Комментарии.org Комментарии Российского законодательства
Научно-практический постатейный комментарий к Федеральному закону "О персональных данных"
Материал представляет собой постатейный научно-практический комментарий к Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных". В нем рассматриваются правоотношения, складывающиеся в процессе получения, хранения и обработки персональных данных на территории Российской Федерации.
Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом

Комментарий к статье 18.1

1. Комментируемая статья содержит перечень мер, которые должен принять оператор персональных данных в целях соблюдения требований Закона о персональных данных. Этот перечень мер носит ориентировочный характер, окончательное решение относительно таких мер принимает сам оператор по своему усмотрению, за исключением случаев, когда закон обязывает оператора принять конкретные меры. Тем самым Закон о персональных данных в определенной степени отражает риск-ориентированный подход к защите персональных данных, который был заимствован из европейского регулирования и нашел свое отражение в поправках 2011 г. к Закону о персональных данных. По мнению ОЭСР, выступающей одним из основных идеологов данного подхода, следование ему позволяет обеспечить необходимый баланс между безопасностью и экономической целесообразностью <1>.
--------------------------------
<1> Digital Security Risk Management for Economic and Social Prosperity: OECD Recommendation and Companion Document, OECD Publishing. Paris, 2015.

Риск-ориентированный подход предполагает, что риски в сфере информационной безопасности должны не восприниматься исключительно как техническая проблема, а оцениваться в более широкой перспективе с учетом экономических соображений, тяжести возможных последствий и вероятности их наступления. Таким образом, риск-ориентированный подход позволяет оценивать экономическую эффективность и целесообразность принимаемых оператором мер по обеспечению информационной безопасности; оптимизировать расходы организации на ее обеспечение; формировать планы и бюджеты относительно информационной безопасности с учетом возврата инвестиций, ожидаемых от реализации защитных мер. Вкратце суть риск-ориентированного подхода сводится к тому, что стоимость защиты информации должна определяться соображениями разумной достаточности и не должна превышать размера возможного ущерба от нарушения безопасности такой информации. Однако риск-ориентированный подход применим только к частному сектору. В отношении операторов из публичного сектора установлено достаточно детальное регулирование данных вопросов. Перечень мер, которые должны принимать операторы, являющиеся государственными и муниципальными органами, дан в соответствии с ч. 3 комментируемой статьи в Постановлении Правительства РФ от 21 марта 2012 г. N 211 <1>.
--------------------------------
<1> Постановление Правительства РФ от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

2. Назначение оператором лица, ответственного за организацию обработки персональных данных, обязательно для каждого оператора, который является юридическим лицом. Другие операторы, в частности индивидуальные предприниматели, самостоятельно решают вопрос о целесообразности реализации данной меры (см. подробнее комментарий к ст. 22.1 Закона о персональных данных).
3. Разработка и принятие оператором локальных актов, регламентирующих различные аспекты обработки и защиты персональных данных, как и назначение ответственного за обработку персональных данных лица, являются обязательными для операторов - юридических лиц действиями. Это вытекает в том числе и из положений трудового законодательства, предусматривающих обязанность работодателя ознакомить работника под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также с документами об их правах и обязанностях в этой области (п. 8 ст. 86 ТК РФ). При этом наличие таких документов не является самоцелью, а выступает одним из элементов общего процесса минимизации рисков ненадлежащей обработки персональных данных внутри организации, связанных с человеческим фактором. Работники оператора, осуществляющие в силу своих трудовых обязанностей непосредственную обработку персональных данных, должны быть ознакомлены с такими локальными актами наряду с требованиями законодательства о персональных данных и порядком их соблюдения (п. 6 ч. 1 комментируемой статьи).
Как отмечается в комментарии представителей Роскомнадзора, "четкий перечень этих документов законодательно не установлен и форма их жестко не регламентирована, но, опираясь на положения иных федеральных законов и подзаконных актов, можно сделать вывод, что основополагающим документом является положение об обработке персональных данных, устанавливающее цели, задачи деятельности по обработке персональных данных, перечень действий, категории персональных данных, категории субъектов персональных данных, способы обработки, сроки хранения, правила доступа и уничтожения персональных данных для каждой цели" <1>.
--------------------------------
<1> См.: Федеральный закон "О персональных данных": Научно-практический комментарий / Под ред. зам. руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой. М., 2015. С. 106.

