rita s. 3 Опубликовано 30 июня, 2022 Если у вас интернет-магазин, блог с комментариями, почтовая рассылка или вы собираете резюме для набора сотрудников, то вы попадаете под закон о хранении персональных данных. Вам нужно будет отчитываться перед Роскомнадзором о том, как вы храните данные клиентов или читателей. А если этого не сделать, придётся заплатить штраф. Давайте разберёмся со всем вместе. Что называют персональными данными? Цитата Данные — это любая информация о человеке и его деятельности: — ФИО; — дата рождения; — телефон; — адрес; — электронная почта; — ссылки на социальные сети; — место работы; — должность. На текущий день ни Роскомнадзор, ни Минкомсвязи не дали четкого описания, что же такое персональные данные. Но чаще всего персональные данные — это данные, представленные в связке. Пример: "Марина" - простая информация, а вот "Марина, бухгалтер ООО Успех и точка" - персональные данные. Отметим, что cookie-файлы и геоданные пользователей в ряде случаев признавали персональной информацией. Также изредка персональными данными признают информацию и без связок, поэтому, если есть сомнения - лучше обратиться в Роскомнадзор в своём городе и уточнить у них. Что нужно сделать перед тем, как начать собирать персональные данные? Нельзя просто так взять и начать собирать данные клиентов. Сначала нужно пройти следующие этапы: 1. Подготовить документы. В законе нет конкретного перечня необходимых документов, но обычно компании готовят следующие документы: Политику обработки и защиты персональных данных; Положение о работе с персональными данными; Положение о неразглашении персональных данных; Приказы и инструкции для ответственных сотрудников. В них указывается, у кого из сотрудников есть доступ к информации, где хранятся данные и как с ними работать; Соглашение на обработку персональных данных. Чаще компании используют и другие документы, но опять же, полный список можно уточнить у Роскомнадзора. 2. Подать уведомление в Роскомнадзор. В уведомлении нужно указать сведения о компании и сообщить, зачем вам понадобились персональные данные (ст. 22 закона 152-ФЗ). Подать документ можно тремя способами: распечатать уведомление и отправить в региональное управление Роскомнадзора; заполнить форму на сайте и подписать электронной подписью; подать через Госуслуги. 3. Если вы ИП или ООО, то назначьте ответственных за хранение данных. Это можете быть вы, системный администратор, HR, юрист и так далее. Как только Роскомнадзор добавит вас в реестр операторов, вы сможете законно собирать, обрабатывать и хранить информацию о клиентах. Если же вы перестанете хранить персональные данные, об этом тоже нужно будет уведомить Роскомнадзор. Как собирать данные, чтобы не попасть на штраф? Запомните: пока клиент не согласится на обработку данных, собирать информацию о нём нельзя (ст. 9 закона 152-ФЗ). Даже если человек сам выложил свой номер телефона или имя на странице в соцсетях, использовать такие данные без разрешения запрещено (ст. 10.1 закона 152-ФЗ). Получить согласие можно в любой форме, но важно, чтобы клиент мог ознакомиться с политикой конфиденциальности до того, как отправит вам свои данные, например на форме обратной связи. При офлайн-торговле на точке тоже нужно получать разрешения. Рекомендуем распечатать условия, чтобы клиенты могли ознакомиться и подтвердить согласие подписью. Собирать можно только те данные, на обработку которых вы получили разрешение. Пример: в политике конфиденциальности компании написано, что она собирает только имена и телефоны. Если же компания попросит клиента указать ещё почту и должность - это будет нарушением. Что будет, если нарушить закон? За нарушение закона о персональных данных грозят штрафы (ст. 13.11 КоАП). Данные собраны и хранятся без согласия пользователей: штрафы для физлиц 6000–10 000 ₽, для должностных лиц — 20 000–40 000 ₽, для организаций — 30 000–150 000 ₽. Данные собраны не с той целью, которая была заявлена: штрафы для физлиц 2000–6000 ₽, для должностных лиц — 10 000–20 000, для организаций — 60 000–100 000 ₽. Политики обработки данных нет в публичном доступе: штрафы для физлиц 1500–3000 ₽, для должностных лиц — 6000–12 000 ₽, для ИП — 10 000–20 000 ₽, для юрлиц — 30 000–60 000 ₽. Клиентам не предоставили информацию о том, какие их данные и как обрабатываются: штраф для физлиц 2000–4000 ₽, для должностных лиц — 8000–12 000 ₽, ИП — 20 000–30 000 ₽, юрлиц — 40 000–80 000 ₽. Из-за неправильного хранения данных произошла утечка: штраф для физлиц 1500–3000 ₽, должностных лиц — 8000–20 000 ₽, ИП — 20 000–40 000 ₽, юрлиц — 50 000–100 000 ₽. Но в 2022 году штрафы планируют повысить и взимать не фиксированную сумму, а процент от оборота компании. Понимаете насколько штраф может увеличиться? Клиент попросил изменить или удалить его данные, потому что они неточные или получены незаконным путём, а компания этого не сделала (ст. 21 закона 152-ФЗ): штраф для граждан 2000–4000 ₽, для должностных лиц — 8000–20 000 ₽, для ИП 20 000–40 000 ₽, для юрлиц — 50 000–90 000 ₽. Вишенка: если вовремя не подать уведомление в Роскомнадзор, тоже будет штраф: для граждан — до 300 ₽, для должностных лиц — до 500 ₽, для юрлиц — до 5000 ₽. Как Роскомнадзор проверяет хранение персональных данных? Роскомнадзор присваивает всем компаниям уровни риска и в соответствии с уровнем определяет тип и график проверок. Оценка риска рассчитывается исходя из тяжести и вероятности нарушений. Например, если компания собирает данные клиентов на сайте интернет-магазина, передаёт их на территорию иностранного государства, и ранее у них были нарушения — это высокий уровень риска. Низкий риск присвоят, если компания обрабатывает персональные данные небольшого числа людей (до тысячи человек) и раньше не нарушала закон. Градуировка содержится в конце Постановления Правительства «О федеральном государственном контроле (надзоре) за обработкой персональных данных». Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
Рекомендуемые сообщения