Законодательство о защите персональных данных – одна из наиболее сложных и динамично развивающихся отраслей. С каждым годом количество утечек персональных данных увеличивается:  только за 2022 г. более 1,5 млрд. записей утекло в РФ по данным Роскомнадзора. При этом более 70 % утечек являются неквалифицированными (не связаны с мошенническими действиями третьих лиц, а происходят по недосмотру сотрудников компаний).

К сожалению, на практике компании часто легкомысленно подходят к вопросам защиты персональных данных: именно поэтому мы решили рассмотреть наиболее типичные заблуждения (мифы) об области персональных данных, с которыми мы сталкиваемся на практике.

Миф 1. «Мы просто IT-компания и не занимаемся обработкой ПД».

Как на самом деле:

В настоящее время ИТ-компания просто не может функционировать, не обрабатывая персональные данные. Так, на практике наиболее часто обрабатываются следующие категории персональных данных:

• работники (в том числе, бывшие работники)

• клиенты (владельцы клиентов, работники клиентов)

• работники по гпх

• соискатели (как в резерве, так и те, кому отказано)

• родственники работников (родственники бывших работников, бывшие родственники работников)

• посетители вебсайта

• представители контрагентов

• посетители офиса (в том числе те, кто оставлял визитки)

• отправители корреспонденции

• владельцы компании

• и т.д.

Миф 2. «Хорошо, мы у нас есть персональные данные, но мы их только храним и ничего больше не делаем»

Как на самом деле:

В соответствии с действующим законодательством хранение персональных данных также является их обработкой.

Более того, если персональные данные хранятся на внешних серверах (облачных хранилищах), с большой долей вероятности ваш «хранитель» данных является обработчиком персональных данных и вы отвечаете перед субъектами и Роскомнадзором не только за свои нарушения в отношении собранных данных, но и за его тоже.

Миф 3. «Ладно-ладно. Мы разместили на сайте политику обработки персональных данных (нашли у друзей) и берем согласие: этого достаточно».

Как на самом деле:

Политика обработки персональных данных должна отражать реальные процессы компании, поскольку именно на нее Роскомнадзор будет ориентироваться при проведении проверки. Даже в случае, если ваши реальные процессе соответствуют законодательству, но в политике они отражены неверно, Роскомнадзор будет исходить из наличия факта нарушения.

Согласие также должно соответствовать ряду требований. Например, недопустимо обрабатывать излишние данные, поэтому нельзя брать согласия без обоснования реальных целей обработки данных, сроков и т.д. Кроме того, в некоторых случаях закон требует получать обязательное письменное согласие (например, в отношении данных о состоянии здоровья).  Иными словами, некорректно оформленное согласие не только не «поможет» компании, но и навредит при проверке Роскомнадзора.

Миф 4. «Постойте, персональные данные – это только та информация, которая позволяет прямо идентифицировать лицо, а мы такую не собираем, поэтому к нам все эти требования неприменимы».

Как на самом деле:

Персональными данными являются не только сведения, направленные «на идентификацию личности в широком смысле данного понятия и содержащиеся «не только в идентификационных характеристиках личности как физического лица, т.е. фамилии, имени, отчестве, дате рождения и т.п., но и ее биографии, навыках, профессиональных характеристиках» (Определение Восьмого кассационного суда общей юрисдикции от 25 февраля 2020 № 88-4063/2020). На практике персональными данными также признаются:

• Хэш-ID пользователя (Решение АСГМ от 29 марта 2016 г. по делу № А40-14900/2016-94-126);

• Информация о соединениях и трафике конкретного абонента (Решение АСГМ от 25 мая 2016 г. по делу № А40-51869/2016- 145-449);

• данные, собираемые сервисами Яндекс.Метрика и Google Аналитика (решение Таганского районного суда г. Москвы от 19.12.2018 № 02- 4261/2018);

• номер мобильного телефона (Кассационное определение Восьмого кассационного суда общей юрисдикции от 27 февраля 2020 № 88А4529/2020);

• файлы cookie (Семинар Роскомнадзора, 28 января 2020 г.);

• адрес электронной почты гражданина (Семинар Роскомнадзора 26 ноября 2020 г.);

• история заказов гражданина даже в отсутствие его ФИО, поскольку такие как могут являться основой для профайлинга (Семинар Роскомнадзора 26 ноября 2020 г.);

• данные пользовательской аналитики, например, собираемые посредством сервисов Яндекс.Метрика, Google Аналитика (Семинар Роскомнадзора 21 января 2020 г.);

• все государственные идентификаторы физического лица (ИНН, СНИЛС, паспортные данные) (Семинар Роскомнадзора 21 января 2020 г.).

Стоит отметить, что законодательством не установлен четкий перечень персональных данных, поэтому данный перечень является примерным: на практике необходимо отдельно рассматривать каждый вид данных на предмет их принадлежности к персональным. 

Миф 5. «Законодательством не предусмотрены значительные штрафы за нарушения в области персональных данных».

Как на самом деле:

Не совсем. Например, за нарушение требований о локализации данных штраф составляет от 1 млн. до 6 млн. руб. (до 18 млн. руб. при повторном нарушении) (п. 8 ст. 13.11 КОАП РФ). К ответственности за нарушение требований о локализации данных были привлечены компании My Heritage (1,5 млн. руб.), Likee (1,5 млн. руб), Pinterest (2 млн. руб), Google (15 млн. руб) и иные.

В настоящее время рассматривают инициативу Минцифры о введении оборотных штрафов за утечку персональных данных. Кроме того, был предложен еще ряд законопроектов, содержащих дальнейшие «ужесточения» законодательства о персональных данных. Очевидно, что тенденция будет сохранятся.

Кроме того, нарушения в области персональных данных страшны не только штрафами, но и иными последствиями. Например, проверка Роскомнадзора может обернуться уничтожением данных, обработка которых осуществляется с нарушением законодательства, а также блокировкой сайта с полученными в нарушение законодательства данными (например, был заблокирован сайт LinkedIn)

Таким образом, в настоящее время невозможно вести бизнес, не используя персональные данные. В связи с ужесточением ответственности и увеличение количества утечек в данной области, призываем обращать пристальное внимание на процессы обработки персональных данных, принятые в вашей компании, регулярно проводить аудит и принимать необходимые юридические и технические меры.