Что называют персональными данными

Данные — это любая информация о человеке и его деятельности:

— фамилия, имя, отчество;
— дата рождения;
— телефон;
— адрес;
— электронная почта;
— ссылки на социальные сети;
— место работы;
— должность.

Точного определения, что считать персональными данными, нет: ни Роскомнадзор, ни Минкомсвязи не смогли очертить рамки. Мы посмотрели статьи закона, судебную практику и поняли вот что: чаще всего персональные данные — это информация в связке. Например, имя, телефон или электронная почта по отдельности — простая информация. А если взять имя и телефон вместе, эта информация станет персональной:

— Ульяна, 8 (100) 000-00-01;
— Иван, 10.01.1990, визажист;
— Наталья, главный бухгалтер, ООО «Берёзка».

Всё это — информация в связках, её Роскомнадзором точно посчитает персональными данными.

У интернет-магазина есть имейл-рассылка. Покупатели оставляют свои данные — имена и имейлы — и раз в неделю получают письма о скидках и акциях.
Интернет-магазин хранит персональные данные и должен отчитываться перед Роскомнадзором.

Бывают случаи, когда персональными данными признают информацию без связок и без возможности идентифицировать человека. Поэтому, если есть сомнения, храните вы простую информацию о человеке или его персональные данные, лучше спросите у Роскомнадзора.

Что нужно сделать перед тем, как начать собирать персональные данные

Нельзя просто начать собирать телефонные номера, имейлы, имена или даты рождения клиентов. Сначала нужно подготовить необходимые документы, уведомить Роскомнадзор о том, что вы будете хранить персональные данные, и назначить ответственных.

Что нужно сделать:

Шаг 1. Подготовьте документы. В законе нет конкретного перечня необходимых документов. Компании и ИП могут сами решать, как именно оформлять положения и приказы — главное, чтобы этих документов было достаточно для выполнения обязанностей оператора персональных данных (ст. 18 закона 152-ФЗ).

Обычно компании готовят документы:

Политику обработки и защиты персональных данных. Это обязательный документ. Он может называться по-разному: политика конфиденциальности, политика защиты персональных данных или как-то ещё. Главное, чтобы в нём было указано, какие именно данные вы храните, в каких целях их собираете и как обеспечивает конфиденциальность.

Политику нужно разместить в открытом доступе, чтобы клиенты могли её прочитать. Обычно ссылку добавляют в формы регистрации и согласия на обработку данных, а также размещают в подвале сайта.

Как составить документ, читайте в рекомендациях Роскомнадзора. Также вы можете изучить политики других компаний — и на их основе составить свою. Например, политика обработки и защиты персональных данных компании «Эвотор», политика конфиденциальности Ozon, политика обработки персональных данных интернет-магазина Tasty Coffee.

Положение о работе с персональными данными. Это правила, по которым ваши сотрудники будут хранить, обрабатывать и использовать информацию. Правила должны соответствовать закону 152-ФЗ. Документ можно объединить с политикой обработки персональных данных.

Положение о неразглашении персональных данных. Этот документ должны подписать сотрудники. Таким образом все, кто будет иметь доступ к персональным данным, подтвердят, что не станут передавать информацию третьим лицам.

Приказы и инструкции для ответственных сотрудников. В документах указывают, у кого есть доступ к информации, где хранятся данные и как с ними работать.

Соглашение на обработку персональных данных.Это документ для клиентов. Например, соглашение на сайте «Летуаль». Можно не составлять отдельный документ, а условия согласия прописать в политике конфиденциальности. Как получить согласие на обработку данных, мы расскажем ниже.

Также компании используют и другие документы: список документов, которые могут понадобиться. Не обязательно готовить все 34, но чем яснее будут прописаны обязательства и правила работы с персональными данными, тем меньше вопросов возникнет у Роскомнадзора.

Шаг 2. Подайте уведомление в Роскомнадзор. В уведомлении нужно указать сведения о компании и сообщить, зачем вам понадобились персональные данные (ст. 22 закона 152-ФЗ). Подать документ можно тремя способами: распечатать уведомление и отправить в региональное управление Роскомнадзора, заполнить форму на сайте и подписать электронной подписью или подать через Госуслуги.

