Хабрахабр

Почему не нужно всегда получать согласие на обработку персональных данных в рамках GDPR

Статья для тех, у кого клиенты в Евросоюзе. Я работаю юристом в компании ISPsystem и уже пару месяцев разбираюсь в тонкостях GDPR. В этой статье поделюсь своими мыслями о нем и расскажу, почему не надо по любому поводу спрашивать у клиента разрешение на обработку персональных данных.

Лайфхак по 152-ФЗ

Для начала небольшое, но важное отступление.

Те собирались дорабатывать сайт магазина. Недавно знакомый из торговой компании попросил посмотреть их договор с веб-студией. Я подумал: «Они это серьезно?» И сам же ответил: «К сожалению, да».
Такой же совет будет в семи из десяти статей-инструкций по соблюдению закона «О персональных данных» (152-ФЗ). Первым делом я открыл техзадание и увидел, что ребята планируют зарегистрировать владельца сайта в Роскомнадзоре как оператора персональных данных. И многие этой рекомендации следуют. Советчики говорят: «Первым делом подайте заявление о включении в реестр операторов персональных данных».

Статья 22 того же закона определяет, что если обработка данных необходима для исполнения договора, то уведомлять Роскомнадзор не нужно. А теперь внимание!

Отлично! Вы продаёте товары/услуги через интернет? Вот такой простой рецепт.
Ну а теперь к теме. Если не используете данные ни для чего больше, то и уведомление в Роскомнадзор подавать не надо.

О GDPR и почве для ошибок

25 мая в силу вступает европейский аналог нашего 152-ФЗ — GDPR (General Data Protection Regulation). Документ касается всех, кто продает на территории Евросоюза товары и услуги. Разобраться в нем сложно, а за нарушение грозят штрафы до 20 000 000 евро или 4% от годовой общемировой выручки. Поэтому о GDPR говорят много, и как в истории со 152-ФЗ дают якобы универсальный совет: «получайте согласие на обработку персональных данных».

Европейский интернет пестрит такими заявлениями (вырвано из контекста):

Not only will that meet the requirement of a legal basis to collect, but it’s also a general requirement under the GDPR».
«You should always get consent for the data you wish to collect.

Если перевести совсем вольно, то выходит: «вы должны всегда получать согласие».

Но действительно ли всегда нужно согласие на обработку персональных данных? После таких статей хочется сделать 100500 «галочек о согласии». Как минимум — не всегда. Нет, не нужно!

Ложки не существует» ((С) фильм «Матрица»).
image «Попытайся понять главное.

Но это неверно. Мы привыкли воспринимать согласие пользователя как единственно возможное основание для обработки данных. Согласие как зеленка: помогает, но не от всего. Надо воспринимать его как отдельный правовой базис, как одно из оснований.

Основания для работы с персональными данными

Обработка персональных данных законна, только если она производится в соответствии с принципами ст. 5 и на основании одного из шести правовых базисов ст. 6 GDPR.

Несмотря на то что слово «согласие» встречается в тексте GDPR 72 раза, это всего лишь одно из оснований обработки, и не более.

7 ст. Согласно п. Но для этого нужно изучить много нормативов и сослаться на конкретные положения законов. 14 нашего 152-ФЗ, оператор (в терминологии GDPR «контролер», лицо, которое определяет цели и средства обработки) тоже должен определить правовые основания и цели обработки персональных данных. В GDPR проще: закон требует определить только правовой базис.

6(1) GDPR к таким базисам относятся: С позиции ст.

  • a) согласие субъекта данных на обработку персональных данных для одной или нескольких конкретных целей;
  • b) обработка для исполнения договора, в котором субъект данных является одной из сторон, а равно и в отношении шагов, предшествующих заключению договора;
  • c) обработка необходима для соблюдения законных обязанностей, субъектом которых является контролёр;
  • d) обработка для защиты жизненных интересов субъекта данных, либо иного физического лица;
  • e) обработка в общественных интересах или при осуществлении официальных полномочий, возложенных на контролера;
  • f) обработка для целей обеспечения законных интересов контролёра или третьего лица.

