Людмила Болдырева: Здравствуйте, в эфире программа «С интересными об интересном», и сегодня мы поговорим про новый закон о защите персональных данных. Зачем необходим этот новый закон, что с вступлением его в силу изменится, вообще к чему он должен привести и почему именно данные нужно защищать и об этом решили говорить только сейчас и он вступает в силу только сейчас? В общем, вопросов множество, и особенно вопросы, что же теперь делать работодателям, предпринимателям, у которых на сайтах висят формы по обработке персональных данных и так далее. Опять же вопросов много, и на все наши вопросы нам сегодня постарается ответить Александр Ильин, эксперт Совета по предпринимательству в Государственной Думе и руководитель компании по защите персональных данных «R-Data». Правильно?

Александр Ильин: «R-Data», да, правильно. Добрый день, наши слушатели, зрители. Сегодня постараемся разобраться в этой сложной и интересной теме и, что самое интересное, довольно-таки новой для наших предпринимателей, которые занимаются своим бизнесом.

Людмила Болдырева: Вот именно, как всё новое, это непонятно абсолютно, что же теперь делать. Во-первых, у меня в первую очередь такой вопрос: зачем нам необходим этот закон о защите данных? Ну нормально же работали все до этого, всё равно как-то же их защищали. И, на мой взгляд, если человек сейчас работает с базами данных, он так и так их может афишировать. То есть по сути ничего не изменится, твой номер телефона как уплывал во всякие базы, так и будет уплывать.

Александр Ильин: Правильно сказали, что всё новое – это хорошо забытое старое. Наверное, начнём с того, что сам закон, 152-й федеральный закон был принят в 2006 году. Начнём немножко с предыстории. И с того времени прошёл довольно длительный промежуток времени, когда закон дорабатывался, когда он не исполнялся, потому что был сырой закон, и предпринимателям сложно было соблюсти его. Вносилось очень много поправок, после этого был 242-й федеральный закон с поправками. И в июле этого года у нас вступают, вступили уже в силу новые штрафы за нарушение закона о персональных данных, 152-го закона. Штрафы были увеличены в разы, иногда в десятки раз. Для должностных лиц штрафы составляют от 3 000 до 10 000, для юрлиц штрафы составляют от 15 000 до 75 000. Об этом мы чуть-чуть дальше ещё поговорим, об изменениях. Данные, конечно же, нужно защищать, потому что данные – это часть нашей с вами жизни. То, что вы сейчас сказали про телефонный номер, про публичные базы – базы, которые у нас сейчас публичные, они на самом деле находятся в незаконном обороте.

Людмила Болдырева: Логично.

Александр Ильин: Соответственно, кто-то, какая-то организация, которая обрабатывала эти персональные данные, как раз-таки нарушила закон и допустила слив этой базы данных в публичное пространство, что не есть хорошо для нас с вами, как обычных пользователей. Когда нам с вами с утра до вечера названивают по телефону, предлагают что-то купить, пройти соцопрос или разместить рекламу какую-то, или деньги в акции или в облигации вложить, я думаю, каждый сталкивался с такими звонками. Поэтому, соответственно, значит, организация нарушила закон, не соблюла все требования закона, и базы данных пользователей подверглись утечке.

Людмила Болдырева: Но мы же не знаем, какая конкретно компания нарушила этот закон. Давай, наверное, в начало вернёмся. Как теперь должна защищаться вообще эта информация, эти персональные данные, что предполагается? Потому что тогда всё равно вот мне звонят – очередной салон красоты, который приглашает на процедуры. Я же всё равно не знаю, кто дал мой номер телефона.

Александр Ильин: Да, ты не знаешь, кто дал номер телефона, но ты можешь пожаловаться, составить жалобу в Роскомнадзор о том, что тебя донимают какими-либо звонками, твои данные находятся где-то, кто-то завладел твоими данными незаконно. И тем самым, когда тебе звонят, тебе же представляются, что за салон, у них есть какой-то номер телефона, то есть ты знаешь, кто тебе звонит, куда тебя приглашают. Поэтому ты вполне можешь оставить жалобу на сайте Роскомнадзора, есть электронная форма, и Роскомнадзор разберётся, что, откуда, почему. Это не задача конечного пользователя – разбираться, какая база откуда утекла, кто не защитил. Есть специальные структуры, кто этим занимается. Забегая чуть-чуть вперёд, хочу сказать, что у нас есть три подразделения, три структуры в Российской Федерации, кто занимается защитой данных – это Роскомнадзор, это основной, скажем так, инструмент по защите персональных данных, организация; дальше, есть ФСТЭК – федеральная служба по техническому и экспортному контролю, и есть Федеральная служба безопасности. Вот три эти структуры занимаются защитой наших с вами персональных данных. Чуть дальше, я думаю, мы остановимся на том, кто из них чем конкретно занимается, делает, потому что у них расписан функционал у каждого свой.

