Согласие на обработку персональных данных – зло или неизбежность? К чему готовиться компаниям
Тема персональных данных сейчас постоянно всплывает в новостях, различных дискуссиях, обсуждениях. Тот факт, что Роскомнадзор явно взялся «закручивать гайки», ни у кого не вызывает сомнения.
Правда, многие до сих пор думают, что если все процессы, связанные с персональными данными, закрыть большим количеством согласий на обработку, а в них включить все-все данные, то это защитит компанию от судебных исков и штрафов.
Судебный кейс
Увы, но сбор максимально возможного числа согласий не спасет. Недавнее решение арбитражного апелляционного суда это подтверждает. Причем в данном случае проиграл спор государственный орган – ИФНС, которая собирала по согласию на обработку явно избыточные персональные данные.
Компания пришла за получением услуги – изготовлением квалифицированного сертификата ключа проверки электронной подписи юридического лица. В согласии на обработку персональных данных от ИФНС, помимо прочего, фигурировали фото и пол. При оказании услуги лично, эти данные явно избыточны, а потому компания вычеркнула их из согласия, но подписалась под всем остальным.
ИФНС в услуге отказали, и даже суд первой инстанции встал на ее сторону, но апелляция все это отменила. Основанием стал как раз принцип обработки персональных данных, который требует обрабатывать данные только в жесткой привязке к цели обработки и не превышать объем необходимых данных именно для данной цели. Та самая пресловутая избыточность персональных данных.
И никакое согласие не помогло даже госоргану собирать побольше. Суд обратил внимание сторон на то, что согласие должно быть дано свободно и добровольно. Кроме того, субъект персональных данных сам вправе решать, на какие данные он дает согласие. И да, в рассматриваемом случае отказ от предоставления части данных не влиял на оказание услуги, а значит, в согласии явно были избыточные данные. И это не единичный случай.
Похожие судебные решения
Не так давно банк ВТБ был вынужден спешно переподписывать согласие на обработку со всеми клиентами, потому что проиграл суд физическому лицу, клиенту. В прежней форме согласия все цели обработки были даны общим блоком, и у клиентов не было возможности отказаться, например, от маркетинговой рассылки.
А еще раньше Нестле проиграла в споре с бывшим сотрудником, в том числе, в части согласия на обработку персональных данных для предоставления ДМС. Там прямо сильно избыточно собирали, что для оказания самой услуги было совершенно не нужно.
К чему все идет
В целом, за без малого 20 лет существования Закона о персональных данных все как-то привыкли, что можно не задумываться о цели обработки, собирать побольше, главное – согласие взять. Причем, в приказном формате. Никого не смущал тот факт, что все это не соответствует требованиям того самого закона.
Но сейчас регулятор не просто обратил на все это внимание, а собирается пресечь все злоупотребления. Причем, один из путей – это полный запрет на согласия.