Меню
Главная
Лента
Закладки
Скачайте приложение
App Store
установить
Play Market
установить
RuStore
установить
Комментарии 0
...комментариев пока нет
Назад
habr.com Хабр
месяц назад

Почему одно письмо с ФИО в почте делает вас оператором персональных данных?

Периодически мне задают следующий вопрос - "Наша компания не имеет базы данный по клиентам, не ведет кадровый учет и вообще не собирает, не хранит и не обрабатывает ПДн. Если клиент прислал нам электронное письмо на корпоративную почту и подписался (ФИО, телефон), является ли это обоснованием считать нас оператором ПДн и обязывает ли выполнять требования 152-ФЗ?"

Короткий ответ: да, ваша компания становится оператором ПДн уже в момент, когда вы настроили корпоративную почту и получили/прочитали/сохранили письмо, содержащее ФИО и телефон отправителя. Это уже «обработка» ПДн (запись, хранение, использование, удаление и т. д.), а вы — лицо, организующее обработку и определяющее её цели и средства (деловая переписка через корпоративный e-mail). Значит, на вас распространяются требования 152-ФЗ.

Разберем на примерах

Сценарий 1: Клиент сам написал на общий e-mail, указав ФИО и телефон.

На корпоративную почту компании поступило письмо от потенциального клиента. В тексте или подписи он указал свои персональные данные – например, полное имя и номер телефона – чтобы компания могла с ним связаться. Компания заранее не запрашивала эти сведения и специальных форм сбора не имеет.

В такой ситуации организация становится оператором персональных данных. Закон определяет оператором любого, кто организует обработку ПДн и определяет цели и средства этой обработки (ст.3 152-ФЗ). Несмотря на отсутствие формального “реестра клиентов”, факт владения письмом с данными (имя, телефон клиента) означает, что компания получила доступ к ПДн, а значит это делает вас оператором, пусть и небольшого объёма данных. Сам факт получения и сохранения письма на почтовом сервере – уже обработка (сбор и хранение ПДн). Когда вы читаете письмо и извлекаете из него информацию – это тоже использование ПДн. Если вы сохраните контакт в адресную книгу, перешлёте коллегам, ответите клиенту по e-mail или позвоните ему – все эти операции также считаются обработкой. Даже решив удалить письмо, вы совершаете действие уничтожения данных, что формально является одной из форм обработки.

По общему правилу обработка ПДн допускается либо с согласия субъекта, либо при наличии иной законной основы (ст.6 152-ФЗ). В данном сценарии подходящей основой без получения согласия является необходимость заключения договора по инициативе субъекта. Закон прямо разрешает обработку, необходимую для исполнения договора, стороной которого является субъект, либо для заключения договора по инициативе субъекта. Здесь клиент сам обратился к вам – то есть инициировал потенциальное заключение сделки/договора. Например, он хочет получить предложение или консультацию, что может предшествовать договору на оказание услуг. Следовательно, обработка его имени и контактов для коммуникации законна на основании п.5 ч.1 ст.6 152-ФЗ. Отдельное письменное согласие клиента в такой ситуации не требуется, поскольку его волеизъявление (обращение) уже подразумевает согласие на использование этих данных для ответа в его интересе. Это соответствует принципу, что субъект сам принимает решение предоставить свои данные. Важно, однако, не выходить за предел цели – использовать контактные данные исключительно для ответа клиенту и возможного заключения с ним договора. Если вы решите потом применять его телефон для рассылки рекламы или передадите его третьим лицам, основание “для договора” уже не покроет такие действия – потребуется отдельное согласие.

Сценарий 2: Пришло резюме на корпоративную почту (соискатель отправил свои данные)

Компания получила на e-mail письмо с вложенным резюме или текстом от кандидата на работу. Например, соискатель узнал о вакансии или сам инициировал запрос о найме и направил своё CV. В резюме содержатся персональные данные: ФИО, контактные данные, дата рождения, информация об образовании, опыте работы и пр. – т.е. целый набор ПДн. Компания никак специально не собирала эти сведения – они поступили напрямую от субъекта (соискателя) по электронной почте.

Как и в сценарии 1, организация, принимающая резюме, становится оператором персональных данных, поскольку начинает владеть и использовать информацию, относящуюся к физлицу. Наличие даже одного резюме в корпоративной почте подпадает под надзор. Все действия с таким письмом (просмотр резюме, сохранение файла, пересылка руководителю, распечатка, ответ кандидату и т.д.) – это операции обработки (сбор, хранение, использование, распространение и т.п.) в смысле закона. Поэтому обращение с резюме регулируется 152-ФЗ так же, как и работа с большой базой соискателей.

