Суть дела: Персональные и конфиденциальные

Начну с закона «О персональных данных». Лицо, которое работает с персональными данными (сотрудников, клиентов и т. п.), становится оператором персональных данных и в соответствии с законом должно принимать правовые, технические и организационные меры для защиты от несанкционированного доступа. Практика показывает, что проблема часто возникает с техническими мерами. С одной стороны, выбор средств защиты остается за оператором. С другой — эти средства должны соответствовать требованиям, принятым в ФСБ и Федеральной службе по техническому и экспортному контролю. Если оператор вдруг захочет передать обработку персональных данных на аутсорсинг, то каналы передачи должны быть сертифицированы по требованиям безопасности, а средства передачи — соответствовать требованиям, предъявляемым ФСБ и другими регуляторами. При этом оператор, который будет получать эти данные, тоже должен обладать такими же средствами.

Еще один вопрос связан с необходимостью уничтожения персональных данных либо по требованию самого субъекта, либо в случае достижения целей обработки этих данных. Но что считать моментом достижения целей обработки? Приведу пример. Азиатско-Тихоокеанский банк заключил с гражданином договор о кредитовании. По кредитному договору заемщик мог отозвать согласие на обработку его персональных данных заявлением в письменной форме. Когда договор был исполнен, а кредит возвращен, гражданин потребовал уничтожить все его персональные данные, включая адреса и телефоны. Банк отказался, и гражданин обратился с жалобой в Роскомнадзор, который его поддержал и составил акт о нарушении. Банк оспорил акт в суде: он считал, что сохранять персональные данные клиента требуется с точки зрения бухгалтерского учета — для дальнейших проверок налоговыми органами и т. д. Суд первой инстанции поддержал Роскомнадзор. Однако суд апелляционной инстанции поддержал позицию банка. При этом суд указал, в каких случаях обработка персональных данных может продолжаться даже после отзыва согласия субъектом: когда это необходимо для защиты прав и законных интересов оператора или третьих лиц либо для достижения общественно-значимых целей. В данном случае суд сослался на закон «О бухгалтерском учете» и закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем».

Еще один момент связан с тем, что в законе нет точного определения, когда необходимо письменное согласие на обработку персональных данных. Некоторые четкие случаи закон действительно устанавливает. Это особые категории персональных данных, связанных с национальной принадлежностью, политическими взглядами, состоянием здоровья, интимной жизнью. Далее это биометрические персональные данные, когда необходимо согласие на их трансграничную передачу на территорию иностранных государств, не обеспечивающих адекватную защиту прав субъектов персональных данных, — которые не ратифицировали европейскую Конвенцию о защите физических лиц при автоматизированной обработке персональных данных 1981 г.

Для остальных случаев действительна любая форма согласия гражданина. В то же время обязанность предоставлять доказательства получения согласия субъекта персональных данных на их обработку возлагается на оператора. Как доказать устное согласие — никому не понятно. Поэтому, чтобы избежать проблем с регуляторами, многие операторы устанавливают форму предоставления согласия как для специальных категорий. Соответственно, инспектор Роскомнадзора все больше привыкает требовать именно такую форму, даже если она не установлена законом. В декабре 2013 г. в Госдуму был внесен проект изменений в закон «О персональных данных». Законопроект подготовлен с участием РАЭК (НК «Российская ассоциация электронных коммуникаций»). Во-первых, предлагается договор между оператором и субъектом персональных данных, который подразумевает согласие субъекта на передачу данных на обработку третьему лицу. Еще предлагается положение о том, что обеспечение конфиденциальности не требуется в отношении данных, которые сам субъект сделал общедоступными; в отношении данных, полученных оператором в результате обезличивания персональных данных, а также в отношении персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом. Кроме того, согласие на обработку персональных данных может быть выражено в любой форме, в том числе в электронном виде.

Вторая группа проблем связана с защитой конфиденциальной информации.

Одно из основных опасений бизнеса состоит в том, что данные, которые хранятся в электронных системах, легче украсть. Мировая практика показывает, что даже самая лучшая защита не устоит перед человеческим фактором. Как правило, люди — основной источник утечки конфиденциальной информации. Мы рекомендуем прежде всего принять меры, связанные с работой сотрудников: ввести ограничение доступа и уведомить сотрудников, которые его получают, что эта информация является конфиденциальной. Но бывает так, что информация передается преднамеренно, и зачастую это бывают не сотрудники, а организации, которые осуществляют информатизацию предприятия. Что мы тогда можем сделать? Предположим идеальный случай, когда кого-то удалось схватить за руку. Какие есть меры защиты? Естественно, обращение в суд. Мы можем требовать возмещения убытков и неустойки. И то и другое довольно проблематично. Допустим, клиент ушел к другому поставщику, у которого продукт дешевле в силу того, что он не вкладывал деньги в R&D, в консультантов, а просто получил данные незаконно. Как доказать в суде, что возник убыток? Скорее всего никак. И при наличии сомнений суд полностью отказывает в возмещении, а не уменьшает требуемую сумму. Что касается неустойки, то у суда есть право снижать ее, если она несоразмерна последствиям нарушений.

К счастью, судебная практика постепенно отходит от таких неудобных правил. В июле 2013 г. вышло постановление Высшего арбитражного суда, касающееся возмещения убытков лицами, входящими в состав органов юридического лица. Там сказано, что суд не может полностью отказать в удовлетворении требований о возмещении убытков только на том основании, что их размер невозможно установить с разумной степенью достоверности.