Изучение вопроса противодействия коррупции в организации частного сектора экономики связано не только с необходимостью соблюдения законодательства Российской Федерации, но также с желанием самих организаций осуществлять свою деятельность безопасно и делиться опытом с бизнес-сообществом.
Об этом свидетельствуют многочисленные конференции, тренинги, обучающие курсы, а также итоги проводимого Российским союзом промышленников и предпринимателей Антикоррупционного рейтинга и реализуемого Торгово-промышленной палатой Российской Федерации специального проекта «Бизнес-барометр коррупции» среди российских предпринимателей. Так, например, в итоговом докладе Антикоррупционного рейтинга-2022 отмечается повышение уровня организации антикоррупционной политики в компаниях (65% компаний, участвующих в Рейтинге повторно, повысили свой результат несмотря на ужесточение критериев оценки)[1], а результаты анонимного опроса предпринимателей в рамках проекта «Бизнес-барометр коррупции» от 01.12.2022 говорят о следующем[2]:
- 46,39% предпринимателей отмечают негативное влияние коррупции на условия ведения бизнеса;
- 36,66% предпринимателей выразили готовность сообщить в правоохранительные органы о коррупции в своих организациях и принять антикоррупционные меры в соответствии с действующим законодательством, 35,94% высказали намерение о разрешении вопроса исключительно в рамках правового поля.
Между тем, в связи с повышением спроса со стороны организаций на антикоррупционную безопасность возрастает спрос и на пояснения со стороны регуляторов по отдельным вопросам формирования антикоррупционной политики в организациях. Один из таких вопросов – грамотная с точки зрения законодательства работа с персональными данными в рамках декларирования конфликта интересов.
Так, в рамках специального проекта «Бизнес-барометр коррупции» в 2022 году большинство опрошенных предпринимателей (39,83%) затрудняются оценить уровень эффективности проводимой антикоррупционной работы в своем регионе, а 34,01% отметили отсутствие видимых результатов работы. Вместе с тем российское законодательство предусматривает штрафные санкции за нарушения в сфере работы с персональными данными, например, ст. 13.11 КоАП РФ[3], предусматривающая административный штраф за незаконную обработку персональных данных либо обработку персональных данных, несовместимых с целью сбора персональных данных. Несмотря на относительно невысокую стоимость штрафа в большинстве подпунктов указанной статьи (от 2000 тыс. рублей до 500 тыс. рублей в зависимости от состава правонарушения и его повторяемости), нет гарантии того, что регулирующий орган будет рассматривать это нарушение не как каждый отдельный случай обработки персональных данных в отношении конкретного работника, а совокупное нарушение. При этом пояснения регулирующих органов по вопросу работы с персональными данными неоднозначны, как и судебная практика (об этом речь далее).
В то же время процесс декларирования конфликта интересов неразрывно связан с обработкой персональных данных работников, а также, при необходимости, данных близких родственников и членов семьи работников.
Вышеизложенное свидетельствует о наличии дисбаланса между возможностями организации проводить декларирование конфликта интересов и законностью некоторых действий в рамках этой процедуры, что, в свою очередь, повышает ценность разъяснения некоторых вопросов декларирования конфликта интересов.
- Понятие персональных данных
1.1 Что такое персональные данные
В изложении федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных» (далее по тексту – «152-ФЗ») под персональными данными понимается «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)»[4]. Данное определение содержит четкий перечень данных, которые можно отнести к персональным. При этом определение персональных данных (далее по тексту – «ПДн»), согласно указанному федеральному закону, содержит подсказку, что такие данные должны определять субъекта персональных данных, то есть давать возможность его идентифицировать[5]. В связи с чем возникает насущный вопрос об определении комбинации данных, которая может рассматриваться в качестве ПДн.
Согласно годовому отчету Роскомнадзора за 2014 год[6], определение такой комбинации видится следующим образом: «Если совокупность данных необходима и достаточна для идентификации лица, такие данные следует считать ПДн, даже если они не включают в себя данные документов, удостоверяющих личность. При этом данные нельзя считать ПДн в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо. К числу данных, которые не могут рассматриваться, по крайней мере по отдельности друг от друга, в качестве ПДн, могут быть отнесены: ФИО, адрес проживания, электронный адрес, номер телефона, дата рождения. Другие идентификаторы сами по себе не определяют однозначно конкретное физическое лицо. Такие данные должны быть отнесены к ПДн только в случае, если они хранятся и обрабатываются совместно с идентификаторами, которые сами по себе определяют физическое лицо».
