С 1 июля ужесточается законодательство о персональных данных. Поэтому интернет-магазины с новой силой вспомнили о 152 ФЗ и задались вопросом – как именно его нужно соблюдать. Тем более, что Роскомнадзор уже начал рассылать «письма счастья», в которых сообщает, что проведен осмотр сайта интернет-магазина, а вот формы для получения согласия на сбор ПДн, увы, не обнаружено. В этой статье мы расскажем, как интернет-магазину правильно «подстелить соломки» и обезопасить себя от штрафов. Для начала, перечислим самые популярные мифы по персональных данных, не соответствующие действительности.
Миф 1: принят новый закон
- Обработку ПДн без согласия пользователя, полученного в письменной форме.
- Обработку ПДн в случаях, не предусмотренных законодательством РФ.
- Непредоставление доступа к документу, определяющему политику оператора в отношении обработки ПДн, и к сведениям о защите персональных данных.
- Непредоставление субъекту ПДн информации, касающейся обработки его персональных данных
- Невыполнение оператором при обработке ПДн обязанности по соблюдению сохранности персональных данных при хранении материальных носителей ПДн.
Миф 2: персональные данные это только данные паспорта или платежные реквизиты
Закон отчасти сам вводит нас в заблуждение и содержит очень обтекаемое определение персональных данных. Скажем по практике правоприменения на сегодняшний день. Совершенно точно к ПДн относятся – ФИО, адрес электронной почты, телефон, адрес электронной почты, паспортные данные, платежные реквизиты, данные о здоровье и даже IP-адрес. По сути это любые данные, с помощью которых можно определить конкретное лицо.
152-фз что делать для защиты персональных данных и что такое обработка персональных данных на сайте
Миф 3: пока не подал уведомление в Роскомнадзор – я не оператор персональных данных
152 ФЗ указывает, что оператором персональных данных организация становится в ЛЮБОМ случае, когда начинает их обработку. Другими словами, получив данные клиента, вы уже обязаны соблюдать 152 ФЗ.
Интернет-магазин собирает данные, как правило, через
- форму заказа;
- форму подписки на рассылку;
- форму обратной связи.
Само наличие таких форм на сайте уже означает, что вы стали оператором и начали обработку данных.
Закон действительно обязывает оператора подать уведомление в РКН, но есть и ряд исключений. Самое распространенное из них – получение данных в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных. Человеческим языком: если данные получены от покупателя или потенциального покупателя в рамках договора с ним, то подавать уведомление не обязательно.
Человек не является физическим лицом, не является субъектом персональных данных
Миф 4: оператору достаточно разместить сведения о политике конфиденциальности на сайте
На самом деле, закон 152 ФЗ не дает конкретного перечня документов, наличие которых на сайте является достаточным минимумом для законной обработки данных.
Но, с учетом практики, минимальным считается следующий пакет документов, размещенный на сайте:
- Договор, определяющего права и обязанности покупателя и продавца;
- Политика обработки персональных данных. В этом документе следует определить принципы и цели обработки, порядок обработки данных, сроки хранения, порядок удаления.
- Специальная форма согласия пользователя на обработку его данных – если данные собираются до момента акцепта договора. Например, если договор акцептуется при регистрации или заказе товара, а данные на сайте ИМ собираются еще и через форму обратной связи или подписки на рассылку.
В соответствии с ч. 1 ст. 9 №152 ФЗ согласие на обработку ПДн должно быть конкретным, информированным и сознательным. Важно подтвердить,что пользователь согласие давал, а значит, прямо указать, какое действие является согласием (ввод кода, галочка).
Для того, чтобы обезопасить себя, идеально подходит форма двухэтапного получения согласия.
1 этап – пользователь заполняет форму регистрации на сайте, потом нажимает на кнопку «Согласен» или проставляет в чекбоксе автоматическую галочку и отправляет форму регистрации.
Вот пример правильного оформления 1 этапа – форма заказа на сайте «М.Видео»:
Возле чекбокса, который надо активировать, размещена фраза, свидетельствующая о прямом согласии пользователя с политикой конфиденциальности сайта. После нее есть кликабельная ссылка на политику конфиденциальности.
