Как собирать персональные данные, чтобы не пришёл Роскомнадзор

Как бизнесу собирать персональные данные

Сбор персональных данных регламентирует закон 152-ФЗ «О персональных данных». Есть два подхода к выполнению этих требований, рассказывает ведущий эксперт по защите персональных данных, сооснователь компании «Б-152» Максим Лагутин.

Первый подход — минимальный набор действий, который поможет защититься от самых вероятных штрафов: опубликовать на сайте текст Политики обработки персональных данных и уведомление о сборе cookie-файлов, получить от пользователей согласие на обработку данных, хранить информацию на серверах, размещённых в России, и сообщить о начале сбора данных в Роскомнадзор (к тому, как это сделать, мы ещё вернёмся).

Второй подход — соблюдать все формальности, чтобы снизить риски. Но не всегда у бизнеса на это есть деньги, терпение и силы, отмечает Максим Лагутин. Помимо минимального набора действий, понадобится создать внутренние документы, назначить среди сотрудников ответственных за сохранность данных и надёжно защитить их от краж и утечек.

Что грозит за нарушение закона о персональных данных

За соблюдением закона следит Роскомнадзор, а нарушителям грозит гражданская, административная, дисциплинарная и даже уголовная ответственность. Вот какие наказания предусмотрены за распространённые нарушения со стороны юридических лиц:

Административная ответственность:

• Обработка персональных данных в случаях, не предусмотренных законом, или несовместимая с целью их сбора — предупреждение или административный штраф от 30 000 рублей до 50 000 рублей.
• Обработка персональных данных без письменного согласия субъекта — от 5 000 рублей до 75 000 рублей.
• Отсутствие Политики обработки персональных данных в публичном доступе — от 15 000 рублей до 30 000 рублей.

Уголовная ответственность:

• Незаконный сбор и распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, — штраф до 200 000 рублей и другие меры вплоть до лишения свободы на срок до 2 лет.
• Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло её уничтожение, блокирование, модификацию либо копирование — штраф до 200 000 рублей и другие меры вплоть до лишения свободы на срок до 2 лет.

Обычно наказывают административкой — штрафами на сумму до 75 000 рублей, отмечает руководитель практики медиа/игры юридической компании GMT Legal Филипп Мищенко. «Большого числа громких уголовных дел нет. Часто затраты на юристов со стороны физлиц, которые хотят компенсации, будут существенно выше, чем ущерб компании-нарушителя. Задача же государства — собрать штраф, а не выплатить компенсации потерпевшим», — говорит эксперт.

Чек-лист: что делать, если вы используете персональные данные клиента

1. Разместите на сайте Политику в отношении обработки персональных данных. Чтобы учесть все тонкости, для составления документа стоит привлечь юриста или воспользоваться онлайн-сервисами. В Политике нужно разъяснить основные термины, цели сбора данных, а также рассказать, как компания их защищает. 

2. Создайте на сайте push-уведомление об обработке cookie-файлов. Сookie — текстовые файлы со служебной информацией от сайтов, которые посещает человек, включая логин, имя, email, пароль, геоданные, тип устройства, товары в корзине и в избранном. 

3. Сделайте на сайте чек-бокс с формулировкой «Я согласен с обработкой моих персональных данных». Важно, чтобы галочка согласия не проставлялась автоматически: пользователь должен поставить её сам. Рядом дайте гиперссылку на Политику обработки персональных данных.

К кнопке согласия на обработку персональных данных нельзя добавлять автоматическое согласие на получение рассылок и иной информации. Для этого надо получить отдельное согласие.

4. Отправьте в Роскомнадзор Уведомление об обработке персональных данных.

Издайте указ о назначении ответственного лица за обработку персональных данных — им может быть руководитель, например генеральный директор. Внесите изменения в должностную инструкцию и трудовой договор ответственного лица. Заполните уведомление через электронную форму, распечатайте и отправьте в свой территориальный отдел Роскомнадзора. Ведомство включит вашу компанию в Реестр операторов персональных данных.

5. Храните персональные данные на серверах, которые находятся в России.

Чтобы максимально защитить бизнес на случай проверок, Огдо Осогосток, юрист практики защиты бизнеса ЮФ «Гриц и партнёры», советует:

• Под подпись ознакомить сотрудников со всеми локальными актами относительно обработки персональных данных.
• Ограничить доступ посторонних к персональным данным.
• Если персональные данные клиентов передаются контрагентам — прописать

в договорах обязанность по охране информации.

• Периодически проводить внутренний аудит для контроля правильности обработки персональных данных.
• Заключать договоры с компаниями, предоставляющими услуги хранения данных.
• Отвечать на обращения пользователей по обработке персональных данных.
• Своевременно реагировать на письменные запросы Роскомнадзора.
• Следить за изменениями законодательства в области персональных данных.