Форма уведомления

В течение 30 дней Роскомнадзор внесёт вас в реестр операторов персональных данных.

Если вы перестанете хранить персональные данные, об этом тоже нужно будет уведомить Роскомнадзор.

Шаг 3. Для организаций — назначьте ответственных. Решите, кто в компании будет заниматься персональными данными и выпустите приказ. Например, техническим обслуживанием и защитой процесса обработки займётся системный администратор. Доработкой документов, например, если вы добавите в форму новое поле, — юрист. НR-специалист ознакомит всех ответственных с новыми обязанностями и подготовленными документами.

Готово! Как только Роскомнадзор добавит вас в реестр операторов, вы сможете законно собирать, обрабатывать и хранить информацию о клиентах.

Для тех, кто с Эвотором

Покупайте сервисы для товарного учёта, маркировки, ЕГАИС, управления кафе и интеграции с 1С. Они помогут наладить складской учёт, контролировать и анализировать продажи, вести КУДиР, а ещё рассчитывать налоговые платежи и взносы.

На правах рекламы ООО «Эвотор» 2Ranyn3S3Tn

Как собирать данные, чтобы не попасть на штраф

Главное правило: пока клиент не согласится на обработку данных, собирать информацию о нём нельзя (ст. 9 закона 152-ФЗ). Даже если человек сам выложил свой номер телефона или имейл на странице в соцсетях, использовать такие данные без разрешения запрещено (ст. 10.1 закона 152-ФЗ). 

Получить согласие можно в любой форме, но важно, чтобы клиент мог ознакомиться с политикой конфиденциальности до того, как отправит вам свои данные.

Проще всего сразу указать, в каком случае клиент подтверждает согласие на обработку персональных данных.

Если вы собираете персональные данные клиентов на точке, например, когда выдаёте бонусные карты, вам тоже нужно получать разрешения. Распечатайте условия, чтобы клиенты могли поставить подпись и подтвердить согласие.

Собирать можно только те данные, на обработку которых вы получили разрешение. Например, в политике конфиденциальности компании написано, что она собирает только имена, телефоны и имейлы. Если компания попросит клиента указать адрес, должность или паспортные данные, это будет нарушением закона.

Что будет, если нарушить закон

За нарушение закона о персональных данных грозят штрафы (ст. 13.11 КоАП).

За что можно получить штраф:

● Данные собраны и хранятся без согласия пользователей: штрафы для физлиц 6000–10 000 ₽, для должностных лиц — 20 000–40 000 ₽, для организаций — 30 000–150 000 ₽.

● Данные собраны не с той целью, которая была заявлена: штрафы для физлиц 2000–6000 ₽, для должностных лиц — 10 000–20 000, для организаций — 60 000–100 000 ₽.

● Политики обработки данных нет в публичном доступе: штрафы для физлиц 1500–3000 ₽, для должностных лиц — 6000–12 000 ₽, для ИП — 10 000–20 000 ₽, для юрлиц — 30 000–60 000 ₽.

● Клиентам не предоставили информацию о том, какие их данные и как обрабатываются: штраф для физлиц 2000–4000 ₽, для должностных лиц — 8000–12 000 ₽, ИП — 20 000–30 000 ₽, юрлиц — 40 000–80 000 ₽.

● Из-за неправильного хранения данных произошла утечка: штраф для физлиц 1500–3000 ₽, должностных лиц — 8000–20 000 ₽, ИП — 20 000–40 000 ₽, юрлиц — 50 000–100 000 ₽. В 2022 году штрафы планируют повысить и взимать не фиксированную сумму, а процент от оборота компании. В таком случае для крупных компаний с большим годовым оборотом штрафы могут увеличиться в миллионы раз.