Резюме обычно направляется для участия в конкурсе на должность, т.е. для заключения трудового договора. Это совпадает с основанием, указанным в п.5 ч.1 ст.6: обработка необходима для заключения договора по инициативе субъекта. Трудовой договор – это договор, а кандидат сам проявил инициативу, выслал данные о себе, чтобы заключить его в перспективе. Следовательно, закон позволяет обработку резюме без отдельного согласия соискателя, поскольку она производится в его интересах – для потенциального трудоустройства. Дополнительно Трудовой кодекс (ст.86–90) требует соблюдения конфиденциальности персональных данных работников и соискателей, но не обязывает получать согласие, если данные получены от самого соискателя. Таким образом, чтение и хранение резюме, приглашение кандидата на интервью – правомерны в рамках подготовки к заключению трудового договора. Однако важный нюанс: нужно убедиться, что резюме действительно прислано самим субъектом персональных данных, т.е. этим соискателем. Роскомнадзор ещё в 2012 году разъяснил: в случае получения резюме по e-mail или факсу работодателю следует дополнительно подтвердить факт, что резюме направлено самим соискателем. Например, перезвонить или ответить по тому же e-mail и удостовериться, что человек намеренно откликнулся, либо пригласить на личную встречу. Это связано с риском, что кто-то иной мог отправить чужие данные без согласия. Если такие мероприятия не проводились, резюме подлежит уничтожению в день поступления.

Резюме обычно содержит много личной информации, в т.ч. потенциально “чувствительной” (год рождения – косвенно возраст, семейное положение, фото – биометрия, если по нему можно идентифицировать лицо, и т.д.). Следовательно, обращаться с такими письмами надо особенно осторожно:

  • Доступ к резюме должны иметь только сотрудники, вовлечённые в найм (HR-менеджер, директор). Пересылать резюме внутри компании можно, но только по необходимости и по защищённым каналам. Желательно, чтобы пересылка не выходила за пределы корпоративного домена.

  • Нельзя отправлять чужие резюме наружу без согласия. Например, запросить рекомендации можно, но не пересылая всё резюме третьим лицам.

  • Нужно обеспечить хранение резюме в безопасном месте. Если вы распечатали его – храните в закрытом шкафу, если оставили в почте – поместите в отдельную папку.

  • Удаление: Если кандидату отказали или он сам отказался, нет смысла долго хранить его данные. Закон (ст.21) требует уничтожить ПДн не позднее 30 дней после достижения цели обработки. Цель – подбор на вакансию – отпала, значит удалите резюме в течение месяца (или сразу, как решили не нанимать). Это обезопасит от утечек и претензий. Если хотите оставить на будущее – запросите у соискателя разрешение (лучше письменно).

Другой вариант, когда работодатели получают резюме от рекрутинговых агентств или с работных сайтов. Там возникают вопросы “непрямого сбора” – когда данные пришли не от самого субъекта. Если, например, агентство прислало вам резюме человека без его прямого обращения к вам, формально действует ст.18 ч.3: вы обязаны уведомить соискателя о получении его ПДн от третьего лица с указанием источника, целей и пр., если только не применяется одно из исключений. Исключения перечислены в ч.4 ст.18 – среди них, например, ситуация, когда субъект сам был информирован тем, кто передал данные. В контексте рекрутинга обычно агентство получает согласие кандидата на передачу резюме работодателям, и этого достаточно. Но если агентство – просто знакомый, не оформлявший ничего, ответственность за информирование может лечь на вас. В спорных случаях лучше самому связаться с кандидатом и уточнить, не против ли он рассмотрения в вашей компании – заодно выполните требование о подтверждении, что резюме от него.

Сценарий 3: Получено “холодное” письмо с персональными данными, но компания их не использует

Представим, что на корпоративную почту пришло нежданное письмо, содержащие чьи-то персональные данные. Например, это может быть коммерческое предложение от частного консультанта, который указал о себе ФИО и телефон; либо письмо от незнакомого человека с просьбой о сотрудничестве, где он оставил свои контакты; либо даже спам-рассылка, где в подписи есть имя менеджера и его мобильный. Компания никак не собирала эти данные целенаправленно и не планирует их применять в своей деятельности (не отвечает, не сохраняет в базу, просто игнорирует). По сути, информация вам не нужна.

