Обычно реакция российского бизнеса на изменения законодательства описывается народной мудростью «пока гром не грянет, мужик не перекрестится». Примерно так было, когда Государственная инспекция труда начала проводить проверки работодателей, используя риск-ориентированный подход (см. «Маркер» здесь).

В ближайшее время, по словам Андрея Алексейчука, этот же самый подход власти начнут применять при проверках компаний, которые собирают персональные данные. А это практически все компании, но особенно ретейлеры, заведения общепита, компании сферы семейного досуга, которые работают с персональными данными своих клиентов. И хотя риск-ориентированный подход пока не введен, знать о том, как он будет применяться, лучше заранее, считают юристы. А еще не лишним будет разобраться, что вообще происходит сейчас при проверках Роскомнадзора компаний, работающих с персональными данными.

1

Что такое риск-ориентированный подход

Риск-ориентированный подход применительно к проверкам, проводимым государственными органами, можно описать следующим образом. Вместо того, чтобы осуществлять проверки сплошным методом, например, по алфавиту, по номеру реестра, по дате регистрации, всем проверяемым лицам присваивается определенный класс (так называемый «класс опасности») в зависимости от наличия тех или иных критериев, повышающих вероятность нарушения обязательных требований законодательства. В отношении лиц с более высоким классом опасности проверки и иные контрольно-надзорные мероприятия проводятся чаще. В отношении лиц с наиболее низким классом опасности плановые проверки могут не проводиться совсем, а внеплановые – только по жалобам граждан.

Такой подход гораздо удобнее сплошного подхода к проверкам, при которых все поднадзорные субъекты проверяются с равной периодичностью. Причем данный подход выгоднее и государственному органу, осуществляющему проверки, поскольку усилия сосредотачиваются на субъектах, вероятность нарушения законодательства у которых выше, и самим поднадзорным субъектам, так как позволяет освободить от проверок лиц, ведущих деятельность в определенном сегменте с низким риском

2

Проверки и персональные данные

Риск-ориентированный подход был нормативно закреплен в 2015 году, когда его включили в Федеральный закон № 294 от 26.12.2008 г. «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» в виде статьи 8.1. Причем данная статья вступила в силу только с 1 января 2018 года. В ней дается определение риск-ориентированного подхода и устанавливается, что направления контрольно-надзорной деятельности, где будет применяться риск-ориентированный подход, определяются Правительством РФ. Такой перечень появился в 2016 году. Он несколько раз дополнялся в 2017 и 2018 году, однако надзор в сфере персональных данных в этом перечне пока не появился. Соответственно, риск-ориентированный подход при осуществлении государственного надзора в сфере персональных данных пока не применяется. Но можно предположить, что он будет введен в самое ближайшее время. И вот почему.

Во-первых, предположение подкрепляется тем, что «оптимизация планирования контрольно-надзорных мероприятий в области персональных данных за счет применения риск-ориентированного подхода» запланирована Правительством РФ до 31 декабря 2020 года в программе «Информационное общество». Во-вторых, Президент РФ в послании Федеральному собранию в марте 2018 года указал, что, с учетом того что законодательная база для применения риск-ориентированного подхода уже сформирована, «в течение двух лет необходимо перевести всю систему контроля и надзора на риск-ориентированный подход».

3

Как будут определять класс риска компании

Сегодня закон обязывает организации применять определенные меры для защиты персональных данных, и Роскомнадзор проводит проверки соблюдения законодательства о персональных данных в целом. Но частота таких проверок сейчас определяется без учета риск-ориентированного подхода. То есть ведомство должно проверять всех одинаково часто. А вот при введении риск-ориентированного подхода оно будет чаще проверять компании, у которых много рисков, связанных с нарушением законодательства в сфере персональных данных, и реже проверять (или проверять только по жалобам граждан) тех, у кого мало таких рисков. Насколько строгими будут меры защиты персональных данных при их обработке зависит от того, какие и в каком количестве данные обрабатываются и насколько существенный вред может быть причинен при утечке. Критерии для определения таких мер устанавливает постановление Правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Есть предположение, что критерии риск-ориентированного подхода при определении мер защиты персональных данных могут быть применены и при определении частоты проверок. Потому что логично, что необходимость применения более строгих требований по защите персональных данных и необходимость более частых проверок имеют под собой одни и те же причины. Итак, факторами, повышающими риск нарушения законодательства и необходимость проведения проверок в сфере персональных данных, могут быть:

