Заказать обратный звонок
Оставьте свои контактные данные и наш юрист свяжется с вами в ближайшее время
Оставить заявку
Оставьте свои контактные данные и наш юрист свяжется с вами в ближайшее время
Содержание
7
На практике именно такой подход создаёт для бизнеса дополнительные риски.
Парадоксально, но избыточное и неправильно используемое согласие может быть таким де опасным, как и его отсутствие.
В этой статье разберём, какие бывают основания обработки персональных данных, почему согласие — лишь одно из них и почему попытка использовать его «на все случаи жизни» не работает.
Парадоксально, но избыточное и неправильно используемое согласие может быть таким де опасным, как и его отсутствие.
В этой статье разберём, какие бывают основания обработки персональных данных, почему согласие — лишь одно из них и почему попытка использовать его «на все случаи жизни» не работает.
Что такое основание обработки персональных данных
Основание обработки персональных данных — это юридическая причина, по которой компания имеет право собирать, хранить и использовать персональные данные человека.
Проще говоря, бизнес должен уметь ответить на вопрос:
«Почему мы вообще имеем право это делать?»
Если такого основания нет — обработка считается незаконной, даже если данные получены «добровольно».
Проще говоря, бизнес должен уметь ответить на вопрос:
«Почему мы вообще имеем право это делать?»
Если такого основания нет — обработка считается незаконной, даже если данные получены «добровольно».
Почему согласие стало самым популярным (и самым проблемным) основанием
Согласие кажется бизнесу удобным, потому что:
В результате согласие начинают использовать:
Но закон изначально не задумывал согласие как универсальный инструмент.
- его легко получить
- его просто встроить в сайт
- создаётся ощущение контроля
В результате согласие начинают использовать:
- для клиентов
- для сотрудников
- для партнёров
- для любых процессов
Но закон изначально не задумывал согласие как универсальный инструмент.
Почему согласие — слабое основание для бизнеса
1. Согласие можно отозвать в любой момент
Это ключевой момент, который часто игнорируют.
Если человек отзывает согласие:
Если все процессы «завязаны» только на согласие, компания оказывается в уязвимой позиции.
Это ключевой момент, который часто игнорируют.
Если человек отзывает согласие:
- бизнес обязан прекратить обработку персональных данных
- удалить или обезличить данные
- если нет другого законного основания
Если все процессы «завязаны» только на согласие, компания оказывается в уязвимой позиции.
2. Согласие не подходит для неравных отношений
В ряде случаев согласие юридически сомнительно.
Например:
Здесь сложно говорить о «свободе выбора», а значит согласие может быть признано недействительным. На практике обработка персональных данных при указанных процессах осуществляется на иных правовых основаниях.
В ряде случаев согласие юридически сомнительно.
Например:
- работодатель и сотрудник
- сервис и пользователь, без которого невозможно оказать услугу
Здесь сложно говорить о «свободе выбора», а значит согласие может быть признано недействительным. На практике обработка персональных данных при указанных процессах осуществляется на иных правовых основаниях.
3. Универсальное согласие не соответствует реальности бизнеса
Формулировки вроде:
«Даю согласие на любую обработку персональных данных»
не работают, потому что:
В итоге согласие становится формальным, а не правовым инструментом.
Формулировки вроде:
«Даю согласие на любую обработку персональных данных»
не работают, потому что:
- цели обработки разные
- данные используются по-разному
- вовлечены третьи лица
- сроки хранения отличаются
В итоге согласие становится формальным, а не правовым инструментом.
Какие основания обработки персональных данных существуют на практике
Закон предусматривает несколько оснований, и именно комбинация, а не одно согласие, делает систему устойчивой.
1. Исполнение договора
Одно из самых надёжных оснований.
Если персональные данные нужны:
— согласие не требуется, потому что данные обрабатываются в рамках договорных отношений.
Это ключевой момент для:
Одно из самых надёжных оснований.
Если персональные данные нужны:
- для заключения договора
- исполнения обязательств
- оказания услуги
— согласие не требуется, потому что данные обрабатываются в рамках договорных отношений.
Это ключевой момент для:
- сервисных компаний
- онлайн-платформ
- B2B-бизнеса
2. Исполнение требований закона
В ряде случаев бизнес обязан обрабатывать данные независимо от желания человека.
Например:
Здесь согласие:
В ряде случаев бизнес обязан обрабатывать данные независимо от желания человека.
Например:
- кадровый учёт
- бухгалтерия
- налоговая отчётность
Здесь согласие:
- не нужно
- и даже избыточно
3. Законные интересы бизнеса
Самое недооценённое основание.
Оно применяется, когда:
Например:
Самое недооценённое основание.
Оно применяется, когда:
- обработка необходима для нормальной работы компании
- не нарушает права субъекта данных
- разумно ожидаема
Например:
- обеспечение безопасности
- защита от мошенничества
- судебная защита
4. Согласие субъекта персональных данных
Согласие действительно нужно, когда:
Но именно в этих рамках, а не «на всё сразу».
Согласие действительно нужно, когда:
- нет договора
- нет прямого требования закона
- данные используются для маркетинга
- осуществляется рассылка
- происходит передача третьим лицам без обязательств
Но именно в этих рамках, а не «на всё сразу».
Почему избыточное согласие — это риск
Компании часто получают согласие:
На практике это приводит к тому, что:
В итоге бизнес сам создаёт себе проблемы.
- «на всякий случай»
- «чтобы было»
- «так делают все»
На практике это приводит к тому, что:
- согласия не соответствуют реальным процессам
- их сложно администрировать
- отзыв согласия парализует работу
В итоге бизнес сам создаёт себе проблемы.
Как выглядит правильный подход к основаниям обработки
Профессиональный подход начинается не с согласия, а с анализа:
После этого:
Именно так выстраивается устойчивая модель обработки персональных данных в бизнесе.
- какие данные обрабатываются
- для каких целей
- на каком основании
- как долго
- кто имеет доступ
После этого:
- согласие используется точечно
- договоры и регламенты — системно
- риски — управляемо
Именно так выстраивается устойчивая модель обработки персональных данных в бизнесе.
Вывод
Согласие на обработку персональных данных — важный, но не универсальный инструмент.
Попытка использовать его везде создаёт ложное ощущение безопасности и реальные юридические риски.
Надёжная система защиты персональных данных строится на:
Это и есть отличие формального подхода от профессионального.
Попытка использовать его везде создаёт ложное ощущение безопасности и реальные юридические риски.
Надёжная система защиты персональных данных строится на:
- правильном выборе оснований
- понимании бизнес-процессов
- балансе интересов компании и субъектов данных
Это и есть отличие формального подхода от профессионального.