Согласие субъекта данных нужно, только если никакой другой базис не подходит. Везде и всегда его получать не надо. Тем более что по GDPR у субъекта данных должна быть возможность легко изменить свое решение: как поставить галочку, так и снять ее.

Откажитесь от сбора информации, которую вы собираете на всякий случай. Поэтому до начала верстки формы с «галочками» определите, какие данные и зачем вы собираете, установите применимый базис. Об этом и расскажу подробнее. Не исключено, что после этого вам вообще не потребуется получать согласие на обработку.

Персональные данные и договор: обрабатываем и не спрашиваем

Базис по своему содержанию аналогичен российскому законодательству (вспомним историю из введения).

(b) ст. Согласно подп. Даже до заключения договора, но при условии, что действия были запрошены самим субъектом данных (например, он отправил заявку). 6(1) GDPR, если обработка данных необходима для исполнения договора, вы можете без труда — и, главное, без согласия — ее производить.

Если информация нужна для заполнения полей CRM, то она остается вне этого базиса. Здесь стоит сделать ремарку: данные должны обрабатываться только в том объеме, который необходим для исполнения договора.

Компания продает товары через интернет. Простой пример. Надо получать согласие? При оформлении покупки клиент предоставляет персональные данные, магазин обрабатывает их в связи с исполнением договора. Нет, если данные не избыточны и не будут использоваться иным способом.

5, ст. Необходимо только сообщить пользователю, что данные все-таки обрабатываются, а также рассказать о способах обработки, мерах по защите и ознакомить с иной информацией в соответствии с GDPR (ст. 13, 14).

Требовать поставить пресловутую галочку о согласии, создавать технические условия с целью возможности подтверждения получения согласия (п. В форму заказа магазину надо добавить только уведомление об ознакомлении с политикой. Отмечу, что хорошо бы иметь галочку об ознакомлении с политикой. 42 преамбулы) не нужно.

В этом случае обработка имеет две цели, вторая из которых должна строиться на основании согласия или на основании законного интереса (о нем ниже). Однако, если компания хочет использовать персональные данные, например, для точечных рекламных рассылок, то это уже не подпадает под договорный базис.

Законный интерес или базис без согласия

Вторым наиболее пластичным базисом является «законный интерес» (legitimate interest).
Законный интерес не является новым для сферы защиты данных. Отличия в деталях.
Пункт 47 преамбулы GDPR раскрывает смысл базиса. Думаю, полезно привести его полное содержание. По тексту под «законным интересом» понимается именно сам базис.

Такой законный интерес может иметь место, например, если между субъектом данных и контролёром существуют соответствующие отношения в ситуациях, когда субъект данных является клиентом или является работником. «(47) Законные интересы контролёра <…> или третьей стороны могут создать правовые основания для обработки, при условии, что они не имеют преимущественной силы над интересами или основными правами и свободами субъекта данных, с учётом разумных ожиданий субъектов данных, основанных на взаимоотношении с контролёром. Обработка персональных данных в целях директ-маркетинга может рассматриваться в качестве обработки, служащей законному интересу». В любом случае наличие законного интереса нуждается в тщательной оценке, в том числе относительно того, может ли субъект данных при сборе персональных данных разумно ожидать, что обработка будет осуществляться для указанной цели <…> Обработка персональных данных, необходимая в целях предотвращения мошенничества, также является законным интересом соответствующего контролёра данных.

Выделим основные критерии для применения данного базиса:

  1. Вы преследуете законную цель.
  2. Обработка необходима, то есть цели нельзя достигнуть иным способом.
  3. Обработка сбалансирована, а потенциальный вред не является существенным.
  4. Обработка очевидна для субъекта данных.

Базис многогранный и непростой. Возможные ситуации его применения: предотвращение мошенничества, правовая защита, директ-маркетинг. В случае с директ-маркетингом следует обратиться также к ст. 21 GDPR и актам регулирования электронной коммерции, например, European Directive 2002/58/EC.

