Что делать юристу компании, которая работает с персональными данными клиентов

Как избежать штрафов и что нужно знать о новых поправках

Почти все владельцы сайтов обрабатывают персональные данные — например, собирают почтовые адреса для рассылки.

1 июля 2017 года вступают в силу изменения в законе о персональных данных, из-за которых в разы вырастут штрафы. Максим Лагутин, эксперт по персональным данным в компании Б-152, рассказывает, на кого это повлияет и как избежать штрафов.

Что делать юристу компании, которая работает с персональными данными клиентов

Максим Лагутин

Эксперт по защите персональных данных, основатель консалтинговой компании Б-152 Сейчас по статье 13.11 есть только одно нарушение со штрафом 10 000 рублей для юрлиц. После 1 июля их станет семь и общий штраф может составить до 295 000 рублей.Почему сейчас? Все штрафы, которые вступают в силу с 1 июля, являются наиболее частыми нарушениями, которые Роскомнадзор выявлял в течение последних пяти лет. Ужесточение нашего законодательства связано с ужесточением законодательства в Евросоюзе.Например, если в форме обратной связи нет ссылки на соглашение на обработку персональных данных, компания должна будет заплатить 50 000 рублей. Если на сайте нет политики конфиденциальности, ИП оштрафуют на 10 000 рублей, компанию — на 30 000 рублей. Что делать юристу компании, которая работает с персональными данными клиентов

Операторов персональных данных. Оператор — любая организация, ИП и физическое лицо, которые обрабатывают персональные данные, например, собирает электронные адреса для рассылки.

Определение из закона 152-ФЗ «О персональных данных»:

Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Что делать юристу компании, которая работает с персональными данными клиентов

Любые данные о человеке, по которым его можно опознать. Точного перечисления в законе нет, но, например, если логин пользователя нам ни о чем не говорит, то электронная почта — это уже персональные данные.

Определение из закона 152-ФЗ «О персональных данных»:

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Что делать юристу компании, которая работает с персональными данными клиентов

Неважно, используете ли вы эту информацию по отдельности или в сочетании — если вы как-то получаете ее от пользователей, вы — оператор персональных данных.

  • Email
  • Телефон
  • Имя, фамилия, отчество (и по отдельности)
  • Адрес
  • Дата рождения
  • Фотография
  • Ссылка на персональный сайт и профиль в соцсетях

Трактовка расплывчатая, но исходя из позиции судов и Роскомнадзора даже cookie, данные об IP-адресе, местоположении без указания фамилии и имени являются персональными данными. В деле LinkedIn (который заблокировали за использование cookie, сведений о поведении пользователя на странице и сведений о местонахождении) и провайдера Скартел позиция судов и Роскомнадзора подтверждается.

Если на вашем сайте есть любая форма сбора данных — обратной связи, подписки на рассылку, регистрации или личный кабинет, это считается обработкой персональных данных.

Что делать юристу компании, которая работает с персональными данными клиентов

Хранение и сбор тоже попадают под определение обработки. Даже если вы собираете данные и через пару минут удаляете, это будет считаться обработкой персональных данных.

Определение из закона 152-ФЗ «О персональных данных»:

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Что делать юристу компании, которая работает с персональными данными клиентов

Вам нужно сделать так, чтобы сайт соответствовал требованиям 152-ФЗ. Эти требования применимы для всех — физических лиц и компаний. Убедитесь, что вы соблюдаете следующие условия:

Хостинг и база данных с персональными данными должна располагаться на территории России. Об этом прямо говорят данные проверок Роскомнадзора (снова LinkedIn) и закон № 242-ФЗ, который обязывает записывать, хранить, обновлять и извлекать персональные данные граждан РФ с использованием баз данных на территории России с 1 сентября 2015 года.Это касается иностранных компаний с юрлицом в России и без него, а также российских компаний, которые пользуются иностранными хостинг-провайдерами, дата-центрами и облачными платформами. Все осложняется тем, что требования Роскомнадзора до конца не ясны, приходится догадываться самим.

Если вы не понимаете, где хранить данные и что делать, обратитесь с запросом в Роскомнадзор или Минкомсвязи. И возможно у вашего хостинг-провайдера есть готовые решения на такой случай.

Под каждой формой сбора данных, включая сбор email, разместить текст «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных». В тексте должна быть ссылка на документ — Пользовательское соглашение, договор или согласие на обработку персональных данных. Текст самого документа можно разместить на отдельной странице.

Что делать юристу компании, которая работает с персональными данными клиентов

В Тильде в каждом блоке с формой сбора данных есть поле, в котором можно разместить текст о согласии на обработку данных и ссылку на соглашение и таким образом выполнить требование закона.

