Персональные данные пользователей: как не нарушить закон при разработке приложений28.10.2019 11:16

Закон о персональных данных в текущей редакции существует уже почти десять лет, а два года назад существенно ужесточились штрафы за его нарушение. Но статистика показывает, что многие заказчики и разработчики не торопятся его соблюдать.

В этой статье разбираемся с тем, когда возникает риск нарушить закон и как этот риск минимизировать.

Ещё раз о нормах закона

Персональные данные (ПДн) — любая информация, которая позволяет идентифицировать конкретного человека. ФИО, паспортные данные, ИНН, СНИЛС, номер страхового полиса, номер мобильного, электронная почта, почтовый адрес, биометрические данные, информация о здоровье, национальная и религиозная принадлежность — всё это попадает под определение персональных данных.

Однако большинство этих данных могут указывать на конкретное лицо только в сочетании именем или фамилией человека. И если насчет e-mail мнения расходятся (ivanovvv@mail.com уже, например, содержит фамилию и инициалы), то номер мобильного телефона сам по себе не позволит определить конкретного человека.

В законе нет конкретного списка таких данных, поэтому мы исходим из соображений здравого смысла.

Тем не менее, как только организация или физлицо формирует список необходимых ей данных пользователей и утверждает перечень действий с ними, она автоматически становится оператором персональных данных. Напомним, речь идет о коммерческом использовании, а не о хранении номеров телефонов в записной книжке.

Когда мы рискуем?

Теоретически, владелец приложения или разработчик, уполномоченный обрабатывать данные, нарушает закон в следующих случаях:

1. Если собирает и обрабатывает персональные данные без согласия пользователя

2. Необоснованно запрашивает данные

3. Использует данные для целей, не перечисленных в соглашении (например, передает третьим лицам)

4. Не защищает должным образом приложение от взлома и утечек

5. Хранит персональные данные не на территории России

И о штрафах

За нарушение закона о персональных данных предусмотрена дисциплинарная, гражданская, административная, и уголовная ответственность.

Если Роскомнадзор в ходе проверки обнаружит несоответствие закону, дело передается в следственный комитет, затем начинается проверка прокуратуры и другие неприятности, вплоть до приостановки деятельности компании.

С 2017 года повысились штрафы за нарушение 152-ФЗ.

Так, если на сайте отсутствует политика конфиденциальности, компания заплатит 30 тысяч рублей, а если данных обрабатываются без согласия клиента, штраф для юрлица составит до 18 млн рублей. Нарушений может быть несколько, за каждое — свой штраф.

В своей практике мы используем несколько подходов, которые позволяют нам делать крутые мобильные приложения, работающие с персональными данными. При соблюдении всех норм закона.

Для тех, кто собирает, хранит и обрабатывает

Если мы разрабатываем мобильное приложение, которое будет собирать персональные данные, важно не забывать получать от пользователя согласие — на обработку, хранение, использование в определенных целях конкретного перечня данных.

В согласии должны быть указаны:

1. Оператор персональных данных, его представитель, а также тот, кому будет поручена обработка ПДн — компания или физлицо, которые будут хранить, использовать и обрабатывать собранные данные

2. Цель обработки персональных данных и её правовое основание

3. Кто предположительно будет использовать эти данные

4. Права субъекта персональных данных

5. Источник получения персональных данных

6. Перечень действий с персональными данными, на которые соглашается пользователь, и совершение которых дается согласие, общее описание способов обработки ПДн

7. Срок действия согласия и способы его отзыва

Примеры хорошо составленных соглашений можно найти в интернете, например, у крупных компаний: банков, телеком-операторов, интернет-магазинов.

Например, Сбербанк включает согласие на обработку персональных данных в Политику конфиденциальности.

Если приложение регулярно дорабатывается и обновляется, важно контролировать, затрагивают ли нововведения состав собираемых данных и операции над ними. Например, мы добавили в приложение опрос, в котором помимо прочего узнаем, где живут наши пользователи. А ранее мы не обрабатывали данные об их адресах. Теперь у нас изменился состав данных и добавились новые действия с ними. Если мы при этом не обновили соглашение, то нарушим закон, собирая новые данные без согласия пользователя.

Что делать: обновить текст соглашения, добавив в перечень собираемых данных адрес пользователя, а в список действий — действия с ним. После установки обновлений заново запросить у пользователя согласие на обработку ПДн, предоставив ему обновленное соглашение.

Пример: мы разрабатывали приложение для страховой компании, личный кабинет владельца полиса ДМС. Мы ещё будем активно дополнять приложение новыми возможностями, а значит, вполне вероятно, что нам понадобятся новые данные или мы будем как-то иначе их использовать. В бэкенде мы оставили возможность обновлять текст соглашения автоматически. И, разумеется, если обновления коснутся состава или использования персональных данных, мы это соглашение обязательно у пользователя запросим.

Как не собирать персональные данные

В ряде случаев собирать, хранить и обрабатывать у себя персональные данные не обязательно.

Что делать: сделайте мобильное приложение без бэкенда. Все данные, введенные пользователем, будут храниться на его мобильном устройстве и на нем же обрабатываться. Ответственность за их хранение будет лежать только на пользователе. Даже если приложение будет синхронизироваться с облачным сервисом, чтобы сделать бэкап данных, этот момент уже не касается ни разработчика, ни заказчика приложения. В этот момент формально всё, что имеет отношение к обработке персональных данных, перекладывается на облачный сервис.

Пример: мы создавали приложение, в котором можно контролировать определенные параметры развития ребенка, сравнивая их с общепринятыми нормами. Большая часть используемой информации представляла собой персональные данные, в том числе данные о состоянии здоровья. Соответствие закону в данном кейсе представлялось избыточной, длинной и сложной историей. Можно было обойтись вообще без обязательств, которые диктовал 152-ФЗ. Мы не стали делать бэкенд и собирать и обрабатывать эти данные на своих серверах. Приложение работает только на смартфоне пользователя, там же хранит эти данные и обрабатывает их исключительно в семейных и личных нуждах. Приложение работает, закон соблюден.

Обрабатываешь — отвечай

Многие разработчики полагают, что если они хранят собранные данные в зашифрованном виде, то не являются операторами ПДн. Мы считаем, что это грубая ошибка: любое действие с данными обязывает вас подчиняться закону. Любая операция с персональными данными, совершаемая в интересах владельца приложения, попадает под действие 152-ФЗ.Даже сбор данных — это уже обработка. При этом, под действие закона не попадают случаи, когда пользователь обрабатывает собственные данные с помощью приложения (например, калькулятора веса), которое никуда их не передает. Даже если приложение шифрует данные и отправляет на хранение в облако зашифрованную последовательность символов — это обработка персональных данных. И не важно при этом, где хранится ключ шифрования. Согласно закону, обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В этом случае владелец приложения, либо тот, кому он поручает обработку данных, становится оператором ПДн, обязан получать согласие на сбор и обработку данных и обеспечивать их хранение в соответствии с законом.

Полный текст статьи читайте на CMS Magazine