Сценарии защиты. Зоны ответственности
3 варианта обеспечения защиты под требования законодательства:
Сценарий | Что предоставляем | Ответственность CORTEL | Ответственность заказчика | Комментарий |
1 | Предоставление защищенной инфраструктуры по требованиям до уровня виртуальной машины | Защита инфраструктуры – серверного и коммутационного оборудования по требованиям ФЗ-152 | – Построение системы защиты от уровня развертывания виртуальной машины до уровня защиты ИС и АРМ.– Выполнение организационных мер: документация, физическая безопасность, инструктаж, обучение персонала. | Перед заключением договора заказчику необходимо реализовать перечисленные меры защиты. На иных условиях риску подвергается и заказчик, и инфраструктура, поэтому мы имеем право отказать в предоставлении услуги. |
2 | Предоставление защищенной инфраструктуры по требованиям до уровня операционной системы | – Защита серверной инфраструктуры и коммутационного оборудования по требованиям ФЗ-152– Защита операционной системы (предоставляем рекомендации согласно требованиям к ОС, устанавливаем и обеспечиваем защиту) | Построение системы защиты:– Информационных систем– Пользовательского сегмента– АРМ– Выполнение организационных мер (документация, физическая безопасность, инструктаж, обучение персонала) | В данном сценарии на заказчике лежит ответственность за защиту информации от уровня операционной системы. |
3 | Предоставление комплексной защиты – от уровня оборудования, до подготовки и предоставления всей необходимой документации по требованиям регулятора | – ЦОД.– Серверный сегмент.– ОС– Информационные системы, приложения.– Готовим всю необходимую документацию. | Защита АРМ | Вся ответственность за защиту информации, размещенной в Safe Cloud 152-ФЗ, лежит на CORTEL. Заказчик обеспечивает только защиту АРМ. Также заказчик предоставляет необходимую информацию для защиты ИС. |
Сценарии защиты
Как изменилось законодательство по персональным данным?
Поправки в Федеральный закон «О персональных данных» проходили в 2 «волны». 1 сентября 2022 года вступили в силу первые изменения, например, введение персональной ответственности за нарушение закона о ПДн. Директор и ИТ Директор несут ответственность как физлица, включая:– гражданско-правовую;– уголовную;– административную;– дисциплинарную и иную.
Штрафы увеличили вдвое, а также убрали административные предупреждения по некоторым статьям. Например, за обработку ПДн без письменного согласия субъекта штраф вырос с 75 до 150 тыс. рублей. А за повторное нарушение – до 500 тыс. рублей. При этом, штрафы могут суммироваться.
Полный перечень нарушений и ответственности со всеми актуальными изменениями размещён здесь.
Чек-лист по выполнению требований к 01.09.2022 года разместили здесь.
Следующие поправки поступили второй волной – 1 марта 2023 года, включающие аспекты о трансграничной передаче данных, обнаружении требований к подтверждению отказа от хранения данных и т.д.
– О введении оборотных штрафов
От 1 до 3% годового оборота составят оборотные штрафы. К 1 июля 2023 года будет исполнен перечень поручений Президента РФ об их установлении за утечку персональных данных, а также персональная ответственность:
● 200-400 тыс. руб. штраф на главу компании , если в открытом доступе оказалась база на 10-100 тыс. строк.
● 0,02% оборота, но не менее 1 млн руб. штраф для индивидуальных предпринимателей и юридических лиц за аналогичный инцидент
● Штраф для крупных компаний составит от 1 до 3% годовой выручки и будет варьироваться в сумме от 5 до 500 млн. рублей.
– О введении уголовной ответственности
14 декабря 2022 года в Минцифры сообщили, что законопроект об уголовной ответственности за кражу, неправомерное распространение и продажу данных россиян согласован и поступил в кабмин. Законопроект предусматривает штрафы до 2 миллионов рублей и уголовную ответственность до 10 лет на физлиц в особо тяжких случаях.
– Внеплановых проверок будет большеПравительство расширило список оснований для внеплановых проверок по персональным данным.
– Наказать могут и без выезда в компаниюВ некоторых ситуациях зафиксировать правонарушение в сфере ПДн и привлечь к ответственности могут даже без выездных контрольных мероприятий.
