8 мифов о персональных данных

Алексей Зенин

Юрист

В Федеральном законе N 152-ФЗ «О персональных данных» иногда встречаются спорные формулировки. Например, ключевое определение «персональных данных» из 3 статьи сформулировано настолько широко, что иногда действительно трудно понять, обрабатывает компания-оператор персональные данные или нет.

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)

Законодательство не дает чёткого перечня персональных данных, в который можно было бы посмотреть и сказать: «Да, вот сейчас я обрабатываю персональные данные» или «Нет, вот тут нет персональных данных». Поэтому компаниям приходится самостоятельно относить ту или иную информацию к персональным данным, зачастую ошибаясь и выдавая желаемое за действительное.

Из-за неоднозначности в формулировках закон «О персональных данных» оброс мифами. В этой статье мы собрали 8 самых популярных заблуждений, с которыми ежедневно сталкиваемся в работе, и рассказываем, как обстоят дела на самом деле.

Миф первый: я собираю емейлы, я не оператор персональных данных

Если вы собираете емейлы пользователей на сайте или в анкетах, чтобы отправлять им емейл-рассылки, то вы однозначно оператор персональных данных.

Подтверждение можно найти в пункте 2 статьи 3 ФЗ «О персональных данных», в котором говорится, что компания, собирающая персональные данные с определенной целью, является оператором.

Причем согласно 22 статье из закона, которая обязывает каждую компанию-оператора уведомлять Роскомнадзор о начале работы с персональными данными, оператором вы являетесь независимо от того, отправляли вы уведомление о начале обработки персональных данных в Роскомнадзор или нет.

Формула простая: собираете емейлы для осуществления рассылок — вы оператор.

Миф второй: хранение персональных данных — это не обработка персональных данных

В пункте 3 статьи 3 ФЗ «О персональных данных» говорится, что обработка персональных данных — это любое действие с персональными данными, например, сбор (получение емейлов через формы на сайте), использование (рассылка сообщений на эти емейл-адреса) и хранение (когда вы храните емейлы в базе данных в CRM-системе).

Таким образом, хранение емейлов (персональных данных) — это обработка персональных данных, даже если вы ничего не отправляете по своей базе.

Миф третий: если передать базу с подписчиками в ExpertSender, наша компания больше не несет ответственности перед подписчиками, вся ответственность на ExpertSender

Пункты 3-5 статьи 6 ФЗ «О персональных данных» прямо устанавливают, что в случае передачи персональных данных третьему лицу по договору ответственность за сохранность персональных данных перед пользователем несёт оператор персональных данных, а не третье лицо.

Если перевести с юридического на человеческий, схема выглядит так:
Вы получаете персональные данные от пользователя — вы несёте ответственность перед пользователем. ExpertSender получает персональные данные пользователя от вас — ExpertSender несёт ответственность перед вами, а не перед пользователем.

Миф четвертый: ФИО, емейлы, телефоны из VK, FB, Instagram можно брать и использовать в маркетинге

Нет, брать такие данные без согласия пользователя запрещено.

Об этом в 2017 году со ссылкой на Роскомнадзор рассказывали «Известия». Позиция Роскомнадзора простая: чтобы обрабатывать персональные данные, нужно согласие пользователя в соответствии со статьей 6 ФЗ «О персональных данных». Нет согласия — нет обработки.

Размещая свои ФИО, телефон или емейл в социальной сети, пользователь даёт согласие на обработку только данной социальной сети и больше никому.

Миф пятый: емейл — не персональные данные, могу собирать и ничего не бояться

Если вы собираете только емейлы «koshechka222@mail.ru» или «SuperSANYA111@yandex.ru» и при этом не собираете дополнительной информации в виде как минимум ФИО, то возможно (я подчеркну, именно возможно) такие емейлы в случае спора с Роскомнадзором не признают персональными данными.

Но давайте будем реалистами:
1. Если вы собираете базу, помимо кошечек222 и СуперСань111 к вам в базу 100% попадут IvanovIvan1993, SmirnovaAnastasiya_msk1979, а эти емейлы будут являться персональными данными однозначно, так как есть прямое указание на пол, имя и фамилию, возраст и место жительства;

2. К вам в любом случае попадут и другие персональные данные пользователя. Вы либо уже собираете ФИО, дату рождения и т.д, либо в процессе взаимодействия с пользователем он сам сообщит вам эти данные.

3. 13 сентября 2019 года вышло Постановление 1197 Правительства РФ, которое включило адрес любой электронной почты в состав сведений, размещаемых в Единой информационной системе персональных данных. То есть Правительство РФ прямо назвало адрес электронной почты персональными данными.

Миф шестой: подписчик отписался, но я всё равно отправлю ему письмо через год с предложением подписаться обратно

Отписаться от рассылки, то есть отозвать своё согласие на обработку персональных данных, — законное право пользователя. С момента отписки обработка персональных данных должна быть прекращена.

Если подписчик отписался, а вы через год отправите ему письмо с предложением вернуться, это будет свидетельствовать о том, что вы продолжили обработку персональных данных после отписки, что будет прямым нарушением закона. Пользователь пожалуется, а вы получите штраф до 50 тысяч рублей по части 1 ст. 13.11 КоАП.

Миф седьмой: я могу использовать купленную базу

К сожалению, всё ещё есть компании, которые для рассылок не собирают емейлы самостоятельно на сайте или оффлайн, а предпочитают купить «базу» на сторонних ресурсах. Делать так нельзя.

Как минимум, это будет противоречить статье 18 ФЗ «О рекламе», в которой говорится, что емейл-рассылки могут осуществляться только с согласия пользователя. Пользователи из купленной базы такого согласия, естественно, не давали. Штраф за нарушение по части 1 статьи 14.3. КоАП РФ до 500 тысяч рублей.

Как максимум, вас признают виновным в нарушении неприкосновенности частной жизни, а тут уже можно получить реальный срок до 2 лет по статье 137 Уголовного кодекса.

Миф восьмой: Трансграничная передача персональных данных запрещена

Трансграничная передача персональных данных — это отправка данных на территорию иностранного государства, например, из России в Германию или Францию.

Если страна, куда вы планируете передавать данные, не ратифицировала 108 Конвенцию, нужно будет получить письменное согласие пользователя.

Передача персональных данных разрешена статьей 12 ФЗ «О персональных данных» на территорию стран, ратифицировавших 108 Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, либо обеспечивающих адекватную защиту персональных данных. Страны участницы конвенции размещены на сайте Совета Европы. В эти страны передавать персональные данные российских граждан можно.

Сбор персональных данных граждан должен осуществляться только на территории России, но передавать данные после этого трансгранично не запрещено.

Получается, мифы действительно мифы?

Получается, так. Тем не менее, я не советую использовать данную статью как официальный комментарий. Наша цель была рассказать вам о наиболее частых заблуждениях, основываясь на практике и законе.

В каждом отдельном случае привлекайте юристов для детального анализа вопроса и не верьте слухам 🙂

Согласен

Мы используем файлы cookie для записи информации о сеансе, например, прошлой активности на сайте, чтобы обеспечить лучший сервис, когда посетители возвращаются на наш сайт или настраивают содержимое веб-страницы на основе типа браузера посетителей. Используя веб-сайт, вы выражаете свое согласие с нашей политикой cookie. Вы можете изменить настройки файла cookie в своем веб-браузере.