Чем хорошо согласие на обработку персональных данных? Ответ очевиден: согласие представляется универсальным основанием, легитимирующим обработку персональных данных. Бизнесу куда проще "освоить" и применять его, чем разбираться в альтернативных согласию основаниях обработки из ч. 1 ст. 6 ФЗ "О персональных данных", положений о биометрии и спецкатегориях.
Кроме того, указывая в согласии перечень собираемых персональных данных, цели и способы их обработки, мы формализуем обработку, фиксируем для себя и субъекта, что и в каких целях мы делаем с его персональными данными. Также может показаться, что через согласие мы "расширяем" рамки дозволенной обработки, добавив к необходимому в конкретном случаю минимуму обрабатываемых данных то, что нам в целом не нужно, но хотелось бы собрать.
Все эти аргументы "за" согласие в некоторой степени справедливы. Тем не менее, повсеместное использование согласий, по нашему мнению, скорее вредит, привносит ложное чувство уверенности в законности обработки, чем порождает риски привлечения конкретного проекта к ответственности за, например, излишнюю обработку персональных данных, обработку персональных данных на основании согласий, не соответствующих требованиям ч. 1 (и в некоторых случаях ч. 4) ст. 9 ФЗ "О персональных данных".
Но может ли бизнес отказаться от использования согласий вообще и применять вместо них альтернативные основания обработки? Наш ответ - и да, и нет.
Значительным плюсом отказа от согласий для бизнеса является вызванное таким отказом сокращение перечня обрабатываемых персональных данных и сроков их обработки. Уменьшая объемы обрабатываемых данных, вы тем самым снижаете потенциальные последствия их утечки, риск обращения субъекта персональных данных в РКН из-за незаконной, по мнению субъекта, обработки его данных. Кроме того, отказ от согласий в некоторой степени дисциплинирует, обязывает бизнес правильно работать с персональными данными, осуществлять их учет и своевременное уничтожение. Куда проще отладить процессы работы с персданными "на берегу", пока проект не разросся, чем потом, по получении предписания РКН, когда проект обрабатывает десятки и сотни тысяч пользовательских данных.
Тем не менее, на текущем этапе полный отказ от согласий затруднен. Большой проблемой нашего законодательства о персональных данных является опора на практику, позиции регулятора. Часть из этих позиций с течением времени меняется, вынуждая операторов перестраивать процессы. Пройдемся по самому очевидному:
1.Вправе ли мы привлекать обработчиков без получения упомянутого в ч. 3 ст. 6 ФЗ "О персональных данных" согласия субъекта? По позиции РКН - да, согласие, упомянутое в ч. 3 ст. 6 нужно, если обработка осуществляется на основании согласия. Тем не менее, непонятно, в каком случае передача конкретной обработки персональных данных "на аутсорс" будет покрываться альтернативным согласию основанием, такая передача должна быть необходимой или оператор может передать "на аутсорс" любую обработку, даже ту, которую может осуществлять самостоятельно.
2. Вправе ли мы хранить персональные данные клиентов (и их представителей) в течение срока исковой давности или обязаны их уничтожить в момент достижения цели обработки (как правило, исполнению договора с клиентом)? По позиции РКН уничтожать нужно, хранить мы можем лишь документы бухгалтерского и налогового учета (и, соответственно, содержащиеся в них ПДн) в сроки, установленные законом. Такая позиция порождает информационную асимметрию между оператором и субъектом, который свободен сохранять всю коммуникацию с оператором и использовать её по своему усмотрению.
3. Вправе ли мы передавать данные своих работников без согласий при организации командировок, ДМС, иных корпоративных "плюшек"? It depends, позиция РКН и судов по данному вопросу расходится. Так, например, в Деле Аэрофлота суд встал на позицию компании, в одном из аргументов указав, что согласие работников Аэрофлота для оформления ДМС и санаторно-курортного обеспечения компании не требуется, несмотря на положения ст. 88 ТК РФ. Регулятор же настаивал на том, что передача данных работников страховщику без их согласия является нарушением законодательства.
Такая неопределенность преследует бизнес и во многих других более специфичных вопросах. От этого специалисты рассматривают эту неопределенность как потенциальный риск, с которым нужно бороться путем получения согласий. И с ними сложно не согласиться. Гораздо проще внести в процесс лишний чек-бокс, разработать лишний документ, чем в будущем защищать позицию о допустимости работы без согласий в суде.