Суть в двух словах: компания из сферы ЖКХ передала юрфирме данные о неплательщиках, чтобы та подготовила исковое заявление в суд. Для иллюстрации основания законного интереса расскажу про абсурдный случай из российской судебной практики. 13. В свою очередь, один из должников добился привлечения компании к административной ответственности по ст. Абсурд! 11 КоАП РФ, так как согласия на передачу своих данных не давал. Этого бы не случилось, если в законе применялся базис законного интереса. Фактически 152-ФЗ ущемил права участников гражданского оборота и привел к возможности злоупотребления со стороны должника. В GDPR он создает вполне законную почву для такой передачи данных.

Базис законного интереса на практике

Предположим, компания-разработчик предоставляет доступ к веб-сервису по лицензии. Персональные данные использует для заключения договора и сбора статистики (не обезличенной). Налицо две цели обработки данных: исполнение договора и улучшение продукта, решение технических проблем.

(b) ст. Первая цель относится к договорному базису (подп. 6(1)) и не требует согласия.

Вторая цель может реализовываться на основании:

(b) ст. а) согласия (подп. (f) ст. 6(1)),
б) базиса законного интереса (подп. 6(1)).

Много ли пользователей согласится предоставлять данные для сбора статистики? Если компания решит применять базис согласия, ей придется добавить в форму заказа не отмеченный заранее чекбокс. Вряд ли.

21 (4) GDPR). При применении базиса законного интереса компания только рассказывает о правах, не требуя активных действий (ст. Более того, если преобладающий интерес над правами субъекта данных обоснован, компания вправе обрабатывать данные независимо от отказа.

Проверим:
Сможет ли компания ответить на вопросы для применения базиса законного интереса?

Цель использования

Повышение стабильности продукта для соблюдения интересов лицензиата.

Необходимость

Иным способом получить статистику в совокупности необходимых параметров невозможно.

Баланс интересов

Обработка сбалансирована, а потенциальный вред не является существенным.

Открытость

Обработка данных открытая и очевидная для субъекта данных.

Как видим, у компании есть все основания не получать согласия. Но следует помнить об ограничениях:

  • До сбора персональных данных субъекту должно быть сообщено о целях и законном интересе обработки (пункт (d) ст. 13 (1), пункт (b) ст. 14(2) GDPR). То есть применение должно быть публично мотивировано и документировано.
  • Субъекту данных должно быть предоставлено право на возражение против обработки (ст. 21), право на удаление и ограничение.

С другой стороны, при сборе статистики просто соблюсти закон можно другим способом: обезличить данные. Обработка анонимизированных данных не регламентируется GDPR.

Выводы

  1. Не спешите получать согласие на обработку персональных данных. Сначала ответьте на вопросы: чьи и какие данные вы собираете, с какой целью, какие меры защиты применяете, кому эти данные раскрываете, какой из базисов будет наиболее применим.
  2. Если вы поняли, что собираете избыточные данные, откажитесь от их сбора. Основания для сбора остальных, меры по их защите и потенциальные каналы передачи зафиксируйте в политике обработки персональных данных. Более того, обработку и передачу необходимо документировать. Information Commissioner's Office рассказывает, как это сделать и рекомендует форму учетного документа.
  3. Если вы собираете данные только для оказания услуг и продажи товаров, то вам не нужно получать согласие (но все еще надо оформить политику и выполнять иные формальности).
  4. Если вы собираете данные еще и для анализа, защиты от мошенничества, нелегальной активности, определите, подпадает ли этот сбор под базис законного интереса, если да, напишите об этом в политике. Или анонимизируйте данные, или, если вам так проще, получайте согласие на обработку.
  5. Получая согласие на обработку, предусмотрите возможность отзыва этого согласия.
  6. Каждое ваше решение должно быть обосновано исходя из специфики вашей деятельности, собираемых данных, а также детально документировано.

GDPR – это крайне обширная тема, детали которой охватить в одной статье невозможно.
Здесь я не коснулся вопросов обработки специальных категорий данных, а также тонкостей и особенностей применения проиллюстрированных базисов, прав и обязанностей сторон, вовлеченных в обработку, вопросы трансграничной передачи и множество иных связанных с GDPR проблем.

Именно он должен иметь над ними полный контроль — от получения информации, редактирования до права ограничения обработки или удаления. GDPR подчеркивает, что персональные данные принадлежат не вам, а субъекту данных.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть