Как компаниям выстраивать политику по защите персональных данных

Работа с персональными данными становится все более актуальной: как с точки зрения их защиты для конкретного лица, так и их ценности для бизнеса или, как минимум, стоимости комплаенса. Это касается компаний и их сотрудников, отдельных граждан, включая практически всех, кто хоть раз что-то покупал или искал в интернете. На встрече клуба «Про бизнес» Кирилл Лаптев, партнер юридической фирмы Anischenko Laptev, и Владислав Жавнерчик, Data Protection Officer компании hoster.by, рассказали об эволюции регулирования в сфере обработки данных, практических проблемах и мерах, предпринимаемых для их решения или планируемых в перспективе.

Обработка и защита: общий контекст регулирования

— GDPR (Общий регламент защиты персональных данных), принятый в Европе в 2016 году, наделал много шума во всем мире и стал одной из предпосылок появления Закона о защите персональных данных и у нас. Фактически на момент принятия нашего Закона все соседние страны уже имели у себя действующее регулирование обработки персональных данных и нарабатывали практику.

Процесс проработки Закона в Беларуси начался более восьми лет назад и шел довольно взвешенно. Еще на этапе разработки концепции будущего закона и обоснования его принятия были учтены как мнения спектра национальных органов, связанных с обработкой больших массивов данных или защитой прав граждан, так и международный опыт. Многие подходы были основаны на положениях Конвенции Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера (1981 год), в том числе с привлечением экспертов из Совета Европы. Дело не только в том, что это был ключевой (и чуть ли не единственный) международный акт в сфере обработки ПД (персональных данных) в мире, но и в практическом его отражении в национальном законодательстве многих стран, в том числе России как члена Совета Европы на тот момент. Один из примеров — появление у нас самостоятельного регулятора в этой сфере, Национального центра защиты персональных данных (НЦЗПД), вместо добавления данных функций одному из существующих госорганов.

В 2019 году в Парламент поступил законопроект, который рассматривался и дорабатывался до 2021-го, когда стали возникать все более серьезные вызовы в сфере информационной безопасности, нередко связанные с утечками персональных данных. В итоге был принят Закон Республики Беларусь от 7 мая 2021 года № 99-З «О защите персональных данных», который вступил в силу 15 ноября того же года. Данный правовой акт заложил основы правового регулирования вопросов защиты персональных данных, прав и свобод физических лиц при обработке их персональных данных, а в его развитие были приняты и изменены другие акты законодательства. Началась новая эра работы с персональными данными в Беларуси.

Обязательные меры защиты и ориентация на риски. Ответственность бизнеса в части персданных

Каждый бизнес сталкивается с необходимостью обработки персональных данных: как во внутренних процессах, например, при найме на работу или ведение бухгалтерского учета, так и при реализации «внешних» бизнес-процессов: в ходе заключения и исполнения договоров, проведения рекламных активностей и др.

С момента вступления в силу Закона мы проходим три эволюции:

• Эволюция культуры защиты персональных данных. Изначально у многих компаний сложилось мнение, что для выполнения требований нового закона бизнесу достаточно формально реализовать комплекс обязательных мер защиты персональных данных, прямо перечисленных в статье 17 Закона. Однако, это лишь базис, в основе лежит непривычный нам риск-ориентированный подход, когда вы сами должны определить, каких мер тебе хватит, чтобы правильно и защищенно обрабатывать персданные.

Для лиц, принимающих решение, зачастую это требовало в корне поменять свое видение: не надеяться на минимальные штрафы вместо значимых затрат на комплаенс, а перейти к защите персданных как конкурентному преимуществу, лежащему в основе бизнес-культуры. Иностранные партнеры уже к этому привыкли, клиенты начинали все больше обращать на это внимание, примеры утечек влияли на репутацию, не говоря уже о прямых рисках.