Какая информация должна быть в соглашении об обработке персональных данных

Согласно ч.4 ст.

 9 закона 152-ФЗ «О персональных данных» в соглашении обязательно должна быть следующая информация:

  • наименование или фамилия, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

Также нужно указать информацию о том, как физическое лицо может отозвать свое согласие на обработку персональных данных (ч.2 ст. 9 152-ФЗ «О персональных данных»).

Разместить на сайте в общем доступе (например, в подвале сайта) ссылку на документ — политику организации в отношении обработки персональных данных на сайте.

Показывать всем новым пользователям сайта предупреждение с текстом о том, что вы собираете метаданные пользователя (cookie, данные об IP-адресе и местоположении) для функционирования сайта и, если он не хочет, чтобы эти его данные обрабатывались, то должен покинуть сайт.

Что делать юристу компании, которая работает с персональными данными клиентов

На Тильде блок с предупреждением находится в категории «Другое» под номером Т657

Подать уведомление, чтобы внести организацию в реестр операторов персональных данных Роскомнадзора — можно сделать через сайт.

Уведомление можно не подавать, если вы:

  • обрабатываете только данные работников и только для исполнения требований трудового законодательства (без передачи данных в банки, например, оформления зарплатного проекта)
  • обрабатываете данные, заключая договор с каждым клиентом и работником, и не передаете данные третьим лицам
  • обрабатываете персональные данные только на бумажных носителях.

Другие исключения, когда уведомление в Роскомнадзор можно не подавать, содержатся во втором пункте статьи 22 закона 152-ФЗ.

Подтверждать статус оператора в Роскомнадзоре не нужно. Вы или ваша компания итак уже является оператором, если имеет доступ к персональным данным.

Выше мы назвали главные требования, которые Роскомнадзор предъявляет ко всем сайтам — неважно, физическое вы лицо или юридическое. Ниже еще несколько групп требований, которые должны дополнительно выполнять юридические лица.

Что нужно еще сделать компаниям:

Назначить ответственных лиц и разработать пакет внутренних документов, регламентирующих процессы обработки и защиты персональных данных.

Правильно отрегулировать взаимодействие с физическими лицами, государственными органами и контрагентами. Это значит, вам нужно:

  1. Подписать с сотрудниками обязательства о неразглашении персональных данных, согласие на обработку персональных данных и под роспись ознакомить их с внутренними документами по персональным данным.
  2. Со всеми другими физическими лицами подписывать согласие на обработку персональных данных или добавлять пункты об обработке персональных данных в договоры, которые вы заключаете.
  3. Заключать поручения на обработку персональных данных, если вы передаете кому-то данные физических лиц (например, рекламным агентствам).
  4. Отвечать на запросы физических лиц по поводу обработки их персональных данных — не игнорировать, как часто делают.

Защитить персональные данные техническими и организационными мерами — антивирусными системами, средствами межсетевого экранирования, разграничить права доступа. Все это прописано в приказе ФСТЭК № 21. В зависимости от требований проверять компанию могут разные инстанции: Роскомнадзор, ФСТЭК и ФСБ России. Самые редкие случаи проверки для частных организаций — проверка технической защиты персональных данных, это делает ФСБ в малом количестве.

ФСТЭК

Федеральная служба по техническому и экспортному контролю

Основной риск представляет Роскомнадзор, проводящий тысячи проверок в год.

Если раньше сумма штрафов для юридических лиц не превышала 10 000 рублей, то с 1 июля она спокойно может доходить до 300 000 рублей. Если нарушений несколько, штрафов тоже будет несколько.

Например, если вам напишет пользователь и попросит уточнить или удалить его персональные данные с вашего сайта, а вы не предоставите эту информацию, то штраф для физических лиц будет до 2000 рублей, для ИП — до 20 000 рублей, для компаний — до 45 000 рублей. Все штрафы можно посмотреть в поправках к закону.

Как правило, вначале Роскомнадзор присылает «письмо счастья», в котором указывает выявленные нарушения на сайте, связанные с неправомерной обработкой персональных данных. Хотя в случае с астраханскими сайтами, которых оштрафовали за форму обратной связи на сайте, проверку просто начали по алфавиту.

Пример «письма счастья»:

Еще Роскомнадзор может запросить большой список документов. Если проверка выявит нарушения, то Роскомнадзор может заблокировать сайт, наложить штрафы и в редких случаях приостановить деятельность компании. Не ждите «письмо счастья». Начните выполнять все основные требования, чтобы избежать плачевных последствий и штрафов.

Максим ЛагутинИллюстрации, дизайн и верстка: Юлия Засс

Если материал вам понравился, расскажите о нем друзьям. Спасибо!