В качестве определенного ориентира можно использовать упомянутое выше Постановление Правительства РФ от 21 марта 2012 г. N 211, содержащее перечень локальных актов, которые должны приниматься государственными или муниципальными органами, в который входят:
1) правила обработки персональных данных, определяющие для каждой цели обработки таких данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований;
2) правила рассмотрения запросов субъектов персональных данных или их представителей;
3) правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора;
4) правила работы с обезличенными данными в случае обезличивания персональных данных;
5) перечень информационных систем персональных данных. В таком документе целесообразно указать назначение системы, составляющей основную цель обработки персональных данных в ней (например, автоматизация процессов кадрового учета или процессов расчета заработной платы), категории и объем персональных данных в соответствии с Постановлением Правительства РФ от 1 ноября 2012 г. N 1119;
6) перечни персональных данных, обрабатываемых в государственном или муниципальном органе в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций;
7) перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных в случае необходимости обезличивания персональных данных;
8) перечень должностей служащих государственного или муниципального органа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
9) должностная инструкция ответственного за организацию обработки персональных данных в государственном или муниципальном органе;
10) типовое обязательство служащего государственного или муниципального органа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
11) типовая форма согласия на обработку персональных данных служащих государственного или муниципального органа, иных субъектов персональных данных, а также типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;
12) порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных.
В справочно-правовой системе "" можно найти тексты конкретных документов, принятых различными государственными органами. При этом, конечно, далеко не все из указанных документов должны приниматься каждым оператором частного сектора. Некоторые из этих документов могут быть объединены в один, например, документы 1 - 4, 6 - 8 вполне могут быть составной частью положения об обработке персональных данных в конкретной организации. Общий принцип, которым целесообразно руководствоваться применительно к рассматриваемой мере, можно обозначить следующим образом: чем более формализованы различные аспекты обработки персональных данных в организации, тем проще взаимодействие с контрольно-надзорными органами в ходе проведения проверок.
4. О применении правовых, организационных и технических мер по обеспечению безопасности персональных данных см. комментарий к ст. 19 Закона о персональных данных.
5. Оператор должен осуществлять самостоятельную оценку рисков и возможного вреда, который может быть причинен субъектам персональных данных в случае нарушения требований Закона о персональных данных. Основной целью такого аудита является анализ эффективности принимаемых организационно-технических мер по защите обрабатываемых персональных данных для минимизации возможного вреда. Порядок и периодичность проведения аудита подобного рода определяются локальным актом оператора. В отличие от модели угроз безопасности персональных данных в информационных системах персональных данных, разработка которой требуется в силу положений п. 1 ч. 2 ст. 19 Закона о персональных данных, аудит предполагает сделать акцент не столько на технической составляющей защиты персональных данных (информационной безопасности), сколько на анализе рисков, связанных с нарушением прав субъектов персональных данных в процессе их обработки.
Результаты оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований законодательства в области персональных данных, могут быть оформлены протоколом оценки вреда, в котором для каждой категории субъектов (работники, их родственники, соискатели, клиенты, посетители, руководящий состав и т.п.) и способа обработки персональных данных указывается присвоенная степень вреда. Оператор может сам определить классификацию степеней вреда, например: "низкая, умеренная, средняя, значительная, высокая, чрезвычайно высокая" <1>. Степень тяжести вреда может варьироваться от степени "чувствительности" данных и их идентифицирующего потенциала, количества обрабатываемых данных, количества субъектов персональных данных, обрабатываемых оператором, и прочих факторов.
--------------------------------
<1> Данные категории риска приведены в Постановлении Правительства РФ от 17 августа 2016 г. N 806 "О применении риск-ориентированного подхода при организации отдельных видов государственного контроля (надзора) и внесении изменений в некоторые акты Правительства Российской Федерации".

