Как фирме собирать и хранить персональные данные, чтобы не платить миллионы за нарушение ЗоПД
23.10.2023 распечататьСобирать… Хранить… Так и представляется корзинка, грибы. Вкусно, полезно, питательно. Но если набрать «не тех», можно сильно отравиться. Если неправильно приготовить вполне съедобные грибы – тоже. Такие во аналогии. За неосторожное обращение с персональными данными бизнесу может грозить штраф. Мало не допускать утечек информации, нужно правильно собирать и хранить такие сведения.
В законодательстве предусмотрены разные нарушения ЗоПД, за которые следуют финансовые санкции.
Юристы среди самых частых нарушений называет такие:
нет согласия на обработку персональных данных;
нет политики обработки таких сведений;
Роскомнадзору не сообщили о намерении обрабатывать ПД или данные в уведомлении расходятся с реальными процессами.
Обратите внимание
Если компании не будет сообщать о намерении проводить трансграничную передачу ПД, то это тоже станет довольно частым нарушением в ближайшей практике, предполагают юристы.
Удается ли оспорить штрафы?
Чаще всего штрафы оспаривают банки и IT-компании. Это достаточно крупные участники рынка, и они дорожат своей репутацией, а потому обжалуют даже незначительные суммы взысканий, например 30 000–60 000 руб.
Больше по теме
Сторонняя организация просит персданные работников. Когда нельзя отказать?
За утечки персданных компании смогут оштрафовать на 20 млн руб.
«Утекли» персданные клиентов крупного российского банка - почти 1 млн «жертв»
Введут новые многомиллионные штрафы. Для чиновников. За утечки данных с госресурсов
Но в подавляющем большинстве случаев штрафы оспорить не удается. Например, в 2021-м мировой судья оштрафовал Twitter, Facebook* и WhatsApp на 17; 15 и 4 млн руб. за отказ локализовать данные россиян на территории РФ. Таганский райсуд впоследствии «засилил» эти штрафы.
Обратите внимание
Практика показывает, что у компаний не так много шансов обжаловать штрафы. Лучше заранее принять меры, чтобы минимизировать риски финансовых санкций.
Как снизить риски штрафов
Для этого юристы , опрошенные Право.ru, рекомендует компаниям:
разработать документы, которые регламентируют обработку данных, например политику и локальные акты;
хранить данные в российской базе данных;
обеспечить правомерные основания обработки данных — получить согласия на обработку, заключить договоры;
принимать меры по защите данных — ограничить доступ, использовать средства компьютерной защиты
.
«Личное. Но ничего лишнего». Какие данные нужны бизнесу
Чтобы уменьшить вероятность получить штраф, важно также определить, зачем бизнесу нужны персданные.
По закону оператор (компания, которая обрабатывает ПД) обязан собирать данные в соответствии с целями их обработки.
Он не должен требовать избыточную информацию.
Обратите внимание
Для начала стоит получить согласие на обработку данных. Не стоит запрашивать лишние сведения. Например, салону красоты ни к чему информация о месте работы или образовании клиентов. Такие требования можно признать незаконными. Еще важно разработать четкую и доступную политику обработки персданных. Документ должен быть понятен обычным людям.
Чрезмерность в этом плане определяется по отношению к целям обработки ПД. Например, как уже отмечено,если салон красоты собирает информацию о месте работы, образовании и источниках дохода клиентов, очевидно, в этом нет необходимости.
А в деле № А60-24551/2021 кассация признала незаконным требование ресурсоснабжающей компании к клиенту представить паспорт, чтобы сделать перерасчет. Суд округа указал: по закону для этого не нужен паспорт, потому его запрос незаконный и избыточный.
Юристы выделяют несколько основных целей, для которых бизнес собирает ПД:
Оказание услуги. Например, для доставки товара потребителю, для связи с клиентом.
Маркетинг. ПД активно используют для эффективного продвижения товаров и услуг. Например, чтобы стимулировать новые продажи, рассылать рекламу, сообщать об акциях, скидках, новых поступлениях, реализовывать бонусную, накопительную программы, получать обратную связь.
Еще сбор ПД позволяет отслеживать покупки всех клиентов, а значит, анализировать потребительское поведение через анализ «больших данных» (big data).
Такой подход позволяет предлагать персонализированные скидки и акции и разрабатывать маркетинговую стратегию компании в целом.
Ну и конечно сбор и обработка персональных данных работников и кандидатов для приема на работу. Цели можно сформулировать более широко или же узко. Бизнес очень разный, поэтому общего универсального перечня типовых задач нет.
