Управление персональными данными. Функция SOS для экстренных вызовов

25 мая 2018 года регулирующий акт Евросоюза «Общие положения о защите данных» (General Data Protection Regulation, GDPR) вступает в силу в полном объеме, он касается любой компании в мире, занимающейся обработкой и хранением персональных данных лиц, проживающих в ЕС. Новый акт предоставляет людям больше прав касательно управления их персональными данными (Personally Identifiable Information, PII), осуществляемого компаниями. Также он предусматривает крупные штрафы за его неисполнение и нарушение конфиденциальности данных - до 4% годового дохода компании. Кроме того, компании должны в течение 72 часов предоставлять отчеты об утечках данных. (См. подробную информацию о данном регулирующем акте в «Требованиях, нормативных сроках и фактах “Общих положений о защите данных (GDPR) "».)

Даже если вы не ведете бизнес с ЕС, вероятнее всего, новый закон окажет влияние на стандарты обеспечения глобальной безопасности в перспективе. Поэтому компании, работающие в ЕС или с данными, на которые распространяется действие GDPR, пытаются быстро и заблаговременно обеспечить соответствие этому документу. Службам безопасности необходимо будет убедиться в том, что данные, идентифицирующие личность, надлежащим образом защищены и соответствующие процедуры отчетности имеются.

По словам Брайана Вечи, технического евангелиста компании Varonis, которая специализируется на разработке систем по контролю и управлению правами доступа к распределенным файловым ресурсам, большинство компаний совсем не готовы к работе в новых условиях. Есть американские компании, которые подпадают под действие этого нового документа о конфиденциальности лишь потому, что кто-то из ЕС подписался на их информационную рассылку. И если в вашей организации имеются персональные данные гражданина одной из 28 стран - членов Сообщества, то этот акт касается и вас.

GDPR не определяет каких-либо конкретных средств управления защитой данных, которые должна использовать организация. Компания может сама определять необходимые средства обеспечения безопасности собранных данных, конфиденциальности и управления рисками.

GDPR не определяет каких-либо конкретных средств управления защитой данных, которые должна использовать организация. Компания может сама определять необходимые средства обеспечения безопасности собранных данных, конфиденциальности и управления рисками.

Оливье ван Хуф, менеджер по предварительным продажам в Европе бельгийской компании Collibra, разрабатывающей ПО, считает, что GDPR начинается с управления данными: «Вы должны установить платформу управления данными прежде, чем вы действительно сможете начать защищать данные. Это значительно больше, чем просто техническая защита данных. Большинство организаций начинают с рассмотрения своих бизнес-процессов, затем переходят к рассмотрению логических процессов, используемых при сборе данных, и затем - к самим физическим данным. GDPR - это также понимание того, что данные действительно принадлежат личности. Вы же в действительности лишь размещаете у себя эти данные».

Что GDPR подразумевает под персональными данными?

Определение персональных данных в GDPR значительно шире, чем ранее существовавшие. Оно включает в себя любую информацию, касающуюся конкретного человека, будь то личные, публичные или профессиональные данные. Это не только имена, адреса и финансовая информации, но и все то, что может идентифицировать личность (например, IP-адреса, идентификация пользователей при регистрации для входа в систему, данные биометрической идентификации, данные о географическом местоположении, видеоматериалы, статистика лояльности клиента, посты и фото в социальных сетях).

Обеспечение соответствия GDPR означает, что вы не только должны обеспечивать защиту большего числа видов данных в будущем, но и затрачивать больше усилий на идентификацию существующих данных.

Страны, затрагиваемые GDPR, должны будут идентифицировать в силу своих возможностей информацию, которая не отслеживалась или не индексировалась ранее. Например, записанный звонок в службу поддержки клиентов, возможно, необходимо будет локализовать, защитить, отследить и внести в отчет.

Каковы новые права пользователей в сфере персональных данных?

Документально оформленное добровольное согласие лица на использование информации должно даваться каждым человеком (или его официальным представителем). Согласие должно однозначно определять собираемые данные, цель их использования и длительность их хранения. Пользователи могут отозвать свое согласие в любое время и отправить запрос на удаление их персональных данных (при условии, что они укажут обоснованную причину).

В соответствии с GDPR физические лица могут также контролировать, что происходит с их персональными данными. Они могут рассчитывать на исправление фактических ошибок, видеть, какая информация о них хранится, и даже экспортировать ее для своего персонального просмотра и использования. Эти важные права являются новыми для большинства организаций.

Большинству компаний сначала просто нужно понять, какие положения GDPR у них уже выполняются. Им необходимо выяснить, где хранятся эти данные и подпадают ли они под действие GDPR. Затем им необходимо обеспечить их защиту по принципу минимальных привилегий и отслеживание их изменений. Компания Varonis так и делала с самого начала. Она специализируется не только на поиске данных, но и на определении, кто к чему имеет доступ и нужен ли им доступ к этим данным. Прежние нормативные документы, касающиеся защиты данных, требовали обеспечивать защиту данных от доступа извне. Теперь их необходимо лучше защищать изнутри, поскольку статья 25 GDPR гласит, что данные должны быть защищены по принципу минимальных привилегий намеренно и по умолчанию. И вы не можете сделать это, не понимая, где они находятся и кто может получить к ним доступ.

