Персональные данные стали ценным ресурсом, за которым, кажется, охотятся все. От безобидного «‎анонимного» опроса‎ до навязчивых рекламных звонков — путь личных сведений может быть непредсказуемым.

Давайте разберемся в тонкостях обработки персональных данных, научимся читать между строк пользовательских соглашений и узнаем, как противостоять большому брату в лице жадных до информации компаний. Приготовьтесь к погружению в лабиринты закона «О персональных данных» и хитросплетения документов, которые так часто подписывают не глядя. Вашим проводником выступит Анастасия Буренкова — специалист по защите персональных данных Бастион.

Персональные данные: сущность и методы сбора

Ключевой документ, вокруг которого строится работа с ПДн (персональными данными) — согласие на обработку персональных данных. В нем вы разрешаете организации использовать вашу личную информацию и подтверждаете, что делаете это добровольно. Такие документы обычно занимают десятки страниц, поэтому в повседневной жизни их почти никто не читает.

В России сбор персональных данных регулируется законом №152-ФЗ. По этому закону к ПДн относится любая информация, по которой можно прямо или косвенно идентифицировать человека, в том числе фотография или ссылка на профиль в социальных сетях. Оператор (упрощенно — организация, которая осуществляет обработку персональных данных) вправе указать, что собирается обрабатывать и хранить ваши ФИО, номер телефона, адрес электронной почты, паспортные данные, дату рождения и даже IP-адрес.

Сами по себе ФИО, адрес проживания и номер телефона не относятся к ПДн, потому что невозможно однозначно идентифицировать субъекта только по ФИО или номеру телефона: время от времени рождаются полные тезки, по одному адресу могут проживать или прописываться разные люди, абонент может сменить номер телефона. Совокупность же ПДН (например, ФИО+номер телефона) позволяет однозначно идентифицировать субъекта, что и демонстрирует судебная практика, несмотря на размытую трактовку в законе. Если упростить, ПДн — информация, позволяющая выделить конкретного человека из группы. Например, мужчин по имени Петр Иванов может быть много. Но если уточнить, что это Петр Иванов из поселка N, мастер IV разряда на заводе, родившийся 28 февраля 1986 года, то таких людей найдется мало, скорее всего один.

Способ получения согласия на сбор ПДн практически не ограничен, это могут быть: физическая подпись в документе, форма на сайте в виде поля с подпиской на рассылку, регистрация в личном кабинете, запрос на обратную связь или звонок. Кстати, с недавних пор Роскомнадзор запретил собирать персональные данные через Google-формы — в этом случае у юридических лиц есть риск получить штраф от 1 млн. до 6 млн. рублей. Все потому, что оставленные в такой форме данные проходят через зарубежные сервера.

Зачем компаниям ПДн

Многие компании предпочли бы не иметь дела с персональными данными, если бы могли. Роскомнадзор — орган, регулирующий защиту ПДн — предъявляет много формальных требований, которые сильно осложняют жизнь добросовестным операторам ПДн. Однако обойтись без обработки данных зачастую невозможно. При трудоустройстве ПДн нужны для оформления зарплаты, пропуска в офис и страховки. В больницах ФИО и номер полиса нужны для оказания помощи. В магазинах ПДн используют для оформления скидочных карт и личных кабинетов. Даже для общения с онлайн-техподдержкой порой нужны имя и контакты.

Компании собирают персональные данные для идентификации пользователей и рекламы, в то время как большинство людей хотят просто получить услугу, минуя всевозможные звонки, опросы «оцените качество обслуживания» и тому подобные «‎бонусы». Операторы часто продолжают рекламировать товары и услуги даже после того, как клиент решил свою задачу — и это не всегда законно.

На что стоит обращать внимание при подписании согласия

Прежде всего, важно тщательно прочитать текст документа. Что содержится в типовой форме согласия?

• ФИО, паспортные данные, адрес.
• Перечень персональных данных, на обработку которых субъект дает согласие (это могут быть и вышеупомянутые паспортные данные и дополнительные сведения, такие как номер телефона и адрес электронной почты).
• Перечень целей обработки персональных данных (например, для оформления доставки мебели на дом).
• Перечень действий с персональными данными, на которые субъект дает согласие (например, сбор, систематизация, хранение).
• Срок действия согласия на обработку, а также условие прекращения обработки персональных данных (например, отзыв согласия на обработку).

Рассмотрим подробнее некоторые аспекты.

1. Перечень ПДн, на обработку которых дается согласие

Набор запрашиваемых данных зависит от сферы деятельности организации. Например, больница может запросить данные паспорта, полиса ОМС или ДМС, сведения о заболеваниях. Однако некоторые организации собирают избыточные данные. Представьте ситуацию: вы записываетесь в престижный салон красоты. Для этого вас просят предоставить не только ФИО и номер телефона, но и сведения о доходах, якобы для оценки платежеспособности.