Людмила Болдырева: Расскажи лучше сразу, пока мы далеко не ушли и наши слушатели и зрители ещё помнят те три организации, которые ты назвал.

Александр Ильин: Смотрите, Роскомнадзор – он выполняет, грубо говоря, 80 % всей работы по контролю за защитой данных. Он проверяет в компаниях то, как защищены данные, он проверяет все документы компании. Компания должна иметь из документов внутреннюю распорядительную документацию, что данные защищены, должна быть информационная система приведена в соответствие компанией, должны быть назначены ответственные в компании за обработку персональных данных, должны быть списки допущенных к обработке персональных данных. Должно быть чётко прописано, где хранятся персональные данные, какие хранятся персональные данные, должны быть выделены помещения для хранения персональных данных, а также прописан, строго оговорен доступ в эти помещения. Персональные данные должны храниться раздельно. Что это значит? Что, допустим, уволенные сотрудники и действующие сотрудники хранятся раздельно, потому что у одного персонала есть доступ к одним, у другого – к другим, они не могут вместе храниться. Клиенты отдельно хранятся, это всё нужно разделить. Если компания ведёт какую-то международную деятельность, то она обязана локализовать базу данных в России, то есть скопировать, перенести их сюда, в Россию, и иметь основную именно копию в России. За границей она имеет право хранить свою базу, но она должна быть не шире тех данных, которые находятся в РФ, основная должна находиться здесь. Ну и целый ряд ещё на самом деле документов, мероприятий, которые должна провести компания для того, чтобы сказать, что мы защищаем персональные данные. И, что ещё очень важно, обязательно после всего этого нужно уведомить Роскомнадзор о том, что вы являетесь оператором персональных данных. Это очень важно, и я призываю это делать всегда и не полагаться на то, что, знаете, бывает, говорят, что, если мы не уведомили Роскомнадзор, значит, мы не обрабатываем персональные данные, о нас не знают, нас не тронут – это всё абсолютная ерунда.

Людмила Болдырева: Но, получается, любой работодатель, у которого есть сотрудники, он так и так обрабатывает персональные данные, потому что он же принимает на работу, увольняет с работы и т. д., клиенты.

Александр Ильин: В законе на самом деле очень интересно прописано, что, если деятельность ведёт в соответствии со своей деятельностью, с ведением сотрудников только и клиентов, то формально предприниматель может не подавать уведомление в Роскомнадзор. Но на самом деле здесь ситуация, из практики могу сказать, выглядит немножко иначе. И когда приходит к нам Роскомнадзор, его такие отмазки не сильно устраивают. Потому что, допустим, вы принимаете людей на работу, резюме потенциальных сотрудников, они не являются ещё сотрудниками вашими, уже действующими, это какие-то люди извне, какие-либо посторонние. Вы принимаете их к себе, принимаете резюме. Соответственно, вы уже являетесь оператором персональных данных, вы уже обязаны защищать эти данные, которые вам передали, и встать на учёт, соответственно, как оператор персональных данных, в Роскомнадзоре.

Людмила Болдырева: А остальные две структуры чем занимаются?

Александр Ильин: Структура ФСТЭК следит за технической частью вашей информационной системы. Когда вы защищаете персональные данные в компании, у вас есть документальная часть – это юридическая часть, в которой прописаны все документы, должностные инструкции, всё, что связано с документами – это одна часть. Вторая часть – это техническая часть, у вас все эти документы должны описывать вашу информационную систему, то есть компьютеры, средства защиты, ключи доступа, вся эта система должна у вас работать. Соответственно, ФСТЭК как раз-таки контролирует именно техническую часть всей этой вашей стороны защиты персональных данных. ФСБ контролирует криптографию, то есть, когда данные шифруются. Когда данные передаются, допустим, на расстояние по каким-либо протоколам от компании к компании, соответственно, они должны шифроваться. И вот все эти моменты - алгоритмы шифрования, как это передаётся, как это шифруется – это всё уже непосредственно на совести ФСБ, контроль за этим.

Людмила Болдырева: Ты назвал такие положения, как то, что данные должны храниться отдельно, у каждого должен быть свой доступ. А если о наболевшем? Про малый бизнес, у которого в лучшем случае одно помещение, например, и в нём сидят и бухгалтер, и директор, и ещё кто-нибудь, и нет возможности снять отдельное помещение. Хранятся отдельно – это только в разных шкафчиках или на разных полочках, в зависимости от снимаемого объёма. И вообще как тогда получается? Многие хранят в Excel, например, не все же ставят определённые системы, а обрабатывают в Excel и ведут для себя учёт. Как должно это выглядеть на предприятии, особенно для малого бизнеса?

Александр Ильин: Отвечая на твой вопрос, надо начать, наверное, с того, что существует у нас 4 категории обработки персональных данных – первая, вторая, третья, четвёртая. Четвёртая – самая слабо защищаемая, можно сказать, она вообще не защищаемая – это публичные данные. Человек сам оставил какие-то свои данные – это является четвёртой категорией, это публичные данные. Третья категория – это информация о человеке, которую можно, соответственно, каким-то образом идентифицировать. Если по-простому говорить, это фамилия, имя, отчество, дата рождения, СНИЛС, может быть, – это третья категория, она самая распространённая. Есть ещё две категории – первая и вторая. Вторая – это, когда можно получить какие-либо дополнительные сведения о человеке, помимо основных. А первая – это самая строгая категория. Это категория, когда в системе имеются данные о религиозных убеждениях человека, о медицинских каких-то показателях человека, о здоровье, это уже такая самая строгая. Соответственно, если компания или человек, неважно, может физлицо быть оператором персональных данных, может юрлицо быть оператором персональных данных, если они обрабатывают обезличенную какую-то информацию, к примеру, просто имена чьи-то или просто телефоны чьи-то, то тогда они могут не защищать персональные данные, они работают с четвёртой категорией, всё хорошо. Самая распространённая категория – это третья. Когда люди, допустим, на сайте собирают какие-то заявки – фамилия, имя, отчество, телефон, е-мейл, образно говоря – какую-то информацию. Или те же резюме собирают у людей, там уже полные сведения о человеке – его биография, его СНИЛС, пенсионное, дата рождения – всё, что только можно. Это третья категория, такая самая основная. Здесь, отвечая на твой вопрос, опять же чуть назад возвращаясь, здесь нужно либо на свой страх и риск нарушать закон, если у тебя нету помещения, либо отводить хотя бы тогда какую-то ограниченную территорию чем-то, ставить туда либо сейф, либо шкафы с ключами, которые будут замыкаться, и иметь доступ только у конкретных людей. Составляется табель этих людей, кто куда конкретно имеет доступ, и в соответствии с этим уже осуществляется этот доступ. Либо снимать чуть больше помещение, если людям уже не хватает места, и выделять одно помещение непосредственно для хранения и обработки персональных данных. Других выходов просто у предпринимателей нет.

Людмила Болдырева: Хорошо, а если это виртуальный офис на самом деле? Никто никакое помещение не снимает, условно говоря, фрилансер какой-нибудь сделал себе сайт из разряда косящих под фирму, скажем так, но на самом деле никто нигде не сидит, не снимает помещение, а при необходимости услуги, например, услуги можно оказывать и на территории клиента, иногда это даже выгоднее. Что в данном случае получается, он априори нарушает закон?

Александр Ильин: Сейчас у нас очень много различных сервисов, которые берут на себя, принимают обязательства по обработке персональных данных. Но, если человек опять же сделал, как ты говоришь, какой-то сайт, собирает информацию о пользователях, то как минимум он собирает это на какой-то компьютер. Соответственно, он должен защитить этот компьютер в соответствии с законом о персональных данных, 152-м законом.

Людмила Болдырева: Компьютер как должен быть защищён, паролем?

Александр Ильин: Нет, на компьютере должны стоять программно-аппаратные средства. Они включают в себя и аппаратные, это какие-то, вы знаете, может быть, видели в банках таблетки, когда человек вводит пароль и прикладывает таблетку, то есть идентификатор его. Вот это является аппаратной частью защиты. А программная часть защиты – это пароли, это определённые программы шифрования, которые помогают зашифровать эти данные, передать или хранить, в зависимости от целей, что будет пользователь делать. Он обязан это всё поставить, иметь и хранить, чтобы не нарушать закон.

Людмила Болдырева: А кто будет вообще это всё проверять, как это хранится, как это на фирме устроено? Будут какие-то выездные проверки или что?

Александр Ильин: Изначально функция проверки возложена на Роскомнадзор. Есть пять видов проверок, которые бывают у Роскомнадзора – это плановые и внеплановые, это документарные, выездные и так называемое сплошное наблюдение. Что это такое, сейчас подробнее остановлюсь на каждой. Плановые и внеплановые. Все знают, что такое плановые проверки малого бизнеса. Это, когда на сайте какой-либо организации существует, публикуется в конце года на следующий год план проверок, которые будут в организации происходить. Предприниматель имеет возможность заранее знать, что к нему придут с проверкой, и имеет возможность подготовиться. Они должны находиться на сайте ведомства, которое будет его проверять, в нашем случае это Роскомнадзор. Также прокуратура сейчас собирает со всех ведомств данные, чтобы был какой-то единый список, у себя на портале, можно там проверить, попадаете ли вы в этот общий список на следующий год плановых проверок. И, соответственно, к вам приходит с плановой проверкой Роскомнадзор, и вы должны всё предоставить, все документы, предоставить информационные системы, показать, что документы соответствуют вашей информационной системе. То есть не просто отдельно, что вы взяли какой-то шаблон, записали какие-то свои данные просто. Потому что очень часто мы сталкиваемся с вопросом: «А давайте я скачаю из интернета, изменю там название организации, и я буду выполнять закон, ко мне не придерёшься?» К сожалению, нет, это здесь не работает, потому что ваша информационная система должна полностью соответствовать документам. У вас должна быть чётко прописана вся модель угроз, которая может быть именно под ваше предприятие. Нету ни одного шаблона модели угроз, которую вы можете взять к себе, наложить как трафарет и использовать. К сожалению, нет. Приходит Роскомнадзор, это плановая проверка. На вас кто-либо пожаловался, к примеру, пользователь, которому постоянно названивают от вашего имени. Пользователь пишет, может также на портале Роскомнадзора, оставляет жалобу, и Роскомнадзор инициирует по поводу вас проверку. Это получается внеплановая проверка. Что самое интересное, у нас есть закон, защищающий малый и средний бизнес от проверок. Если я не ошибаюсь, это у нас 204-й и 294-й федеральные законы. Роскомнадзор в 2015 году, насколько я помню, был выведен из этого закона. То есть к предпринимателю могут приходить хоть каждый день, образно говоря, конечно, хоть каждый день с проверкой. Он не защищён от проверок Роскомнадзора. Поэтому пожаловался на предпринимателя пользователь сегодня, пожаловался через месяц – Роскомнадзор обязан реагировать, они приходят с проверкой. Это внеплановые проверки. Документарные проверки – это, когда Роскомнадзор не приходит. Предпринимателю уже легче, предприниматель радуется, и у предпринимателя запрашивают все юридические документы, весь пакет документов. Пакет документов, чтобы представляли наши радиослушатели, состоит примерно из, по разному подсчёту, 300-400 страниц, порядка где-то 70 документов в себя включает этот пакет, то есть список внушительный. Вы предоставляете все эти документы Роскомнадзору, они всё это проверяют. Если они считают, что у вас всё в порядке, ничего вы не нарушили, у вас всё в соответствии с законом, то проверку против вас на этом и заканчивают. Если же они считают, что всё-таки какие-то вы части закона нарушили, то к вам, соответственно, происходит уже выездная проверка. Выездная проверка – это приезжают сотрудники Роскомнадзора, вы точно так же показываете все документы, они проверяют. В среднем где-то около 20 дней длится проверка – проверяют вашу организацию, проверяют ваших сотрудников, проверяют ваши документы, проверяют ваши информационные системы на соответствие. Могут сесть с пользователем, с вашим сотрудником, и сказать: «Расскажите, как у вас происходит. А заведите нового пользователя, а сделайте там то-то». И будут сидеть и смотреть, что делает человек для того, чтобы произвести это действие, и будут сверять с документами, насколько это всё сходится. Если же вы, допустим, не захотите показывать им какую-то свою информационную систему вдруг…

Людмила Болдырева: Да, есть вариант сказать: «Коммерческая тайна».

Александр Ильин: Варианта нет. Сказать-то можно, но варианта нету. Тогда будут привлечены либо ФСТЭК, о которой мы говорили ранее, возможно, будет в вашем офисе «маски-шоу», в любом случае соблюдения закона добьются. Но совет предпринимателям просто – помогать в помощи прохождения всех этих процедур, а не являться врагом.

Людмила Болдырева: Не сопротивляться – это называется.

Александр Ильин: Да, да. И лучший совет руководителям – возглавлять всю эту проверку, потому что по факту проверки выдаётся несколько документов. Выдаётся справка о проверке, выдаётся акт проверки и выдаётся заключение об устранении всех недочётов. Так вот, если недочёты будут устранены во время проверки, то есть оперативно, в течение этих 20 дней, то они не попадают в акт. Соответственно, вам не нужно будет проходить повторно эту же проверку, отчитываться. Поэтому здесь предприниматель заинтересован в том, чтобы как можно оперативнее решить те вопросы, которые возникли у него со стороны проверяющих органов.

Людмила Болдырева: Это получается по вопросам проверки. А у нас, как всегда, если ты становишься на какой-нибудь учёт, тебе выдают какое-нибудь свидетельство или там письмо о том, что ты состоишь на учёте, а потом кто-нибудь ходит и проверяет эти свидетельства и письма. Кто-нибудь будет ходить и проверять, стоишь ты на учёте в Роскомнадзоре или нет?

Александр Ильин: Ты хорошо подошла сейчас к пятому пункту проверок, это сплошные проверки. Эта функция возложена на Роскомнадзор, проверяет Роскомнадзор.  Неважно, состоишь ты в этом реестре или не состоишь в этом реестре, проверки будут у всех. Сейчас вводят так называемые сплошные проверки, когда берут какую-либо область, к примеру, связанную с недвижимостью, образно говоря, и проводят сплошную проверку по всем организациям, которые связаны именно в этой области. Делается это по регионам, соответственно, Москва, Московская область, Ростовская область, Краснодарский край – свои, местные структуры Роскомнадзора проверяют. И проверяются абсолютно все. Первые признаки того, что вы нарушаете закон: если у вас есть сайт, а сайт есть уже, наверное, у 98 % предприятий и организаций, то, что у вас на сайте есть форма обратной связи какой-либо или форма сбора чего-либо, каких-либо данных пользователей, но на сайте не размещена политика обработки персональных данных, и вы не берёте с человека согласие, не акцептируете. Человек, который вводит данные, не акцептирует вашу публичную оферту обработки персональных данных и не даёт согласие на обработку – это такой самый первый звоночек для Роскомнадзора, чтобы повнимательнее к вам присмотреться. Поэтому, у кого есть сайт и кто собирает какую-либо информацию с сайта от пользователей, настоятельно рекомендую разместить Положение об обработке персональных данных, политику, и всегда у пользователя брать разрешение на эту обработку. Это вот самое-самое первое. И после этого, когда уже запрашиваются, смотрятся компании сплошняком, делается выборка. И неважно, зарегистрировался ты в Роскомнадзоре, не зарегистрировался ты в Роскомнадзоре – к тебе придут абсолютно всё равно.

Людмила Болдырева: Ну хорошо, я не зарегистрировалась, говорю: «А я не регистрировалась, я не обрабатываю».

Александр Ильин: Это на самом деле один из таких мифов, который тоже очень частый и очень распространён, что, если я не зарегистрировался на сайте Роскомнадзора, как оператор персональных данных, я не являюсь оператором, ко мне взятки гладки, как говорится. Нет, это абсолютно не так, это абсолютное заблуждение, потому что, когда компания не зарегистрировалась, как оператор персональных данных, но она обрабатывает персональные данные. А компании обрабатывают персональные данные, я могу сказать, процентов на 98 точно вы подпадаете. Тогда, когда к вам приходят, у вас первый вопрос: «Почему вы не зарегистрированы?», и это уже является самым первым нарушением, когда вы уже априори нарушили просто закон, не зарегистрировавшись, как оператор персональных данных. И к вам уже, конечно же, другое отношение, потому что вы изначально нарушаете закон и доказываете, что вы его не нарушаете. Но, если опять же мы вернёмся к тому, что вы собрали у человека фамилию и имя, дату рождения, СНИЛС, место рождения, какой-то его послужной список, биографию, то вы уже априори обрабатываете. Поэтому у нас 98 %, может быть, даже 99 % всех компаний и организаций являются по факту операторами персональных данных.

Людмила Болдырева: А что делать теперь колл-центрам, у которых постоянно поток звонков и т. д.? Как им строить теперь свою работу?

Александр Ильин: Смотрите, колл-центр – это, получается, такая интересная штука, третья сторона. Грубо говоря, если мы сейчас разберём ситуацию, когда есть предприниматель какой-то, которому нужно получить звонки для того, чтобы клиентов получить. И он делегирует службу колл-центр, свой, который он может ввести у себя в компании, он делегирует посторонней компании, колл-центру. Что происходит? Этот предприниматель должен заключить договор с колл-центром о защите передачи персональных данных. Это непосредственная прямая обязанность предпринимателя и колл-центра. То есть, когда предприниматель передаёт какую-либо базу данных колл-центру, колл-центр на себя принимает обязательства по защите этой базы данных, по защите этих данных. И, соответственно, если происходит какая-то утечка со стороны колл-центра, колл-центр несёт ответственность за это всё. И предприниматель, естественно, является оператором персональных данных, когда он их передаёт. Это одно из таких условий, чек-лист, что, если передал персональные данные кому-то для обработки, ты являешься оператором персональных данных в том числе.

Людмила Болдырева: Но получается, когда человек звонит в этот колл-центр, у него что, должны спросить какое-то согласие на обработку персональных данных? Потому что высвечивается, он представляется, его имя-фамилия, многие называют, номер телефона высвечивается, наверное, автоматически. И как, должны спросить согласие?

Александр Ильин: Нет, здесь немножко не так. Человек, когда попал в эту базу данных, когда ему начинают звонить из колл-центра, когда он попал в эту базу данных, вот тогда у него нужно спрашивать согласие. Не когда ему звонят, а когда он попал только в базу данных, соответственно, когда предприниматель где-то собирал эту базу данных. Он мог её собирать, к примеру, у себя на сайте, он мог собирать её на каких-то сторонних ресурсах, на ресурсах рассылки, неважно. Вот он собрал где-то какую-то базу, и в тот момент, когда пользователь оставлял свои данные, пользователь даёт разрешение на обработку своих персональных данных, вот в тот момент он даёт разрешение. И в соответствии с законом предприниматель взял это разрешение, ему разрешили, предпринимателю, пользователь обрабатывать персональные данные. И предприниматель в соответствии с законом передал колл-центру эти данные для последующей обработки. Соответственно, пользователь дал изначально, на первом шаге, своё разрешение, поэтому тут никто ни у кого спрашивать разрешение уже не будет.

Людмила Болдырева: А если по данным, которые собирались ещё до введения галочки на сайте с обязательным согласием? Или это как бы вне закона, скажем так, всё, что было раньше?

Александр Ильин: Тут опять же, если мы сейчас немножко назад отмотаем время, закон был принят в 2006 году в целом.

Людмила Болдырева: Да, нарушаем мы давно.

Александр Ильин: Нарушаем в принципе давно, да, но просто кто-то неосознанно, кто-то осознанно нарушает. Тут уже от уровня сознательности зависит предпринимателя. Но просто по закону формулировка, что перед тем, как вы начали обрабатывать персональные данные, вы обязаны у себя полностью организовать всю структуру по обработке персональных данных, уведомить Роскомнадзор и стать оператором персональных данных до того, как вы стали обрабатывать персональные данные. Это по закону так. Поэтому сейчас говорить, что делать с теми, кто до этого был, ответа однозначного здесь нету.

Людмила Болдырева: Понятно. Давай поговорим ещё про мифы о персональных данных. Это, как всегда, область таких подводных камней. Расскажи, что у нас там по мифам есть, с какими больше всего сталкиваешься?

Александр Ильин: Мифов на самом деле очень много в этой области, потому что сфера в целом сейчас нова, и люди, предприниматели сейчас ещё не совсем понимают, что им делать, как быть, как избежать ответственности, что нужно делать, а что не нужно делать. Поэтому вопросов действительно задаётся очень много, и очень часто это действительно является мифами. Из таких распространённых мифов можно сказать, что сложно получить согласие пользователя на обработку персональных данных. На самом деле это абсолютно несложно. Получить можно согласие в письменном виде – это, когда пользователь приходит к вам, допустим, на работу, вы собираете у него анкету, и вместе с анкетой он заполняет небольшое заявление о том, что он передаёт свои данные, согласен на их обработку и не имеет ничего против. Он просто расписывается, вписывает свои данные, и тем самым вы легализуете свою деятельность с его персональными данными. Это первый вариант. Второй вариант, о котором я говорил чуть раньше, если мы в интернете только, на сайте, человек или регистрируется на форуме, или оставляет какую-либо заявку на сайте, какие-то свои данные. Тогда вам нужно обязательно у себя на сайте разместить политику обработки персональных данных, обязательно, и получить согласие человека о том, что человек согласен на обработку его персональных данных. Делается это следующим образом: человек ставит либо галочку, может быть, видели тоже уже под формой, что «я согласен на обработку персональных данных». Либо формулировка такая, что, зарегистрировавшись, я передаю свои персональные данные или не возражаю против передачи своих данных на обработку, использование, передачу и т. д. То есть, когда человек просто даже не ставит галочку, он нажимает «Зарегистрироваться» и автоматически сам принимает. Это такой лайф-хак предпринимателям, наверное, которые размещают у себя на сайтах эти формы и эти кнопки, чтобы не отпугивать пользователей. Потому что очень часто можно услышать, что «Ну вот, у нас и так мало клиентов сейчас, а мы сейчас поставим здесь ещё дополнительные галочки-птички, у нас вообще никто из клиентов не будет оставлять свои данные, все будут бояться, думать, что мы как-то незаконно будем их использовать». Тоже очень распространённое убеждение такое есть. Всё потому, что ещё очень молодая вся эта сфера, и люди, обычные пользователи, не понимают, что происходит с их данными, и предприниматели не совсем понимают, как их правильно структурировать и обрабатывать. И поэтому вот возникают такие мифы.

Людмила Болдырева: А расскажи, пожалуйста, тогда по поводу того, что вы конкретно предлагаете для предпринимателя? Потому что ты, как руководитель компании по защите персональных данных, наверняка уже всё для себя разъяснил и разобрал этот закон по запятым. Потому что конкретно всё равно непонятно. Мы вот сейчас поговорили почти 40 минут уже про этот закон, но я думаю, что предприниматели, которые нас смотрят и слушают, они сейчас всё равно думают: «Так, что мне делать конкретно? Поставить галочку – я понял, дам задание программисту. Разобрать по папкам – тоже понял, поставлю по разным папкам, по разным шкафам. А что конкретно дальше ещё?»

Александр Ильин: Смотрите, первое, что нужно сделать предпринимателю в целом. Нужно подготовить нормативно-распорядительную документацию. То есть подготовить весь этот пакет документов. О котором я говорил, который составляет…

Людмила Болдырева: Где его найти?

Александр Ильин: Найти этот пакет невозможно, его нужно составить. Перечень можно найти очень примерный, потому что, когда Роскомнадзор вам присылает требование, требует все эти документы, то это происходит следующим образом. Это примерно, образно говоря, чтоб понимали предприниматели, страничек на 4-5 примерно документ, с описанием: «Уважаемый предприниматель, расскажите нам, как у вас происходит обработка персональных данных, что вы для этого делаете, где вы это храните?» Это всё находится в такой описательной, скажем так, структуре. В ответ вам нужно прислать целый пакет документов Роскомнадзору, по списку пронумерованных: 1, 2, 3, 4,….50, 60. И этот пакет документов вам нужно самим, предпринимателю, знать, что это составить. Естественно, предприниматели этого не знают, естественно, потому что никогда с этим не сталкивались. И поэтому они обращаются в компании, кто этим занимается. Потому что, как я говорил, взять шаблон какой-то и отправить – здесь абсолютно не проходит, потому что оно должно полностью соответствовать вашей компании. Из опыта скажу, что этот пакет состоит примерно из 50-60 документов, в зависимости от компании, в зависимости от того, чем она занимается, какие данные она обрабатывает. Это и списки допущенных лиц, и ответственные, и юридические различные моменты, и положения – там целый огромный список. Если будет кому-то интересно из предпринимателей, которые нас слышат, могут меня найти в интернете, может быть. Кому будет интересно, я могу поделиться просто этим списком, потому что у нас довольно большой опыт, мы более 7 лет уже занимаемся и на основании своего опыта уже составили этот список, который подходит Роскомнадзору. Поэтому мы можем абсолютно бесплатно этим поделиться с нашими предпринимателями.

Людмила Болдырева: Для устрашения предпринимателей – это звучит так примерно.

Александр Ильин: Вы знаете, как говорится, незнание закона не освобождает от ответственности. Получается, быть, с одной стороны, страусом и прятать голову в песок и не соблюдать закон – это чревато очень большими штрафами, а иногда даже для руководителей, бухгалтеров и руководителей, начальников департаментов, и уголовной ответственностью, если они намеренно распространяют какую-либо информацию. Из того, что ещё предпринимателю необходимо иметь, это, если мы говорим про интернет-ресурсы, составить политику обработки персональных данных обязательно на сайте, составить разрешение пользователя о том, что он обрабатывает персональные данные, сделать на сайте. Обязательно издать документ в компании, который определяет, где хранятся ваши персональные данные, кто имеет к ним доступ, каким образом они обрабатываются. Определить уровни, о каких мы уже поговорили ранее, какой уровень персональных данных вы обрабатываете, локализовать опять же базу данных информации в РФ – это тоже очень важно. В 2016 году был принят закон, может быть, слышали тоже предприниматели, слушатели, когда Linkedin отказался локализовывать базу данных в РФ, и Роскомнадзор просто закрыл доступ, запретил работу этого ресурса на территории РФ. Соответственно, если вы этого не делаете, это ждёт абсолютно любого, не только Linkedin, всех предпринимателей, кто ведёт какую-либо деятельность. Также вы обязаны прописать порядок уничтожения персональных данных, когда, допустим, уволен сотрудник, его персональные данные определённое время хранятся, после этого они определённым образом уничтожаются – это тоже всё прописывается документально. Также нужно обязательно направить уведомление в Роскомнадзор, когда это у вас будет уже всё готово. И по требованию Роскомнадзора, соответственно, уже предоставлять все эти документы, доступ к информационным системам, уже раскрываться и показывать, как вы обрабатываете персональные данные.

Людмила Болдырева: То есть это Роскомнадзор потом придёт проверять или достаточно вот этого списка документов с подробным описанием?

Александр Ильин: Смотрите, предприниматель составляет всё это у себя в компании, просто подаёт в конце уведомление в Роскомнадзор, что он является оператором, и всё. И до поры до времени его никто не трогает, Роскомнадзор сразу не будет его, естественно, проверять. Если до него дойдёт очередь плановая, когда дойдёт, Роскомнадзор, соответственно, запросит документы, либо будет выездная проверка, либо он под сплошную попадёт проверку, и документы эти все запросят. Если они у вас есть, вы, соответственно, в течение суток готовы предоставить все эти документы, что вы не нарушаете закон. Если у предпринимателя этого всего нету, мы понимаем, что за сутки, естественно, невозможно просто-напросто составить.

Людмила Болдырева: А они дают всего сутки?

Александр Ильин: Если у нас проверка внеплановая, то за сутки предупреждают предпринимателя о проверке. Если плановая, предприниматель, соответственно, знает, что будет проверка. Если она внеплановая, чаще всего предприниматели у нас боятся внеплановых проверок, даются сутки на подготовку и сбор всех документов, если они есть. А если их нету, их просто физически невозможно все за сутки собрать, составить, информационные системы свои привести в порядок, поэтому здесь нужно немножко заранее думать.

Людмила Болдырева: Слушаю я тебя, слушаю про всё это, и у меня один вопрос: сколько же это стоит, чтобы это всё сделать? Потому что понятно, что при всём желании самому вот это всё написать, разработать, сделать, придумать невозможно.

Александр Ильин: До повышения штрафов, когда они были 3 000 – 5 000 рублей, это до 1 июля, пакеты документов обычно у компаний, не только у нас, в целом у компаний по рынку обычно есть 3-4 пакета документов. В зависимости от того, насколько там большая компания, в зависимости от того, что вы хотите получить, варьируются цены. Они начинаются, грубо говоря, от 5 000, если вам нужно просто на сайте поставить, сделать форму, разработать юридически положение об обработке персональных данных, всё это сделать – порядка 5 000, плюс-минус. Если же вы компания, которая должна внедрить и техническую защиту данных, и документально всё сделать, она может доходить до 300 000 – 500 000, но это уже со всем оборудованием. Но средняя цена, чтобы у вас было хотя бы с документами всё в порядке, когда Роскомнадзор приходит и проверяет, чтобы вы формально соответствовали и очень жёстко не нарушали, цены – до 100 000. Сейчас, когда штрафы уже поднялись, а поднялись они в несколько раз, а то и в десятки раз, пока по рынку цены примерно сохраняются, но на самом деле тенденция, что они вот-вот вырастут. Потому что, соответственно, если штрафы были там 3 000 – 5 000, была одна цена на эти услуги, а сейчас штрафы очень большие. Опять же, что важно, штрафы суммируются. Если, допустим, может предприниматель одновременно нарушать несколько пунктов закона, а с июля месяца у нас выделили 7 отдельных видов нарушений в области персональных данных, то могут штрафовать одновременно, грубо говоря, по всем семи, если все нарушают. И штрафуют отдельно должностных лиц и отдельно юридические компании. Штрафы попадают люди на сотни тысяч, поэтому гораздо, конечно, выгоднее просто не нарушать, заранее подумать спокойно абсолютно, в нормальной, спокойной обстановке заранее всё это подготовить, сделать, чтобы у вас уже всё было в соответствии с законом.

Людмила Болдырева: Ну да, тем более получается, что, если ты по 7 пунктам можешь нарушить, оштрафуют, потом на тебя кто-нибудь пожалуется, получается, придёт снова проверка и снова оштрафуют. Дорогая кабала.

Александр Ильин: Да, здесь получается гораздо выгоднее просто не нарушать, всё один раз подготовить, потому что, как мы уже замечали ранее, Роскомнадзор выведен организацией из-под защиты малого и среднего бизнеса. Если вы нарушаете, то вас могут штрафовать, образно говоря, каждый день. И поэтому это может, конечно, вылиться в очень большие суммы. Поэтому, конечно, лучше закон не нарушать. Или опять же здесь больше зависит, знаете, на самом деле нужно предпринимателям оценить просто свои риски. Если предприниматель, образно говоря, просто дворник, ИП – один дворник, метёт двор, он понимает, что ему какие-либо репутационные риски, допустим, неважны, штраф там 3 000, который он готов заплатить один раз и ему больше за это ничего не будет, может быть, он не будет тратить те же 100 000 на защиту этих данных. А если компания какая-то серьёзная, то для того, чтобы и в глазах партнёров не выглядеть некрасиво, в некрасивом свете, потому что и репутационные риски, мы слышали, и различные скандалы с операторами сотовых данных, когда происходят утечки каких-либо баз данных, это большие репутационные потери, и не только в денежном эквиваленте, а гораздо в большем денежном эквиваленте, когда страдает репутация.

Людмила Болдырева: Да, самое дорогое и не восстанавливаемое.

Александр Ильин: Да, поэтому каждому предпринимателю нужно для себя просто определить, насколько, как он считает, нужно ему защищать. Может быть, ему действительно будет проще один раз заплатить, понадеясь на авось.

Людмила Болдырева: Каждый будет определять сам для себя. Это была программа «С интересными об интересном», я – её ведущая Людмила Болдырева. И мы говорили сегодня про защиту персональных данных. В гостях у меня был Александр Ильин, руководитель компании по защите персональных данных «П-дата». Александр, спасибо тебе за интересную беседу. Мне кажется, было очень познавательно. И я надеюсь, что в голове у многих прояснилось, что теперь необходимо делать, чтобы всё-таки не нарушать. Пока от 1 июля прошло ещё мало времени, ещё можно успеть до всяческих проверок.

Александр Ильин: Привести в порядок всю свою документацию спокойно, размеренно и не спеша.

Людмила Болдырева: В общем, защищайте данные и спите спокойно. До новых встреч!