Рассматриваемая мера была заимствована из европейского законодательства <1>, где в качестве одной из ее основных целей рассматривается профилактика возможных нарушений, поскольку она позволяет выявлять факторы, влекущие возможность совершения таких нарушений, на ранних стадиях. Кроме того, по мнению европейских экспертов, подобные аудиты могут стать "инструментом создания доверия": оператор может публиковать их результаты, демонстрируя действующие в организации высокие стандарты защиты персональных данных <2>.
--------------------------------
<1> В этой связи в качестве неплохого ориентира для ее проведения можно использовать Руководство, подготовленное английским уполномоченным органом по защите персональных данных (ICO): Conducting Privacy Impact Assessments: Code of Practice. February 2014. URL: https://ico.org.uk/media/for-organisations/documents/1595/pia-code-of-practice.pdf.
<2> Calder Alan. EU General Data Protection Regulation (GDPR) An Implementation and Compliance Guide. IT Governance Publishing. 2016. Kindle Edition (Kindle Location 1973).

Обстоятельства, выступающие предметом аудита, равно как и сведения, отражаемые в документах, оформляемых по результатам его проведения, определяются оператором самостоятельно. Так, в документах могут быть представлены:
- описание обрабатываемых персональных данных с указанием их типов (обычные, специальные, биометрические, общедоступные, данные работников и пр.) и целей их обработки;
- анализ степени пропорциональности и необходимости обрабатываемых данных, в том числе на предмет соблюдения принципа их минимизации;
- анализ возможных рисков в связи с осуществляемой обработкой (например, хакерские атаки, вирусы; фишинг; недостаточные знания у персонала, связанные с обработкой персональных данных; риски неправомерного доступа к ноутбукам работников с персональными данными за пределами организации) с указанием источников их возникновения и оценкой вероятности их наступления; характер наступающего вреда и степень тяжести возможных последствий для субъектов персональных данных. В некоторых случаях вред, причиненный субъекту вследствие неправомерной обработки его персональных данных, может быть идентифицирован (например, потеря работы, осложнение отношений с родственниками и близкими, негативный информационный фон в социальных сетях и СМИ), в иных случаях он может быть крайне сложен для формализации. Следует отметить, что вред может наступить не только вследствие неправомерных действий третьих лиц, но и в результате обычных ошибок работников оператора, например неправильного лечения пациента врачом вследствие того, что медсестра перепутала документы разных пациентов. Данная часть аудита весьма непроста, так как выявление и оценка рисков - это своего рода искусство;
- описание принимаемых организационных и технических мер для минимизации вероятности наступления рисков. Некоторые из рисков, вроде возможности использования слабых паролей или оставления незапертыми дверей в помещения с хранимыми персональными данными, могут быть устранены, иные - только минимизированы (риски хакерских атак, проникновения вирусов и т.п.). В этой связи главное не устранить риск, а свести его к приемлемому уровню с учетом всех заслуживающих внимания обстоятельств. Здесь помимо классических мер, предусмотренных Законом о персональных данных и подзаконными актами, могут быть указаны и более инновационные меры, например использование принципов privacy by design в архитектуре сервиса (устройства), посредством которых осуществляются сбор и (или) обработка персональных данных;
- сведения об отраслевых стандартах, кодексах поведения или иных формально необязательных документах, содержащих лучшие практики в области обработки персональных данных, которых придерживается оператор в своей деятельности.
Результаты аудита должны быть документированы, подписаны уполномоченным лицом и сопровождены документами, подтверждающими указанные в нем сведения, для того чтобы оператор смог выполнить обязанность, предусмотренную в ч. 4 комментируемой статьи, согласно которой оператор обязан представить документы и локальные акты или иным образом подтвердить принятие мер, указанных в ч. 1 комментируемой статьи, по запросу Роскомнадзора.
