В каком порядке должна осуществляться обработка персональных данных физлиц

 

Если вы получаете, храните, используете или совершаете иные действия с персональными данными граждан, это признается их обработкой, а вы — оператором.

До начала обработки данных вам нужно определить ее цель. Это важно, поскольку обработка должна соответствовать этой цели. В частности, вы не можете запрашивать данные, не связанные с этой целью. Например, получать у лица, с которым вы заключаете договор, персональные данные членов его семьи.

Если вы используете персональные данные граждан только для заключения и исполнения договоров с ними и никому их не передаете, то вам не нужно получать согласие гражданина на обработку данных и уведомлять о ней Роскомнадзор.

 

Оглавление:

  1. Что считается обработкой персональных данных
  2. Какими способами можно обрабатывать персональные данные
  3. Что такое целевая обработка персональных данных и как ее обеспечить
  4. Что должен делать оператор при получении персональных данных от физлица
  5. Нужно ли получать согласие на обработку персональных данных
  6. Нужно ли уведомлять Роскомнадзор об обработке персональных данных
  7. На кого может распространяться Европейский регламент о персональных данных (GDPR) и какие требования он устанавливает

 

  1. Что считается обработкой персональных данных

Обработкой персональных данных считаются любые действия или операции, которые вы проводите с ними, в том числе сбор, систематизация, хранение, уточнение, использование, распространение, удаление.

Таким образом, даже если вы, например, всего лишь получаете паспортные данные своих клиентов или создали базу данных их телефонных номеров, вы обрабатываете персональные данные и признаетесь их оператором. Это значит, что вы обязаны под риском ответственности соблюдать требования, которые предъявляются к обработке персональных данных. Так, вы должны определить цель обработки и строго ей следовать, при необходимости получать согласие на обработку и уведомлять о ней Роскомнадзор, принимать меры по защите персональных данных.

  1.  Какими способами можно обрабатывать персональные данные

Вы можете обрабатывать данные с использованием или без использования средств автоматизации (п. 3 ст. 3 Закона о персональных данных).

Автоматизированной считается обработка данных с помощью средств вычислительной техники. Обработкой без применения средств автоматизации считаются действия с персональными данными, которые осуществляются при непосредственном участии человека (п. 4 ст. 3 Закона о персональных данных, п. 1 Положения, утвержденного Постановлением Правительства РФ от 15.09.2008 N 687).

Обратите внимание, что оператор обязан использовать базы данных, находящиеся в России, для записи, систематизации, накопления, хранения, уточнения, извлечения персональных данных граждан РФ. Это касается также сбора данных через Интернет (ч. 5 ст. 18 Закона о персональных данных). Если у вас не предусмотрены способы определения гражданства (например, нет поля «гражданство» в форме регистрации), то рекомендуем использовать базы, находящиеся в России, для всех персональных данных, которые вы получаете.

Если вы собираетесь передать персональные данные за границу, вы вправе это сделать, но первоначально должны внести их в базу данных на территории РФ, а затем уже осуществлять их трансграничную передачу по правилам ст. 12 Закона о персональных данных.

 

  1. Что такое целевая обработка персональных данных и как ее обеспечить

Целевой характер обработки подразумевает, что она должна ограничиваться достижением конкретной цели (ч. 2 ст. 5 Закона о персональных данных). То есть все ваши действия с персональными данными должны быть связаны с той целью, с которой вы их получили.

За обработку персональных данных, не совместимую с целями их сбора, вас могут привлечь к ответственности.

 

3.1. Какой должна быть цель обработки персональных данных

Цель должна быть:

  • законной;
  • заранее определенной. Еще до начала обработки вы должны определиться с целью, которую вы преследуете, и довести ее до гражданина, чьи данные получаете. Для этого укажите цель в согласии на обработку персональных данных. Рекомендуем также закрепить ее в локальном акте, посвященном обработке данных (Рекомендации Роскомнадзора). Лучше, если цель обработки будет соответствовать той деятельности, которую вы фактически осуществляете и которая предусмотрена вашими учредительными документами;
  • конкретной. Чтобы у контролирующих органов не было повода придраться к вам, рекомендуем не использовать абстрактные формулировки, а указать цель максимально конкретно. Например, если вы хотите повысить продажи путем СМС-рассылки, в качестве цели должно быть указано не «повышение продаж», а «осуществление рекламной СМС-рассылки».

