ПРАВО.ru
Практика
20 октября 2023, 10:30

Как собирать и хранить персональные данные: рекомендации бизнесу

Как собирать и хранить персональные данные: рекомендации бизнесу
За неосторожное обращение с персональными данными бизнесу может грозить штраф. Мало не допускать утечек информации, нужно правильно собирать и хранить такие сведения. Для начала стоит получить согласие на обработку данных. Эксперты говорят: не стоит запрашивать лишние сведения. Например, салону красоты ни к чему информация о месте работы или образовании клиентов. Такие требования можно признать незаконными. Еще, по словам юристов, важно разработать четкую и доступную политику обработки персданных. Документ должен быть понятен обычным людям.

Все чаще СМИ пишут о том, что компании штрафуют из-за разных нарушений закона «О персональных данных». В конце августа мировой судья судебного участка № 422 Таганского района Москвы Тимур Вахрамеев оштрафовал учебное агентство по дайвингу Scuba Schools International на 1 млн руб. за хранение персональных данных (ПД) россиян на зарубежных серверах. Компанию признали виновной по ч. 8 ст. 13.11 КоАП («Нарушение законодательства в области персональных данных»). Еще в том же месяце стало известно, что за нарушение Закона «О персональных данных» (ЗоПД) на 50 000 руб. оштрафовали и Telegram. В частности, за отказ компании удалить личные данные российских пользователей по требованию Роскомнадзора (РКН). В этом случае дело возбудили по ч. 5 все той же ст. 13.11 КоАП о невыполнении оператором требования уточнить неполные или незаконно полученные ПД. 

Ответственность может грозить и за утечку таких сведений. Так, в начале сентября журналисты писали о том, что в сети появились данные порядка 1 млн клиентов МТС-банка. РКН сообщал «Интерфаксу», что проверяет эту информацию. РКН при проверке подтвердил, что из МТС-банка утекли данных почти миллиона клиентов. Ранее за утечки наказали другие фирмы. Так, в мае этого года VK получил штраф в 60 000 руб., а в апреле на такую же сумму оштрафовали «Ростелеком». Но привлечь к ответственности могут не только за утечки данных или их неправильное хранение. В законе предусмотрены разные нарушения ЗоПД, за которые следуют финансовые санкции.

Владислав Елтовский, глава практики цифрового права SEAMLESS Legal (SL Legal) SEAMLESS Legal (SL Legal) Федеральный рейтинг. группа Защита персональных данных группа Страховое право группа Экологическое право группа Антимонопольное право группа Арбитражное судопроизводство (корпоративные споры) группа Арбитражное судопроизводство (средние и малые коммерческие споры: mid market) группа ВЭД/Таможенное право и валютное регулирование (валютное регулирование) группа ВЭД/Таможенное право и валютное регулирование (таможенное право) группа Интеллектуальная собственность (консультирование) группа Корпоративное право/Слияния и поглощения (high market) группа Недвижимость, земля, строительство (консультирование) группа Разрешение споров в судах общей юрисдикции группа Трудовое и миграционное право группа Фармацевтика и здравоохранение (фармацевтика) группа Цифровая экономика группа Международный арбитраж группа Частный капитал группа Налоговое консультирование и споры (консультирование) 4место По выручке на юриста 9место По выручке 18место По количеству юристов , среди самых частых нарушений называет такие: 

  • нет согласия на обработку персональных данных;
  • нет политики обработки таких сведений;
  • Роскомнадзору не сообщили о намерении обрабатывать ПД или данные в уведомлении расходятся с реальными процессами. 

Елтовский предполагает, что если компании не будет сообщать о намерении проводить трансграничную передачу ПД, то это тоже станет довольно частым нарушением в ближайшей практике.

