Как собирать и хранить персональные данные: рекомендации бизнесу
Иллюстрация: Midjourney.com/Право.ru/Петр Козлов
За неосторожное обращение с персональными данными бизнесу может грозить штраф. Мало не допускать утечек информации, нужно правильно собирать и хранить такие сведения. Для начала стоит получить согласие на обработку данных. Эксперты говорят: не стоит запрашивать лишние сведения. Например, салону красоты ни к чему информация о месте работы или образовании клиентов. Такие требования можно признать незаконными. Еще, по словам юристов, важно разработать четкую и доступную политику обработки персданных. Документ должен быть понятен обычным людям.
Все чаще СМИ пишут о том, что компании штрафуют из-за разных нарушений закона «О персональных данных». В конце августа мировой судья судебного участка № 422 Таганского района Москвы Тимур Вахрамеев оштрафовал учебное агентство по дайвингу Scuba Schools International на 1 млн руб. за хранение персональных данных (ПД) россиян на зарубежных серверах. Компанию признали виновной по ч. 8 ст. 13.11 КоАП («Нарушение законодательства в области персональных данных»). Еще в том же месяце стало известно, что за нарушение Закона «О персональных данных» (ЗоПД) на 50 000 руб. оштрафовали и Telegram. В частности, за отказ компании удалить личные данные российских пользователей по требованию Роскомнадзора (РКН). В этом случае дело возбудили по ч. 5 все той же ст. 13.11 КоАП о невыполнении оператором требования уточнить неполные или незаконно полученные ПД.
Ответственность может грозить и за утечку таких сведений. Так, в начале сентября журналисты писали о том, что в сети появились данные порядка 1 млн клиентов МТС-банка. РКН сообщал «Интерфаксу», что проверяет эту информацию. РКН при проверке подтвердил, что из МТС-банка утекли данных почти миллиона клиентов. Ранее за утечки наказали другие фирмы. Так, в мае этого года VK получил штраф в 60 000 руб., а в апреле на такую же сумму оштрафовали «Ростелеком». Но привлечь к ответственности могут не только за утечки данных или их неправильное хранение. В законе предусмотрены разные нарушения ЗоПД, за которые следуют финансовые санкции.
Владислав Елтовский, глава практики цифрового права SEAMLESS Legal
SEAMLESS Legal
Федеральный рейтинг.
группа
Ритейл, FMCG, общественное питание
группа
Страховое право
группа
Финансовое/Банковское право
группа
АПК и сельское хозяйство
группа
Антимонопольное право (включая споры)
группа
Интеллектуальная собственность (Консалтинг)
группа
Интеллектуальная собственность (Регистрация)
группа
Корпоративное право/Слияния и поглощения (mid market)
группа
Санкционное право
группа
ТМТ (телекоммуникации, медиа и технологии)
группа
Трудовое и миграционное право (включая споры)
группа
Фармацевтика и здравоохранение
группа
Цифровая экономика
группа
Экологическое право
группа
Арбитражное судопроизводство (крупные коммерческие споры - high market)
группа
Интеллектуальная собственность (Защита прав и судебные споры)
группа
Частный капитал
×
, среди самых частых нарушений называет такие:
- нет согласия на обработку персональных данных;
- нет политики обработки таких сведений;
- Роскомнадзору не сообщили о намерении обрабатывать ПД или данные в уведомлении расходятся с реальными процессами.
Елтовский предполагает, что если компании не будет сообщать о намерении проводить трансграничную передачу ПД, то это тоже станет довольно частым нарушением в ближайшей практике.
Чаще всего штрафы оспаривают банки и IT-компании, рассказывает Анастасия Сивицкая, адвокат, советник Orchards
Orchards
Федеральный рейтинг.
группа
Арбитражное судопроизводство (корпоративные споры)
группа
Арбитражное судопроизводство (крупные коммерческие споры - high market)
группа
Разрешение споров в судах общей юрисдикции
группа
ТМТ (телекоммуникации, медиа и технологии)
группа
Экологическое право
группа
Антимонопольное право (включая споры)
группа
Банкротство (реструктуризация и консалтинг)
группа
Банкротство (споры high market)
группа
Интеллектуальная собственность (Консалтинг)
группа
Недвижимость, земля, строительство
группа
Фармацевтика и здравоохранение
группа
Частный капитал
Профайл компании
×
Это достаточно крупные участники рынка, и они дорожат своей репутацией, а потому обжалуют даже незначительные суммы взысканий, например 30 000–60 000 руб., объясняет эксперт. Но в подавляющем большинстве случаев штрафы оспорить не удается, говорит Сивицкая. Например, в 2021-м мировой судья оштрафовал Twitter, Facebook* и WhatsApp на 17; 15 и 4 млн руб. за отказ локализовать данные россиян на территории РФ. Таганский райсуд впоследствии «засилил» эти штрафы.
Практика показывает, что у компаний не так много шансов обжаловать штрафы. Лучше заранее принять меры, чтобы минимизировать риски финансовых санкций, говорит Дарья Куклина, юрист Косенков и Суворов
Косенков и Суворов
Федеральный рейтинг.
