Как правильно собирать персональные данные клиентов и не попасть на штраф


Рекомендуемые сообщения

881179900_image.psd(2).png.3658c166574993327e30dc6dfbfd27a6.png

Если у вас интернет-магазин, блог с комментариями, почтовая рассылка или вы собираете резюме для набора сотрудников, то вы попадаете под закон о хранении персональных данных. Вам нужно будет отчитываться перед Роскомнадзором о том, как вы храните данные клиентов или читателей. А если этого не сделать, придётся заплатить штраф.
Давайте разберёмся со всем вместе.

Что называют персональными данными?

Цитата

 

Данные — это любая информация о человеке и его деятельности:

— ФИО;
— дата рождения;
— телефон;
— адрес;
— электронная почта;
— ссылки на социальные сети;
— место работы;
— должность.

 

На текущий день ни Роскомнадзор, ни Минкомсвязи не дали четкого описания, что же такое персональные данные. Но чаще всего персональные данные — это данные, представленные в связке. Пример: "Марина" - простая информация, а вот "Марина, бухгалтер ООО Успех и точка" - персональные данные.

Отметим, что cookie-файлы и геоданные пользователей в ряде случаев признавали персональной информацией. Также изредка персональными данными признают информацию и без связок, поэтому, если есть сомнения - лучше обратиться в Роскомнадзор в своём городе и уточнить у них.

Что нужно сделать перед тем, как начать собирать персональные данные?

Нельзя просто так взять и начать собирать данные клиентов. Сначала нужно пройти следующие этапы:

1. Подготовить документы. В законе нет конкретного перечня необходимых документов, но обычно компании готовят следующие документы:

  • Политику обработки и защиты персональных данных;
  • Положение о работе с персональными данными;
  • Положение о неразглашении персональных данных;
  • Приказы и инструкции для ответственных сотрудников. В них указывается, у кого из сотрудников есть доступ к информации, где хранятся данные и как с ними работать;
  • Соглашение на обработку персональных данных.

Чаще компании используют и другие документы, но опять же, полный список можно уточнить у Роскомнадзора.

2. Подать уведомление в Роскомнадзор. В уведомлении нужно указать сведения о компании и сообщить, зачем вам понадобились персональные данные (ст. 22 закона 152-ФЗ). Подать документ можно тремя способами:

  • распечатать уведомление и отправить в региональное управление Роскомнадзора;
  • заполнить форму на сайте и подписать электронной подписью;
  • подать через Госуслуги.

3. Если вы ИП или ООО, то назначьте ответственных за хранение данных. Это можете быть вы, системный администратор, HR, юрист и так далее.

Как только Роскомнадзор добавит вас в реестр операторов, вы сможете законно собирать, обрабатывать и хранить информацию о клиентах. Если же вы перестанете хранить персональные данные, об этом тоже нужно будет уведомить Роскомнадзор.

Как собирать данные, чтобы не попасть на штраф?

Запомните: пока клиент не согласится на обработку данных, собирать информацию о нём нельзя (ст. 9 закона 152-ФЗ). Даже если человек сам выложил свой номер телефона или имя на странице в соцсетях, использовать такие данные без разрешения запрещено (ст. 10.1 закона 152-ФЗ). 

Получить согласие можно в любой форме, но важно, чтобы клиент мог ознакомиться с политикой конфиденциальности до того, как отправит вам свои данные, например на форме обратной связи.

image.png.b9fe4a185944787a1ff497e6c9020ad1.png

При офлайн-торговле на точке тоже нужно получать разрешения. Рекомендуем распечатать условия, чтобы клиенты могли ознакомиться и подтвердить согласие подписью.

Собирать можно только те данные, на обработку которых вы получили разрешение. Пример: в политике конфиденциальности компании написано, что она собирает только имена и телефоны. Если же компания попросит клиента указать ещё почту и должность - это будет нарушением.

Что будет, если нарушить закон?

За нарушение закона о персональных данных грозят штрафы (ст. 13.11 КоАП).

  • Данные собраны и хранятся без согласия пользователей: штрафы для физлиц 6000–10 000 ₽, для должностных лиц — 20 000–40 000 ₽, для организаций — 30 000–150 000 ₽.
  • Данные собраны не с той целью, которая была заявлена: штрафы для физлиц 2000–6000 ₽, для должностных лиц — 10 000–20 000, для организаций — 60 000–100 000 ₽.
  • Политики обработки данных нет в публичном доступе: штрафы для физлиц 1500–3000 ₽, для должностных лиц — 6000–12 000 ₽, для ИП — 10 000–20 000 ₽, для юрлиц — 30 000–60 000 ₽.
  • Клиентам не предоставили информацию о том, какие их данные и как обрабатываются: штраф для физлиц 2000–4000 ₽, для должностных лиц — 8000–12 000 ₽, ИП — 20 000–30 000 ₽, юрлиц — 40 000–80 000 ₽.
  • Из-за неправильного хранения данных произошла утечка: штраф для физлиц 1500–3000 ₽, должностных лиц — 8000–20 000 ₽, ИП — 20 000–40 000 ₽, юрлиц — 50 000–100 000 ₽. Но в 2022 году штрафы планируют повысить и взимать не фиксированную сумму, а процент от оборота компании. Понимаете насколько штраф может увеличиться?
  • Клиент попросил изменить или удалить его данные, потому что они неточные или получены незаконным путём, а компания этого не сделала (ст. 21 закона 152-ФЗ): штраф для граждан 2000–4000 ₽, для должностных лиц — 8000–20 000 ₽, для ИП 20 000–40 000 ₽, для юрлиц — 50 000–90 000 ₽.

Вишенка: если вовремя не подать уведомление в Роскомнадзор, тоже будет штраф: для граждан — до 300 ₽, для должностных лиц — до 500 ₽, для юрлиц — до 5000 ₽.

Как Роскомнадзор проверяет хранение персональных данных?

Роскомнадзор присваивает всем компаниям уровни риска и в соответствии с уровнем определяет тип и график проверок. Оценка риска рассчитывается исходя из тяжести и вероятности нарушений. Например, если компания собирает данные клиентов на сайте интернет-магазина, передаёт их на территорию иностранного государства, и ранее у них были нарушения — это высокий уровень риска. 

Низкий риск присвоят, если компания обрабатывает персональные данные небольшого числа людей (до тысячи человек) и раньше не нарушала закон. Градуировка содержится в конце Постановления Правительства «О федеральном государственном контроле (надзоре) за обработкой персональных данных».

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.