Статья Эксперта ООО “КСК” Прохоровой В.А. о работе с персональными данными при декларировании конфликта интересов в организации частного сектора экономики

168

Изучение вопроса противодействия коррупции в организации частного сектора экономики связано не только с необходимостью соблюдения законодательства Российской Федерации, но также с желанием самих организаций осуществлять свою деятельность безопасно и делиться опытом с бизнес-сообществом.

Об этом свидетельствуют многочисленные конференции, тренинги, обучающие курсы, а также итоги проводимого Российским союзом промышленников и предпринимателей Антикоррупционного рейтинга и реализуемого Торгово-промышленной палатой Российской Федерации специального проекта «Бизнес-барометр коррупции» среди российских предпринимателей. Так, например, в итоговом докладе Антикоррупционного рейтинга-2022 отмечается повышение уровня организации антикоррупционной политики в компаниях (65% компаний, участвующих в Рейтинге повторно, повысили свой результат несмотря на ужесточение критериев оценки)[1], а результаты анонимного опроса предпринимателей в рамках проекта «Бизнес-барометр коррупции» от 01.12.2022 говорят о следующем[2]:

  • 46,39% предпринимателей отмечают негативное влияние коррупции на условия ведения бизнеса;
  • 36,66% предпринимателей выразили готовность сообщить в правоохранительные органы о коррупции в своих организациях и принять антикоррупционные меры в соответствии с действующим законодательством, 35,94% высказали намерение о разрешении вопроса исключительно в рамках правового поля.

Между тем, в связи с повышением спроса со стороны организаций на антикоррупционную безопасность возрастает спрос и на пояснения со стороны регуляторов по отдельным вопросам формирования антикоррупционной политики в организациях. Один из таких вопросов – грамотная с точки зрения законодательства работа с персональными данными в рамках декларирования конфликта интересов.

Так, в рамках специального проекта «Бизнес-барометр коррупции» в 2022 году большинство опрошенных предпринимателей (39,83%) затрудняются оценить уровень эффективности проводимой антикоррупционной работы в своем регионе, а 34,01% отметили отсутствие видимых результатов работы. Вместе с тем российское законодательство предусматривает штрафные санкции за нарушения в сфере работы с персональными данными, например, ст. 13.11 КоАП РФ[3], предусматривающая административный штраф за незаконную обработку персональных данных либо обработку персональных данных, несовместимых с целью сбора персональных данных. Несмотря на относительно невысокую стоимость штрафа в большинстве подпунктов указанной статьи (от 2000 тыс. рублей до 500 тыс. рублей в зависимости от состава правонарушения и его повторяемости), нет гарантии того, что регулирующий орган будет рассматривать это нарушение не как каждый отдельный случай обработки персональных данных в отношении конкретного работника, а совокупное нарушение. При этом пояснения регулирующих органов по вопросу работы с персональными данными неоднозначны, как и судебная практика (об этом речь далее).

В то же время процесс декларирования конфликта интересов неразрывно связан с обработкой персональных данных работников, а также, при необходимости, данных близких родственников и членов семьи работников.

Вышеизложенное свидетельствует о наличии дисбаланса между возможностями организации проводить декларирование конфликта интересов и законностью некоторых действий в рамках этой процедуры, что, в свою очередь, повышает ценность разъяснения некоторых вопросов декларирования конфликта интересов.

  1. Понятие персональных данных

1.1 Что такое персональные данные

В изложении федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных» (далее по тексту – «152-ФЗ») под персональными данными понимается «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)»[4]. Данное определение содержит четкий перечень данных, которые можно отнести к персональным. При этом определение персональных данных (далее по тексту – «ПДн»), согласно указанному федеральному закону, содержит подсказку, что такие данные должны определять субъекта персональных данных, то есть давать возможность его идентифицировать[5]. В связи с чем возникает насущный вопрос об определении комбинации данных, которая может рассматриваться в качестве ПДн.

Согласно годовому отчету Роскомнадзора за 2014 год[6], определение такой комбинации видится следующим образом: «Если совокупность данных необходима и достаточна для идентификации лица, такие данные следует считать ПДн, даже если они не включают в себя данные документов, удостоверяющих личность. При этом данные нельзя считать ПДн в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо. К числу данных, которые не могут рассматриваться, по крайней мере по отдельности друг от друга, в качестве ПДн, могут быть отнесены: ФИО, адрес проживания, электронный адрес, номер телефона, дата рождения. Другие идентификаторы сами по себе не определяют однозначно конкретное физическое лицо. Такие данные должны быть отнесены к ПДн только в случае, если они хранятся и обрабатываются совместно с идентификаторами, которые сами по себе определяют физическое лицо».

