Как собирать и хранить персональные данные: рекомендации бизнесу
Все чаще СМИ пишут о том, что компании штрафуют из-за разных нарушений закона «О персональных данных». В конце августа мировой судья судебного участка № 422 Таганского района Москвы Тимур Вахрамеев оштрафовал учебное агентство по дайвингу Scuba Schools International на 1 млн руб. за хранение персональных данных (ПД) россиян на зарубежных серверах. Компанию признали виновной по ч. 8 ст. 13.11 КоАП («Нарушение законодательства в области персональных данных»). Еще в том же месяце стало известно, что за нарушение Закона «О персональных данных» (ЗоПД) на 50 000 руб. оштрафовали и Telegram. В частности, за отказ компании удалить личные данные российских пользователей по требованию Роскомнадзора (РКН). В этом случае дело возбудили по ч. 5 все той же ст. 13.11 КоАП о невыполнении оператором требования уточнить неполные или незаконно полученные ПД.
Ответственность может грозить и за утечку таких сведений. Так, в начале сентября журналисты писали о том, что в сети появились данные порядка 1 млн клиентов МТС-банка. РКН сообщал «Интерфаксу», что проверяет эту информацию. РКН при проверке подтвердил, что из МТС-банка утекли данных почти миллиона клиентов. Ранее за утечки наказали другие фирмы. Так, в мае этого года VK получил штраф в 60 000 руб., а в апреле на такую же сумму оштрафовали «Ростелеком». Но привлечь к ответственности могут не только за утечки данных или их неправильное хранение. В законе предусмотрены разные нарушения ЗоПД, за которые следуют финансовые санкции.
Владислав Елтовский, глава практики цифрового права SEAMLESS Legal, среди самых частых нарушений называет такие:
нет согласия на обработку персональных данных;нет политики обработки таких сведений;Роскомнадзору не сообщили о намерении обрабатывать ПД или данные в уведомлении расходятся с реальными процессами.Елтовский предполагает, что если компании не будет сообщать о намерении проводить трансграничную передачу ПД, то это тоже станет довольно частым нарушением в ближайшей практике.
Чаще всего штрафы оспаривают банки и IT-компании, рассказывает Анастасия Сивицкая, адвокат, советник Orchards Это достаточно крупные участники рынка, и они дорожат своей репутацией, а потому обжалуют даже незначительные суммы взысканий, например 30 000–60 000 руб., объясняет эксперт. Но в подавляющем большинстве случаев штрафы оспорить не удается, говорит Сивицкая. Например, в 2021-м мировой судья оштрафовал Twitter, Facebook* и WhatsApp на 17; 15 и 4 млн руб. за отказ локализовать данные россиян на территории РФ. Таганский райсуд впоследствии «засилил» эти штрафы.
Практика показывает, что у компаний не так много шансов обжаловать штрафы. Лучше заранее принять меры, чтобы минимизировать риски финансовых санкций, говорит Дарья Куклина, юрист Косенков и Суворов
Для этого Куклина рекомендует компаниям:
✔ Разработать документы, которые регламентируют обработку данных, например политику и локальные акты.
✔ Хранить данные в российской базе данных.
✔ Обеспечить правомерные основания обработки данных — получить согласия на обработку, заключить договоры.
✔ Принимать меры по защите данных — ограничить доступ, использовать средства компьютерной защиты.
Какие данные нужны бизнесу
Чтобы уменьшить вероятность получить штраф, важно также определить, зачем бизнесу нужны персданные. По закону оператор (компания, которая обрабатывает ПД) обязан собирать данные в соответствии с целями их обработки. Он не должен требовать избыточную информацию. Чрезмерность в этом плане определяется по отношению к целям обработки ПД, объясняет Сивицкая. Например, если салон красоты собирает информацию о месте работы, образовании и источниках дохода клиентов, очевидно, в этом нет необходимости. А в деле № А60-24551/2021 кассация признала незаконным требование ресурсоснабжающей компании к клиенту представить паспорт, чтобы сделать перерасчет, делится практикой Николай Полуситов, старший юрист Де-юре Суд округа указал: по закону для этого не нужен паспорт, потому его запрос незаконный и избыточный.
Сивицкая выделяет несколько основных целей, для которых бизнес собирает ПД:
Оказание услуги. Например, для доставки товара потребителю, для связи с клиентом. Маркетинг. ПД активно используют для эффективного продвижения товаров и услуг. Например, чтобы стимулировать новые продажи, рассылать рекламу, сообщать об акциях, скидках, новых поступлениях, реализовывать бонусную, накопительную программы, получать обратную связь. Еще сбор ПД позволяет отслеживать покупки всех клиентов, а значит, анализировать потребительское поведение через анализ «больших данных» (big data). Такой подход позволяет предлагать персонализированные скидки и акции и разрабатывать маркетинговую стратегию компании в целом. Сбор и обработка персональных данных работников и кандидатов для приема на работу.Цели можно сформулировать более широко или же узко. Бизнес очень разный, поэтому общего универсального перечня типовых задач нет, объясняет Владислав Архипов, старший советник Denuo
Объем необходимой информации зависит от цели обработки. В качестве первого «теста» оператор должен задать себе два вопроса: какие данные минимально необходимы для достижения данной цели и без каких данных мы точно можем обойтись.