Каким образом GDPR влияет на структуру служб безопасности?

GDPR дает определение многочисленных функций участников процесса, прописывает правила и обязанности каждого из них. Субъект данных - это лицо, чьи персональные данные собираются. Управляющий данными - это организация, собирающая данные. Обработчик - это организация, обрабатывающая данные по поручению управляющего данными. Управляющие и обработчики обязаны вести письменный учет того, какие данные были собраны, каким образом они были собраны, как они были использованы, когда они были удалены.

Службам безопасности предстоит не только защищать данные от традиционных угроз, но и делать это так, чтобы процесс был прозрачным, документально оформленным и пригодным для возможного использования в отношении большого количества субъектов данных, и все это при строгом обеспечении безопасности данных. Каждому члену службы компьютерной безопасности необходимо разъяснить методы обеспечения соответствия требованиям GDPR.

Многие предприятия-участники, частные и государственные, должны иметь ответственного за защиту данных (data protection officer, DPO). Руководитель по защите данных должен обладать техническими знаниями или иметь персонал для защиты данных и обеспечения преемственности бизнеса. В ЕС считают, что позиция DPO настолько важна, что разработали отдельный, подробный 18-страничный документ о данной позиции.

Может показаться, что позиция по защите данных больше всего подходит руководителю информационной безопасности, однако руководитель по защите данных должен четко понимать требования к конфиденциальности и обеспечению соответствия, что обычно лучше понимают директора по вопросам конфиденциальности (chief privacy officer, CPO) или другие защитники конфиденциальности, однако они могут не понимать технической стороны вещей. В малом бизнесе все может закончиться назначением «наиболее подходящего» работника в качестве управляющего данными или даже выбором внешнего руководителя по защите информации. В любом случае GDPR требует, чтобы такой руководитель был независимым аудитором соответствия требованиям и был доступен для субъектов данных, для организации, следующей предписаниям данного акта, и для инспекторов GDPR.

Ван Хуф отмечает, что большинство европейских компаний уже наняли директоров по защите данных.

Отчеты о защите и обработке данных должны храниться и предоставляться для текущих и регулярных проверок не только аудиторам, но и субъектам данных. Каким образом организация обеспечит доступ к отчетам для индивидуальной частной проверки и в то же время защитит их от несанкционированного просмотра? Потребуется ли для каждого отдельного субъекта новая система сопровождения управления идентичностью и контроля доступа с учетом того, что потенциально возможных субъектов данных миллионы? Может ли организация соответствовать требованиям GDPR, просто распечатывая личные отчеты и рассылая пользователям бумажные копии? Это важные моменты, которые должны проработать директора по защите данных, руководящий состав и служба безопасности.

Национальные органы управления защитой данных

Каждая страна - член Сообщества имеет национальный орган управления защитой данных (data protection authority, DPA). DPA несут ответственность за установление соответствия и проведение в жизнь соответствующих законов на национальном уровне, но обязаны быть независимыми даже от контроля со стороны собственного национального правительства.

Страны - члены Сообщества могут иметь один или более органов управления. Каждая организация может выбрать один DPA, который контролирует соответствие GDPR для организации в целом. Единый надзорный орган имеет возможность контролировать обработку и защиту данных, обеспечиваемые в других странах-членах. Критики справедливо отмечают, что компании, работающие в нескольких странах - членах Сообщества, могут выбрать для работы наиболее гибкий DPA подобно тому, что они уже сегодня делают для снижения налогов и организационной независимости.

DPA созданы в рамках предыдущего закона ЕС о защите данных, но были значительно усилены в регулирующем акте. DPA фактически являются официальными государственными регулирующими и надзорными органами в структуре GDPR. Орган управления защитой данных помогает принимать решения в правовых вопросах и может расследовать деятельность компаний в случае нарушений и приостанавливать работу управляющих данными и обработчиков, несущих юридическую ответственность за нарушения GDPR, и определять штрафные санкции. Кроме того, он решает, может ли организация передавать данные за пределы ЕС, и если да, то какие механизмы защиты следует применить. В конкретной организации основным лицом, поддерживающим связь с DPA, вероятно, будет руководитель по защите данных.

Если субъект данных понимает, что произошло нарушение, он может связаться либо с DPO, либо с DPA, который был выбран данной компанией и контакты которого были переданы субъекту. На практике это может быть очень неудобно, поскольку DPO или DPA компании, управляющей данными или обрабатывающей их, может не находиться в той же стране.

Об утечках данных следует сообщать незамедлительно

Об утечках персональных данных следует сообщать немедленно или по крайней мере в течение 72 часов в единый надзорный орган - DPA. Лица, которых это коснулось, должны быть оповещены, если ожидаются негативные последствия. Однако если эти данные соответствующим образом зашифрованы или обезличены и эта критичная защита не была взломана, то людей оповещать не следует.