В связи с этим наш изначальный ответ на вопрос из заглавия - мы очень хотим, чтобы бизнес работал без согласий, тем не менее, реалии таковы, что зачастую отказ от согласий привносит риски и должен быть скорее исключением, чем общим правилом.
Кроме того, указывая в согласии перечень собираемых персональных данных, цели и способы их обработки, мы формализуем обработку, фиксируем для себя и субъекта, что и в каких целях мы делаем с его персональными данными. Также может показаться, что через согласие мы "расширяем" рамки дозволенной обработки, добавив к необходимому в конкретном случаю минимуму обрабатываемых данных то, что нам в целом не нужно, но хотелось бы собрать.
Все эти аргументы "за" согласие в некоторой степени справедливы. Тем не менее, повсеместное использование согласий, по нашему мнению, скорее вредит, привносит ложное чувство уверенности в законности обработки, чем порождает риски привлечения конкретного проекта к ответственности за, например, излишнюю обработку персональных данных, обработку персональных данных на основании согласий, не соответствующих требованиям ч. 1 (и в некоторых случаях ч. 4) ст. 9 ФЗ "О персональных данных".
Но может ли бизнес отказаться от использования согласий вообще и применять вместо них альтернативные основания обработки? Наш ответ - и да, и нет.
Значительным плюсом отказа от согласий для бизнеса является вызванное таким отказом сокращение перечня обрабатываемых персональных данных и сроков их обработки. Уменьшая объемы обрабатываемых данных, вы тем самым снижаете потенциальные последствия их утечки, риск обращения субъекта персональных данных в РКН из-за незаконной, по мнению субъекта, обработки его данных. Кроме того, отказ от согласий в некоторой степени дисциплинирует, обязывает бизнес правильно работать с персональными данными, осуществлять их учет и своевременное уничтожение. Куда проще отладить процессы работы с персданными "на берегу", пока проект не разросся, чем потом, по получении предписания РКН, когда проект обрабатывает десятки и сотни тысяч пользовательских данных.
Тем не менее, на текущем этапе полный отказ от согласий затруднен. Большой проблемой нашего законодательства о персональных данных является опора на практику, позиции регулятора. Часть из этих позиций с течением времени меняется, вынуждая операторов перестраивать процессы. Пройдемся по самому очевидному:
1.Вправе ли мы привлекать обработчиков без получения упомянутого в ч. 3 ст. 6 ФЗ "О персональных данных" согласия субъекта? По позиции РКН - да, согласие, упомянутое в ч. 3 ст. 6 нужно, если обработка осуществляется на основании согласия. Тем не менее, непонятно, в каком случае передача конкретной обработки персональных данных "на аутсорс" будет покрываться альтернативным согласию основанием, такая передача должна быть необходимой или оператор может передать "на аутсорс" любую обработку, даже ту, которую может осуществлять самостоятельно.
2. Вправе ли мы хранить персональные данные клиентов (и их представителей) в течение срока исковой давности или обязаны их уничтожить в момент достижения цели обработки (как правило, исполнению договора с клиентом)? По позиции РКН уничтожать нужно, хранить мы можем лишь документы бухгалтерского и налогового учета (и, соответственно, содержащиеся в них ПДн) в сроки, установленные законом. Такая позиция порождает информационную асимметрию между оператором и субъектом, который свободен сохранять всю коммуникацию с оператором и использовать её по своему усмотрению.
3. Вправе ли мы передавать данные своих работников без согласий при организации командировок, ДМС, иных корпоративных "плюшек"? It depends, позиция РКН и судов по данному вопросу расходится. Так, например, в Деле Аэрофлота суд встал на позицию компании, в одном из аргументов указав, что согласие работников Аэрофлота для оформления ДМС и санаторно-курортного обеспечения компании не требуется, несмотря на положения ст. 88 ТК РФ. Регулятор же настаивал на том, что передача данных работников страховщику без их согласия является нарушением законодательства.
Такая неопределенность преследует бизнес и во многих других более специфичных вопросах. От этого специалисты рассматривают эту неопределенность как потенциальный риск, с которым нужно бороться путем получения согласий. И с ними сложно не согласиться. Гораздо проще внести в процесс лишний чек-бокс, разработать лишний документ, чем в будущем защищать позицию о допустимости работы без согласий в суде.