Операторы персональных данных
Итак, мы выяснили, что ситуаций, при которых производятся действия с персональными данными, множество. И если говорить о бизнесе, то очень трудно найти такого субъекта, который в процессе деятельности в них не оказывался.
Ведь даже когда предпринимательская деятельность ведётся без работников, ПД поступают от покупателей и клиентов, посетителей сайта, при заключении сделок, продаже товаров, оказании услуг, выполнении работ. Сбор и хранение базы контактов потенциальных потребителей тоже сюда относится.
Чтобы не было никаких разночтений, законодатели перечислили в п. 2 статьи 22 закона № 152-ФЗ ситуации, при которых персональные данные можно обрабатывать без подачи уведомления:
- сведения используются органами защиты безопасности государства и общественного порядка;
- информация обрабатывается в целях безопасности объектов транспортного комплекса и транспорта;
- данные обрабатываются без использования средств автоматизации, то есть только на бумаге.
Все остальные ситуации из этого перечня исключили с 1 сентября 2022 года. Это, как мы уже говорили, обработка ПД в рамках трудового законодательства, а также:
- получение информации только для исполнения договора, заключённого с субъектом персональных данных;
- оформление разового пропуска для прохода на охраняемую территорию;
- распространение личной информации с согласия самого субъекта;
- обработка данных, включающих только имя, отчество, фамилию человека;
- обработка данных участников общественных объединений и религиозных организаций.
С учётом всего сказанного к операторам ПД, обязанным подать уведомление, относятся государственные и муниципальные органы, организации, физические лица, производящие с персональными данными любые действия. Немногочисленные исключения приводятся в п. 2 статьи 22 закона № 152-ФЗ.
Что всё-таки изменится
Покупатели смогут запрашивать цель сбора любых ПД, и продавцы будут обязаны ответить за 7 дней или, при устном обращении, немедленно. Контролировать это будет Роспотребнадзор — ведомство, которое в целом занимается потребительскими вопросами. Вероятно, оно и раньше получало подобные жалобы, но не могло ничего предпринять — и вот получило инструмент.
Реальные последствия для бизнеса — появляются ещё один контролирующий орган (Роспотребнадзор) и ещё один возможный штраф. За одно нарушение с юрлица взыщут от 30 до 50 тысяч рублей — дополнительно к «старым» 60–100 тысячам по законодательству о ПД.
Какие задачи решает Safe Cloud 152-ФЗ
1.Сервис «под ключ»Мы учли опыт отрасли и уделили особое внимание компонентам, которые не представлены на рынке имеющихся решений. Например, реализовали все технические меры защиты в одном удобном сервисе
Всё, что необходимо сделать клиенту – выбрать сценарий под свои цели.
2. Возможность разделить ответственностьМы заключаем договор SLA, в котором подробно фиксируем зоны финансовой и регуляторной ответственности. Например, в случае проверки регулятором при третьем сценарии, мы будем отчитываться о комплексной защите ПДн – от уровня железа до согласия об обработке персданных. Заказчики получают сервисный контракт с делегированием ответственности за обработку ПДн, размещенных в инфраструктуре под SLA 99,00. Статус по инфраструктуре доступен онлайн в корпоративном Status page.
3. Соответствуем всем требованиям законодательства Аттестат, выданный лицензиатом ФСТЭК, подтверждает соответствие требованиям безопасности информации на государственном уровне. Соответственно, размещая персональные данные в Safe Cloud 152-ФЗ, компания страхует себя от санкций регуляторов на случай утечки или утраты персональных данных и другой конфиденциальной информации.
4. Гарантируем лучший показатель совокупных затрат на инфраструктуруО том, что такое ТСО и как посчитать – рассказывали здесь.
Пример расчёта TCO
5. Сопровождаем и решаем задачи вместе с вамиМы не просто предоставляем сервис, но и сопровождаем клиентов во всех аспектах защиты информации и выполнения требований регуляторов, например:– готовим необходимый пакет документов для выполнения ФЗ-152.– Предоставляем перечень актуальных угроз для включения в Модель угроз на информационные системы заказчика.– Сопровождаем аттестационные мероприятия по ИС заказчика до положительного результата.– Подбираем и рекомендуем исключительно те решения, которые протестированы и подходят для конкретных целей, снимая с заказчика необходимость самостоятельно искать, выбирать и внедрять технологии.