Службы безопасности, вероятно, будут испытывать больше давления, поскольку должны убедиться в том, что все персональные данные надлежащим образом зашифрованы или обезличены. Ранее шифрование в основном было направлено на защиту портативных устройств. Обеспечение соответствия GDPR, скорее всего, приведет к большому спросу на еще большее шифрование данных во всей компании.

Также службы безопасности будут подвергаться повышенному давлению из-за необходимости быстрее, чем раньше, определить, явилась ли утечка данных событием, требующим отчетности. 72 часа - слишком малое время для многих организаций, особенно если пытаться понять, может ли какой-либо факт предотвратить необходимость сообщать об утечке затронутым субъектам данных или в прессу.

Руководство компаний не готово к GDPR

Руководство компаний излишне самоуверенно и недостаточно серьезно готовится к вступлению в силу регулирующего акта Евросоюза GDPR.

Согласно результатам опроса Trend Micro, руководство компаний знает о принципах, которые заложены в документе, более того, 85% подробно изучили его требования, а 79% компаний уверены, что их данные находятся в полной безопасности.

Несмотря на высокий уровень осведомленности, руководство не всегда знает, какие именно персональные данные должны быть защищены: 64% не знали, что дата рождения клиентов относится к категории персональных данных, 42% респондентов не относят к этой категории маркетинговые базы данных адресов электронной почты, 32% таковыми не считают физические адреса, а 21% - почтовые адреса клиентов.

66% респондентов спокойно относятся к сумме штрафа за отсутствие требуемых мер по защите данных. Только 33% признают, что эта сумма может составить до 4% их годового оборота. Большинство опрошенных считают, что ущерб репутации является самым серьезным последствием утечки данных.

Как подготовиться

Любой сотрудник компаний, подпадающих под действие GDPR, занятый сбором, хранением, обработкой данных, уже должен знать основы регулирующего акта. Необходимо сформировать группы людей, которые будут заниматься подготовкой к введению GDPR в действие и обеспечением его выполнения. Наиболее важные сотрудники должны пройти обучение по GDPR с проверкой их знаний. При необходимости назначьте или наймите сотрудника, ответственного за обеспечение соответствия данных требованиям GDPR.

Оцените готовность вашей компании выполнить требования GDPR (например, персонал, инструменты и процессы), отметив области, требующие наибольшего внимания. Простое определение имеющихся данных, уже соответствующих требованиям GDPR, будет серьезной первоначальной задачей. Большинство компаний столкнутся с необходимостью создать новые системы для отслеживания изменений данных в соответствии с нормами GDPR или изменить существующие системы.

Заранее определите, что вашей компании придется делать в случае утечки персональных данных. С кем вы будете связываться? Какую информацию вы должны передать? Кто определяет, следует ли уведомить субъектов данных?

GDPR - это новый стандарт по защите конфиденциальности персональных данных. Он призван дать субъектам данных больше возможностей по контролю данных и обеспечить прозрачность операций и защиту. Это отличная вещь для защиты конфиденциальности, но масса работы для тех, кто должен выполнять требования этого акта.

***

Многие компании видят в GDPR лишь еще одну обузу, дополнительные расходы. Но, может быть, следует его рассматривать как возможность? Часто бывает, что компании собирают данные в течение длительного времени и даже не уверены, нужны ли они им. А GDPR заставит их пересмотреть причину сбора этих данных, срок их хранения, способ их обработки. Это шанс оптимизировать не только данные, но и работу, связанную с этими данными.

− Roger A. Grimes. How to protect personally identifiable information under GDPR. CSO. August 14, 2017

Когда вы делитесь с приложениями и сервисами определённой информацией, ваши устройства Apple начинают работать ещё лучше. Существует множество настроек, которые позволят вам выбирать, к каким данным открыть доступ, куда они будут отправляться и когда будет создаваться резервная копия. Важно знать, как настроены параметры в данный момент и как ими управлять.

Информация о данных и конфиден­циальности.

Мы создали новые информационные экраны «Данные и конфиденциальность», на которых вы можете легко разобраться, как именно Apple работает с вашими данными, ещё до того, как войдёте в свою учётную запись и начнёте пользоваться новыми функциями. Нажав значок «Данныеи конфиденциальность», вы увидите полезную информацию о том, какие данные могут быть отправлены и как они улучшат работу наших сервисов.

Проверьте настройки iCloud.

Вы можете управлять синхронизацией фотографий, сведений о здоровье, документов и других данных на ваших устройствах с учётной записью iCloud. Выбирайте, какие службы iCloud включить, а какие отключить. На устройствах iOS это можно сделать в настройках iCloud, а на Mac - в разделе iCloud в Системных настройках. Если вы пользуетесь PC с Windows, вам нужно будет открыть Панель управления iCloud.

Настройте доступ к своей геопозиции.

