Как полюбить закон № ФЗ-152

Защита персональных данных сегодня находится под пристальным контролем властей во всех странах мира, включая Россию. Мы предлагаем краткое руководство для иностранных компаний, которые ведут бизнес в РФ и должны соблюдать требования российского законодательства в этой сфере.

В России порядок работы с персональными данными граждан РФ установлен законом «О персональных данных» от 27.07.2006 № 152-ФЗ (с изменениями и дополнениями) и рядом подзаконных актов (постановлений правительства РФ и приказов регуляторов). В ЕС аналогичную роль играют Общий регламент по защите данных (General Data Protection Regulation, GDPR) и локальные законодательства стран – членов ЕС.

Работа с ПДн в России и ЕС имеет ряд сходств и различий, обусловленных процессами развития законодательства в разных юрисдикциях, а также практикой правоприменения.

Главный стимул тщательно изучить правила работы с ПДн в России – многомиллионные штрафы за неисполнение обязанности по локализации на территории РФ баз с персональными данными российских граждан. Для юридических лиц штраф за первое нарушение правил о локализации составит 1–6 млн руб. ($33 000–100 000), а повторное нарушение обойдется компании в 6–18 млн руб. ($100 000–300 000).

В 2019 году изменились правила проведения проверок операторов персональных данных со стороны Роскомнадзора. В частности, сократились сроки уведомления о проверках: о плановой – до трех рабочих дней, о внеплановой – до 24 ч. Вместе с тем короче стал и срок самой проверки – уменьшилось время, в течение которого госорган имеет право проверять компанию (20 и 10 дней соответственно), что можно считать положительным моментом для бизнеса.

Проверка юридических лиц и индивидуальных предпринимателей теперь возможна не ранее, чем через три года после их регистрации. Таким образом, у вновь образованных компаний есть время привести свои бизнес-процессы в соответствие с требованиями закона и для подготовиться к проверкам. 

Периодичность проверок зависит от того, какие данные и как обрабатываются. Большую часть компаний по-прежнему будут проверять не чаще, чем раз в три года. Исключение составляют компании, работающие с особыми категориями данных (в том числе с биометрическими), а также некоторые операторы ПДн, осуществляющие их передачу иностранным государствам, юридическим и физическим лицам. Проверка таких операторов может проводиться каждые два года.

Иностранная компания, которая собирает данные российских граждан на территории нашей страны, может обеспечить их защиту в соответствии с законом двумя путями.

Первый сценарий. Компания регистрирует бизнес-единицу (дочернюю компанию, филиал, представительство) в России.

В этом случае все относительно просто: если компания соответствует требованиям GDPR в Европе, то адаптировать свои процессы и процедуры к требованиям закона № 152-ФЗ ей труда не составит. Как и GDPR, российский закон большую часть своих требований к бизнесу выдвигает на уровне политик, процессов и их документального сопровождения, т.е. в плоскости организационных мер. 

Единственное узкое место – техническое обеспечение защиты персональных данных: инфраструктура и инструменты шифрования. Обеспечением соответствия инфраструктуры требованиям закона № 152-ФЗ занимаются специалисты по информационной безопасности, которые должны иметь специальное образование, а также обладать релевантным опытом применения действующих в этой сфере нормативных документов ФСТЭК и ФСБ. Подобной экспертизы сложно ожидать от компании, только выходящей на российский рынок, поэтому добиться соответствия самостоятельно может оказаться сложным. Вместе с тем эту услугу можно получить у локальных провайдеров, предоставляющих сервис соответствия закону № 152-ФЗ под ключ и разворачивающих защищенные участки для работы с ПДн на собственной инфраструктуре. Требования локализации инфраструктуры для работы с персональными данными граждан РФ – сегодня основной бизнес-риск, учесть его – важнейшая задача иностранной компании, работающей с ПДн в России. 

Второй сценарий. У иностранной компании нет бизнес-единицы в России, но данные россиян в ее деятельности так или иначе используются.