Как собрать базу клиентов и не попасть на штраф — «Жиза» — бизнес-блог для предпринимателей

Что делать юристу компании, которая работает с персональными данными клиентов

Законы

Если у вас интернет-магазин, блог с ми или имейл-рассылка, вы попадаете под закон о хранении персональных данных. Вам предстоит отчитаться перед Роскомнадзором о том, как вы храните данные клиентов или читателей. Если этого не сделать, придется заплатить 300 000₽.

  • Максим Локтунов
  • Редактор: Саша Волкова
  • Иллюстратор: Ivan Might

В начале июля в силу вступила поправка к статье 13.11 КоАП. Раньше хранение персональных данных контролировала прокуратура, и штрафы за нарушения выписывала мизерные — до 10 000₽ для организаций. Закон был, но мало кто его соблюдал; дешевле было заплатить штраф.

Читайте также:  Оспаривание кадастровой стоимости в досудебном порядке

Поправка изменила ситуацию — соблюдение закона теперь контролирует Роскомнадзор, штрафы подняли до 300 000₽. Роскомнадзор обещает проводить проверки чаще и тщательнее.

Что называют персональными данными

  • Данные — это любая информация о человеке и его деятельности:
    — фамилия, имя, отчество;
    — дата рождения;
    — телефон;
    — адрес;
    — электронная почта;
    — ссылки на социальные сети;
    — место работы;
  • — должность.

Точного определения, что считать «Персональными данными», нет: ни Роскомнадзор, ни Минкомсвязи не смогли очертить рамки. Мы посмотрели статьи закона, судебную практику и поняли вот что: персональные данные — это информация «в связках». Например, имя, телефон или электронная почта по отдельности — простая информация.

А если взять имя и телефон вместе, эта информация станет персональной:
— Ульяна, 8 (100) 000-00-01;
— Иван, 10.01.1990, визажист;

  1. — Главный бухгалтер, ООО «Берёзка».
  2. Всё это — информация в связках, ее Роскомнадзор посчитает персональными данными.

Бывают случаи, когда персональными данными признают информацию без связок и без возможности идентифицировать человека. Поэтому, если есть сомнения, храните вы простую информацию о человеке или его персональные данные, лучше спросите у Роскомнадзора.

Саша ведет блог. Чтобы постоянные читатели не пропускали новые статьи, она добавила подписку: читатели вводят имя и имейл в форму и раз в неделю получают письма со статьями.

Саша хранит персональные данные читателей и должна отчитаться перед Роскомнадзором. Но этого можно избежать — достаточно убрать поле имени из формы.

Работа с персональными данными клиентов

В небольших организациях кадровым службам нередко приходится заниматься обработкой и хранением персональных данных не только работников, но и клиентов компании. В этом случае существенно возрастает документооборот.

Например, до начала обработки персональных данных придется уведомить Роскомнадзор, получить согласие на распространение персональных данных клиента, уведомить его о том, что такая информация была получена от третьих лиц, и пр.

Порядок работы с персональными данными клиентов во многом сходен с порядком работы с персональными данными сотрудников. Его мы рассмотрели в прошлом номере. Однако в работе с персональными данными клиентов есть несколько особенностей, о которых должны знать кадровики.

Кадровым службам (особенно небольших и средних компаний) зачастую приходится работать с персональными данными не только сотрудников, но и клиентов. Прежде всего это касается компаний, продающих товары (выполняющих работы, оказывающих услуги) физическим лицам.

Но и компании, работающие в секторе B2B, тоже нередко сталкиваются с персональными данными.

Это, к примеру, персональные данные контактных лиц в организациях-контрагентах, физических лиц-консультантов, фрилансеров, иных граждан, которые не являются работниками компании, но оказывают ей услуги (например, врачи для фармацевтических ­компаний, авторы в журналах, рекрутеры в кадровых агентствах и т.д.).

Согласие и уведомление граждан

Судебная практика

Если клиенты заказывают товары или услуги, заполняя анкету на сайте в электронном виде, содержащую сведения о персональных данных, то отдельного согласия на обработку данных не потребуется.

Отправляя свои данные по указанному алгоритму заполнения анкеты, физические лица фактически выражают свое согласие на передачу своих персональных данных, т.е.

при обработке персональных данных письменное согласие считается полученным (постановление ­Федерального ­арбитражного суда Северо-Западного округа от 13.12.2010 по делу № ­А56-73636/2009).

В отличие от трудовых отношений, когда работник чаще всего лично предоставляет свои ПД, с данными клиентов может возникнуть ситуация, когда сведения будут получены не напрямую, а от других операторов (например, если компания обращается к юридической фирме для ­ведения судебного дела в отношении клиента – физического лица).