Также на сайте стоит отдельно разместить форму согласия пользователя на получение информационно-рекламных материалов в виде SMS и email-рассылок. Например форма согласия на рассылки на сайте Landcruiserland.toyota.ru выглядит так:
Обратите внимание: недостаточно только одного чекбокса «Согласие на получение рекламно-информационных рассылок». Вы ведь собираете данные посетителей, для того чтобы включить их в рассылку. А значит, надо в первую очередь получить согласие пользователя на обработку его ПДн.
Регистрационные формы или формы на получение рассылок, размещенные на сайтах без чекбокса или другого инструмента получения согласия пользователя нарушают ФЗ-152.
Вот пример формы заказа, которая может обернуться для вас штрафом. Данные вносятся, а получение согласия от пользователя – не предусмотрено. К сожалению, таких примеров на сайтах интернет-магазинов до сих пор много. А как эта форма выглядит у вас?
2 этап – подтверждение регистрации на сайте через заход по ссылке, направленной на электронную почту пользователя.
Обратите внимание: второй этап согласия пользователя важно получить именно через его электронную почту, так как ни законодательство, ни инструкции или рекомендации Роскомнадзора не признают согласия на обработку ПДн, полученного при помощи SMS и по телефону.
Если не предусмотрено двухэтапное согласие пользователя, то лучше внедрить на сайте механизм, который не дает возможности отправить заказ со всеми данными клиента без нажатия кнопки «Согласен на обработку ПДн».
Текст согласия должен быть достаточно понятным и содержать основные моменты:
- наименование оператора персональных данных;
- перечень ПДн, на обработку которых пользователь дает согласие;
- цели обработки ПДн;
- срок хранения ПДн;
- положение о передаче ПДн пользователя транспортным компаниям/курьерским службам в целях доставки;
- положение об обязательстве оператора совершать или не совершать трансграничную передачу ПДн пользователя;
- согласие пользователя получать рекламную информацию при помощи SMS или по электронной почте.
Стоит помнить, что с согласием на обработку данных тесно связано согласие на получение рассылок. Согласие пользователя является обязательным для рассылки рекламы, в соответствии с ч. 1 ст. 18 ФЗ «О рекламе» №38-ФЗ от 13.03.2006.
Судебная практика за 2017 год по незаконной рекламе, в частности, по sms-рассылкам без получения предварительного согласия, – довольно противоречива. Например, по некоторым делам территориальные управления ФАС ограничиваются вынесением предупреждений недобросовестным операторам ПДн.Так, торговый дом «Связь» в городе Кемерово получил за рассылку рекламных sms без согласия пользователя только предупреждение. В качестве смягчающего обстоятельства в решении суда указывается то, что ТД был замечен за таким административным нарушением в первый раз.
Однако по некоторым делам о незаконной рекламе ФАС и его территориальные органы применили более серьезные меры. Например: по решению Московского УФАС России от 26.01.2017 г. компания «Мегафон» получила за рассылку рекламных sms штраф в размере 450 000 руб. То же Московское УФАС 05.06.2017 г. возбудило производство против «Вымпелком», по заявлению пользователя, получившего рекламную sms от «Билайна» об акции «Месяц в подарок».
И самый интересный пример. Московское УФАС возбудило дело в отношении ООО «Приват Трейд» (компания, которой принадлежит KupiVIP). Частное лицо подало жалобу, что ему без его согласия присылали на e-mail письма с сообщениями о скидках и акциях. Теперь компании грозит крупный штраф за нарушение Закон о рекламе (статья 18, ч.1). В таких случаях, если вина компании будет доказана, юрлицо должно заплатить от 100 до 500 тысяч рублей.
Итак, мы видим, что контроль Роскомнадзора за ecommerce усиливается, а значит, соблюдение 152ФЗ становится жизненно важным.
Источник: oborot.ru
Что нужно знать владельцам сайтов про обработку персональных данных?
Приветствую вас, друзья! В 2017 году в Интернете поднялась шумиха вокруг закона о персональных данных (ПДн). Это было связано с внесением поправок в КоАП РФ и ужесточением штрафов за нарушение упомянутого закона. Владельцы сайтов и вебмастера буквально встали на уши, так как внезапно узнали, что закон, оказывается, касается их самым непосредственным образом.
На самом деле он касался их и раньше, вот только внимания на него никто не обращал. Штрафы за нарушение были мизерными и, по факту, никого толком не штрафовали. Однако с 1 июля 2017 года всё изменилось: суммы выросли, а проверками и вынесением наказаний стал заниматься непосредственно Роскомнадзор.
И теперь обработка персональных данных на сайте – это тема, в которую должен вникнуть каждый владелец веб-ресурса. Независимо от того, кем он является – физическим лицом, ИП или юрлицом.
В отношении кого работает закон?
Не будем доверять противоречивым статьям в Интернете, а обратимся лучше к первоисточникам – Федеральным законам. В данном случае нас интересует 152-ФЗ «О персональных данных» от 27.06.2006 в последней редакции.
Настоящим ФЗ регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными и муниципальными органами власти, а также ЮРИДИЧЕСКИМИ и ФИЗИЧЕСКИМИ лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств.
Получается, что 152-ФЗ касается абсолютно всех, кто тем или иным образом обрабатывает персональные данные. Далее следует разъяснить, что же к ним относится.
Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Никакого уточнения нет – догадывайтесь, мол, сами. Поэтому на основании данного определения к ПДн человека можно отнести практически любую информацию о нём:
- фамилия, имя, отчество,
- дата рождения,
- адрес регистрации,
- паспортные данные,
- контактный телефон,
- E-mail,
- место работы,
- состав семьи,
- сведения о доходах,
- и т.п.
Так как понятие размытое, то и толковать его можно по-разному. Однако одно можно сказать точно: если по полученной информации нельзя точно определить личность человека, то такие данные не относятся к персональным. Например, зная только имя и отчество, вы вряд ли идентифицируете человека. А вот ФИО в совокупности с адресом электронной почты и номером телефона — эти сведения уже относятся к определённой личности.
В любом случае окончательное решение о том, можно ли отнести те или иные сведения к персональным, может решить только суд. А решения разных судов, как показывает практика, бывают противоречивыми. Так что примем за истину, что если на вашем веб-сайте пользователи имеют возможность оставить любую информацию, позволяющую идентифицировать их, то вы являетесь оператором персональных данных.
Оператор – государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами осуществляющие обработку персональных данных.
Чтобы окончательно убедиться в том, что 152-ФЗ касается многих владельцев сайтов, проясним, что же подразумевается под обработкой данных.
Обработка персональных данных – любое действие, совершаемое с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
То есть если вы в своём интернет-магазине получаете от человека ФИО, контакты и адрес, а затем их удаляете, то вы тоже совершаете обработку, следовательно, являетесь оператором.
Вывод: наличие на сайте любых полей для оставления данных, по которым можно идентифицировать человека, предполагает, что владелец сайта осуществляет обработку ПДн и является оператором.
Какие штрафы за нарушение закона 152-ФЗ?
Размеры штрафов определены законом №13-ФЗ от 7.02.2017 (вступил в силу с 1 июля 2017 года). Согласно ему, устанавливаются сразу 7 категорий штрафов за нарушение закона о персональных данных:
- Обработка данных в случаях, не предусмотренных законодательством РФ, а также обработка, несовместимая с целями сбора данных – предупреждение или наложение штрафа для граждан от 1 до 3 тысяч рублей, для должностных лиц – от 5 до 10 тысяч, для юридических лиц – от 30 до 50 тысяч.
- Обработка данных без согласия субъекта – штраф для граждан от 3 до 5 тысяч, для должностных лиц – от 10 до 20 тысяч, для юрлиц – от 15 до 75 тысяч.
- Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику обработки ПДн – предупреждение или наложение штрафа для граждан от 700 до 1500 руб., для должностных лиц – от 3000 до 6000 руб., для индивидуальных предпринимателей – от 5000 до 10000 руб., для юрлиц – от 15000 до 30000 руб.
- Невыполнение обязанности по предоставлению субъекту информации, касающейся обработки его данных – предупреждение или наложение штрафа для граждан от 1000 до 2000 руб., для должностных лиц – от 4000 до 6000 руб., для ИП – от 10000 до 15000 руб., для юрлиц – от 20000 до 40000 руб.
- Невыполнение требования субъекта об изменении или удалении ПДн — предупреждение или наложение штрафа для граждан от 1000 до 2000 руб., для должностных лиц – от 4000 до 10000 руб., для ИП – от 10000 до 20000 руб., для юрлиц – от 25000 до 45000 руб.
- Невыполнение обязанности по обеспечению сохранности данных – штраф для граждан от 700 до 2000 руб., для должностных лиц – от 4000 до 10000 руб., для ИП – от 10000 до 20000 руб., для юрлиц – от 25000 до 50000 руб.
- Последний пункт касается государственных и муниципальных органов и их обязанности обезличивать персональные данные.
Давайте разберём, какой штраф может схлопотать ИП, собирающий на своём сайте персональные данные (например, через форму обратной связи или заказа звонка) и не позаботившийся о соблюдении требований закона 152-ФЗ.
- Не получает согласия субъекта – от 10 до 20 тысяч рублей.
- Не опубликовал на сайте политику конфиденциальности – от 5 до 10 тысяч рублей.
- Не предоставил посетителям сайта, оставляющим свои персональные данные, информацию о том, каким образом она будет обрабатываться – от 10 до 20 тысяч рублей.
Суммарный штраф может составить от 25 до 50 тысяч рублей. Конечно, по некоторым пунктам можно отделаться предупреждением, но тут уж как повезёт. Лучше не искушать судьбу и привести свой сайт в порядок.
Что нужно сделать на сайте?
Перечень мер, которые вы, как владелец веб-ресурса, должны сделать, не так уж и велик. Поэтому позаботьтесь о выполнении требований 152-ФЗ прямо сейчас и не откладывайте на потом.
Не факт, что сейчас Роскомнадзор начнёт поголовно штрафовать все сайты. Более того, вы можете просто-напросто «забить» на всё это и жить спокойно и дальше. Но зачем вам эти риски? Несколько простых действий – и к вам будет не подкопаться.
Итак, что же необходимо сделать на своём сайте, если вы обрабатываете персональные данные:
- Составить и опубликовать документ, определяющий цели и порядок обработки, а также способы защиты персональных данных. Документ можно обозвать как угодно – политика конфиденциальности, политика безопасности, договор оферты и т.п. Не нужно тупо копировать текст с других сайтов. Возьмите образец и измените его под свои цели. Ссылка на документ должна быть на видном месте (например, в подвале сайта). Политика конфиденциальности должна быть на любом сайте, где используется сбор персональных данных — это относится и к Landing Page.
- Под всеми формами сбора персональных данных (обратная связь, оформление заявки и т.п.) необходимо прописать, что пользователь, оставляя сведения о себе, соглашается на их обработку в соответствии с упомянутым выше документом. При этом не забудьте поставить ссылку на документ, чтобы с ним можно было быстро ознакомиться.
Если вы будете читать различные статьи в Интернете, то наткнётесь и на другие рекомендации.
Например, вам посоветуют зарегистрироваться в реестре операторов персональных данных на сайте Роскомнадзора, ссылаясь на статью 22 Федерального закона №152-ФЗ. Не спешите этого делать. В той же статье (пункт 2) устанавливается целый ряд исключений, когда вам не нужно уведомлять Роскомнадзор о том, что вы являетесь оператором.
К примеру, если получаемые данные используются только в целях заключения и исполнения договора с субъектом и не передаются третьим лицам без его согласия. Этому пункту полностью соответствует деятельность интернет-магазинов, когда сведения о покупателе используются для заключения договора купли-продажи и исполнения обязательств по доставке товара в соответствии с договором.
Также вам посоветуют установить на сайт всплывающее уведомление о согласии на использование файлов Cookie. В сети даже встречаются сайты, которые последовали этой рекомендации. Однако до сих пор не до конца ясно, являются ли Cookie-файлы персональными данными (в сети очень много споров по поводу этого, а официальной точки зрения нет). Поэтому вы можете установить уведомление — вреда от этого не будет. Но большинство сайтов прекрасно обходятся и без него, упомянув о Cookie в политике конфиденциальности.
