Является ли скоринг при выдаче кредита автоматизированным принятием решений?

Да. Кредитный скоринг без участия сотрудника считается автоматизированным принятием решений, существенно затрагивающим права субъекта. По запросу оператор обязан объяснить общую логику такого решения и предоставить возможность пересмотра с участием человека.

Нужно ли дополнительное согласие на автоматизированную обработку?

Не всегда требуется отдельное согласие, однако субъект должен быть проинформирован о том, что обработка осуществляется автоматизированным способом. Особенно это важно для интернет-сервисов и профилирования.

Является ли CRM-система автоматизированной обработкой?

Да. Любая система, обрабатывающая персональные данные с использованием компьютера — CRM, ERP, 1С, облачные сервисы — относится к средствам автоматизированной обработки.

Можно ли полностью принимать решения без участия человека?

Только в случаях, прямо предусмотренных законом или с согласия субъекта. Если решение существенно влияет на права человека, субъект может потребовать пересмотра человеком.

Относится ли email-рассылка к автоматизированной обработке?

Да. Автоматическая отправка сообщений, сегментация базы и анализ поведения пользователей считаются автоматизированной обработкой персональных данных.

Автоматизированная обработка персональных данных: требования ФЗ-152

Главное за 30 секунд

Автоматизированная обработка — это обработка ПД с использованием компьютеров, серверов, CRM и других цифровых систем
Согласие на обработку ПД через интернет должно учитывать автоматизированный характер обработки
Профилирование пользователей относится к отдельной категории автоматизированной обработки
Субъект персональных данных вправе требовать пересмотра решений, принятых без участия человека

Что такое автоматизированная обработка ПД

Автоматизированная обработка — любая обработка персональных данных с помощью средств вычислительной техники: компьютеров, серверов, мобильных устройств, алгоритмов и цифровых сервисов.

По сути, если персональные данные обрабатывает программа или информационная система — это автоматизированная обработка.

Неавтоматизированная обработка — ручная работа с бумажными документами, картотеками, архивами или журналами без использования компьютерных средств.

| Пример | Тип обработки | |---|---| | Ввод данных клиента в CRM | Автоматизированная | | Запись имени клиента в бумажный журнал | Неавтоматизированная | | Фильтрация базы клиентов по алгоритму | Автоматизированная | | Сортировка бумажных карточек вручную | Неавтоматизированная | | Скоринговая модель в банке | Автоматизированная |

Особые требования при автоматизированной обработке

При использовании автоматизированной обработки оператор обязан:

обеспечить безопасность информационных систем;
ограничить доступ к персональным данным;
вести учёт действий с данными;
использовать меры защиты от утечек и несанкционированного доступа;
уведомлять субъектов о характере обработки данных.

Особое внимание уделяется ситуациям, когда решения принимаются алгоритмами без участия человека.

Что считается автоматизированным принятием решений

Автоматизированное принятие решений — это ситуация, когда система самостоятельно формирует вывод или действие, влияющее на человека.

Примеры:

кредитный скоринг;
автоматический отказ в регистрации;
оценка благонадёжности клиента;
персонализированная ценовая политика;
автоматическая блокировка аккаунта.

Если такое решение существенно затрагивает права субъекта, человек вправе потребовать разъяснения и пересмотра.

Профилирование пользователей

Профилирование — это анализ поведения пользователя для прогнозирования интересов, привычек или предпочтений.

На практике профилирование используется:

в рекламе;
в CRM и маркетинговых системах;
в интернет-магазинах;
в банковском секторе;
в системах антифрода.

Если профилирование существенно влияет на пользователя, рекомендуется прямо указывать это в политике конфиденциальности и согласии на обработку ПД.

Когда требуется согласие

Согласие особенно важно, если:

данные собираются через интернет;
используется аналитика поведения;
применяется профилирование;
осуществляется передача данных третьим лицам;
принимаются автоматизированные решения.

Формулировка согласия должна быть понятной и конкретной. Общих фраз «согласен на обработку ПД» часто недостаточно для сложных цифровых сервисов.

Проверка автоматизированной обработки

Используемые системы обработки ПД определеныобязательно
Политика конфиденциальности описывает автоматизированную обработку
Ограничен доступ к данным внутри системы
Есть меры защиты от утечек и взломаобязательно
Назначен ответственный за обработку ПД

Типичные ошибки компаний

использование CRM без описания обработки ПД;
отсутствие информации о профилировании;
автоматические решения без уведомления пользователя;
слишком общее согласие без конкретики;
отсутствие ограничений доступа внутри системы.

Даже небольшие онлайн-сервисы обязаны учитывать требования ФЗ-152 при автоматизированной обработке данных.

Частые вопросы об автоматизированной обработке

Нужно ли отдельно описывать CRM в документах?

Да, желательно указать используемые информационные системы и цели обработки данных в политике конфиденциальности и внутренних документах.

Можно ли использовать зарубежные сервисы?

Да, но необходимо учитывать требования о трансграничной передаче персональных данных и обеспечивать соблюдение требований ФЗ-152.

Считается ли аналитика сайта автоматизированной обработкой?

Да. Сбор IP-адресов, cookies, действий пользователя и статистики относится к автоматизированной обработке персональных данных.

Обязательно ли участие человека при принятии решений?

Если решение существенно влияет на права и интересы субъекта, должна существовать возможность пересмотра такого решения человеком.

Нужно проверить автоматизированную обработку ПД?

Проверим сайт и документы — за 2 рабочих дня

Проверить обработку ПД

Александр Петров

Юрист · Эксперт по ФЗ-152

Консультирует средний и крупный бизнес по вопросам соответствия требованиям закона о персональных данных. Более 8 лет практики.