Олег Жабинский, «РЕХАУ»: Как обеспечить защиту персональных данных в МЧД

Справка о компании: «РЕХАУ» – один из ведущих брендов, объединяющий технологии на основе полимеров для строительства и промышленности. На предприятиях в Российской Федерации работает более 700 сотрудников.

Что такое персональные данные и МЧД?

Персональные данные – это любая информация, относящаяся к физическому лицу (субъекту персональных данных). И это не только очевидные сведения вроде ФИО или номера паспорта человека. Многие даже не догадываются, что такая, казалось бы, техническая информация, как параметры экрана устройства при выходе в интернет, также может считаться персональными данными.

Важно понимать: если какие-либо сведения помогают прямо или косвенно определить конкретного человека, они подпадают под защиту закона о персональных данных. Это может быть что угодно: от привычных контактных данных и информации о месте работы до специфических характеристик поведения пользователя в сети или его предпочтений. При этом даже комбинация нескольких, казалось бы, неочевидных параметров может привести к тому, что личность человека может быть идентифицирована с достаточной степенью определенности. Поэтому любой организации, работающей с данными людей, необходимо соблюдать правила их обработки и хранения, получая предварительное согласие субъектов на операции с их персональными данными.

МЧД представляет собой современный вариант доверенности, адаптированный для использования в цифровой среде. По сути, это тот же юридический документ, но со специальными техническими характеристиками, позволяющими применять его в электронных системах документооборота. Важно отметить интересный момент в законодательстве: хотя Гражданский кодекс допускает возможность передоверия полномочий руководителям филиалов без нотариального заверения, на практике в электронной среде этот механизм не функционирует. Это поднимает важный вопрос о необходимости гармонизации нормативных документов ФНС с общими принципами гражданского права, особенно в контексте электронного документооборота.

Что касается персональных данных при передоверии, здесь наблюдается полная идентичность с основной доверенностью. Это подтверждается сравнением полей в системе выдачи доверенностей, где наборы данных полностью совпадают. Таким образом, с точки зрения защиты прав субъектов персональных данных, между выдачей основной доверенности и актом её передоверия нет никаких различий.

Несмотря на специфику электронной среды, базовые принципы работы с персональными данными остаются неизменными как для основных доверенностей, так и для актов передоверия.

Риски при использовании МЧД

«РЕХАУ» – производственно-торговая компания с обширной сетью контрагентов. В связи с этим мы оформляем значительное количество доверенностей, в том числе электронных машиночитаемых для сотрудников, что не может не вызывать у них вопросы. Ниже я расскажу о наиболее часто задаваемых вопросах и о том, как мы на них отвечаем.

Первый вопрос – «Почему нельзя использовать обычную бумажную доверенность, которая была у меня всегда?». По закону и на практике нельзя использовать МЧД вместо бумажной доверенности или наоборот. Более того, использование МЧД в офлайн-сценариях, вероятно, окажется неэффективным, поскольку её скорее всего не примет контрагент. Таким образом, бумажная доверенность и МЧД представляют собой разные формы одного документа, и их взаимозамена невозможна в силу закона. Наша компания, в целях обеспечения надежности, продолжает выдавать оба типа доверенностей. Бумажная доверенность служит резервным вариантом на случай сбоев в системе электронного документооборота или необходимости предъявления физического документа. Она также выступает контрольным элементом, обеспечивающим надлежащее оформление электронной доверенности.

Второй вопрос, который часто задают сотрудники – «Почему в МЧД содержится значительно больше моих личных данных, чем в бумажной доверенности?». Вносимые в МЧД персональные данные включают, помимо обычных персональных данных для бумажной доверенности, также СНИЛС и ИНН. Однако общее количество персональных данных, обрабатываемых как в бумажной, так и в электронной доверенности, практически идентично. Более того, бумажная доверенность может содержать дополнительную информацию, например, адрес проживания, дату и место рождения доверителя. Появление СНИЛС и ИНН в электронной версии, таким образом, не увеличивает риски существенно.

