Президент России подписал поправки в КоАП РФ, ужесточающие административную ответственность за нарушения законодательства о персональных данных с 30 мая 2025 года. Штрафы резко возросли, причем для организаций впервые введены оборотные штрафы. Кроме того, статьей 272 УК РФ предусмотрена уголовная ответственность. Что такое обработка персональных данных, где их нужно хранить и как предотвратить нарушения законодательства, в интервью «Вышке для своих» рассказал старший директор по цифровой трансформации НИУ ВШЭ Дмитрий Бондарь.

— Дмитрий Павлович, начнем с определения. Что такое персональные данные?

— Если говорить упрощенно, это все, что позволяет идентифицировать человека и содержит дополнительную информацию о нем. К персональным данным относятся не только ФИО и дата рождения, но и, например, сведения о здоровье.

Грань между тем, какая информация о человеке важна, а какая не очень, провести сложно, поэтому к любым подобным данным нужно относиться как к персональным, не обрабатывать и не распространять их без согласия субъекта.

— С чем, на ваш взгляд, связано столь серьезное увеличение штрафов за неправомерную обработку и распространение персональных данных?

— Очевидно, законодатели пришли к выводу, что и организации, и физические лица недостаточно серьезно относятся к возможности утечки персональных данных, не обращают на это внимания. Как и в случае со штрафами за нарушения ПДД, расчет на то, что люди задумаются, стоит ли нарушать.

— В какой мере все это имеет отношение к Высшей школе экономики?

— Непосредственное. Вышка — большая организация, и необходимость работы с персональными данными обусловлена профилем нашей деятельности. Мы их собираем, обрабатываем и в некоторых случаях распространяем, так что культура, гигиена работы с персональными данными очень важна.

В НИУ ВШЭ существует Положение об обработке персональных данных — единый для всех кампусов публичный документ университета как оператора персональных данных. В нем содержится информация, какие процессы подразумевают обработку персональных данных, какова их цель и т.д.

В случае если работник или обучающийся в Высшей школе экономики участвует в процессе обработки персональных данных, он обязан выполнять требования законодательства и нормы, предусмотренные в Положении об обработке персональных данных. С этим документом должен ознакомиться каждый.

— Каких ошибок необходимо избежать?

— Типичная ошибка, которую могут совершить работники образовательных организаций, да и не только образовательных, — обработка персональных данных на цифровом сервисе, не соответствующем требованиям законодательства нашей страны. Использование сторонних ресурсов, расположенных за пределами Российской Федерации, например Google Forms или почты Gmail.com, может быть интерпретировано именно так. Даже при наличии согласия субъекта персональных данных это может повлечь за собой большой штраф.

Сотрудники НИУ ВШЭ используют для работы с персональными данными только университетские сервисы или сервисы «Яндекса», доступные им по подписке от университета. Если для решения стоящей перед вами задачи этих сервисов недостаточно, обратитесь к своему руководителю. Он разъяснит, какие из существующих инструментов следует использовать, или сделает запрос на разработку, закупку новых в случае необходимости.

Даже если речь идет о внешних контрагентах, например выпускниках, нельзя им рассылать письма с электронного адреса gmail.com. Для этого тоже надо использовать корпоративную почту. Планирование отпусков в подразделении с указанием ФИО и периода отпуска каждого сотрудника не стоит осуществлять в Telegram — для этого есть специальная форма в системе электронного документооборота НИУ ВШЭ.

— Какие еще правила должны соблюдать сотрудники Вышки, чтобы не нарушать нормы законодательства о персональных данных?

— Как только человек трудоустраивается в наш университет, он должен внимательно прочитать Положение об обработке персональных данных.

Если деятельность работника связана с обработкой персональных данных, он должен определить, как она соотносится с положениями этого документа. Крайне важно, для какой цели осуществляется сбор персональных данных, о каких категориях работников или обучающихся идет речь. Особое внимание стоит обратить на то, возникает ли необходимость обработки персональных данных несовершеннолетних, — в этом случае действуют особые правила, необходимо согласие их родителей (законных представителей).

Если вы собрали данные с той или иной целью и эта цель достигнута, уничтожьте эти данные. Не просто удалите, а именно уничтожьте, чтобы их невозможно было восстановить, если, конечно, нет законодательных требований к их долгосрочному хранению. Используйте только минимально необходимый для работы объем данных. Если, например, помимо ФИО и даты рождения, вам прислали еще и копию паспорта, которую вы не запрашивали, тут же уничтожьте ее. Если видите открытые данные, лежащие в папке в открытом доступе, сообщите об этом коллегам, которые несут за них ответственность.

В случае изменений в процессах обработки, то есть в случае создания в подразделениях новых процессов или существенных изменений старых, необходимо об этом сообщить, и Положение будет скорректировано. За консультацией всегда можно обратиться к сотрудникам цифрового или правового блока.

По опыту работы в Вышке готов утверждать, что в нашем университете немало ответственных пользователей, которые очень внимательно относятся к вопросам обработки персональных данных.

— В чем, на ваш взгляд, заключается реальная угроза утечки персональных данных?