Чаще всего штрафы оспаривают банки и IT-компании, рассказывает  Анастасия Сивицкая, адвокат, советник Orchards Orchards Федеральный рейтинг. группа Арбитражное судопроизводство (корпоративные споры) группа Арбитражное судопроизводство (крупные коммерческие споры: high market) группа Банкротство (споры mid market) группа Недвижимость, земля, строительство (споры) группа Разрешение споров в судах общей юрисдикции группа ТМТ (телекоммуникации, медиа и технологии) группа Экологическое право группа Антимонопольное право группа Интеллектуальная собственность (консультирование) группа Корпоративное право/Слияния и поглощения (mid market) группа Ритейл, FMCG, общественное питание группа Фармацевтика и здравоохранение (фармацевтика) группа Частный капитал Это достаточно крупные участники рынка, и они дорожат своей репутацией, а потому обжалуют даже незначительные суммы взысканий, например 30 000–60 000 руб., объясняет эксперт. Но в подавляющем большинстве случаев штрафы оспорить не удается, говорит Сивицкая. Например, в 2021-м мировой судья оштрафовал Twitter, Facebook* и WhatsApp на 17; 15 и 4 млн руб. за отказ локализовать данные россиян на территории РФ. Таганский райсуд впоследствии «засилил» эти штрафы.

Практика показывает, что у компаний не так много шансов обжаловать штрафы. Лучше заранее принять меры, чтобы минимизировать риски финансовых санкций, говорит Дарья Куклина, юрист Косенков и Суворов Косенков и Суворов Федеральный рейтинг. группа Цифровая экономика группа Арбитражное судопроизводство (средние и малые коммерческие споры: mid market) группа Интеллектуальная собственность (защита прав и судебные споры) группа Интеллектуальная собственность (консультирование) группа Разрешение споров в судах общей юрисдикции группа Ритейл, FMCG, общественное питание группа Корпоративное право/Слияния и поглощения (high market) Профайл компании


Как снизить риски штрафов

Для этого Куклина рекомендует компаниям:

✔ Разработать документы, которые регламентируют обработку данных, например политику и локальные акты.

✔ Хранить данные в российской базе данных.

✔ Обеспечить правомерные основания обработки данных — получить согласия на обработку, заключить договоры.

✔ Принимать меры по защите данных — ограничить доступ, использовать средства компьютерной защиты.

Какие данные нужны бизнесу

Чтобы уменьшить вероятность получить штраф, важно также определить, зачем бизнесу нужны персданные. По закону оператор (компания, которая обрабатывает ПД) обязан собирать данные в соответствии с целями их обработки. Он не должен требовать избыточную информацию. Чрезмерность в этом плане определяется по отношению к целям обработки ПД, объясняет Сивицкая. Например, если салон красоты собирает информацию о месте работы, образовании и источниках дохода клиентов, очевидно, в этом нет необходимости. А в деле № А60-24551/2021 кассация признала незаконным требование ресурсоснабжающей компании к клиенту представить паспорт, чтобы сделать перерасчет, делится практикой Николай Полуситов, старший юрист Бюро адвокатов «Де-юре» Бюро адвокатов «Де-юре» Федеральный рейтинг. группа Арбитражное судопроизводство (средние и малые коммерческие споры: mid market) группа Банкротство (споры mid market) группа Разрешение споров в судах общей юрисдикции группа Банкротство (реструктуризация и консультирование) группа Корпоративное право/Слияния и поглощения (mid market) группа Семейное и наследственное право группа Уголовное право группа Природные ресурсы/Энергетика группа Трудовое и миграционное право 14место По количеству юристов 20место По выручке на юриста 24место По выручке Профайл компании Суд округа указал: по закону для этого не нужен паспорт, потому его запрос незаконный и избыточный.

Сивицкая выделяет несколько основных целей, для которых бизнес собирает ПД: 

  • Оказание услуги. Например, для доставки товара потребителю, для связи с клиентом. 
  • Маркетинг. ПД активно используют для эффективного продвижения товаров и услуг. Например, чтобы стимулировать новые продажи, рассылать рекламу, сообщать об акциях, скидках, новых поступлениях, реализовывать бонусную, накопительную программы, получать обратную связь. Еще сбор ПД позволяет отслеживать покупки всех клиентов, а значит, анализировать потребительское поведение через анализ «больших данных» (big data). Такой подход позволяет предлагать персонализированные скидки и акции и разрабатывать маркетинговую стратегию компании в целом. 
  • Сбор и обработка персональных данных работников и кандидатов для приема на работу.

Цели можно сформулировать более широко или же узко. Бизнес очень разный, поэтому общего универсального перечня типовых задач нет, объясняет Владислав Архипов, старший советник Denuo Denuo Федеральный рейтинг. группа Антимонопольное право группа ГЧП/Инфраструктурные проекты группа Защита персональных данных группа Корпоративное право/Слияния и поглощения (high market) группа Недвижимость, земля, строительство (консультирование) группа Природные ресурсы/Энергетика группа Ритейл, FMCG, общественное питание группа Рынки капиталов группа Санкционное право группа Транспортное право группа ВЭД/Таможенное право и валютное регулирование (валютное регулирование) группа ВЭД/Таможенное право и валютное регулирование (таможенное право) группа Интеллектуальная собственность (консультирование) группа Интеллектуальная собственность (регистрация) группа Комплаенс группа Международный арбитраж группа Морское право группа Налоговое консультирование и споры (консультирование) группа ТМТ (телекоммуникации, медиа и технологии) группа Трудовое и миграционное право группа Финансовое/Банковское право группа Частный капитал группа Арбитражное судопроизводство (крупные коммерческие споры: high market) группа Интеллектуальная собственность (защита прав и судебные споры) Профайл компании

Объем необходимой информации зависит от цели обработки. В качестве первого «теста» оператор должен задать себе два вопроса: какие данные минимально необходимы для достижения данной цели и без каких данных мы точно можем обойтись.

Владислав Архипов

При этом есть НПА, которые прямо обязывают оператора хранить определенный набор данных. Например, есть требования в области архивного хранения, в том числе по уволенным работникам, чтобы потом можно было предоставить сведения по запросам уполномоченных  органов, объясняет Архипов. 

Стандартный набор ПД, необходимых бизнесу, — это те данные, которые позволяют идентифицировать клиентов, поддерживать с ними связь, производить доставку при необходимости и фиксируют их потребительскую активность.

Анастасия Свицкая

Перечня персональных данных, который бы подходил каждой компании, нет, так как он зависит от целей сбора таких сведений. С точки зрения практики, примерно понятен объем данных для работников. В него входят паспортные данные, сведения об образовании, ИНН, СНИЛС, информация, связанная с трудовой деятельностью, говорит Елтовский. Тем не менее все равно в разных компаниях могут быть отличия. Например, для отдельных направлений бизнеса обязательны медосмотры работников. Соответственно, эти данные тоже можно обрабатывать, объясняет эксперт. А если все клиентские отношения строятся на долгосрочном и дружеском взаимодействии, то компании могут собирать и данные о днях рождения контрагентов или их работников, говорит Елтовский. Если компания подобрала надлежащее правовое основание, по закону это допустимо.

Утекли персональные данные клиентов: что делать бизнесу

Бизнес может просить у субъектов нетипичную информацию, если это обосновано видом его работы, объясняет Куклина. Например фирма, которая оценивает персонал, может запрашивать сведения об образовании, роде деятельности, поле, возрасте и иных факторах, которые учитывает компания при анализе когнитивных способностей. А медорганизация собирает информацию о состоянии здоровья пациентов. Однако их не может требовать любая другая компания, говорит эксперт. Еще пример — компании, которые используют технологию «умный дом». Устройства собирают такие сведения, как время прихода домой, данные о местоположении. Подобная информация может формально подпадать под ПД и при этом собираться компаниями, например чтобы оказывать техподдержку, рассказывает Куклина.