Ключевой и пока не имеющий однозначного решения вопрос сотрудников – возможность несанкционированного использования их данных в злонамеренных целях. Необходимо детально рассмотреть эту проблему с двух сторон. Во-первых, важно оценить меры, принимаемые компанией для защиты персональных данных сотрудников. Существуют эффективные способы обеспечения безопасности, например, полная анонимизация данных в электронных системах или ограничение доступа к ним узким кругом специалистов. Во-вторых, необходимо проанализировать риски кражи данных и разработать дополнительные стратегии их минимизации.

Значительно сложнее обстоит дело с передачей и хранением персональных данных, содержащихся в МЧД, на сторонних ресурсах. МЧД, по сути, предназначены для демонстрации полномочий субъекта контрагенту, и после выпуска могут храниться в различных информационных системах, перечень которых определён законодательно. Однако закон не содержит ясных положений о специальных мерах защиты субъектов при передаче и хранении этих данных. В 2024 году Ассоциация Российских Банков направила запрос в Минфин, указав на выявленную проблему: доступ к информации о доверителе и поверенном через сайт ФНС по ИНН представляет существенные риски для банков, особенно в текущей геополитической ситуации. В ответ на запрос ФНС подробно разъяснила, что доступ к порталу самообслуживания осуществляется после идентификации через портал Госуслуг, что, по мнению ведомства, обеспечивает дополнительную защиту и минимизирует указанные риски. Сейчас на сайте ФНС доступ к подробной информации о доверенности по её коду, действительно, ограничен.  Показаны лишь общие сведения, а остальные данные скрыты. Для получения полного доступа требуется авторизация через усиленную учетную запись Госуслуг. Как я уже отметил, ФНС считает такую авторизацию достаточным подтверждением соблюдения конфиденциальности. Однако все равно остаются сомнения в обеспечении надлежащей защиты данных.

Ответ ФНС, самое главное, не проясняет главный вопрос субъектов, поскольку не гарантирует надлежащее хранение машиночитаемых доверенностей получающими их организациями. В Постановлении Правительства от 21.02.2022 N 223 об утверждении организационно-технических требований к порядку хранения, использования и отмены МЧД и статье 19 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» содержатся общие требования к обеспечению безопасности обработки персональных данных, однако их выполнения остаётся целиком и полностью на совести операторов соответствующих информационных систем, в которых происходит обработка персональных данных. Поэтому эти общие нормы, предписывающие операторам принимать организационно-технические меры защиты от несанкционированного доступа, являются, скорее, декларативными требованиями, отсутствие ответственность за несоблюдением которых не даёт повода для для большинства операторов серьёзно задумтаься об их выполнении. Поэтому эти нормы не дают пользователям уверенности в надлежащем хранении их персональных данных, которые содержатся в МЧД.

Вопросы наших работников о безопасности их персональных данных при использовании в МЧД вызывают обоснованную обеспокоенность. Мы как работодатель можем обеспечить защиту информации, которая находится в нашем контуре, но не можем гарантированно исключить все риски при её передачи вовне, поскольку защита информации во внешнем хранилище полностью зависит от мер безопасности, принимаемых владельцем соответствующей информационной системы в соответствии с законодательством. В отличие от бумажных доверенностей, чье распространение ограничено, электронные данные легко копируются и распространяются. Чем больше участников цепочки обработки данных, тем выше вероятность утечки. Надёжность систем безопасности у контрагентов – большой вопрос, и государство, хоть и предпринимает некоторые меры, пока не предлагает полного решения этой проблемы. 

Четвертый вопрос, который нам задают сотрудники, связан с возражением: «Я не давал согласие на использование персональных данных для выдачи МЧД». Закон требует явного согласия субъекта на обработку его персональных данных, за исключением случаев, прямо предусмотренных законом (например, обработка персоналных данных в целях трудовых отношений, прямые договорные отношения с оператором и другие). Поскольку необходимые для выдачи МЧД данные (ФИО, СНИЛС, ИНН и др.) уже имеются у работодателя в связи с трудоустройством, отдельного согласия на их обработку для выдачи МЧД, казалось бы, не требуется.

