Как проходит проверка персональных данных — глазами Superjob и Роскомнадзора

Развитие событий: Госдума сильно подняла штрафы за нарушения при работе с персональными данными (30 января 2017)

В прошлом году вступил в силу закон о защите персональных данных, в рамках которого в частности компании обязали хранить данные о россиянах только на территории РФ, а также были введены ограничения на трансграничную передачу персональной информации. А этом году Роскомнадзор проведет более десяти проверок крупнейших российских и иностранных компаний. Вопреки опасениям некоторых участников рынка, пока проверки не выявили серьезных нарушений, но уже сейчас стали очевидны некоторые спорные моменты - например невозможность обрабатывать данные пользователей сайта системой Google Analytics и ей подобными. Роскомнадзор и Superjob впервые раскрыли, как проходят проверки исполнения законодательства в области обработки персональных данных.

Роскомнадзор SuperJob, персональные данные, проверка

Подготовка к проверке

Юрий Контемиров, начальник управления по защите прав субъектов персональных данных Роскомнадзора: Список компаний, в отношении которых в 2016 году будут проводится проверки исполнения законодательства о персональных данных формировался исходя из большого числа факторов. Учитывалась специфика бизнеса - в первую очередь то, с какими объемами персональных данных работает то или иное предприятие, масштабность и территориальная распределенность бизнес-процессов, также учитывались итоги деятельности по рассмотрению Роскомнадзором жалоб граждан, публикации в прессе и так далее.
План проверок на конец 2015 года и 2016 год был сформирован таким образом, чтобы Роскомнадзор получил детальное представление о фактическом исполнении законодательства в наиболее чувствительных с точки зрения защиты персональных данных сферах. Например, в первом квартале текущего года были проверены крупнейшие игроки рынка электронной торговли - интернет-магазины Ozon, KupiVip, Lamoda, Wildberries. Затем системно исследовались интернет-компании, предоставляющие услуги по поиску работы и подбору персонала. В указанный план вошли, в том числе организации, оказывающие услуги в сфере страхования, гостиничного бизнеса, в сфере туризма, в сфере бронирования билетов в рамках осуществления пассажирских перевозок, кредитных организаций, дилерских центров и т д. То есть проверки сформированы по кластерному принципу, что позволяет, с одной стороны, эффективно задействовать надзорные ресурсы, с другой – продолжать реализовывать комплексный аудит систем защиты персональных данных с учетом специфики того или иного бизнеса.
Всего до конца 2016 года будет проверено еще около тысячи компаний. С планами проверки компании могут ознакомиться на территориальных сайтах управлений РКН.

Наталия Годжаева, генеральный директор Superjob.ru: Еще задолго до появления в современном виде закона о персональных данных мы сталкивались с различными кейсами: нам предлагали продавать данные банкам и страховым, нам предлагали участвовать во всевозможных продажах — мы отказывались. Мы добровольно вырабатывали системы выявления и отказа от работы с МЛМ, пирамидами, другими сомнительными бизнесами.

За полгода до проверки мы взвешивали все «за» и «против» варианта пригласить внешнего аудитора для проведения аудита соответствия бизнес-процессов Superjob.ru по работе с персональными данными. Отказались, так как решили, что наша экспертиза сильнее. И в целом оказались правы. По сути, роль аудитора для нас выполнил РКН. Так что в итоге мы получили и аудит, и серьезно прокачали наши компетенции, теперь сами можем консультировать.

Как проходит проверка

Юрий Контемиров: Сама проверка по правилам должна занимать до 20 рабочих дней, но при необходимости этот срок может быть продлен еще на 20 дней.
В случае с SuperJob такое продление было. Это было обусловлено значительным объемом документов, затрагивающих вопросы обработки персональных данных, а также необходимостью анализа баз данных, обрабатываемых в ИТ-системах данной компании. Традиционно, если в ходе проверки были выявлены нарушения, компания получает предписание об их устранении, на это ей дается срок, достаточный для устранения нарушений. В случае с Superjob срок исполнения предписаний - полгода. По истечении этого срока проводится внеплановая проверка по контролю за исполнением ранее выданного предписания и если нарушения не устранены, материалы передаются в органы прокуратуры, которые принимают решение о возбуждении административного производства (итогом этого могут быть штрафы, обеспечительные меры и проч.).

Наталия Годжаева: Мы знакомили специалистов Роскомнадзора с документами, организовали демонстрацию работы сервиса Superjob. Мы старались быть максимально открытыми: не просто предоставляли документы, а организовали демонстрацию работы сервиса по всем возможным сценариям. Мы показали, как взаимодействует с системой соискатель, как это делает работодатель, как работают администраторы. Проверяющие тоже, кстати, пришли не с пустыми руками. Они заранее проверили работу многих сценариев и задавали конкретные вопросы, доставали заготовки. Например, мы в реальном времени показывали, как работает удаление резюме пользователем, потом тут же переместились к системным архитекторам и попросили их показать, что данные из этого резюме нельзя получить «изнутри».

