Как быть операторам персональных данных

Как только кто-то заполнил форму обратной связи на сайте — компания стала оператором персональных данных.

В июле 2021 года изменились правила проверок операторов персональных данных.  Если компания собирает персональные данные клиентов через сайт или отправляет данные сотрудников в банк для зарплатного проекта, она должна подать уведомление в Роскомнадзор и зарегистрироваться как оператор персональных данных.

Отсиживаться рискованнее, чем подать уведомление, рассказал эксперт Максим Лагутин, специалист по информационной безопасности и персональным данным и основатель компании по защите персональных данных «Б-152».

Кто относится к операторам персональных данных

Оператор персональных данных (ПД) — компании и физлица, которые собирают, хранят и обрабатывают персональные данные. Дословно в законе сказано так: персональные данные — это любые данные о человеке, по которым можно определить его личность.

Примеры ПД:

• электронная почта;  
• телефон;  
• имя и фамилия;  
• дата рождения;  
• данные паспорта;  
• адрес;  
• ссылка на сайт.

При этом ни в одном законе нет точного списка, что считается персональными данными. Дело в том, что в разных ситуациях одни и те же данные могут быть или не быть персональной информацией.

Интернет-псевдоним (ник), ФИО и любая другая информация без дополнительных данных не считаются ПД, если по ним нельзя определить конкретного человека.

На листочке в кафе написано «Иванов Иван Иванович» — это не персональные данные. Для регистрации на сайте вы оставляете свою электронную почту — это уже будет считаться ПД.

С геопозицией и файлами cookies (куки), про которые многие сайты просят согласие на сохранение, ситуация спорная. Формально сами по себе они не считаются ПД. Например, только по геопозиции трудно определить, кто находится в этой точке. В реальности Роскомнадзор в 2016–2017 годах разработал рекомендации по обработке этих данных и начал проводить проверки.

«МГТС» продавала данные клиентов:

• временные метки;  
• деперсонализированный идентификатор user ID;  
• адреса страниц, к которым было обращение;  
• адреса, с которых был переход;  
• информацию о браузере и устройстве, с которого был запрос;  
• IP-адрес.

По сути, это были куки — данные о том, какие страницы посещают клиенты. По этим данным компании-покупатели показывали клиентам нужную рекламу. Согласия от клиентов у «МГТС» на обработку данных не было. Компания думала, что куки не считаются персональными данными, поэтому согласие на них не нужно. Суд с компанией не согласился и назначил штраф 30 тыс. ₽.

Эксперты рекомендуют перестраховываться и считать куки и геопозицию персональными данными. Особенно если компания вместе с этими данными получает другую личную информацию о клиентах, например, имя, телефон, электронную почту.

Роскомнадзор считает, что как только один человек заполнил форму обратной связи на сайте — компания стала оператором персональных данных. Такой же позиции придерживаются суды.

Про общедоступные данные

По закону компания не должна подавать уведомление в Роскомнадзор, если использует общедоступные данные. Например, если берёт телефон и имя человека из телефонного справочника. Справочник уже получил согласие от человека разместить данные о нём, поэтому второй раз спрашивать не надо.

Номинально информацию с открытых страниц в социальных сетях можно считать общедоступной. Казалось бы, человек зарегистрировался в соцсети, сам открыл доступ к своим имени и телефону. Значит, данные можно брать. 

В реальности мало кто читает оферту. Поэтому Роскомнадзор говорит, что данные из соцсетей можно обрабатывать, если человек дал на это согласие.

В 2017 году «ВКонтакте» подала в суд на компанию Double Data и «Национальное бюро кредитных историй». Они брали информацию из открытых профилей пользователей, оценивали их кредитную историю и продавали информацию банкам.

Социальная сеть просила взыскать с компаний по одному рублю и выиграла суд.

Получается, данные в соцсетях не считаются общедоступными. Совет эксперта — получать от клиентов разрешение, например: «Для регистрации мы будем использовать открытые данные с вашей страницы „ВКонтакте“: имя, электронную почту, телефон. Если согласны с этим, нажмите на кнопку „Далее“».

По закону есть исключения, когда компания обрабатывает данные, но не становится оператором персональных данных, об этом — ч. 2 ст. 22 ФЗ «О персональных данных».

