Есть мнение, что для соблюдения требований закона в части обработки персональных данных достаточно иметь основание для такой обработки:
“Мы же получили согласие от клиента, значит у Роскомнадзора претензий не будет”.
Это не так.
Важно не только получить согласие на обработку, но и соблюдать принципы обработки персональных данных. Их несоблюдение является нарушением законодательства о персональных данных.
Например, обработке подлежат только персональные данные, которые отвечают целям их обработки (ч. 4 ст. 5 ФЗ “О персональных данных”).
Суды признавали нарушением следующие случаи:
- банк при выдаче кредита требовал от заемщика указать сведения о его родственниках*
- работодатель при трудоустройстве требовал от работника предоставить сведения о судимости работника и его родственников, хотя такой обязанности не было в законе**
При подобных нарушениях Роскомнадзор может вынести предписание об их устранении, а может и составить протокол для последующего привлечения к ответственности. За нарушение принципов обработки можно получить штраф в размере от 60 000 до 100 000 рублей (ч. 1 ст. 13.11 КоАП РФ).
Таким образом, принципы носят не декларативный характер, а применяются на практике. Нарушение принципа – нарушение законодательства о персональных данных.
Для минимизации риска претензий от Роскомнадзора рекомендуем проверить, насколько ваши текущие процессы соответствуют принципам обработки персональных данных.
________________
*Постановление Арбитражного суда Уральского округа от 22 декабря 2016 г. по делу N А76-5164/2016
** Постановление Арбитражного суда Поволжского округа от 16 апреля 2019 г. N А55-21355/2018
