Персональные данные сегодня — настоящее «поле боя» между всеми вовлеченными сторонами (предпринимателями, пользователями, мошенниками).
Как защищать личные персональные данные
Не секрет, что каждый из нас регулярно оставляет в сети Интернет личную информацию — при покупке билетов, техники и продуктов, заказе еды, использовании банковских приложений и телемедицины. Онлайн-консультации, в том числе юридические, — тоже сфера персональных данных.
Легкомысленное отношение к персональным данным и их «утечка» — «бич» нашего времени. Это чревато тем, что персональные данные могут быть использованы злоумышленниками, вследствие чего можно стать не только должником в банках и микрофинансовых организациях, но и фигурантом административных и уголовных дел. Кроме того, это может повлиять на кредитование в банке.
В 2022 году в России произошло несколько громких утечек персональных данных пользователей: СДЭК, Туту.ру, Озон, сервис «Яндекс.Еда».
В нашей практике встречались неприятные случаи, когда к захвату аккаунтов в банках и на «Госуслугах», изменению мобильного номера, и даже получению нового паспорта на стороннее лицо привела кража мобильного телефона клиента. Потеря телефона сегодня — это большой риск потерять все аккаунты в приложениях, так называемую «цифровую личность».
В бизнесе «утечка» и разглашение личной информации может привести не только к репутационным рискам, но и к срыву контрактов. Например, когда информация о разводе или корпоративном конфликте может отсрочить или вовсе сорвать сделку по продаже бизнеса или недвижимого имущества.
Основные рекомендации в части защиты персональных данных:
- работайте с защищённым соединением или используйте программы для шифрования трафика;
- используйте менеджеры паролей и сложные для взлома комбинации;
- не пренебрегайте знаниями того, как компании используют ваши личные данные.
Что делать, если произошла «утечка» данных?
На бизнесе, как операторе данных, лежит обязанность защиты персональных данных. Если компания — оператор персональных данных, то при «утечке» она должна сделать следующее:
- В течение 24 часов с момента, когда об этом стало известно, уведомить Роскомнадзор;
- В течение 72 часов — провести внутреннее расследование произошедшего для передачи результатов Роскомнадзору;
- В случае обнаружении хакерских атак — уведомить об этом Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак;
- В случае утечки персональных данных 20 000 и более физических лиц, необходимо уведомить их о произошедшем инциденте.
«Предупрежден-вооружен»: самые важные изменения в Федеральный Закон «О персональных данных»
Споры по персональным данным набирают обороты — это и хищения денежных средств и имущества, а также «кража личности», и привлечение бизнеса к ответственности за утечки, и дискуссии о том, является ли та или иная информация персональными данными, а также как, кто и в каком объеме вправе получать к ней доступ. Процедуры проверок контрагентов, банкротства физического лица или привлечения к субсидиарной ответственности тесно сопряжены с режимом защиты персональных данных.
Проблема защиты персональных данных актуальна не только в России: в США в 2020 году жертвой «кражи личности» стали 47% американцев. Таким образом, было похищено более 700 млрд., причем наибольшее количество компрометаций произошло через сектор здравоохранения.
Поэтому сегодня в России принимается во внимание правовой опыт по защите данных не только США и европейских стран, но и восточных партнеров — Китая, Японии и других. А значит, российские законы и практика будут все больше развиваться и совершенствоваться. Так, многочисленные изменения в специальный закон вступили в силу уже 1 сентября этого года.
Положения ФЗ «О персональных данных» теперь будут распространяться, в том числе, на иностранные компании и физические лица, в случае использования ими данных российских физических лиц. В случае передачи компанией данных иностранной организации для обработки, ответственность перед физическим лицом несут обе организации.
Требования к согласию на обработку персональных данных расширены. Теперь согласие должно быть не только конкретным, информированным, сознательным, но и предметным, однозначным. Компании, в свою очередь, должны разъяснять лицу не только последствия отказа в предоставлении данных, но и последствия отказа на их обработку.
Важно, что теперь компаниям нужно будет уведомлять о намерении начать обрабатывать персональные данные в отношении своих работников, клиентов (в том случае, если данные нужны для заключения и исполнения договора), физических лиц (только в части Ф.И.О.; для однократного пропуска на территорию или в схожих целях; которые разрешили распространять данные), еще и Роскомнадзор. Необходимо указать правовое основание обработки, категорию данных и их субъектов, перечень действий с данными и способы их обработки. Более того, если у физических или юридических лиц имеется доступ к персональным данным в государственных (муниципальных) информационных системах или они обрабатывают данные из этих систем по договору, Ф.И.О. таких физ. лиц/наименование юр. лиц нужно также отразить в уведомлении.
Кроме того, ранее срок предоставления необходимой информации в уполномоченный орган по защите прав субъектов персональных данных (по запросу этого органа) составлял 30 дней с даты получения такого запроса. Теперь же срок сокращен с 30 до 10 дней, с дальнейшей возможностью его продления, но не более чем на 5 рабочих дней, и только при условии направления мотивированного уведомления с указанием причин.
П. 2 ст. 18.1 ФЗ «О персональных данных» в новой редакции конкретизирует требование о том, что локальные акты должны содержать категории и перечни обрабатываемых данных, категории субъектов данных, способы, сроки обработки и хранения данных, а также порядок их уничтожения. Кроме того, согласно принятым изменениям, договор не может содержать положения, которые ограничивают права и свободы физ. лица, устанавливают случаи обработки данных несовершеннолетних (в том случае, если иное не предусмотрено законом), а также те положения, которые позволяют заключать договор при бездействии физического лица.
К информации, которую организация обязана предоставить физ. лицу перед обработкой его данных (ст. 14 ФЗ «О персональных данных»), добавлена передача информации о способах исполнения оператором обязанностей, установленных статьей 18.1 ФЗ «О персональных данных». Если от физ. лица поступает требование о прекращении обработки его персональных данных, у компании есть 10 рабочих дней для ее прекращения (срок также может быть продлен до 5 рабочих дней при наличии мотивированного уведомления).
Изменения коснулись, в том числе, и Закона о защите прав потребителей. Как известно, продавец не может отказать потребителю в заключении, исполнении, изменении или расторжении договора из-за отказа потребителя предоставить персональные данные. Однако у любого правила есть свои исключения. В данном случае их два: предоставить данные требует закон, или же данные нужны для исполнения договора. За нарушение запрета предусмотрен штраф: для должностных лиц – на сумму от 5000 рублей, для юридических лиц – от 30000 до 50000 рублей.
Председатель Комиссии по защите профессиональных прав адвокатов Адвокатской палаты Ленинградской области
Уполномоченный по защите прав предпринимателей в Петербурге
Партнёр юридической компании «Апелляционный центр»
Депутат Госдумы от Санкт-Петербурга