Дело в том, что определение оператора не зависит от того, нужны ли вам данные, а зависит от самого факта их обработки. Пока письмо лежит у вас в почте, вы храните персональные данные и, следовательно, выступаете их оператором. Даже если вы сразу решили “нам это не пригодится” и ничего не сделали – само бездействие не освобождает от статуса оператора. Закон не содержит оговорки “оператор – это только тот, кто целенаправленнособирает данные”. Поэтому, получив персональную информацию в свой ИТ-сервис, вы приобрели юридические обязанности по её защите. Однако есть нюанс: оператор – это тот, кто определяет цель и средства обработки. Если вы заведомо решили никак не использовать полученные ПДн, можно сказать, что у вас нет цели обработки. Можно ли тогда считать, что вы не оператор? В теории можно спорить, что организация не осуществляла действий и никак не вовлекла данные в деятельность. Но такая позиция крайне рискованна. На практике, если при проверке обнаружат даже “ненужное” письмо с ПДн, регулятору всё равно – вы обязаны были либо обрабатывать его по правилам, либо удалить. Поэтому, если компания не собирается использовать полученную информацию, оптимальное действие – незамедлительно её удалить. Например, пришёл e-mail “Здравствуйте, я предлагаю вам услуги дизайнера, мои работы во вложении, мои ФИО, телефон…”. Вы понимаете, что услуги не нужны. Правильнее сразу удалить письмо (и вложения) полностью, не сохраняя персональную информацию. Тогда ваша обработка прекратится практически сразу после сбора. Это соответствует требованию закона уничтожать ПДн при утрате необходимости. Причём лучше удалить так, чтобы не оставалось копий (очистить “Удалённые” в почте). Если вы поступили таким образом, то для целей Роскомнадзора формально вы выполнили закон: собрали – и тут же уничтожили. На практике никто не проверяет содержание уже удалённых писем. Поэтому можно считать, что при немедленном удалении риски минимальны. Даже уведомлять субъекта о том, что “мы удалили ваши данные”, не требуется – закон обязывает уведомлять о получении от третьего лица, но в нашем случае письмо пришло напрямую от субъекта, или же мы не намерены ничего с ним делать (к тому же уведомление нужно, когда вы планируете хранить и использовать данные; если нет – это избыточно). Иное дело, если письмо с данными пришло не от самого субъекта. Например, вам прислали список контактов, кто-то поделился базой – и вы решили её не использовать. Тут возникает обязанность уведомить тех людей, чьи данные передали, если вы не уничтожите эти данные. Но мы рассматриваем случай, когда вы ничего не делаете, то есть по сути должны убрать лишние сведения.

Общие обязанности и рекомендации для малого/среднего бизнеса

Независимо от конкретного сценария, если организация хоть как-то обрабатывает персональные данные, ей необходимо соблюдать ряд базовых требований 152-ФЗ. Ниже перечислены минимальные обязанности оператора ПДн и советы по их выполнению, актуальные для малого и среднего бизнеса, у которого основным каналом получения данных является электронная почта.

  • Назначить ответственного за обработку ПДн. Это может быть директор лично или сотрудник (приказом) – он будет контролировать, как соблюдается закон в компании.

  • Принять и опубликовать Политику обработки ПДн. Даже если вы обрабатываете данные только в переписке, закон требует иметь документ, описывающий цели, меры защиты, права субъектов и проч. (п.2 ч.1 ст.18.1 152-ФЗ). Политику нужно выложить в открытом доступе (например, на сайте или по запросу).

  • Обеспечить конфиденциальность и безопасность данных. Доступ к рабочей почте должен быть только у уполномоченных сотрудников, нельзя выкладывать личные данные клиента в открытый доступ без его согласия и т.д. Следует использовать пароли, антивирус, при необходимости шифрование – в общем, технические и организационные меры по ст.19 Закона.

  • Обеспечить локализацию почты в РФ. Проверьте, где физически расположены почтовые ящики/архивы/резервные копии.

  • Выполнить права субъекта, если обратится. Клиент имеет право запросить, какие данные о нём хранятся, потребовать их исправить или удалить. Вы обязаны будете ответить в 30 дней и выполнить законное требование (ст.14, 15 152-ФЗ). В нашем случае, скорее всего, таких запросов не последует, но надо знать порядок.

Мы рассмотрели, что даже одно письмо с ФИО и телефоном накладывает на компанию статус оператора со всеми обязанностями. Выполнение базовых шагов – уведомление Роскомнадзора, принятие политики, ограничение доступа к почте, удаление ненужных сведений – сложно, но по силам любому предпринимателю. Ну, а если не смогли разобраться, то можете обратиться ко мне за личной консультацией. Так же много доступной информации в моем телеграмм-канале.

Назад