Тема персональных данных сейчас постоянно всплывает в новостях, различных дискуссиях, обсуждениях. Тот факт, что Роскомнадзор явно взялся «закручивать гайки», ни у кого не вызывает сомнения.
Правда, многие до сих пор думают, что если все процессы, связанные с персональными данными, закрыть большим количеством согласий на обработку, а в них включить все-все данные, то это защитит компанию от судебных исков и штрафов.
Судебный кейс
Увы, но сбор максимально возможного числа согласий не спасет. Недавнее решение арбитражного апелляционного суда это подтверждает. Причем в данном случае проиграл спор государственный орган – ИФНС, которая собирала по согласию на обработку явно избыточные персональные данные.
Компания пришла за получением услуги – изготовлением квалифицированного сертификата ключа проверки электронной подписи юридического лица. В согласии на обработку персональных данных от ИФНС, помимо прочего, фигурировали фото и пол. При оказании услуги лично, эти данные явно избыточны, а потому компания вычеркнула их из согласия, но подписалась под всем остальным.
ИФНС в услуге отказали, и даже суд первой инстанции встал на ее сторону, но апелляция все это отменила. Основанием стал как раз принцип обработки персональных данных, который требует обрабатывать данные только в жесткой привязке к цели обработки и не превышать объем необходимых данных именно для данной цели. Та самая пресловутая избыточность персональных данных.
И никакое согласие не помогло даже госоргану собирать побольше. Суд обратил внимание сторон на то, что согласие должно быть дано свободно и добровольно. Кроме того, субъект персональных данных сам вправе решать, на какие данные он дает согласие. И да, в рассматриваемом случае отказ от предоставления части данных не влиял на оказание услуги, а значит, в согласии явно были избыточные данные. И это не единичный случай.
Похожие судебные решения
Не так давно банк ВТБ был вынужден спешно переподписывать согласие на обработку со всеми клиентами, потому что проиграл суд физическому лицу, клиенту. В прежней форме согласия все цели обработки были даны общим блоком, и у клиентов не было возможности отказаться, например, от маркетинговой рассылки.
А еще раньше Нестле проиграла в споре с бывшим сотрудником, в том числе, в части согласия на обработку персональных данных для предоставления ДМС. Там прямо сильно избыточно собирали, что для оказания самой услуги было совершенно не нужно.
К чему все идет
В целом, за без малого 20 лет существования Закона о персональных данных все как-то привыкли, что можно не задумываться о цели обработки, собирать побольше, главное – согласие взять. Причем, в приказном формате. Никого не смущал тот факт, что все это не соответствует требованиям того самого закона.
Но сейчас регулятор не просто обратил на все это внимание, а собирается пресечь все злоупотребления. Причем, один из путей – это полный запрет на согласия.
Вы себе можете представить, как будут выгладить процессы, связанные с обработкой персональных данных, в вашей компании без согласий?
Вы знаете, какие вообще существуют основания для обработки?
Вы точно уверены, что сможете для каждых данных объяснить законное основание?
Если в ответах вы не уверены, мы можем помочь. Приходите к нам на услугу по созданию документального фонда по персональным данным. Мы проанализируем ваши процессы, скорректируем их, где это необходимо, обеспечим ваш бизнес пакетом документов, который позволит вам не дергаться от новостей про персональные данные и новации Роскомнадзора.