Для таких случаев ст. 18 Закона № 152-ФЗ предусматривает следующее правило. Если персональные данные получены не от субъекта ПД, до начала их обработки оператор обязан предоставить субъекту ПД ­следующую информацию:

  • наименование либо фамилию, имя, отчество и адрес оператора или его представителя;
  • цель обработки персональных данных и ее правовое основание;
  • о предполагаемых пользователях персональных данных;
  • установленные законом права субъекта персональных данных;
  • источник…

Защита персональных данных клиентов организации | Как защитить персональные данные клиента и что будет за их разглашение

Большинство российских компаний, работающих в секторе оказания услуг физическим лицам, тем или иным способом собирают и обрабатывают их персональные данные.

Такая функция становится основанием для признания их операторами персональных данных в установленном законом порядке и необходимости принять комплекс организационных и технических мер, призванных защитить доверенную организациям информацию клиентов.

Нормативно-правовая база

Федеральный закон «О персональных данных» признает операторами всех юридических лиц и предпринимателей, которые получают и обрабатывают персональные данные клиентов в ситуациях, не являющихся обычным кадровым документооборотом. К предприятиям, постоянно сталкивающимся в своей работе с требованиями получать и обрабатывать данные в установленном законом порядке, а также предпринимать меры, направленные на их защиту, относятся:

  • медицинские учреждения, требования к которым, определяющие степень защищенности информационной системы, повышены из-за важности доверяемых им данных;
  • образовательные организации;
  • банки и другие финансовые учреждения;
  • страховые компании;
  • гостиницы;
  • библиотеки;
  • магазины.

Каждый из этих субъектов бизнеса получает от граждан сведения, которые носят конфиденциальный характер, и это не только имя, данные паспорта и номер телефона, но и информация о семейном положении, здоровье, имуществе, счетах и вкладах.

Организации, в деятельности которых эти сведения необходимы по различным причинам, часто нормативно-правового порядка (например, форматы различных учетных карточек устанавливаются министерствами и ведомствами), вместе со сведениями получают комплекс обязанностей по их защите при обработке и передаче третьим лицам.

Закон требует от операторов предпринять комплекс организационных и технических мер, направленных на защиту доверенной им информации.

Конкретизируются эти требования Постановлением Правительства № 1119, определяющим параметры, по которым устанавливается уровень защищенности системы, и приказами ФСТЭК России, которые регулируют применение и сертификацию технических средств, защищающих целостность информационной системы персональных данных. Также в области сертификации средств криптографической защиты данных и некоторых программных продуктов действуют стандарты, разрабатываемые и утверждаемые ФСБ России.

Обязанности оператора

Оператором является практически каждая организация, в рамках своей деятельности получающая от клиентов сведения о данных их паспорта или о номере телефона. Закон устанавливает обязанности оператора персональных данных как на организационном, так и на техническом уровне. После того, как компания определила, что требования закона безусловно относят ее к операторам, она обязана:

  • направить уведомление в Роскомнадзор о начале деятельности, связанной с обработкой персональных данных. Его форма заполняется на сайте, затем распечатывается, подписывается и отправляется в ведомство по почте;
  • разработать локальные нормативные акты, определяющие принципы и порядок обработки персональных данных клиентов в процессе осуществления ими предпринимательской деятельности;
  • разработать формат согласия на обработку персональных данных, которое подписывают клиенты, и определить порядок его предоставления для подписания;
  • назначить приказом руководителя лицо, ответственное за обеспечение надлежащей защиты персональных данных;
  • определить требуемую степень защищенности своей информационной системы согласно нормам Постановления Правительства № 1119;
  • разработать план приведения информационной базы в соответствие с требованиями законодательства и реализовать его.

Выполнение этих обязанностей контролируется в ходе проверок Роскомнадзора. Следует учитывать, что по закону о защите прав юридических лиц в процессе проверок первая из плановых может пройти только спустя три года после направления уведомления.

Положение о защите персональных данных

Одной из задач оператора становится разработка внутреннего положения, определяющего принципы его работы при взаимодействии с персональными данными клиентов.

Обычно оно размещается на сайте оператора таким образом, чтобы было доступно любому клиенту при поиске информации или предоставлении сведений, содержащих персональные данные.

