Добавить в корзинуПозвонить
Найти в Дзене
Дмитрий Карташов | Право в IT и бизнесе
6 подписчиков

Правовые основания обработки данных: как не получить штраф и что написать в политике

4
5 мин
Проводя аудит сайтов и документации компаний, я регулярно вижу одну и ту же ошибку – компании вообще не понимают, что такое правовое основание обработки персональных данных. Кто-то пишет «про запас» все основания, кто-то выдумывает свои, а кто-то вообще не задумывается и копирует из шаблонов или чужих политик, не понимая, что у него отсутствуют такие основания. Меня зовут Дмитрий, я юрист с опытом в IT. Сегодня разберем, что такое правовое основание обработки ПДн, как его выбрать и что отразить в политике. Согласно п. 3.3 Рекомендаций РКН от 31.07.2017 г., правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор обрабатывает персональные данные. Закон предусматривает, что обработка персональных данных может осуществляться только при определенных условиях. Одно из них — наличие законного основания. Правовое основание — это юридическая причина, по которой оператор вправе обрабатывать персональные да
Оглавление

Проводя аудит сайтов и документации компаний, я регулярно вижу одну и ту же ошибку – компании вообще не понимают, что такое правовое основание обработки персональных данных. Кто-то пишет «про запас» все основания, кто-то выдумывает свои, а кто-то вообще не задумывается и копирует из шаблонов или чужих политик, не понимая, что у него отсутствуют такие основания.

Меня зовут Дмитрий, я юрист с опытом в IT. Сегодня разберем, что такое правовое основание обработки ПДн, как его выбрать и что отразить в политике.

Что такое правовое основание обработки данных

Согласно п. 3.3 Рекомендаций РКН от 31.07.2017 г., правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор обрабатывает персональные данные.

Закон предусматривает, что обработка персональных данных может осуществляться только при определенных условиях. Одно из них — наличие законного основания.

Правовое основание — это юридическая причина, по которой оператор вправе обрабатывать персональные данные субъекта.

Часть 1 ст. 6 152-ФЗ предусматривает следующие основания:

  • · Согласие субъекта;
  • · Закон и нормативно-правовой акт, при осуществлении и выполнении возложенных законодательством РФ функций, полномочий и обязанностей;
  • · Договор, стороной, выгодоприобретателем или поручителем, по которому является субъект;
  • · Законный интерес оператора или третьих лиц;
  • · Другие основания, которые в большинстве своем распространяются на госорганы.

ТОП-4 оснований для бизнеса: что выбрать?

1. Исполнение договора

Это ключевое основание для интернет-магазинов и сервисов.

  • Как это работает: Это основание применяется, когда пользователь сам инициирует взаимодействие. Например, клиент делает заказ, чтобы его доставить, вам нужны его адрес и имя. В таком случае, вы обрабатываете данные клиента не потому, что он разрешил это, а по причине того, что вам необходимо исполнить свои обязательства по договору.
  • Плюс: Вам не нужно брать отдельное согласие, если вы действуете исключительно в целях исполнения договора.
  • Минусы: Как только заказ исполнен, основание «истекает». Использовать данные клиента, например, для маркетинговых целей или повышения качества обслуживания нельзя. Вы можете обрабатывать только те данные, что необходимы для договора.

2. Согласие пользователя

Самое универсальное, но и самое опасное основание.

  • Как это работает: Пользователь ставит галочку в соответствующем поле, соглашается конклюдентными действиями (продолжает пользоваться сайтом и т.п.), хотя РКН всё чаще требует именно активного действия (галочки). Главное правило: согласие должно быть целевым.
  • Плюсы: Позволяет обрабатывать данные в рамках закона и цели.
  • Минусы: Самый строгий контроль. Согласие также должно быть конкретным, информированным и сознательным. И оно может быть отозвано. А по достижении цели, данные подлежат удалению.

3. Выполнение требований законодательства

Иногда вы собираете данные, потому что вас закон обязал это сделать.

