Андрей Петренко: У нас впереди важная дата – двадцатилетие с момента выхода Федерального закона № 152 «О персональных данных». Мы решили обсудить, что же непосредственно сейчас происходит, какие проблемы встают перед операторами персональных данных, что с этим делать и как вообще жить? А ответит на все эти и другие вопросы руководитель департамента клиентских решений Вера Скопинцева.
«Белые пятна» законодательства
Андрей Петренко: Федеральный закон «О персональных данных», ему двадцать лет. Что происходит сейчас? Какие существуют белые пятна в законодательстве? Чем мы живем?Вера Скопинцева: Белые пятна существуют. Есть моменты, которые изо дня в день вызывают вопросы. Для кого-то они сложные, для кого-то банальные, для кого-то риторические, но они действительно возникают.
Андрей Петренко: Начнём с самого главного вопроса: что такое персональные данные?
Вера Скопинцева: Этот вопрос часто звучит от пользователей и коллег. Недавно мне задали вопрос: «Обрабатываются ФИО, паспортные данные, должность – являются ли это персональными данными?», — и тут есть спорные моменты.
Андрей Петренко: Является ли ФИО персональными данными? Потому что часто встречаются случаи разной трактовки законодательства.
Вера Скопинцева: В разных регионах регулятор может по-разному это трактовать. Даже у одного территориального подразделения в разное время могут быть разные позиции. Поиск в открытых источниках показывает разнообразие мнений регулятора. Даже если задать этот вопрос в профильные чаты специалистов в мессенджерах, то начнутся горячие споры на несколько дней, и в итоге все останутся при своём мнении.
Андрей Петренко: Роскомнадзор как регулятор разве не имеет единой позиции относительно того, что такое персональные данные? Может быть, письма с разъяснениями существуют?
Вера Скопинцева: Роскомнадзор обычно дает ответы на письменные запросы, но чаще всего они ссылаются на требования законодательства и просто цитируют 152-й закон.
Андрей Петренко: Какие вопросы могут возникать?
Вера Скопинцева: Самое частое — «Что такое персональные данные?». Также очень часто сталкиваемся с вопросом о том, что является биометрическими персональными данными. Здесь мнения Минцифры и Роскомнадзора (мы задавали этот вопрос обоим регуляторам) расходятся. Наши эксперты пришли к выводу, что РКН считает биометрическими данными одно, а Минцифры — другое. Что считать за истину — выбор за оператором ПДн. В таких случаях мы крайне рекомендуем писать запросы к регуляторам самостоятельно, формулировать в них вопросы так, чтобы получит на них максимально однозначный ответ. В дальнейшем наличие таких разъяснений может быть полезным при проверках регулятором.
Андрей Петренко: Является ли подобного рода ответ на индивидуальный запрос общей историей? Например, если мой знакомый направил запрос в РКН и получил ответ, могу ли я ссылаться на это?
Вера Скопинцева: Нет, это исключительно индивидуально. Более того, этот запрос не является стопроцентной гарантией даже для самого автора запроса. Все зависит от настроя проверяющего органа. Они могут сказать, что у них своё видение на требования законодательства, отличное от ответа на запрос.
Андрей Петренко: То есть разночтений много?
Вера Скопинцева: Да, их действительно много, и биометрические ПДн – самый банальный пример. Также много споров возникает из-за понятий передачи и поручения обработки данных. Понятие "поручения" в статье третьей 152-го закона не прописывается. Статья седьмая Федерального закона трактуется по-разному.
Андрей Петренко: Куда отправлять запросы – в региональный или центральный аппарат Роскомнадзора?
Вера Скопинцева: Мы отправляем два запроса: один по своему региону, другой в центральный аппарат.
Сложности исполнения требований законодательства
Андрей Петренко: Как сейчас происходит выполнение требований законодательства? С какими сложностями сталкиваются организации?Вера Скопинцева: Основная проблема – ни у кого не сделано все в полном объеме. Нужно постоянно актуализировать уведомления, следить за локальными актами, проводить мероприятия внутреннего контроля. Со вступлением в силу 117 приказа ФСТЭК России многие начали говорить о непрерывном процессе соответствия требованиям, а это на самом деле было всегда. Статья 18.1 152-ФЗ закрепляет обязанность оператора периодически, но не реже раза в год, проводить проверки.
Андрей Петренко: Почему невозможно выполнить требования законодательства? Их так много и они постоянно меняются или для их выполнения требуется огромное количество ресурсов?
Вера Скопинцева: Законы изменяются, меняются внутренние процессы организаций, появляются новые информационные ресурсы, за которыми нужно следить и актуализировать их документацию. Небольшое изменение организационной структуре влечёт за собой целый ворох изменений документации. Это непрерывная работа, не получится сделать и забыть.
Андрей Петренко: Что произойдет, если забыть провести мероприятие?
Вера Скопинцева: Через год придется снова проводить мероприятия. Забывание ведет к бумажной безопасности, документация «покроется пылью».
Андрей Петренко: Какая в целом ситуация с этим по стране?