Исходя из представленного Роскомнадзором пояснения можно сделать вывод о том, что лица, обрабатывающие ПДн, обладают некоторой самостоятельностью определять тот набор данных, который позволяет точно определить их субъекта. В связи с этим возникает риск того, что одни и те же данные могут в одном случае рассматриваться как ПДн, а в другом – не как ПДн. Об этом свидетельствует судебная практика и пояснения регулирующих органов власти. Например, дело, рассмотренное в суде, по итогу которого электронная почта то признается ПДн, то не признается[7] и пояснение Минцифры России, в котором регулятор определил адрес электронной почты как ПДн в случае, если «такая информация относится к прямо или косвенно определенному или определяемому физическому лицу»[8]. Другие два судебных дела[9] касаются вопроса о признании номера мобильного телефона (без каких-либо дополнительных данных) ПДн. В первом случае суд не относит номер телефона к ПДн, в другом – относит.
С другой стороны, если рассматривать позицию Роскомнадзора по определению ПДн исходя из содержания его официальной страницы в сети Интернет[10] с изменениями от 23.05.2019 г., то видим следующее пояснение: «Это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Например: его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес места жительства, паспортные данные, образование, место работы, должность, доходы, ИНН, данные военного билета, СНИЛС, медицинского полиса, сведения о движимом и недвижимом имуществе, о ценных бумагах и кредитных обязательствах, сведения о вкладах в банках и номера счетов, сведения о состоянии здоровья, о судимости, сведения о членах семьи (о детях) и так далее». При этом автор отмечает отсутствие понимания, комбинация ли перечисленных данных позволяет говорить о ПДн или каждый отдельный элемент.
Таким образом, понятие ПДн в российском законодательстве определено неоднозначно. Одна и та же информация может считаться ПДн в одних случаях, а в других – нет. Ключ – использование дополнительной информации или ресурсов. В России нет правовой концепции и обязательных рекомендаций к определению, что такое ПДн.
1.2 Какая комбинация данных определяет их как персональные данные
В целях иллюстрации вышеизложенного приведем простой сравнительный пример. Пусть в наличии первоначально имеется следующая информация о физическом лице:
– случай 1: ФИО, должность, образование
– случай 2: ФИО, должность, образование, наименование и ИНН юридического лица, в котором он или она работает.
Тогда в первом случае мы говорим о том, что имеющейся информации недостаточно для однозначного определения физического лица. Во втором случае, имея в распоряжении более подробный перечень идентификаторов, можно говорить о возможности однозначно определить физическое лицо.
Проблема неоднозначности определения ПДн встречается, в том числе, при декларировании конфликта интересов в организации.
- Место персональных данных в процедуре декларирования конфликта интересов
В целях настоящей статьи автор не считает необходимым глубоко погружаться в понимание, что такое декларирование конфликта интересов, а предлагает дать краткое пояснение тому, при каких обстоятельствах возникает затруднение в определении ПДн в рамках этой бизнес-процедуры.
С момента формирования методических рекомендаций Минтруда России по вопросу организации мер предупреждения коррупции в организациях[11] (2019 год) и до сегодняшнего дня процесс декларирования конфликта интересов в организации частного сектора экономики не имеет четкой инструкции по правильности проведения. Вместе с тем процедура считается одной из предлагаемых мер по предупреждению коррупции в организациях[12].
Головной целью декларирования конфликта интересов в организации частного сектора экономики, по мнению автора, является выявление возможных связей между отдельными лицами, ведущих к удовлетворению личных интересов, а не интересов организации с последующим их устранением. Под лицами в данном случае предлагается рассматривать не только работников организации, но также юридические лица, связь между которыми обусловлена, например, договорными отношениями на основании родства ответственных лиц, принимающих (участвующих в принятии решения) о сотрудничестве таких юридических лиц.
Авторская формулировка цели декларирования конфликта интересов дает возможность предположить, что выявление таких связей связано с ПДн работников. Исходя из этого ответственному лицу, проводящему процедуру декларирования конфликта интересов и одновременно являющемуся обработчиком персональных данных декларантов, необходимо заручиться согласием на обработку ПДн. Такое согласие подразумевает перечисление полного перечня ПДн, запрашиваемых в декларации, а также учет иных требований к его содержанию, определенных ст. 9 152-ФЗ. Помимо этого, в согласии на обработку ПДн необходимо прописать срок хранения деклараций. Здесь ответственному работнику необходимо привести в соответствие срок в документе, регламентирующем порядок проведения декларирования конфликта интересов, и срок в согласии – данные должны совпадать.