Иногда бывает полезно, чтобы устройство знало, где вы находитесь - например, когда вы планируете встречи в Календаре или пользуетесь навигацией. Службы геолокации определяют ваше местонахождение, используя данные GPS, Bluetooth, точек доступа Wi-Fi и вышек мобильной связи. Apple позволяет вам управлять тем, как собираются и используются эти данные. Вы должны включить службы геолокации самостоятельно - они всегда отключены по умолчанию. В любой момент от этого решения можно отказаться.

Функция SOS для экстренных вызовов.

С функцией SOS вы можете вызвать экстренные службы с помощью Apple Watch. Вы также можете настроить для выбранных вами людей автоматическое уведомление о ваших звонках в экстренные службы и показывать им ваше местонахождение в течение определённого промежутка времени. Эти уведомления можно отключить в любой момент. Даже если службы геолокации выключены, они включатся на некоторое время, чтобы выбранные вами «контакты SOS» узнали, где вас искать. Данные о вашем местонахождении также отправляются в местные экстренные службы, использующие сервис Rapid SOS. Все отправленные данные удаляются через 24 часа.

Контролируйте доступ приложений к вашим данным.

Приложения из App Store могут запрашивать доступ к данным о вашем местонахождении, контактам, календарям или фотографиям. Каждый раз, когда стороннее приложение впервые запрашивает какие-либо данные, вы видите диалоговое окно, поясняющее, какому приложению они нужны. Только вы можете предоставить доступ к своей информации. И если вы его разрешили, то в любой момент можете изменить это в Настройках.

Ваши действия на сайтах будут конфиденциальны.

Включите «Частный доступ», и Safari не будет добавлять посещаемые вами сайты в историю просмотра, запоминать ваши поисковые запросы и сохранять информацию из онлайн-форм, которые вы заполняете. Вы можете использовать средства блокировки контента, чтобы контролировать всё, что загружается в ваш браузер, и не позволять отслеживать вашу сетевую активность. Кроме того, поддержка средств блокировки контента устроена таким образом, чтобы их разработчики тоже не могли получать никаких данных о ваших поисковых запросах.

Safari также стал первым браузером со встроенной поддержкой анонимного поискового сервиса DuckDuckGo. Установите его в качестве поиска по умолчанию, и вы сможете пользоваться интернетом, не опасаясь, что ваши запросы кто-то отслеживает. Откройте настройки Safari на Mac, выберите «Поиск» и установите DuckDuckGo в качестве своей поисковой системы. На устройствах iOS коснитесь значка «Настройки», выберите Safari, затем «Поисковая машина» и DuckDuckGo.

Разработчики также получили возможность создавать для Safari загружаемые расширения, которые блокируют вредоносный контент, предназначенный для сбора адресов посещаемых вами сайтов.

Защитите персональные данные своих детей.

На устройствах Apple очень легко установить настройки родительского контроля и ограничения доступа. Вы сами решаете, какие веб-сайты может посещать ваш ребёнок, какие фильмы и телепередачи сможет смотреть, будет ли он пользоваться FaceTime и Камерой и скачивать приложения сторонних разработчиков. Родительский контроль и ограничения назначаются для конкретных устройств, поэтому мы рекомендуем установить их на всех устройствах Apple, которыми пользуются ваши дети. На Mac эти функции находятся в разделе «Родительский контроль» в Системных настройках. А на устройствах iOS нужно открыть «Настройки», затем коснуться строчки «Основные» и выбрать «Ограничения».

Вы также можете использовать функцию «Экранное время», чтобы лучше понимать и контролировать то, сколько времени ваши дети проводят в приложениях и на сайтах. Отчёты об активности включают подробные данные об использовании приложений, уведомлениях и входах в систему. Эти данные доступны только вам и недоступны Apple и третьим лицам. Вы также можете ограничить время, которое ваши дети ежедневно проводят в определённых приложениях и на сайтах.

С функцией «Семейный доступ» у ваших детей могут быть свои собственные Apple ID. А разработанная нами функция «Запрос на покупку» позволяет родителям одобрять покупки приложений и внутри приложений - то есть контролировать покупки, совершаемые через Apple ID их детей. Для настройки Apple ID ребёнка требуется согласие родителя или опекуна. Таким образом, взрослые получают возможность отслеживать действия детей и контент, который они скачивают.

-> Дополнительно

Под условиями использования в панели следует понимать набор документов, регламентирующий использование провайдером персональных данных клиентов. Полный набор существующих условий отображается на странице → "Условия использования" .

При обновлении панели до версии 5.153 произойдёт автоматическая конвертация имеющихся ссылок из раздела "Настройки" → "Настройки бренда" → "Авторское право" на политику конфиденциальности и условия использования в документы раздела "Условия использования" . В разделе будет создано два обязательных условия (документа): "User agreement" и "Privacy policy" . Ссылки на документы не изменятся. Если в настройках бренда ссылки на политику конфиденциальности и условия использования не были указаны, то при обновлении конвертация не выполняется.