 

3.2. Как обеспечить целевую обработку персональных данных

Чтобы обработка данных была целевой, удостоверьтесь в том, что (ч. 37 ст. 5 Закона о персональных данных):

  • содержание и объем данных соответствуют целям их обработки, то есть вы не обрабатываете избыточные данные. Избыточным может быть признано получение данных, никак не связанных с оказываемыми услугами. Например, если салон красоты просит клиентов сообщить их имущественное положение или образование;
  • у вас созданы раздельные базы для персональных данных, обработка которых осуществляется в целях, не совместимых между собой. В частности, рекомендуем иметь раздельные базы для сотрудников и клиентов;
  • вы обеспечиваете точность и достаточность, а при необходимости и актуальность данных по отношению к целям их обработки. Например, время от времени актуализируете базу телефонных номеров клиентов, обновляете полученные ранее копии документов. В противном случае вы рискуете нарушить закон. Например, это произойдет, если сменился владелец телефонного номера, а вы продолжаете отправлять на него рекламные сообщения, хотя новый владелец своего согласия на это не давал.

Также вы должны обеспечить удаление или уточнение неполных или неточных данных;

  • вы уничтожаете либо обезличиваете данные, если цели обработки достигнуты или утрачена необходимость в их достижении (если законом не предусмотрено иное). В частности, не рекомендуем хранить документы, содержащие персональные данные, дольше, чем это необходимо в целях бухгалтерского и налогового учета.

 

  1. Что должен делать оператор при получении персональных данных от физлица

У оператора при сборе персональных данных возникают следующие основные обязанности (ч. 1, 2 ст. 18 Закона о персональных данных):

  • предоставить информацию гражданину, если он об этом просит. Речь идет о сведениях, указанных в ч. 7 ст. 14 Закона о персональных данных. В частности, вы должны сообщить, кто, на каком основании, с какой целью и какими способами будет обрабатывать его данные;
  • разъяснить последствия отказа предоставить данные, если их предоставление является обязательным в соответствии с федеральным законом. Например, если при покупке SIM-карты гражданин отказывается предоставить свои паспортные данные, то последствие, как правило, выражается в отказе предоставить услугу. Факт разъяснения рекомендуем оформить документально, например получить с гражданина расписку о том, что он его получил.

 

  1. Нужно ли получать согласие на обработку персональных данных

Не требуется согласие на обработку персональных данных физического лица в случаях, приведенных в п. п. 211 ч. 1 ст. 6 Закона о персональных данных. В частности, согласие не нужно, если обработка необходима:

  • для заключения договора по инициативе гражданина или договора, по которому он будет выгодоприобретателем или поручителем. Например, если индивидуальный предприниматель арендует у вас помещение и вы указываете в договоре его паспортные данные;
  • исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является гражданин. Например, если вы запрашиваете адрес гражданина для доставки ему товара;
  • осуществления и выполнения функций, полномочий и обязанностей, которые возложены на вас законодательством. Например, если вы получаете у клиента адрес его электронной почты, чтобы направить ему кассовый чек в электронной форме (Разъяснения Минкомсвязи России);
  • осуществления прав и законных интересов (ваших или третьих лиц) либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы гражданина. Например, если вы в целях обеспечения безопасности записываете Ф.И.О. и паспортные данные посетителей.

В остальных случаях обработка персональных данных осуществляется с согласия гражданина (п. 1 ч. 1 ст. 6 Закона о персональных данных). Например, придется получить согласие, если вы собираете данные граждан для маркетингового исследования или уступаете требование к должнику — физическому лицу.

 

5.1. Нужно ли получать согласие на обработку биометрических данных

Если вы обрабатываете биометрические персональные данные, то, как правило, вам нужно получить согласие гражданина на это (ч. 1 ст. 11 Закона о персональных данных). Например, если вы фотографируете своих клиентов, чтобы оформить им пропуск (Разъяснения Роскомнадзора).

