Что нужно знать предпринимателя и Prodject менеджеру про персональные данные в IT проекте

При запуске и функционировании практически любого IT проекта или цифровой платформы возникает множество вопросов с персональными данными.

И с каждым из них нужно разобраться, чтобы:

• IT проект мог развиваться без рисков (в т.ч штрафов от РКН);
• компания могла получить инвестиции;
• пользователи и контрагенты видели, что вы защищаете их данные.

Мы собрали основные заблуждения в области ПДН, чтобы вы понимали куда стоит двигаться.

№1: Согласие на обработку ПДн требуется всегда

Многие считают, что для обработки персональных данных обязательно нужно получать согласие. Однако закон предоставляет несколько оснований для обработки, включая договорные обязательства и законные интересы. Согласие — это лишь одно из возможных оснований и не всегда является необходимым.

Но! Это не значит, что согласие не нужно. Каждый раз, когда вы собираете ПДН (на сайте, при коммуникации) у вас должно быть четкое правовое основания для этого. И оно должно быть подтверждено соответствующим документом.

№2: Если есть договор, то я могу делать с данными все что хочу и согласие не нужно

Некоторые предприниматели полагают, что наличие договора автоматически решает все вопросы с обработкой персональных данных.

Важно учитывать, что не все действия, связанные с обработкой, могут быть оправданы наличием договора.

Помните, что при каждом сборе данных у Вас есть конкретная цель и работать с данными с иными целями нельзя.

№3: Политика конфиденциальности не нужна

Даже если Ваш сайт не требует ввода личных данных, Вы все равно можете обрабатывать файлы cookies, которые также считаются персональными данными. Это значит, что политика конфиденциальности необходима в любом случае.

Внимание! Политика конфиденциальности (обработки ПДн) должна быть размещена в подвале сайте и должна быть доступна для ознакомления с любой страницы.

А вот делать так, чтобы пользователь акцептовал политику не нужно (такого требования закон не содержит).

№4: Cookies не являются ПДн

Файлы cookies могут содержать идентифицирующую информацию, такую как IP-адрес или электронная почта. Если эти данные позволяют установить личность пользователя, то они подпадают под действие законодательства о персональных данных.

№ 5: Предустановленные галочки допустимы (конверсия превыше всего)

Предустановка галочек на согласие является нарушением законодательства (это все равно, что дать на подпись документ на которой уже стоит подпись).

Каждый пользователь должен самостоятельно решить, согласен ли он на обработку своих данных.

Важно! Вы должны фиксировать факт подписания документы (в т.ч. формировать на своей стороне log-файл, чтобы по запросу РКН, ФАС или суда

№6: Если нет сайта, политика не нужна

Даже без сайта организация взаимодействует с субъектами ПДн, например, при найме сотрудников или заключении договоров. Политика обработки данных требуется независимо от наличия интернет-ресурса.

№7: Персональные данные можно хранить вечно

ПДн должны храниться только в течение необходимого времени (с учетом цели обработки и срока, указанного в согласии).

Бессрочное хранение данных является нарушением и может повлечь за собой серьезные последствия.

№ 8 Если меня нет в реестре операторов, то я не оператор

Нет. Вы становитесь оператором, если обрабатываете ПДН (проще говоря, если хоть как то с ПДН работаете).

А вот отсутствие в реестре РКН является существенным нарушением.

№ 9 Если я включусь в реестр сразу РКН назначит проверку

Это самое популярное заблуждение. И оно не верное. А вот риск, что при рандомных проверках сайтов РКН выявит, что в реестре вас нет – велик. И тогда есть шанс получить штраф (в лучшем случае).

Если вы запускаете IT проект и хотите разобраться с ПДн вам нужно:

• определить точки сбора ПДн;
• для каждого случая определить правовое основание обработки ПДн;
• сформировать и разместить согласия на обработку ПДн, создать процесс фиксации факта дачи согласия со стороны пользователя;
• разместить на сайте Политику обработки ПДн;
• подать сведения в реестр операторов ПДн (РКН);
• разработать внутренние документы по работе с ПДн;
• внедрить защиту ПДн