Ольга Ермакова, старший юрисконсульт и комплаенс специалист компании Linxdatacenter
Несмотря на то, что цифровой бизнес давно стал трансграничным, и все больше компаний работает в глобальном пространстве, мир пока еще не превратился в «глобальную деревню». Причина тому – локальное регулирование. Одной из таких чувствительных областей, находящихся сегодня под пристальным контролем властей во всех странах мира, является защита личных данных.
Мы подготовили небольшой гайд для иностранных компаний, которые ведут бизнес в России и должны соблюдать требования российского законодательства в части защиты персональных данных.
Начнем с главного
В России порядок работы с персональными данными граждан РФ установлен законом ФЗ-152 и рядом подзаконных актов (Постановлений Правительства РФ и приказов регуляторов). В ЕС аналогичную роль выполняет GDPR (General Data Protection Regulation) – общий регламент по защите данных, и локальное законодательство стран-членов ЕС.
Работа с ПДн в России и ЕС имеет ряд сходств и различий, обусловленных процессами развития законодательства в различных юрисдикциях, а также с поправкой на практику правоприменения.
Что нового ввела Россия в законодательство о защите персональных данных за последнее время?
Штрафы выше, проверки чаще
Главный стимул тщательно изучить правила работы с ПДн в России – многомиллионные штрафы за неисполнение обязанности по локализации в РФ баз данных с персональными данными граждан РФ.Для юридических лиц штраф за первоначальное нарушение правил о локализации составит от 1 млн до 6 млн рублей (то есть от $33 тыс. до $100 тыс.), а повторное нарушение обойдется компании от 6 млн до 18 млн рублей (то есть от $100 тыс. до $300 тыс.).
Ранее в 2019 году изменились и правила проведения проверок операторов персональных данных со стороны Роскомнадзора. Так, сократились сроки уведомления о проверках: плановая – до 3 рабочих дней, внеплановая до 24 часов. Вместе с этим короче стал и срок самой проверки, что можно считать положительным моментом для бизнеса – сокращено время, в течение которого госорган имеет право проверять компанию (20 и 10 дней соответственно).
Проверка юридических лиц и индивидуальных предпринимателей теперь возможна не ранее, чем через три года после их регистрации. Таким образом, у вновь образованных компаний есть время для приведения своих бизнес-процессов в соответствие с требованиями закона и для подготовки к проверкам.
Периодичность проверок зависит от того, какие данные и как обрабатываются. Для большинства компаний проверки будут по-прежнему проходить не чаще, чем раз в три года. Исключение составляют компании, работающие с особыми категориями данных (в том числе с биометрическими данными), а также некоторые операторы, осуществляющие передачу данных иностранным государствам, юридическим и физическим лицам. Проверка таких операторов персональных данных может проводиться каждые два года.
Работаем с данными на российском рынке: нюансы
Иностранная компания, которая собирает данные граждан РФ на территории России, может обеспечить их защиту в соответствии с законом двумя путями.
Первый сценарий: компания регистрирует бизнес-единицу (дочернюю компанию, филиал, представительство) в России.
В этом случае все относительно просто: если компания соответствует требованиям GDPR в Европе, то адаптировать свои процессы и процедуры под требования российского ФЗ-152 труда не составит. Как и GDPR, российский закон большую часть своих требований к бизнесу выдвигает на уровне политик, процессов и их документального сопровождения, то есть в плоскости организационных мер.
Единственное «узкое место» – техническое обеспечение защиты ПДн: инфраструктура, инструменты шифрования. Вопросами обеспечения технического соответствия инфраструктуры требованиям ФЗ-152 занимаются специалисты по информационной безопасности, которые должны иметь специальное образование, а также обладать релевантным опытом применения соответствующих нормативных документов ФСТЭК и ФСБ. Подобной экспертизы сложно ожидать от компании, только выходящей на российский рынок, поэтому обеспечить соответствие самостоятельно может быть довольно сложно. Вместе с тем эту услугу можно получить у локальных провайдеров, предоставляющих сервис соответствия ФЗ-152 «под ключ» и разворачивающих защищенные участки для работы с ПДн на собственной инфраструктуре. Требования к локализации инфраструктуры для работы с ПДН граждан РФ – основной существенный бизнес-риск сегодня, учесть его – важнейшая задача иностранного бизнеса, работающего с ПДн в России.
Второй сценарий: у иностранной компании нет бизнес-единицы в России, но данные россиян в ее деятельности так или иначе используется.
