Топ-10 мифов о персональных данных
С персональными данными связаны разные мифы. Согласно одним, Закон о персональных данных не работает и является формальностью. Другие гласят, что, выполнить все требования законов невозможно. В контексте недавнего повышение сумм штрафов за нарушения, связанные с ПДн, ситуация стала еще более неоднозначной.
В этой статье рассмотрим и развенчаем 10 самых популярных мифов о персональных данных.
Миф №1. Согласие на обработку ПДн нужно в любом случае
Закон о персональных данных предусматривает разные основания обработки ПДн.
Условия обработки (ст. 5 Закона о ПДн) можно объединить в группы:
согласие субъекта,
договор,
закон,
законный интерес
Самое популярное основание — согласие, однако, в большинстве случаев оно, как отдельное волеизъявление субъекта, не требуется. Можно даже сказать, что согласие — это последнее, что стоит использовать, когда никакое другое основание не подходит.
Более того, если согласие может быть отозвано, а обработка продолжена, то это даст повод задуматься — а для чего тогда изначально оно было нужно, если и без него можно работать с ПДн?
Миф №2. Скоро примут новый закон, и теперь точно-преточно нужно будет согласие на обработку ПДн
Речь идет о Законопроекте № 679980-8, который якобы вводит новую обязанность получать согласие на ПДн отдельно от других документов.
Законопроект добавляет в ст. 9 №152-ФЗ новое положение:
«Согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных».
Некоторые телеграм-каналы после внесения этого законопроекта написали, что теперь согласие нужно, даже если есть договор.
Однако, принципиально ничего не меняется. В Законопроекте просто отдельно отмечается, что такое согласие должно быть отдельным от других документов (политик, оферт и других документов).
Миф №3. Если есть договор, то никакое согласие не требуется
Это противоположный миф: если есть какой-то договор, то он покроет все случаи обработки персональных данных.
Например, если компания заключила с работником трудовой договор, то все его персональные данные обрабатываются в рамках закона.
Такой подход является некорректным, то есть необходимо проверять, соответствует ли случай обработки цели исполнения трудового договора.
Например:
Миф №4. Если на сайте нет личного кабинета и формы регистрации, то политика не нужна
Даже если посетителю сайта не нужно вносить никакие данные, все равно обрабатываются файлы cookies. С этим связан следующий миф.
Миф №5. Cookies — это не ПДн
Файлы cookies — это файлы, которые используются веб-серверами для идентификации пользователей и хранения данных о них.
Если в cookies попадают данные о лице, по которым его можно установить (никнейм пользователя, телефон, IP-адрес, адрес электронной почты и тд), то уже происходит сбор персональных данных.
Миф №6. Без галочек всё незаконно!
По факту пользователь должен согласиться не с политикой конфиденциальности, а дать свое согласие на обработку ПДн. Соглашаться с каждым документом необязательно — главное, подтвердить волеизъявление на обработку ПДн. А сделать это можно согласием на обработку персональных данных.
Требования к такому согласию устанавливаются в ст. 9 Закона о ПДн: оно должно быть конкретным, предметным, информированным, сознательным и однозначным. С этим взаимосвязан следующий миф.
Миф №7. Можно предустанавливать галочки на согласиях
Исходя из ст. 9 Закона о ПДн, субъект должен самостоятельно определить, согласен ли он на обработку своих ПДн на установленных условиях.
Предустановленная галочка по сути лишает его этого выбора, что является типичным дарк-паттерном.
Миф №8. Если нет сайта, то и политика не нужна
Даже если у компании нет сайта, она в любом случае взаимодействует с субъектами ПДн: находит кандидатов и проводит с ними собеседования, устраивает и увольняет работников, заключает договоры с контрагентами. Следовательно, является оператором ПДн.
Требование о наличии политики обработки ПДн предъявляется ко всем операторам. Отличаться будет только способ размещения: если в Интернете его надо выложить на каждую страницу сайта, где обрабатываются ПДн, то без сайта нужно обеспечить доступ к политике другими способами: например, в общей папке с документами компании, которая доступна всем сотрудникам.
Миф №9. Все ПДн можно хранить в одной базе и давать доступ всем сотрудникам
Доступ к конкретным ПДн должен быть только у тех, кому они нужны для исполнения трудовой функции. Например, если менеджер по продажам заключает договоры и ему нужны данные только генерального директора, то у него не должен быть доступ к базе ПДн всех работников компании.
Миф №10. Можно хранить персональные данные постоянно, а удалять только, когда субъект потребует
Персональные данные должны храниться не дольше, чем этого требуют цели их обработки ст. 7 Закона о ПДн. Иные конкретные сроки могут быть установлены в законе, либо цели обработки могут просто отпасть. В любом случае, бессрочно хранить ПДн нельзя.
Заключение
Знание законодательства о персональных данных позволяет избежать многих ошибок и правильно внедрить бизнес-процессы, связанные с обработкой ПДн.
Уверенность в своих действиях и грамотное использование законных оснований для обработки данных помогут избежать многих правовых и репутационных рисков.
Правила обработки не настолько сложны, как это часто кажется. Главное — разобраться в основных положениях закона и соблюдать их.
Автор:
Юрист
Татьяна Сергеева