УДК 34.096

Формирование метода комплаенса в сфере защиты персональных данных

Башкиров Илья Андреевич – магистрант Высшей школы государственного аудита Московского государственного университета.

Аннотация: В статье рассматривается процесс становления методов комплаенса в сфере защиты персональных данных с точки зрения факторов, влиявших на их трансформацию. Особая роль в указанном процессе отведена переходу защиты персональных данных от сферы частных интересов в сферу публичных. Анализируются основные события в сфере айти в целом и защиты персональных данных в частности, повлиявшие на изменение методов комплаенса со стороны ключевых игроков на рынке. Проводится сравнение сферы защиты персональных данных с иными сферами, являющимися объектом комплаенса, как публичного интереса, к примеру, с антимонопольным правом, так и частного интереса. Исследуются общие тенденции комплаенса в указанной сфере с методами соблюдения компаниями законодательства в сфере защиты прав потребителей.

Ключевые слова: комплаенс, персональные данные, публичный интерес, защита персональных данных.

Комплаенс – это совокупность различных методов организации работы предприятия таким образом, чтобы обеспечить соблюдение им требований отечественного и зарубежного законодательства, а также собственных обязательств, взятых на себя, к примеру, путем вступления в ассоциацию или присоединению к коллективному договору. Помимо этого, к комплаенсу стоит добавить и стратегии соблюдения ключевых морально-этическим норм, распространенных в обществе. Примером могут послужить стратегии компаний по созданию инклюзивного сообщества или экологически-нейтрального производства. В таком случае комплаенс совмещается с ESG направлениями.

В основу настоящий статьи положено представление о способах защиты публичного и частного интереса. Под публичным интересом понимается обеспечения благополучия всего общества, стабильности внутренних процессов и основ. Примерами институтов права, обеспечивающих публичный интерес, являются антимонопольное и налоговое. Под частным интересом здесь понимается стремление каждого человека к сохранению личных прав и свобод, а также обеспечения законных интересов. В качестве института, регулирующего частный интерес, можно привести нормы из законодательства о защите прав потребителя.

Разделение норм на обеспечивающие публичный и частный интерес важно в контексте комплаенса, поскольку их метод является различным. Так классическим методом для норм, обеспечивающих публичный интерес, являются оборотные штрафы или взыскания, пропорциональные прибыли или нарушению. Метод норм, защищающих частные интересы, обычно сводится к компенсации реально причиненного вреда.

Комплаенс является результатом переосмысления ценностей, роли и модели существования корпораций на современном этапе. К появлению комплаенса в качестве повсеместной модели осуществления деятельности корпораций привели два фактора.

Первый – появление спроса на ответственное поведение компаний. С развитием интернет-сообщества роль репутационных рисков возросла пропорционально ускорению обмена информации, что привело к потребности субъектов предпринимательской деятельности следить за благоприятным социальным фоном вокруг них. Если в 20 веке корпорации рассматривались сугубо как субъекты, призванные извлекать прибыль для акционеров, то в данный момент к ним относятся скорее как к носителям определенных ценностей, транслирующих их через товар. Родоначальником такой концепции стал бренд Coca-Cola и рекламный ролик «На Холме» 1971 года.

Вторая причина кроется в развитии метода стимулирования соблюдения нормативного регулирования. Лидером здесь являются страны англосаксонской правовой семьи, впервые расширивших применение оборотных штрафов вне налогового права. Самостоятельно метод оборотного штрафа свойственен именно налоговому праву и происходят от пеней и штрафов за неуплаченный налог, который исчисляется пропорционально налогу. Однако с принятием «Закона о коррупции за рубежом» в 1976 году в США данный метод был применен в сфере коррупции на предприятиях. Так в оригинальном тексте закона предприятие, в случае выявления условий, которые оно получило при помощи коррупции, обязано оплатить штраф пропорционально доходу, полученному посредством пользования такими условиями.

Указанный выше принцип недопущения пользования недобросовестно полученным выгодным положением находится в основе современного санкционного, антимонопольного, антикоррупционного законодательства, банковского контроля и иных областях. Комплаенс в свою очередь является методом самопроверки и самоограничения бизнеса и недопущения недобросовестного получения заведомо выгодного положения. Указанный принцип можно проследить и в законодательстве о защите персональных данных.