6. Как отмечается в Регламенте 2016 г., оценка рисков и мер, принимаемых для защиты персональных данных (data protection impact assessment), должна проводиться в обязательном порядке всеми операторами, обработка персональных данных которыми сопряжена с высокими рисками для субъектов персональных данных, особенно когда она осуществляется посредством новых технологий. В частности, такой аудит обязателен для операторов, которые:
1) обрабатывают персональные данные в больших масштабах;
2) осуществляют профайлинг или
3) осуществляют автоматический мониторинг пространств со значительным скоплением граждан (ст. 35 Регламента 2016 г.). Примером случаев обработки персональных данных в незначительных масштабах является деятельность частных врачей или адвокатов, для них проведение подобного рода аудитов является необязательным.
7. Регламент 2016 г. устанавливает ряд дополнительных мер, которые должен принять оператор для обеспечения исполнения своих обязанностей.
Так, если оператор имеет местонахождение за пределами Европейского союза, то он обязан назначить уполномоченного представителя в одной из стран, на которую направлена деятельность оператора по предложению товаров (услуг) или в отношении резидентов которой этот оператор осуществляет мониторинг деятельности. Исключением являются случаи, когда обработка персональных данных резидентов Европейского союза носит эпизодический характер и не сопряжена с масштабной обработкой специальных категорий данных (ст. 27 Регламента 2016 г.). Через такого представителя будет осуществляться взаимодействие между контрольно-надзорными органами или субъектами персональных данных и оператором.
Другой новеллой является возложение на оператора обязанности структурировать процессы обработки персональных данных и конструировать информационные системы таким образом, чтобы они в силу своей архитектуры обеспечивали максимально возможную защиту персональных данных (privacy by design). Согласно ст. 25 Регламента 2016 г. при оценке соблюдения оператором данной обязанности должны приниматься во внимание уровень развития технологий, характер сервиса, контекст, при котором осуществляется обработка, цели обработки и тяжесть последствий утечки или иной формы неправомерной обработки персональных данных для субъекта персональных данных. В частности, техническими средствами должны быть обеспечены принцип минимизации собираемых и обрабатываемых данных, а также невозможность получения доступа к персональным данным со стороны неопределенного круга лиц. Контроль за соблюдением данной обязанности осуществляется посредством механизмов сертификации.
8. В случае если оператор осуществляет сбор персональных данных пользователей в сети Интернет, он обязан опубликовать на своем веб-сайте документ, в котором должны быть отражены такие вопросы, как политика обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных. Обычно такой документ именуется "политикой конфиденциальности" (privacy policy). Как вариант, такой документ может быть доступен по соответствующей гиперссылке, размещенной на главной странице и иных интернет-страницах, особенно если там содержатся формы для заполнения персональных данных. При этом такая гиперссылка должна быть заметной и очевидной с точки зрения содержимого документа, к которому она отсылает. Отсутствие размещенной в сети Интернет политики конфиденциальности является одним из наиболее распространенных типов нарушений законодательства о персональных данных, которое достаточно легко выявляется в ходе мероприятий систематического мониторинга российского сегмента сети Интернет Роскомнадзором.
9. Требование о публикации положений политики конфиденциальности направлено на повышение прозрачности процессов обработки и обеспечение возможности принятия субъектом персональных данных информированного решения о предоставлении оператору своих персональных данных для обработки. Однако в ряде случаев эти идеи не отражают реального положения вещей.
Во-первых, сложность восприятия текста положений политики конфиденциальности затрудняет ее понимание среднестатистическим пользователем. Документы такого рода написаны юристами с использованием специальной терминологии и структуры, принятой в юридических документах, нередко сопровождаются множеством отсылок к иным положениям или документам. Далеко не каждый способен понять их смысл при отсутствии специальных познаний. К тому же адресатами данных документов являются люди с различным уровнем способностей и образования.