Исходя из представленного Роскомнадзором пояснения можно сделать вывод о том, что лица, обрабатывающие ПДн, обладают некоторой самостоятельностью определять тот набор данных, который позволяет точно определить их субъекта. В связи с этим возникает риск того, что одни и те же данные могут в одном случае рассматриваться как ПДн, а в другом – не как ПДн. Об этом свидетельствует судебная практика и пояснения регулирующих органов власти. Например, дело, рассмотренное в суде, по итогу которого электронная почта то признается ПДн, то не признается[7] и пояснение Минцифры России, в котором регулятор определил адрес электронной почты как ПДн в случае, если «такая информация относится к прямо или косвенно определенному или определяемому физическому лицу»[8].  Другие два судебных дела[9] касаются вопроса о признании номера мобильного телефона (без каких-либо дополнительных данных) ПДн. В первом случае суд не относит номер телефона к ПДн, в другом – относит.

С другой стороны, если рассматривать позицию Роскомнадзора по определению ПДн исходя из содержания его официальной страницы в сети Интернет[10] с изменениями от 23.05.2019 г., то видим следующее пояснение: «Это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Например: его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес места жительства, паспортные данные, образование, место работы, должность, доходы, ИНН, данные военного билета, СНИЛС, медицинского полиса, сведения о движимом и недвижимом имуществе, о ценных бумагах и кредитных обязательствах, сведения о вкладах в банках и номера счетов, сведения о состоянии здоровья, о судимости, сведения о членах семьи (о детях) и так далее». При этом автор отмечает отсутствие понимания, комбинация ли перечисленных данных позволяет говорить о ПДн или каждый отдельный элемент.

Таким образом, понятие ПДн в российском законодательстве определено неоднозначно. Одна и та же информация может считаться ПДн в одних случаях, а в других – нет. Ключ – использование дополнительной информации или ресурсов.  В России нет правовой концепции и обязательных рекомендаций к определению, что такое ПДн.

1.2 Какая комбинация данных определяет их как персональные данные

В целях иллюстрации вышеизложенного приведем простой сравнительный пример.  Пусть в наличии первоначально имеется следующая информация о физическом лице:

– случай 1: ФИО, должность, образование

– случай 2: ФИО, должность, образование, наименование и ИНН юридического лица, в котором он или она работает.

Тогда в первом случае мы говорим о том, что имеющейся информации недостаточно для однозначного определения физического лица. Во втором случае, имея в распоряжении более подробный перечень идентификаторов, можно говорить о возможности однозначно определить физическое лицо.

Проблема неоднозначности определения ПДн встречается, в том числе, при декларировании конфликта интересов в организации.

  • Место персональных данных в процедуре декларирования конфликта интересов

В целях настоящей статьи автор не считает необходимым глубоко погружаться в понимание, что такое декларирование конфликта интересов, а предлагает дать краткое пояснение тому, при каких обстоятельствах возникает затруднение в определении ПДн в рамках этой бизнес-процедуры.

С момента формирования методических рекомендаций Минтруда России по вопросу организации мер предупреждения коррупции в организациях[11] (2019 год) и до сегодняшнего дня процесс декларирования конфликта интересов в организации частного сектора экономики не имеет четкой инструкции по правильности проведения. Вместе с тем процедура считается одной из предлагаемых мер по предупреждению коррупции в организациях[12].

Головной целью декларирования конфликта интересов в организации частного сектора экономики, по мнению автора, является выявление возможных связей между отдельными лицами, ведущих к удовлетворению личных интересов, а не интересов организации с последующим их устранением. Под лицами в данном случае предлагается рассматривать не только работников организации, но также юридические лица, связь между которыми обусловлена, например, договорными отношениями на основании родства ответственных лиц, принимающих (участвующих в принятии решения) о сотрудничестве таких юридических лиц.

Авторская формулировка цели декларирования конфликта интересов дает возможность предположить, что выявление таких связей связано с ПДн работников. Исходя из этого ответственному лицу, проводящему процедуру декларирования конфликта интересов и одновременно являющемуся обработчиком персональных данных декларантов, необходимо заручиться согласием на обработку ПДн. Такое согласие подразумевает перечисление полного перечня ПДн, запрашиваемых в декларации, а также учет иных требований к его содержанию, определенных ст. 9 152-ФЗ. Помимо этого, в согласии на обработку ПДн необходимо прописать срок хранения деклараций. Здесь ответственному работнику необходимо привести в соответствие срок в документе, регламентирующем порядок проведения декларирования конфликта интересов, и срок в согласии – данные должны совпадать.

