Комментарий к семинару Роскомнадзора по ЦФО от 08.04.2021 о персональных данных

11 April

8 апреля 2021 г. сотрудники Роскомнадзора по Центральному федеральному округу провели семинар для операторов персональных данных, на котором они поделились своим взглядом на актуальные вопросы применения законодательства о персональных данных. Запись семинара доступна на YouTube по ссылке https://youtu.be/cZ7LF2s0GGM.

В этой статье хотелось бы отметить три интересные позиции Роскомнадзора, выраженные на семинаре.

1. Передача персональных данных и поручение обработки персональных данных - это не одно и то же

Это очень ценная позиция, так как на практике часто встречается мнение, что любая передача персональных данных представляет собой поручение обработки персональных данных. Представляется, что это мнение ошибочно. Передача - это одна из операций с персональными данными, а поручение обработки - это правоотношение, в рамках которого одна сторона (обработчик) обязана совершать от имени другой стороны (оператора) определенные действия с персональными данными в соответствии с инструкциями оператора.

Если одно лицо передает другому лицу персональные данные, но при этом на получателя данных не возлагаются обязанности совершать с персональными данными определенные действия в соответствии с инструкциями передающей стороны, то поручение обработки персональных данных отсутствует. В этом случае получатель данных волен обрабатывать данные в своих собственных целях и самостоятельно определять способы их обработки, но при этом он обязан исполнять все предусмотренные законом обязанности оператора персональных данных.

2. Занесение персональных данных в таблицу Excel (на компьютере в России) с последующим внесением персональных данных в Oracle (серверы в США) нарушает требование о локализации персональных данных граждан России

Можно предположить, что Роскомнадзор по ЦФО не будет придерживаться этой позиции в своей работе, так как она была выражена при ответе на вопрос из зала и поэтому может быть не слишком продуманной и подготовленной.

Дело в том, что Минцифры в своих разъяснениях давно указало, что данные, которые уже были локализованы, повторно локализовывать не нужно. А Роскомнадзор в своем неофициальном комментарии давно отметил, что файл Excel может считаться базой данных для целей требования о локализации.

3. Письменные согласия работников на обработку их персональных данных должны быть подписаны квалифицированной электронной подписью, а не простой электронной подписью

Опять-таки хочется надеяться, что Роскомнадзор по ЦФО не будет придерживаться этой позиции в своей работе. Ни закон о персональных данных, ни закон об электронной подписи не запрещают подписывать согласия в письменной форме простой электронной подписью. Использование простой электронной подписи значительно упрощает ведение документооборота в компаниях и не создает угроз для работников, так как в случае спора работодатель будет обязан доказать, что соответствующее согласие было подписано работником.

* * *

В целом, с одной стороны, хочется поприветствовать готовность сотрудников Роскомнадзора по ЦФО общаться с публикой и рассказывать ей о своих подходах к применению законодательства о персональных данных. С другой стороны, было бы здорово, если бы сотрудники Роскомнадзора публиковали письменные руководства по применению законодательства о персональных данных по примеру своих европейских коллег. Такие документы содержали бы более продуманные позиции Роскомнадзора, с ними было бы легче и удобнее знакомиться большому кругу лиц, и к ним было бы легче обращаться при возникновении какого-либо конкретного вопроса на практике.