Подготовить такой нормативный акт можно самостоятельно, силами административного подразделения компании или службы безопасности, никаких специальных норм он не содержит, и требований к его формату и содержанию законодательство не предъявляет. В рекомендуемой версии структура положения будет выглядеть следующим образом:

  • общие положения. Здесь необходимо описать принципы работы с персональными данными, общие цели их использования, сведения о том, что после истечения определенного времени данные, потерявшие актуальность, должны быть уничтожены, порядок утверждения самого документа и внесения в него изменений;
  • определения. Здесь поясняется, что понимается под персональными данными клиентов применительно к уставным целям и задачам конкретной компании, поясняются другие термины, например, «клиент», «оператор». Требуемые от клиента персональные данные описываются максимально подробно, с пояснениями, от какой категории лиц какие именно сведения должны быть предоставлены. Здесь же описываются допустимые способы получения персональных данных;
  • требования к конфиденциальности. В положении указывается, что на персональные данные распространяется режим конфиденциальности, что оператор обязывает своих сотрудников соблюдать его требования. Кроме того, отмечается, что при передаче сведений третьим лицам для обработки на основании соглашения оператор включает в его обязательства соблюдение конфиденциальности и ответственность за нарушение этих требований;
  • права и обязанности клиента. В этом разделе необходимо быть осторожнее. Так, возложение на клиента обязанности уведомлять организацию об изменении персональных данных должно быть объяснено или нормами закона, или интересами самого клиента;
  • обязанности самого общества, возникающие при обработке персональных данных. Здесь можно не ограничиваться требованиями закона, инициативные решения повысят привлекательность предложения организации для клиента;
  • способы защиты персональных данных;
  • заключительные положения.
Читайте также:  Срок годности защитной каски, в том числе пожарной и строительной, по ГОСТу с даты изготовления, период эксплуатации, правила использования, продление времени службы

Согласие на обработку персональных данных

Существенным элементом системы защиты персональных данных становится разработка формата согласия на обработку персональных данных и установление порядка его подписания.

Чаще всего сведения получают от клиента в процессе оформления договора, но следует учитывать, что они сохраняются не только в информационных базах, но и на материальных носителях, которыми, в зависимости от вида услуг, могут быть:

  • листки учета посетителей, заполненные в гостиницах;
  • формуляры, оформляемые в библиотеках;
  • медицинские карты;
  • анкеты различного рода.

Все эти документы часто хранятся в общем доступе, степень их защищенности нельзя отнести к повышенной.

Распространение на них режима конфиденциальности защищается включением соответствующих норм в трудовые договоры с персоналом, но, как показывает практика, взыскать ущерб с сотрудника, виновного в разглашении конфиденциальной информации, крайне сложно.

Единственной защитой персональных данных, хранящихся на бумажных носителях, становится трудность обработки большого объема рукописных данных, это значит, что их неправомерное распространение возможно только в случае заинтересованности злоумышленника в сведениях о конкретном клиенте. Но, подписывая согласие на обработку данных, клиент должен быть уверен в том, что они будут охраняться максимально возможным и соответствующим требованиям законодательства способом.

Также в согласии указываются цели обработки персональных данных, например, для гостиницы это будет соблюдение требований безопасности клиентов и сохранности имущества.

Подписывая согласие, клиент должен признать целесообразность этих целей. После того, как определены цели, указываются способы обработки персональных данных, ручные и автоматические.

Клиент должен выразить свое согласие и с ними.

В согласии указываются лица, которым, по договору с оператором, данные могут передаваться для хранения и обработки. Как показывает последняя судебная практика, применительно к банкам, эти лица необходимо скрупулезно и подробно перечислить.

Как гласит закон, согласие на обработку персональных данных в любое время может быть отозвано, делается это по тем каналам связи, которые оператор установил для коммуникации с клиентом. После отзыва компания обязана в течение 30 дней уничтожить данные.

Этого можно избежать только в том случае, когда их нахождение у организации-оператора обусловливается требованиями федеральных законов, например, по борьбе с терроризмом или об отмывании денежных средств.

Ранее срок удаления составлял 7 дней, но он был настолько неудобен для операторов, что было принято решение о его продлении. Также клиент вправе требовать удаления или изменения данных, если они не соответствуют действительности, искажены.

При получении отказа или в случае неисполнения требований гражданин может обратиться с заявлением в Роскомнадзор.

Риски, с которыми связана обработка персональных данных клиентов

Операторы должны учитывать, что нарушение установленного порядка обработки и защиты персональных данных влечет за собой возникновение неблагоприятных последствий. Такие нарушения могут быть выявлены тремя способами:

  • при проведении проверочных мероприятий органами контроля за соблюдением законодательства о защите персональных данных – Роскомнадзором, ФСТЭК РФ, ФСБ России;
  • в результате взаимодействия оператора с некоторыми другими ведомствами, например, ФАС РФ;
  • физическим лицом, чьи права нарушены. Такое нарушение может стать основой для предъявления иска в суд о восстановлении нарушенного права и компенсации морального вреда.

Следствиями выявления нарушения государственным органом становятся:

  • вынесение предписания об устранении нарушений закона;
  • административные штрафы, налагаемые на руководителей компаний;
  • запрет на занятие деятельностью, связанной с обработкой персональных данных;
  • в наиболее вопиющих случаях неправомерного использования или распространения данных – привлечение к уголовной ответственности.