Друзья, формулировки закона позволяют трактовать его по-разному, что и приводит к противоречивым решениям суда и различным спорам. Будем надеяться, что в ближайшем будущем картина изменится, и в этом вопросе появится какая-то ясность. А пока — делаем элементарные изменения на своих сайтах и продолжаем их развивать.
Источник: on-www.ru
Как теперь владельцу бизнеса работать с персональными данными
С 1 сентября внесены существенные изменения в Закон о защите персональных данных. С этого момента Роскомнадзор должен знать о том, что вы храните и обрабатываете персональные данные, а также о том, каким образом вы это делаете. Если в персональных данных произошла утечка, Роскомнадзор первый, кого вы должны об этом уведомить. Что все эти изменения означают для бизнеса и как это будет происходить на практике, разобрались в статье.
Как нужно работать с персональными данными
Компании и ИП, которые собирают персональные данные своих сотрудников или клиентов (а это практически все), теперь должны ставить об этом в известность Роскомнадзор.
Федеральный закон №152-ФЗ с 1 сентября 2022 года претерпел существенные изменения. Больше не разрешается собирать и хранить персональные данные, не оповещая об этом регулятор.
Вот как изменения комментирует Евгений Царев, управляющий RTM Group, эксперт в области права в ИТ:
«Вступившие в законную силу требования существенно ужесточили условия работы с персональными данными, однако бояться предпринимателям абсолютно нечего: необходимо внимательно ознакомиться с изменениями и активно применять их на практике. В случае возникновения сложностей, всегда можно адресовать вопросы регулятору, то есть в Роскомнадзор, который постоянно отвечает заявителям, дает подробные комментарии и разъяснения.
Да, теперь подойти к вопросу организации процесса обработки и защиты персональных данных придется не просто «для галочки», а обстоятельно, организуя процесс таким образом, чтобы данные были действительно защищены»
Бесплатные инструменты для предпринимателя
Скачайте бесплатно шаблоны финансовых отчетов, калькуляторы скидок, пошаговые инструкции и методички от экспертов ПланФакта и зарабатывайте больше.
Получить Скачано
>15 000 раз
Какая информация подразумевается под персональными данными
Персональные данные — это все данные человека, по которым можно его идентифицировать. Это имя, фамилия, отчество, паспортные данные, номер телефона. Устраиваясь на работу или заключая договор купли-продажи товаров или услуг, человек передает третьим лицам такие данные, в этом случае третье лицо автоматически становится оператором персональных данных.
Итак, что считается персональными данными:
- данные, которые нужны для оформления трудовых отношений (паспортные данные, трудовая книжка, военный билет, свидетельство о пенсионном страховании, диплом об образовании);
- данные для заключения договоров с физлицами;
- данные, на использование которых получено разрешение физлица;
- данные для пропуска сотрудников на территорию предприятия;
- данные участников общественных объединений и религиозных организаций.
Когда и каким способом нужно уведомлять Роскомнадзор
Уведомлять Роскомнадзор нужно до того, как вы начали собирать и работать с персональными данными. Если вы это уже делаете, то и уведомление нужно отправить сейчас.
Отчитываться в контролирующий орган нужно, если вы собираете и обрабатываете персональные данные при помощи любых автоматизирующих средств. Например, компьютера. Если вы ведете рукописный журнал учета, уведомлять об этом не нужно. Как только вы решаете воспользоваться электронным носителем, вместо бумажного, сразу нужно поставить в известность Роскомнадзор.
Евгений Царев подробнее рассказал о случаях, когда подавать уведомления не нужно:
«Исключения составляют случаи, когда:
— персональные данные включены в государственные информационные системы, созданные с целью защиты безопасности государства и граждан;
— в случае, если персональные данные обрабатываются исключительно без автоматизации;
— в случаях, предусмотренных законами о транспортной безопасности, для обеспечения безопасности транспортного комплекса государства, защиты общества в этой сфере.
В любых остальных случаях уведомление Роскомнадзора стало обязательным»
Оповещать контролирующий орган нужно всего один раз.
При приеме данных от каждого нового сотрудника никаких уведомлений не требуется.