— Нарушения при обработке персональных данных могут привести к серьезному ущербу не только отдельным гражданам или организациям, но и государству. В последнее время внешних угроз стало больше, они стали сложнее. Попытки нарушить периметр тех или иных российских организаций, взломать их информационные системы стали целенаправленными, и зачастую злоумышленникам удается найти брешь в «обороне».

Атаки на организации сейчас носят исключительно деструктивный характер и не связаны, как раньше, с желанием в первую очередь обогащения. Утечки персональных данных с целью нанесения репутационного ущерба — побочный эффект таких атак. Получив доступ к разрозненным базам, злоумышленники их объединяют и становятся обладателями едва ли не исчерпывающей информации о том или ином субъекте персональных данных, а это значит, что он с большой вероятностью станет жертвой мошенников.

— В какой мере ответственность, возникающая в ходе обработки персональных данных в университете, касается студентов НИУ ВШЭ?

— Если студенты по своей инициативе собрали те или иные персональные данные и при этом, например, представляли студенческую организацию, созданную в установленном порядке в университете, или же рассылали информацию со своих корпоративных адресов, проблемы могут возникнуть и у них, и у Вышки. Так что мы считаем необходимым предостеречь студентов от подобных нарушений.

Помните, что, выполняя подобные действия, вы действуете от имени организации, являющейся оператором персональных данных и несущей обязательства перед государством и обществом.

— В чем заключается основная задача цифрового блока в части организации работы с персональными данными в НИУ ВШЭ?

— В рамках своих должностных обязанностей я совмещаю руководство цифровым блоком и роль ответственного за организацию обработки персональных данных в Высшей школе экономики. Мы внимательно следим, чтобы при цифровой трансформации, то есть при переводе процессов из бумаги в цифру для повышения эффективности деятельности вуза, в полной мере соблюдались требования законодательства.

«Закон суров, контроля все больше»

— Тема охраны персональных данных — одна из острых. Те, кто следит за развитием законодательства в этой сфере, а Дирекция по правовым вопросам — из их числа, могут отметить несколько основных трендов. Считаю важным о них рассказать.

Первый — ужесточение мер ответственности за нарушение правил обработки персональных данных. Вот конкретика: если раньше в этой сфере был предусмотрен только один состав административного правонарушения и сумма возможного штрафа для юридического лица составляла до 10 000 рублей, то с июля 2017 года в КоАП РФ появилось 12 составов возможных нарушений. При этом ответственность, например, за обработку персональных данных без согласия субъекта персональных данных последовательно росла.

Верхний предел штрафа для юридических лиц поменялся к сегодняшнему дню уже три раза: до 70 000 рублей — с июля 2017 года, до 150 000 рублей — с марта 2021 года, до 700 000 рублей — с 2023 года. И, как было отмечено, с 30 мая текущего года за нарушение законодательства об охране персональных данных будет установлено уже 18 составов административных правонарушений, по ряду которых предусмотрены оборотные штрафы, то есть такие, которые взыскиваются в размере определенного процента от выручки организации.

И, к сожалению, кроме привлечения к административной ответственности при утечке персональных данных, есть риски предъявления гражданских исков от субъектов, чьи данные стали несанкционированно доступны третьим лицам.

Вторая тенденция — усиление требований к локализации персональных данных, то есть использованию только российских систем и сервисов для тех процессов, в которых имеет место передача и использование этой категории информации.

Третья тенденция — усиление контроля за соблюдением законодательства об охране персональных данных со стороны государственных органов. Это не то же самое, что усиление мер ответственности. Всем известна расхожая фраза «строгость законов компенсируется необязательностью их исполнения». Для сферы персональных данных она сейчас неактуальна: тут и закон суров, и контроля все больше. А значит, повышается и риск выявления нарушений.

Как показывает практика, образовательные организации тоже довольно часто попадают под прицел. Из анализа судебной практики мы видим, что наказывают и за обработку персональных данных несовершеннолетних без согласия их родителей, и за нарушение правил ведения личных дел, содержащих персональные данные, и за сбор данных через сеть Интернет, и за нарушение порядка уничтожения личных данных, и за другие нарушения.

Вот основные советы от Дирекции по правовым вопросам. Во-первых, максимальный переход на российское программное обеспечение, российские сервисы и технологии, на первом этапе, возможно, даже с дополнительным неудобством и издержками для себя и пользователей. Во-вторых, придание значимости вопросам охраны персональных данных и здоровый консерватизм. Думайте о том, где в ваших процессах идет обработка персональных данных, подходите к этому серьезно, не берите данные «про запас» на все случаи жизни, а если есть вопросы или сомнения, обращайтесь в цифровой блок или к нам.

В рамках курса «Правовые основы публичных коммуникаций работников НИУ ВШЭ» мы подробно рассказываем, как университет работает с персональными данными. Не пропустите очередной набор, чтобы погрузиться в эту тему глубже! И пользуйтесь сервисом «Правовое обучение» — придем к вам вместе с цифровым блоком и расскажем, как конкретно для ваших процессов и задач надо решить вопрос обработки персональных данных.