Топ-10 мифов о персональных данных

С персональными данными связаны разные мифы. Согласно одним, Закон о персональных данных не работает и является формальностью. Другие гласят, что, выполнить все требования законов невозможно. В контексте недавнего повышение сумм штрафов за нарушения, связанные с ПДн, ситуация стала еще более неоднозначной.

В этой статье рассмотрим и развенчаем 10 самых популярных мифов о персональных данных.


Миф №1. Согласие на обработку ПДн нужно в любом случае

Закон о персональных данных предусматривает разные основания обработки ПДн. 

Условия обработки (ст. 5 Закона о ПДн) можно объединить в группы:

  • согласие субъекта,

  • договор,

  • закон,

  • законный интерес

Самое популярное основание — согласие, однако, в большинстве случаев оно, как отдельное волеизъявление субъекта, не требуется. Можно даже сказать, что согласие — это последнее, что стоит использовать, когда никакое другое основание не подходит.

Более того, если согласие может быть отозвано, а обработка продолжена, то это даст повод задуматься — а для чего тогда изначально оно было нужно, если и без него можно работать с ПДн?



Миф №2. Скоро примут новый закон, и теперь точно-преточно нужно будет согласие на обработку ПДн

Речь идет о Законопроекте № 679980-8, который якобы вводит новую обязанность получать согласие на ПДн отдельно от других документов.

Законопроект добавляет в ст. 9 №152-ФЗ новое положение: 

«Согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных».

Некоторые телеграм-каналы после внесения этого законопроекта написали, что теперь согласие нужно, даже если есть договор. 

Однако, принципиально ничего не меняется. В Законопроекте просто отдельно отмечается, что такое согласие должно быть отдельным от других документов (политик, оферт и других документов). 


Миф №3. Если есть договор, то никакое согласие не требуется

Это противоположный миф: если есть какой-то договор, то он покроет все случаи обработки персональных данных.

Например, если компания заключила с работником трудовой договор, то все его персональные данные обрабатываются в рамках закона. 

Такой подход является некорректным, то есть необходимо проверять, соответствует ли случай обработки цели исполнения трудового договора.

Например:

Соответствует 

Не соответствует (и требуется отдельное согласие)

отражение информации в кадровых документах

покупка билетов или бронирование отелей для командировки

начисление заработной платы

оформление пропуска


Миф №4. Если на сайте нет личного кабинета и формы регистрации, то политика не нужна

Даже если посетителю сайта не нужно вносить никакие данные, все равно обрабатываются файлы cookies. С этим связан следующий миф.  


Миф №5. Cookies — это не ПДн

Файлы cookies — это файлы, которые используются веб-серверами для идентификации пользователей и хранения данных о них. 

Если в cookies попадают данные о лице, по которым его можно установить (никнейм пользователя, телефон, IP-адрес, адрес электронной почты и тд), то уже происходит сбор персональных данных.  


Миф №6. Без галочек всё незаконно!

По факту пользователь должен согласиться не с политикой конфиденциальности, а дать свое согласие на обработку ПДн. Соглашаться с каждым документом необязательно — главное, подтвердить волеизъявление на обработку ПДн. А сделать это можно согласием на обработку персональных данных.

Требования к такому согласию устанавливаются в ст. 9 Закона о ПДн: оно должно быть конкретным, предметным, информированным, сознательным и однозначным. С этим взаимосвязан следующий миф. 


Миф №7. Можно предустанавливать галочки на согласиях

Исходя из ст. 9 Закона о ПДн, субъект должен самостоятельно определить, согласен ли он на обработку своих ПДн на установленных условиях.

Предустановленная галочка по сути лишает его этого выбора, что является типичным дарк-паттерном. 


Миф №8. Если нет сайта, то и политика не нужна

Даже если у компании нет сайта, она в любом случае взаимодействует с субъектами ПДн: находит кандидатов и проводит с ними собеседования, устраивает и увольняет работников, заключает договоры с контрагентами. Следовательно, является оператором ПДн.

Требование о наличии политики обработки ПДн предъявляется ко всем операторам. Отличаться будет только способ размещения: если в Интернете его надо выложить на каждую страницу сайта, где обрабатываются ПДн, то без сайта нужно обеспечить доступ к политике другими способами: например, в общей папке с документами компании, которая доступна всем сотрудникам.


Миф №9. Все ПДн можно хранить в одной базе и давать доступ всем сотрудникам

Доступ к конкретным ПДн должен быть только у тех, кому они нужны для исполнения трудовой функции. Например, если менеджер по продажам заключает договоры и ему нужны данные только генерального директора, то у него не должен быть доступ к базе ПДн всех работников компании.


Миф №10. Можно хранить персональные данные постоянно, а удалять только, когда субъект потребует

Персональные данные должны храниться не дольше, чем этого требуют цели их обработки ст. 7 Закона о ПДн. Иные конкретные сроки могут быть установлены в законе, либо цели обработки могут просто отпасть. В любом случае, бессрочно хранить ПДн нельзя.


Заключение

Знание законодательства о персональных данных позволяет избежать многих ошибок и правильно внедрить бизнес-процессы, связанные с обработкой ПДн. 

Уверенность в своих действиях и грамотное использование законных оснований для обработки данных помогут избежать многих правовых и репутационных рисков.

Правила обработки не настолько сложны, как это часто кажется. Главное — разобраться в основных положениях закона и соблюдать их.


Автор:

Юрист
Татьяна Сергеева