Условия могут быть двух типов:

• политика конфиденциальности;
• пользовательское соглашение;

Условия на стороне администратора

Параметры условия

Настройка условия выполняется на странице "Управление персональными данными" → "Условия использования" → выделить условие → кнопка "Изменить" :

Редактирование документа

Тип условия - тип условия использования. Может принимать значения:

• Политика конфиденциальности - согласие клиента с условием такого типа означает, что он принимает политику конфиденциальности провайдера;
• Пользовательское соглашение - согласие клиента с условием такого типа означает, что он принимает условия пользовательского соглашения провайдера.

Название документа - локализованное наименование условия (документа). Отображается в полном списке существующих условий использования.

Описание условия - локализованное описание условия. Отображается на выбранных формах: опции "Отображать на форме регистрации" и "Отображать после авторизации".

Дата вступления в силу - дата вступления документа в силу. Условие не будет доступно клиентам, пока документ не вступил в силу.

Локализация - локализации, на которых доступен данный документ.

Обязательное согласие - флаг для принятия условия появится на форме после авторизации. Без согласия с таким условием невозможно продолжить работу в панели.

Отображать после авторизации - флаг будет отображаться для зарегистрированных пользователей при первой авторизации после внесения изменений в настройки конфиденциальности провайдера. Становится активным и блокируется для изменения, если активен флаг "Обязательное согласие".

Отображать в предупреждениях - флаг для отображения ссылок на документы над полями, где происходит указание персональной информации.

Журнал

Действия, совершённые пользователем и относящиеся к условиям использования персональных данных, логируются и отображаются в разделе "Управление персональными данными" → "Журнал" :

Каждая запись в журнале содержит:

• тип действия (согласие или отказ);
• имя пользователя;
• IP-адрес, с которого выполнялось действие;
• дату и время действия.

Условия на стороне пользователя

Форма после авторизации

Все активные условия с включённой опцией "Отображать после авторизации" будут отображаться пользователя при первой авторизации после внесения изменений в настройки конфиденциальности.

Информация о сборе и обработке данных

В разделе "Настройки" → "Настройки пользователя" пользователь может ознакомиться с документами о сборе и обработке персональных данных, с журналом согласий и отказов, а также запросить информацию об используемых персональных данных. Также пользователь может создать запрос на экспорт данных в CSV файл, удаление и ограничение использования персональных данных:

Эта форма - не обращение в поддержку.
Мы не можем идентифицировать вас и ответить на ваше сообщение.

С 1 июля 2017 года вступают в силу поправки, регламентирующие увеличение штрафов до 75.000 руб. и упрощение процесса проверки, что позволит инспектору Роскомнадзора (РКН) выписать штраф за зафиксированное нарушение, просто зайдя на сайт .

Нужно ли вам это?

• На вашем ресурсе присутствуют формы с запросом любых данных о посетителе (ФИО, телефон, email и т.д.)?
• Осуществляются продажи товаров или услуг через сайт (корзина, покупка в 1 клик, форма заказа и т.д.)?
• Имеется возможность пользования личным кабинетом на вашем сайте (регистрация, авторизация, восстановление пароля)?
• Существует возможность подписки на e-mail уведомления (рассылка новостей, уведомлений, информации и т.д.)?
• Присутствуют любые предложения, в которых необходимо связываться по e-mail?

Во всех случаях вы являетесь оператором по обработке персональных данных, что накладывает на вас обязательства по нормативам Роскомнадзора, в случае невыполнения которых могут возлагаться штрафы.

Что необходимо сделать?

Оформить все необходимые нормативные документы и грамотно представить их на сайте. Не знаете, как это сделать? Мы вам поможем!

Нами будут проведены следующие работы:

• Подготовим соглашение о конфиденциальности, условиям использования сайта и обработке персональных данных
• Добавим страницу «Соглашение об обработке персональных данных»
• Разместим ссылку на страницу «Соглашение об обработке персональных данных» на всех страницах сайта
• Добавим во все формы на сайте, в которых используются персональные данные, поле о согласии на их обработку с ссылкой на страницу «Соглашение об обработке персональных данных»
• Добавим всплывающее сообщение с Дисклеймером – предупреждение, в котором говорится, что на сайте собираются статистические данные
• Проверим, соответствуют ли условия хранения базы данных и дадим рекомендации
• Дадим рекомендации для подачи заявления в Роскомнадзор для регистрации вас как оператора (обращаем ваше внимание, что подача документов осуществляется самостоятельно)
• Проконсультируем по любым возникшим вопросам

Скачать файл

Законодательство о персональных данных в Российской Федерации уже давно стало предметом бурных обсуждений среди практикующих юристов и бизнес-сообщества. Особую актуальность тематика персональных данных приобрела после ужесточения административной ответственности за нарушение Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – "Закон о персональных данных"), в частности с вступлением с 01 июля 2017 г. в силу поправок в статью 13.11 КоАП РФ .