Стоит отметить, что законодательство о персональных данных имеет иную природу и, ввиду своего исторически-правового происхождения, не должно было обзавестись собственным специальным комплаенсом. Само по себе указанное законодательство происходит из права на неприкосновенность частной жизни или же права «быть оставленным в одиночестве», как оно было впервые поименовано в истории юридической науки. Данное право скорее защищает частный интерес, выражающийся в обеспечении личной безопасности, субъективном чувстве комфорта и ценности человека, как личности. В свою очередь подострасли права, к которым применяется метод комплаенса, защищают публичный интерес. Это обусловлено методом, которым оперируют такие институты права – оборотные штрафы, процентные штрафы и любые иные взыскания, неразрывно связанные с прибылью или оборотом компании. Основываясь на этом формируется и метод комплаенса – поиск наиболее оптимального компромисса между выгодным положением и риском наступления неблагоприятных последствий. Комплаенс свойственен областям, в которых экономический метод стимулирования соблюдения норм развит настолько, что субъекту предпринимательской деятельности выгоднее исключить собственное пользование неосновательным выгодным положением, чем нести риск неблагоприятных последствий за пользование им. Комплаенс является своеобразной аналогией Пари Паскаля, при помощи которого доказывалась рациональность жизни по религиозным принципам. Согласно указанной формуле, жизнь по принципам является тяжелой, но какой бы тяжелой она не была, она несопоставима с вечными страданиями. При этом даже в случае ненаступления «вечных страданий», выигрыш от жизни без религиозных принципов диспропорционально мал возможному выигрышу в случае существования загробной жизни. При этом в Пари Паскаля особая роль отводится методу разрешения пари - физической смерти его участника, а именно необратимому действию.

Проводя аналогию с методом оборотного штрафа или сходным с ним, последствия несоблюдения норм будут настолько катастрофичными для субъекта, что любая возможная выгода от такого несоблюдения будет являться нерациональной. Именно этим обусловлен особенный метод обеспечения исполнения норм, защищающих публичный интерес. Примером может послужить налоговое право РФ, согласно которому в случае налогового правонарушения взысканию подлежит как сумма недоплаченного налога, так и пени и штрафы пропорционально указанной сумме.

В свою очередь метод защиты частного интереса основан на компенсации вреда посредством либо восстановления в первоначальном виде, либо в форме денежной компенсации. В сферах, где субъект частного интереса является однородным, иными словами формируется обширная группа, члены которой имеют сходных частный интерес, могут применяться элементы метода финансового стимулирования заблаговременного соблюдения норм, свойственного защите публичного интереса. Примером последнего является защита прав потребителей, известная наличием пятидесятипроцентного штрафа от суммы удовлетворенных судом требований за неисполнение законных претензий потребителя. Данная норма отличается более серьезным экономическим принуждением, нежели классические нормы о защите частного интереса, однако не имеет привязки к обороту компании и в реальности может являться стимулом только в случае продажи единичных дорогих товаров (автомобилей или квартир).

Учитывая указанное выше, стоит отметить нетипичное развитие института защиты персональных данных которое, фактически являясь способом защиты частного интереса, обладало крайне важным социальным значением. Применяя метод однородной группы, приведенный в примере с законодательством о защите прав потребителей, можно сказать, что количество интересантов защиты персональных данных трансформирует его метод в сходный публичному. Однако, данную причину следует отнести ко второстепенным.

В первую очередь особое положение норм о защите персональных данных следует проводить из истории становления института персональных данных. Так в России данное право проистекает из тайны переписки. При этом в качестве наиболее вероятного нарушителя данных норм в первую очередь выделялось государство в лице чиновников. Метод обеспечения соблюдения норм о тайне переписки заключался в ответственности за вскрытие почты специальным субъектом – чиновником на почтовой или телеграфоной станции. При этом санкцией за такое нарушение было обязательное увольнение чиновника а также вплоть до тюремного, что свойственно защите публичного интереса от посягательства государственных служащих. В США нормы о защите персональных данных происходят из концепции «права быть оставленным в одиночестве (в покое)», которое было развито судебной практикой в право на полное невмешательство государства в частную жизнь граждан.

