Персональные данные 101: обрабатываем без нарушения закона

Из этой статьи вы узнаете почему вопросы обработки персональных данных затрагивают любую компанию, и какие шаги нужно предпринять, чтобы решить проблемы с правовой точки зрения

Для того, чтобы сформировать подход к обработке ПД в вашей компании или проекте, сначала нужно познакомиться с базовыми элементами обработки ПД.

Персональными данными по смыслу Федерального закона «О персональных данных» (Закон) является любая информация о конкретном человеке, будь то ФИО, профессия, номера его документов, cookies, геопозиция, предпочтения (статья 3). Категорий персональных данных существует очень много.

Компания, обрабатывающая персональные данные, является «оператором персональных данных» по смыслу Закона. Почти все требования Закона обращены именно к ним. Поэтому здесь и далее: компания = оператор.

В свою очередь люди, чьи данные обрабатываются оператором, называются в Законе «субъектами персональных данных».

Любые действия с ПД, будь то сбор, запись, хранение, передача и прочие сами по себе уже являются обработкой.

Каждая компания обрабатывает ПД своих работников и поэтому вовлечена как минимум в один процесс обработки. Поэтому требования по защите ПД распространяются на любую компанию. Можно сказать, что риски нарушения требований в сфере обработки ПД возникают от момента создания компании.

Особое внимание обработке ПД должны уделять компании сектора B2C, IT-сервисы, digital, так как зачастую они имеют большую пользовательскую/клиентскую базу и множество потоков различных данных. По мере расширения бизнеса процессы обработки персональных данных усложняются.

Основная задача Закона – защитить права граждан на их данные. Бизнес не может обрабатывать ПД своевольно и для своей выгоды, поэтому для законности обработки компании обязаны обеспечить законное основание (legal basis). Главными среди них являются исполнение договора перед субъектом персональных данных, согласие субъекта на обработку.

Если данные собираются для заключения и исполнения договора с клиентом, это само по себе является основанием. Например, для вступления в программу лояльности клиент предоставляет данные о себе и о своих покупках для начисления баллов по договору программы лояльности (оферте) и предоставления персональных предложений. Отдельное согласие на такие данные не требуется. Не стоит при этом собирать излишние данные, поскольку по принципу минимизации данных объем ПД должен определяться целями обработки. Объем собираемых данных не должен быть избыточным.

Сбор согласий является как правило основной мерой обеспечения законности обработки. Жесткий подход Роскомнадзора заставляет операторов придерживаться практики сбора нескольких согласий – по одному на каждую группу целей. Полноценное согласие предоставляется в письменном виде, поскольку именно так оператор может проинформировать субъекта в достаточной степени. Оператор обязан хранить согласия, чтобы в случае претензий или проверки Роскомнадзором доказать их получение.

В Интернете вместо подписи рабочим способом сбора согласий является поле «галочки» после текста согласия (checkbox), которое можно включить в политику конфиденциальности. Помимо письменного согласия на практике распространено выражение согласия в устной форме. Однако в этом случае оператор должен позаботиться о записи и хранении таких согласий.

Согласие должно быть выражено добровольно, то есть активно со стороны субъекта. Предустановленные галочки (opt-out), либо «молчаливое согласие» нарушают этот принцип и могут повлечь для оператора ответственность за нарушение прав субъектов ПД.

Согласие так же должно быть информированным, поэтому оператор должен включить в формы согласий информацию, разъяснение таких понятий как «персональные данные», «обработка персональных данных», и «трансграничная передача персональных данных» (если уместно).

В формы согласий должны быть включены следующие сведения:

– ФИО и адрес субъекта ПД (гражданина), данные паспорта;

– наименование компании, получающей согласие субъекта ПД;

– цель обработки ПД;

– перечень ПД, на обработку которых дается согласие;

– перечень действий с ПД, на совершение которых дается согласие, описание способов обработки;

– срок согласия и способ отзыва согласия;

– другие данные, в зависимости от особенностей обработки.

Из содержания согласия можно увидеть, что в любой обработке персональных данных должны быть определены цели обработки, срок обработки, перечень категорий ПД, действия с ПД и другие параметры. Все это следует отражать в руководящих, информирующих и прочих документах, относящихся к ПД.

В каждой компании имеется разный объем процессов обработки ПД, самих данных, типов субъектов и других характеристик. То есть в разных компаниях система обработки ПД может быть по-своему уникальна и иметь разную степень соответствия/несоответствия.

Выявление и оценка процессов обработки является первым шагом на пути к налаживанию процессов обработки ПД. Выявляются подразделения (HR, маркетинг и т.д.) и работники компании, вовлеченные в обработку ПД, потоки передачи и получения ПД (иностранные представительства компании, контрагенты, IT-сервисы, другие сторонние сервисы и т.д.).

Для каждого подразделения или бизнес-процесса непосредственно определяются категории ПД, цели их обработки, операции, основания, условия, специфика.

От оценки процессов зависит постановка задач по приведению всей системы обработки ПД в соответствие с требованиями Закона и другими актами. Результатом налаживания системы обработки ПД становится снижение рисков назначения штрафов и других санкций, а также повышение ценности самого бизнеса на рынке (в частности, в глазах потенциального инвестора).

Основные риски при работе с ПД включают в себя:

– избыточность – обрабатываемых данных и сроков обработки,

– отсутствие в компании правовой базы в виде необходимых корпоративных документов,

– обработка без правовых оснований,

– отсутствие размещенной на сайте/в приложении политики конфиденциальности,

– неверно определенные цели, основания, сроки обработки,

– непринятие мер для сохранности ПД, либо отсутствие контроля принимаемых мер,

– отсутствие мест хранения ПД и перечня лиц, имеющих доступ к ПД,

– незаконная передача.

Проверки и дела по рассмотрению нарушений могут последовать из жалоб и претензий граждан и внимания самого Роскомнадзора.

Основная угроза, возникающая вследствие нарушения правил – это штрафы. Размер штрафов увеличился в связи с недавними изменениями (в 2017 и 2019 году) и теперь варьируется от 3000 до 18 000 000 рублей, в зависимости от нарушения. Поскольку нарушений одного рода может быть несколько за раз, Роскомнадзор может наложить несколько штрафов за каждый факт нарушения, что многократно увеличит убытки.

В статье 13.11 КоАП РФ предусмотрены следующие штрафы:

– Обработка ПД без правового основания, либо несовместимая с целями сбора ПД – от 30 до 50 тыс. рублей для юридических лиц.

– Обработка без согласия лица, где это согласие было необходимо – от 15 до 75 тыс. рублей для юридических лиц.

– Отсутствие политики обработки персональных данных на сайте – от 15 до 30 тыс. рублей для юридических лиц; от 5 до 10 тыс. рублей для ИП.

– Невыполнения требования субъекта ПД о предоставлении информации об обработке его ПД - от 20 до 40 тыс. рублей для юридических лиц; от 10 до 15 тыс. рублей для ИП.

– Невыполнение требования субъекта об изменении/удалении ПД – от 25 до 45 тыс. рублей для юридических лиц.

– Непринятие мер по сохранности ПД вне информационных систем (например, бумажные. бланки) привело к несанкционированному доступу к ПД – от 25 до 50 тыс. рублей для юридических лиц.

– Невыполнение требования по локализации ПД – от 1 до 6 млн. рублей для юридических лиц (до 18 млн. – повторное).

А также:

– Непредоставление сведений в Роскомнадзор – от 3 до 5 тыс. рублей для юридических лиц.

Цель мероприятий по приведении системы обработки в соответствие – предотвратить негативные последствия для компании. Для этого компания должна добросовестно выполнять все обязанности оператора, внедрять и налаживать необходимые процессы.

Наилучшей практикой здесь будет соблюдение принципа “privacy by design”, соблюдение которого необходимо в Европе для соответствия GDPR. Смысл данного принципа в том, чтобы компании еще перед созданием продукта учитывали возможные риски для приватности и избегали еще на этапе проектирования продукта. На этапе проектирования, когда продукт еще не разработан, гораздо легче добиться результатов и разработать целостную систему обработки, чем имея дело с уже внедренными продуктами или процессами.

Какие шаги должна предпринять компания для соответствия требованиям?

- Провести аудит (оценку) процессов обработки ПД.

- Прежде всего компания, как оператор, должна подготовить и направить уведомление в Роскомнадзор по специальной форме, в которой указывается подробная информация об операторе (информационные системы, цели, меры, основания и т.д.).

– Политику обработки персональных данных следует разместить на сайте. Закон 152 содержит прямое требование о размещении политики в открытых источниках.

– Для многих процессов компании требуется сбор согласий с большого количества людей (будь то клиент или работник). Поэтому, нужно разработать отдельные формы согласий для каждого процесса, где требуется сбор согласий.

– Утвердить Положение об обработке персональных данных в компании. Мастер-документ и основной корпоративный акт, в котором собрана вся правовая информация о системе обработки персональных данных в компании, правила и принципы обработки.

– Необходимо сформировать реестр данных для учета всех категорий ПД в компании и их характеристик, чтобы можно было с ними работать внутри компании и представить Роскомнадзору в случае проверки.

– Назначить ответственного за обработку ПД в компании.

– Внедрить комплекс технических и организационных мер (статья 19 Закона 152), предварительно провести оценку вреда, то есть угроз правам субъектов (статья 18.1 Закона 152).

– Помимо вышеуказанных основных актов в объем регулирования ПД входят так же договоры с другими компаниями о передаче ПД, об обработке ПД, либо отдельные положения о ПД в договорах, ознакомительные акты, должностная инструкция ответственного за обработку ПД в компании, акты хранения-уничтожения ПД, соответствующие приказы и другие.

Для формализации перечисленных шагов внутри компании следует организовать временную комиссию по приведению в соответствие требованиям законодательства в области персональных данных, разработать план. Комиссия будет отвечать за реализацию мероприятий от аудита до подписания актов и внедрения мер, а в последующем осуществлять внутренний контроль.

Логика большинства мероприятий диктуется напрямую Законом 152 и иными актами, однако некоторые необходимо реализовывать из практических соображений.

Сегодня мы с вами рассмотрели тему обработки ПД в общем. Расскажите в комментариях, о каких темах вам хотелось бы узнать поподробнее?

Если у вас остались вопросы по обработке персональных данных в компании, либо вам требуется юридическая помощь по персональным данным и IP, вы можете написать мне на почту: [email protected].

#ПДн #персональныеданные #IP #стартап #personaldata #Роскомнадзор #риски #152фз #152 #право #юрист #GDPR