В начале июля в силу вступила поправка к статье 13.11 КоАП. Раньше хранение персональных данных контролировала прокуратура, и штрафы за нарушения выписывала мизерные — до 10 000₽ для организаций. Закон был, но мало кто его соблюдал; дешевле было заплатить штраф.
Поправка изменила ситуацию — соблюдение закона теперь контролирует Роскомнадзор, штрафы подняли до 300 000₽. Роскомнадзор обещает проводить проверки чаще и тщательнее.
Что называют персональными данными
Данные — это любая информация о человеке и его деятельности:
— фамилия, имя, отчество;
— дата рождения;
— телефон;
— адрес;
— электронная почта;
— ссылки на социальные сети;
— место работы;
— должность.
Точного определения, что считать «Персональными данными», нет: ни Роскомнадзор, ни Минкомсвязи не смогли очертить рамки. Мы посмотрели статьи закона, судебную практику и поняли вот что: персональные данные — это информация «в связках». Например, имя, телефон или электронная почта по отдельности — простая информация. А если взять имя и телефон вместе, эта информация станет персональной:
— Ульяна, 8 (100) 000-00-01;
— Иван, 10.01.1990, визажист;
— Главный бухгалтер, ООО «Берёзка».
Всё это — информация в связках, ее Роскомнадзор посчитает персональными данными.
Бывают случаи, когда персональными данными признают информацию без связок и без возможности идентифицировать человека. Поэтому, если есть сомнения, храните вы простую информацию о человеке или его персональные данные, лучше спросите у Роскомнадзора.
Саша ведет блог. Чтобы постоянные читатели не пропускали новые статьи, она добавила подписку: читатели вводят имя и имейл в форму и раз в неделю получают письма со статьями.
Саша хранит персональные данные читателей и должна отчитаться перед Роскомнадзором. Но этого можно избежать — достаточно убрать поле имени из формы.
Под действие закона не попадает информация, которую человек добровольно выложил в открытый доступ — она не считается персональной. Например, имена и телефоны из «желтых страниц», данные из социальных сетей. Исключением стал ресурс «Вконтакте»: Роскомнадзор запретил собирать и обрабатывать персональные данные со страниц этой социальной сети.
Колл-центр «Сильвер Телеком» ищет в социальных сетях информацию о потенциальных клиентах и собирает в базу. Сотрудники обзванивают людей по контактам из базы, рекламируют услуги и товары.
Это персональные данные — колл-центр обязан отчитаться перед Роскомнадзором. Чтобы этого избежать, ему нужно пользоваться всеми соцсетями, кроме Вконтакта.
Данные, которые используют для выполнения договора, считаются персональными. Чтобы не отчитываться перед Роскомнадзором, их нужно удалять сразу, как только закончили работы.персональными. Но, чтобы не попасть под закон, вам придется удалять их сразу, как только работы закончены.
ИП Роман Ромашков оформляет цветами офисы и витрины. Его заказчики в договоре указывают имя, должность и контакты. Телефон и почту из договора Роман использует, чтобы рассылать клиентам рекламу.
Роман использует данные для выполнения договора, но хранит их и после, поэтому должен отчитаться перед Роскомнадзором. Чтобы не попасть под закон, Роману придется удалять данные клиентов, как только выполнил заказ.
Закон запрещает собирать и хранить лишние персональные данные. Например: лавка хот-догов собирает телефоны и имена покупателей, чтобы разослать приглашения на вечеринку. Если кроме телефонов и имен они начнут собирать информацию о месте работы или должности каждого покупателя, то им грозит штраф.
Что делать
Если храните персональные данные, у вас два варианта: либо уклониться от закона, либо подготовиться к нему.
Чтобы уклониться, достаточно убрать с сайта форму с данными или оставить в ней только одно поле: имейл, если у вас рассылка; телефон, если вы собираете заявки. Тогда Роскомнадзор вас не тронет.
Владелец этого сайта не должен отчитываться перед Роскомнадзором
Чтобы подготовиться к закону, вам нужно пройти 5 шагов:
- Подайте в Роскомнадзор заявление на регистрацию оператора персональных данных. Его нужно отправить и в электронном, и в письменном виде. Ничего сложного: заполните форму на сайте Роскомнадзора и получите заявление. Электронную версию отправит сайт, а бумажную вы распечатаете, заполните и отправите почтой в ближайшее отделение Роскомнадзора.
- Подготовьте 34 документа и сохраните — когда придет проверка, покажите эти документы сотрудникам Роскомнадзора. Чтобы быстрее подготовить документы, мы использовали сервис Контура — там всё показывают и объясняют. Заполните поля, а в конце скачайте все документы.
- Предупредите пользователей, что вы собираете их данные. Поставьте на сайте ссылку на соглашение и политику конфиденциальности. Разместите ссылку, где хотите: в подвале, в шапке или на первом шаге регистрации. Главное, чтобы клиент мог прочитать документы до того, как отправит вам свои данные.
Владельцы
Один чекбокс поможет избежать штрафов - Для организаций — назначьте ответственных. Отдельный пункт для организаций — выбрать ответственных. Техническим обслуживанием и защитой процесса обработки займется системный администратор. Доработкой документов, например, если вы добавите в форму новое поле, займется юрист. HR-специалист ознакомит всех ответственных с новыми обязанностями и подготовленными документами.
А что если не сделаю
Каждый месяц Роскомнадзор проверяет сайты нескольких организаций. Если на сайте нашли нарушения, владельцу грозит штраф.
Роскомнадзор проводит проверки по плану, но иногда от него отступает. Например, если на вас пожаловались клиенты или конкуренты. Сотрудники Роскомнадзора придут и проверят заявление, 34 документа, уведомления на сайте и форму согласия.
Если что-то не так, вам придется заплатить штраф:
— 5 000₽ для физических лиц;
— 25 000₽ для сотрудников организации, если они не выполнили свои обязанности;
— 100 000₽ для ИП;
— 300 000₽ для юридических лиц.
Штрафы суммируются. Например, если вы ИП и двое ваших сотрудников не выполнили свои обязанности, общий штраф может быть 55 000₽.
Нюансы
Сервера с данными находятся за границей. Мне подавать уведомление? Переносить ли данные на российские сервера?
Составить соглашение и политику, подать уведомление — обязательно. А насчет переноса данных на российские сервера универсального ответа нет. Узнайте в разделе «Разъяснения» у Минкомсвязи. Не нашли ответа там — спросите у Роскомнадзора.
Я храню и обрабатываю cookie-файлы. Я оператор?
Роскомнадзор не давал пояснений относительно cookie. Некоторые владельцы сайтов перестраховались — добавили pop-up сообщение, где спрашивают согласия пользователей на хранение cookie. Как и в предыдущем пункте — спросите у Роскомнадзора, они подскажут, что делать в вашем случае.
Я собираю геоданные пользователей. Я оператор?
Геоданные относятся к персональным данным только в одном случае — когда они будут в «связке». Не приписывайте к ним имя или номер телефона, и закон обойдет вас стороной.
Персональные данные — это любая информация о человеке и его деятельности, собранная в «связки».
Не попадают под закон данные из открытого доступа и те, которые используют для выполнения договора.
Нельзя хранить лишнюю информацию — ту, которая не нужна для вашей бизнес-задачи.
Чтобы уклониться от закона, не собирайте данные клиентов или оставьте в форме только одно поле.
Чтобы подготовиться к закону, напишите заявление в Роскомнадзор, соберите 34 документа, добавьте на сайт предупреждение и чекбокс с подтверждением.