print

Персональные данные: приказ Роскомнадзора

Юристы раскритиковали новую оценку рисков в сфере персональных данных.

Роскомнадзор опубликовал приказ, регламентирующий процесс оценки возможного вреда в случае нарушений Закона о персональных данных.

01.12.2022 | ПРАВО.RU | Евгения Ефименко

Потенциально таргетированная реклама или персональные email-рассылки могут означать среднюю степень риска вреда от нарушений Закона о персональных данных. А это может означать повышенные меры безопасности и, возможно, увеличение штрафа за нарушения. Такой вывод можно сделать из нового приказа Роскомнадзора.

Закон о персональных данных обязывает операторов оценивать возможный вред в случае нарушений закона. Сейчас они делают это произвольно. Но на днях Роскомнадзор опубликовал приказ, который регламентирует этот процесс. Применять его надо будет с 1 марта 2023 года.

Оценкой вреда будет заниматься ответственный за организацию обработки персданных или комиссия, которую образует оператор. Приказ определяет три степени возможного вреда. «Предполагается, что оператор будет соотносить возможный вред от нарушения закона, например, от утечек персональных данных, с мерами безопасности оператора. Чем больше потенциальный вред от нарушения закона, тем строже должны быть меры безопасности (а, возможно, выше и штрафы за нарушения)», — объясняет Андрей Алексейчук, старший юрист практики IP/IT АБ «Качкин и Партнеры».

Приказ конкретизирует, когда присваивается та или иная степень опасности. Результат оценки вреда оформляется актом.

Высокая степень опасности – это, например:

  • Обработка биометрических данных для установления личности*.
  • Обработка специальных категорий данных вроде расовой и национальной принадлежности, состояния здоровья, интимной жизни, сведений о судимости и так далее*.
  • Обезличивание персданных, в том числе для оценочных, потребительских и ряда других исследований.

Примеры среднего уровня опасности:

  • Распространение данных на сайте оператора в Интернете, предоставление персданных неопределенному кругу лиц*.
  • Обработка персданных в других целях, не таких, как первоначальная цель сбора.
  • Продвижение товаров, работ, услуг путем прямых контактов с потенциальным потребителем с использованием баз данных другого оператора. «Под такую формулировку можно подвести, например, таргетированную рекламу (которую использует почти любой бизнес) или персональные email-рассылки, что по умолчанию порождает в работе бизнеса возможную среднюю степень вреда при обработке данных», — комментирует Алексейчук.

Низкая степень опасности присваивается, например, ведению общедоступных источников персональных данных, таких как справочники (согласно ст. 8 Закона о персональных данных).

*Кроме случаев, установленных федеральными законами, которые предусматривают цели, порядок и условия обработки таких данных.

Наш комментарий:

Михаил Хохолков, INTELLECT, специально для портала ПРАВО.RU:

Понятно, что цели постановления правительства и приказа Роскомнадзора разные: в первом случае контроль, во втором — самоконтроль.

Мнения юристов

Руководителю практики «Медиаправо» юридической фирмы INTELLECT Михаилу Хохолкову непонятно, как эти три категории соотносятся с Постановлением Правительства от 29 июня 2021 г. №1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных». Это постановление устанавливает систему оценки и управления рисками при обработке персональных данных для целей контроля Роскомнадзором за операторами, и там группа риска зависит от одной из четырех групп тяжести и четырех групп вероятности.

«Понятно, что цели постановления правительства и приказа Роскомнадзора разные: в первом случае контроль, во втором — самоконтроль», — рассуждает Хохолков. Но вопросы это не снимает: «Почему критерии разные? И зачем делать еще одну оценку вреда, если Роскомнадзор сделает это за оператора? И что будет, если оценка Роскомнадзора не совпадет с оценкой оператора? Обжаловать ее в суде?» — задается вопросами эксперт.

Хотя если смотреть на приказ формально, достаточно просто составить согласно его требованиям еще один документ — акт оценки вреда, подытоживает Хохолков.

Алексейчук критикует проект: по его мнению, критерии сформулированы недостаточно определенно и не учитывают бизнес-практики, которые сложились в отрасли. Ему непонятна логика выбора именно этих критериев: «Неясно, почему одна только обработка данных на основании федерального закона исключает какой бы то ни было потенциальный вред для субъектов персональных данных. А если оператор в рамках единой биометрической системы [предусмотренной законом] допустит утечку персональных данных — получается, никакого вреда для субъектов не возникнет?»

Похожая формулировка предусмотрена для данных о состоянии здоровья — обработка этих данных порождает высокую степень потенциального вреда, если цели, порядок и условия обработки данных не предусмотрены федеральным законом. «Но обработка данных о состоянии здоровья медицинскими организациями предусмотрена ФЗ «Об основах охраны здоровья граждан». То есть возможная утечка или нарушение правил обработки данных медицинскими организациями не порождает вообще никакого потенциального вреда», — приводит пример Алексейчук.

Штрафы за утечку данных: дискуссия продолжается

С весны, когда произошел ряд громких утечек персональных данных клиентов «Яндекс.Еды», Delivery Club, медлаборатории «Гемотест», Министерство цифрового развития готовит законопроект, который определит штрафы за утечку данных для компаний. Пока они составляют до 10 млн руб. за первое нарушение и до 3% от оборота за повторное. 29 ноября 2022 года сообщалось, что Минцифры предлагает смягчить эту ответственность для тех компаний, которые компенсировали ущерб 2/3 пострадавших.

Алексейчук предлагает вводить «штраф» за утечки в пользу пострадавшего субъекта персональных данных сверх убытков и морального вреда по аналогии с «потребительским» штрафом. Эксперт предлагает ограничить взыскание такого штрафа ситуациями, когда утечка произошла по вине оператора, например, из-за умышленных противоправных действий сотрудника оператора или из-за неисполнение оператором требований в сфере безопасности. Штраф имеет смысл взыскивать и в ситуациях, когда утечка произошла не по вине оператора, но оператор умышленно сокрыл информацию об утечке. По мнению Алексейчука, это мотивирует пользователей не относиться к утечкам данных безразлично, а судиться, и к защите их прав могут подключиться на комфортных для пользователя условиях юристы и организации, которые работают в этой сфере.

Комментарии экспертов юридической фирмы INTELLECT >>

персональные данные

Похожие материалы

Юридические услуги, разрешение споров, патентные услуги, регистрация товарных знаков, помощь адвокатаюридическое сопровождение банкротства, услуги арбитражного управляющего, регистрационные услуги для бизнеса


Екатеринбург
+7 (343) 236-62-67

Москва
+7 (495) 668-07-31

Нижний Новгород
+7 (831) 429-01-27

Новосибирск
+7 (383) 202-21-91

Пермь
+7 (342) 270-01-68

Санкт-Петербург
+7 (812) 309-18-49

Челябинск
+7 (351) 202-13-40


Политика информационной безопасности