Следует обратить внимание на то, что по достижении цели декларирования конфликта интересов, обозначенной в согласии, обработанные и содержащиеся в декларации ПДн работников подлежат уничтожению. Это также существенное условие успешного прохождения проверок контрольно-надзорных органов. Порядок такого уничтожения необходимо согласовать с представителями службы информационной безопасности и учесть не только бумажные носители, но и электронный вариант (если декларирование конфликта интересов автоматизировано).
Согласие на обработку ПДн – не единственное обязательное условие проведения процедуры декларирования конфликта интересов.
Исходя из отсутствия утвержденной на законодательном уровне формы декларации для организаций, перечень вопросов и данных, которые могут быт включены в декларацию, обширен. Вместе с тем необходимо четко понимать, что запрашиваемые данные должны отвечать обозначенной в согласии на обработку ПДн цели декларирования конфликта интересов во избежание запроса излишней информации и внимания контролирующих органов власти.
Обращая внимание на предлагаемую Минтрудом России форму декларации конфликта интересов[13], нетрудно установить, что помимо данных работника ряд вопросов касаются близких родственников и членов семьи. Данное обстоятельство существенно усложняет процесс поиска связей и упрощения ее анализа, поскольку для обработки таких данных требуется согласие от других лиц. Автор исходит из позиции, что дача такого согласия не будет представлять интереса для родственников и близких людей работника. Следовательно, нужно искать иные законные пути сбора и обработки информации, что остается зоной ответственности работника, проводящего процедуру декларирования конфликта интересов по причине отсутствия той самой инструкции и пояснений со стороны регулирующих органов власти. Об этом речь далее.
- Как работать с персональными данными близких родственников и членов семьи
В целях настоящей статьи автор предлагает читателю взять на вооружение несколько предложений по работе с ПДн близких родственников и членов семьи при декларировании конфликта интересов.
В случае, если предлагаемая к заполнению декларация содержит вопросы, касающиеся иных кроме работника лиц, рекомендуется исключить из перечня запрашиваемых данных такие, которые могут однозначно идентифицировать лицо. Здесь видится полезным понимание ПДн из пункта 1 настоящей статьи.
Например, при ответе на вопрос: «Владеют ли лица, действующие в Ваших личных интересах, прямо или как бенефициары, акциями (долями, паями) или любыми другими финансовыми интересами» мы можем оставить наименование и ИНН юридических лиц, к которым имеется интерес. В данном случае мы не запрашиваем ПДн другого человека, но, согласно выше определенной цели декларирования, можем установить организацию и далее уже постараться выяснить, является ли она для нас контрагентом, конкурентом и тд.
Еще один пример: «Работают ли в организации члены Вашей семьи и близкие родственники?». При ответе на данный вопрос мы можем запросить информацию о принадлежности лица (сын, дочь, брат и т.п.), наименовании и ИНН юридического лица, в котором работает член семьи или близкий родственник. В данном случае совокупность запрашиваемых данных не является ПДн. Необходима дополнительная информация для однозначной идентификации лица, о чем шла речь в пункте 1 настоящей статьи.
Принимая во внимание два приведенных примера, автор видит возможность выхода из ситуации законодательной неопределенности при проведении процедуры декларирования конфликта интересов, в том числе, при консультациях со службой информационной безопасности организации.
На практике бывают случаи, когда работник прошел процедуру декларирования интересов, а спустя некоторое время связывается с ответственным за проведение декларирования работником и сообщает о том, что в период заполнения декларации не понимал, на каких условиях давал согласие на обработку своих ПДн. В этом случае рекомендуется в самом согласии прописать условие о его предоставлении работником на основании политики организации в области персональных данных. Это позволит обезопасить процесс сбора ПДн с точки зрения его поддержки утвержденной нормативной документацией организации.
Выводы и рекомендации:
Подводя итог, автор хотел бы поделиться с читателями практически полезными рекомендациями по процессу организации и проведения декларирования конфликта интересов в организации при работе с ПДн.