6. Техподдержка, которой не всё равноЗа 7 лет работы мы научились строить системы поддержки так, чтобы клиенты решали задачи быстрее. Поэтому и для Safe Cloud 152-ФЗ организовали отзывчивую техподдержку системы защиты информации и инфраструктуры до уровня ОС 24/7/365 на короткой связи с временем реагирования до 20 мин. Подробнее о работе техподдержки CORTEL можно прочитать здесь.
Если у вас остались вопросы по выполнению требований законодательства, защите обработки ваших персональных данных или Safe Cloud 152-ФЗ – просто
Будьте готовы к проверкам и помните об ответственности
Максим Лагутин, сооснователь консалтинговой компании Б-152:
Роскомнадзор проводит плановые и внеплановые проверки.
К плановым проверкам относятся выездные и документарные. В первом случае сотрудники ведомства приходят лично, во втором – просят предоставить заверенные копии документов. Компании получают уведомления за 3 дня – обычно это сообщение на имейл с уведомлением, подписанным электронно-цифровой подписью. Имейл орган берет из уведомления об обработке персональных данных, которое ранее направлял оператор.
Сейчас возможны как плановые, так и внеплановые проверки. Плановые проверки проводят с применением риск-ориентированного подхода в отношении операторов, которые относятся к категории высокого риска4. Внеплановые проверки инициируют в случае утечки данных5.
Проверочные мероприятия проводят и без взаимодействия с оператором. Роскомнадзор может изучить сайт компании и направить требование об устранении выявленных нарушений. Например, нарушением будет считаться установка на сайте кода JavaScript, чтобы сервис Google Analytics собирал статистику о посетителях, если об этом нет информации в политике обработки ПД.
Роскомнадзор может проверить наличие на сайте обработки cookie-файлов, отражение этой обработки в политике и ее соответствие п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ
Или может обратить внимание на формы сбора персональных данных («задайте вопрос», «обратная связь» и т.д.) – размещены ли под ними формы согласий на обработку ПД.
Привлекут внимание Роскомнадзора крупные компании, которые работают с большим объемом конфиденциальной информации, в том числе с биометрическими данными и специальными категориями ПД. Особенно если организация допускает нарушения и ей регулярно назначают штрафы
Также проверяющих заинтересуют компании, которые: осуществляют трансграничную передачу данных в недружественные страны; не проводят локализацию баз данных на территории России; обрабатывают данные несовершеннолетних в случаях, которые не описаны в законе или имеют иные цели.
После проверки компанию могут оштрафовать, например по ст. 13.11 или ст. 19.7 КоАП РФ. Чаще штрафы назначают за обработку избыточных данных, отсутствие в общем доступе политики обработки ПД, невыполнение требований субъекта ПД, несоблюдение условий по обеспечению сохранности ПД. Самый большой штраф предусмотрен за невыполнение требований по локализации ПД – при повторных нарушениях он составляет от 6 до 18 млн руб. (ч. 9 ст. 13.11 КоАП РФ).
Для снижения рисков важно настроить внутренние системы обработки ПД и вести учет процессов обработки ПД, чтобы понимать, с какими данными и субъектами ПД вы работаете. Также необходимо назначить ответственного за организацию обработки ПД и провести обучение персонала, чтобы избежать нарушений в области персональных данных (п
1 ч. 1 ст. 18.1 Закона № 152-ФЗ).
Как устроен Safe Cloud 152-ФЗ для обработки персональных данных?
Федеральный закон № 152 разрешает операторам персональных данных размещать информацию у стороннего провайдера. При выборе поставщика услуг необходимо ориентироваться на 3 аспекта:– Дата-центр, включая весь серверный сегмент, обязан находиться на территории РФ, в соответствии с поправками в закон «О персональных данных» от 14.07.2022 года.– Наличие аттестата ФСТЭК, подтверждающего выполнение провайдером требований законодательства по организации защиты персональных данных. – Возможность предоставить необходимый уровень защищённости персональных данных. О том, как его определить, рассказали здесь.Safe Cloud 152-ФЗ соответствует перечисленным критериям и подходит для информационных систем ИСПДн, требующих четвёртого, третьего и второго уровня защищенности, включая:
- размещение медицинской тайны;
- специальных категорий;
- данных несовершеннолетних;
- биометрических данных;
- государственных информационных систем 1 и 2 класса.
