12 февраля 2021Технологии

Как собирать персональные данные, чтобы не пришёл Роскомнадзор

Поделиться:

610
  • Надежда Румак
Как собирать персональные данные, чтобы не пришёл Роскомнадзор

Имя, фамилия, телефон — эту информацию просят у клиентов салоны красоты, интернет-магазины и другие бизнесы, а когда нужна доставка — ещё и домашний адрес. Всё это — персональные данные. Чтобы законно их собирать, предприниматель должен получить от каждого человека разрешение. Как это делать без нарушений?


Максим Лагутин

ведущий эксперт по защите персональных данных, сооснователь компании «Б-152»

Филипп Мищенко

руководитель практики медиа/игры юридической компании GMT Legal

Огдо Осогосток

юрист практики защиты бизнеса ЮФ «Гриц и партнёры»

Как бизнесу собирать персональные данные

Сбор персональных данных регламентирует закон 152-ФЗ «О персональных данных». Есть два подхода к выполнению этих требований, рассказывает ведущий эксперт по защите персональных данных, сооснователь компании «Б-152» Максим Лагутин.

Первый подход — минимальный набор действий, который поможет защититься от самых вероятных штрафов: опубликовать на сайте текст Политики обработки персональных данных и уведомление о сборе cookie-файлов, получить от пользователей согласие на обработку данных, хранить информацию на серверах, размещённых в России, и сообщить о начале сбора данных в Роскомнадзор (к тому, как это сделать, мы ещё вернёмся).

«Главное требование Роскомнадзора — наличие Политики обработки персональных данных на сайте. Часто документ просто копируют с других сайтов, меняют название компании — и всё», 

— отмечает Максим Лагутин.

Второй подход — соблюдать все формальности, чтобы снизить риски. Но не всегда у бизнеса на это есть деньги, терпение и силы, отмечает Максим Лагутин. Помимо минимального набора действий, понадобится создать внутренние документы, назначить среди сотрудников ответственных за сохранность данных и надёжно защитить их от краж и утечек.

Разобраться в том, как обрабатывать и хранить персональные данные без нарушений, поможет образовательный курс Деловой среды. Из курса вы узнаете об основных требованиях закона 152-ФЗ и получите практические советы, как сэкономить на защите персональных данных.

Что грозит за нарушение закона о персональных данных

За соблюдением закона следит Роскомнадзор, а нарушителям грозит гражданская, административная, дисциплинарная и даже уголовная ответственность. Вот какие наказания предусмотрены за распространённые нарушения со стороны юридических лиц:

Административная ответственность:

  • Обработка персональных данных в случаях, не предусмотренных законом, или несовместимая с целью их сбора — предупреждение или административный штраф от 30 000 рублей до 50 000 рублей.
  • Обработка персональных данных без письменного согласия субъекта — от 5 000 рублей до 75 000 рублей.
  • Отсутствие Политики обработки персональных данных в публичном доступе — от 15 000 рублей до 30 000 рублей.

Уголовная ответственность:

  • Незаконный сбор и распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, — штраф до 200 000 рублей и другие меры вплоть до лишения свободы на срок до 2 лет.
  • Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло её уничтожение, блокирование, модификацию либо копирование — штраф до 200 000 рублей и другие меры вплоть до лишения свободы на срок до 2 лет.

Обычно наказывают административкой — штрафами на сумму до 75 000 рублей, отмечает руководитель практики медиа/игры юридической компании GMT Legal Филипп Мищенко. «Большого числа громких уголовных дел нет. Часто затраты на юристов со стороны физлиц, которые хотят компенсации, будут существенно выше, чем ущерб компании-нарушителя. Задача же государства — собрать штраф, а не выплатить компенсации потерпевшим», — говорит эксперт.

Чек-лист: что делать, если вы используете персональные данные клиента

1. Разместите на сайте Политику в отношении обработки персональных данных. Чтобы учесть все тонкости, для составления документа стоит привлечь юриста или воспользоваться онлайн-сервисами. В Политике нужно разъяснить основные термины, цели сбора данных, а также рассказать, как компания их защищает. 

2. Создайте на сайте push-уведомление об обработке cookie-файлов. Сookie — текстовые файлы со служебной информацией от сайтов, которые посещает человек, включая логин, имя, email, пароль, геоданные, тип устройства, товары в корзине и в избранном. 

3. Сделайте на сайте чек-бокс с формулировкой «Я согласен с обработкой моих персональных данных». Важно, чтобы галочка согласия не проставлялась автоматически: пользователь должен поставить её сам. Рядом дайте гиперссылку на Политику обработки персональных данных.

К кнопке согласия на обработку персональных данных нельзя добавлять автоматическое согласие на получение рассылок и иной информации. Для этого надо получить отдельное согласие.

4. Отправьте в Роскомнадзор Уведомление об обработке персональных данных.

Издайте указ о назначении ответственного лица за обработку персональных данных — им может быть руководитель, например генеральный директор. Внесите изменения в должностную инструкцию и трудовой договор ответственного лица. Заполните уведомление через электронную форму, распечатайте и отправьте в свой территориальный отдел Роскомнадзора. Ведомство включит вашу компанию в Реестр операторов персональных данных.

5. Храните персональные данные на серверах, которые находятся в России.

Чтобы максимально защитить бизнес на случай проверок, Огдо Осогосток, юрист практики защиты бизнеса ЮФ «Гриц и партнёры», советует:

  • Под подпись ознакомить сотрудников со всеми локальными актами относительно обработки персональных данных.
  • Ограничить доступ посторонних к персональным данным.
  • Если персональные данные клиентов передаются контрагентам — прописать

в договорах обязанность по охране информации.

  • Периодически проводить внутренний аудит для контроля правильности обработки персональных данных.
  • Заключать договоры с компаниями, предоставляющими услуги хранения данных.
  • Отвечать на обращения пользователей по обработке персональных данных.
  • Своевременно реагировать на письменные запросы Роскомнадзора.
  • Следить за изменениями законодательства в области персональных данных.


«Цена за пару выросла с 400 рублей до 700. Я был не готов переплачивать за носки, поэтому решил делать их самостоятельно»,

— рассказал предприниматель


Теги:
  • IT и разработка

Поделиться:

Рекомендации

    Главное

      2021 ПАО Сбербанк. 117 997, Россия, Москва, ул. Вавилова, д. 19
      0321 — Бесплатно с мобильных телефонов в России для клиента Билайн, Мегафон, МТС, СберМобайл, Tele 2, Yota
      8 800 5555 777 — Бесплатно с городских телефонов на территории России
      +7 495 6655 777 — Звонки из-за рубежа (оплата согласно тарифу)
      Генеральная лицензия на осуществление банковских операций от 11 августа 2015 года. Регистрационный номер — 1481.
      Замок

      Мы используем файлы cookie

      Это поможет нам улучшить работу сайта. Оставаясь на сайте, вы соглашаетесь с нашей политикой использования cookie.