  • Как это работает: Например, Трудовой кодекс РФ обязывает хранить данные сотрудников, а 149-ФЗ обязывает владельцев сайтов обеспечить безопасность информации.
  • Плюсы: Железное основание, поскольку не вы решили собрать данные. Согласие не требуется – закон стоит выше его желания.
  • Минусы: Вам нужно точно понимать, что вам позволяет закон собирать, как их собирать и сколько хранить. И дальше целей исполнения закона уйти нельзя, то есть нельзя использовать данные в маркетинге, статистике и т.п.

4. Законный интерес

Наиболее сложное основание обработки.

  • Как это работает: Вы обрабатываете данные для защиты своего бизнеса, при условии соблюдения баланса интересов и при условии, что не нарушаются права субъекта. Например, устанавливаете камеры видеонаблюдения в офисе, применяете средства защиты от DDoS-атак и т.п.
  • Плюсы: Можно собирать данные без согласия субъекта, но нужно его уведомить об этом.
  • Минусы: Ваш законный интерес заканчивается там, где начинаются права другого лица, нельзя использовать эти данные в каких-либо иных целях. Само по себе получение прибыли не образует законный интерес без дополнительного обоснования. По большей части, данные, получаемые на основании законного интереса – это данные необходимые для защиты.

Как выбрать? (Практический совет)

Для этого можно использовать простую схему:

1. Вас обязывает закон собирать эти данные?

  • Например, Налоговый, трудовой кодекс и т.п.
  • Да: правовое основание – выполнение требований закона.
  • Нет: переходим к следующему пункту.

2. У вас есть законный интерес собирать эти данные?

  • Например, вы ставите камеру для охраны склада, идентифицируете пользователей на сайте против атак и т.п.
  • Да: правовое основание – законный интерес оператора или третьих лиц.
  • Нет: переходим далее.

3. У вас заключен договор с субъектом или данные нужны для его заключения?

  • Например, у вас интернет-магазин и пользователь совершил заказ товара.
  • Да: правовое основание - договор, заключаемый между оператором и субъектом персональных данных.
  • Нет: проверяем последний пункт.

4. Ничего не подошло?

  • Например, вы хотите получить номер телефона для звонка или отправки рекламного предложения.
  • Ваш вариант: Согласие субъекта на обработку персональных данных.

Cовет: если вы можете выбрать договор или закон – выбирайте их. Согласие самая строгая и хрупкая конструкция, его можно отозвать в любой момент.

Важно

  1. У вас не будет одного основания, их будет множество, но вам нужно точно понимать, для какой цели вы применяете одно, для какой другое.
  2. Основание должно быть не просто прописано на бумаге, а подкрепляться технически. Помните, нельзя объединять базы с несовместимыми целями.
  3. Сам 152-ФЗ не является правовым основанием для обработки персональных данных.
  4. 149-ФЗ, как основание обработки (основание, которое уже «набило оскомину»), не дает вам права на сбор любых данных. Если вы используете шаблон с сайта Тильда, не стоит для всего ставить этот закон.

Последствия ошибки

Законодательство строго наказывает за нарушение выбора основания для обработки персональных данных.

Обработка данных без законного основания или несовместимая с целями – это штраф до 700 000 рублей (для ИП и юридических лиц), а при повторном совершении – до 1,5 млн. руб.

Заключение

Правовое основание для обработки ПДн – это не просто формальность, это строгое установление границ дозволенного и ваш «разрешительный билет» на сбор данных.

Если вы не знаете какое основание выбрать, я готов вам помочь, в описании профиля указан адрес электронной почты, напишите мне, и мы решим эту проблему.

P.S. Как человек с юридическими и IT-знаниями, я вижу не только текст политики, но и то, как скрипты на вашем сайте этот текст игнорируют. Я подготовил чек-лист для проверки сайта на соответствие 152-ФЗ. Присылайте на почту kartashovdmitriyi@yandex.ru свой сайт — проведу экспресс-аудит и подсвечу «красные флаги» бесплатно.