Архитектура Safe Cloud для выполнения ФЗ-152
Обеспечьте безопасность персональных данных
Алексей Мунтян, эксперт по защите персональных данных и информационной безопасности:
Как только компания получила персональные данные клиентов, сотрудников или контрагентов, у нее возникает обязанность по соблюдению конфиденциальности ПД. Она должна защищать данные и не допускать утечек (ст. 7 Закона № 152-ФЗ). Безопасность ПД обеспечивается комплексом мер правового, организационного и технического характера (ст. 19 Закона № 152-ФЗ).
Правовые меры защиты ПД
1. Принятие локальных нормативных актов и организационно-распорядительных актов:
- положения (политики) по обработке и защите ПД;
- положения о порядке уничтожения ПД;
- политики обработки ПД пользователей сайтов;
- положения о внутреннем аудите работы с ПД;
- приказа о назначении ответственного по работе с ПД и др.
2. Оформление отношений с субъектами ПД и контрагентами, для чего могут понадобиться:
- соглашения о неразглашении конфиденциальной информации;
- поручения обработки ПД;
- согласия субъектов ПД.
3. Взаимодействие с Роскомнадзором, для чего пригодятся:
- уведомление о начале обработки ПД;
- информационное письмо о внесении изменений в ранее поданное уведомление о начале обработки ПД;
- уведомление о намерении осуществлять трансграничную передачу ПД;
- уведомление о прекращении обработки ПД;
- согласия субъектов ПД.
Организационные меры защиты ПД
Назначение ответственных лиц, обучение работников, формирование культуры приватности в компании.
Меры технического характера
Ответы на вопросы
— То есть раньше сферу ПД контролировал Роскомнадзор, а сейчас ещё и Роспотребнадзор?
— Роспотребнадзор будет частично контролировать работу с ПД пользователей, покупающих товары для себя. Его задача — чтобы продавцы не отказывали в заключении договоров без избыточных данных.
— Кто будет определять критерии обоснованности? И как доказывать, что не обосновали?
— Как и в других ситуациях, каждая сторона должна доказать свою позицию. Чем лучше бизнес обоснует необходимость данных для исполнения договора, тем вероятнее, что его признают невиновным. Пользователь может пожаловаться на пиццерию из-за требования телефона, но та объяснит, что без него не может выполнить обязательства, так как в 20% случаев люди не реагируют на звонок в дверь.
Думаю, и Роспотребнадзор, и Роскомнадзор будут оценивать обоснованность сбора данных довольно объективно.
— Нужно ли будет редактировать текущие политики работы с ПД и вносить туда обоснования сбора?
— Цели сбора ПД и так должны быть в политике и в согласии пользователя. Но на фоне поправок стоит проверить свои документы: прочитать свежим взглядом, попробовать переписать как на примере. Серьёзных требований к оформлению политики конфиденциальности нет, это локальный документ. Чем она понятнее и точнее, тем меньше вопросов будет у потребителей и контролирующих органов.
Вот пример такой политики конфиденциальности из нашей практики.
Как подать уведомление
Как видим, есть несколько способов подготовки и подачи уведомления:
- на бумаге;
- с использованием электронной цифровой подписи;
- через портал Госуслуг.
Мы рассмотрим первый способ, то есть подготовим уведомление, которое потом надо распечатать и направить в территориальное подразделение РКН лично, почтой или курьером.
Верхняя часть уведомления заполняется довольно просто, надо ввести стандартные реквизиты заявителя (выбрав сначала тип оператора).
Дальше стоит воспользоваться всплывающими подсказками, потому что не все термины могут быть понятными. Например, вот что понимается под правовыми основаниями обработки ПД.
Приведём примерные формулировки по разделам.
- Правовое основание обработки персональных данных: политика обработки ПД, устав организации, публичная оферта, договоры с контрагентами, согласие на получение рассылок, нормативно-правовые акты с реквизитами (указывайте законы, постановления, приказы, имеющие отношение к вашей ситуации).