Однако, выдача МЧД – это не окончание процесса, а лишь его начало. После выдачи МЧД она передаётся третьим лицам (удостоверяющим центрам, операторам информационных систех хранения МЧД и другим). В таких случаях статья 88 ТК РФ обязывает получать согласие на передачу работодателем персональных данных работников третьим лицам. Таким образом, работодатель (оператор) обязан запрашивать у сотрудников согласие на выдачу и передачу МЧД, поскольку это выходит за рамки использования данных внутри трудовых отношений.

Отказ работника от предоставления такого согласия создаёт юридическую коллизию. Может ли работник выполнять свои обязанности, требующие подписи документов, без использования МЧД?  Если обязанности работника, прописанные в договоре или должностной инструкции, невыполнимы без МЧД, а работник отказывается от согласия, работодатель может рассматривать это как основание для изменения условий трудового договора, вплоть до его расторжения по инициативе работодателя на основании Трудового кодекса.

Сценарии передоверия МЧД

Первый вариант: когда юридическое лицо передает право юридическому лицу, а тот – физическому лицу. Это самый простой вариант, здесь никаких особенностей нет, кроме того, что это не работает для доверенности ФНС.

Второй вариант – это когда юридическое лицо передает право физическому лицу, а тот – еще одному физическому лицу. Такой сценарий требует нотариального удостоверения передоверия. Найти нотариуса, готового заверить такую доверенность, оказалось непросто: нам потребовалось несколько попыток. Районные нотариальные конторы неохотно брались за это; успех пришел только после обращения к нотариусу, специализирующемуся на работе с юридическими лицами.

Еще один сценарий – это когда юридическое лицо передает право физлицу-руководителю филиала, а тот – еще одному физлицу. Существующая практика столкнулась с проблемой: Гражданский кодекс требует нотариального удостоверения, что усложняет процедуру. Альтернативный вариант – электронная доверенность, хранящаяся у оператора. Однако отсутствие централизованного реестра и механизма проверки подлинности такой доверенности делает её неприемлемой для государственных органов (B2G). Контрагент может её принять, но государственные структуры требуют нотариального удостоверения для признания передоверия.

Четвертый сценарий – когда ИП передает право сотруднику-физлицу, а тот – другому физлицу. В этом случае действуют те же самые правила. Требуется нотариальное удостоверение доверенности в порядке передоверия. В отношении передоверия на основании бумажной доверенности этот сценарий уже ранее был рассмотрен. Нотариальное удостоверение доверенности с передоверием, выданной на основании ранее выданной бумажной доверенности, невозможно. Такая процедура не соответствует действующему законодательству, и нотариус откажет в её проведении.

Усиление контроля за утечками персональных данных

С конца прошлого года действуют новые законы, существенно увеличивающие штрафы за утечки персональных данных. Важно понимать масштабы возможных санкций: за первое нарушение – от 3 до 5 миллионов рублей, а повторные нарушения могут обойтись в 1-3% годовой выручки компании, но не менее 20 и не более 500 миллионов рублей.

Следует помнить, что «утечка» – понятие широкое. Это не только результат хакерской атаки.  Согласно позиции Роскомнадзора и мнению технических экспертов, утечкой считается в том числе непреднамеренная передача персональных данных третьим лицам. Например, рассылка по ошибочным адресам, случайное указание посторонних контактов – всё это может квалифицироваться как утечка.

С мая этого года Роскомнадзор значительно усилит контроль за инцидентами, связанными с обработкой персональных данных. Поэтому компаниям необходимо обеспечить полную готовность к этим изменениям. Вся инфраструктура хранения персональных данных и все мероприятия по обеспечению их безопасности должны соответствовать законодательству и разрабатываться при обязательном участии юристов.

Надеемся, это не приведёт к необоснованным штрафам, а станет стимулом для повышения уровня защиты персональных данных в интересах как самих граждан, так и государства.

Олег Жабинский, руководитель юридической службы, «РЕХАУ»

Задать свои вопросы Олегу и узнать больше об опыте «РЕХАУ» вы сможете на Двадцать втором форуме «Внутренний и внешний электронный документооборот», который пройдет 22-23 мая 2025 года.