Чем меньше личной информации вы предоставляете, тем меньше негативных последствий при утечке. Важно соотносить запрашиваемые данные с услугой, которую вы хотите получить. Например, при оформлении ипотеки обоснованно запрашивают информацию о семейном положении, доходах и месте работы. А для доставки еды достаточно адреса и номера телефона. Фотография и паспортные данные в этом случае будут лишними.

В соответствии со статьей 5 закона «О персональных данных»: «содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки».

Политика обработки ПДн обозначает пределы, в которых ведется работа с персональными данными. На примере smclinic.ru

Что это значит? Например, использование видеонаблюдения на рабочем месте имеет ограничения. Если работник дал согласие на видеосъемку для обеспечения безопасности, работодатель не вправе использовать эти записи для контроля присутствия сотрудника на рабочем месте.

При обнаружении в согласии избыточной информации нужно выяснить цель ее сбора. Закон защищает потребителей: если запрашиваемые данные напрямую не связаны с исполнением договора, вам не могут отказать в услуге из-за нежелания их предоставить. Это закреплено в разделе 4 статьи 16 Закона «О защите прав потребителей».

2. Цели обработки ПДн

Цель обработки персональных данных – это причина, по которой вы их предоставляете. Это может быть оказание медицинских услуг, получение обратной связи или начисление зарплаты. Однако часто в согласии на обработку данных встречаются и другие цели. Например, «проведение опросов, маркетинговых, статистических и прочих исследований» или «анализ качества предоставляемых товаров и услуг и улучшение качества обслуживания клиентов». За этими формулировками скрываются рекламные рассылки и звонки с оценкой качества обслуживания.

На примере winelab.ru

Некоторые компании используют расплывчатые формулировки, которые сложно понять с первого раза. Другие пишут прямо: «отправка рекламных материалов и информации о специальных предложениях различными способами».

На примере sochi.hh.ru

Важно помнить, что рекламные рассылки не обязательны для получения основной услуги. Вы вправе отказаться от них полностью или частично. Для этого нужно направить оператору заявление об отзыве согласия.

3. Перечень действий с персональными данными

Закон «О персональных данных» определяет ряд операций с персональными данными. Это сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение. На примере передачи ПДн рассмотрим, что входит в эту операцию.

Согласно закону, распространение — это действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

• Работодатель создает «доску почета» на сайте компании. Он публикует фотографии, ФИО и должности сотрудников. Это считается распространением ПДн, так как данные становятся доступны всем пользователям сети.
• Стоматологическая клиника просит клиента оставить отзыв с фото или видео, указав его ФИО. Публикация такого отзыва на сайте или в соцсетях — тоже распространение ПДн.

Важно знать: если предлагают заполнить дополнительное согласие на распространение персональных данных, можно отказаться, т.к. это не является обязательным для получения услуги.

Предоставление персональных данных – это раскрытие ПДн определенному кругу лиц, то есть в отличие от распространения конечный «получатель» персональных данных известен. Если в согласии на обработку данных указано «предоставление», нужно проверить наличие информации о получателе данных, передаваемых сведениях и цели передачи данных. Часто используется чек-бокс, позволяющий клиенту дать согласие или запретить передачу данных третьим лицам, например, страховой компании. Пример предоставления:

Если что-то из этого не указано в договоре, уточните, кому, в каком объеме и зачем предоставляются данные. В противном случае не стоит удивляться неожиданным звонкам с рекламными предложениями.

Рассмотрим на практике такую ситуацию: некая компания собирается использовать ваши персональные данные в собственных интересах. Допустим, вы хотите купить подарочный сертификат на сайте аквапарка. Для оформления заказа нужно указать ФИО, телефон и адрес электронной почты.

Эта форма предполагает, что после заполнения обязательных полей необходимо поставить галочку в строке «Я согласен на обработку персональных данных», которая содержит ссылку на соглашение на обработку персональных данных. Перед отправкой согласия стоит ознакомиться с документом, по крайней мере для того, чтобы убедиться в отсутствии рекламных звонков после предоставления услуги.

В тексте согласия на обработку ПДн есть пункт «цели обработки персональных данных», в которых указаны следующие цели:

1. идентификация пользователя интернет-сайтов оператора;
2. предоставление пользователям сайта и клиентам эффективной клиентской поддержки;
3. организация и проведение оператором мероприятий и опросов, маркетинговых, статистических и прочих исследований;
4. анализ качества предоставляемых товаров и услуг и улучшения качества обслуживания клиентов;
5. информирование о новых товарах, специальных акциях, предложениях и услугах оператора и третьих лиц по усмотрению оператора, в том числе путем осуществления прямых контактов с субъектом персональных данных с помощью средств связи.