Вера Скопинцева: С такой ситуацией может столкнуться любая организация. Это зависит не только от компании, многое зависит от людей. Важно отношение сотрудников к своей задаче. Человек может единожды выполнить задачу и забыть про неё, а может периодически возвращаться к ней и актуализировать её.
Из недавнего можно привести в пример сентябрьские изменения в 152-ФЗ, которые обязывают брать отдельное согласие на сбор персональных данных. Если этот момент сотрудник упустил и не поменял форму на сайте своей организации, то при проверке сайта Роскомнадзором, регулятор это обязательно выявит.
Внутренний аудит и ответственность
Андрей Петренко: Как начать решать проблему? С внутреннего аудита?Вера Скопинцева: Да, нужно собрать руководителей структурных подразделений (обязательно ответственного за работу с персональными данными: он должен быть назначен в организации). Объяснить, что такое персональные данные, выяснить, в каких отделах они обрабатываются, разработать мини-опросную форму, где уже более подробно расспросить эти отделы.
Андрей Петренко: А бывает ли так, что сотрудник, которого назначили ответственным за обработку персональных данных, не знает об этом?
Вера Скопинцева: Скорее нет, чем да. Ведь человека надо ознакомить с приказом о закреплении новых обязанностей. Но если это было несколько лет назад, и все эти годы никто не вспоминал о работе с персональными данными, то в теории такое может быть.
Андрей Петренко: Вот он вспомнил об этом внезапно, куда ему бежать?
Вера Скопинцева: Чаще всего начинают с юристов, так как они лучше других разбираются в текущем законодательстве. Но ещё лучше начать с прочтения собственной должностной инструкции, которую он подписывал.
Андрей Петренко: Ладно, мы собрали всех, объяснили, что такое персональные данные, раздали опросники. Как эти опросные формы разработать?
Вера Скопинцева: Можно самостоятельно, но придется самостоятельно искать анкеты, составлять вопросы.
Андрей Петренко: Можно ли привлечь стороннюю организацию для разработки анкеты и должна ли быть лицензия у такой организации?
Вера Скопинцева: Да, можно привлекать аутсорс, и это действительно лицензируемый вид деятельности. Нужно учитывать, что это довольно дорогое удовольствие, которое зависит от многих факторов, таких как количество сотрудников, структура информационных систем, подлежащих аудиту.
Андрей Петренко: Какой минус аутсорсинга аудита?
Вера Скопинцева: Быстроустаревающие результаты. Крайне советую ходить за аудиторами и смотреть, что они спрашивают, на что обращают внимание, подсмотреть, какие формы они заполняют, чтобы уже потом на основе этого опыта поддерживать свои процессы.
Законодательные изменения и штрафы
Андрей Петренко: Как часто нужно проводить аудит?Вера Скопинцева: Рекомендуется проводить аудит при значительных изменениях законодательства. Новый приказ ФСТЭК России № 117 как раз подходящий повод.
Андрей Петренко: Что делать, если руководители не понимают важности вопроса?
Вера Скопинцева: Ссылайтесь на увеличившиеся штрафы. Штрафы выросли значительно.
Андрей Петренко: Примеры штрафов?
Вера Скопинцева: Раньше штраф за неуведомление Роскомнадзора составлял пять тысяч рублей, теперь может доходить до трехсот тысяч рублей. За утечку персональных данных возможны штрафы до миллиона рублей. Не забываем и про введённую в конце 2024 года уголовную ответственность.
Андрей Петренко: То есть если раньше можно было не отправлять никаких уведомлений, спокойно вести свой бизнес и иногда платить небольшой штраф, то сегодня так уже не выйдет?
Вера Скопинцева: Именно. Конкретно в этом случае штраф вырос в шестьдесят раз.
Документация и согласие
Андрей Петренко: После аудита нужно собрать информацию и разработать документацию. Что ещё надо сделать?Вера Скопинцева: Направить уведомление в Роскомнадзор, разработать актуальные формы согласий на сбор и обработку персональных данных, обязательно довести эти формы до лиц, работающих с ними. Важно наладить процесс уничтожения персональных данных. Этот процесс особенно важен таких «опасных» категорий как, например, кандидаты на трудоустройство.
Андрей Петренко: Почему они опасны?
Вера Скопинцева: У одного из наших пользователей был кейс: имелся кандидат на трудоустройство в их компанию. У него, как и положено, взяли согласие на обработку персональных данных, но в итоге отказали в приёме на работу. Ему это, видимо, не понравилось, и он направил в организацию множество запросов с требованиями предоставить ему всю информацию, которую он имеет право требовать по Федеральному закону «О персональных данных»: с требованием уничтожить его персональные данные, представить подтверждение уничтожения, предоставить перечень лиц, кому его данные были переданы. Если на эти запросы не ответить оперативно, то в Роскомнадзор может поступить жалоба.
Андрей Петренко: А если посмотреть на вопрос с нашей точки зрения. Мы ведь тоже операторы персональных данных. Что мы делаем в первую очередь?