Когда уведомление не нужно

• Компания обрабатывает только данные сотрудников, которые нужны по закону и не передаёт их кому-то ещё без согласия сотрудника. Например, заполняет приказ о приёме на работу и карточку сотрудника и хранит их в сейфе.    
• Если бухгалтер хочет передать данные сотрудника в банк для зарплатного проекта, компания становится оператором персональных данных и должна получить согласие сотрудника.    
• Получает персональные данные по договору с контрагентом, использует их только для исполнения этого договора и не передаёт их никому другому. Например, компания по договору получила номер расчётного счёта ИП и перечисляет на него деньги за выполнение работ по договору подряда.    
• Использует только ФИО, которые сами по себе не указывают на конкретного человека. Например, компания в своём блоге опубликовала статью с примерами, где упоминается Иванов Иван, при этом нет информации, из какого он города, сколько ему лет и т. д.    
• Получает персональные данные для разового пропуска на свою территорию. Например, Марина записала свои ФИО и серию с номером паспорта в журнал на стойке охранника предприятия, чтобы занести своему мужу контейнер с обедом.   
• Обрабатывает персональные данные на бумаге. Чтобы выдать скидочную карту, продавец записывает имя и телефон клиента в тетрадке, но не заносит данные в компьютер.   
• Использует общедоступные сведения — те, которые человек сообщил о себе сам. Например, берёт данные из телефонного справочника жителей Тулы.

Получается, обрабатывают персональные данные практически все компании, поэтому им нужно подать уведомление в Роскомнадзор, но есть некоторые исключения.

Проверка приходит не сразу

Есть компании, которые обрабатывают персональные данные и боятся подавать уведомление, избегая штрафа. Они и правда нарушали закон, но это не значит, что Роскомнадзор сразу придёт с проверкой.

В реестре Роскомнадзора 439 тыс. компаний, и цифра постоянно растёт. Проверить все компании из списка Роскомнадзор не может.

Проверки чаще всего приходят к компаниям:

• которые пытаются затаиться и не подают уведомление;  
• на которые часто поступают жалобы от пользователей о нарушениях.

Проверка приходит не сразу. Сначала Роскомнадзор присылает письмо с просьбой объяснить, почему компания собирает данные и не регистрируется как оператор. Не ответить на такое письмо — повод для проверки.

В Роскомнадзоре в 2021 году уточнили, что большинство нарушений компании устраняют в срок и в итоге их не штрафуют.

Сотрудники ведомства могут заметить сайт компании в интернете, проверить всех продавцов электроники или выбрать какой-то ещё способ. Был случай, когда в Астрахани оштрафовали все компании на букву «А», которые обрабатывали персональные данные и не подали уведомление.

Роскомнадзор чаще всего обращает на использующих ПД для:

• устройства сотрудников на работу;
• для оформления работникам страховых полисов или зарплатных проектов;  
• карт лояльности;  
• рекламных рассылок;  
• оказания услуг;  
• регистрации на сайтах;  
• звонков потенциальным клиентам.

Роскомнадзор делит компании по степени риска:

• для компаний с высоким риском профилактические проверки проводятся каждые 2 года; 
• с умеренным риском — каждые 3 года; 
• со средним — каждые 4; 
• с умеренным — каждые 6; 
• а для компаний с низким риском регулярные проверки не проводятся.

К компаниям с высоким риском относятся те, которые:

• обрабатывают биометрические данные; 
• передают данные за границу; 
• хранят данные на иностранном сервере.

В категорию компаний с умеренным риском попадают:

• если обрабатывают данные для целей, отличных от заявленных; 
• хранят данные более 20 тыс. человек; 
• собирают данные с помощью иностранных сервисов.

Если Роскомнадзор заметит какие-то нарушения в области персональных данных, то он может вынести предостережение. А если ничего не поменяется, то компания рискует получить штраф.

Эксперты рекомендуют подать уведомление в Роскомнадзор всем компаниям, у которых есть сайт с формой регистрации или подпиской на рассылку.

Как наказывают

• Штраф за обработку персональных данных без письменного согласия — от 6 тыс. ₽ до 150 тыс. ₽. 
• Также Роскомнадзор может заблокировать сайт или приостановить деятельность компании, но это редкие меры. 
• Если Роскомнадзор обнаружит, что компания неправильно обрабатывает персональные данные, штраф может быть до 80 тыс. ₽.

В апреле 2022 года был внесён законопроект, который может заметно ограничить возможности компаний по передаче и использованию персональных данных. Сейчас он проходит рассмотрение во втором чтении.

Какие ожидаются изменения

• Авторы инициативы предлагают ввести понятие трансграничной передачи данных и ограничить возможность передавать ПД, а в некоторых случаях даже запретить. 
• Компании будут обязаны уведомлять Роскомнадзор о том, что они собираются передать любые данные за рубеж, а в течение месяца получают ответ, можно ли передавать такую информацию и в каком объёме. 
• Если предоставивший данные сообщит, что их получили незаконным путём или они были необязательны для заявленной цели компании, то он может потребовать их удалить, а при отказе — обратиться в суд, и организация получит штраф.   
• А ещё компании будут обязаны объяснять клиентам, для чего именно нужны конкретные персональные данные. 
• Если клиент попросит прекратить их обработку, то это надо будет сделать в течение 30 дней. 
• Компании будут обязаны сообщать в государственные органы о каждом случае утечки персональных данных в течение 24 часов после инцидента, а Роскомнадзор будет вести реестр таких случаев. 

• Если законопроект вступит в силу, то компании будут рисковать получить штраф за несвоевременное сообщение об утечке данных.