Корпоративная деятельность неразрывно связана с получением и обработкой персональных данных. Так, например, хозяйственное общество обязано предоставлять по запросу акционера документы общества, которые могут содержать в числе прочего персональные данные. Другим примером может быть раскрытие информации о крупных акционерах, членах совета директоров общества на официальном сайте компании, где могут фигурировать персональные данные. Наконец, обращение к родственникам с целью сбора и передачи обществу информации о юридических лицах, в которых заинтересованные лица, их супруги, родители, дети, полнородные и неполнородные братья и сестры и (или) их подконтрольные организации занимают должности.

Наиболее часто используемым основанием для обработки персональных данных является согласие субъекта. Вместе с тем оно требуется далеко не всегда. Закон о персональных данных предусматривает несколько исключений, когда получение согласия субъекта на обработку персональных данных не требуется. Эти исключения предусмотрены в статье 6 Закона о персональных данных, которая содержит условия обработки таких данных.

В сфере корпоративного управления наиболее часто используются следующие два исключения, когда при обработке персональных данных согласие субъекта не требуется:

1) Обработка персональных данных, подлежащих раскрытию или опубликованию по закону (подп. 11 ч. 1 ст. 6);

2) Обработка персональных данных для осуществления прав и законных интересов оператора или третьих лиц (подп. 7 ч. 1 ст. 6).

Обработка персональных данных, подлежащих раскрытию или опубликованию по закону

Чаще всего в рамках корпоративного управления персональные данные раскрываются в целях соблюдения требований законодательства. Так, например, персональные данные членов совета директоров раскрываются при публикации годовых отчетов акционерного общества в соответствии со статьей 92 Федерального закона от 26.12.1995 № 208-ФЗ "Об акционерных обществах" (далее – Закон об акционерных обществах). Сведения об аффилированных лицах акционерного общества раскрываются в соответствии с главой 73 Положения о раскрытии информации эмитентами эмиссионных ценных бумаг . Члены совета директоров предоставляют акционерному обществу информацию о занятии ими, их супругами, родителями, детьми, братьями и сестрами, усыновителями или усыновленными должности в органах управления другого юридического лица согласно пункту 2 части 1 статьи 82 Закона об акционерных обществах. Возникает вопрос, нужно ли в данном случае получать согласие субъекта на обработку его персональных данных?

Здесь действует следующее правило: согласие субъекта персональных данных не требуется при соблюдении следующих условий:

1. Условие 1. Если осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом ; или

2. Условие 2. Если обработка персональных данных необходима для осуществления и выполнения оператором функций, полномочий и обязанностей, возложенных на него законодательством Российской Федерации .

Указанные условия Закона о персональных данных идут "плечом к плечу", и можно смело говорить о том, что в отсутствие условия 1 оператор мог бы обрабатывать персональные данные, подлежащие обязательному опубликованию или раскрытию, руководствуясь условием 2, – т.е. для осуществления и выполнения функций, возложенных на него законодательством. Обратим, однако, внимание на то, что в отличие от условия 1, где речь идет о соблюдении федерального закона, в условии 2 используется понятие "законодательство Российской Федерации".Следовательно, в соответствии с данным условием возможна обработка персональных данных, если это предусмотрено как федеральными законами, так и постановлениями правительства, а также актами органов власти субъектов или органов местного самоуправления.

Таким образом, следует придерживаться простого правила: если обработка (в том числе предоставление, раскрытие) предусмотрена законодательством Российской Федерации, согласие субъекта персональных данных на такую обработку не требуется. Если обработка персональных данных не предусмотрена законодательством или обработка происходит в объеме большем, чем предусмотрено законодательством, на такую обработку потребуется согласие субъекта.

Разберем данное правило на простых примерах.

Раскрытие сведений о членах совета директоров акционерного общества

Публичные общества, а также непубличные общества с числом акционеров более 50 обязаны раскрывать годовой отчет в соответствии со статьей 92 Закона об акционерных обществах.

Пример 1. Общество раскрыло на своей странице в сети Интернет краткие биографические данные членов совета директоров в объеме, предусмотренном пунктом 70.3 Положения о раскрытии информации эмитентами эмиссионных ценных бумаг (год рождения, сведения об образовании, сведения об основном месте работы).

Согласие членов совета директоров на данное раскрытие информации не требуется, т.к. такое раскрытие предусмотрено законодательством.

Пример 2. Общество раскрыло на своей странице в сети Интернет данные о семейном положении членов совета директоров.

На данное раскрытие требуется согласие членов совета директоров, т.к. такое раскрытие не предусмотрено законодательством.

По общему правилу, для публикации фотографий членов совета директоров требуется согласие, т.к. такая публикация не является обязательной в соответствии с требованиями законодательства. Однако есть обстоятельства, при которых согласие не требуется. Такие обстоятельства указаны в статье 152.1 Гражданского кодекса Российской Федерации, а именно: использование изображения в государственных, общественных или иных публичных интересах; изображение гражданина получено при съемке в местах, открытых для свободного посещения или на публичных мероприятиях, за исключением случаев, когда такое изображение является основным объектом использования; гражданин позировал за плату.