В связи с этим наш изначальный ответ на вопрос из заглавия - мы очень хотим, чтобы бизнес работал без согласий, тем не менее, реалии таковы, что зачастую отказ от согласий привносит риски и должен быть скорее исключением, чем общим правилом.
'%3E%3Cpath d='M32 0C23.5131 0 15.3737 3.37142 9.37258 9.37258C3.37142 15.3737 0 23.5131 0 32C0 40.4869 3.37142 48.6263 9.37258 54.6274C15.3737 60.6286 23.5131 64 32 64C40.4869 64 48.6263 60.6286 54.6274 54.6274C60.6286 48.6263 64 40.4869 64 32C64 23.5131 60.6286 15.3737 54.6274 9.37258C48.6263 3.37142 40.4869 0 32 0Z' fill='%230096D1'/%3E%3Cpath d='M50.8997 22.5962C50.9726 22.3647 51.0074 22.15 50.9979 21.9583C50.9742 21.4033 50.5799 21 49.6521 21H45.507C44.4604 21 43.9775 21.6133 43.6957 22.2282C43.6957 22.2282 41.1117 27.3787 38.1335 30.775C37.1677 31.7579 36.6769 31.7333 36.1544 31.7333C35.8741 31.7333 35.1664 31.4052 35.1664 30.5051V22.5548C35.1664 21.4907 34.8925 21 34.0074 21H26.6466C26.0022 21 25.6665 21.4907 25.6665 21.9829C25.6665 23.0056 27.0883 23.2509 27.2498 26.1167V31.672C27.2498 33.0213 27.0076 33.2667 26.4851 33.2667C25.0759 33.2667 22.302 28.6667 20.4447 22.6376C20.0426 21.4508 19.6404 21 18.5938 21H14.4091C13.2011 21 13 21.5735 13 22.1868C13 23.2923 13.95 29.2693 19.1353 36.1417C22.8957 41.125 27.8499 44 32.2357 44C34.8925 44 35.1648 43.3453 35.1648 42.3225V37.7655C35.1664 36.5373 35.4561 36.3333 36.3016 36.3333C36.9048 36.3333 38.1351 36.7167 40.51 39.4C43.2492 42.4943 43.7463 44 45.317 44H49.4621C50.4247 44 50.9773 43.609 50.9995 42.85C51.0042 42.6568 50.9757 42.4406 50.9108 42.1999C50.6037 41.3167 49.1945 39.1577 47.437 37.1C46.4633 35.9607 45.5022 34.8322 45.0605 34.2189C44.7644 33.8187 44.652 33.5365 44.6662 33.2667C44.6805 32.983 44.8325 32.7131 45.0605 32.3359C45.0193 32.3359 50.3773 25.0511 50.8997 22.5962Z' fill='white'/%3E%3C/g%3E%3Cdefs%3E%3CclipPath id='clip0_8_203'%3E%3Crect width='64' height='64' fill='white'/%3E%3C/clipPath%3E%3C/defs%3E%3C/svg%3E%0A)
'%3E%3Cpath d='M32 0C14.328 0 0 14.328 0 32C0 49.672 14.328 64 32 64C49.672 64 64 49.672 64 32C64 14.328 49.672 0 32 0ZM47.7173 21.9227L42.464 46.6693C42.0773 48.424 41.032 48.8507 39.5733 48.024L31.5733 42.1307L27.7173 45.848C27.344 46.328 26.7653 46.6347 26.1173 46.6347C26.112 46.6347 26.1093 46.6347 26.104 46.6347L26.672 38.4907L41.4987 25.0987C42.1387 24.5307 41.3547 24.208 40.504 24.776L22.1867 36.312L14.2933 33.848C12.5867 33.3067 12.5387 32.1413 14.6533 31.304L45.496 19.416C46.9307 18.8933 48.1787 19.7573 47.7147 21.9253L47.7173 21.9227Z' fill='%230096D1'/%3E%3C/g%3E%3Cdefs%3E%3CclipPath id='clip0_8_214'%3E%3Crect width='64' height='64' fill='white'/%3E%3C/clipPath%3E%3C/defs%3E%3C/svg%3E%0A)