Может ли бизнес жить без согласий на обработку персональных данных?

Чем хорошо согласие на обработку персональных данных?

Ответ очевиден: согласие представляется универсальным основанием, легитимирующим обработку персональных данных. Бизнесу куда проще "освоить" и применять его, чем разбираться в альтернативных согласию основаниях обработки из ч. 1 ст. 6 ФЗ "О персональных данных", положений о биометрии и спецкатегориях.

Кроме того, указывая в согласии перечень собираемых персональных данных, цели и способы их обработки, мы формализуем обработку, фиксируем для себя и субъекта, что и в каких целях мы делаем с его персональными данными. Также может показаться, что через согласие мы "расширяем" рамки дозволенной обработки, добавив к необходимому в конкретном случаю минимуму обрабатываемых данных то, что нам в целом не нужно, но хотелось бы собрать

Все эти аргументы "за" согласие в некоторой степени справедливы. Тем не менее, повсеместное использование согласий, по нашему мнению, скорее вредит, привносит ложное чувство уверенности в законности обработки, чем порождает риски привлечения конкретного проекта к ответственности за, например, излишнюю обработку персональных данных, обработку персональных данных на основании согласий, не соответствующих требованиям ч. 1 (и в некоторых случаях ч. 4) ст. 9 ФЗ "О персональных данных".

Возможен ли полный отказ от согласий в обработке персональных данных?

Но может ли бизнес отказаться от использования согласий вообще и применять вместо них альтернативные основания обработки? Наш ответ - и да, и нет.

Значительным плюсом отказа от согласий для бизнеса является вызванное таким отказом сокращение перечня обрабатываемых персональных данных и сроков их обработки. Уменьшая объемы обрабатываемых данных, вы тем самым снижаете потенциальные последствия их утечки, риск обращения субъекта персональных данных в РКН из-за незаконной, по мнению субъекта, обработки его данных. Кроме того, отказ от согласий в некоторой степени дисциплинирует, обязывает бизнес правильно работать с персональными данными, осуществлять их учет и своевременное уничтожение. Куда проще отладить процессы работы с персданными "на берегу", пока проект не разросся, чем потом, по получении предписания РКН, когда проект обрабатывает десятки и сотни тысяч пользовательских данных.

Тем не менее, на текущем этапе полный отказ от согласий затруднен. Большой проблемой нашего законодательства о персональных данных является опора на практику, позиции регулятора. Часть из этих позиций с течением времени меняется, вынуждая операторов перестраивать процессы.

Нужна юридическая стратегия для развития вашего бизнеса?

Нужна услуга юрист по персональным данным для подготовки документов по обработке ПДн или аудит ПДн - обращайтесь к нашим экспертам.

Обзор ключевых вопросов передачи и хранения персональных данных в бизнесе

Пройдемся по самому очевидному:

1. Вправе ли мы привлекать обработчиков без получения упомянутого в ч. 3 ст. 6 ФЗ "О персональных данных" согласия субъекта? По позиции РКН - да, согласие, упомянутое в ч. 3 ст. 6 нужно, если обработка осуществляется на основании согласия. Тем не менее, непонятно, в каком случае передача конкретной обработки персональных данных "на аутсорс" будет покрываться альтернативным согласию основанием, такая передача должна быть необходимой или оператор может передать "на аутсорс" любую обработку, даже ту, которую может осуществлять самостоятельно.
2. Вправе ли мы хранить персональные данные клиентов (и их представителей) в течение срока исковой давности или обязаны их уничтожить в момент достижения цели обработки (как правило, исполнению договора с клиентом)? По позиции РКН уничтожать нужно, хранить мы можем лишь документы бухгалтерского и налогового учета (и, соответственно, содержащиеся в них ПДн) в сроки, установленные законом. Такая позиция порождает информационную асимметрию между оператором и субъектом, который свободен сохранять всю коммуникацию с оператором и использовать её по своему усмотрению.
3. Вправе ли мы передавать данные своих работников без согласий при организации командировок, ДМС, иных корпоративных "плюшек"? It depends, позиция РКН и судов по данному вопросу расходится. Так, например, в Деле Аэрофлота суд встал на позицию компании, в одном из аргументов указав, что согласие работников Аэрофлота для оформления ДМС и санаторно-курортного обеспечения компании не требуется, несмотря на положения ст. 88 ТК РФ. Регулятор же настаивал на том, что передача данных работников страховщику без их согласия является нарушением законодательства.

Такая неопределенность преследует бизнес и во многих других более специфичных вопросах. От этого специалисты рассматривают эту неопределенность как потенциальный риск, с которым нужно бороться путем получения согласий. И с ними сложно не согласиться. Гораздо проще внести в процесс лишний чек-бокс, разработать лишний документ, чем в будущем защищать позицию о допустимости работы без согласий в суде.

В связи с этим наш изначальный ответ на вопрос из заглавия - мы очень хотим, чтобы бизнес работал без согласий, тем не менее, реалии таковы, что зачастую отказ от согласий привносит риски и должен быть скорее исключением, чем общим правилом.

Если вы хотите быстро решить юридические задачи Вашей компании, составить дорожную карту юридических задач для Вашей компании – оставляйте заявку на консультацию - заполнить форму