Такое согласие требуется, если обработку производите именно вы. Если же, например, гражданин оплачивает ваш товар с использованием сканера отпечатков пальцев на своем смартфоне, согласие получать не нужно, поскольку вы непосредственно не обрабатываете его биометрические данные.

Обратите внимание, что под биометрическими данными понимаются только такие сведения, которые вы используете для установления личности гражданина. Так, не являются достаточными для установления личности сведения об отдельных физиологических признаках гражданина (например, только о его весе или росте).

 

  1. Нужно ли уведомлять Роскомнадзор об обработке персональных данных

Чаще всего подавать такое уведомление не нужно. В частности, не требуется уведомление, если вы обрабатываете данные, которые (п. п. 1, 2, 46 ч. 2 ст. 22 Закона о персональных данных):

  • получены вами в связи с заключением договора при условии, что вы не распространяете их, не предоставляете третьим лицам без согласия гражданина и используете исключительно для заключения и исполнения данного договора;
  • гражданин сделал персональные данные общедоступными. Полагаем, что такими являются данные, которые содержатся в общедоступных источниках, создаваемых в соответствии с ч. 1 ст. 8 Закона о персональных данных, например справочнике или адресной книге. В общедоступные источники могут включаться, в частности, год и место рождения гражданина, его адрес, абонентский номер. В судебной практике есть подход, согласно которому не являются общедоступными сведения, содержащиеся в соцсетях или на открытых интернет-площадках, на которых, к примеру, размещаются объявления (Постановление Арбитражного суда Московского округа от 09.11.2017 N Ф05-16382/2017);
  • включают в себя только Ф.И.О. граждан;
  • необходимы для однократного пропуска гражданина на вашу территорию или в иных аналогичных целях.

Вы должны подать уведомление в Роскомнадзор, только если ваша ситуация не охватывается широким перечнем исключений, который предусмотрен законом (ч. 1 ст. 22 Закона о персональных данных).

 

  1. На кого может распространяться Европейский регламент о персональных данных (GDPR) и какие требования он устанавливает

Под действие Европейского регламента о персональных данных (GDPR) могут подпасть в том числе компании, которые учреждены и находятся за пределами Евросоюза, если, в частности, они (п. п. 23, 24 Преамбулы Регламента):

  • обрабатывают данные граждан ЕС, предлагая им свои товары или услуги (в том числе бесплатно). Так, если вы не знаете, какое гражданство у лиц, которым вы предлагаете свои товары или услуги, учтите, что будет предполагаться, что среди них есть граждане ЕС, если вы одновременно:

— используете язык или валюту, распространенную в одном или нескольких государствах ЕС;

— даете возможность заказать товар или услугу на данном языке либо упоминаете покупателей или пользователей, находящихся в Евросоюзе (например, указали на сайте, что товары или услуги предлагаются гражданам ЕС);

  • обрабатывают данные в целях мониторинга поведенческой активности граждан ЕС. В частности, если они отслеживают деятельность гражданина в Интернете, чтобы, к примеру, составить его профиль для анализа или прогнозирования его личных предпочтений.

 

7.1. Какие требования предусматривает Европейский регламент о персональных данных

Во многом требования Европейского регламента о персональных данных (GDPR) совпадают с требованиями российского законодательства. Например, в части обеспечения целевой обработки персональных данных (п. 39 Преамбулы Регламента, ст. 5 Регламента). Однако в нем предусмотрен ряд дополнительных мер, в частности обязанности:

  • осуществить оценку воздействия процесса обработки данных на защиту этих данных в порядке, предусмотренном ст. 35 Регламента;
  • назначить инспектора по защите персональных данных. Это необходимо, если основная деятельность заключается в обработке данных, которая требует масштабного, регулярного и систематического мониторинга граждан (ст. 37 Регламента);
  • в случае утечки персональных данных незамедлительно уведомить об этом субъекта данных, когда утечка может привести к высокой степени риска для его прав и свобод (ст. 34 Регламента).