Во-вторых, немаловажную роль в процессе адекватного восприятия политики конфиденциальности играет информационная перегруженность человека. Современный человек просто не в состоянии обработать те объемы информации, которые необходимо изучить, для того чтобы получить представление о порядке обработки его персональных данных всеми теми операторами, с которыми он сталкивается в своей повседневной жизни. Количество получаемой человеком информации давно уже превысило его возможности адекватно ее воспринимать. Используя множество электронных устройств и сервисов, сталкиваясь с множеством веб-сайтов в сети Интернет, не говоря уже о взаимодействии с множеством контрагентов в "офлайновой жизни" (банки, страховые организации, работодатель и пр.), человек находится в состоянии постоянной информационной перегруженности и чисто физически не может изучать используемые такими контрагентами условия обработки персональных данных. В итоге субъекты персональных данных не читают положения политики конфиденциальности, а в тех редких случаях, когда читают, не понимают их смысла, а если и понимают, то не могут в полной мере просчитать все возможные риски для принятия взвешенного решения.
С целью решения указанной проблемы и повышения эффективности восприятия текста положений политики конфиденциальности в европейской практике применяется многоуровневый подход к данным документам. Например, рабочая группа ст. 29 Директивы 1995 г. предлагает внедрение трехуровневого подхода к предоставлению оператором субъекту персональных данных информации, касающейся обработки персональных данных.
Первый уровень - "краткая информация" (Short Notice), которая должна содержать необходимый минимум информации, требуемой в силу положений Директивы о защите персональных данных: наименование оператора, цели обработки данных и любая иная информация, которая при данных обстоятельствах необходима для обеспечения справедливой и законной обработки данных, и информация о том, как можно получить доступ к полной версии (например, посредством гиперссылки).
Второй уровень - "сжатая информация" (Condensed Notice), которая должна содержать, помимо сведений, имеющихся в "краткой информации", также сведения о возможности передачи данных третьим лицам и категории получателя данных (партнеры оператора, его аффилированные лица и пр.); указания на права субъекта по доступу, изменению информации и возражению в отношении ее обработки третьими лицами в случаях, когда это не является необходимым для получения услуги; список существующих у субъекта опций, относящихся к предоставлению данных оператором (например, указание на обязательный или факультативный характер заполнения некоторых полей); контактные данные уполномоченного лица оператора для ответа на возможные вопросы.
Третий уровень - "полная информация" (Full Notice), которая должна содержать всю подлежащую раскрытию в соответствии с применимым законодательством информацию. По мнению рабочей группы ст. 29 Директивы 1995 г., такой подход не только позволит улучшить степень восприятия информации субъектом персональных данных и повысить уровень его осведомленности о своих правах и порядке обработки его данных, но и даст возможность операторам более гибко подходить к вопросам изложения информации в зависимости от ситуации (например, применительно к информации на мобильных устройствах с небольшим экраном). В случае соблюдения оператором условий предоставления информации на каждом уровне соответствующая информация будет считаться предоставленной согласно требованиям законодательства о персональных данных <1>. Представляется, что данный подход вполне может реализовываться и российскими операторами, что даст им дополнительные аргументы в пользу того, что их информационные обязанности были надлежащим образом выполнены, а согласие субъекта, данное на его основе, было действительно информированным и сознательным.
--------------------------------
<1> WP29 Opinion 10/2004 on More Harmonised Information Provisions (WP100). P. 7 - 9.

Безымянная страница

Rambler's Top100
На правах рекламы:
Copyright 2007 - 2018 гг. Комментарии.ORG. All rights reserved.
При использовании материалов сайта активная гипер ссылка  обязательна!