«На всякий случай пусть заполнят» — одна из самых дорогих фраз в работе с ПДн, потому что именно она приводит к тому, что Роскомнадзор называет необоснованным сбором персональных данных.
Смысл простой: если вы собираете больше, чем нужно для конкретной цели, — это нарушение.
И не важно, добровольно ли человек оставил данные.
Если цель не требует паспорта, e-mail, фото, ИНН или номера банковской карты, а вы их запрашиваете, этим может заинтересоваться контролирующий орган.
Когда сбор считается необоснованным:
📌 Нет цели обработки или она непонятна для субъекта
Например: «Для повышения качества сервиса». Что именно вы будете делать с телефоном и паспортными данными для этой цели? РКН не поверит на слово
📌 Данные не нужны для достижения цели
Запрашивать дату рождения для заказа пиццы избыточно. Паспорт для выдачи бейджа на конференции без пропускного режима тоже
📌 Нет правового основания
Вы не оформили согласие или не предусмотрели иное правовое основание, не уведомили о целях и способах обработки, не заключили договор, а данные собираете. Даже если это просто форма на сайте — вы уже оператор
📌 Запрашиваются чувствительные данные без обоснования
Биометрия, сведения о состоянии здоровья — все это требует не только согласия, но и, как правило, отдельного юридического основания. И крайне осторожного обращения.
Где бизнес чаще всего допускает необоснованный сбор:
⭐️ Формы на сайтах
— Лишние поля: дата рождения, паспорт, СНИЛС, адрес, хотя это не нужно для услуги.
— Чекбокс «согласен на все» без расшифровки, на какие цели и как обрабатывается
⭐️ Онбординг клиентов
— Запрашивают сканы документов без обоснования.
— Требуют верификацию через сервисы, которые собирают больше данных, чем положено
⭐️ Маркетинг и аналитика
— Автоматический сбор поведения, IP, устройств без нужных настроек согласия и оснований.
— Передача данных в рекламные кабинеты без фиксации, какие именно данные и для чего
⭐️ Офлайн-точки
— Анкеты на бумаге с «лишними» полями.
— Фото/видеофиксация на проходной без информирования.
— Лист регистрации на мероприятии с телефоном, паспортом и местом работы — хотя достаточно имени
ЧТО ДЕЛАТЬ:
🔹 Проанализируйте, какие данные вы реально используете для оказания услуги и какие собираете
🔹 Сократите поля в формах и опросах до минимально необходимых
🔹 Проверьте, есть ли цель, основание и информирование для каждого канала сбора
🔹 Откажитесь от “запасного” сбора. Лишние данные — лишний риск
Хотите провести аудит своих точек сбора: от сайта до офиса? Разберем, какие данные действительно нужны, где вы рискуете, и как привести все в порядок без потери бизнеса 👍