Остановимся на пятой цели, которая связана с информированием третьих лиц об услугах.

Поставив «галочку» в строке «Я согласен на обработку персональных данных», клиент соглашается на получение информации о новых услугах, акциях и предложениях. Важно понимать, что информировать клиента будут не только сотрудники аквапарка, но и третьи лица по усмотрению оператора. Аквапарк сам решает, передавать ли данные клиента другим компаниям для рекламных звонков.

Если обратиться к пункту «действия при обработке персональных данных», можно увидеть, что клиент «добровольно» дал согласие на передачу (распространение, предоставление, доступ) своих персональных данных. Однако в согласии не указано, кому именно передадут информацию, какие данные и зачем. С целями «определились», а что насчет перечня персональных данных?

Для оформления сертификата у клиента запрашивают ФИО, телефон, электронную почту.

Обработка данных, необходимых для совершения безналичного платежа нужна для оплаты сертификата. Однако клиент может спросить оператора, зачем ему требуются:

• дата рождения;
• адреса регистрации и жительства;
• паспортные данные;
• сведения о людях, чьим законным представителем является клиент.

Подумайте, стоит ли доверять организации, если в ее Политике конфиденциальности, например, есть подобный пункт:

Если не хотите узнать о раскрытии своих ПДн из новостей, стоит обращать внимание на такие вещи.

Как защитить свои персональные данные

Чтобы обезопасить свои персональные данные, важно знать, кому и зачем вы их предоставили. Это позволит вовремя запретить их обработку.

Петр Иванов 10 лет пользуется услугами условного мобильного оператора «СвязьИнфо»‎. Компания предлагает ему скидку на тариф. Для этого оператор использует данные из договора, чтобы идентифицировать Петра и сообщить о скидке. Такие сценарии есть у большинства компаний.

Однако ситуация может измениться. Если «СвязьИнфо» начнет предлагать Петру банковские услуги, например, ипотеку или микрозайм, это может выйти за рамки изначального согласия на обработку данных. В таком случае Петру наверняка захочется отозвать свое согласие на обработку ПДн.

Чтобы убедиться в правильном использовании ваших ПДн, в подобной ситуации вы можете:

1. Проверить портал Госуслуги. В разделе «Согласия и доверенности» вы увидите только те конкретные согласия, которые были вами даны для госорганов:

   
   
   • Действующие согласия на предоставление данных организациям;
   • Разрешения на доступ к данным для авторизации.
   
   

2. Отправить запрос оператору. Это поможет уточнить:

   
   
   • Передаются ли данные третьим лицам;
   • Цели обработки данных;
   • Перечень обрабатываемых данных.
   
   

На примере lk.gosuslugi.ru

Какие нарушения со стороны компаний встречаются чаще всего?

Согласно отчетности Роскомнадзора, типовые нарушения — это:

• Отсутствие согласия на обработку ПДн;
• Осуществление рекламных рассылок/звонков с использованием ПДн в отсутствие правовых оснований;
• Неправомерная обработка ПДн интернете (сбор ПДн пользователей сайта без согласия, размещение их ПДн на сайте);
• Неправомерная обработка специальных и биометрических ПДн;
• Неправомерная передача данных за рубеж.

Компании, нарушившие правила обработки ПДн, рискуют получить штраф, в то время как пострадавшие клиенты имеют право требовать компенсацию морального вреда через суд.

Сейчас максимальный штраф для юридических лиц составляет:

• при первом нарушении — 100 тысяч рублей;
• при повторном нарушении — 300 тысяч рублей;
• в случае обработки ПДн без письменного согласия — штраф от 700 тысяч рублей до 1,5 млн рублей при повторном нарушении;
• в случае, если базы данных с ПДн клиентов компании находятся не в РФ — штраф от 6 млн рублей до 18 млн рублей.

Обсуждается введение оборотных штрафов за повторные утечки персональных данных. Минцифры предлагает смягчать наказание для организаций, выплативших компенсации пострадавшим пользователям.

Как правильно отозвать свое согласие

Каждый человек вправе отозвать согласие на обработку ПДн. Это может понадобиться, если вы больше не хотите пользоваться услугами компании, получать рассылки или отвечать на звонки менеджеров.

После отзыва согласия компания не сможет использовать ваши ПДн. Например, если вы обратились в клинику в другом городе во время командировки, можно отозвать согласие после оказания услуг. Это избавит вас от звонков с предложениями повторного посещения клиники, находящейся в тысячах километров.

Срок действия согласия на обработку ПДн должен быть описан в самом документе. Чаще всего операторы используют размытые формулировки, или вовсе фигурирует фраза «согласие на обработку действует до момента отзыва его субъектом ПДн». Поэтому после единственной покупки на популярном маркетплейсе вы можете годами получать рассылки о скидках и предложениях.