Лицо, информация о частной жизни которого была неправомерно получена или распространена, может обратиться в суд со следующими категориями исков:

  • иск о возмещении морального вреда, связанного с неправомерным использованием персональных данных;
  • иск о запрете собирать персональные данные, если организация не обладает необходимыми сертифицированными ресурсами для обеспечения их безопасности (этот способ защиты прав часто применяется во взаимоотношениях с магазинами);
  • иск об удалении или изменении некорректно учтенных данных.

Российские суды удовлетворяют требования о взыскании морального вреда чаще всего в пределах небольших сумм, в среднем 50 тысяч для столицы и крупных городов, 10 тысяч по России. Но риск заключается не в том, чтобы потерять небольшие средства, а в вынесении проблемы в публичное поле.

После вступления в силу решения суда или сообщения СМИ о процессе Роскомнадзор может назначить внеочередную проверку соблюдения законодательства о защите персональных данных, и по ее результатам организации может быть запрещено заниматься их обработкой.

Это станет причиной существенно больших убытков для оператора.

Организации, работающие с физическими лицами, должны учитывать все требования и риски и выстраивать свою работу таким образом, чтобы нарушения установленного порядка защиты персональных данных не происходило.

Как работать с персональными данными, чтобы не получить штраф от Роскомнадзора

Если предприниматель собирает информацию о клиентах или посетителях своего сайта, он становится оператором персональных данных. К ним относится практически любая информация: телефоны, ссылки на соцсети, адреса. Чтобы правильно обрабатывать данные, нужно выполнять требования Федерального закона № 152-ФЗ. В противном случае бизнес получит солидный штраф от Роскомнадзора.

В журнале Делобанка разобрались, какие данные считаются персональными и как правильно их собирать, чтобы не получить проблем для бизнеса.

Какие данные считаются персональными

Персональные данные — это любая информация, которая прямо или косвенно относится к человеку. Закон не конкретизирует перечень, но обычно суды и Роскомнадзор причисляют к ним:

  • фамилию, имя и отчество человека;
  • дату рождения, паспортные данные;
  • адрес проживания или регистрации;
  • данные о местоположении и перемещениях;
  • номера телефонов, адреса электронной почты;
  • фотографии, видеозаписи с участием человека;
  • IP-адреса устройств, ссылки на учетные записи.

Персональными данными считаются и куки. Это небольшие текстовые файлы, которые хранятся в браузере и содержат информацию о посещённых сайтах: время и дату просмотра, тип устройства, просмотренные товары и страницы. Куки помогают сайтам запоминать пользователей, чтобы не авторизоваться каждый раз. Такие данные относятся к персональным как по отдельности, так и в составе куки-файла.

Как понять, что я оператор персональных данных

Вот простой пример. Алина продаёт мыло ручной работы. Она запустила одностраничный сайт и разместила фото всех товаров. Чтобы клиентам было удобнее, на сайте есть форма для обратного звонка. Покупатели оставляют номер телефона, Алина перезванивает, уточняет заказ и договаривается о доставке. В этом случае Алина — оператор персональных данных, хоть и запрашивает только телефон.

Максим недавно открыл барбершоп. До сентября 2020 года он просто давал рекламу и привлекал новых клиентов. Персональные данные Максим не обрабатывал. Когда появилась постоянная аудитория, барбершоп ввёл программу лояльности — скидочные карты. Чтобы их оформить, клиенты оставляют фамилию, имя и номер телефона. Так Максим стал оператором персональных данных.

Операторы персональных данных — это любые компании и ИП, которые собирают информацию о пользователе. Фактически это любой предприниматель, который размещает в интернете формы для:

  • регистрации на сайте;
  • авторизации через соцсети;
  • ответного звонка или сообщения;
  • заказа товара или услуги;
  • подписки на рассылку;
  • обратной связи.

Не имеет значения, как пользователь передает персональную информацию: по почте, на сайте, через соцсеть или в личном разговоре с менеджером. Каждый из случаев — это сбор персональных данных.

Не считаются операторами только:

  • Физические лица, которые собирают данные для личных или семейных нужд. Например, если человек записал номер телефона друга или спросил имейлы коллег, чтобы разослать приглашения на юбилей.
  • Компании, которые обязаны хранить архивные документы по закону «Об архивном деле». Это государственные организации, которые занимаются делами Архивного фонда РФ.
  • Компании, которые обрабатывают данные, отнесенные к гостайне указом Президента. Это органы власти и государственные организации.

Чтобы собирать и обрабатывать персональные данные, не обязательно работать в интернете. Если магазин оформляет дисконтную карту покупателю и спрашивает его номер телефона — это тоже сбор персональных данных.