Следует обратить внимание на то, что по достижении цели декларирования конфликта интересов, обозначенной в согласии, обработанные и содержащиеся в декларации ПДн работников подлежат уничтожению. Это также существенное условие успешного прохождения проверок контрольно-надзорных органов. Порядок такого уничтожения необходимо согласовать с представителями службы информационной безопасности и учесть не только бумажные носители, но и электронный вариант (если декларирование конфликта интересов автоматизировано).

Согласие на обработку ПДн – не единственное обязательное условие проведения процедуры декларирования конфликта интересов.

Исходя из отсутствия утвержденной на законодательном уровне формы декларации для организаций, перечень вопросов и данных, которые могут быт включены в декларацию, обширен. Вместе с тем необходимо четко понимать, что запрашиваемые данные должны отвечать обозначенной в согласии на обработку ПДн цели декларирования конфликта интересов во избежание запроса излишней информации и внимания контролирующих органов власти.

Обращая внимание на предлагаемую Минтрудом России форму декларации конфликта интересов[13], нетрудно установить, что помимо данных работника ряд вопросов касаются близких родственников и членов семьи. Данное обстоятельство существенно усложняет процесс поиска связей и упрощения ее анализа, поскольку для обработки таких данных требуется согласие от других лиц. Автор исходит из позиции, что дача такого согласия не будет представлять интереса для родственников и близких людей работника. Следовательно, нужно искать иные законные пути сбора и обработки информации, что остается зоной ответственности работника, проводящего процедуру декларирования конфликта интересов по причине отсутствия той самой инструкции и пояснений со стороны регулирующих органов власти. Об этом речь далее.

  • Как работать с персональными данными близких родственников и членов семьи

В целях настоящей статьи автор предлагает читателю взять на вооружение несколько предложений по работе с ПДн близких родственников и членов семьи при декларировании конфликта интересов.

В случае, если предлагаемая к заполнению декларация содержит вопросы, касающиеся иных кроме работника лиц, рекомендуется исключить из перечня запрашиваемых данных такие, которые могут однозначно идентифицировать лицо. Здесь видится полезным понимание ПДн из пункта 1 настоящей статьи.

Например, при ответе на вопрос: «Владеют ли лица, действующие в Ваших личных интересах, прямо или как бенефициары, акциями (долями, паями) или любыми другими финансовыми интересами» мы можем оставить наименование и ИНН юридических лиц, к которым имеется интерес. В данном случае мы не запрашиваем ПДн другого человека, но, согласно выше определенной цели декларирования, можем установить организацию и далее уже постараться выяснить, является ли она для нас контрагентом, конкурентом и тд.

Еще один пример: «Работают ли в организации члены Вашей семьи и близкие родственники?». При ответе на данный вопрос мы можем запросить информацию о принадлежности лица (сын, дочь, брат и т.п.), наименовании и ИНН юридического лица, в котором работает член семьи или близкий родственник. В данном случае совокупность запрашиваемых данных не является ПДн. Необходима дополнительная информация для однозначной идентификации лица, о чем шла речь в пункте 1 настоящей статьи.

Принимая во внимание два приведенных примера, автор видит возможность выхода из ситуации законодательной неопределенности при проведении процедуры декларирования конфликта интересов, в том числе, при консультациях со службой информационной безопасности организации.

На практике бывают случаи, когда работник прошел процедуру декларирования интересов, а спустя некоторое время связывается с ответственным за проведение декларирования работником и сообщает о том, что в период заполнения декларации не понимал, на каких условиях давал согласие на обработку своих ПДн. В этом случае рекомендуется в самом согласии прописать условие о его предоставлении работником на основании политики организации в области персональных данных. Это позволит обезопасить процесс сбора ПДн с точки зрения его поддержки утвержденной нормативной документацией организации.

Выводы и рекомендации:

Подводя итог, автор хотел бы поделиться с читателями практически полезными рекомендациями по процессу организации и проведения декларирования конфликта интересов в организации при работе с ПДн.

