Как оформлять согласие на обработку по-новому
Теперь согласие на обработку ПД всегда должно быть отдельной бумагой — неважно, берете ли вы его с работника или клиента. На практике согласие часто включали в состав других документов, например делали в конце поле для согласия, в котором субъект ставил галочку.
Это сделано, чтобы лучше защитить ПД от утечки: контролировать самостоятельный документ гораздо удобнее, чем в составе другого (ст. 5 Федерального закона от 24.06.2025 № 156-ФЗ).
Важно
По форме и содержанию требования к согласию не изменились. Как правильно оформить такое согласие — читайте в КонсультантПлюс по своему доступу или пробному от Что делать Консалт.
Если включить согласие в другой документ, Роскомнадзор может оштрафовать компанию или ИП на сумму от 300 тысяч до 700 тысяч рублей.
Добровольное обезличивание: новые правила и методы
Компании и ИП по общему правилу не обязаны обезличивать персональные данные, но могут это делать вместо уничтожения. Часто такой выбор возникает, когда оператор достиг цели использования ПД: исполнил договор перед клиентом, уволил сотрудника и т. п. Есть один случай, когда обезличивание становится для бизнеса обязанностью, о нем ниже (ч. 7 ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).
«Обезличить» означает разорвать связь данных с конкретным человеком. Сами данные остаются у оператора, но в результате обезличивания невозможно определить, кому они принадлежат.
Пример
Клиент передал магазину свои персональные данные: Ф. И. О., адрес, паспортные данные и телефон. Магазин решил проанализировать активность своих покупателей, заказал маркетинговое исследование и обезличил персональные данные для маркетологов. В результате маркетологи получили такие данные: «Клиент 22. 37 лет. Приобрел моющий пылесос, пароочиститель и набор салфеток. Коломна». У оператора остается защищенный ключ, с помощью которого можно снова связать данные с человеком.
Зачем обезличивать. Есть несколько плюсов от обезличивания, проведенного по всем правилам:
- если сервисы компании взломают и обезличенные данные попадут в руки хакеров или открытый доступ, меньше риск получить штраф от Роскомнадзора;
- не нужно получать согласие субъекта на обезличивание;
- обезличенные данные можно передавать другим лицам: аналитикам, маркетологам, консультантам и т. п.
Когда обезличивание обязательно. Компания или ИП обязаны обезличить ПД и передать их Минцифры, если получили от него такое требование. При этом нужно руководствоваться специальными правилами.
Как обезличивать персональные данные. С 1 сентября нужно применять один или несколько следующих методов.
Метод идентификаторов. Персональные данные заменяют другими значениями: номером, кодом и т. п. Для расшифровки этих значений составляют таблицу. Например, в ней будет записано: «Петров Андрей Сергеевич» — «П-А-С-123».
Метод изменения состава или семантики. При этом методе удаляют, изменяют или искажают часть персональных данных, позволяющих однозначно идентифицировать человека. Например, можно удалить дату рождения либо указать:
- вместо точной даты рождения — только год;
- вместо полного адреса — город;
- вместо суммы дохода — диапазон.
Метод декомпозиции. Массив персональных данных делят на несколько частей и каждую часть хранят отдельно. Например, в одном блоке будет возраст клиента и товары, которые он купил, а в другом — его Ф. И. О. и адрес.
Метод перемешивания. Информация перемешивается между собой по заданным алгоритмам. Например, можно перемешать даты рождения и телефоны клиентов, и никого из них идентифицировать не получится.
Метод преобразования. Данные при этом методе обобщают. Например, «85 % клиентов в возрасте от 35 до 45 лет заказали доставку товаров». Это дополнительный метод обезличивания, который можно применять одновременно с другими основными методами.
Как подготовить бизнес к изменениям
Если вы обезличиваете ПД добровольно, оформите это правильно. С 1 сентября компании и ИП, которые решили обезличивать ПД, обязаны:
- прописать в локальных актах порядок обезличивания ПД. Ориентироваться можно на закон о персональных данных и Приказ Роскомнадзора от 19.06.2025 № 140;
- закрыть для посторонних информацию о том, как происходит обезличивание ПД;
- хранить обезличенные ПД отдельно от остальных ПД;
- фиксировать все действия по обезличиванию ПД и по обработке обезличенных ПД. Продумайте систему учета всех подобных операций;
- для обезличивания издайте приказ: закрепите, какие данные и каким способом обезличиваются, в какие сроки и кто ответственный. После обезличивания составьте акт в произвольной форме. Укажите, какие данные были обезличены, каким методом и сколько всего документов прошли обработку.
Специальной ответственности за нарушения при обезличивании ПД нет, но за ошибки всё равно накажут. Как именно — читайте в КонсультантПлюс. А если нет доступа, оформите бесплатно пробный от Что делать Консалт.