Вера Скопинцева: У нас этот процесс находится в «поддерживающем» состоянии: мы постоянно актуализируем документацию. Мы ежедневно следим за тем, что выходит во внешнюю среду: политика в отношении обработки персональных данных, актуальные сведения в реестре операторов, метрика на сайте, получение согласий на нём.
Следите за актуальностью политики конфиденциальности и размещенных персональных данных. Если на сайте публикуются персональные данные сотрудников, то крайне рекомендую указывать там и что они были взяты на основании согласия и есть ли какие ограничения на их использование.
Андрей Петренко: Как Роскомнадзор сейчас вообще проверяет сайты?
Вера Скопинцева: Сейчас действует мораторий на плановые выездные проверки, но контрольные мероприятия сейчас проходят в виде проверки сайтов. У них, судя по всему, есть программный продукт, который проводит в автоматическом режиме проверку сайтов в интернете. Последняя официальная статистика гласит, что за 2024 и половину 2025 года было проверено 78 тысяч сайтов и в 68 тысячах случаев были выявлены нарушения.
Выявив какие-то нарушения в таком режиме, регулятор уже начинает более глубокую проверку: смотрят Политику, метрику, трансграничную передачу и т. д. По итогу в организацию приходит письмо, в котором указываются сроки проведения прошедшей проверки, выявленные нарушения.
Андрей Петренко: Давай уточним: гугл аналитика — это трансграничная передача данных?
Вера Скопинцева: Да, и об этом Роскомнадзор прямо говорит. Если вы используете этот инструмент сбора метрических данных, или собираете персональные данные через Google forms, то вы осуществляете трансграничную передачу и обязаны выполнить все требования законодательства, связанные с этим.
Андрей Петренко: В этих письмах только требования устранения недостатков или ещё может быть требование представить какие-то документы?
Вера Скопинцева: Они перечисляют выявленные нарушения и просят предоставить подтверждение выполнения требований законодательства.
Андрей Петренко: Что нужно проверить на сайте в первую очередь?
Вера Скопинцева:
- Первое — политика в отношении обработки персональных данных — это основополагающий документ, который не может быть объёмом в две страницы, особенно если вы осуществляете сбор и обработку данных, в том числе путем форм обратной связи или яндекс-форм. Важно убедиться, что политика выполняет требования статьи 18.1 закона «О персональных данных». Практически все замечания к политикам связаны с этими требованиями.
- Второе — согласие на сбор персональных данных. На всех формах сбора доложен быть чек-бокс о согласии субъекта на сбор его данных.
- Третье — основание для размещениz персональных данных на сайте. Мой любимый пример: медицинские организации по закону должны размещать на сайтах имена и квалификацию своих врачей, и на это их согласие не требуется. Но в то же время рядом красуется фото специалиста, что не является требованием и, соответственно, на это уже нужно взять согласие субъекта. Также рекомендую, как я говорила ранее, указывать, что персональные данные размещены на основании согласия субъекта этих данных или же на основании требований НПА.
- Четвёртое — зарубежные сервисы: Google forms и Google analytics использовать не рекомендую, а также с 1 июля текущего года запрещено производить авторизацию через иностранные сервисы, такие как Gmail и Apple ID.
Еще раз подчеркну, что метрические данные считаются персональными, и в случае её сбора необходимо брать согласие. Самый простой вариант – всплывающее окно с информацией о сборе метрики и кнопкой согласия. При этом в соответствии с требованиями законодательства, это уведомление тоже должно быть максимально предметным и подробным: сообщать, какие данные собираются, в каких целях, куда передаются и т. д. Регулятор нередко указывает на этот недостаток.
Будущие изменения и развитие законодательства
Андрей Петренко: Есть понимание, что нас ждет в будущем?Вера Скопинцева: Говорят о введении отраслевых стандартов и дорожных картах, в которых будет указано, какие данные брать, как их обрабатывать, когда уничтожать. Возможно исключение согласия как универсального основания для обработки данных. Сейчас организация? даже если не нашла оснований для сбора согласий на обработку персональных данных, всё равно берёт это согласие со всех «на всякий случай».
Андрей Петренко: Ранее мы записывали подкаст о новых штрафах. Есть ли какая-то практика их применения на сегодня?
Вера Скопинцева: Все тогда только и говорили о гигантских оборотных штрафах, но на сегодня о таких случаях неизвестно. Да, есть случаи назначения просто административных штрафов, но, чтобы получить оборотный, необходимо допустить повторную утечку данных в течение года. К тому же первые штрафы, назначенные судами, были минимальными в рамках закона, но все равно это колоссальная разница с теми суммами, которые платили раньше. Можно сказать, что у нас появились первые претенденты на крупные штрафы, но пока о реальных случаях я не слышала.
Заключение и советы
Андрей Петренко: Подведём итог нашей встречи: что ты посоветуешь операторам персональных данных?Вера Скопинцева: Не откладывайте дела на потом, проводите регулярные встречи, следуйте плану действий, сделайте контроль обработки персональных данных бизнес-процессом. Поддерживайте актуальность внешних ресурсов, занимайтесь сайтом и соцсетями. Помните о взаимодействии с Роскомнадзором.