- Цель обработки персональных данных: регистрация пользователей в личном кабинете, техподдержка пользователей, работа онлайн-сервисов, обработка обращений и звонков потребителей, сбор и составление статистики заказов, заключение и исполнение договоров, взаимодействие с контрагентами, выполнение определённых работ, исполнение требований ТК РФ, публикация личных данных работников, осуществление управленческих и кадровых решений, оформление социальных льгот, организация командировок.
- Описание мер, предусмотренных статьями 18.1 и 19 закона № 152-ФЗ: используйте формулировки из самого закона, но с учётом своей ситуации. Например, для организации можно указать: «назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных».
- Перечень действий с персональными данными: выбирайте формулировки из закона № 152-ФЗ, такие как, накопление, запись, хранение, уточнение, использование, передача удаление, уничтожение. В полях ниже выберите способы обработки данных. Например, смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет.
- Категории персональных данных. Сначала приводится стандартный перечень, в котором надо проставить галочки в отношении тех сведений, которые вы будете обрабатывать. Но часто этих категорий недостаточно, поэтому в поле ниже надо вписать недостающие. Так, в отношении работников дополнительно обрабатываются: паспортные данные, СНИЛС, место проживания, номер телефона, email, сведения о стаже, о составе семьи, реквизиты банковского счёта для выплаты зарплаты и др.
- Категории субъектов, ПД которых обрабатываются. Это могут быть: работники и члены их семей, покупатели и клиенты, контактные лица деловых партнеров, пользователи сервисов и сайтов.
Если затрудняетесь с формулировками, обратитесь за поддержкой к сотрудникам территориального отделения Роскомнадзора. Можно также найти в реестре операторов схожую по виду деятельности компанию и воспользоваться её описаниями в качестве примера.
Когда включение в реестр операторов персональных данных не требуется?
Закон содержит исчерпывающий перечень случаев, когда оператор персональных данных вправе осуществлять обработку персональных данных, не уведомляя об этом Роскомнадзор.
С 01.09.2022 года не уведомлять Роскомнадзор об обработке персональных данных можно только в следующих случаях:
- персональные данные включены в государственные автоматизированные информационные системы персональных данных либо информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка
- персональные данные обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных
- персональные данные обрабатываются в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства
Таким образом, с 01.09.2022 года операторы персональных данных должны уведомлять Роскомнадзор об обработке персональных данных, в том числе в следующих случаях:
- персональные данные обрабатываемых в соответствии с трудовым законодательством
- персональные данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных
- обрабатываются персональные данные членов (участников) общественного объединения или религиозной организации для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных
- субъект персональных данных сделал свои данные общедоступными
- персональные данные включают в себя только фамилии, имена и отчества субъектов персональных данных
- персональные необходимы в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях
Следствием подачи уведомления является включение организации в реестр операторов персональных данных. Включение компании в реестр операторов персональных данных Роскомнадзора может нести следующие последствия для деятельности компаний:
- увеличивается риск проведения в компании плановых и внеплановых проверок со стороны Роскомнадзора
- увеличивается вероятность блокировки интернет-сайта компании в случае обнаружения нарушений законодательства о персональных данных
- возникает вероятность наложения штрафов за нарушение законодательства об обработки персональных данных
Обратите внимание! Обязанности оператора персональных данных не ограничиваются только подачей уведомления в Роскомнадзор. Оператор должен разработать обязательные локальные акты по защите ПДн (в уведомлении сообщается о их наличии), а также соблюдать предусмотренные законом и локальными актами правила обработки, хранения и защиты ПДн.
Риски применения стратегий выполнения требований Закона № 242-ФЗ
Для просчета юридических рисков, сопутствующих применению стратегий выполнения требований Закона № 242-ФЗ, оценивалась вероятность4 выявления правонарушения (обнаружить несоответствие могут Роскомнадзор и Прокуратура, субъекты ПДн, контрагенты оператора и иные лица) и дальнейшего доказывания этого факта в суде. Для этого выявлялась степень соответствия стратегии требованиям закона с точки зрения органов госвласти, опирающихся на политическую ситуацию и ведомственное мнение, и судов, руководствующихся юридической трактовкой и внутренним убеждением.