Чтобы отозвать согласие на обработку, направьте оператору заявление в свободной форме:

• не обязательно указывать причину, по которой человек хочет отозвать свое согласие;
• нет конкретной формы заявления, но на сайте Роскомнадзора есть образец;
• процедура отзыва согласия не регламентирована, достаточно уведомить компанию-оператора бумажным или электронным письмом;
• у оператора будет 30 календарных дней на то, чтобы уничтожить ваши ПДн из базы. При этом оператор не обязан сообщать о прекращении работы с информацией, но если вам и дальше будут приходить рекламные рассылки — компании грозит штраф.

Операторы персональных данных «не любят» прекращать обработку персональных данных пользователей по разным причинам:

• данные необходимы для аналитики поведения клиентов, принятия бизнес-решений;
• данные используются для рекламных рассылок, а при отзыве согласия «горячая» база клиентов уменьшается;
• уничтожение данных – это трудоемкий процесс. Если клиент в согласии на обработку персональных данных видит термины «блокирование», «удаление», не стоит думать, что после оказания услуг компания-оператор действительно совершит указанные действия с персональными данными. Оператору придется искать нужные данные во всех своих информационных системах и на бумаге, а затем уничтожать их. Кроме того, оператор обязан уничтожить ПДн в том числе по достижению цели обработки.

Если вы считаете, что ваши права нарушаются, и компания незаконно собирает персональные данные, можно подать жалобу в Роскомнадзор.

Могут ли компании игнорировать отзыв о согласии

Есть исключительные ситуации, в которых компании имеют право не удалять персональные данные человека, даже если он направил заявление об отзыве. Например:

• уволившийся сотрудник может написать заявление с отзывом согласия на обработку и хранение его персональных данных, но закон обязывает работодателя хранить сведения о бывших работниках для подачи отчетности в налоговую и пенсионный фонды;
• если клиент банка закроет все свои счета и напишет заявление с отзывов согласия, банк все равно не может удалить информацию о своем бывшем клиенте еще пять лет;
• коллекторские организации могут работать с ПДн должника, не запрашивая согласия, так как они получают базу заемщиков вместе с информацией по займу. В этом случае должник может направить отказ от взаимодействия и коллекторам придется общаться с ним бумажными письмами через Почту России (ст. 8 Федерального закона от 03.07.2016 N 230-ФЗ).
• кроме того, обрабатывать ПДн после отзыва согласия могут сотрудники гражданского и уголовного суда в рамках процесса, а также любые органы власти при исполнении своих обязанностей и даже журналисты (п. 1 ст. 6 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», п. 2 ст. 10 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», п. 2 ст. 11 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»).

Особый случай — сбор и обработка биометрических данных, для которого требуется отдельное согласие. Например, это касается фотографирования и дактилоскопии при возбуждении уголовного дела или проверке документов на границе.

С 1 июня 2023 года вступил в силу новый закон о биометрии №572-ФЗ от 29.12.2022. Он регулирует идентификацию и аутентификацию физлиц с использованием биометрических персональных данных.

Теперь организации, обрабатывающие биометрию, обязаны передавать данные в Единую биометрическую систему (ЕБС) и уведомлять об этом людей. Это касается, например, компаний, использующих фото лица для оформления пропусков или абонементов — передача в ЕБС биометрии сейчас разрешена только в случаях, когда обработка биометрии осуществляется для идентификации или аутентификации автоматизированным способом. Действие закона на данный момент распространяется только на изображения лица и записи голоса.

При этом отдельного разрешения на передачу данных в ЕБС не требуется. Однако человек может сам подать заявление в МФЦ и отказаться от этого. Таким образом, предоставляя изображение лица/образец голоса компании, банку или работодателю, субъект автоматически передает свои данные в государственную базу (ГИС ЕБС).

Само предоставление биометрических персональных данных не может быть обязательным, за исключением случаев, предусмотренных законодательством. Оператор не вправе отказывать в обслуживании при отказе предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных, если по закону получение согласия на обработку ПДн не является обязательным.

---

Компании-операторы по сбору и обработке персональных данных обязаны соблюдать много обязательных требований законодательства в отношении обработки и защиты ПДн. Например, Федеральный закон «О персональных данных», требования ФСТЭК к безопасности данных. Кроме того, есть разъяснения Минкомсвязи по поводу трансграничной передачи данных, способах их хранения и обработки (о базах данных в РФ, отдельные пояснения Минкомсвязи), и ФСБ. Однако утечки персональных данных все равно случаются.

«Незнание закона не освобождает от ответственности. А вот знание — нередко освобождает от неприятностей». Берегите себя и свои персональные данные.