Являюсь ли я оператором персональных данных? Что делать, если да?

Question

[prohodil_mimo]

Всем привет.

Был крайне удивлён, когда не нашёл ни то, что гайда, а даже внятных объяснений - как можно понять, являюсь ли я оператором персональных данных по определённых критериям.

Может кто-то сталкивался, буду признателен за ответы. У моих клиентов есть свои клиенты, поэтому своих клиентов я буду называть "покупатели", а их клиентов - "клиентами". С покупателями взаимодействую я, с клиентами взаимодействуют покупатели.

Итак, условия:

1. Я самозанятый
   
2. Через сайт продаю своё ПО.
   
3. На сайте есть форма запроса от покупателя - имя, почта, комментарий.
   
4. На сайте есть форма запроса обратного звонка - имя, почта, телефон.
   
5. С покупателями (только юрлица и ИП) заключается договор, в котором, конечно же, есть вся их информация - ИНН, адреса, имя и т.п.
   
6. ПО работает с данными о клиентах. ПО инфу НЕ собирает и мне НЕ передаёт. Исключение - кнопка, которая может отправить мне конкретную порцию данных от покупателя о клиенте. Нажать может только покупатель, я сам удалённо не могу ничего получать.
   
7. Ничего из вышеперечисленных данных я не использую никак, кроме непосредственных целей. Т.е. данные по запросу в поддержку использую для поддержки, телефон - для обратного звонка и т.п.
   
8. Иногда, когда база распухает, я всё это чищу, но нерегулярно и вручную. Ну кроме данных покупателей в рамках договоров, конечно.
   

Вопросы:

1. Данные, которые покупатель прописывает в договоре, являются персональными данными? Если я заключаю договоры - я автоматически становлюсь оператором?
   
2. Данные, которые потенциальный покупатель оставляет мне на сайте, чтобы я ему перезвонил или написал письмо - это персональные данные? Если есть кнопка обратного звонка и форма запроса, я уже оператор персональных данных?
   
3. Если после звонка/письма я буду удалять запросы от клиентов - я перестану быть оператором персональных данных (при условии, что на предыдущие вопросы ответ был "Да")?
   
4. Данные клиентов, отправленные покупателями для целей тех.поддержки - это персональные данные и я становлюсь оператором?
   
5. Насколько на все эти вопросы влияет проверяемость получаемых мною данных? За исключением данных, которые мне присылают покупатели для заключения договора, все получаемые мною данные никак мною не проверяются. Если покупатель оставит запрос на обратный звонок с левым именем-почтой-телефоном, я никак не проверю. Также, как и данные для тех.поддержки - они могут прийти пустые или Тест Тестович.
   
6. Где-то мелькал коммент, что если данные собираются в рамках договора, то это не считается сбором персональных данных - так ли это?
   
7. Если это так, то я могу в предмете договора все эти случаи прописать и таким образом избежать превращения в оператора персональных данных?
   

Заранее благодарен.

Comments

[Василий Банников]

Запрещено в одном вопросе кучу вопросов вкладывать - это на будущее

Answer 1

[Василий Банников]

Данные, которые покупатель прописывает в договоре, являются персональными данными? Если я заключаю договоры - я автоматически становлюсь оператором?

Если ты данные из договора ещё как-то электронно обрабатываешь - да.

Данные, которые потенциальный покупатель оставляет мне на сайте, чтобы я ему перезвонил или написал письмо - это персональные данные? Если есть кнопка обратного звонка и форма запроса, я уже оператор персональных данных?

В такой комбинации - скорее всего да.
Хотя вроде были случаи, когда суд считал, что нет.
Ключевой момент в том, что пользователь неиронично может захотеть ввести в эти поля свои ПД: личный номер, почту в которой транспортом написаны ФИО, и своё им.
Я бы уточнил у юриста или в РКН.

Если после звонка/письма я буду удалять запросы от клиентов - я перестану быть оператором персональных данных (при условии, что на предыдущие вопросы ответ был "Да")?

Нет, ты всё ещё будешь оператором. Просто в твоём соглашении на обработку ПД ты напишешь, что данные сразу удаляются после звонка.

Данные клиентов, отправленные покупателями для целей тех.поддержки - это персональные данные и я становлюсь оператором?

Если в этих данных содержатся сведения, по которым ты можешь определить конкретного человека, то да - клиент должен будет согласиться на обработку ПД и ты будешь оператором.

Где-то мелькал коммент, что если данные собираются в рамках договора, то это не считается сбором персональных данных - так ли это?

Это так, но см п1 - если ты захочешь ещё как-то данные из договора использовать - ты станешь оператором.

Если ты сохранишь на компьютере скан договора - ты тоже будешь оператором.

Если это так, то я могу в предмете договора все эти случаи прописать и таким образом избежать превращения в оператора персональных данных?

Не собирай персональные данные.
В форме обратной связи ты можешь оставить только почту, а в форме обратного звонка - только телефон.
Тогда эти данные по отдельности нельзя будет считать за ПД.

Не собирай у клиентов ПД тоже.

Comments

[prohodil_mimo]

Большое спасибо за развёрнутый ответ.

пользователь неиронично может захотеть ввести в эти поля свои ПД

Так, получается, тут мы уже говорим о защите от дурака. Уберу я поле Имя, например. Но ведь он может и в комментарий в запросе с сайта свои имя, дату рождения, телефон, номер паспорта и адрес вставить. И скриншот мне в поддержку отправить, где не только имена и телефоны. но даже пароли (тру стори, происходит постоянно). Выходит, я после таких фокусов без своего согласия и намерения становлюсь оператором?

Не собирай у клиентов ПД тоже.

То же самое - я могу придумать какой-то блюр для каких-то полей (превращать имя клиента в "-----"), но, во-первых, иногда бывает, что именно значение этого поля есть причина ошибки, а во-вторых, они же всё равно, например, в коммент часто даже данные паспорта лепят.

Ещё бывают удалённые подключения, где вообще можно наткнуться на какую-нибудь базу с кучей чужих данных. Мне оно не надо, но если оно висит на экране открытое, я же по идее всё это вижу. Что ж мне теперь, идти в РКН сдаваться?))

Я подозреваю, что вот эта норма про "в рамках договора" и должна как-то регламентировать эти границы дозволенного. Т.е. если в договоре я написал, например, что предмет - это, в том числе, поддержка, то в рамках этой поддержки я могу работать с данными, которые мне пришлют.

Если ты сохранишь на компьютере скан договора - ты тоже будешь оператором.

Тут тоже непонятно - ведь это как раз и есть та самая работа в рамках договора, которая не является работой с персональными данными.

В целом, получается, что если есть хоть какое-то взаимодействие с потенциальными покупателями вне договора, то уже не отвертеться от звания оператора обработки персональных данных?

[Василий Банников]

prohodil_mimo,

Так, получается, тут мы уже говорим о защите от дурака. Уберу я поле Имя, например. Но ведь он может и в комментарий в запросе с сайта свои имя, дату рождения, телефон, номер паспорта и адрес вставить

Нет. У тебя в поле написано "введите имя" => любой адекватный человек подумает, что речь о реальном имени.

Ещё бывают удалённые подключения, где вообще можно наткнуться на какую-нибудь базу с кучей чужих данных. Мне оно не надо, но если оно висит на экране открытое, я же по идее всё это вижу. Что ж мне теперь, идти в РКН сдаваться?))

Не тебе сдаваться, а нужно сдать своего покупателя, который не соблюдает требования 152 ФЗ ))