Ниже приведено графическое представление интегральной оценки в диапазоне от 0 до 5 баллов в отношении величины юридических рисков для каждой из стратегий. Так, стратегия № 1 получила 0 баллов, что демонстрирует ее безрисковость. Выбор стратегии № 2 чреват наибольшим юридическим риском среди всех восьми стратегий. При реализации остальных стратегий вы в большей (стратегии № 4, 5, или меньшей степени (стратегии № 3, 6, 7) рискуете столкнуться с наступлением неблагоприятных последствий, описанных далее.
Как дополнить уведомление новыми основаниями
Большинство бизнес-субъектов уже подавали уведомление, но напомним, что с 1 сентября 2022 года появились новые основания обработки, о которых тоже надо сообщить (в частности, получение данных работников).
Вернёмся к информационному письму. Его интерфейс аналогичен форме при подаче уведомления. Некоторые поля отмечены звездочкой, поэтому обязательны для заполнения, кроме того, заполняются поля, в которых вносятся изменения. Подготовленное информационное письмо направляется в Роскомнадзор одним из уже рассмотренных способов: на бумаге, с ЭЦП или через портал Госуслуг.
Напоследок стоит сказать про срок подачи уведомления или информационного письма. Новые основания обработки персональных данных возникли с 01.09.2022, однако этот срок не является крайним, до которого надо было обратиться в РКН.
Что будет дальше
Весна отметилась серией критических нарушений закона о ПД: в открытый доступ попали данные клиентов нескольких крупных компаний. При этом административный штраф первой из них — «Яндексу» — составил 60 тысяч рублей. Сумма несопоставима с масштабом утечки и чувствительностью слитых ПД. И хотя этой цифрой «Яндекс» не отделается (есть коллективные иски от самих пользователей), стало понятно, что государство плохо регулирует этот вопрос.
Минцифры готовит законопроект об оборотных штрафах по европейскому образцу. Согласно ему, наказание за утечку ПД клиентов составит 1% от годового оборота компании. Это очень болезненно.
Проще работать с ПД не станет. Государство хоть и с опозданием, но будет реагировать на новые проблемы: ужесточать штрафы, повышать требования к прозрачности.
Что в этом хорошего
У потребителей есть законное право вернуть магазину просроченный товар и получить назад заплаченные деньги. Фактическое исполнение раньше было плохим (как сейчас с ПД): покупатель униженно доказывал просрочку, 20 минут ждал чека да ещё мог напороться на хамство.
Однажды «Вкусвилл» объявил, что без проблем вернёт деньги за товары, — не только за некачественные, но и за те, что не понравились по вкусу. Магазин добавил к законодательной норме свою и заметно повысил лояльность клиентов.
Сегодня у бизнеса есть такая же возможность получить конкурентное преимущество за счёт работы с ПД. Настройте прозрачное управление согласиями для пользователей — и используйте это как маркетинговый ход.
На Западе так уже делают:
Фрагмент политики конфиденциальности приложения Flo. Компания разговаривает о данных дружелюбно: понятным языком, с хорошим оформлением, картинками
Концепт простого интерфейса для управления согласиями в подростковой соцсети
Что не изменится
Новая редакция статьи 16 закона устанавливает: продавец не вправе отказать в товаре или услуге потребителю, который не предоставил персональные данные (далее — ПД), если они не нужны для исполнения договора. Другими словами, бизнес не может делать предоставление дополнительных данных условием сделки.
Однако профильный закон о ПД (принят в 2006 году) и так гласит: «Обработка ПД должна ограничиваться достижением конкретных, заранее определённых и законных целей. Не допускается обработка ПД, несовместимая с целями сбора ПД». Нельзя собирать избыточные данные — это основополагающий принцип закона о ПД, который теперь продублирован и в законе о защите прав потребителей.
Например, для доставки пиццы нужны номер телефона и адрес, а для аренды самоката — номер телефона и ФИО. Если на сайте пиццерии технически нельзя сделать заказ без указания емейла, семейного положения и вкусовых предпочтений, а сервис проката требует фотографии всех заполненных страниц паспорта — это нарушения. Были таковыми до новых поправок и остаются ими.
С юридической точки зрения в законодательстве ничего не изменилось. Продолжает действовать принцип «Не бери то, что не нужно для исполнения договора».