5 самых частых вопросов в работе с персданными: разбираемся с юристом
О чем чаще всего спрашивает бизнес?
В каждой компании, в зависимости от сферы деятельности, есть своя специфика работы с персональными данными. В туризме характерен один набор требований, а в e-commerce — другой.
— Но любую работу с персданными объединяют требования закона и Национального центра защиты персональных данных к обработке такой информации и подготовке внутренних документов. Часто бизнесу бывает сложно сориентироваться в том, как обеспечить комплаенс, — рассказывает Людмила Епихова, юрист REVERA law group.
По ее словам, чаще всего с точки зрения персданных бизнес интересует, как правильно обрабатывать данные субъекта при заключении договора и как правомерно проводить маркетинговые активности.
— В этом случае стоит обратить внимание на спорный вопрос — роль согласия. Многие компании считают его универсальным решением, однако это не так, — говорит наша собеседница. — Даже если субъект дал согласие на обработку данных, у него всегда остается право его отозвать. Возникает вопрос: что делать компании, если обработка данных необходима, а согласие отозвано? Кроме того, получение согласия в ситуациях, когда для обработки уже есть другие законные основания, может само по себе считаться нарушением.
Юрист уточняет, что у бизнеса, как правило, есть иные цели обработки персональных данных, помимо заключения договора. В таком случае необходимо обеспечить соответствие каждой из этих целей определенному правовому основанию.
Отдельного внимания заслуживает вопрос о сроках хранения персональных данных, подчеркивает юрист. Законодательство требует ограничивать такие сроки, устанавливая их исходя из целей и правовых оснований обработки. На практике это вызывает затруднения, поскольку не всегда понятно, как долго можно хранить данные и на какой срок получать согласие.
— Рекомендуется устанавливать срок действия согласия на обработку персональных данных не более трех лет. По остальным случаям, когда обработка основана на договоре, законных интересах или других правовых основаниях, надо регулярно пересматривать необходимость хранения данных и прекращать обработку, как только отпадает цель или основание для ее осуществления, — отмечает Людмила Епихова.
На практике это означает, что компаниям важно не только собирать согласия корректно, но и системно контролировать сроки хранения данных, чтобы избежать нарушений и неработающих процессов. В этом помогают современные цифровые решения.
Мультифункциональная платформа «Битрикс24» объединяет CRM, инструменты для совместной работы, управление проектами и автоматизацию рутинных задач. Она позволяет безопасно работать с чувствительной информацией, отслеживать актуальность персональных данных в соответствии с действующим законодательством.
6 ноября «Битрикс24» представит масштабные обновления: искусственный интеллект, мобильность, совместную работу и CRM. Новые инструменты помогут компаниям еще эффективнее управлять процессами, автоматизировать контроль за хранением данных и усиливать защиту информации. Узнайте первыми о масштабных изменениях «Битрикс24».
В итоге компании идут к юристам за помощью в соблюдении комплаенса или за проведением аудита с вопросом о том, что можно улучшить. И первая рекомендация здесь — изначально адаптировать все процессы под требования законодательства.
— Здорово, когда бизнес, продумывая свою модель, заранее составляет план бизнес-процессов с указанием обрабатываемых персональных данных, сопоставляя цели и правовые основания их обработки. По нашим наблюдениям, многие компании уже на этапе запуска начинают обращать внимание на вопросы защиты данных. В то же время бизнесы, которые были созданы до вступления в силу законодательства о персональных данных, все еще находятся в процессе поэтапного внедрения требований комплаенса — впереди у них немало работы, — подчеркивает юрист.
По ее словам, отчасти этому способствует работа центра: благодаря повышению информированности и обсуждению темы персональных данных все больше проектов с самого начала учитывают эти вопросы в своей деятельности.
Какое нарушение — самое распространенное?
В разных сферах до сих пор достаточно примеров избыточной обработки персональных данных, говорит Людмила Епихова. Компании нередко продолжают следовать устоявшимся традициям, даже если в этом уже нет необходимости. Так, несмотря на то что с середины 2024 года разрешено не вести личные дела сотрудников, многие организации сохраняют эту практику просто по привычке, считая ее обязательной частью кадровой работы.
— Другой пример: на различных сайтах можно увидеть формы регистрации, где и паспортные данные нужно внести, и даже информацию о месте жительства. Но логика законодательства в том, чтобы персональные данные обрабатывались только в той части, где это необходимо, — объясняет юрист.
