Мы используем cookie-файлы. Оставаясь на сайте роботов, человек соглашается на использование cookie-файлов.
Подробнее — в «Условиях использования cookie-файлов».

Как не получить штраф за обработку персональных данных

Роботы рассказывают, кто такие операторы персональных данных и что им можно и нельзя делать по российским законам.

Наталия Крайнова, бизнес-аналитик Redmadrobot

В декабре Роскомнадзор оштрафовал Google на полмиллиона рублей за отказ подключиться к Федеральной государственной информационной системе сбора, хранения и использования данных жителей России. Чтобы сэкономить ваши деньги, собрали в одном месте все, что полезно знать о работе с персональными данными.

Вы оператор данных, если у вас есть сайт или приложение с формой регистрации, обратной связи. В своих приложениях вы собираете и храните информацию, которую можно ассоциировать с конкретным человеком, а не просто логин и пароль.

Что написано в законе

Сейчас закон называет персональными данными любую информацию, которая относится к прямо или косвенно определенному или определяемому физическому лицу — субъекту персональных данных.

То есть: если можно связать любую информацию о человеке с его личностью, это персональные данные. Например, e-mail сам по себе — не персональные данные, а в связке с ФИО — да.

Правда, исчерпывающего списка персональных данных в законе сейчас нет. А потому никто в точности не понимает, что именно к ним относится. О том, как обновить существующий закон, чтобы определенности прибавилось, в минкомсвязи РФ думают с сентября.

Катя Голева,

бизнес-аналитик Redmadrobot

Например, Билайн считает персональными данными шаги, которые пользователь прошёл за день. Пользователи приложения, подключая акцию «Гиги за шаги», должны были явно разрешить использовать и хранить эти данные.

Признаки персональных данных

  • собираются и обрабатываются на справедливой и законной основе;
  • хранятся для определенных и законных целей;
  • используются только совместимыми с этими целями образом;
  • точные и обновляются, если нужно;
  • хранятся не дольше, чем это нужно для указанных целей;
  • хранятся на разных серверах, если разные персональные данные собираются в несовместимых между собой целях.

И примеры

  • Если вы просите пользователя оставить чужие данные, например, ФИО поручителя по кредиту и его телефон, пусть пользователь подтвердит, что третье лицо разрешает обрабатывать персональные данные.

  • Если пользователь уже разрешил вашей организации обрабатывать персональные данные, запрашивать разрешение повторно не нужно. К примеру, вы — банк и у пользователя уже заключен с вами письменный договор, а теперь клиент авторизуется в мобильном приложении.

  • Если вам передал данные оператор персональных данных, с которым пользователи уже подписали соответствующую политику конфиденциальности, запрашивать у пользователя разрешение не нужно.

И что теперь делать?

1. Подготовьте документ, в котором будут прописаны условия обработки персональных данных пользователей.

2. Назовите его «Пользовательское соглашение», «Согласие на обработку персональных данных», «Договор», «Политика конфиденциальности» или как-нибудь еще. Роскомнадзор даже дал рекомендации по составлению такого документа.

3. Напишите в документе, кто вы, какие данные и зачем собираете, как будете их обрабатывать, будете ли передавать третьим лицам и т.д.

4. Опубликуйте документ в сети в свободном доступе.

5. Теперь под каждой формой сбора персональных данных размещайте поле, в котором посетитель сайта сможет оставить свое согласие с вашей политикой конфиденциальности (не забудьте оставить ссылку на нее). По умолчанию поле должно быть в состоянии «не согласен» (например, пустой чекбокс). Пользователь должен явно совершить какое-то действие (поставить галочку, нажать на кнопку), которое потом будет считаться «подписью».

6. Сначала получайте согласие на обработку, потом записывайте эти данные в свои базы.

7. Кстати, хранить данные российских граждан можно только на российских серверах.

Найти и обезличить

Персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни нужно обезличить перед записью в базу.

Плохая запись в базе: Вася Филатов — белый католик, страдающий гемофилией.

Хорошая запись в базе: динамический id — белый католик, страдающий гемофилией. (Для Васи ничего не меняется, а вам не платить штраф).

Ника Фельман,

бизнес-аналитик Redmadrobot

Как-то мы делали общее хранилище данных для сети клиник. При тестировании выяснилось, что через нашу систему любой оператор сможет увидеть историю платежей и историю болезни условного Василия Филатова.

Чтобы это исправить, приняли решение присвоить каждому пользователю рандомный динамический ID. Теперь ни финансовые, ни медицинские данные нельзя было связать с конкретным человеком, а на качество отчетов это никак не влияло.

Если пользователь спросит

Однажды пользователь может запросить информацию о том, что там происходит с его персональными данными.

Если именно вы обрабатываете персональные данные, то на запрос нужно ответить. В каждом запросе нужно разбираться отдельно. Но если пользователь задает общие вопросы, то и ответ может быть типовым — ссылка на «Политику обработки персональных данных». Вы же разместили этот документ в открытых источниках, как мы рекомендовали выше?

Нас тоже раздражает реклама

Если вам звонят навязчивые продавцы, спросите, откуда они взяли ваши данные. Вариантов много, и чаще всего — незаконные. Попросите удалить ваши данные из базы — оператор обязан ваше требование выполнить, иначе ему грозит штраф.