Каждый, кто сталкивался с работой, подразумевающей, взаимодействие с большими объемами данных пользователей, сталкивались с законом о персональных данных. И частенько полное выполнение этого закона ставит исполнителей на шпагат. Потому что многие нюансы и как с ними работать ясны не до конца. В результате, при получении от людей каких-либо данных, приходится решать дилемму века: просить согласие на обработку персональных данных или нет. А чтобы не потерять свои персональные данные, лучше, чтобы их вообще никто не узнал. Именно поэтому шагать по сети лучше всего с VPN-сервисом.
Персональные данные собираются на любом устройстве, анализируя Ваш сетевой профиль. Где-нибудь засветится почта, где-то номер телефона, а по ним уже выйдут на имя, возраст, местоположение.
Затрагивая тему местоположения — если использовать Android во время перемещения по улице, то ваш IP динамичен, постоянно меняется. VPN умеет делать так круглосуточно. Это полезно для запутывания собранного сетевого профиля, так как не даст выйти конкретно на Вас. Ивановых и так слишком много. Какая-то часть постоянно в пути в одном городе, другая вовсе телепортируется из Франции в Аргентину. Это конечно зависит от выбранных вами настроек VPN, но уже не об этом.
Что входит в персональные данные
А вот это на самом деле главная мина широкого радиуса действия этого закона. Потому что твёрдо и чётко о том, что именно такое эти ваши персональные данные нигде не написано. Есть лишь сухое пояснение, что это любая информация, позволяющая однозначно идентифицировать человека. И иногда происходит так, что сайт или сервис вначале использует один набор данных. Например, Иван Иванович Г. Что никак однозначно не идентифицирует человека. Но потом сервису понадобилось указать ещё и номер телефона. И совокупность этих данных уже позволит идентифицировать и при необходимости даже найти этого человека. То есть попадает под персональные данные.
Таким образом, персональные данные важны не самими данными, а их набором, который позволит идентифицировать человека. И тут уже нужно спрашивать у пользователя: «А можно мы с данными, которые тебя идентифицируют, немного поколдуем, похраним, пообновляем и посортируем?». И если он галочку поставил, можно собирать все что угодно.
Что понимается под обработкой персональных данных
Сухой и беспристрастный закон говорит нам, что практически вообще любые действия с массивом данных от пользователя – это обработка. Собираешь данные – обработка, записал их в базу на сервере – обработка, рассортировал в Экселе сначала по фамилиям, потом по именам – тоже обработка. Более того, собирать и обрабатывать данные просто так, чтобы были, тоже нельзя — нужно обоснование. То есть обработка должна иметь какую-то объективную цель и данные, собранные в процессе, должны точно этой цели соответствовать. Потому что немного странно было бы если шиномонтажка, к примеру, запрашивала бы СНИЛС или группу крови. Им эти данные ни к чему и обрабатывать они их не должны.
Также нельзя объединять массивы данных из разных баз, цели обработки которых разные.
А ещё тем, кто собирает и обрабатывает пользовательские данные необходимо следить за актуальностью и полнотой собранной базы. То есть при необходимости нужно дополнять и обновлять базы данных.
Ещё интересней дела обстоят со сроками хранения данных. Они должны быть явно указаны в договоре. Если этого нет, то срок хранения истекает при достижении цели обработки данных. То есть, как только какая-то аналитика была получена, которая была целью сбора, то данные должны быть уничтожены.
А ещё есть целая простыня условий в законе, по которым исполнение обработки персональных данных будет правомерным. Но если внимательно эту простыню изучить, то станет ясно, в основном условия касаются каких-либо федеральных, муниципальных или судебных процессов. Для бизнеса достаточно лишь получить согласие от пользователя на обработку. И это будет правомерно. Правда, надо ещё и согласие составить так, чтобы завтра штраф шестизначный за это не прилетел. Если вкратце, то должны быть указаны все стороны сделки, все представители, юрлица, физлица, так или иначе участвующие в процессе. А также их адреса. Должна быть указана цель сбора данных, а также полный перечень обрабатываемых данных. А также все действия, которые планируется со всей этой базой вытворять – сбор, хранение и т.д., ещё и каким способом это все будет делаться. Ну, и конечно, срок хранения данных. Рекомендуется указывать конкретную дату или событие. Если указать срок хранения до достижения цели обработки, могут признать всю обработку неправомерной. Также должен быть прописан отзыв на согласие обработки. И заранее продуман механизм этого самого отзыва согласия.
В общем, игнорировать закон о персональных данных не стоит. Прилететь ИП за нарушение может до 40000 рублей, юрлицам – до 150000 рублей. И если бизнес только начинающий, то это довольно ощутимые суммы. Так что перед сбором любой информации от пользователя для своего стартапа стоит заранее предусмотреть все эти нюансы.