Кроме того, в кадровом документообороте до сих пор встречаются неактуальные подходы, связанные с хранением копий документов работников, хотя законодательных требований делать этого нет. Так, при работе с кадрами в организациях часто собирают ненужные копии документов, например паспортов. С точки зрения нашего законодательства в этом зачастую нет необходимости. Тем не менее такая практика по инерции воспринимается как «правильная», что приводит к обработке «лишних» персональных данных и повышает риски нарушения законодательства.
Крупный и малый бизнес или ИП: кому сложнее защищать персданные?
В первую очередь здесь идет речь об объемах персональных данных, обрабатываемых компанией. Как правило, деятельность ИП не предполагает такого большого потока, как у крупного бизнеса в сфере ретейла или электронных услуг. Поэтому ИП будет проще обеспечить комплаенс ввиду меньшего количества бизнес-процессов, связанных с обработкой персональных данных. Тем не менее есть определенные требования законодательства, которые распространяются на всех.
Так, к примеру, по требованиям центра ответственный за защиту персональных данных нужен в каждой компании. При этом рекомендуется в крупной организации нанимать работника на полную ставку в качестве отдельной штатной единицы.
— Но следует уточнить, что для ИП соответствие комплаенса не столь затруднительно. Если ИП ведет деятельность в сфере продаж, то там, кроме заключения контрактов и оформления работников (подрядчиков), практически ничего не будет. Но важно помнить, что на таких субъектов хозяйствования также распространяется законодательство о персональных данных, — объясняет представитель REVERA law group.
За помощью к юристам чаще всего обращаются именно большие компании, у которых деятельность связана с постоянной обработкой персональных данных. В качестве примера можно привести туристические агентства, где задействовано большое количество связующих лиц, как следствие, на выходе получаем много разных субъектов обработки, не все из которых коммуницируют между собой напрямую. Главная сложность для таких компаний — правильно выстроить взаимоотношения с точки зрения персональных данных и грамотно оформить все элементы в виде единой системы правоотношений.
Можно ли справиться с ситуацией утечки данных без репутационных потерь?
Эксперт обращает внимание, что нередко НЦЗПД замечает утечку даже раньше, чем бизнес сам об этом узнает:
— К сожалению, в дальнейшем ситуация напоминает снежный ком: информация появилась в телеграм-канале центра, затем была опубликована в СМИ, и в скором времени об этом узнают и клиенты этой компании. Люди начинают беспокоиться: «Мы же пользовались услугами этой компании и, наверное, наши персональные данные сейчас где-то продаются». Такая ситуация несет серьезные репутационные риски.
Конечно, отмечает наша собеседница, в идеале, если компания сама узнает о подобной утечке и принимает необходимые меры, в частности сообщает об этом контролирующему органу:
— Как я уже отмечала, необходимо уделить внимание вопросам безопасности на этапе запуска бизнеса, в том числе обеспечить технические меры защиты информации. Как правило, когда мы говорим об утечке, это зачастую проблема внешнего контура. Да, возможно, есть какие-то внутренние вопросы, когда данные неправильно или избыточно обрабатывались либо не очень разумно была организована процедура разграничения доступа к персональным данным и прочее. Но чаще всего речь идет об определенных хакерских движениях, взломах, утечках технического характера.
Для чего вообще нужен закон о персданных?
С учетом активной информатизации и продолжающейся глобализации общества наличие такого законодательства необходимо, считает юрист:
— Сначала нам приходили спам-рассылки на почту, затем навязчивые звонки, потом рекламные SMS. Далее началась волна интернет-мошенничества: злоумышленники используют номера, фотографии и даже подмену голоса, чтобы выманивать деньги у вас и ваших родственников, — такие случаи могут иметь серьезные последствия.
Если 10–15 лет назад для большинства людей было достаточно одной банковской карты, то сейчас цифровых сервисов стало значительно больше. Чем больше сведений о вас и ваших близких знают мошенники — имена, номера телефонов, паспортные данные, — тем шире поле для их манипуляций. В лучшем случае это может быть мелкий взлом аккаунта или раздражающая рассылка, в худшем — серьезные финансовые убытки.
— Любое новое регулирование общественных отношений требует времени на внедрение и апробацию на практике, а значит, может затрагивать временные и кадровые ресурсы компаний. Но в современных реалиях это необходимость, которую бизнес может использовать как свое конкурентное преимущество, — говорит юрист.
Фото: Envato Elements
Партнерский материал