группа
Цифровая экономика
группа
Арбитражное судопроизводство (средние и малые коммерческие споры - mid market)
группа
Интеллектуальная собственность (Защита прав и судебные споры)
группа
Разрешение споров в судах общей юрисдикции
группа
Ритейл, FMCG, общественное питание
группа
Интеллектуальная собственность (Консалтинг)
группа
Корпоративное право/Слияния и поглощения (high market)
Профайл компании
×
Как снизить риски штрафов
Для этого Куклина рекомендует компаниям:
✔ Разработать документы, которые регламентируют обработку данных, например политику и локальные акты.
✔ Хранить данные в российской базе данных.
✔ Обеспечить правомерные основания обработки данных — получить согласия на обработку, заключить договоры.
✔ Принимать меры по защите данных — ограничить доступ, использовать средства компьютерной защиты.
Какие данные нужны бизнесу
Чтобы уменьшить вероятность получить штраф, важно также определить, зачем бизнесу нужны персданные. По закону оператор (компания, которая обрабатывает ПД) обязан собирать данные в соответствии с целями их обработки. Он не должен требовать избыточную информацию. Чрезмерность в этом плане определяется по отношению к целям обработки ПД, объясняет Сивицкая. Например, если салон красоты собирает информацию о месте работы, образовании и источниках дохода клиентов, очевидно, в этом нет необходимости. А в деле № А60-24551/2021 кассация признала незаконным требование ресурсоснабжающей компании к клиенту представить паспорт, чтобы сделать перерасчет, делится практикой Николай Полуситов, старший юрист Бюро адвокатов «Де-юре»
Бюро адвокатов «Де-юре»
Федеральный рейтинг.
группа
Арбитражное судопроизводство (средние и малые коммерческие споры - mid market)
группа
Банкротство (споры mid market)
группа
Разрешение споров в судах общей юрисдикции
группа
Банкротство (реструктуризация и консалтинг)
группа
Семейное и наследственное право
группа
Уголовное право
группа
Природные ресурсы/Энергетика
группа
Недвижимость, земля, строительство
11место
По количеству юристов
19место
По выручке
22место
По выручке на юриста
Профайл компании
×
Суд округа указал: по закону для этого не нужен паспорт, потому его запрос незаконный и избыточный.
Сивицкая выделяет несколько основных целей, для которых бизнес собирает ПД:
- Оказание услуги. Например, для доставки товара потребителю, для связи с клиентом.
- Маркетинг. ПД активно используют для эффективного продвижения товаров и услуг. Например, чтобы стимулировать новые продажи, рассылать рекламу, сообщать об акциях, скидках, новых поступлениях, реализовывать бонусную, накопительную программы, получать обратную связь. Еще сбор ПД позволяет отслеживать покупки всех клиентов, а значит, анализировать потребительское поведение через анализ «больших данных» (big data). Такой подход позволяет предлагать персонализированные скидки и акции и разрабатывать маркетинговую стратегию компании в целом.
- Сбор и обработка персональных данных работников и кандидатов для приема на работу.
Цели можно сформулировать более широко или же узко. Бизнес очень разный, поэтому общего универсального перечня типовых задач нет, объясняет Владислав Архипов, старший советник Denuo
Denuo
Федеральный рейтинг.
группа
АПК и сельское хозяйство
группа
Комплаенс
группа
Международный арбитраж
группа
Недвижимость, земля, строительство
группа
Ритейл, FMCG, общественное питание
группа
Рынки капиталов
группа
Транспортное право
группа
Частный капитал
группа
Антимонопольное право (включая споры)
группа
ВЭД/Таможенное право и валютное регулирование
группа
ГЧП/Инфраструктурные проекты
группа
Интеллектуальная собственность (Консалтинг)
группа
Интеллектуальная собственность (Регистрация)
группа
Корпоративное право/Слияния и поглощения (high market)
группа
Морское право
группа
Налоговое консультирование и споры (Налоговое консультирование)
группа
Природные ресурсы/Энергетика
группа
Санкционное право
группа
ТМТ (телекоммуникации, медиа и технологии)
группа
Трудовое и миграционное право (включая споры)
группа
Финансовое/Банковское право
группа
Интеллектуальная собственность (Защита прав и судебные споры)
группа
Арбитражное судопроизводство (крупные коммерческие споры - high market)
Профайл компании
×
Объем необходимой информации зависит от цели обработки. В качестве первого «теста» оператор должен задать себе два вопроса: какие данные минимально необходимы для достижения данной цели и без каких данных мы точно можем обойтись.
При этом есть НПА, которые прямо обязывают оператора хранить определенный набор данных. Например, есть требования в области архивного хранения, в том числе по уволенным работникам, чтобы потом можно было предоставить сведения по запросам уполномоченных органов, объясняет Архипов.
Стандартный набор ПД, необходимых бизнесу, — это те данные, которые позволяют идентифицировать клиентов, поддерживать с ними связь, производить доставку при необходимости и фиксируют их потребительскую активность.