Что нашел Роскомнадзор в SuperJob

Юрий Контемиров: При проверке SuperJob, помимо оценки деятельности по обработке персональных данных, также анализировалось соблюдение требований законодательства в части, касающейся необходимости хранить и обрабатывать данные россиян на территории РФ, порядка передачи персональных данных третьим лицам, а также условий осуществления трансграничной передачи данных. По первому пункту вопросов не возникло, так как data-центры компании изначально находились на территории РФ и никаких особых шагов для приведения ситуации в соответствие с требованиям закона не понадобилось.

В той части, которая касается обработки и анализа персональных данных, РКН исходил из того, что для обработки персональной информации граждан РФ компании необходимо обеспечить правовые основания обработки, предусмотренные ст. 6 Закона о персональных данных (в частности, пользователь должен поставить галочку в соответствующем чекбоксе при создании анкеты соискателя). При этом необходимо, чтобы в пользовательском соглашении было четко прописано, для каких целей собирается информация, а также на сайте в открытом доступе должен находится документ, описывающий принципы и правила обработки персональных данных - эти условия SuperJob выполнила.

Важный нюанс - компания не может использовать данные из анкет соискателей для каких-либо целей, отличных от помощи в поисках работы. Если сайт, к примеру, хочет использовать данные из анкет для проведения каких-то маркетинговых исследований, на это надо получить отдельное согласие пользователей.

SuperJob в силу специфики своей деятельности должен открывает часть данных контрагентам - в первую очередь компаниям-работодателям, часть из которых находится за пределами РФ. Здесь необходимо учитывать важный нюанс - такая информация может передаваться третьим лицам после получения согласия пользователя на трансграничную передачу его персональных данных. При этом иностранные государства делятся на страны, обеспечивающие адекватную защиту, и не обеспечивающие, условия трансграничной передачи на территорию которых разнятся. В частности, чтобы передавать персональные данные в страны, не обеспечивающие адекватную защиту, необходимо получить письменное согласие владельца персональной информации.

РКН установил, что SuperJob предоставлял данные своим иностранным клиентам-работодателям доступ к персональным данным в режиме просмотра, что не считается трансграничной передачей персональной информации и для такого режима работы достаточно согласия пользователя,полученного при регистрации анкеты на сайте, предусматривающего возможность доступа неограниченного круга лиц.

Анастасия Чучалова, заместитель генерального директора SuperJob по финансам и персоналу: Де-факто работа с сервисом Superjob.ru в части базы данных резюме и вакансий не предполагает скачивания какой-либо информации из неё. Вся работа ведется только онлайн, через наш интерфейс. Порядок одинаковый и для зарубежных компаний, и для российских. Мало того, скачивание персональных данных в виде резюме является нарушением лицензионного договора, на основании которого мы предоставляем работодателям право пользования нашей базой данных резюме и вакансий.

Наталия Годжаева: Мы использовали Google Analytics наравне с другими аналогичными инструментами для анализа аудитории. С помощью системы мы обрабатывали данные по количеству визитов, географии, достижению целей пользователей, поисковые фразы и так далее. Информацию, напрямую связанную с личностью пользователя, мы таким образом не обрабатывали. Однако в законе персональные данные описаны как любая информация «прямо или косвенно относящаяся к определяемому лицу». Специалисты РКН посчитали, что таковой информацией следует считать, например, ip и наличие cookies, другие параметры с которыми работает GA. Наша позиция: вопрос это чисто технический, в данном случае пусть за регулятором останется последнее слово в толковании буквы закона.
В любом случае для Superjob.ru это не критично: мы параллельно используем несколько аналитическим систем и заканчиваем создание собственной. Впрочем, и возможность принять все необходимые меры для дальнейшего использования Google Analytics Google Analytics тоже не исключаем. Оценим все варианты.

Анастасия Чучалова: Роскомнадзор реально обнаружил вещи, которые от нас ускользнули. Например, в силу многолетней специфики деятельности мы, честно признаюсь, привыкли к разделу в резюме, где соискатели указывают рекомендателей. То есть людей, с которыми можно связаться, чтобы уточнить мнение о кандидате. Формально, в том виде, как это устроено сейчас, мы такую информациию (контакты третьих лиц) принимать от соискателей и публиковать в рамках нашей закрытой базы данных резюме не должны. РКН нам на это указал — будем устранять. Тем более что есть понимание: это не критичная информация на этапе рассмотрения резюме, HR уже в ходе первого собеседования решит, стоит ли ему запросить такую информацию непосредственно у соискателя