Для подачи уведомления существует три способа:
- отнести в Роскомнадзор бумажное заявление, заполненное по форме;
- направить электронное уведомление через портал Госуслуг;
- заполнить уведомление на сайте Роскомнадзора и подписать его Усиленной квалифицированной электронной подписью. Как ее получить, мы подробно рассказывали в статье.
Эксперт Евгений Царев подчеркивает, что Уведомление Роскомнадзора – не формальное действие, а предполагающий тщательную подготовку процесс, включающий в себя выполнение технических и организационно-правовых мер защиты персональных данных.
«Такие меры предусмотрены ст.18.1 и ст.19 Федерального закона. К ним относится принятие внутренних документов, которые определяют, как проводить работу с персональными данными, как регламентируется доступ к ним, кто в организации может осуществлять их обработку, кто является ответственным. К техническим мерам относятся определение возможных угроз безопасности персональных данных, учет совершаемых действий с персональными данными, применением средств защиты (например, антивируса).
Также стало обязательным уведомлять Роскомнадзор об инцидентах, связанных с утечкой персональных данных. О них необходимо сообщать дважды: в течение 24 часов с момента возникновения инцидента, и в течение 72 часов с момента возникновения инцидента о результатах проведенного внутреннего расследования по факту утечки. Для удобства уведомления Роскомнадзором была создана специальная форма.
Скорректированы требования к согласию по обработке персональных данных: теперь оно должны быть, помимо уже имеющихся условий, предметным и однозначным, то есть предпринимателю необходимо откорректировать имеющиеся согласия на обработку персональных данных, указав, что согласие дается «предметно и однозначно»
Наказания за недобросовестную работу с персональными данными
За своевременное непредставление сведений в Роскомнадзор предполагаются штрафы.
О них рассказал Александр Партин, юрист, эксперт по персональным данным:
«На данный момент ответственность установлена, в основном, в статье 13.11 КоАП РФ и составляет в зависимости от нарушения штраф от 30 до 150 тыс. руб. (за повторное — до 300 тыс. руб.). Отдельно отметим ответственность за нарушение требований о локализации персональных данных граждан РФ — штраф до 6 млн руб. (за повторное — до 18 млн руб.).
Кроме того, активно обсуждается введение оборотных штрафов за утечки персональных данных»
Как сократить расходы без ущерба для бизнеса?
Скачайте бесплатно методичку «16 способов сократить расходы компании», экономьте продуманно и зарабатывайте больше. Подготовлена финансовыми экспертами ПланФакта.
Что еще важно знать о персональных данных
- теперь запрещается работать с персональными данными несовершеннолетних;
- для обработки персональных данных необходимо получить предметное согласие на это;
- сотрудник может не дать согласие на обработку его персональных данных;
- сотрудник имеет право знать, как хранятся и как обрабатываются его персональные данные. На запрос об этом работодатель должен ответить в течение 10 дней.
Евгений Царев пояснил, как нужно поступить, если необходимо отправить персональные данные за границу:
«Если компания передает персональные данные за границу, то также понадобится в обязательном порядке уведомлять Роскомнадзор. Важно отметить, что регулятор теперь сможет запретить передачу данных, если сочтет ее потенциально опасной.
Поручение на обработку персональных данных должно содержать перечень персональных данных, перечень операций, проводимых с ними, цели обработки персональных данных. То есть если предприниматель обрабатывает персональные данные с помощью третьих лиц, то необходимо в обязательном порядке в поручении привести вышеуказанные данные»
Как и сколько нужно хранить персональные данные и когда уничтожать их
Если вы ведете бумажный журнал для персональных данных, его нужно хранить в сейфе или в несгораемом шкафу под замком. Если они у вас на электронном носителе, обязательно нужны защитные логин и пароль. Доступ к персональным данным должен быть только у тех сотрудников, которые с ними работают. Как правило, это HR и бухгалтер. Важно прописать список лиц, у которых есть доступ, заранее.
Для уничтожения персональных данных есть несколько причин:
- истек установленный срок хранения;
- больше нет необходимости обрабатывать персональные данные;
- сотрудник отозвал свое разрешение на обработку;
- доказана неправомерность обработки.