• Эволюция подхода регулятора. Фактически новый регулятор появился в день вступления в силу Закона, времени на раскачку не оставалось, а при этом уровень резистентности в бизнесе был очень высоким, что во многом объяснялось отсутствием ясного понимания, что делать (и надо ли). Первое время основные усилия НЦЗПД были направлены на разъяснительную работу, дополняемую массированным обучением специалистов компаний, как работать с новым законом. Ко многим практическим ситуациям потребовалось выработать подход, учитывающий баланс интересов всех сторон и стратегическое видение последствий того или иного подхода. Могло сложиться обманчивое мнение, что этим и ограничится правоприменение. Однако регулятор по сути в течение первых лет дал возможность бизнесу разобраться, адаптироваться и настроить свои бизнес-процессы с учетом новых требований, занимая непривычно активную и открытую позицию в публичном пространстве. В последнее время мы наблюдаем более решительный подход в сфере контроля со стороны регулятора, вплоть до полной приостановки отдельных бизнес-процессов в случае выявления нарушений и быструю реакцию при утечках или жалобах.
• Эволюция DPO как новой профессии. Закон о защите ПД создал новую позицию в команде практически любого бизнеса — лица (или подразделения), ответственного за контроль обработки ПД, или т.н.Data Protection Officer. И если сначала была попытка «довесить» эту роль штатному юристу или даже системному администратору, то со временем выкристаллизовалась потребность в отдельном специалисте (а иногда и команде) с новой экспертизой. Начала происходить эволюция и на рынке труда, в том числе финансовых ожиданий на фоне соотношения спроса-предложения. Кроме обучения в НЦЗПД появилась программа подготовки в БГУИР, хотя зачастую новые специалисты «затачивались» уже в процессе работы.

Несмотря на все еще существующую потребность в таких кадрах, уже появились высококвалифицированные и опытные DPO, ставшие «на вес золота». Не стоит говорить, что при проверке регулятора первый фактор комплаенса компании — это наличие толкового DPO.

Все меры защиты персональных данных делятся на организационные, правовые и технические. Другими словами, это настройка бизнес-процессов, комплекс их юридического оформления (документов) и построение системы технической защиты информации.

На практике, техническая защита — одна из самых сложнореализуемых мер защиты персональных данных. Система защиты информации требует аттестации, которая проводится согласно требованиям Оперативно-аналитического центра при Президенте. Специалисты знают, что эти требования существовали и ранее, задолго до принятия Закона о защите ПД.

Ответсвенность за нарушение законодательства о персональных данных

Для оценки рисков компании (или обоснования затрат на комплаенс) зачастую начинают «с конца» или последствий невыполнения или неполного выполнения регуляторных требований. Вместе с Законом о защите ПД в Беларуси появилась специальная административная ответственность за правонарушения в сфере обработки ПД, уголовная ответственность (только для физических лиц), а также нормы о дисциплинарной ответственности. При этом можно обращаться и за гражданско-правовой компенсацией в случае нарушений, хотя такая практика еще не сложилась.

Рассчитывать, что административный штраф избавит от необходимости комплаенса не стоит. Для бизнеса более значимые последствия возникают, если НЦЗПД выдает предписание приостановить обработку персональных данных в информационной системе компании. Это фактически парализует бизнес, а иногда и приводит к его полному прекращению, если бизнес-модель была построена на основе неправильной обработки ПД. Если же компания примет достаточные меры для устранения нарушения, по решению НЦЗПД, она сможет возобновить обработку ПД.

Из практики можно выделить такие наиболее частые случаи нарушений, как невыполнение или поверхностное выполнение регуляторных требований компании, что выявляет проверка либо жалобы субъектов данных, человеческих фактор (работник раскрыл информацию), утечки ПД технического характера, которые в дальнейшем служили причиной проверки.

Перспективы сферы защиты персональных данных

Сейчас рассматривается несколько нововведений в сфере персональных данных. Среди них:

• Локализация отдельных, более чувствительных, персональных данных. Сейчас регулятор рассматривает вопрос о том, чтобы, например, медицинские данные или данные несовершеннолетних, обрабатывались и хранились только на территории Беларуси. Возможно, с другой стороны, для менее чувствительных данных, не подпадающих под локализацию, требования будут упрощены. Напомним, что сейчас требования локализации для отдельных видов деятельности вытекают из Указа № 60.
• Усиление административной ответственности. Обсуждается вопрос об изменении размера административных штрафов за правонарушения в сфере персданных, в том числе для юридических лиц. Для сравнения, в ЕС предусмотрены оборотные штрафы и как альтернатива весьма высокие фиксированные суммы в десятки миллионов евро, в России также рассматривается проект о введении оборотных штрафов. В Беларуси уже применяются оборотные штрафы, к примеру, за правонарушения в сфере стандартизации.

Вполне вероятно, что у НЦЗПД появятся полномочия по составлению протоколов за такие административные правонарушения (сейчас этим занимаются органы внутренних дел).

В целом, в перспективе возможны изменения и в самом Законе о защите персональных данных с учетом наработанной правоприменительной практики и выявленных новых вопросов для регулирования. В этом плане комплаенс по обработке ПД — живой процесс, требующий постоянной актуализации.