15.11.2018 Булаев Михаил Александрович, ведущий консультант-аналитик
В этом плане было интересным выступление заместителя министра цифрового развития, связи и массовых коммуникаций Российской Федерации Алексея Волина, который обратил внимание на следующее:

• цифровая экономика – это экономика, в которой основным «сырьем» являются цифровые данные («большие данные», Big Data);
• понятие «большие данные» ещё не устоялось, и нет его юридического определения, однако понятно, что значительную часть этих данных составляют персональные данные;
• регулирование в области персональных данных не должно мешать развитию, задача регулирования - развивать, а не запрещать;
• необходимо находить баланс между интересами субъектов и интересами обработчиков персональных данных для того, чтобы не остановить развитие цифровой экономики;
• факт того, что субъект отдает свои персональные данные третьим лицам для предоставления возможности пользоваться современными услугами и сервисами можно рассматривать как некоторую «плату за комфорт», однако субъект сам должен принимать решение, вносить ли ему эту «плату за комфорт» и пользоваться ли современными услугами и сервисами или нет.

Важным направлением было обсуждение вопросов, связанных с присоединение России к модернизированной Конвенции № 108 Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.

Модернизация Конвенции о защите физических лиц при автоматизированной обработке персональных данных, являющейся юридически обязывающим международным инструментом глобального значения, направлена на решение проблем обеспечения неприкосновенности частной жизни, возникающих в связи с использованием новых информационно-коммуникационных технологий, и на укрепление механизмов для обеспечения её эффективного применения.

10 октября в Страсбурге Россия подписала Протокол о внесении изменений в «Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» № 108, принятую ЕС в 1981 году, к которой Россия присоединилась в 2005 году.

Изменения, вносимые Протоколом, направлены на совершенствование содержащихся в Конвенции механизмов в целях повышения эффективности её применения. В число нововведений входит повышение уровня требований к соблюдению принципов пропорциональности и минимизации личных данных, а также законности при их обработке. Расширяется состав типов данных, в отношении которых необходимо соблюдение конфиденциальности, и которые теперь включают генетическую и биометрическую информацию, а также данные о членстве в профсоюзах и этническом происхождении.

Кроме того, документ должен способствовать упорядочиванию передаче данных через национальные границы, в то же время обеспечивая эффективную защиту при их использовании в соответствии с различными национальными и международными нормативно-правовыми базами, включая новый регламент Европейского Союза(GDPR), вступивший в силу 25 мая этого года. В этих целях предусматривается расширение правовых основ международного сотрудничества в данной области, включая разработку типовых договоров на трансграничную передачу данных.

В число новых требований, вводимых Протоколом, входят обязательства о необходимости информирования об утечках личных данных, а также соблюдении принципов защиты персональной информации в любой деятельности по её обработке, включая ту, что ведется в интересах национальной безопасности (за исключением случаев, предусматриваемых Конвенцией). При этом обработка данных должна осуществляться под независимым и эффективным контролем со стороны обладающих расширенными полномочиями регулирующих органов.

Наряду с этим обновленная Конвенция предусматривает повышение ответственности операторов персональных данных и прозрачность процессов их обработки. Положения документа требуют соблюдения принципа «проектируемой конфиденциальности», то есть интеграции мер защиты персональных данных на этапе проектирования систем их обработки, а также вводят право заинтересованных лиц на участие в принятии решений по алгоритмам обработки информации, что приобретает особое значение в связи с разработкой искусственного интеллекта.

Модернизированная Конвенция нацелена на использование государствами-участниками общих строгих принципов и правил защиты личной информации, а также на обеспечение возможности организации сотрудничества в этой области на глобальном уровне.

В настоящее время участниками Конвенции, принятой Советом Европы в 1981 году, являются 47 государств-членов СЕ (среди них Россия, а также Кабо Верде, Маврикий, Мексика, Сенегал, Тунис и Уругвай). В связи с подписанием Протокола Российская Федерация приняла на себя обязательства по гармонизации национального законодательства в сфере персональных данных с учетом положений модернизированной Конвенции, в том числе:

• Требование к принципам пропорциональности, минимизации и законности сбора, обработки и хранения персональных данных.
• Введение категории «генетические персональные данные».
• Определение новых прав, предоставляемых гражданам для управления своими персональными данными и их обработке на основе математических алгоритмов, искусственного интеллекта и т.п.
• Обязанность операторов уведомлять уполномоченный надзорный орган об утечках персональных данных.
• Обеспечение четкого режима трансграничных потоков персональных данных, в том числе в страны, не предоставляющие адекватный уровень их защиты.
• Расширение возможности осуществлять обработку персональных данных для реализации прав и законных интересов операторов или третьих лиц.

Таким образом, в ближайшее время в Федеральный закон «О персональных данных» будут внесены достаточно существенные изменения, и операторам предстоит упорядочить свои процессы обработки персональных данных в соответствии с новыми требованиями. Ждём новой редакции закона.

