Персональные данные и принципы их обработки

Персональные данные — это любая информация, которая относится к прямо или косвенно определенному или определяемому физическому лицу. Иначе говоря, к персональным данным относится не только паспорт или адрес, но и любая совокупность сведений, по которой можно понять, о каком человеке идет речь. Для бизнеса это означает, что персональными данными могут быть, например, фамилия, имя, отчество, номер телефона, адрес электронной почты, дата рождения, адрес доставки, сведения о сотруднике, клиенте, подрядчике или кандидате на работу. Если компания собирает такие сведения через сайт, анкету, договор, мессенджер, CRM-систему или кадровые документы, она уже работает с персональными данными.

Под обработкой персональных данных понимается любое действие с ними: сбор, запись, систематизация, хранение, уточнение, использование, передача, обезличивание, блокирование, удаление и уничтожение. Сам факт получения анкеты, оформления заказа, хранения контактной базы или передачи данных бухгалтерии уже считается обработкой персональных данных. Лицо, которое осуществляет обработку персональных данных, называется оператором персональных данных.

Закон исходит из того, что обработка персональных данных должна быть законной, справедливой и понятной по своей цели. Нельзя собирать данные «на всякий случай», использовать их для целей, которые не были заранее определены, или запрашивать больше сведений, чем действительно нужно для конкретной задачи.

Основные принципы здесь просты:

• данные собираются для конкретной и законной цели;
• объем данных должен соответствовать этой цели и не быть избыточным;
• данные должны быть точными и при необходимости актуализироваться;
• хранить их можно не дольше, чем этого требует цель обработки;
• по достижении цели данные должны быть удалены, уничтожены или обезличены, если закон не требует иного.

Специальные категории персональных данных включают сведения о расовой и национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни и судимостях, а отдельную группу составляют биометрические данные — отпечатки пальцев, изображение лица для распознавания, образец голоса и иные физиологические характеристики, по которым можно однозначно идентифицировать человека. Закон устанавливает для таких данных особый режим: их обработка, как правило, допускается только при наличии отдельного письменного согласия, оформленного по строгим требованиям, а ответственность за нарушения порядка обработки и утечки существенно выше, чем для обычных персональных данных, поэтому использование специальных категорий и биометрии в модном ритейле не рекомендуется, если для бизнеса нет прямой и законодательно обоснованной необходимости работать с такой информацией.

Согласие на обработку и случаи, когда оно не требуется

Общее правило состоит в том, что обработка персональных данных допускается с согласия субъекта. Такое согласие должно быть конкретным, информированным и сознательным, а оператор обязан уметь подтвердить, что оно действительно было получено.

Однако закон предусматривает ситуации, когда отдельное согласие не требуется. Это касается случаев, когда обработка необходима для исполнения обязанностей, установленных законом, для заключения или исполнения договора с самим субъектом персональных данных, для защиты жизни и здоровья, для осуществления прав и законных интересов оператора при условии, что не нарушаются права и свободы человека, а также ряда иных прямо установленных законом случаев.

На практике это означает следующее: если покупатель оставляет данные для оформления и доставки заказа, отдельное согласие на обработку для исполнения самого договора обычно не требуется. Также не потребуется отдельное согласие на обработку персональных данных при регистрации личного кабинета или участии в программе лояльности, если объем и принципы обработки в достаточной мере описаны в документах, регулирующих порядок использования личного кабинета или программы лояльности соответственно. Но если те же данные планируется использовать еще и для рекламных рассылок, отдельное согласие уже необходимо, потому что это другая цель обработки.

Одно из самых частых нарушений — использование персональных данных в маркетинге для направления рекламных рассылок. Обработка данных в целях продвижения товаров, работ и услуг путем прямых контактов с человеком с помощью средств связи допускается только при наличии предварительного согласия. Такое согласие не может быть «вшито» в условия договора или быть частью оферты, от которой нельзя отказаться. Убедитесь, что согласие на получение рекламной рассылки выделено отдельным блоком в бумажном документе или оформлено отдельной галочкой на сайте компании.

Если компания не может доказать, что такое согласие было получено заранее, рассылка считается неправомерной. Поэтому обеспечьте техническую возможность фиксировать момент и способ предоставления согласия пользователем на получение рекламных рассылок.

По требованию человека такая обработка должна быть немедленно прекращена (отзыв согласия). Это правило относится не только к email-рассылкам, но и к сообщениям в мессенджерах, звонкам, SMS и иным каналам прямой коммуникации, если они используются для продвижения товаров и услуг. Обязательно предусмотрите техническую возможность отзыва согласия на своих ресурсах.

Персональные данные нельзя свободно передавать третьим лицам и тем более публиковать без законного основания. Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать их и не распространять без согласия субъекта, если иное прямо не предусмотрено законом.

Публикация политики обработки персональных данных

Если компания или предприниматель обрабатывают персональные данные, у них должна быть публичная и понятная политика в отношении обработки персональных данных. На практике это означает, что на сайте должна быть размещена отдельная политика (также может называться политика конфиденциальности или политика в отношении обработки персональных данных), с которой пользователь может ознакомиться до передачи своих данных.

Такая политика нужна не как формальность, а как объяснение правил работы с данными. В ней обычно раскрывают, кто именно обрабатывает данные, какие данные собираются, для каких целей это делается, на каком основании, кому данные могут передаваться, как долго они хранятся и каким образом человек может реализовать свои права.

Если сайт собирает заявки, оформляет заказы, принимает анкеты, использует формы обратной связи, личный кабинет, рассылки или интеграции с CRM, публикация такой политики является обязательной частью правомерной работы с персональными данными. За основу может быть взята разработанная нами политика:

За отсутствие опубликованной политики обработки персональных данных штрафуют по части 3 статьи 13.11 КоАП РФ как за неутверждение и неразмещение политики в открытом доступе.
По размерам штрафов за такое нарушение (первая фиксация):
для юридических лиц: от 30 000 до 60 000 рублей;
для индивидуальных предпринимателей: от 10 000 до 20 000 рублей.

На практике это почти всегда идет «в связке» с другими нарушениями в области персональных данных (отсутствие согласий, неправильная форма согласия, отсутствие уведомления в Роскомнадзор и т.п.), из‑за чего итоговая сумма по постановлению может быть выше.

Уведомление Роскомнадзора об обработке персональных данных

По общему правилу оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о намерении осуществлять такую обработку. Исключение составляет, в частности, обработка персональных данных без использования средств автоматизации в строго ограниченных законом случаях, однако в современной практике большинство бизнес‑процессов так или иначе связаны с автоматизированными системами, и на это исключение безопаснее не рассчитывать. Это означает, что обязанность возникает не после запуска бизнеса и не после первой жалобы, а еще до начала фактического сбора и использования персональных данных.

Подать уведомление можно в письменной форме либо в электронной форме через портал персональных данных Роскомнадзора. После подачи сведений оператор включается в реестр операторов персональных данных, который ведет Роскомнадзор.

Для бизнеса практический вывод простой: если компания ведет кадровый учет, хранит базу клиентов, принимает заявки через сайт, использует CRM, мессенджеры, формы обратной связи или рассылки, она, как правило, является оператором персональных данных и должна не только оформить внутренние документы и политику, но и своевременно уведомить Роскомнадзор. Именно с этого и начинается законная работа с персональными данными.

За неподачу уведомления в Роскомнадзор предусмотрен штраф до 300 000 рублей для ИП и юридических лиц.