5 распространенных заблуждений в области защиты персональных данных

Несмотря на то, что и отечественный, и зарубежные законодатели все больше и больше внимания уделяют регулированию вопросов, связанных с обработкой персональных данных, опыт нашей работы позволяет выделить несколько традиционных заблуждений, свойственных большинству российских компаний.

№1 «Мы не обрабатываем персональные данные»

Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (152-ФЗ). Например,
·     IP-адрес может быть отнесен к персональным данным, поскольку идентификация пользователя осуществляется через установление его по IP-адресу, назначаемому оператором связи и закрепленному за пользовательским оборудованием при заключении договора на оказание услуг доступа к сети Интернет. (см. Постановление Второго арбитражного апелляционного суда от 08.08.2019 N02АП-5517/2019. Стоит рассматривать отдельно статический и динамический IP адреса: Статический IP – это ПД; а динамический IP – нет).
·     Файлы cookies были признаны ПД в деле социальной сети Linkedin: Определение Московского городского суда от 10.11.2016 по делу N33-38783/2016.
·     Номер телефона. По информации РКН ни ФИО, ни номер телефона при рассмотрении обособленно, не являются ПД. Но как только Оператор обрабатывает данные в совокупности, например, ФИО+телефон или ФИО+email – считается, что Оператор уже обрабатывает ПД.

№2 «Мы обрабатываем персональные данные, но не обязаны регистрироваться в РКН»

Оператор (то есть лицо, организующее и осуществляющее обработку данных) до начала обработки ПД обязан уведомить Роскомнадзор (РКН) о своем намерении осуществлять обработку, за исключением нескольких отдельно определенных в законе случаев (обработка данных в соответствии с трудовым законодательством, для оформления однократного доступа субъектов на территорию оператора и т.д.). 
Важно: Законопроект №101234-8, принятый в первом чтении 24 мая 2022 года, предусматривает существенное сокращение перечня случаев, когда оператор может обрабатывать ПД без подачи уведомления в РКН.
Примечание: «Почему в реестре РКН так мало операторов?»
В настоящее время в реестре содержатся сведения о 439 441 операторах персональных данных (по состоянию на 06.06.2022).
·     Низкий размер штрафа (19.7 КоАП - для организаций от 3 до 5 тыс. рублей), однако стоит учитывать, что размер штрафа не менялся с 2010 года.
·     Аналогичный штраф может последовать если компания не будет следить за актуальностью информации в реестре РКН.
·     Наличие информации в реестре актуально в основном для организаций, работающих в сфере государственных закупок.

№3 «Мы российская компания и GDPR к нашей деятельности не применим»

С мая 2018 г. в ЕС действуют единые правила обработки персональных данных, установленные Регламентом ЕС 2016/679 от 27.04.2016 – GDPR). Важная особенность GDPR – экстерриториальное действие, а также усиленная ответственность за нарушение правил обработки персональных данных: штрафы достигают €20 млн. 
Поэтому если российская компания обрабатывает данные европейских пользователей (клиентов), то ее деятельность должна соответствовать требованиям GDPR.

№4 «Нам достаточно «стандартной» политики конфиденциальности»

Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка, несовместимая с этими целями. Максимальный размер ответственности за нарушение данного требования (ч. 1 ст. 13.11 КоАП) для организации - 100 000 руб. 
Таким образом, в политике конфиденциальности (политике обработки персональных данных) организации должны быть заранее определены цели обработки данных, которые бы корреспондировали реально существующим процессам, установленным в организации.

№5 «Мы во всех случаях запрашиваем согласие на обработку персональных данных» 

Получение согласия пользователя (клиента) на обработку ПД довольно часто усложняет работу онлайн-сервиса (приложения). Необходимо помнить, что согласие пользователя лишь одно из оснований обработки ПД. Так, в частности, не требуется получение согласия, если обработка необходима: 
·       для заключения договора по инициативе субъекта данных; 
·       для осуществления функций и обязанностей, возложенных на оператора законодательством; 
·       для осуществления прав и законных интересов, для достижения общественно значимых целей.
Важно: Законопроект №101234-8, принятый в первом чтении 24 мая 2022 года, запрещает оператору отказывать гражданам в оказании услуг при их отказе дать согласие на обработку ПД в случаях, когда такое согласие не обязательно.

***

Юристы Lurye, Chumakov & Partners с готовностью проконсультируют вас по любым вопросам в области защиты персональных данных и помогут вам всегда быть в курсе последних изменений законодательства.