Политика обработки персональных данных: рекомендации, которым сложно следовать
Защита информации
Как известно, каждый оператор персональных данных (то есть подавляющее большинство организаций и индивидуальных предпринимателей, имеющих дело с обработкой персональных данных) обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, а также к сведениям о реализуемых требованиях к защите персональных данных. С недавнего времени нарушение указанного требования может повлечь применение к организации финансовых санкций в размере до 30 000 рублей, а к должностным лицам – до 6 000 рублей (ч. 3 ст. 13.11 КоАП).
В конце июля Роскомнадзор опубликовал разработанные им рекомендации относительно состава положений, которые должны включаться в такого рода документ. Как отмечается в самих рекомендациях, их целью является разработка унифицированных подходов к структуре и форме документа, определяющего политику оператора в отношении обработки персональных данных.
Следует сразу оговориться, что любые подобные инициативы заслуживают только поощрения. Учитывая лаконичность закона, а в некоторых случаях – его внутреннюю противоречивость, любые официальные разъяснения позиции регулятора должны приветствоваться. В то же время, следует признать, что не все из предложенных им рекомендаций могут быть бесспорно реализованы.
При изучении текста рекомендаций особое внимание привлекает объем сведений, которые, по мнению надзорного органа, следует раскрывать в отношении передачи персональных данных третьим лицам. Так, оператору рекомендуется раскрыть «наименование и местонахождение соответствующих третьих лиц, цели осуществляемой (трансграничной) передачи, объем передаваемых персональных данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных». При рассмотрении такого рода рекомендаций смущают, по меньшей мере, два аспекта.
Очевидно, что при опубликовании описанного выше объема сведений оператор фактически раскрывает сведения о конкретных провайдерах, оказывающих ему услуги, связанные с обработкой персональных данных (страховые компании, провайдеры ИТ-услуг и т.д.). Иными словами, оператор вынужден сообщить неограниченному кругу лиц сведения о довольно широком круге своих контрагентов. Между тем, зачастую раскрытие данной информации противоречит не только коммерческим интересам оператора, но и условиям договоров, заключенных с провайдерами услуг. Это соображение, конечно, можно назвать не самым принципиальным: можно стоять на позиции, что ради повышения информированности субъектов персональных данных можно и не поскупиться на бесплатную рекламу своих партнеров. Однако представляется, что этим проблема не исчерпывается.
Одним из наиболее распространенных случаев передачи персональных данных третьим лицам является передача сведений в кредитные организации, оказывающие оператору услуги в сфере расчетно-кассового обслуживания (в том числе, в рамках зарплатных проектов). Соответственно, публикуя сведения о такой передаче, компания фактически раскрывает сведения о кредитной организации, в которой ее сотрудники держат зарплатные счета. Хотя работодатель и не является субъектом банковской тайны, обязанным сохранять конфиденциальность сведений о зарплатных счетах работников (ст. 857 ГК РФ, ст. 26 Федерального закона «О банках и банковской деятельности»), стимулирование компании к распространению таких сведений сложно назвать целесообразным.
В свете вышеизложенного можно предположить, что вместо безоговорочного следования рекомендациям операторы будут и дальше искать компромиссные решения, позволяющие обеспечить баланс между достаточным раскрытием сведений о порядке обработки персональных данных и обеспечением вполне понятных интересов операторов. К счастью, придание рассматриваемому документу формы рекомендаций оставляет определённый простор для творчества.