Персональные данные: как не платить штрафы за то, что вы считали «безобидной информацией»

Персональные данные в бизнесе: скрытые риски и защита

Вы знаете, что VIN-номер автомобиля, GPS-треки ваших курьеров  — это персональные данные? А регулятор знает. И штрафует.

Многие бизнесы живут в иллюзии: «ПД — это только паспорт и ФИО. Нас это не касается». Это опасное заблуждение. Сегодня разберем реальные критерии закона, которые превращают рутину вашей компании в зону высокого правового риска.

Кратко для тех, кто ценит время:
Информация = ПД, если она относится к человеку (прямо или косвенно) и позволяет его идентифицировать (даже через VIN, номер телефона или GPS). Формат не важен. Контекст решает всё.

1. Закон не смотрит на носитель — и вы не смотрите

По закону персональные данные — это любая информация о человеке, которого можно узнать. Бумага, «Ворд», фото, видеозапись, голос в телефоне — неважно.

Если вы храните, обрабатываете или передаете что-то, что может «выдать» человека — вы уже оператор ПД. Даже если это просто «удобная табличка в Excel».

2. Главный критерий, который удваивает ваши риски

Информация признается персональными данными, если она относится к лицу. Закон выделяет два типа:

🔹 Прямое отношение

Фото, история болезни, место работы, ФИО — всё очевидно.

🔹 Косвенное отношение

Информация, которая позволяет оценить или повлиять на человека.

Пример из практики:

• GPS навигатор в служебной машине → можно оценить маршрут водителя → это ПД.

• История звонков с рабочего телефона → можно увидеть, звонил ли сотрудник по личным делам → это ПД.

Обратите внимание:
Если вы создали «доску позора» с номерами машин нарушителей — это обработка ПД (цель — влияние). А случайное фото авто на фоне вашего магазина — нет (цель — не оценка владельца).

Риск для бизнеса: Вы можете искренне не знать, что обрабатываете ПД. Но от штрафа это не спасет.

3. Идентификация: когда «безликие» данные становятся именными

Даже если вы не знаете ФИО, данные могут быть ПД. Достаточно возможности идентифицировать человека.

✅ Прямая идентификация (без доп. данных)

«Заведующий кафедрой криминалистики юрфака БГУ» — этого достаточно.
*«Электрик Сергей Валерьевич из ЖЭС-110»* — тоже.

✅ Косвенная идентификация (самый частый кейс)

Нужно собрать пазл из нескольких кусков. И если это легально возможно — перед вами ПД.

Что это значит для вас:

Если вы храните адрес доставки без ФИО, но по адресу можно определить квартиру и человека — это ПД. 

4. Список идентификаторов (проверьте свою CRM)

Перечень ПД в законе является открытым. Вот что прямо или косвенно идентифицирует человека:

Прямо сейчас пройдитесь по этому списку и отметьте, что у вас есть. Если нашли хотя бы три пункта — вам срочно нужен аудит.

5. Номер телефона — бомба замедленного действия

Почему телефон опаснее паспорта? Потому что он позволяет дотянуться до человека против его воли.

Закон говорит: если обработка номера телефона может вызвать беспокойство или повлиять на человека — это 100% ПД. Даже без ФИО.

Кейс:
Вы купили базу номеров для рассылки. Не знаете, кто это. Но звоните, предлагаете, влияете. Регулятор считает это обработкой ПД без согласия. 

6. VIN-номер: то, о чем молчат 90% автобизнесов

Многие проверяют историю авто по VIN и думают: «Это просто железо, не ПД». Нет.

• Покупатель увидел по VIN аварию → отказался от сделки → повлиял на владельца.

• VIN есть в открытых реестрах залогов → там он привязан к владельцу.

• В объявлении VIN идет рядом с телефоном продавца.

Юридический факт: Обработка VIN-номера в коммерческих целях (проверка, оценка, продажа отчета) — это обработка персональных данных. И на это нужно согласие.

7. Контекст решает всё (и это самая опасная зона)

Одни и те же данные могут быть ПД или нет — в зависимости от контекста и доступа.

Вывод, который стоит вам денег:
Если есть хотя бы теоретическая легальная возможность идентифицировать человека — считайте, что это ПД. Реальная идентификация не требуется.

8. Что делать бизнесу? Пошаговый план

Чтобы не платить штрафы и спать спокойно:

1) Проведите аудит всех носителей (бумага, CRM, логи, камеры, GPS, cookie на сайте).

2) Зафиксируйте цели обработки — если цель не связана с влиянием на человека, исключите данные.

3) Получите согласия там, где они нужны. Шаблоны из интернета не работают — нужны под ваши процессы.

4) Назначьте ответственного за ПД.

5) Обучите сотрудников — они сливают данные через «безобидные» таблички и фото.

6) Утвердите отдельный документ (Политику в отношении обработки персональных данных), в котором будут зафиксированы цели, объем, сроки, методы обработки и т.п.

9. Почему вам не стоит делать это самостоятельно?

Потому что закон написан так, что кажущаяся безобидная информация — это ПД. А ошибка стоит:

• 📉 Штрафы 

• 📉 Блокировка сайта или приложения

• 📉 Репутационные потери (покупатели не любят утечки)

Мы — юристы, которые специализируются не только на персональных данных. Мы знаем, где регулятор находит ПД там, где другие не видят ничего.

👉 Мы предлагаем:

✅ Экспресс-аудит ваших процессов за 2 дня
→ Выявим скрытые ПД (GPS, VIN, оценки сотрудников, cookie, логи).
→ Дадим карту рисков.
→ Стоимость — фиксированная, без скрытых платежей.

✅ Внедрение «под ключ»
→ Политика обработки персональных данных под ваш бизнес, а не шаблон.
→ Согласия, уведомления, реестры.
→ Защита от регулятора (Национальный центр защиты персональных данных).

✅ Абонентское сопровождение
→ Изменения в законах — вы узнаете первыми.
→ Проверки пройдете без потерь.
→ Спокойствие для владельца бизнеса.

🚨 Не ждите проверки или утечки

Каждый день, когда вы обрабатываете «серые» данные без согласия — это потенциальный иск или штраф.