
Лайфхак по 152-ФЗ
О GDPR и почве для ошибок
«You should always get consent for the data you wish to collect. Not only will that meet the requirement of a legal basis to collect, but it’s also a general requirement under the GDPR».
Основания для работы с персональными данными
- согласие субъекта данных на обработку персональных данных для одной или нескольких конкретных целей;
- обработка для исполнения договора, в котором субъект данных является одной из сторон, а равно и в отношении шагов, предшествующих заключению договора;
- обработка необходима для соблюдения законных обязанностей, субъектом которых является контролёр;
- обработка для защиты жизненных интересов субъекта данных, либо иного физического лица;
- обработка в общественных интересах или при осуществлении официальных полномочий, возложенных на контролера;
- обработка для целей обеспечения законных интересов контролёра или третьего лица.
Персональные данные и договор: обрабатываем и не спрашиваем
Законный интерес или базис без согласия
«(47) Законные интересы контролёра <…> или третьей стороны могут создать правовые основания для обработки, при условии, что они не имеют преимущественной силы над интересами или основными правами и свободами субъекта данных, с учётом разумных ожиданий субъектов данных, основанных на взаимоотношении с контролёром. Такой законный интерес может иметь место, например, если между субъектом данных и контролёром существуют соответствующие отношения в ситуациях, когда субъект данных является клиентом или является работником. В любом случае наличие законного интереса нуждается в тщательной оценке, в том числе относительно того, может ли субъект данных при сборе персональных данных разумно ожидать, что обработка будет осуществляться для указанной цели <…> Обработка персональных данных, необходимая в целях предотвращения мошенничества, также является законным интересом соответствующего контролёра данных. Обработка персональных данных в целях директ-маркетинга может рассматриваться в качестве обработки, служащей законному интересу».
- Вы преследуете законную цель.
- Обработка необходима, то есть цели нельзя достигнуть иным способом.
- Обработка сбалансирована, а потенциальный вред не является существенным.
- Обработка очевидна для субъекта данных.
Базис законного интереса на практике
- согласия (подп. (b) ст. 6(1)),
- базиса законного интереса (подп. (f) ст. 6(1)).
Выводы
- Не спешите получать согласие на обработку персональных данных. Сначала ответьте на вопросы: чьи и какие данные вы собираете, с какой целью, какие меры защиты применяете, кому эти данные раскрываете, какой из базисов будет наиболее применим.
- Если вы поняли, что собираете избыточные данные, откажитесь от их сбора. Основания для сбора остальных, меры по их защите и потенциальные каналы передачи зафиксируйте в политике обработки персональных данных. Более того, обработку и передачу необходимо документировать. Information Commissioner's Office рассказывает, как это сделать и рекомендует форму учетного документа.
- Если вы собираете данные только для оказания услуг и продажи товаров, то вам не нужно получать согласие (но все еще надо оформить политику и выполнять иные формальности).
- Если вы собираете данные еще и для анализа, защиты от мошенничества, нелегальной активности, определите, подпадает ли этот сбор под базис законного интереса, если да, напишите об этом в политике. Или анонимизируйте данные, или, если вам так проще, получайте согласие на обработку.
- Получая согласие на обработку, предусмотрите возможность отзыва этого согласия.
- Каждое ваше решение должно быть обосновано исходя из специфики вашей деятельности, собираемых данных, а также детально документировано.