Минимизация персональных данных: что реально возможно и какие риски

Что такое минимизация по 152-ФЗ

Статья 5 часть 1 пункт 5 Федерального закона №152-ФЗ «О персональных данных» устанавливает принцип минимизации: обрабатываемые данные должны соответствовать целям обработки, не быть избыточными и не использоваться для несовместимых с заявленными целями задач.

На практике это означает: если оператор запрашивает данные о месте работы, национальности или ИНН без явной AML-цели (противодействие отмыванию) — это может быть избыточный сбор, нарушающий принцип минимизации.

Какие данные обязательны для KYC

Минимальный пакет данных, обоснованный целями идентификации и AML:

Какие данные НЕ нужны

Следующие данные оператор не вправе требовать без конкретного законного обоснования:

• ИНН и СНИЛС — не являются документами идентификации по международным AML-стандартам.
• Место работы и должность — запрашиваются только при расширенной проверке на крупные суммы (PEP-check).
• Номера телефонов родственников — нет законного основания.
• Сканы карт со всеми 16 цифрами без маскировки — по стандарту PCI DSS карту достаточно показать частично.
• Пароли от почты или аккаунтов — оператор никогда не должен их запрашивать.

Право на забвение: удаление аккаунта

Статья 14 152-ФЗ закрепляет право субъекта на доступ к своим данным и требование прекратить обработку. Статья 21 обязывает оператора прекратить обработку и уничтожить данные при выявлении незаконности обработки или по достижении цели.

На практике: закрытие аккаунта казино — это прекращение договорных отношений. Оператор вправе хранить данные по AML (ст. 7 федерального закона №115-ФЗ) — до 5 лет с момента последней транзакции. После этого срока данные должны быть уничтожены или обезличены.

Срок хранения данных

Политика конфиденциальности оператора обязана указывать сроки хранения по каждой категории данных. Типичные сроки:

Передача третьим лицам

Операторы передают данные пользователей третьим лицам — обработчикам. Типичный список:

• Яндекс Метрика: получает данные о поведении на сайте (страницы, клики, время). Работает по договору-поручению, Яндекс — обработчик.
• Google Analytics: аналогично; с 2023 года GA4 передаёт данные на серверы в США — что требует стандартных договорных условий (SCC) по GDPR.
• Платёжные провайдеры: Stripe, Paysafe, Skrill получают данные транзакций — имя, сумму, метод оплаты.
• KYC-провайдеры: Jumio, Sum&Sub, Onfido обрабатывают документы при верификации.

Политика конфиденциальности оператора обязана перечислить всех обработчиков и основание передачи.

Анонимизация vs обезличивание

Анонимизация — необратимое преобразование данных, при котором восстановить личность субъекта невозможно даже при использовании дополнительных сведений. После анонимизации данные выходят из-под действия 152-ФЗ.

Обезличивание (псевдонимизация) — замена идентификаторов псевдонимами (например, userId вместо имени). Данные остаются под действием 152-ФЗ, так как оператор сохраняет ключ для деобезличивания.

Казино обычно применяют обезличивание для аналитики (передают в Яндекс Метрику userId, а не имя) и анонимизацию для архивных статистических данных.

Как реализовать право субъекта

1. Определите, какое право вы хотите реализовать: доступ к данным (ст. 14), исправление (ст. 14 ч. 3), удаление (ст. 21), прекращение обработки (ст. 15).
2. Составьте письменный запрос: укажите ФИО, email аккаунта, конкретное требование и ссылку на статью 152-ФЗ.
3. Направьте запрос на официальный email службы поддержки или DPO (Data Protection Officer), если он указан в политике конфиденциальности.
4. Оператор обязан ответить в течение 30 дней (ст. 14 ч. 7 152-ФЗ). Отсутствие ответа — основание для жалобы в Роскомнадзор.
5. При получении ответа — проверьте, выполнено ли требование фактически (например, данные удалены из профиля, вы получили выгрузку).

Жалоба в Роскомнадзор

Роскомнадзор (РКН) — уполномоченный орган по защите прав субъектов персональных данных в РФ. Подать жалобу можно через официальный сайт rkn.gov.ru → раздел «Обращения граждан» → «Защита персональных данных».

Для жалобы потребуются: описание нарушения, копия запроса в адрес оператора, ответ оператора (или подтверждение отсутствия ответа). Срок рассмотрения: 30 дней. При выявлении нарушения — предписание об устранении; повторное нарушение — административный штраф по ст. 13.11 КоАП.

Частые ошибки

• Ошибка: считать, что 152-ФЗ не применяется к зарубежному казино. Решение: закон распространяется на операторов, обслуживающих граждан РФ, вне зависимости от юрисдикции регистрации.
• Ошибка: отправлять запрос на удаление данных без указания основания. Решение: ссылайтесь на ст. 21 152-ФЗ — это обязывает оператора дать мотивированный ответ.
• Ошибка: ожидать полного удаления данных через неделю. Решение: оператор вправе хранить данные до 5 лет по AML; удалению подлежит только то, что не охвачено обязательным хранением.
• Ошибка: передавать скан паспорта в чат без маскировки серии/номера. Решение: при первичном KYC-запросе уточните защищённый канал передачи (email, форма в ЛК с HTTPS).

Что запомнить

• Принцип минимизации — ст. 5 ч. 1 п. 5 152-ФЗ: только данные, нужные для конкретной цели.
• ИНН, СНИЛС, место работы — оператор не вправе требовать без AML-обоснования.
• Удаление данных — запрос по ст. 21 152-ФЗ; оператор отвечает в 30 дней, данные по AML хранятся до 5 лет.
• Яндекс Метрика и Google Analytics — обработчики; должны быть указаны в политике конфиденциальности.
• Анонимизация ≠ обезличивание: только полная анонимизация выводит данные из-под 152-ФЗ.
• Жалоба в РКН: rkn.gov.ru, срок рассмотрения 30 дней, для жалобы нужен ответ оператора или подтверждение его отсутствия.

Право на минимизацию — это не отказ от KYC. Это право требовать, чтобы собирали только то, что действительно нужно для заявленной цели, и не дольше, чем необходимо. — Игорь Бельский, юридический консультант Don8Play