В связи с неоднозначностью определения персональных данных рекомендуется следующий алгоритм работы по отнесению данных к категории персональных:
- Анализ отраслевого законодательства
- Анализ судебной практики
- Анализ разъяснений органов власти
- Самостоятельный анализ на предмет возможности идентификации субъекта ПДн
- Составление перечня типов субъектов ПДн, данные которых обрабатываются организацией, а также списка всех категорий этих ПДн.
В связи с отсутствием инструкции и законодательного определения как порядка декларирования конфликта интересов в организации частного сектора экономики, так и связанной с этим работы с ПДн рекомендуется:
- Приложить к разработанной форме декларации согласие на обработку ПДн, учитывая его законодательно определенное содержание
- При указании в согласии цели декларирования исходить из того, что цель согласия на обработку ПДн, предоставляемого устроившимся в организацию работником, отлична от цели декларирования. Исходя из этого одно согласие не может подменять другое, в том числе при схожих комбинациях запрашиваемых данных
- Избегать формулировок вопросов декларации, связанных с ПДн близких родственников и членов семьи работников
- Согласовать срок действия согласия со сроком хранения декларации, указанном в регламентирующем в организации процедуру декларирования документе.
[1]Антикоррупционный рейтинг российского бизнеса-2022 URL: https://rspp.ru/upload/content/99b/6vyf82hv6o5kx7yzgf4a6z7htr82towc/Itogovyy-doklad-2022.pdf (дата обращения: 05.06.2023)
[2] Бизнес-барометр коррупции, 10 этап, декабрь, 2022 URL: http://anticorr22.ru/doklady-otchety-obzory/inye-dokumenty/%D0%91%D0%B8%D0%B7%D0%BD%D0%B5%D1%81-%D0%B1%D0%B0%D1%80%D0%BE%D0%BC%D0%B5%D1%82%D1%80%20%D0%BA%D0%BE%D1%80%D1%80%D1%83%D0%BF%D1%86%D0%B8%D0%B8%2010%20%D1%8D%D1%82%D0%B0%D0%BF.pdf (дата обращения: 05.06.2023)
[3] Кодекс Российской Федерации об административных нарушениях от 30 декабря 2001 г. № 195-ФЗ (ред. от 28.04.2023 г.). Ст.13.11.
[4] Федеральный закон от 27 июля 2006 г. №152-ФЗ (ред. от 06.02.2023 г.) «О персональных данных». Ст. 3.
[5] Федеральный закон от 29.12.2022 №572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации». Ст.2.
[6] Отчет о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2014 г. Стр.22-23. URL: https://pd.rkn.gov.ru/docs/report2014.pdf (дата обращения: 31.05.2023)
[7] Решение Заельцовского районного суда г. Новосибирска от 27.06.2018 г. по делу № 2-1770/2018 URL: https://sudact.ru/regular/doc/igGK4KfziWWT/ (дата обращения: 01.06.2023)
[8] Письмо Министерства цифрового развития, связи и массовых коммуникаций РФ от 17 марта 2022 г. № П25-5623 «О возможности отнесения адреса электронной почты к персональным данным» URL: https://www.garant.ru/products/ipo/prime/doc/404396842/ (дата обращения: 31.05.2023)
[9]Решение Октябрьского районного суда г. Белгорода URL: https://xn--90afdbaav0bd1afy6eub5d.xn--p1ai/44768322 (дата обращения: 01.06.2023)
Решение Черемушкинского районного суда от 18.06.2019 г. по делу № 12-973/19 URL: https://mos-gorsud.ru/rs/cheryomushkinskij/cases/docs/content/e7b8a497-09c7-4d1d-a7f9-5827f76d6a20 (дата обращения: 01.06.2023)
[10] Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций «Разъяснения законодательства в сфере защиты прав субъектов персональных данных» URL: https://66.rkn.gov.ru/directions/p18760/p20284/ (дата обращения: 31.05.2023)
[11] Методические рекомендации Минтруда России от 01.10.2019 «Меры по предупреждению коррупции в организациях» URL: http://docs.cntd.ru/document/561349090 (дата обращения: 31.05.2023).
[12] Федеральный закон от 25 декабря 2008 г. № 273-ФЗ (ред. от 18 марта 2023 г.) «О противодействии коррупции». Ст.13.3.
[13] Методические рекомендации Минтруда России от 08.11.2013 по разработке и принятию организационных мер по предупреждению и противодействию коррупции URL: https://base.garant.ru/70499600/ (дата обращения: 31.05.2023).