А в европейской практике есть кейс, где работодатель обрабатывал данные о психологическом здоровье работников, рассказывает Елтовский. Его признали нарушителем, так как он использовал эти данные на основании договора, чтобы оценить прохождение испытательного срока. Но такие сведения не нужны для заявленной цели. Исполнение договора в этом случае — это ненадлежащее правовое основание.


Как правильно собирать и хранить ПД: позиции Роскомнадзора 

✅ Сократить перечень данных, которые компания собирает и обрабатывает.

✅ Раздельно хранить различные данных разных групп, например клиентов, работников, соискателей.

✅ Хранить идентификаторы человека — Ф. И. О., имейл, телефон, адрес и данные о взаимодействии с ним, например оказанных услугах, проданных товарах, переписки, договоры, — в разных базах данных.

✅ Не копить ПД «на всякий случай». Своевременно уничтожать сведения, когда цель их обработки достигнута.

✅ Использовать технические и программные средства, которые принадлежат оператору, чтобы обеспечить безопасность данных.

✅ Своевременно сообщать РКН о потенциальных утечках персональных данных и уже состоявшихся.

✅ Контролировать физический доступ к ПД.

✅ Назначить ответственного за защиту данных и наделить его необходимыми полномочиями.

Рекомендации РКН операторам персональных данных

Как составить политику обработки ПД

Чтобы структурировать сбор и обработку персональных данных, компании необходима политика обработки. Более того, каждый оператор ПД обязан ее иметь. А компании, которые собирают такие сведения в интернете, должны по закону размещать политику на сайте. Также документ поможет предупредить и риски назначения штрафов. Грамотно составленная политика позволяет правильно урегулировать вопрос сбора и обработки персональных данных. Компания будет ей следовать и избегать нарушений. Тогда у субъектов персональных данных также будет куда меньше поводов жаловаться на компанию в РКН из-за неверно описанных процессов и излишнего сбора данных, объясняет Иван Кайсаров, руководитель практики IP Versus.legal Versus.legal Федеральный рейтинг. группа ГЧП/Инфраструктурные проекты группа Интеллектуальная собственность (регистрация) группа Корпоративное право/Слияния и поглощения (mid market) группа Цифровая экономика группа ВЭД/Таможенное право и валютное регулирование (таможенное право) группа Интеллектуальная собственность (консультирование) группа Недвижимость, земля, строительство (консультирование) группа Семейное и наследственное право группа Финансовое/Банковское право группа Арбитражное судопроизводство (крупные коммерческие споры: high market) группа Интеллектуальная собственность (защита прав и судебные споры) группа Разрешение споров в судах общей юрисдикции группа Ритейл, FMCG, общественное питание группа Экологическое право группа Банкротство (споры mid market) группа Налоговое консультирование и споры (консультирование) группа ТМТ (телекоммуникации, медиа и технологии) 9место По количеству юристов 29место По выручке на юриста 32место По выручке Профайл компании

Подробная политика обработки ПД упрощает жизнь и работникам организации. Они понимают, как надо действовать в различных ситуациях. По сути, это в какой-то мере сценарий верного поведения. 

Иван Кайсаров

Одна из практических целей политики — сообщить субъектам ПД, как их данные обрабатываются, отмечает Архипов. Хорошая политика должна отвечать на возможные вопросы среднестатистического пользователя. Сведения стоит представлять в понятной неспециалисту и хорошо структурированной форме, рекомендует эксперт. Например, описывать цели обработки данных, их основания и конкретный состав в виде таблицы. Архипов рассказывает, что можно оформить документ в две колонки. В одной будет полноценная формально-юридическая версия политики. А во второй  — краткое изложение простым языком. В России документы в сфере защиты ПД необязательно должны быть понятными обычным людям, но это хорошая мировая практика, ориентированная на человека, отмечает эксперт. 

* Принадлежат Meta, которая признана экстремистской организацией и запрещена в РФ.