Однако в до середины 20 века право на неприкосновенность частной жизни имело лишь одного субъекта, способного серьезным образом его нарушить – государство. Именно наличие в правоотношениях государства в качестве возможного нарушителя прав субъекта и наделяло сферу частного инетерса методом, свойственного публичному. Но, с развитием технологий концепция также получила дальнейшее развитие.

Так в 1968 Парламентская Ассамблея (ЕС) публикует рекомендацию 509 о «правах человека и современном технологическом прогрессе», в котором высказывает озабоченность сменой способов обработки данных и скорым возможным появлением угрозы частной жизни граждан ввиду получения субъектами экономической деятельности слишком большого объема информации о потребителях. При этом стоит отметить, что в документе в качестве современных технологий упоминались телефонные продажи, тайное наблюдение и прослушка а под данными - использование статистической информации. А через год после указанной публикации было передано первое сообщение через ARPANET, прообраза современного интернета.

Интернет стал причиной развития законодательства о персональных данных. Уже в 1980 году ОЭСР опубликовала перечень рекомендаций по развитию защиты персональных данных с учетом технического прогресса. Именно здесь впервые были указаны такие принципы, как пропорциональность объема и целей сбора и обработки персональных данных. Первым же нормативным источником, начавшим регулировании персональных данных в сети Интернет, стала рамочная Директива по защите персональных данных 1995 года. Однако, область защиты персональных данных на тот момент характеризовалась широким использованием гражданско-правового метода, свойственному защите частного интереса.

Вызовом, сформировавшим необходимость создания нового подхода к обеспечению соблюдения законодательства о защите персональных данных, стала модель капитализации Google и Facebook. Указанные проекты не реализовывали товар, а также не имели систем платного пользования а значит не имели прямых источников капитализации. Однако, они имели возможность получать доступ к личной информации пользователей, их интересам и потребностям. Обе платформы стали развивать механизмы сбора персональных данных с целью создания потребительских портретов пользователей, что позволило бы продавать целевые группы пользователей конкретным рекламодателям. Так появилась концепция таргетированной рекламы в сети Интернет, которая на настоящий момент является основной причиной сборы персональных данных.

Реакция на её появление была незамедлительной – так уже в 2002 году в ЕС была принята Директива «Электронная Приватность», которая устанавливала пределы использования методов сбора персональных данных, в первую очередь ограничив использование файлов типа «cookie».

Однако, указанных норм не хватало для адекватной защиты интересов частных лиц. Так в начале нулевых годов законодательство о защите персональных данных было атаковано сразу с двух сторон. При этом в массовом сознании на тот момент основным субъектом накопления и использования персональных данных были частные компании. С одной стороны, текущий режим пользования персональными данными был поставлен под сомнение с точки зрения необходимого минимума защиты персональных даных. Так первые резонансные скандалы, связанные с безопасностью данных и возможностью неправомерного доступа к ним вскрыли последствия незаконного доступа к персональным данным. Примером стала кража и распространение данных пользователей дейтингового сервиса «Ashley Madison», что привело к волне разводов по всей Европе.

С другой стороны, нарастающий объем частных, коллективных и групповых исков к Корпорациям-операторам данных выявил и проблему злоупотребления правом или возможность обработки и сбора персональных данных. Суммы, выплачиваемые компаниями в качестве компенсации за нарушения существовавшего законодательства о защите персональных данных не могли быть сопоставлены с объемом выгоды, получаемой компанией в случае злоупотребления своими возможностями. Поскольку интернет-торговля и распространение интернета только набирало обороты, корпорации не могли позволить себе отказаться от лидирующих позиций на рынке и прибыли ради защиты от непропорционально малых исков частных лиц.

Ввиду высокой важности защиты персональных данных для государства и общества, в Европейском Союзе была разработана новая концепция их защиты, взявшая метод из отраслей права, стоящих на страже публичного интереса. Так был принят Общий регламент по защите данных 2016 года, которым был установлен штраф вплоть до 4% от оборота компании за необеспечение мер защиты персональных данных в случае, если отсутствие такого обеспечения повлекло утечку персональных данных.

