Имя, фамилия, телефон — эту информацию просят у клиентов салоны красоты, интернет-магазины и другие бизнесы, а когда нужна доставка — ещё и домашний адрес. Всё это — персональные данные. Чтобы законно их собирать, предприниматель должен получить от каждого человека разрешение. Как это делать без нарушений?
Имя, фамилия, телефон — эту информацию просят у клиентов салоны красоты, интернет-магазины и другие бизнесы, а когда нужна доставка — ещё и домашний адрес. Всё это — персональные данные. Чтобы законно их собирать, предприниматель должен получить от каждого человека разрешение. Как это делать без нарушений?
Максим Лагутин
ведущий эксперт по защите персональных данных, сооснователь компании «Б-152»
Филипп Мищенко
руководитель практики медиа/игры юридической компании GMT Legal
Огдо Осогосток
юрист практики защиты бизнеса ЮФ «Гриц и партнёры»
Сбор персональных данных регламентирует закон 152-ФЗ «О персональных данных». Есть два подхода к выполнению этих требований, рассказывает ведущий эксперт по защите персональных данных, сооснователь компании «Б-152» Максим Лагутин.
Первый подход — минимальный набор действий, который поможет защититься от самых вероятных штрафов: опубликовать на сайте текст Политики обработки персональных данных и уведомление о сборе cookie-файлов, получить от пользователей согласие на обработку данных, хранить информацию на серверах, размещённых в России, и сообщить о начале сбора данных в Роскомнадзор (к тому, как это сделать, мы ещё вернёмся).
«Главное требование Роскомнадзора — наличие Политики обработки персональных данных на сайте. Часто документ просто копируют с других сайтов, меняют название компании — и всё»,
— отмечает Максим Лагутин.
Второй подход — соблюдать все формальности, чтобы снизить риски. Но не всегда у бизнеса на это есть деньги, терпение и силы, отмечает Максим Лагутин. Помимо минимального набора действий, понадобится создать внутренние документы, назначить среди сотрудников ответственных за сохранность данных и надёжно защитить их от краж и утечек.
Разобраться в том, как обрабатывать и хранить персональные данные без нарушений, поможет образовательный курс Деловой среды. Из курса вы узнаете об основных требованиях закона 152-ФЗ и получите практические советы, как сэкономить на защите персональных данных.
За соблюдением закона следит Роскомнадзор, а нарушителям грозит гражданская, административная, дисциплинарная и даже уголовная ответственность. Вот какие наказания предусмотрены за распространённые нарушения со стороны юридических лиц:
Административная ответственность:
Уголовная ответственность:
Обычно наказывают административкой — штрафами на сумму до 75 000 рублей, отмечает руководитель практики медиа/игры юридической компании GMT Legal Филипп Мищенко. «Большого числа громких уголовных дел нет. Часто затраты на юристов со стороны физлиц, которые хотят компенсации, будут существенно выше, чем ущерб компании-нарушителя. Задача же государства — собрать штраф, а не выплатить компенсации потерпевшим», — говорит эксперт.
1. Разместите на сайте Политику в отношении обработки персональных данных. Чтобы учесть все тонкости, для составления документа стоит привлечь юриста или воспользоваться онлайн-сервисами. В Политике нужно разъяснить основные термины, цели сбора данных, а также рассказать, как компания их защищает.
2. Создайте на сайте push-уведомление об обработке cookie-файлов. Сookie — текстовые файлы со служебной информацией от сайтов, которые посещает человек, включая логин, имя, email, пароль, геоданные, тип устройства, товары в корзине и в избранном.
3. Сделайте на сайте чек-бокс с формулировкой «Я согласен с обработкой моих персональных данных». Важно, чтобы галочка согласия не проставлялась автоматически: пользователь должен поставить её сам. Рядом дайте гиперссылку на Политику обработки персональных данных.
К кнопке согласия на обработку персональных данных нельзя добавлять автоматическое согласие на получение рассылок и иной информации. Для этого надо получить отдельное согласие.
4. Отправьте в Роскомнадзор Уведомление об обработке персональных данных.
Издайте указ о назначении ответственного лица за обработку персональных данных — им может быть руководитель, например генеральный директор. Внесите изменения в должностную инструкцию и трудовой договор ответственного лица. Заполните уведомление через электронную форму, распечатайте и отправьте в свой территориальный отдел Роскомнадзора. Ведомство включит вашу компанию в Реестр операторов персональных данных.
5. Храните персональные данные на серверах, которые находятся в России.
Чтобы максимально защитить бизнес на случай проверок, Огдо Осогосток, юрист практики защиты бизнеса ЮФ «Гриц и партнёры», советует:
в договорах обязанность по охране информации.
Спасибо, что были с нами! Возобновить подписку можно в любой момент на сайте СберБизнес Live