В рамках этого сценария вероятность проверки регулятором бизнес-процессов компании крайне мала, но запросить информацию о местонахождении инфраструктуры и политику компании в отношении обработки данных Роскомнадзор все же может. Соответственно, компания должна быть готова по запросу предоставить регулятору ответы и подтверждающие документы.

Пренебрегать выполнением требований российского законодательства не стоит, даже если компания физически не присутствует в России. Главный риск состоит в закрытии властями страны доступа российским пользователям к цифровым ресурсам и сервисам компании по результатам проверки, а это может серьезно ударить по бизнесу. Неприятен будет и штраф, как в случае первичного, так и в случае повторного нарушения. Сюда же можно добавить репутационные издержки, поскольку такие истории всегда попадают в СМИ.

Что же произойдет, если зарубежная компания придет к российскому сервис-провайдеру за услугой соответствия закону № 152-ФЗ? 

В первую очередь компании необходимо определить: нужна ли ей услуга полного соответствия требованиям закона № 152-ФЗ, которая включает в себя анализ бизнес-процессов, разработку внутренней документации, обучение персонала, иными словами, реализацию целого комплекса организационных мер по соблюдению закона, или же компания заинтересована исключительно в техническом решении – размещении инфраструктуры в России в полном соответствии с требованиями закона. В первом случае это всегда будет индивидуальное проектное решение, реализуемое под конкретные задачи бизнеса клиента.

Если же мы говорим о техническом соответствии инфраструктуры, то с определенной долей уверенности можно говорить о типовом (пакетном) решении, представленном в линейке продуктов большинства крупных сервис-провайдеров. Для каждого пользователя услуги обеспечения соответствия закону № 152-ФЗ сервис-провайдер создает выделенный сегмент своей ИТ-инфраструктуры в защищенном сетевом периметре, элементы которого отвечают требованиям ФСТЭК и ФСБ. 

Существуют инструменты предупреждения незапланированных проверок со стороны Роскомнадзора: имеет смысл демонстрировать максимальную прозрачность в отношении действующих в компании правил в сфере ПДн. Западным компаниям в России необходимо опубликовать эти политики на своем сайте на русском и английском языках с подробным описанием всех сценариев работы с данными: например, данные граждан ЕС обрабатываются согласно требованиям GDPR, а граждан РФ – согласно закону № 152-ФЗ и т.д.

Если проверки избежать не удалось, важно помнить следующее. С большой долей вероятности можно утверждать, что проверку будет проводить только Роскомнадзор и внимание регулятора будет сфокусировано главным образом на бизнес-процессах, действующих в компании, а также на документах, оформляющих эти процессы (документарная проверка). Регулятор, несомненно, заинтересуется и размещением инфраструктуры на территории РФ, и соответствием инфраструктуры установленным требованиям. 

Теоретически у ФСБ или ФСТЭК могут возникнуть вопросы к реализации технической части системы обработки и защиты ПДн, однако на практике такая вероятность крайне мала. Даже если такое произойдет, компании нечего опасаться, поскольку сервис-провайдер прорабатывает финальную архитектуру инфраструктуры прозрачно и тщательно. Провайдер заинтересован в том, чтобы оказывать услуги в строгом соответствии с выданными ему лицензиями, в противном случае он сам может стать объектом пристального внимания контролирующих органов.

Любая европейская компания неизбежно будет сравнивать трудозатратность процедур обеспечения соответствия GDPR в Европе и закону № 152-ФЗ в России. Анализируя плюсы и минусы законодательств в области персональных данных в ЕС и РФ на текущий момент, можно говорить о некоторых преимуществах для бизнеса российского закона.

В законе № 152-ФЗ реализован принцип «исполни требования закона через конкретный перечень шагов», тогда как в ЕС работает подход, более ориентированный на достижение результата (т.е. защиты прав физических лиц в части обработки их персональных данных), чем на принятие конкретных мер. С одной стороны, это дает компании большую свободу действий, с другой – возлагает на нее большую ответственность за достижение конечной цели, так как не предлагает четкой пошаговой инструкции.

Обеспечить соответствие закону № 152-ФЗ сегодня гораздо проще – все многообразие норм закона, постановлений, приказов и регулирующих документов укладывается в своего рода конструктор мер, компонуя которые, компания добивается достаточного уровня соответствия. В GDPR, напротив, конструктор мер (в том виде, в каком он есть в РФ) отсутствует, и во главу угла ставится критерий исполнения обязанностей операторов (контролеров в терминологии GDPR) для достижения цели – защиты прав субъектов. Эффективность достижения последней, в свою очередь, определяется через оценку воздействия на права субъектов комплекса мер по защите данных. 

С точки зрения исполнения второй вариант, конечно, сложнее – готовых шаблонов нет, обеспечение соответствия требует больших усилий и понимания специфики задач и процессов. 

Сказанное выше, однако, не является константой, и через некоторое время, возможно, к этому обсуждению потребуется вернуться. Нормы GDPR могут в перспективе появиться и в отечественном законодательстве из-за присоединения России к обновленной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (СДСЕ № 108, обновлена протоколом CETS N 223 18.05.2018, за неделю до вступления в силу GDPR). Это основной международный договор в сфере защиты персональных данных, на основе которого формируются локальные законодательные акты в этой сфере. Обновленная конвенция учитывает подход к регулированию, принятый в GDPR, что в перспективе приблизит закон № 152-ФЗ к европейским нормам. Надеемся, что российский бизнес также следит за происходящими в мире изменениями в области обработки данных и видит направления для улучшения своих процессов.

Ни для кого не секрет, что сегодня наказания за нарушения в России мягче. Да, размеры штрафов выросли, но они все еще несопоставимы с мерами ответственности для европейских коллег: по GDPR назначаются гораздо более серьезные наказания за потенциальную угрозу утечки персональных данных. Например, владельцам бельгийского сайта с юридической информацией в 2019 г. был назначен штраф в размере 15 тыс. евро за то, что сообщение о конфиденциальности было размещено на сайте только на английском языке, без перевода на нидерландский и французский, а также не содержало правового основания необходимости обработки данных в соответствии с GDPR. Немецкая компания Deutsche Wohnen SE была оштрафована на 14,5 млн евро за хранение персональных данных клиентов без необходимости, в том числе по окончании договорных отношений с ними, а также без предоставления клиентам опции удаления такой информации.

Каждый этап проекта организации защиты персональных данных должен быть тщательно проработан, особенно начальная стадия – аудит. Здесь закладываются основы эффективности будущего решения, распределяются роли ответственных за проект сотрудников.

Второй важный момент – непрерывный характер задач по работе с ПДн в структуре бизнес-процессов компании. Любые изменения в бизнес-процессах (например, смена службы охраны и СКУД), структуре штата, использование нового программного обеспечения обязывают компанию проводить обновление регламентов, процессов, архитектуры, моделей актуальных угроз и т.д. Об этом нельзя забывать ни в коем случае.

Не секрет, что на базе ЦОДов уже сейчас компании получают доступ к обширным распределенным экосистемам ИТ-сервисов за счет обеспечения связности между ИТ-ресурсами компаний по всему миру. Это глобальный тренд, который в дальнейшем будет только нарастать. В свете этого к вопросам синхронизации различных систем на уровне технологий и стандартов добавляется задача обеспечения правовой гармонии. Хочется верить, что перспектива приведения к единому знаменателю требований российского закона № 152-ФЗ и европейского GDPR, а затем и регуляторной базы других регионов мира – вопрос времени.

Рынок России потенциально крайне интересен зарубежным компаниям. Однако от выхода на этот рынок бизнес часто удерживают различные мифы и некорректная оценка рисков. Надеемся, что статья поможет бизнесу снять часть заботящих его вопросов об обработке данных в России.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

<< Предыдущая статья   Вернуться к содержанию   Следующая статья >>