При этом отсутствие необходимости получения согласия субъекта не означает, что все требования законодательства при обработке персональных данных соблюдены. Общие принципы обработки персональных данных, изложенные в статье 5 Закона о персональных данных, должны соблюдаться. К таким принципам относится, в частности, соответствие содержания и объема персональных данных заявленным целям обработки. Персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Например, если цель обработки персональных данных – соответствие требованиям по раскрытию информации, то раскрытие данных, не предусмотренных законом, уже не будет соответствовать заявленной цели.

Если, исходя из изложенного выше правила, требуется получать согласие субъекта на обработку его персональных данных, можно использовать форму согласия, приведенную ниже .

Согласие на обработку персональных данных Я, [ФИО субъекта], паспорт серии [●] номер [●], выдан [●], зарегистрированный по адресу [●], даю согласие [наименование общества – оператора персональных данных], расположенному по адресу [●], на обработку, а именно на [конкретизировать действия с персональными данными, например, сбор, запись, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), удаление, уничтожение] следующих персональных данных: [перечислить персональные данные, на обработку которых дается согласие, для Примера 2 и Примера 3 выше это данные о семейном положении и фотография] с целью [указать цели обработки персональных данных; в указанных примерах это может быть размещение указанных персональных данных в сети Интернет на определенном сайте.] Я проинформирован (-на) о том, что указанные выше персональные данные могут обрабатываться как автоматизированным, так и не автоматизированным способами обработки. Согласие на обработку персональных данных дано на срок [указать срок; в указанных выше примерах это может быть срок, на который назначен член совета директоров]. Согласие на обработку персональных данных может быть отозвано на основании письменного обращения субъекта персональных данных с требованием к оператору о прекращении обработки персональных данных. ___________________ (Ф.И.О. полностью, подпись)

Обработка персональных данных для осуществления прав и законных интересов оператора или третьих лиц (подп. 7 ч. 1 ст. 6 Закона о персональных данных)

Обработка персональных данных при предоставлении акционерам доступа к документам. Вопрос об обработке персональных данных встает и в случае, когда речь идет о предоставлении персональных данных акционерам/участникам общества в соответствии со ст. 91 Закона об акционерных обществах и ст. 50 Закона об обществах с ограниченной ответственностью. В частности, когда запрос акционера/участника связан с предоставлением персональных данных физических лиц, входящих в органы управления юридического лица, или лиц, вступивших в правоотношения с таким обществом.

В данном случае доступ к документам предоставляется с учетом позиций, изложенных в Информационном письме ВАС РФ от 18.01.2011 № 144 (далее – Письмо). Письмо предусматривает, что участник хозяйственного общества вправе получать информацию о физических лицах, вступивших в правоотношения с таким обществом, если это необходимо для защиты им своих прав и законных интересов. Речь идет, например, о случаях оспаривания участником сделки, заключенной обществом, либо предъявления иска члену совета директоров или генеральному директору с требованием о возмещении причиненных обществу убытков. В таких случаях заявитель вправе запрашивать у общества информацию и документы, содержащие в числе прочего персональные данные физических лиц, необходимые для обращения в суд, со ссылкой на пункт 7 часть 1 статьи 6 Закона о персональных данных.

Позиция, выработанная ВАС РФ, находит свое применение на практике. Так, арбитражный суд Дальневосточного округа признал незаконным отказ налогового органа предоставить копии документов из регистрационного дела по запросу конкурсного управляющего должника . Одним из оснований для отказа стало то, что документы по запросу конкурсного управляющего содержали в себе персональные данные учредителей компании. Отказ налогового органа был признан судом незаконным со ссылкой на то, что обработка персональных данных в данном случае необходима для осуществления прав и законных интересов оператора или третьих лиц. В частности, согласно законодательству о банкротстве конкурсный управляющий исполняет обязанности руководителя должника и действует на основании и во исполнение судебного акта о признании должника несостоятельным (банкротом). В силу этого непредставление по запросу конкурсного управляющего сведений, содержащих среди прочего персональные данные, будет являться нарушением, так как препятствует сбору сведений о должнике и, как следствие, реализации конкурсным управляющим предоставленных законодательством о банкротстве специальных полномочий.

В другом деле арбитражный суд Западно-Сибирского округа признал незаконным отказ налогового органа в предоставлении протокола общего собрания общества с ограниченной ответственностью по причине нарушения прав субъектов персональных данных. Речь шла о предоставлении протокола, содержащего в себе паспортные данные физического лица, который не давал согласия на признание сведений о себе общедоступными. На этом основании налоговый орган ответил отказом, ссылаясь на пункт 1 статьи 6 Федерального закона от 08.08.2001 № 129-ФЗ "О государственной регистрации юридических лиц и индивидуальных предпринимателей" (далее – Закон о государственной регистрации). Согласно Закону о государственной регистрации сведения и документы, содержащиеся в реестре, являются открытыми и общедоступными, за исключением сведений с ограниченным доступом (абз. 2 п. 1 ст. 6 Закона о государственной регистрации). В соответствии с ограничениями законодательства о государственной регистрации данные документа, удостоверяющего личность, могут быть предоставлены лишь по запросу органов государственной власти, иным государственным органам, судам, органам государственных внебюджетных фондов в случаях и в порядке, которые установлены Правительством Российской Федерации. Однако данное ограничение не применяется при предоставлении содержащих указанные сведения копий учредительных документов юридических лиц .

