Проверки

12 февраля 2021

Как собирать персональные данные, чтобы не пришёл Роскомнадзор

12 февраля 2021

Имя, фамилия, телефон — эту информацию просят у клиентов салоны красоты, интернет-магазины и другие бизнесы, а когда нужна доставка — ещё и домашний адрес. Всё это — персональные данные. Чтобы законно их собирать, предприниматель должен получить от каждого человека разрешение. Как это делать без нарушений?

Проверки  

Как собирать персональные данные, чтобы не пришёл Роскомнадзор

Как собирать персональные данные, чтобы не пришёл Роскомнадзор

Имя, фамилия, телефон — эту информацию просят у клиентов салоны красоты, интернет-магазины и другие бизнесы, а когда нужна доставка — ещё и домашний адрес. Всё это — персональные данные. Чтобы законно их собирать, предприниматель должен получить от каждого человека разрешение. Как это делать без нарушений?


Максим Лагутин

ведущий эксперт по защите персональных данных, сооснователь компании «Б-152»

Филипп Мищенко

руководитель практики медиа/игры юридической компании GMT Legal

Огдо Осогосток

юрист практики защиты бизнеса ЮФ «Гриц и партнёры»

Как бизнесу собирать персональные данные

Сбор персональных данных регламентирует закон 152-ФЗ «О персональных данных». Есть два подхода к выполнению этих требований, рассказывает ведущий эксперт по защите персональных данных, сооснователь компании «Б-152» Максим Лагутин.

Первый подход — минимальный набор действий, который поможет защититься от самых вероятных штрафов: опубликовать на сайте текст Политики обработки персональных данных и уведомление о сборе cookie-файлов, получить от пользователей согласие на обработку данных, хранить информацию на серверах, размещённых в России, и сообщить о начале сбора данных в Роскомнадзор (к тому, как это сделать, мы ещё вернёмся).

«Главное требование Роскомнадзора — наличие Политики обработки персональных данных на сайте. Часто документ просто копируют с других сайтов, меняют название компании — и всё», 

— отмечает Максим Лагутин.

Второй подход — соблюдать все формальности, чтобы снизить риски. Но не всегда у бизнеса на это есть деньги, терпение и силы, отмечает Максим Лагутин. Помимо минимального набора действий, понадобится создать внутренние документы, назначить среди сотрудников ответственных за сохранность данных и надёжно защитить их от краж и утечек.

Разобраться в том, как обрабатывать и хранить персональные данные без нарушений, поможет образовательный курс Деловой среды. Из курса вы узнаете об основных требованиях закона 152-ФЗ и получите практические советы, как сэкономить на защите персональных данных.

Что грозит за нарушение закона о персональных данных

За соблюдением закона следит Роскомнадзор, а нарушителям грозит гражданская, административная, дисциплинарная и даже уголовная ответственность. Вот какие наказания предусмотрены за распространённые нарушения со стороны юридических лиц:

Административная ответственность:

  • Обработка персональных данных в случаях, не предусмотренных законом, или несовместимая с целью их сбора — предупреждение или административный штраф от 30 000 рублей до 50 000 рублей.
  • Обработка персональных данных без письменного согласия субъекта — от 5 000 рублей до 75 000 рублей.
  • Отсутствие Политики обработки персональных данных в публичном доступе — от 15 000 рублей до 30 000 рублей.

Уголовная ответственность:

  • Незаконный сбор и распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, — штраф до 200 000 рублей и другие меры вплоть до лишения свободы на срок до 2 лет.
  • Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло её уничтожение, блокирование, модификацию либо копирование — штраф до 200 000 рублей и другие меры вплоть до лишения свободы на срок до 2 лет.

Обычно наказывают административкой — штрафами на сумму до 75 000 рублей, отмечает руководитель практики медиа/игры юридической компании GMT Legal Филипп Мищенко. «Большого числа громких уголовных дел нет. Часто затраты на юристов со стороны физлиц, которые хотят компенсации, будут существенно выше, чем ущерб компании-нарушителя. Задача же государства — собрать штраф, а не выплатить компенсации потерпевшим», — говорит эксперт.

Чек-лист: что делать, если вы используете персональные данные клиента

1. Разместите на сайте Политику в отношении обработки персональных данных. Чтобы учесть все тонкости, для составления документа стоит привлечь юриста или воспользоваться онлайн-сервисами. В Политике нужно разъяснить основные термины, цели сбора данных, а также рассказать, как компания их защищает. 

2. Создайте на сайте push-уведомление об обработке cookie-файлов. Сookie — текстовые файлы со служебной информацией от сайтов, которые посещает человек, включая логин, имя, email, пароль, геоданные, тип устройства, товары в корзине и в избранном. 

3. Сделайте на сайте чек-бокс с формулировкой «Я согласен с обработкой моих персональных данных». Важно, чтобы галочка согласия не проставлялась автоматически: пользователь должен поставить её сам. Рядом дайте гиперссылку на Политику обработки персональных данных.

К кнопке согласия на обработку персональных данных нельзя добавлять автоматическое согласие на получение рассылок и иной информации. Для этого надо получить отдельное согласие.

4. Отправьте в Роскомнадзор Уведомление об обработке персональных данных.

Издайте указ о назначении ответственного лица за обработку персональных данных — им может быть руководитель, например генеральный директор. Внесите изменения в должностную инструкцию и трудовой договор ответственного лица. Заполните уведомление через электронную форму, распечатайте и отправьте в свой территориальный отдел Роскомнадзора. Ведомство включит вашу компанию в Реестр операторов персональных данных.

5. Храните персональные данные на серверах, которые находятся в России.

Чтобы максимально защитить бизнес на случай проверок, Огдо Осогосток, юрист практики защиты бизнеса ЮФ «Гриц и партнёры», советует:

  • Под подпись ознакомить сотрудников со всеми локальными актами относительно обработки персональных данных.
  • Ограничить доступ посторонних к персональным данным.
  • Если персональные данные клиентов передаются контрагентам — прописать

в договорах обязанность по охране информации.

  • Периодически проводить внутренний аудит для контроля правильности обработки персональных данных.
  • Заключать договоры с компаниями, предоставляющими услуги хранения данных.
  • Отвечать на обращения пользователей по обработке персональных данных.
  • Своевременно реагировать на письменные запросы Роскомнадзора.
  • Следить за изменениями законодательства в области персональных данных.

Подпишитесь на нашу рассылку!

Новое в законах и самые полезные статьи за неделю у вас на почте

Нажимая на кнопку, я принимаю условия пользовательского соглашения и даю согласие на получение рассылок

Инфоподписка

Больше материалов по теме «Новое в законах»