Руководитель межотраслевой группы «Пепеляев Групп» Наталья Иващенко затронула вопрос влияния недавно принятых нормативных правовых актов на телеком-отрасль. Она отметила, что нормативная правовая база в области инфотелекоммуникаций за последние полгода не изобилует большим количеством принятых законодательных актов. Между тем достаточно большое количество различных законодательных инициатив требует серьезной работы со стороны бизнеса и государства в настоящем и ближайшем будущем. Наталья Иващенко дала интервью журналу «Электросвязь».
«ЭС»: Можно ли говорить о каких-то результатах принятого решения о переносе персональных данных российских пользователей на серверы в РФ?
— Главное, на что был направлен закон о локализации персональных данных: персональные данные не могут храниться на зарубежных серверах, они должны консолидироваться в России. Закон действует не так долго — с 1 сентября 2015 года. Но уже сейчас мы наблюдаем первые положительные результаты его принятия, а также сложности, с которыми столкнулись компании. Причем это касается не только компаний телекоммуникационного сектора, поскольку с персональными данными работают все индустрии: собирают, обрабатывают, хранят и используют данные для разных целей.
Приведу несколько примеров из тех проектов, к участию в которых привлекали юридическую компанию «Пепеляев Групп» в целях приведения в соответствие внутренних систем требованиям закона о персональных данных. Закон изначально предъявлял требования предпринимать меры защиты персональных данных. Однако для многих компаний это было простой формальностью, и тогда вместо внедрения реальных мер по защите персональных данных создавалась видимость их защиты.
Законодательное требование о локализации ПД побудило компании провести, по сути, инвентаризацию своих баз данных, поскольку появилось требование сообщать в Роскомнадзор о месте нахождения баз данных. Соответственно, потребовалось описание информационных систем, в том числе для целей определения степени их защищенности во исполнение Постановления Правительства РФ № 1119. В результате компании начали активно собирать информацию о том, какими БД они пользуются, для чего они нужны
Результаты инвентаризации, как мы видим по своим клиентам, привели к тому, что стала видна реальная картина защиты ПД в компании:
- выявлены БД, на которые ранее в принципе не обращалось никакого внимания;
- от части БД компании приняли решение отказаться (уничтожить), если они утратили свою актуальность для бизнеса (например, не всегда информация о родственниках клиентов, фото, попадающие в систему
и т. п. являются нужной и важной для деятельности компании информацией); - выявлено несоблюдение требований к защите ПД, которые предъявлялись и ранее, но на них особо не обращали внимания. Например, пока не было требования о локализации компании, не всегда знали, каким образом происходит передача информации внутри холдинга, соблюдаются ли требования, предъявляемые к целям использования ПД, полученных от работников или клиентов, к получению согласия от граждан на использование их ПД в соответствии именно с его целями, к порядку передачи ПД зарубежному офису и др.
Еще одним примером того, над чем компаниям приходится задумываться все больше, является основание для передачи ПД и распределение ответственности между субъектами. Допустим, в рамках холдинговой структуры (в том числе чисто российской) одна из компаний (скажем, сервисная) получила согласие на использование ПД и для целей оказания услуг, и для рекламных целей. А другая компания (рекламная) использует ПД граждан для своей рекламной деятельности, полагая, что согласие получено. Такой подход не работает. У каждого юридического лица, как самостоятельного оператора ПД, в той или иной форме должно быть согласие гражданина на тот вид использования его ПД, какое осуществляет именно это лицо.
Что касается трансграничных передач данных. Если данные собраны в России и требования локализации соблюдены, формально российской компании не запрещено передавать ПД за рубеж, осуществляя копирование российской БД. Между тем и в этом случае должна быть цель такой передачи, и целевое использование ПД, и на все это также должно быть получено согласие клиента. Имеет свои особенности привлечение подрядчика, например, для каких-то рассылок рекламного / информационного характера. Это самостоятельная цель использования ПД, причем третьим лицом, и для этого также формально требуется согласие субъекта ПД.
По нашему мнению, информационная безопасность компаний улучшилась. Формальное соблюдение мер защиты ПД постепенно заменяется реальным. Это также снижает угрозы для бизнеса в случае проверок РКН.