● Клиент попросил изменить или удалить его данные, потому что они неточные или получены незаконным путём, а компания этого не сделала (ст. 21 закона 152-ФЗ): штраф для граждан 2000–4000 ₽, для должностных лиц — 8000–20 000 ₽, для ИП 20 000–40 000 ₽, для юрлиц — 50 000–90 000 ₽.

Если вовремя не подать уведомление в Роскомнадзор, тоже будет штраф: для граждан — до 300 ₽, для должностных лиц — до 500 ₽, для юрлиц — до 5000 ₽.

В 2022 году штраф за утечку персональных данных планируют повысить. Размер штрафа будет зависеть от оборота компании. Сколько именно придётся платить, пока неизвестно — вопрос ещё обсуждается. Сначала речь шла о штрафе в размере 1% от годового оборота и 3% — если компания своевременно не сообщила об утечке Роскомнадзору. Но позже Минцифры решило уменьшить штраф и не наказывать за первую утечку

Как Роскомнадзор проверяет хранение персональных данных

Роскомнадзор присваивает всем компаниям уровни риска и в соответствии с уровнем определяет тип и график проверок. 

 

Уровень риска Тип проверки Периодичность проверок
Высокий Инспекционный визит или выездная проверка Раз в два года
Значительный Инспекционный визит или выездная проверка Раз в три года
Средний Инспекционный визит, документарная проверка или выездная проверка Раз в четыре года
Умеренный Документарная проверка или выездная проверка  Раз в шесть лет
Низкий Не проверяют

Оценка риска — сложный параметр. Его рассчитывают, исходя из тяжести и вероятности нарушений. Например, если компания собирает данные клиентов на сайте интернет-магазина и передаёт их на территорию иностранного государства — это самая тяжёлая группа. Если компания к тому же уже нарушала закон о персональных данных в течение последних двух лет, она попадёт в первую группу вероятности. Такой компании присвоят высокий уровень риска, а значит, проверять её будут чаще. 

Низкий риск присвоят, если компания обрабатывает персональные данные небольшого числа людей, до тысячи человек, и раньше не нарушала закон. 

Чтобы сориентироваться, к какой группе риска вас может отнести Роскомнадзор, изучите критерии в самом конце Постановления Правительства «О федеральном государственном контроле (надзоре) за обработкой персональных данных».

План проверок Роскомнадзора

Нюансы

Я храню и обрабатываю cookie-файлы. Я оператор персональных данных?

В законе нет ясного перечня персональных данных, но позиция Роскомнадзора и судов такова, что cookie также относят к персональным данным. Поэтому зарегистрируйтесь в качестве оператора и добавьте на сайт сообщение, в котором спросите согласия пользователей на хранение cookie.

Я собираю геоданные пользователей. Я оператор персональных данных? 

Геоданные относятся к персональным данным, когда они в «связке». Если вы не приписываете к ним имя или номер телефона, закон может обойти вас стороной. Но так как точного определения персональных данных нет, лучше перестраховаться и уточнить у Роскомнадзора, что делать в вашей ситуации.

Сервера с данными находятся за границей. Мне подавать уведомление? Переносить ли данные на российские сервера?

Персональные данные должны храниться на серверах, расположенных на территории России. Подать уведомление в Роскомнадзор тоже нужно. Есть лишь несколько исключений: они касаются международных договоров России, органов власти, научной, творческой или профессиональной деятельности журналиста и СМИ. В остальных случаях базы данных должны храниться в России.

Подытожим

1. Персональные данные — это любая информация о человеке и его деятельности. Чаще всего персональными считают данные в связках: не просто имя, а имя и номер телефона или имя и место работы. Но иногда персональными могут признать и данные без связок, так как чёткого
определения в законе нет.
2. Чтобы собирать и хранить персональные данные, нужно подготовить политику конфиденциальности и другие документы, подать уведомление в Роскомнадзор и назначить ответственных сотрудников.
3. Хранить и использовать персональные данные можно только с согласия клиентов, даже если они сами выложили их в интернет. Нельзя хранить лишнюю информацию — ту, которая не нужна для вашей бизнес-задачи.
4. За нарушение закона о персональных данных грозят штрафы.