Обратите внимание
Объем необходимой информации зависит от цели обработки. В качестве первого «теста» оператор должен задать себе два вопроса: какие данные минимально необходимы для достижения данной цели и без каких данных мы точно можем обойтись.
При этом есть НПА, которые прямо обязывают оператора хранить определенный набор данных. Например, есть требования в области архивного хранения, в том числе по уволенным работникам, чтобы потом можно было предоставить сведения по запросам уполномоченных органов.
Стандартный набор ПД, необходимых бизнесу, — это те данные, которые позволяют идентифицировать клиентов, поддерживать с ними связь, производить доставку при необходимости и фиксируют их потребительскую активность.
Перечня персональных данных, который бы подходил каждой компании, нет, так как он зависит от целей сбора таких сведений.
С точки зрения практики, примерно понятен объем данных для работников. В него входят паспортные данные, сведения об образовании, ИНН, СНИЛС, информация, связанная с трудовой деятельностью.
Тем не менее все равно в разных компаниях могут быть отличия. Например, для отдельных направлений бизнеса обязательны медосмотры работников. Соответственно, эти данные тоже можно обрабатывать.
Обратите внимание
А если все клиентские отношения строятся на долгосрочном и дружеском взаимодействии, то компании могут собирать и данные о днях рождения контрагентов или их работников. Если компания подобрала надлежащее правовое основание, по закону это допустимо.
Бизнес может просить у субъектов нетипичную информацию, если это обосновано видом его работы.
Например фирма, которая оценивает персонал, может запрашивать сведения об образовании, роде деятельности, поле, возрасте и иных факторах, которые учитывает компания при анализе когнитивных способностей.
А медорганизация собирает информацию о состоянии здоровья пациентов. Однако их не может требовать любая другая компания.
Пример. Неправомерный сбор ПД
Компании, которые используют технологию «умный дом». Устройства собирают такие сведения, как время прихода домой, данные о местоположении. Подобная информация может формально подпадать под ПД и при этом собираться компаниями, например чтобы оказывать техподдержку.
А в европейской практике есть кейс, где работодатель обрабатывал данные о психологическом здоровье работников.
Его признали нарушителем, так как он использовал эти данные на основании договора, чтобы оценить прохождение испытательного срока. Но такие сведения не нужны для заявленной цели. Исполнение договора в этом случае — это ненадлежащее правовое основание.
Как правильно собирать и хранить ПД: позиции Роскомнадзора
1). Сократить перечень данных, которые компания собирает и обрабатывает.
2). Раздельно хранить различные данных разных групп, например клиентов, работников, соискателей.
3). Хранить идентификаторы человека — Ф. И. О., имейл, телефон, адрес и данные о взаимодействии с ним, например оказанных услугах, проданных товарах, переписки, договоры, — в разных базах данных.
4). Не копить ПД «на всякий случай». Своевременно уничтожать сведения, когда цель их обработки достигнута.
5). Использовать технические и программные средства, которые принадлежат оператору, чтобы обеспечить безопасность данных.
6). Своевременно сообщать РКН о потенциальных утечках персональных данных и уже состоявшихся.
7). Контролировать физический доступ к ПД.
8). Назначить ответственного за защиту данных и наделить его необходимыми полномочиями (рекомендации РКН операторам персональных данных).
Как составить политику обработки ПД
Чтобы структурировать сбор и обработку персональных данных, компании необходима политика обработки.
Более того, каждый оператор ПД обязан ее иметь. А компании, которые собирают такие сведения в интернете, должны по закону размещать политику на сайте.
Обратите внимание
Также документ поможет предупредить и риски назначения штрафов. Грамотно составленная политика позволяет правильно урегулировать вопрос сбора и обработки персональных данных. Компания будет ей следовать и избегать нарушений.
Тогда у субъектов персональных данных также будет куда меньше поводов жаловаться на компанию в РКН из-за неверно описанных процессов и излишнего сбора данных.
Обратите внимание
Подробная политика обработки ПД упрощает жизнь и работникам организации. Они понимают, как надо действовать в различных ситуациях. По сути, это в какой-то мере сценарий верного поведения.
Одна из практических целей политики — сообщить субъектам ПД, как их данные обрабатываются.
Хорошая политика должна отвечать на возможные вопросы среднестатистического пользователя.
Сведения стоит представлять в понятной неспециалисту и хорошо структурированной форме. Например, описывать цели обработки данных, их основания и конкретный состав в виде таблицы.
Можно оформить документ в две колонки. В одной будет полноценная формально-юридическая версия политики.
А во второй — краткое изложение простым языком.
P.S. В России документы в сфере защиты ПД необязательно должны быть понятными обычным людям, но это хорошая мировая практика, ориентированная на человека.