При этом есть НПА, которые прямо обязывают оператора хранить определенный набор данных. Например, есть требования в области архивного хранения, в том числе по уволенным работникам, чтобы потом можно было предоставить сведения по запросам уполномоченных органов, объясняет Архипов.
Стандартный набор ПД, необходимых бизнесу, — это те данные, которые позволяют идентифицировать клиентов, поддерживать с ними связь, производить доставку при необходимости и фиксируют их потребительскую активность.
Перечня персональных данных, который бы подходил каждой компании, нет, так как он зависит от целей сбора таких сведений. С точки зрения практики, примерно понятен объем данных для работников. В него входят паспортные данные, сведения об образовании, ИНН, СНИЛС, информация, связанная с трудовой деятельностью, говорит Елтовский. Тем не менее все равно в разных компаниях могут быть отличия. Например, для отдельных направлений бизнеса обязательны медосмотры работников. Соответственно, эти данные тоже можно обрабатывать, объясняет эксперт. А если все клиентские отношения строятся на долгосрочном и дружеском взаимодействии, то компании могут собирать и данные о днях рождения контрагентов или их работников, говорит Елтовский. Если компания подобрала надлежащее правовое основание, по закону это допустимо.
Бизнес может просить у субъектов нетипичную информацию, если это обосновано видом его работы, объясняет Куклина. Например фирма, которая оценивает персонал, может запрашивать сведения об образовании, роде деятельности, поле, возрасте и иных факторах, которые учитывает компания при анализе когнитивных способностей. А медорганизация собирает информацию о состоянии здоровья пациентов. Однако их не может требовать любая другая компания, говорит эксперт. Еще пример — компании, которые используют технологию «умный дом». Устройства собирают такие сведения, как время прихода домой, данные о местоположении. Подобная информация может формально подпадать под ПД и при этом собираться компаниями, например чтобы оказывать техподдержку, рассказывает Куклина.
А в европейской практике есть кейс, где работодатель обрабатывал данные о психологическом здоровье работников, рассказывает Елтовский. Его признали нарушителем, так как он использовал эти данные на основании договора, чтобы оценить прохождение испытательного срока. Но такие сведения не нужны для заявленной цели. Исполнение договора в этом случае — это ненадлежащее правовое основание.
✅ Сократить перечень данных, которые компания собирает и обрабатывает.
✅ Раздельно хранить различные данных разных групп, например клиентов, работников, соискателей.
✅ Хранить идентификаторы человека — Ф. И. О., имейл, телефон, адрес и данные о взаимодействии с ним, например оказанных услугах, проданных товарах, переписки, договоры, — в разных базах данных.
✅ Не копить ПД «на всякий случай». Своевременно уничтожать сведения, когда цель их обработки достигнута.
✅ Использовать технические и программные средства, которые принадлежат оператору, чтобы обеспечить безопасность данных.
✅ Своевременно сообщать РКН о потенциальных утечках персональных данных и уже состоявшихся.
✅ Контролировать физический доступ к ПД.
✅ Назначить ответственного за защиту данных и наделить его необходимыми полномочиями.
Рекомендации РКН операторам персональных данных
Как составить политику обработки ПД
Чтобы структурировать сбор и обработку персональных данных, компании необходима политика обработки. Более того, каждый оператор ПД обязан ее иметь. А компании, которые собирают такие сведения в интернете, должны по закону размещать политику на сайте. Также документ поможет предупредить и риски назначения штрафов. Грамотно составленная политика позволяет правильно урегулировать вопрос сбора и обработки персональных данных. Компания будет ей следовать и избегать нарушений. Тогда у субъектов персональных данных также будет куда меньше поводов жаловаться на компанию в РКН из-за неверно описанных процессов и излишнего сбора данных, объясняет Иван Кайсаров, руководитель практики IP Versus.legal
Подробная политика обработки ПД упрощает жизнь и работникам организации. Они понимают, как надо действовать в различных ситуациях. По сути, это в какой-то мере сценарий верного поведения.
Одна из практических целей политики — сообщить субъектам ПД, как их данные обрабатываются, отмечает Архипов. Хорошая политика должна отвечать на возможные вопросы среднестатистического пользователя. Сведения стоит представлять в понятной неспециалисту и хорошо структурированной форме, рекомендует эксперт. Например, описывать цели обработки данных, их основания и конкретный состав в виде таблицы. Архипов рассказывает, что можно оформить документ в две колонки. В одной будет полноценная формально-юридическая версия политики. А во второй — краткое изложение простым языком. В России документы в сфере защиты ПД необязательно должны быть понятными обычным людям, но это хорошая мировая практика, ориентированная на человека, отмечает эксперт.
* Принадлежат Meta, которая признана экстремистской организацией и запрещена в РФ.