Защита, документы и соглашения
Отсутствие информационного воспитания как на уровне работников, так и работодателей, приводит к утечкам различных сведений, заявил руководитель практики правовой защиты информации Дмитрий Зыков. Поэтому надо заботиться, чтобы конфиденциальная информация защищалась, проводить организационную и юридическую работу.
Не все отдают себе отчет в том, что они работают с конфиденциальной информацией, и что нужно соблюдать правила работы с такой информацией.
Для повышения защиты данных эксперт рекомендует использовать «информационное воспитание»: разрабатывать локальные нормативные акты компании о безопасности конфиденциальной информации и применять технические средства их защиты. Следует обратить внимание и на зоны риска, актуальные в 2021 году. Сейчас, когда многие работают удаленно, следить за сохранностью данных стало сложнее – поэтому важно уделять этому больше внимания и, например, запрещать сотрудникам пользоваться внешними информационными ресурсами для обмена документами.
Подробнее о том, как огородить фирму от разглашения коммерческой тайны, рассказала Ирина Ахмедова, руководитель практики интеллектуальной собственности и персональных данных . Зачастую компании хотят усилить существующий режим защиты персональных данных и охранять их в качестве коммерческой тайны. Так же бывает и с результатами интеллектуальной деятельности. «Режим коммерческой тайны позволяет наилучшим образом защитить информацию. Он обеспечен законом и государством, и в случае, если компания располагает необходимыми финансовыми и бюрократическими ресурсами, он позволит наилучшим образом защитить информацию», – отметила юрист.
К коммерческой тайне, по словам Ахмедовой, можно отнести «практически любую информацию». Но нужно ознакомить с положением всех сотрудников, подписать с ними и с контрагентами соглашения. Также важно вести учет лиц, получивших доступ к такой информации. «Чем детальнее расписан подход к коммерческой тайне, тем больше шансов, что в случае судебного разбирательства виновные [в разглашении тайны] будут наказаны», – объяснила юрист.
Эксперт посоветовала внимательнее относиться с правами доступа к документам, составляющим тайну. Желательно четко давать понять об этом сотрудникам, в чем помогут водяные знаки на каждой странице файла. Можно также предусмотреть, что документ нельзя скопировать и изменить, ограничить права доступа. Не лишним будет оформить запрет использования облачных хранилищ для хранения таких документов, советует Ахмедова.
А о защите персональных данных говорил Михаил Хохолков, ведущий юрист . С 1 марта 2021 года вступили в силу поправки в закон «О персональных данных». Поэтому теперь для распространения персональных данных нужно получить согласие от гражданина по специальной форме согласия. Каждый оператор должен разработать свой бланк согласия или веб-форму, напомнил эксперт. Он дал несколько советов по оформлению такой формы. Так, согласие должно содержать сведения о ФИО клиента, контактной информации, целях распространения данных и другую информацию. Согласие дается на четко определенный срок, напомнил юрист. Допускается любая форма согласия, позволяющая подтвердить факт его получения.
Максим Зиновьев, руководитель отдела по защите персональных данных юридической фирмы Б-152, остановился на теме Legal design в выработке политики конфиденциальности компании. Политику конфиденциальности просто не читают, если он представляет собой «стену текста». Поэтому важно, чтобы документ был наглядным и понятным. Юрист предложил вычеркивать ненужные разделы из Политики, избавиться от сложных терминов. При этом самые важные положения он советует излагать в самом начале документа, вместе с оглавлением – чтобы субъект мог быстро найти то, что его интересует. Цветовое кодирование, крупные заголовки, читаемые штрифты – визуальная составляющая тоже важна, подчеркнул Зиновьев.
Зачастую персональные данные и базы таких данных становятся предметом сделки между двумя компаниями. Станислав Румянцев, старший юрист ЮФ показал на примерах, какие ошибки могут содержаться в таких сделках. Так, иностранная компания разработала онлайн-игру, нашла в России партнера, предоставила ему право на техническую поддержку и локализацию продукта. Основной актив такого продукта – база данных пользователей, субъектов персональных данных, пояснил юрист. При этом оператором базы данных стала российская компания, и это стало ошибкой иностранных партнеров – тем следовало назвать оператором себя, а российскому контрагенту просто поручить обрабатывать данные по поручению.
Если нужно заключить соглашение, по которому подрядчик будет заниматься формированием или администрированием базы данных – включите в договор указание не только на Гражданский кодекс, но и на Закон о персональных данных. Он имеет большую силу в таких делах.
Против Роскомнадзора
А Иван Кайсаров, старший юрист , рассказал о последствиях нарушения закона о персональных данных. В 2021 году в законодательстве появились штрафы до 200 000 руб. для юридических лиц за разглашение персональных данных. А еще недавно все штрафы за нарушения увеличили в два раза. Самые крупные все еще положены за нарушение обязанности по локализации персональных данных – до 18 млн руб. за повторное нарушение.
В первую очередь, у вас должна быть работа в трех направлениях: правовом, разъяснительно-воспитательном и техническом. Если у вас много дистанционных работников – система должна обеспечить конфиденциальность данных.
Среди типичных нарушений, которые допускают компании, Кайсаров выделил получение «резиновых» согласий на обработку данных без конкретных целей, отсутствие бумаг, описывающих процесс обработки данных, и передача информации третьим лицам без права на это. Он посоветовал четко прописывать в документах все процедуры работы с данными, и тогда проблем с государством в лице Роскомнадзора будет меньше.
О том, как успешно пройти проверку надзорного органа, говорили начальник отдела правовой поддержки цифровых сервисов и сопровождения проектов X5 Group Александра Николаева и Артем Дмитриев, руководитель практики по защите данных PwC Russia. Дмитриев отметил последние изменения в контрольно-надзорной деятельности. Теперь все проверочные и контрольные мероприятия РКН должны быть согласованы с Генпрокуратурой. Поэтому стало возможным узнавать о мероприятиях напрямую через «Единый реестр проверок».
Еще одно важное изменение – новый риск-ориентированный подход. Теперь организации распределены по уровню риска – от «высокого» до «низкого». От этого зависит частота проверок ведомства. А сама продолжительность проверок сократилась вдвое – с 20 до 10 дней. «К проверкам Роскомнадзора нужно готовиться точно так же, как если бы она проводилась в течение 20 дней. Поэтому они будут смотреть на понятные им «болевые места», – подчеркнул юрист.
У Роскомнадзора не хватает людей, чтобы проводить много проверок и проводить их тщательно. Это очевидно.
Юрист практики интеллектуальной собственности Алексей Возжаев рассказал о самых интересных спорах Роскомнадзора с коммерческими компаниями. По словам эксперта, он пытался составит топ-5 споров за прошедший год, и в топ вошли WhatsApp, Facebook, Twitter и Google. Эти компании наказали на нарушение правила, согласно которому иностранные IT-гиганты должны локализовать данные пользователей в России. Сейчас многие иностранные компании, которые работают в России, получают «письма счастья» на этот счет, подчеркнул Возжаев.
Вспомнил юрист и о постановлении Конституционного суда № 22-П, в котором врач из Воронежа добивалась удаления ее профиля с портала отзывов о врачах, поскольку некоторые из этих отзывов оказались оскорбительными. КС признал, что распространение ранее раскрытых ранее медицинской организацией данных работника не нарушает прав таких работников (см. «КС разрешил публиковать общедоступные данные о врачах»).
30 сентября — Налоговая политика и налоговые споры.
13 октября — Девелопмент и строительство: правовые вопросы.
19 октября — Семейное и наследственное право: законодательные изменения и актуальная практика.