Перечня персональных данных, который бы подходил каждой компании, нет, так как он зависит от целей сбора таких сведений. С точки зрения практики, примерно понятен объем данных для работников. В него входят паспортные данные, сведения об образовании, ИНН, СНИЛС, информация, связанная с трудовой деятельностью, говорит Елтовский. Тем не менее все равно в разных компаниях могут быть отличия. Например, для отдельных направлений бизнеса обязательны медосмотры работников. Соответственно, эти данные тоже можно обрабатывать, объясняет эксперт. А если все клиентские отношения строятся на долгосрочном и дружеском взаимодействии, то компании могут собирать и данные о днях рождения контрагентов или их работников, говорит Елтовский. Если компания подобрала надлежащее правовое основание, по закону это допустимо.
Бизнес может просить у субъектов нетипичную информацию, если это обосновано видом его работы, объясняет Куклина. Например фирма, которая оценивает персонал, может запрашивать сведения об образовании, роде деятельности, поле, возрасте и иных факторах, которые учитывает компания при анализе когнитивных способностей. А медорганизация собирает информацию о состоянии здоровья пациентов. Однако их не может требовать любая другая компания, говорит эксперт. Еще пример — компании, которые используют технологию «умный дом». Устройства собирают такие сведения, как время прихода домой, данные о местоположении. Подобная информация может формально подпадать под ПД и при этом собираться компаниями, например чтобы оказывать техподдержку, рассказывает Куклина.
А в европейской практике есть кейс, где работодатель обрабатывал данные о психологическом здоровье работников, рассказывает Елтовский. Его признали нарушителем, так как он использовал эти данные на основании договора, чтобы оценить прохождение испытательного срока. Но такие сведения не нужны для заявленной цели. Исполнение договора в этом случае — это ненадлежащее правовое основание.
Как правильно собирать и хранить ПД: позиции Роскомнадзора
✅ Сократить перечень данных, которые компания собирает и обрабатывает.
✅ Раздельно хранить различные данных разных групп, например клиентов, работников, соискателей.
✅ Хранить идентификаторы человека — Ф. И. О., имейл, телефон, адрес и данные о взаимодействии с ним, например оказанных услугах, проданных товарах, переписки, договоры, — в разных базах данных.
✅ Не копить ПД «на всякий случай». Своевременно уничтожать сведения, когда цель их обработки достигнута.
✅ Использовать технические и программные средства, которые принадлежат оператору, чтобы обеспечить безопасность данных.
✅ Своевременно сообщать РКН о потенциальных утечках персональных данных и уже состоявшихся.
✅ Контролировать физический доступ к ПД.
✅ Назначить ответственного за защиту данных и наделить его необходимыми полномочиями.
Рекомендации РКН операторам персональных данных
Как составить политику обработки ПД
Чтобы структурировать сбор и обработку персональных данных, компании необходима политика обработки. Более того, каждый оператор ПД обязан ее иметь. А компании, которые собирают такие сведения в интернете, должны по закону размещать политику на сайте. Также документ поможет предупредить и риски назначения штрафов. Грамотно составленная политика позволяет правильно урегулировать вопрос сбора и обработки персональных данных. Компания будет ей следовать и избегать нарушений. Тогда у субъектов персональных данных также будет куда меньше поводов жаловаться на компанию в РКН из-за неверно описанных процессов и излишнего сбора данных, объясняет Иван Кайсаров, руководитель практики IP Versus.legal
Versus.legal
Федеральный рейтинг.
группа
ГЧП/Инфраструктурные проекты
группа
Интеллектуальная собственность (Регистрация)
группа
Интеллектуальная собственность (Защита прав и судебные споры)
группа
Экологическое право
группа
ВЭД/Таможенное право и валютное регулирование
группа
Интеллектуальная собственность (Консалтинг)
группа
Недвижимость, земля, строительство
группа
Ритейл, FMCG, общественное питание
группа
Цифровая экономика
группа
Арбитражное судопроизводство (крупные коммерческие споры - high market)
группа
Банкротство (споры mid market)
группа
Корпоративное право/Слияния и поглощения (mid market)
группа
Разрешение споров в судах общей юрисдикции
группа
ТМТ (телекоммуникации, медиа и технологии)
группа
Частный капитал
Профайл компании
×
Подробная политика обработки ПД упрощает жизнь и работникам организации. Они понимают, как надо действовать в различных ситуациях. По сути, это в какой-то мере сценарий верного поведения.
Одна из практических целей политики — сообщить субъектам ПД, как их данные обрабатываются, отмечает Архипов. Хорошая политика должна отвечать на возможные вопросы среднестатистического пользователя. Сведения стоит представлять в понятной неспециалисту и хорошо структурированной форме, рекомендует эксперт. Например, описывать цели обработки данных, их основания и конкретный состав в виде таблицы. Архипов рассказывает, что можно оформить документ в две колонки. В одной будет полноценная формально-юридическая версия политики. А во второй — краткое изложение простым языком. В России документы в сфере защиты ПД необязательно должны быть понятными обычным людям, но это хорошая мировая практика, ориентированная на человека, отмечает эксперт.
* Принадлежат Meta, которая признана экстремистской организацией и запрещена в РФ.