Изначально такое ограничение по предоставлению информации и копий документов из реестра было установлено в целях защиты сведений от посягательств лиц, не имеющих никакого отношения к обществу. В случае же, когда речь идет о предоставлении заявителю документов (включая протоколы общего собрания) общества, участником которого он является, основания для отказа отсутствуют. В связи с этим при обращении с запросом информации или корпоративных документов следует, прежде всего, учитывать характер запрашиваемой информации (документа); субъектный состав участников правоотношений; доказательства нарушения прав субъектов персональных данных или отсутствие таких нарушений.

Обработка и условия передачи персональных данных работника. При обработке персональных данных сотрудников необходимо руководствоваться разъяснениями Роскомнадзора , которыми установлены следующие правила. Согласие сотрудника на обработку его персональных данных не требуется при соблюдении следующих критериев:

(а) объем данных для обработки соответствует установленным законодательством пределам;

(б) цель обработки данных сотрудника не противоречит трудовому или иному специальному законодательству.

В разъяснениях Роскомнадзора прямо сказано, что согласие работника не требуется при обработке персональных данных в случаях, установленных трудовым договором, коллективным договором или иными правилами внутреннего трудового распорядка. Однако это не означает, что в локальные нормативные акты (далее – ЛНА) можно транслировать все что угодно. Главной задачей здесь является принятие ЛНА в порядке, установленном отраслевым законодательством, и отсутствие противоречий с принципами и положениями действующего трудового законодательства. Только если обработка ПД осуществляется в соответствии с надлежаще разработанными ЛНА и цели обработки соответствуют действующему трудовому законодательству, получать согласие работника нет необходимости.

На практике существует достаточно много примеров, когда работодатель может осуществлять обработку персональных данных без получения согласия сотрудника . Как правило, речь идет о случаях, когда обработка персональных данных необходима для выполнения работодателем, выступающим в качестве оператора, обязанностей, предусмотренных законодательством. В частности, если речь идет об образовательном учреждении, то законодательством предусмотрено, что на его сайте должна размещаться и обновляться информация, включающая в себя в числе прочего персональные данные сотрудников . Например, фамилию, имя, отчество руководителя образовательного учреждения, его место нахождения, график работы, справочные телефоны, фамилии, имена, отчества, должности руководителей структурных подразделений, информация о персональном составе педагогических (научно-педагогических) работников.

Правила о получении согласия работника на обработку его персональных данных не применяются , когда речь идет о передаче персональных данных третьим лицам в целях предотвращения угрозы для жизни или здоровья сотрудника. Кроме того, трудовое законодательство предусматривает передачу персональных данных сотрудника в Пенсионный фонд и Фонд социального страхования без согласия работника со ссылкой на ст. 22 Трудового кодекса Российской Федерации. Наконец, законодательство предусматривает передачу персональных данных сотрудника без его согласия в налоговые органы, профсоюзы и военные комиссариаты или по мотивированному запросу прокуратуры и правоохранительных органов .

Анализ изложенных выше примеров и комментариев законодательства позволяет предложить следующие рекомендации при обработке персональных данных в сфере корпоративного управления.

Во-первых, руководствоваться правилом о том, что если обработка персональных данных предусмотрена законодательством, то согласие субъекта на обработку не требуется. Вместе с тем оператору персональных данных следует проверять и соблюдать, в каком объеме законодательство предусматривает раскрытие персональных данных. В противном случае может потребоваться согласие на обработку.

Во-вторых, операторам рекомендуется обращать внимание на принципы обработки персональных данных, изложенные в статье 5 Закона о персональных данных. Одним из принципов, на который стоит обратить особое внимание при обработке – соответствие содержания и объема персональных данных заявленным целям обработки. Велика вероятность, что такие принципы будут толковаться в пользу субъекта персональных данных как более слабой и уязвимой стороны по сравнению с оператором.

В-третьих, при обращении акционера/участника общества с запросом об ознакомлении с документами общества, которые могут содержать персональные данные, следует учитывать характер и объем запрашиваемой информации/документа, а также статус лица, направившего запрос.

Наконец, общей рекомендацией может быть предварительно оценивать риски нарушения прав акционеров/участников общества при отказе в предоставлении информации/документов с одной стороны и риски нарушения прав субъектов персональных данных при раскрытии информации/документов, содержащих эти данные. Попытка оценить риски и взвесить плюсы и минусы в случае отказа или раскрытия персональных данных в корпоративном управлении позволит оператору персональных данных избежать ответственности или как минимум выбрать меньшее из зол.