Персональные данные как объект правовой охраны в условиях цифровой экономики
Закон о персональных данных был принят ещё в 2006 году (№152-ФЗ от 27.07.2006), но правовое регулирование в этой сфере стало объектом пристального внимания только в последние два-три года. Не удивительно: количество пользователей сети «Интернет» только в России, согласно опросу ВЦИОМ, более 70% населения страны старше 18 лет, т.е. около 81 млн человек, а количество приложений, предлагаемых к установке через магазины Google Play и App Store, давно перевалило за несколько миллионов. Как много пользователей, которые поставили отметку согласия с «Политикой конфиденциальности» и предоставили свое «Согласие на обработку персональных данных» таким приложениям, внимательно изучили содержание этих документов. Существует несколько очевидных рисков доступности такого количества информации:
- пользователь не может быть уверен в соблюдении установленных пределов обработки его данных;
- нет гарантий добросовестности исполнения ограничений по передаче третьим лицам таких данных, а, следовательно – нет уверенности в соблюдении конституционных гарантий неприкосновенности частной жизни, тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений (статья 23 Конституции РФ).
До сих пор остается открытым вопрос о том, как пользователи, не обладающие специальными техническими познаниями или элементарной грамотностью поведения в сети «Интернет», могут получить информацию о том, кто, в каких целях, когда и в каких пределах использует их персональные данные.
Если внимательно изучить первые полосы новостных лент, очевидно – персональные данные уже стали одним из наиболее значимых активов в эпоху зародившейся цифровой экономики. Достаточно вспомнить последний скандал с использованием персональных данных пользователей Facebook, когда основатель сети господин Цукерберг вынужден был давать объяснения в Конгрессе. Последние события – вершина айсберга споров о правомерности таргетированной рекламы с учетом использования персональных данных в процессе ее применения. Так, таргетированная реклама не может осуществляться без соблюдения законодательства в области персональных данных и, учитывая ее специфику, должна предоставляться исключительно при наличии согласия пользователя. Эксперты в связи с этим опасались, что попытки вмешательства в техническую отрасль законодательного регулирования приведет к снижению темпов технического прогресса, но, с другой стороны не могли не признать, что это является необходимой мерой обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных.
Законодательством предусмотрена гражданская, административная и уголовная ответственность, которая может наступить при обработке персональных данных. Стоит также отметить и дисциплинарную ответственность, предусмотренную трудовым законодательством, которая касается работников, допущенных к персональным данным в связи со своей профессиональной деятельностью (подпункт «в» п. 6 ч. 1 ст. 81 ТК РФ - Разглашение одним работником персональных данных другого, если они стали известны ему в связи с исполнением трудовых обязанностей; иные нарушения в области персональных данных при их обработке – ст. ст. 90, 192 ТК РФ)
Судебная практика свидетельствует: неоднократно выявлялись факты нарушения установленных требований обработки персональных данных, что приводило к привлечению компаний к административной ответственности (ст. 13.11 КоАП РФ), также персональные данные регулярно становятся способом совершения преступлений (например, кража средств с банковских карт).
Компании, являющиеся операторами персональных данных, разрабатывают и утверждают действующие в организации Политику конфиденциальности и Правила обработки персональных данных, ознакамливают своих работников с правилами и порядком работы, принимают необходимые меры для предотвращения утечки данных. Но часто таких мер недостаточно для того, чтобы обеспечить необходимый уровень безопасности и защиты персональных данных.
Как следствие, в рамках государственной программы «Цифровая экономика» планируется ввести обязательные финансовые гарантии или страховку для компаний, которые работают с персональными данными. Страхование ответственности при работе с персональными данными может быть полезным продуктом для банков, интернет-магазинов, платежных систем, корпоративных сайтов, коллекторских агентств, компаний, использующих CRM-системы и других организаций, на сайте или информационном портале которых посетители оставляют личную информацию (как минимум, для авторизации).
Объектом страхования в данном случае выступают имущественные интересы Страхователя – риски возникновения убытков, которые может понести Страхователь в результате компьютерных преступлений, либо иного неправомерного доступа к персональным данным, которыми Страхователь владеет, пользуется или распоряжается.
Введение обязательного страхования может повысить уровень информационной безопасности операторов персональных данных - Страхователей, так как страховые компании будут ставить в зависимость размер страховой премии от уровня безопасности информационной системы, в то же время такое изменение станет гарантией возмещения убытков субъектам персональных данных.
В настоящее время можно констатировать наличие отработанных и проверенных рекомендаций, которые являются для многих лиц своеобразной «инструкцией по применению» и обращают внимание на нюансы, которые необходимо учесть при обработке и хранении персональных данных, чтобы следовать букве Закона:
1. Форма обратной связи на сайте:
Формы обратной связи на сайте повышают эффективность взаимодействия с его посетителями, а также являются удобным и доступным способом отправки обращений. Компании сейчас часто размещают на своих сайтах информацию об открытых вакансиях и в целях упрощения процедуры используют формы обратной связи, позволяющие кандидатам оперативно заполнить анкету. Но при использовании подобного функционала важно не забывать о требованиях части 1 статьи 6 Федерального закона «О персональных данных»: «...обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных». В целях соблюдения требований законодательства при разработке форм обратной связи на сайте необходимо реализовать функции получения предварительного согласия субъекта и получать отметку о таком согласии до момента отправки самой анкеты.
2. Обязанность уничтожить персональные данные:
Также важным моментом при работе с персональными данными кандидатов является то, что при достижении целей обработки персональных данных (принятие решения о приеме либо отказе в приеме на работу) согласно ч. 4 ст. 21 ФЗ «О персональных данных» оператор, в срок не превышающий тридцати дней с даты достижения такой цели, обязан прекратить обработку персональных данных или обеспечить ее прекращение, и уничтожить персональные данные или обеспечить их уничтожение.
3. Согласие на конкретные действия:
При получении согласия субъекта на обработку персональных данных, необходимо конкретизировать цели такой обработки и не использовать обобщенные формулировки. Субъект должен осознавать, на что именно он дает согласие, во избежание двусмысленных трактовок, которые, в последствии, могут оказаться предметом для спора.
Аналогичны требования ч. 3 ст. 6, ст. 7, п. 4, п. 6 ч. 4 ст. 9 ФЗ «О персональных данных». Так, Роскомнадзор в предписании в отношении одной из проверяемых компаний обратил внимание на отсутствие документов, подтверждающих, что субъекты персональных данных давали свое согласие на поручение хранения персональных данных третьим лицам, в имеющихся согласиях отсутствовала информация о наименовании третьих лиц. Осуществление трансграничной передачи ПДн на территории конкретного государства (США) и включение ПДн в общедоступные источники также однозначно не могут подпадать под пространственное понятие «согласие на обработку третьими лицами в целях осуществления деятельности Общества», в силу наличия ч. 1 ст. 8 ФЗ, а также п. 1 ч. 4 ст. 12 ФЗ.
При проверке обоснованности и законности Предписания Роскомнадзора Суд, в том числе, обратил внимание на то, что «если цели обработки персональных данных работников выходят за рамки ТК РФ, для каждого случая передачи ПДн работников третьим лицам необходимо получать отдельное письменное согласие работника». С одной стороны, подобные требования, без наличия автоматизированных решений, могут привести к канцелярской волоките, с другой - являются необходимыми в целях соблюдения конфиденциальности персональных данных.
Всё сказанное лишь ещё раз подчёркивает, что переход общества к цифровой экономике требует как грамотного и последовательного правового регулирования со стороны государства, так и правовой грамотности граждан и осознанности принятых ими решений в момент предоставления персональных данных третьим лицам.