Соответствуют ли российские интернет-сервисы и провайдеры европейскому GDPR
Исполнительный директор Центра цифровых прав, директор Ассоциации организаций связи и информации Денис Лукаш рассказал о соответствии российских интернет-сервисов и провайдеров европейскому GDPR. Хотя идейно GDPR и федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ (152-ФЗ) имеют много общего, в реальности обеспечить соответствие одновременно двум нормативным актам не так-то просто.
Денис Лукаш с точки зрения юриспруденции обратил внимание на то, что следует учитывать инвесторам, маркетологам и директорам предприятий в контексте Генерального регламента о защите персональных данных (General Data Protection Regulation, GDPR), как структурировать свой бизнес и где можно заработать.
Начал специалист с вопроса, что такое персональные данные. Конкретного ответа на него в 152-ФЗ нет — он лежит в контексте каждой ситуации. Такова мировая практика. Однако сведения, необходимые для трактовки российского законодательства, можно почерпнуть из международных соглашений.
В международном законодательстве первоисточником определения стоит считать Конвенцию о защите физических лиц при автоматизированной обработке персональных данных — СДСЕ N 108 (Конвенция 108). Именно оттуда перекочевало определение персональных данных:
«Персональные данные означают любую информацию об определенном или поддающемся определению физическом лице ("субъект данных")». Согласно директиве от 1995 года в Европе определение персональных данных было немного расширено — к ним были причислены различные пользовательские идентификаторы. Впоследствии Working party 29 (WP29), или рабочая группа по статье 29, в своем Opinion 4/2007 на 26 листах уточнила определение персональных данных и с примерами пояснила, что к ним относится, а что нет.
Как отметил Денис Лукаш, российская судебная практика по 152-ФЗ в последние 12 лет стремится как раз к этим положениям, которые известны в Европе уже более 10 лет. Поэтому изучение упомянутого выше Opinion 4/2007 даст ответы на многие вопросы. В частности, в начале 2019 года Роскомнадзор на дне открытых дверей отметил, что использование «Яндекс.Метрики» и «Google Аналитики» — это тоже обработка персональных данных, о чем в WP29 говорили еще много лет назад.
Принятый сравнительно недавно GDPR еще более расширил понятие персональных данных, теперь к ним относятся вообще все идентификаторы. Даже оператор, предоставляющий IP-транзит для другого провайдера, может являться оператором персональных данных. Скорее всего, те же определения перекочуют и в российский 152-ФЗ. По крайней мере Россия в конце 2018 года присоединилась к модифицированной Конвенции 108+. И Денис Лукаш в перспективе ожидает, что абсолютно все треккеры, отслеживающие поведение пользователей и так или иначе содержащие определенный идентификатор, будут относиться к персональным данным по 152-ФЗ. И это надо учитывать уже сегодня, чтобы в среднесрочной перспективе ничего не переделывать.
Наглядный пример таких персональных данных — результат психологического теста ребенка (картинка, где ребенок нарисовал свою семью). В этой иллюстрации появляется информация о настроении ребенка, его физическом состоянии, физиологических особенностях. И по этим характеристикам, собранным вместе, можно прямо или косвенно определить персоналии.
Таким образом, все это персональные данные по GDPR, хотя Роскомнадзор пока что этого не признает.
БАЗОВЫЕ ОТЛИЧИЯ GDPR ОТ 152-ФЗ
GDPR предусматривает несколько ролей в процессе обработки персональных данных. Контролер определяет цели и средства обработки персональных данных. Именно он работает с субъектом, публикует Private Policy. Процессор — любой оператор пользовательской аналитики, хостинг, облачный сервис и тому подобное, то есть тот, кто непосредственно обрабатывает эти данные. Между контролером и процессором должно быть соглашение на обработку данных (определенное в параграфе 3 статьи 28 GDPR). И все они в равной степени несут ответственность за нарушения.
В отличие от GDPR, 152-ФЗ предусматривает только одного оператора персональных данных. Он может дать поручение на обработку другому оператору персональных данных, но в любом случае административную ответственность понесет только первый оператор. И в этом заключается серьезная проблема 152-ФЗ.
Меры, которые в России являются достаточными и адекватными для защиты персональных данных, недостаточны для Европы. Чтобы взаимодействовать с европейскими клиентами, нужно дополнительно получать согласие на обработку и подписывать с контрагентами специальные условия, по которым передаются обязательства по GDPR. Загвоздка в том, что в России подписать такие соглашаются лишь отдельные компании.
ПРОВЕРКИ GDPR VS 152-ФЗ НА ПРАКТИКЕ
Несколько слов о том, как в реальности проходят проверки по персональным данным.
В России проверки на соответствие 152-ФЗ проходят довольно поверхностно. Отдельные компании умудряются показывать Роскомнадзору документы, существующие параллельно с реальными взаимоотношениями с физлицами. То есть внешне у сервиса все хорошо, но на практике процессы не соответствуют 152-ФЗ. Денис Лукаш связывает это со слабой позицией Роскомнадзора из-за недостаточности ресурсов с одной стороны и с попыткой бизнеса экономить на всем — с другой.
С GDPR все иначе — не получится отбиться документами. В данный момент в Европе на базе ISO 27001 разрабатывается сертификация, подтверждающая, что компания в любой момент соответствует GDPR.
С позиции GDPR каждое взаимодействие участников обработки персональных данных должно быть задокументировано. Например, есть сервис Интернета вещей, созданный группой компаний. Внутри холдинга производителя есть разработчик железа, софта и тому подобного и формируются свои взаимосвязи с точки зрения обработки персональных данных. Отдельные компании холдинга могут быть холдерами процессов обработки или совместными контролерами персональных данных. По каждой категории персональных данных эти роли могут отличаться, так что компаниям нужно о многом договориться. Если какая-то связь здесь будет нарушена, появятся риски получить большие штрафы.
152-ФЗ И GDPR В ОБЛАКЕ
У российского закона о персональных данных есть и другие проблемы.
В России крайне сложно найти провайдера хостинга, который обеспечит защиту персональных данных в соответствии со статьей 19 152-ФЗ. Это очень дорого. Более дешевые провайдеры никогда не подпишут договор в соответствии с требованиями закона. С точки зрения закона это проблема для российского ИТ-сервиса, поскольку ответственность несет только первый оператор персональных данных (а не какая-нибудь «Яндекс.Метрика»).
Еще сложнее ситуация, при которой ИТ-сервис захочет работать в Европе. Он одним из способов узаконивает обработку персональных данных физических лиц (согласие, договор и так далее) — берет на себя очень большую ответственность. Далее он должен передать эту ответственность юридическим лицам, с которыми работает, — с каждым сопроцессором заключить стандартный документ.
Но, во-первых, в России операторы связи не готовы делить эту ответственность.
Денис Лукаш предположил, что если появится оператор связи GDPR-ready (а возможно, оператор и хостинг-провайдер в совокупности), который будет готов подписывать условия ответственности по GDPR, это сильно упростит жизнь российскому ИТ-бизнесу, выходящему на европейский рынок. А для самого оператора это стало бы уникальным торговым предложением. В такой ситуации оператор связи берет на себя определенные риски, но, по оценкам Дениса Лукаша, они контролируемы и с ними в принципе можно работать. К сожалению, пока очень мало компаний готовы предоставить такие услуги.
Во-вторых, есть проблема с хранением данных по закону Яровой. По сути это реплика продакшен-сервера, когда оператор связи пишет весь трафик в течение полугода. Роскомнадзор, как считает Денис Лукаш, умалчивает об этой проблеме — ее как будто нет, поскольку в нашей стране такая система хранения данных попадает под исключение. В одном из пунктов статьи 6 152-ФЗ перечислены основания для обработки персональных данных, где в одном из пунктов закон указан как основание обработки. Но это не значит, что эти данные не нужно защищать и соблюдать другие положения 152-ФЗ. Кстати, есть аналогичное основание и для GDPR. Некоторое время назад в Европе была принята директива по проведению оперативно-розыскных мероприятий, в которой описано, когда применяется GDPR, а когда упомянутая директива. И в этом контексте всплывает сложность GDPR-ready-статуса для операторов связи с хранением данных по закону Яровой.
Есть компании, которые противоречия между 152-ФЗ и GDPR просто игнорируют. Другие компании регистрируют юридическое лицо в Европе — в Болгарии, Прибалтике, на Кипре и так далее — делят юридические взаимоотношения, создают два комплекта документов (под GDPR и 152-ФЗ) и каким-то образом решают вопрос, как разделить ядро системы, чтобы не дублировать его. Реально ли при этом привлечь российскую компанию по GDPR — вопрос открытый. Денис Лукаш считает, что наш суд, скорее, будет руководствоваться нашим законодательством и не подтвердит иск. Здесь вмешается политика.
PRIVACY BY DESIGN
В сложившихся условиях, если компания планирует выйти на европейский рынок или просто сделать GDPR-ready-сервис, потому что тому есть какие-то маркетинговые причины, начать надо с понимания принципов Privacy by design, когда приватность закладывается на этапе создания решения. Этот принцип лежит в основе соответствия GDPR и, возможно, скоро будет в основе 152-ФЗ. И он должен быть в основе бизнес-процессов.
Для лучшего понимания этой концепции Денис Лукаш рекомендует книгу Strategic Privacy by Design Джейсона Кронка. Также он не советует доверять консультантам, которые для GDPR предлагают готовить документы, аналогичные 152-ФЗ.
ПРАКТИКА ПО 152-ФЗ
В завершение Денис Лукаш остановился на некоторых практических моментах, касающихся 152-ФЗ.
Во-первых, необходимо обратить внимание, что политика обработки персональных данных в организации учитывает все источники ПД — заявителей, пользователей технически связанных услуг, по которым оператор связи является агентом, пользователей сайтов и приложений, работников операторов связи, учредителей, совет директоров, сотрудников подрядчиков и тому подобное — всех физических лиц, с которыми работает (сотрудничает) компания.
Во-вторых, при реализации модели угроз по системам обработки персональных данных необходимо учитывать абсолютно все системы, работающие с данными пользователей, — биллинговые системы, системы идентификации на устройствах, CRM, электронную почту, корпоративные чаты и прочее.
Следует учесть, что если при скрытии некоторых информационных систем персональных данных (ИСПДн) от Рос¬комнадзора возможная ответственность ниже, чем ее изначальное документирование, то по GDPR риски как раз складываются по-иному.