Как правильно собирать и обрабатывать данные

Правовая охрана персональных данных | CPO Group | Юридические услуги в Москве и Санкт-Петербурге

Правовая охрана персональных данных

Комплексное сопровождение бизнеса по вопросу 
правовой охраны персональных данных

Объясним, как избежать нарушений законодательства и огромных штрафов

Учитываем нормы международного права

Проконсультируем по вопросам соблюдения законодательства и оптимизации бизнес-процессов

Читайте также:  Вот тебе, бабушка, и Юрьев день!

Входим в ТОП-50 юридических компаний России «Право.ru-300»

Получить коммерческое предложение
Задать вопрос юристу

Включение в реестр Роскомнадзора

оценка необходимости включения в реестр(включение в реестр не всегда обязательно!)
— подготовка всех документов
контроль процедуры

Проверим ваш сайт на соответствие закону

Выявление и устранение нарушений закона персональных данных в части неразмещения на сайте необходимых документов в области персональных данных, а также проверка содержания данных документов.

Составим документы в области ПД

Определение перечня и составление полного пакета документов, требуемого в соответствии с законодательством, в целях снижения рисков привлечения к ответственности в ходе проверки Роскомнадзора.

с Роскомнадзором, судебные споры

— подготовка ответа на запросы Роскомнадзора о соблюдении закона о персональных данных
— представление интересов в суде при наложении штрафов или блокировке сайта и т.д.

Комплексное сопровождение бизнеса при взаимодействии с Роскомнадзором по вопросам обработки персональных данных

Услуга для компаний, производящих онлайн игры, мобильные приложения, компьютерные программы и другие программные продукты

Что относится к персональным данным?

Персональные данные — любая информация, которая относится к конкретному физическому лицу. Ими являются, в том числе: ФИО, паспортные данные, адрес, данные о поле, возрасте, семейном и финансовом положении, контактная информация (номер телефона, e-mail), а также техническая информация, собираемая на сайте для целей аналитики (IP-адрес, тип браузера и пр.).

Что относится к персональным данным?

Персональные данные — любая информация, которая относится к конкретному физическому лицу. Ими являются, в том числе: ФИО, паспортные данные, адрес, данные о поле, возрасте, семейном и финансовом положении, контактная информация (номер телефона, e-mail), а также техническая информация, собираемая на сайте для целей аналитики (IP-адрес, тип браузера и пр.).

Как понять, является ли ваша компания оператором персональных данных?

Оператором персональных данных признается любое лицо, которое собирает, хранит и иным образом использует (обрабатывает) персональные данные. На практике почти любая компания, даже не имеющая сотрудников, которая использует форму обратной связи на сайте или просто собирает данные о пользователях сайта в целях аналитики, будет иметь дело с персональными данными. Оператором может быть не только юридическое лицо (в том числе иностранная компания), но и ИП, самозанятые, простые граждане.

Лицо становится оператором и обязано соблюдать закон о персональных данных с момента начала обработки персональных данных, а не с момента включения в реестр операторов персональных данных Роскомнадзора или какого-то иного момента.

Как понять, является ли ваша компания оператором персональных данных?

Оператором персональных данных признается любое лицо, которое собирает, хранит и иным образом использует (обрабатывает) персональные данные. На практике почти любая компания, даже не имеющая сотрудников, которая использует форму обратной связи на сайте или просто собирает данные о пользователях сайта в целях аналитики, будет иметь дело с персональными данными. Оператором может быть не только юридическое лицо (в том числе иностранная компания), но и ИП, самозанятые, простые граждане.

Лицо становится оператором и обязано соблюдать закон о персональных данных с момента начала обработки персональных данных, а не с момента включения в реестр операторов персональных данных Роскомнадзора или какого-то иного момента.

Что нужно делать, чтобы не нарушать закон о персональных данных?

• Подать уведомление об обработке персональных данных в Роскомнадзор для включения в реестр операторов персональных данных (требуется не всегда!)
• Разработать и разместить на сайте политику конфиденциальности и согласие на обработку персональных данных
• Разработать и утвердить внутренние документы в области персональных данных
• Правильно оформлять и отбирать согласия на обработку персональных данных, которые должны быть получены в письменной форме (требуется не всегда!)

• Правильно организовать хранение и защиту персональных данных, в том числе, с точки зрения передачи данных за рубеж и размещения серверов, применяемых для обработки персональных данных, на территории России

Что нужно делать, чтобы не нарушать закон о персональных данных?

