Персональный мазохизм
Большинство индивидуальных предпринимателей и самозанятых признали операторами персональных данных. Об этом заявили в Роскомнадзоре. Под угрозой многотысячных штрафов не менее 15 млн граждан обязаны встать на учет и опубликовать на сайте надзорного органа свои домашние адреса и телефоны.
Действующий уже почти два десятилетия федеральный закон признает оператором в том числе граждан, осуществляющих обработку персональных данных. Исключение касается использования таких сведений «исключительно для личных и семейных нужд». Кроме того, если обработка осуществляется с использованием любых средств автоматизации (то есть в электронном виде), оператор обязан уведомить Роскомнадзор — зарегистрироваться в специальном реестре.
Бизнес и ничего личного
Отвечая на частный запрос журналиста «НП», в Роскомнадзоре пришли к выводу, что операторами являются индивидуальные предприниматели, размещающие содержащую персональные данные информацию в сети Интернет. Равно как самозанятые (плательщики налога на профессиональный доход), заключающие договора на оказание услуг (выполнение работ) с потребителями, а также инициаторы проведения общих собраний собственников в многоквартирных домах.
Все эти лица обязаны направить уведомление в территориальное управление Роскомнадзора. По утверждению временного главы Управления по защите прав субъектов персональных данных Евдокии Еловских, «обработка индивидуальным предпринимателем только своих персональных данных исключает необходимость направления в уполномоченный орган уведомления». Но от статуса оператора и всех иных связанных с ним обязанностей частных бизнесменов никто не освобождает, учитывая, что все они обязаны как минимум вносить сведения в размещенный на сайте фискального ведомства ЕГРИП.
Таким образом, уполномоченный орган считает операторами все 4,5 млн зарегистрированных индивидуальных предпринимателей, равно как и не менее 85% из 13,5 млн самозанятых, которые, исходя из статистики налоговой службы, работают в потребительской сфере (то есть заключают договоры с гражданами). Учитывая, что использование приложения «Мой налог» является обязательным, обработка осуществляется с использованием самых совершенных средств автоматизации.
Опрошенные эксперты убеждены, что обрабатывающий исключительно собственные персональные данные оператором не является. «Однако на практике сложно представить ситуацию, когда предприниматель или самозанятый не собирает сведения о других лицах. Например, заключаемые договоры и деловая переписка содержат как минимум фамилии контрагентов или их представителей. Более того, сбор статистики посещаемости сайта, использование на нем Cookie и форм обратной связи также являются обработкой персональных данных посетителей», — предупреждает юрист практики защиты персональных данных адвокатского бюро «ЕПАМ» Елена Квартникова.
По мнению директора консалтингового агентства «Емельянников, Попова и партнеры» Михаила Емельянникова, самозанятые признаются операторами, даже если они работают исключительно с компаниями: «Если обработка осуществляется с использованием приложений или иных средств автоматизации, такие граждане обязаны предварительно направить уведомление о включении в реестр Роскомнадзора».
Юрист GRATA International Владислава Новокрещенова также убеждена, что обязанность уведомлять Роскомнадзор возникает, только когда для такой обработки применяются средства автоматизации (CRM, интернет-формы и другие). «В то же время в приложении «Мой налог» самозанятый вбивает только чек — передачи персональных данных клиента не происходит. То есть использование обязательного приложения нельзя считать средствами автоматизации», — напоминает эксперт.
В свою очередь, Ксения Смирнова из юридической компании Nextons полагает, что индивидуальные предприниматели и самозанятые являются операторами, даже если обрабатывают только собственные персональные данные.
По секрету всему свету
С 30 мая административные штрафы за неподачу уведомления выросли до 50 тыс. рублей для индивидуальных предпринимателей, 10 тыс. для частных и до 300 тыс. для юридических лиц. В результате в мае количество регистрируемых в реестре операторов увеличилось с 1 тыс. до 40 тыс. в день. Это привело к серьезным сбоям в работе сайта Роскомнадзора. Но уже к 23 июня, по уверению Евдокии Еловских, «функционал подачи уведомлений работал в штатном режиме».
В уведомление частных бизнесменов и граждан предписывается включать в том числе домашний адрес, телефон и e-mail. Причем эти сведения размещаются в публичном реестре. То есть, добросовестно исполняя требования о защите собственных персональных данных, бизнесмены и самозанятые сделают их общедоступными.
Только в конце мая абсурдность ситуации признали депутаты Госдумы Сардана Авксентьева и Антон Ткачев. «В настоящее время в открытом доступе публикуются сведения, позволяющие идентифицировать и локализовать физическое лицо, осуществляющее обработку персональных данных. Это создает значимые риски нарушения частной жизни, а также угрозы физической безопасности таких операторов. Публичное раскрытие домашнего адреса противоречит самой цели закона о персональных данных», — констатировали парламентарии, предложив исключить адреса ИП и физических лиц из реестра операторов персональных данных. Они обращают внимание, что в ЕГРИП адрес регистрации частных бизнесменов в открытом доступе не размещается.
Мы бумажные важные люди
Кроме уведомления, все операторы персональных данных обязаны разработать и утвердить целый комплекс документов, в первую очередь политику обработки, которую предписывается опубликовать в интернете или иным образом обеспечить доступ к ней неограниченного круга лиц. За неисполнение этого требования индивидуальный предприниматель может быть оштрафован на 20 тыс. рублей, частное лицо (самозанятый, инициатор собрания или другой) — на 3 тыс. рублей.
Также всем операторам необходимо составить «акт оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных, соотношение указанного вреда с принимаемыми мерами» и «акт внутреннего контроля обработки персональных данных», а также определить «правовые, организационные и технические меры по обеспечению безопасности персональных данных».
Приведенный перечень — минимальный, установленный для обрабатывающих менее 100 тыс. записей операторов (угрозы четвертого типа). Несоразмерность предъявляемых требований признает даже заместитель руководителя Роскомнадзора Милош Вагнер. «Как только ты взял персональные данные, у тебя, как в кинофильме «Лемони Сникет», появляются 152 несчастья: тебе нужно соблюдать требования по безопасности, конфиденциальности, отвечать на запросы уполномоченного органа», — заявил Милош Вагнер на Петербургском международном юридическом форуме. Упомянутое число, видимо, связано с номером Федерального закона «О персональных данных» (152-ФЗ). Касаются ли все эти «несчастья» работающих исключительно с чужими данными, представитель регулятора не уточнил.
