( DPO) или юрисконсульту,
   
3. предоставление e-mail клиента и его согласие на рассылку не были обязательным условием сделки.

Согласно закону, если оператор обнаружит у себя Пдн, обрабатываемые без согласия субъекта и не для заключения/исполнения договора с ним - он, в первую очередь, обязан заблокировать эти данные (не допускать их использование).

Далее оператор может по выбору:

• обратиться к клиенту за получением согласия на обработку Пдн,
• уничтожить незаконно обрабатываемые Пдн.

Разумеется, последний вариант является нежелательным для бизнеса, поэтому компании и её сотрудникам нужно приложить большое количество усилий, чтобы получить правильно оформленные целевые согласия клиентов для обработки Пдн.

Вместе с поправками в Закон о защите прав потребителей, вступают в силу поправки в Кодекс об административных правонарушениях (КоАП), которые вводят следующую ответственность:

За незаконный отказ в заключении договора по причине отказа потребителя предоставить данные (если эти данные являются избыточными) оператору грозит штраф:

- на должностных лиц - от 5 до 10 тыс. руб.

- на юридических лиц - от 30 до 50 тыс. руб.

При этом, за первое нарушение штраф может быть наложен как на юридическое лицо - оператора, так и на должностное лицо, допустившее нарушение. Штраф может быть наложен за каждый отдельный случай отказа.

В крупном и среднем бизнесе, в ситуации больших изменений законодательства о персональных данных, основная нагрузка ложится на работника, ответственного за обработку Пдн в компании, а, в случае его отсутствия в организации, на юрисконсульта. В малом бизнесе, зачастую, могут вообще отсутствовать оба таких сотрудника. Поскольку защита персональных данных предполагает очень специфический и узкий профиль компетенций, обычно компании привлекают на такую работу профильный консалтинг, который способен в небольшие сроки наладить обработку Пдн в организации.

Если же в компании есть DPO или инхаус юрист, то в связи с изменениями в законодательстве они должны знать, что:

• нельзя прятать согласие в другие документы, правовая практика доказывает, что за это компании штрафуют,
• необходимо подготовить отдельные формы согласий на обработку Пдн для каждой цели обработки,
  
• необходимо заранее уведомить Роскомнадзор о транграничной передаче Пдн и дождаться его разрешения до начала передачи данных вне границ РФ,
  
• в случае утечки Пдн необходимо уведомить Роскомнадзор:-

- о факте утечки - не позже 24 часов,

- о результатах внутреннего расследования инцидента - не позже 72 часов,

• нужно проверить, необходимо ли компании взаимодействие с ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидаций последствий компьютерных атак),
• абсолютное большинство компаний, работающих с персональными данными с использованием компьютерных средств, обязаны зарегистрироваться в реестре персональных данных - исключения, которые действовали ранее, больше не действуют,
  
• необходимо обучить сотрудников правильному обращению с Пдн в компании,
  
• необходимо уничтожить все избыточные данные, на которые не получено согласие,
  
• политика конфиденциальности компании должна соответствовать всем последним изменениям в законодательстве,
  
• сроки на подготовку ответов и реакцию на запросы субъектов Пдн сокращены с 30 до 10 дней,
  
• ответы на запросы субъектов Пдн должны предоставляться в той же форме, в которой были сделаны сами запросы,
  
• срок предоставления ответа на запросы Роскомнадзора сокращен с 30 до 10 дней.
  

Изменение законодательства в области Пдн несомненно существенно увеличивает затраты компании как на обучение сотрудников новым правилам, содержание дополнительных специалистов в штате, так и на привлечение профессиональных консультантов в сфере персональных данных.

Компании-владельцы объектов критической информационной инфраструктуры (здравоохранение, энергетика, транспорт, финансы и др.) дополнительно понесут значительные финансовые и временные затраты на взаимодействие с ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидаций последствий компьютерных атак).

Поскольку изменения в ст.16 Закона о защите прав потребителей будут распространяться и на прошедший период, все компании, обрабатывающие персональные данные, должны:

• провести проверку и редактирование заключаемых с потребителями офлайн договоров и форм согласий на обработку Пдн,
• провести проверку и редактирование заключаемых онлайн пользовательских соглашений, договоров оферт, форм сбора данных и политик конфиденциальности - на предмет избыточности собираемых данных.

Передавать персональную информацию за границу контролирующие органы могут запретить или ограничить, чтобы защитить основы конституционного строя России, нравственности, здоровья, прав и законных интересов граждан. Важное условие для этого - обеспечение обороны страны и безопасности государства.

Таким образом, работа с Пдн с каждым годом становится всё сложнее, вместе с ужесточением правил возрастает и ответственность компаний, а также её финансовые и репутационные риски, которые руководству компании больше нельзя игнорировать.

С уважением,

Алина Ракша, партнер юридического бутика Legal Mind, юрист по защите персональных данных