Именно появление GDPR и введение оборотного штрафа стало моментом появления комплаенса в области персональных данных. Интересно отметить и особенность европейского подхода: ответственность наступает, по сути, за не проявление должной осмотрительности и должных мер по противодействию недобросовестным действиям. При этом меры носят в первую очередь технический, а даже не организационный характер, как свойственно остальным видам комплаенса.

Основу комплаенса в сфере персональных составляет аудит принципа соответствия цели и объема сбора и обработки персональных данных. Как было указанно выше, данная норма в принципе была первой в регулировании области защиты персональных данных. В отечественном законодательстве данный принцип закреплен п. 2 ст. 5 ФЗ «О персональных данных», и звучит как запрет обработки персональных данных способами, которые не совместимы с целями такой обработки. Отсюда также косвенно следует запрет на постановку неэтичных целей сбора персональных данных или же слишком широких целей, которые перестают соответствовать критерию определимости.

Указанный принцип лег в несколько крупнейших коллективных исков в защиту персональных данных на территории РФ. Однако, такой принцип стоит рассматривать скорее как способ защиты частного интереса – личного комфорта гражданина, а не публичного – обеспечения стабильных условий развития экономики.

Однако, настоящий принцип, как уже было сказано, лег в основу коллективных исков, и, в особенности, в иск против «Яндекс.Еда». Причиной данного иска стала утечка персональных данных пользователей ввиду недостаточного технического обеспечения безопасности персональных данных. Дело получило широкую огласку и остро выявило наличие публичного интереса в обеспечении безопасности персональных данных – а именно публичной безопасности и стабильности общества.

Еще одним фактором, формирующим публичный интерес в области защиты персональных данных является возможность недобросовестного использовании доминантного положения на рынке. Опыт Google и Facebook показал то, насколько более конкурентным является предложение, основанное на таргетированной рекламе и насколько более выгодным является положение, в котором платформа может собирать максимум информации о своей пользовании. Даже умные алгоритмы «бесконечных лент», из за которого, к примеру, стало сверхпопулярным приложение TikTok, использует в своей работе персональные данные. И чем больший объем персональных данных компания может собрать, тем более конкурентным станет его продукт.

Таким образом можно сделать вывод о том, что защита персональных данных постепенно утратит статус частного интереса и перейдет в сферу публичного. Метод данной области уже начал меняться, о чем свидетельствует появление оборотных штрафов и возрастающая роль коллективных исков в разрешении коренных противоречий в сфере. Однако для общего метода комплаенса данная трансформация является скорее упрощением ввиду того, что метод комплаенса больше свойственен соблюдению законодательства, защищающего частный интерес.

Список литературы

  1. Батухтина Софья Андреевна О ГРУППОВЫХ ИСКАХ В СФЕРЕ ЗАЩИТЫ ПРАВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ В РОССИЙСКОЙ ФЕДЕРАЦИИ // Вопросы российской юстиции. 2021. №15
  2. Лещина Э. Л. ДИСЦИПЛИНАРНАЯ ОТВЕТСТВЕННОСТЬ ГРАЖДАНСКИХ СЛУЖАЩИХ РОССИЙСКОЙ ИМПЕРИИ // Актуальные проблемы российского права. 2021. №5 (126)
  3. Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications) .: Official Journal L 201 , 31/07/2002 P. 0037 – 0047
  4. Purkayastha, Debapratim, Qumer, S. M. and Koti, Vinodbabu (2018). "Ashley Madison Hacking and the Ethics of Hacktivism". www.icmrindia.org. Retrieved July 7,2020.
  5. Tripp’s Privacy Act suits settled for $595,000 .: The Reporters Committee for Freedom of the Press, November 4
  6. Parliamentary Assembly Origin - Assembly Debate on 31st January 1968 (16th Sitting) (see 2326, report of the Legal Committee). Text adopted by the Assembly on 31st January 1968 (16th Sitting).
  7. Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data .: Official Journal L 281 , 23/11/1995 P. 0031 – 0050