• Подать уведомление об обработке персональных данных в Роскомнадзор для включения в реестр операторов персональных данных (требуется не всегда!)
• Разработать и разместить на сайте политику конфиденциальности и согласие на обработку персональных данных
• Разработать и утвердить внутренние документы в области персональных данных
• Правильно оформлять и отбирать согласия на обработку персональных данных, которые должны быть получены в письменной форме (требуется не всегда!)

• Правильно организовать хранение и защиту персональных данных, в том числе, с точки зрения передачи данных за рубеж и размещения серверов, применяемых для обработки персональных данных, на территории России

Какая ответственность может быть за нарушение закона о персональных данных?

За нарушение закона о персональных данных на компанию и ее должностных лиц может быть наложен штраф, размер которого зависит от конкретного правонарушения. Так, обработка персональных данных без согласия субъекта персональных данных в письменной форме (когда оно необходимо) может стоить компании 150 000 рублей за каждый случай, а использование для обработки персональных данных серверов, которые не находятся в России, — 6 000 000 рублей. Также Интернет-сайты, на которых собираются или размещаются данные граждан с нарушением закона, могут быть заблокированы Роскомнадзором.

Какая ответственность может быть за нарушение закона о персональных данных?

За нарушение закона о персональных данных на компанию и ее должностных лиц может быть наложен штраф, размер которого зависит от конкретного правонарушения. Так, обработка персональных данных без согласия субъекта персональных данных в письменной форме (когда оно необходимо) может стоить компании 150 000 рублей за каждый случай, а использование для обработки персональных данных серверов, которые не находятся в России, — 6 000 000 рублей. Также Интернет-сайты, на которых собираются или размещаются данные граждан с нарушением закона, могут быть заблокированы Роскомнадзором.

Когда вашей компании нужно соблюдать требования иностранного законодательства о защите персональных данных?

Если ваша компания выходит на зарубежный рынок и планирует оказывать услуги иностранным контрагентам, вы можете неизбежно столкнуться с необходимостью соблюдать иностранное законодательство о защите персональных данных. Так, если вы продаете товары или оказываете услуги на территории Европейского Cоюза (независимо от наличия компании или представительства в Европе), ваш сайт переведен на европейские языки и доступен жителям ЕС, то необходимо соблюдать требования Регламента ЕС № 2016/679 (GDPR), чтобы избежать штрафов. В том числе, нужно разместить на сайте политику конфиденциальности, составленную в соответствии с правилами GDPR. То же касается и работы на рынке других стран, в том числе США.

Когда вашей компании нужно соблюдать требования иностранного законодательства о защите персональных данных?

Если ваша компания выходит на зарубежный рынок и планирует оказывать услуги иностранным контрагентам, вы можете неизбежно столкнуться с необходимостью соблюдать иностранное законодательство о защите персональных данных. Так, если вы продаете товары или оказываете услуги на территории Европейского Cоюза (независимо от наличия компании или представительства в Европе), ваш сайт переведен на европейские языки и доступен жителям ЕС, то необходимо соблюдать требования Регламента ЕС № 2016/679 (GDPR), чтобы избежать штрафов. В том числе, нужно разместить на сайте политику конфиденциальности, составленную в соответствии с правилами GDPR. То же касается и работы на рынке других стран, в том числе США.

Юристами ЦПО были подготовлены возражения на уведомление Роскомнадзора с основаниями, позволяющие клиенту отказаться от обязательного включения в реестр операторов персональных данных.

Подробнее

Доказали необоснованность отказа Роскомнадзора в возбуждении дела об административном правонарушении по факту ненадлежащей обработки персональных данных

Подробнее

Нас выбрали и рекомендуют:​

На фотографии мы отмечаем 20-летие. Если любите надёжные компании с историей, то это к нам

У нас 2 офиса: в Москве
и Санкт-Петербурге

На фотографии обсуждение стратегии действий по клиентским задачам между двумя офисами. Современные технологии стирают расстояние

Дружный, позитивный коллектив, который работает как единый механизм и защищает интересы клиентов

Мы входим в ТОП-50
юридических компаний 

Рейтинг составляется порталом «Право.ru». На фотографии руководитель московского офиса Науменко Лариса на оглашении результатов рейтинга
(мы в нём с 2011 года)

На фотографии мы отмечаем 20-летие. Если любите надёжные компании с историей, то это к нам

У нас 2 офиса: в Москве
и Санкт-Петербурге

На фотографии обсуждение стратегии действий по клиентским задачам между двумя офисами. Современные технологии стирают расстояние

Дружный, позитивный коллектив, который работает как единый механизм и защищает интересы клиентов

Мы входим в ТОП-50
юридических компаний 

Рейтинг составляется порталом «Право.ru». На фотографии руководитель московского офиса Науменко Лариса на оглашении результатов рейтинга
(мы в нём с 2011 года)

Спасибо! Ваше сообщение получено

Оставьте комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *