Поиск сообщества

Если у вас интернет-магазин, блог с комментариями, почтовая рассылка или вы собираете резюме для набора сотрудников, то вы попадаете под закон о хранении персональных данных. Вам нужно будет отчитываться перед Роскомнадзором о том, как вы храните данные клиентов или читателей. А если этого не сделать, придётся заплатить штраф. Давайте разберёмся со всем вместе. Что называют персональными данными? На текущий день ни Роскомнадзор, ни Минкомсвязи не дали четкого описания, что же такое персональные данные. Но чаще всего персональные данные — это данные, представленные в связке. Пример: "Марина" - простая информация, а вот "Марина, бухгалтер ООО Успех и точка" - персональные данные. Отметим, что cookie-файлы и геоданные пользователей в ряде случаев признавали персональной информацией. Также изредка персональными данными признают информацию и без связок, поэтому, если есть сомнения - лучше обратиться в Роскомнадзор в своём городе и уточнить у них. Что нужно сделать перед тем, как начать собирать персональные данные? Нельзя просто так взять и начать собирать данные клиентов. Сначала нужно пройти следующие этапы: 1. Подготовить документы. В законе нет конкретного перечня необходимых документов, но обычно компании готовят следующие документы: Политику обработки и защиты персональных данных; Положение о работе с персональными данными; Положение о неразглашении персональных данных; Приказы и инструкции для ответственных сотрудников. В них указывается, у кого из сотрудников есть доступ к информации, где хранятся данные и как с ними работать; Соглашение на обработку персональных данных. Чаще компании используют и другие документы, но опять же, полный список можно уточнить у Роскомнадзора. 2. Подать уведомление в Роскомнадзор. В уведомлении нужно указать сведения о компании и сообщить, зачем вам понадобились персональные данные (ст. 22 закона 152-ФЗ). Подать документ можно тремя способами: распечатать уведомление и отправить в региональное управление Роскомнадзора; заполнить форму на сайте и подписать электронной подписью; подать через Госуслуги. 3. Если вы ИП или ООО, то назначьте ответственных за хранение данных. Это можете быть вы, системный администратор, HR, юрист и так далее. Как только Роскомнадзор добавит вас в реестр операторов, вы сможете законно собирать, обрабатывать и хранить информацию о клиентах. Если же вы перестанете хранить персональные данные, об этом тоже нужно будет уведомить Роскомнадзор. Как собирать данные, чтобы не попасть на штраф? Запомните: пока клиент не согласится на обработку данных, собирать информацию о нём нельзя (ст. 9 закона 152-ФЗ). Даже если человек сам выложил свой номер телефона или имя на странице в соцсетях, использовать такие данные без разрешения запрещено (ст. 10.1 закона 152-ФЗ). Получить согласие можно в любой форме, но важно, чтобы клиент мог ознакомиться с политикой конфиденциальности до того, как отправит вам свои данные, например на форме обратной связи. При офлайн-торговле на точке тоже нужно получать разрешения. Рекомендуем распечатать условия, чтобы клиенты могли ознакомиться и подтвердить согласие подписью. Собирать можно только те данные, на обработку которых вы получили разрешение. Пример: в политике конфиденциальности компании написано, что она собирает только имена и телефоны. Если же компания попросит клиента указать ещё почту и должность - это будет нарушением. Что будет, если нарушить закон? За нарушение закона о персональных данных грозят штрафы (ст. 13.11 КоАП). Данные собраны и хранятся без согласия пользователей: штрафы для физлиц 6000–10 000 ₽, для должностных лиц — 20 000–40 000 ₽, для организаций — 30 000–150 000 ₽. Данные собраны не с той целью, которая была заявлена: штрафы для физлиц 2000–6000 ₽, для должностных лиц — 10 000–20 000, для организаций — 60 000–100 000 ₽. Политики обработки данных нет в публичном доступе: штрафы для физлиц 1500–3000 ₽, для должностных лиц — 6000–12 000 ₽, для ИП — 10 000–20 000 ₽, для юрлиц — 30 000–60 000 ₽. Клиентам не предоставили информацию о том, какие их данные и как обрабатываются: штраф для физлиц 2000–4000 ₽, для должностных лиц — 8000–12 000 ₽, ИП — 20 000–30 000 ₽, юрлиц — 40 000–80 000 ₽. Из-за неправильного хранения данных произошла утечка: штраф для физлиц 1500–3000 ₽, должностных лиц — 8000–20 000 ₽, ИП — 20 000–40 000 ₽, юрлиц — 50 000–100 000 ₽. Но в 2022 году штрафы планируют повысить и взимать не фиксированную сумму, а процент от оборота компании. Понимаете насколько штраф может увеличиться? Клиент попросил изменить или удалить его данные, потому что они неточные или получены незаконным путём, а компания этого не сделала (ст. 21 закона 152-ФЗ): штраф для граждан 2000–4000 ₽, для должностных лиц — 8000–20 000 ₽, для ИП 20 000–40 000 ₽, для юрлиц — 50 000–90 000 ₽. Вишенка: если вовремя не подать уведомление в Роскомнадзор, тоже будет штраф: для граждан — до 300 ₽, для должностных лиц — до 500 ₽, для юрлиц — до 5000 ₽. Как Роскомнадзор проверяет хранение персональных данных? Роскомнадзор присваивает всем компаниям уровни риска и в соответствии с уровнем определяет тип и график проверок. Оценка риска рассчитывается исходя из тяжести и вероятности нарушений. Например, если компания собирает данные клиентов на сайте интернет-магазина, передаёт их на территорию иностранного государства, и ранее у них были нарушения — это высокий уровень риска. Низкий риск присвоят, если компания обрабатывает персональные данные небольшого числа людей (до тысячи человек) и раньше не нарушала закон. Градуировка содержится в конце Постановления Правительства «О федеральном государственном контроле (надзоре) за обработкой персональных данных».