  • Обработка специальных категорий персональных данных (например, о состоянии здоровья), биометрических персональных данных (данных, характеризующих физиологические и биологические особенности человека и используемые для его идентификации);
  • Количество субъектов, данные которых обрабатываются (например, согласно постановлению Правительства № 1119 обработка персональных данных более 10 000 субъектов, не являющихся сотрудниками, влечет необходимость применения повышенных мер безопасности);
  • Особые способы обработки персональных данных. Например, трансграничная передача персональных данных, принятие решений на основе исключительно автоматизированной обработки персональных данных связаны с необходимостью соблюдения специальных требований законодательства. Соответственно, и риски нарушения законодательства при такой обработке данных выше.
В то же время обработка общедоступных персональных данных, данных, принадлежащих исключительно работникам оператора, данных, состоящих только из фамилии, имени и отчества влечет более низкие риски нарушения законодательства и прав граждан – и должна снижать присвоенный класс опасности и частоту проверок.

4

К чему готовиться

Пока риск-ориентированный подход не введен, необходимо готовиться к проверкам Роскомнадзора, проводимым в традиционном порядке. Следует учитывать, что Роскомнадзор, в первую очередь, обращает внимание на следующие моменты:

  1. Было ли подано в Роскомнадзор уведомление об обработке персональных данных. Необходимо или представить данные о направлении такого уведомления, или сослаться на одно из оснований, позволяющих обрабатывать данные без уведомления Роскомнадзора. Перечень таких оснований предусмотрен частью 2 статьи 22 закона «О персональных данных» от 27.07.2006 г.
  2. Если уведомление в Роскомнадзор было подано – соответствует ли реальное положение дел данным, указанным в уведомлении.
  3. Соблюдены ли требования к неавтоматизированной обработке персональных данных: кто обрабатывает персональные данные, как хранятся документы. Например, если у ритейлера введена программа лояльности, анкеты в рамках которой заполняются и обрабатываются на бумаге – где и каким образом хранятся и обрабатываются такие анкеты.
  4. Соблюдены ли требования к автоматизированной обработке данных в информационной системе, в том числе требования вышеупомянутого Постановления № 1119.
  5. Утверждена ли политика обработки персональных данных. Если данные собираются через сайт компании – размещена ли такая политика на сайте. Это, опять же, может касаться, например, ритейлеров - в части регистрации клиентов в программе лояльности, сбора отзывов клиентов о деятельности компании.
  6. Персональные данные каких субъектов обрабатываются и на каком основании. Допустимые основания для обработки персональных данных перечислены в части 1 статьи 6 Закона о персональных данных.
  7. Если данные обрабатываются на основании согласия субъекта персональных данных – соблюдены ли требования закона к такому согласию (статья 9 Закона о персональных данных).
  8. Передаются ли персональные данные третьим лицам. Если да, соблюдаются ли требования закона, касающиеся передачи (наличие согласия субъекта, соответствующие условия в договоре с третьими лицами, требования, касающиеся трансграничной передачи данных).
  9. Обрабатываются ли специальные категории персональных данных и биометрические персональные данные. Соблюдены ли условия для такой обработки.
  10. Соблюдаются ли требования о локализации персональных данных (часть 5 статьи 18 Закона о персональных данных).
Используя приведенные выше критерии и требования, компания может, во-первых, надлежащим образом подготовиться к проверке Роскомнадзора, а, во-вторых, выявить наиболее существенные риски, связанные с обработкой персональных данных. Снижение таких рисков позволит компании декларировать более низкий класс опасности, когда риск-ориентированный подход в этой области будет введен.