Отдельной темой на конференции явилось обсуждение вопроса об особенностях правоприменения Регламента Европейского парламента и Совета Европейского Союза № 2016/679 «О защите физических лиц при обработке персональных данных» (GENERAL DATA PROTECTION REGULATION, GDPR), вступившего в силу 25 мая 2018 года, и на какие российские компании распространяются его требования.

Формально GDPR не действует на территории России, однако его действие всё же распространяется на достаточное большое количество российских компаний в случае, если они будут осуществлять обработку персональных данных резидентов ЕС. Дело в том, что действие GDPR носит экстерриториальный характер и распространятся на:

1. Операции по обработке персональных данных в контексте присутствия на территории ЕС их оператора или обработчика независимо от того, производится ли такая обработка на территории ЕС или нет.

2. Обработку персональных данных, находящихся на территории ЕС субъектов, которая осуществляется оператором или обработчиком, не имеющим присутствия на территории ЕС, в тех случаях, когда такая деятельность по обработке относится к:

- предложению товаров или услуг находящимся на территории ЕС субъектам персональных данных как на возмездной, так и на безвозмездной основе;

- отслеживанию действий субъектов ПДн при условии, что таковые осуществляются в пределах ЕС.

Исходя из этих принципов, действие GDPR будет распространяться на многие российские банки, операторов сотовой связи, транспортные компании, туроператоров, гостиницы, интернет-магазины, а также любые компании, имеющие представительства в ЕС. И если эти компании планируют сохранить бизнес, направленный на ЕС, им придётся выполнить достаточно серьёзные меры по приведению своих процессов обработки персональных данных в соответствие с требованиями GDPR.

Несмотря на большие штрафы, предусмотренные GDPR для нарушителей, пока надзорные органы ЕС сосредоточили свою работу на разъяснении положений Регламента и профилактическую работу. За 2018 год в ЕС зарегистрировано 45500 жалоб субъектов на нарушения в сфере обработки их персональных данных, и только в 2 случаях нарушители были оштрафованы.

Роскомнадзор также не стремится к тотальному штрафованию нарушителей – главное профилактическая работа. За 10 месяцев 2018 года территориальными органами Роскомнадзора было проведено 318 проверок и составлено всего 98 протоколов об административных правонарушениях. Кроме того, пока штрафы, предусмотренные ст. 13.11 КоАП, не суммируются по количеству субъектов, в отношении которых были выявлены нарушения.

Важным направлением профилактической работы является саморегулирование операторов, их присоединение к «добросовестным практикам» обработки персональных данных, разработка корпоративных правил обработки персональных данных.
В отношении филиалов зарубежных компаний, действующих на территории Российской Федерации, Роскомнадзор будет осуществлять надзор за выполнением российского законодательства в области персональных данных. Ну и напоследок несколько интересных разъяснений от регуляторов:

• Номер телефона (абонентский номер) согласно постановлению Правительства Российской Федерации от 9 декабря 2014 г. N 1342 «О порядке оказания услуг телефонной связи» однозначно определяет (идентифицирует) оконечный элемент сети связи или подключенную к сети подвижной связи абонентскую станцию (абонентское устройство). Таким образом, он относится к абонентскому устройству (телефону) и не является персональными данными абонента.
  Аналогичный подход и к государственным регистрационным номерам транспортных средств.
  Однако необходимо учитывать, что эти данные в совокупности с данными, идентифицирующими физическое лицо (субъекта персональных данных) уже будут являться персональными данными.
• Для получения согласия субъекта на обработку его персональных данных в электронной форме достаточно использовать простую электронную подпись в соответствии с Федеральным законом от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи».
• Согласия на обработку персональных данных детей до 14 лет должны давать родители (законные представители) ребёнка.
• Требования к типовым формам документов, характер информации в которых предполагает или допускает включение в них персональных данных, установленные п. 7 постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687, не распространяются на типовые формы документов, если они утверждены каким-либо нормативным актом органа государственной власти. К таким типовым документам, например, относятся бланки рецептов на получение лекарств, формы которых утверждены приказом Минздрава России от 20 декабря 2012 г. № 1175н.
• При рассмотрении вопроса, относятся ли автоматизированные банковские системы (АБС) к информационным системам персональных данных, Роскомнадзор будет исходить из того, обрабатываются ли в этих системах персональные данные или нет, вне зависимости от цели их обработки.
• Оценка соответствия средств защиты информации, используемых в рамках реализации мер защиты информации, установленных приказом ФСТЭК России от 18 февраля 2013 г. № 21, может осуществляться в любой форме, предусмотренной Федеральным законом «О техническом регулировании», в том числе в форме испытаний или приемки. Т.е. применение сертифицированных средств защиты в этом случае не является обязательным.