В связи с неоднозначностью определения персональных данных рекомендуется следующий алгоритм работы по отнесению данных к категории персональных:

  1. Анализ отраслевого законодательства
  2. Анализ судебной практики
  3. Анализ разъяснений органов власти
  4. Самостоятельный анализ на предмет возможности идентификации субъекта ПДн
  5. Составление перечня типов субъектов ПДн, данные которых обрабатываются организацией, а также списка всех категорий этих ПДн.

В связи с отсутствием инструкции и законодательного определения как порядка декларирования конфликта интересов в организации частного сектора экономики, так и связанной с этим работы с ПДн рекомендуется:

  1. Приложить к разработанной форме декларации согласие на обработку ПДн, учитывая его законодательно определенное содержание
  2. При указании в согласии цели декларирования исходить из того, что цель согласия на обработку ПДн, предоставляемого устроившимся в организацию работником, отлична от цели декларирования. Исходя из этого одно согласие не может подменять другое, в том числе при схожих комбинациях запрашиваемых данных
  3. Избегать формулировок вопросов декларации, связанных с ПДн близких родственников и членов семьи работников
  4. Согласовать срок действия согласия со сроком хранения декларации, указанном в регламентирующем в организации процедуру декларирования документе.

[1]Антикоррупционный рейтинг российского бизнеса-2022 URL: https://rspp.ru/upload/content/99b/6vyf82hv6o5kx7yzgf4a6z7htr82towc/Itogovyy-doklad-2022.pdf (дата обращения: 05.06.2023)

[2] Бизнес-барометр коррупции, 10 этап, декабрь, 2022 URL: http://anticorr22.ru/doklady-otchety-obzory/inye-dokumenty/%D0%91%D0%B8%D0%B7%D0%BD%D0%B5%D1%81-%D0%B1%D0%B0%D1%80%D0%BE%D0%BC%D0%B5%D1%82%D1%80%20%D0%BA%D0%BE%D1%80%D1%80%D1%83%D0%BF%D1%86%D0%B8%D0%B8%2010%20%D1%8D%D1%82%D0%B0%D0%BF.pdf (дата обращения: 05.06.2023)

[3] Кодекс Российской Федерации об административных нарушениях от 30 декабря 2001 г. № 195-ФЗ (ред. от 28.04.2023 г.). Ст.13.11.

[4] Федеральный закон от 27 июля 2006 г. №152-ФЗ (ред. от 06.02.2023 г.) «О персональных данных». Ст. 3.

[5] Федеральный закон от 29.12.2022 №572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации». Ст.2.

[6] Отчет о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2014 г. Стр.22-23. URL: https://pd.rkn.gov.ru/docs/report2014.pdf  (дата обращения: 31.05.2023)

[7] Решение Заельцовского районного суда г. Новосибирска от 27.06.2018 г. по делу № 2-1770/2018 URL: https://sudact.ru/regular/doc/igGK4KfziWWT/ (дата обращения: 01.06.2023)

[8] Письмо Министерства цифрового развития, связи и массовых коммуникаций РФ от 17 марта 2022 г. № П25-5623 «О возможности отнесения адреса электронной почты к персональным данным» URL: https://www.garant.ru/products/ipo/prime/doc/404396842/ (дата обращения: 31.05.2023)

[9]Решение Октябрьского районного суда г. Белгорода URL: https://xn--90afdbaav0bd1afy6eub5d.xn--p1ai/44768322 (дата обращения: 01.06.2023)

Решение Черемушкинского районного суда от 18.06.2019 г. по делу № 12-973/19 URL: https://mos-gorsud.ru/rs/cheryomushkinskij/cases/docs/content/e7b8a497-09c7-4d1d-a7f9-5827f76d6a20 (дата обращения: 01.06.2023)

[10] Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций «Разъяснения законодательства в сфере защиты прав субъектов персональных данных» URL: https://66.rkn.gov.ru/directions/p18760/p20284/ (дата обращения: 31.05.2023)

[11] Методические рекомендации Минтруда России от 01.10.2019 «Меры по предупреждению коррупции в организациях» URL: http://docs.cntd.ru/document/561349090 (дата обращения: 31.05.2023).

[12] Федеральный закон от 25 декабря 2008 г. № 273-ФЗ (ред. от 18 марта 2023 г.) «О противодействии коррупции». Ст.13.3.

[13] Методические рекомендации Минтруда России от 08.11.2013 по разработке и принятию организационных мер по предупреждению и противодействию коррупции URL: https://base.garant.ru/70499600/ (дата обращения: 31.05.2023).