Ещё раз о нормах закона

Персональные данные (ПДн) — любая информация, которая позволяет идентифицировать конкретного человека. ФИО, паспортные данные, ИНН, СНИЛС, номер страхового полиса, номер мобильного, электронная почта, почтовый адрес, биометрические данные, информация о здоровье, национальная и религиозная принадлежность – всё это попадает под определение персональных данных.

Однако большая часть этих данных может указывать на конкретное лицо только в сочетании именем или фамилией человека. И если насчет e-mail мнения расходятся (ivanovvv@mail.com уже, например, содержит фамилию и инициалы), то номер мобильного телефона сам по себе не позволит определить конкретного человека.

В законе нет конкретного списка таких данных, поэтому мы исходим из соображений здравого смысла.

Тем не менее, как только организация или физлицо формирует список необходимых ей данных пользователей и утверждает перечень действий с ними, она автоматически становится оператором персональных данных. Напомним, речь идет о коммерческом использовании, а не о хранении номеров телефонов в записной книжке.

И о штрафах

За нарушение закона о персональных данных предусмотрена дисциплинарная, гражданская, административная, и уголовная ответственность.

Если Роскомнадзор в ходе проверки обнаружит несоответствие закону, дело передается в следственный комитет, затем начинается проверка прокуратуры и другие неприятности, вплоть до приостановки деятельности компании.

С 2017 года повысились штрафы за нарушение 152-ФЗ.

Так, если на сайте отсутствует политика конфиденциальности, компания заплатит 30 тысяч рублей, а если данных обрабатываются без согласия клиента, штраф для юрлица составит до 18 млн рублей. Нарушений может быть несколько, за каждое – свой штраф.

Примеры хорошо составленных соглашений можно найти в интернете, например, у крупных компаний: банков, телеком-операторов, интернет-магазинов.

Например, Сбербанк включает согласие на обработку персональных данных в Политику конфиденциальности.

Если приложение регулярно дорабатывается и обновляется, важно контролировать, затрагивают ли нововведения состав собираемых данных и операции над ними. Например, мы добавили в приложение опрос, в котором помимо прочего узнаем, где живут наши пользователи. А ранее мы не обрабатывали данные об их адресах. Теперь у нас изменился состав данных и добавились новые действия с ними. Если мы при этом не обновили соглашение, то нарушим закон, собирая новые данные без согласия пользователя.

Что делать: обновить текст соглашения, добавив в перечень собираемых данных адрес пользователя, а в список действий — действия с ним. После установки обновлений заново запросить у пользователя согласие на обработку ПДн, предоставив ему обновленное соглашение.


Пример: мы разрабатывали приложение для страховой компании, личный кабинет владельца полиса ДМС. Мы ещё будем активно дополнять приложение новыми возможностями, а значит, вполне вероятно, что нам понадобятся новые данные или мы будем как-то иначе их использовать. В бэкенде мы оставили возможность обновлять текст соглашения автоматически. И, разумеется, если обновления коснутся состава или использования персональных данных, мы это соглашение обязательно у пользователя запросим.

Как не собирать персональные данные

В ряде случаев собирать, хранить и обрабатывать у себя персональные данные не обязательно.

Что делать: сделайте мобильное приложение без бэкенда. Все данные, введенные пользователем, будут храниться на его мобильном устройстве и на нем же обрабатываться. Ответственность за их хранение будет лежать только на пользователе. Даже если приложение будет синхронизироваться с облачным сервисом, чтобы сделать бэкап данных, этот момент уже не касается ни разработчика, ни заказчика приложения. В этот момент формально всё, что имеет отношение к обработке персональных данных, перекладывается на облачный сервис.


Пример: мы создавали приложение, в котором можно контролировать определенные параметры развития ребенка, сравнивая их с общепринятыми нормами. Большая часть используемой информации представляла собой персональные данные, в том числе данные о состоянии здоровья. Соответствие закону в данном кейсе представлялось избыточной, длинной и сложной историей. Можно было обойтись вообще без обязательств, которые диктовал 152-ФЗ. Мы не стали делать бэкенд и собирать и обрабатывать эти данные на своих серверах. Приложение работает только на смартфоне пользователя, там же хранит эти данные и обрабатывает их исключительно в семейных и личных нуждах. Приложение работает, закон соблюден.


Обрабатываешь — отвечай

Многие разработчики полагают, что если они хранят собранные данные в зашифрованном виде, то не являются операторами ПДн. Мы считаем, что это грубая ошибка: любое действие с данными обязывает вас подчиняться закону. Любая операция с персональными данными, совершаемая в интересах владельца приложения, попадает под действие 152-ФЗ. Даже сбор данных — это уже обработка. При этом, под действие закона не попадают случаи, когда пользователь обрабатывает собственные данные с помощью приложения (например, калькулятора веса), которое никуда их не передает. Даже если приложение шифрует данные и отправляет на хранение в облако зашифрованную последовательность символов — это обработка персональных данных. И не важно при этом, где хранится ключ шифрования. Согласно закону, обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В этом случае владелец приложения, либо тот, кому он поручает обработку данных, становится оператором ПДн, обязан получать согласие на сбор и обработку данных и обеспечивать их хранение в соответствии с законом.