При реализации этого сценария вероятность проверки регулятором бизнес-процессов компании крайне мала, но запросить информацию о месте нахождения инфраструктуры и политику компании в отношении обработки данных РКН все же может. Соответственно, компания должна быть готова предоставить регулятору ответы и подтверждающие документы по запросу.
Пренебрегать выполнением требований российского законодательства не стоит, даже если компания физически не присутствует в России. Главный риск состоит в закрытии властями страны доступа российских пользователей к цифровым ресурсам и сервисам компании по результатам проверки, а это может быть существенной частью бизнеса. Неприятен будет и штраф, как в случае первичного, так и повторного нарушения. Сюда же можно добавить репутационные издержки, поскольку такие истории всегда попадают в СМИ.
А как это работает на практике?
Что же произойдет, если зарубежная компания придет к российскому сервис-провайдеру за услугой соответствия ФЗ-152?
В первую очередь компании необходимо определиться с запросом: требуется предоставить услугу полного соответствия требованиям 152-ФЗ, которая включает в себя анализ бизнес-процессов, разработку внутренней документации, обучение персонала: иными словами, реализацию целого комплекса организационных мер по соблюдению закона, или же компания заинтересована исключительно в техническом решении: размещении инфраструктуры в РФ в полном соответствии с требованиями закона. В первом случае это всегда будет индивидуальное проектное решение, реализуемое под конкретные задачи бизнеса клиента.
Если же мы говорим о техническом соответствии инфраструктуры, то с определенной долей уверенности можно говорить о типовом (пакетном) решении, представленном в линейке продуктов большинства крупных сервис-провайдеров. Для каждого пользователя услуги по соответствию ФЗ-152 сервис-провайдер создает выделенный сегмент своей ИТ-инфраструктуры в защищенном сетевом периметре, элементы которого соответствуют требованиям ФСТЭК и ФСБ.
Без паники?
Существуют инструменты предупреждения незапланированных проверок со стороны РКН: имеет смысл демонстрировать максимальную прозрачность касательно действующих в компании правил в сфере ПДн. Западным компаниям в России необходимо опубликовать эти политики на сайте на русском и английском языках с подробным описанием всех сценариев работы с данными – например, данные граждан ЕС обрабатываются согласно требованиям GDPR, РФ – ФЗ-152 и т. д.
Если все же проверки избежать не удалось, важно помнить следующее. С большой долей вероятности можно утверждать, что проверку будет проводить только Роскомнадзор, и внимание регулятора будет сфокусировано в большей мере на бизнес-процессах, действующих в компании, а также на документах, оформляющих эти процессы (документарная проверка). Регулятор, несомненно, заинтересуется также вопросами размещения инфраструктуры на территории РФ и соответствия инфраструктуры установленным требованиям.
Теоретически у ФСБ или ФСТЭК могут возникнуть вопросы к реализации технической части системы обработки и защиты ПДн, однако на практике такая вероятность крайне мала. И даже если такое произойдет, компании нечего опасаться, поскольку провайдер прорабатывает финальную архитектуру инфраструктуры прозрачно и тщательно. Сервис-провайдер заинтересован в том, чтобы оказывать услуги в строгом соответствии с выданными ему лицензиями, в противном случае он сам может стать объектом пристального внимания контролирующих органов.
Pro et contra
Любая европейская компания неизбежно будет сравнивать трудозатратность процедур по соответствию GDPR в Европе и ФЗ-152 в России. Анализируя сравнительные «плюсы» и «минусы» законодательств в области персональных данных в ЕС и РФ по состоянию на текущий момент, можно говорить о некотором преимуществе российского закона для бизнеса.
В ФЗ-152 реализован принцип «исполни требования закона через конкретный перечень шагов», тогда как в ЕС работает подход, более ориентированный на достижение результата (т.е. защиты прав физических лиц в части обработки их персональных данных), чем на выполнение конкретных мер. С одной стороны, этот подход предоставляет компании больше свободы в действиях, с другой, возлагает на нее больший груз ответственности за достижение конечной цели, так как не предполагает четкой пошаговой инструкции.
Обеспечить соответствие ФЗ-152 на настоящий момент гораздо проще – все многообразие норм закона, постановлений, приказов и регулирующих документов укладывается в конструктор мер, компонуя которые, компания обеспечивает достаточный уровень соответствия. В GDPR, напротив, конструктор мер (в том виде, в котором он есть в РФ) отсутствует, и во главу угла ставится критерий исполнения обязанностей операторов (контролеров в терминологии GDPR) для достижения цели – защиты прав субъектов. Эффективность достижения последней, в свою очередь, определяется через оценку воздействия на права субъектов комплекса мер по защите данных.
С точки зрения исполнения второй вариант, конечно, сложнее – готовых шаблонов нет, обеспечение соответствия требует больших усилий и понимания специфики задач и процессов.
Сказанное выше, однако, не является некой константой, и через некоторое время, возможно, потребуется вернуться к этому обсуждению, ведь нормы GDPR могут в перспективе появиться в законодательстве РФ из-за присоединения РФ к обновленной Конвенции Совета Европы 108 о защите физических лиц при автоматизированной обработке персональных данных (обновлена протоколом CETS No.223 18 мая 2018 года, за неделю до вступления в силу GDPR). Это основной международный договор в сфере защиты персональных данных, на основе которого формируются локальные законодательные акты в этой сфере. Обновленная конвенция учитывает подход к регулированию, принятый в GDPR, что в перспективе приблизит ФЗ-152 к европейским нормам. Надеемся, что российский бизнес также следит за происходящими в мире изменениями в области обработки данных и видит области для улучшения своих процессов.
Ни для кого не секрет, что на текущий момент наказания за нарушения в России мягче. Да, размеры штрафов выросли, но они все еще не сопоставимы с мерами ответственности для европейских коллег: по GDPR назначаются гораздо более серьезные наказания за угрозу потенциальной утечки персональных данных. Например, владельцам бельгийского сайта с юридической информацией в 2019 г. был назначен штраф в размере 15 000 евро за то, что сообщение о конфиденциальности было размещено на сайте только на английском языке, без перевода на нидерландский и французский, а также не содержало правового основания необходимости обработки данных в соответствии с GDPR.
Немецкая компания Deutsche Wohnen SE была оштрафована на 14,5 миллионов евро в 2019 г. за хранение персональных данных клиентов без необходимости, в том числе по окончании договорных отношений с клиентами, а также без предоставления клиентам опции удаления такой информации.
С чего начать?
Каждый этап проекта по организации защиты личных данных должен быть тщательно проработан, особенно начальная стадия – аудит. Здесь закладываются основы эффективности будущего решения, распределяются роли ответственных за проект сотрудников.
Второй важный момент – непрерывный характер задач по работе с ПДн в структуре бизнес-процессов компании. Любые изменения в бизнес-процессах (например, смена службы охраны и СКУД), структуре штата, использование нового программного обеспечения обязывают компанию проводить обновление регламентов, процессов, архитектуры, моделей актуальных угроз и т. д. Об этом нельзя забывать ни в коем случае.
Резюмируя
Не секрет, что на базе ЦОДов уже сейчас компании получают доступ к обширным распределенным экосистемам ИТ-сервисов за счет обеспечения связности между ИТ-ресурсами компаний по всему миру. Это глобальный тренд, дальнейшее развитие которого будет только ускоряться. В этом свете к вопросам синхронизации различных систем на уровне технологий и стандартов добавляется задача обеспечения правовой гармонии. Хочется верить, что перспектива сведения к единому знаменателю требований российского 152-ФЗ и европейского GDPR, а далее и регуляторной базы других регионов мира – вопрос времени.
Рынок России представляет собой потенциально крайне интересное направление для зарубежных компаний. Вместе с тем часто от выхода на рынок РФ бизнес удерживают различные мифы и некорректная оценка рисков. Мы надеемся, что данный материал поможет бизнесу снять часть заботящих его вопросов по обработке данных в России.
Биография Ольги Ермаковой
Ольга Ермакова работает старшим юрисконсультом и комплаенс специалистом в компании Linxdatacenter. Опыт работы Ольги составляет более 15 лет и включает обширную юридическую практику в области консалтинговых услуг, а также ИТ-решений. Ольга является выпускником юридического факультета СПбГУ, имеет сертификаты GDPR Data Privacy Professional (GDPR DPP) (2020), ICA Certificate in Compliance (2018).
В числе профессиональных достижений Ольги – участие в создании системы защиты персональных данных в компании, сопровождение процесса получения лицензий регуляторов рынка в сфере информационной безопасности (ФСТЭК, ФСБ), обучение персонала навыкам работы с персональными данными, построение системы комплаенс-менеджмента.
© 2023 Linx
