Частые ошибки операторов при обработке персональных данных

За время действия Закона о защите персональных данных Национальный центр защиты персональных данных (НЦЗПД) провел множество проверок операторов, относящихся к разным видам деятельности (ритейл, образование, медицина, консалтинг и др.).

Исходя из сложившейся практики, а также из разъяснений и комментариев контролирующего органа, можно выделить несколько наиболее распространенных ошибок, совершаемых оператором при обработке перс.данных:

1. Избыточность обработки.

К избыточности можно отнести ситуации, где компания собирает данные, которые не являются необходимыми для заявленных целей. К примеру, для направления рекламной рассылки истребуются паспортные данные, хотя фактически необходимы только номер телефона или электронная почта; при оформлении карты лояльности могут уточнять фактическое место жительства, данные родственников; при оформлении анкеты кандидата для собеседования уточняются наличие недвижимости в собственности, наличие и количество детей, хронические заболевания (если это не предусмотрено законодательством), количество кредитов и иных обязательных платежей и т.д. В приведенных примерах собирается то количество данных, которое не будет использовано при реализации заявленной цели, однако при недобросовестности оператора может быть использовано в абсолютно иных целях.

2. Отсутствие согласия/согласие, полученное с нарушениями.

Самый простой пример – формы обратной связи на сайтах, где не размещена политика и нет запроса о согласии на обработку данных, однако сама форма обратной связи собирает данные, формирует заявку и попадает к организации на почту, в CMR и др. Может быть ситуация, что согласие испрашивается не во всех случаях, когда собираются данные (к примеру, в форме обратной связи согласие есть, а при регистрации в личном кабинете – нет). Согласие, полученное с нарушениями – полученное с нарушением принципов (однозначность, свобода, информированность). Оператор при истребовании согласия может не учесть все необходимое. К примеру, как отмечает НЦЗПД, при оформлении карт лояльности оператор берет общее согласие на сразу несколько не связанных целей, что нарушает принцип свободы. Если согласие истребуется через пассивное действие – нарушается принцип однозначности и т.д.

3. Формальная реализация требований Закона.

В организации может быть разработан весь необходимый пакет документов, но простой разработки документов недостаточно. Документы могут не учитывать реальную деятельность организации и могут быть сделаны лишь «для галочки». Чтобы защита персональных данных была реальная, нужно учесть всю специфику деятельности компании. К примеру:

• устанавливать ограничения доступа работников к объему обработки персональных данных в зависимости от их должностных обязанностей,
• проводить мероприятия, направленные на ознакомление персонала с законодательством и практикой,
• проводить обучения работников, которые осуществляют обработку персональных данных,
• проводить контролирующие мероприятия и др.

4. Отсутствие информированности о трансграничной передаче данных.

Достаточно большой процент компаний в своей деятельности используют иностранные сервисы: Google, Яндекс, Meta и др. Тут речь идет об использовании электронной почты, облачного диска для хранения, чат-ботов и иных инструментов взаимодействия с перс.данными клиентов. При использовании таких сервисов нужно учитывать, что перс.данные поступают на иностранные серверы, о чем также необходимо уведомлять клиента и брать у него отдельное согласие на трансграничную передачу.

5. Подтягивание информации из открытых источников.

Компания для своих целей (реклама, рассылка) может подтягивать данные людей из каких-то открытых источников, в том числе незаконно взломанных. Данные не должны попадать таким образом в компанию и тем более использоваться.

6. Долгий срок хранения личных данных.

Поскольку удаление перс.данных это довольно непривычная практика для компаний и также – отдельный объем работы, то компании могут устанавливать слишком долгие сроки хранения, в которых нет необходимости и для которых не установлено никаких целей. Нужно адекватно оценивать для чего хранятся данные и сколько по факту их необходимо хранить.

Таким образом, для компании важно не просто разработать базовый необходимый пакет документов, но и также реализовать механизмы защиты перс.данных на практике.

Юристы компании Грин Лигал готовы оказать Вашему бизнесу необходимую помощь и поддержку в сфере защиты персональных данных.