При запуске и функционировании практически любого IT проекта или цифровой платформы возникает множество вопросов с персональными данными.
И с каждым из них нужно разобраться, чтобы:
Мы собрали основные заблуждения в области ПДН, чтобы вы понимали куда стоит двигаться.
Многие считают, что для обработки персональных данных обязательно нужно получать согласие. Однако закон предоставляет несколько оснований для обработки, включая договорные обязательства и законные интересы. Согласие — это лишь одно из возможных оснований и не всегда является необходимым.
Но! Это не значит, что согласие не нужно. Каждый раз, когда вы собираете ПДН (на сайте, при коммуникации) у вас должно быть четкое правовое основания для этого. И оно должно быть подтверждено соответствующим документом.
Некоторые предприниматели полагают, что наличие договора автоматически решает все вопросы с обработкой персональных данных.
Важно учитывать, что не все действия, связанные с обработкой, могут быть оправданы наличием договора.
Помните, что при каждом сборе данных у Вас есть конкретная цель и работать с данными с иными целями нельзя.
Даже если Ваш сайт не требует ввода личных данных, Вы все равно можете обрабатывать файлы cookies, которые также считаются персональными данными. Это значит, что политика конфиденциальности необходима в любом случае.
Внимание! Политика конфиденциальности (обработки ПДн) должна быть размещена в подвале сайте и должна быть доступна для ознакомления с любой страницы.
А вот делать так, чтобы пользователь акцептовал политику не нужно (такого требования закон не содержит).
Файлы cookies могут содержать идентифицирующую информацию, такую как IP-адрес или электронная почта. Если эти данные позволяют установить личность пользователя, то они подпадают под действие законодательства о персональных данных.
Предустановка галочек на согласие является нарушением законодательства (это все равно, что дать на подпись документ на которой уже стоит подпись).
Каждый пользователь должен самостоятельно решить, согласен ли он на обработку своих данных.
Важно! Вы должны фиксировать факт подписания документы (в т.ч. формировать на своей стороне log-файл, чтобы по запросу РКН, ФАС или суда
Даже без сайта организация взаимодействует с субъектами ПДн, например, при найме сотрудников или заключении договоров. Политика обработки данных требуется независимо от наличия интернет-ресурса.
ПДн должны храниться только в течение необходимого времени (с учетом цели обработки и срока, указанного в согласии).
Бессрочное хранение данных является нарушением и может повлечь за собой серьезные последствия.
Нет. Вы становитесь оператором, если обрабатываете ПДН (проще говоря, если хоть как то с ПДН работаете).
А вот отсутствие в реестре РКН является существенным нарушением.
Это самое популярное заблуждение. И оно не верное. А вот риск, что при рандомных проверках сайтов РКН выявит, что в реестре вас нет – велик. И тогда есть шанс получить штраф (в лучшем случае).
