Как собирать персональные данные, чтобы не пришёл Роскомнадзор
Имя, фамилия, телефон — эту информацию просят у клиентов салоны красоты, интернет-магазины и другие бизнесы, а когда нужна доставка — ещё и домашний адрес. Всё это — персональные данные. Чтобы законно их собирать, предприниматель должен получить от каждого человека разрешение. Как это делать без нарушений?
Максим Лагутин
ведущий эксперт по защите персональных данных, сооснователь компании «Б-152»
Филипп Мищенко
руководитель практики медиа/игры юридической компании GMT Legal
Огдо Осогосток
юрист практики защиты бизнеса ЮФ «Гриц и партнёры»
Как бизнесу собирать персональные данные
Сбор персональных данных регламентирует закон 152-ФЗ «О персональных данных». Есть два подхода к выполнению этих требований, рассказывает ведущий эксперт по защите персональных данных, сооснователь компании «Б-152» Максим Лагутин.
Первый подход — минимальный набор действий, который поможет защититься от самых вероятных штрафов: опубликовать на сайте текст Политики обработки персональных данных и уведомление о сборе cookie-файлов, получить от пользователей согласие на обработку данных, хранить информацию на серверах, размещённых в России, и сообщить о начале сбора данных в Роскомнадзор (к тому, как это сделать, мы ещё вернёмся).
«Главное требование Роскомнадзора — наличие Политики обработки персональных данных на сайте. Часто документ просто копируют с других сайтов, меняют название компании — и всё»,
— отмечает Максим Лагутин.
Второй подход — соблюдать все формальности, чтобы снизить риски. Но не всегда у бизнеса на это есть деньги, терпение и силы, отмечает Максим Лагутин. Помимо минимального набора действий, понадобится создать внутренние документы, назначить среди сотрудников ответственных за сохранность данных и надёжно защитить их от краж и утечек.
Разобраться в том, как обрабатывать и хранить персональные данные без нарушений, поможет образовательный курс Деловой среды. Из курса вы узнаете об основных требованиях закона 152-ФЗ и получите практические советы, как сэкономить на защите персональных данных.
Что грозит за нарушение закона о персональных данных
За соблюдением закона следит Роскомнадзор, а нарушителям грозит гражданская, административная, дисциплинарная и даже уголовная ответственность. Вот какие наказания предусмотрены за распространённые нарушения со стороны юридических лиц:
Административная ответственность:
- Обработка персональных данных в случаях, не предусмотренных законом, или несовместимая с целью их сбора — предупреждение или административный штраф от 30 000 рублей до 50 000 рублей.
- Обработка персональных данных без письменного согласия субъекта — от 5 000 рублей до 75 000 рублей.
- Отсутствие Политики обработки персональных данных в публичном доступе — от 15 000 рублей до 30 000 рублей.
Уголовная ответственность:
- Незаконный сбор и распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, — штраф до 200 000 рублей и другие меры вплоть до лишения свободы на срок до 2 лет.
- Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло её уничтожение, блокирование, модификацию либо копирование — штраф до 200 000 рублей и другие меры вплоть до лишения свободы на срок до 2 лет.
Обычно наказывают административкой — штрафами на сумму до 75 000 рублей, отмечает руководитель практики медиа/игры юридической компании GMT Legal Филипп Мищенко. «Большого числа громких уголовных дел нет. Часто затраты на юристов со стороны физлиц, которые хотят компенсации, будут существенно выше, чем ущерб компании-нарушителя. Задача же государства — собрать штраф, а не выплатить компенсации потерпевшим», — говорит эксперт.
Чек-лист: что делать, если вы используете персональные данные клиента
1. Разместите на сайте Политику в отношении обработки персональных данных. Чтобы учесть все тонкости, для составления документа стоит привлечь юриста или воспользоваться онлайн-сервисами. В Политике нужно разъяснить основные термины, цели сбора данных, а также рассказать, как компания их защищает.
2. Создайте на сайте push-уведомление об обработке cookie-файлов. Сookie — текстовые файлы со служебной информацией от сайтов, которые посещает человек, включая логин, имя, email, пароль, геоданные, тип устройства, товары в корзине и в избранном.
3. Сделайте на сайте чек-бокс с формулировкой «Я согласен с обработкой моих персональных данных». Важно, чтобы галочка согласия не проставлялась автоматически: пользователь должен поставить её сам. Рядом дайте гиперссылку на Политику обработки персональных данных.
К кнопке согласия на обработку персональных данных нельзя добавлять автоматическое согласие на получение рассылок и иной информации. Для этого надо получить отдельное согласие.
4. Отправьте в Роскомнадзор Уведомление об обработке персональных данных.
Издайте указ о назначении ответственного лица за обработку персональных данных — им может быть руководитель, например генеральный директор. Внесите изменения в должностную инструкцию и трудовой договор ответственного лица. Заполните уведомление через электронную форму, распечатайте и отправьте в свой территориальный отдел Роскомнадзора. Ведомство включит вашу компанию в Реестр операторов персональных данных.
5. Храните персональные данные на серверах, которые находятся в России.
Чтобы максимально защитить бизнес на случай проверок, Огдо Осогосток, юрист практики защиты бизнеса ЮФ «Гриц и партнёры», советует:
- Под подпись ознакомить сотрудников со всеми локальными актами относительно обработки персональных данных.
- Ограничить доступ посторонних к персональным данным.
- Если персональные данные клиентов передаются контрагентам — прописать
в договорах обязанность по охране информации.
- Периодически проводить внутренний аудит для контроля правильности обработки персональных данных.
- Заключать договоры с компаниями, предоставляющими услуги хранения данных.
- Отвечать на обращения пользователей по обработке персональных данных.
- Своевременно реагировать на письменные запросы Роскомнадзора.
- Следить за изменениями законодательства в области персональных данных.