Как собирать и хранить персональные данные клиентов, чтобы не попасть на штраф
Законы

Как собирать и хранить персональные данные клиентов, чтобы не попасть на штраф

Если у вас интернет-магазин, блог с комментариями или имейл-рассылка, вы подпадаете под закон о хранении персональных данных. Вам нужно отчитываться перед Роскомнадзором о том, как вы храните данные клиентов или читателей. Если этого не сделать, придётся заплатить штраф.

Что называют персональными данными

Данные — это любая информация о человеке и его деятельности:

— фамилия, имя, отчество;
— дата рождения;
— телефон;
— адрес;
— электронная почта;
— ссылки на социальные сети;
— место работы;
— должность.

Точного определения, что считать персональными данными, нет: ни Роскомнадзор, ни Минкомсвязи не смогли очертить рамки. Мы посмотрели статьи закона, судебную практику и поняли вот что: чаще всего персональные данные — это информация в связке. Например, имя, телефон или электронная почта по отдельности — простая информация. А если взять имя и телефон вместе, эта информация станет персональной:

— Ульяна, 8 (100) 000-00-01;
— Иван, 10.01.1990, визажист;
— Наталья, главный бухгалтер, ООО «Берёзка».

Всё это — информация в связках, её Роскомнадзором точно посчитает персональными данными.

У интернет-магазина есть имейл-рассылка. Покупатели оставляют свои данные — имена и имейлы — и раз в неделю получают письма о скидках и акциях.
Интернет-магазин хранит персональные данные и должен отчитываться перед Роскомнадзором.

Бывают случаи, когда персональными данными признают информацию без связок и без возможности идентифицировать человека. Поэтому, если есть сомнения, храните вы простую информацию о человеке или его персональные данные, лучше спросите у Роскомнадзора.

Что нужно сделать перед тем, как начать собирать персональные данные

Нельзя просто начать собирать телефонные номера, имейлы, имена или даты рождения клиентов. Сначала нужно подготовить необходимые документы, уведомить Роскомнадзор о том, что вы будете хранить персональные данные, и назначить ответственных.

Что нужно сделать:

Шаг 1. Подготовьте документы. В законе нет конкретного перечня необходимых документов. Компании и ИП могут сами решать, как именно оформлять положения и приказы — главное, чтобы этих документов было достаточно для выполнения обязанностей оператора персональных данных (ст. 18 закона 152-ФЗ).

Обычно компании готовят документы:

Политику обработки и защиты персональных данных. Это обязательный документ. Он может называться по-разному: политика конфиденциальности, политика защиты персональных данных или как-то ещё. Главное, чтобы в нём было указано, какие именно данные вы храните, в каких целях их собираете и как обеспечивает конфиденциальность.

Политику нужно разместить в открытом доступе, чтобы клиенты могли её прочитать. Обычно ссылку добавляют в формы регистрации и согласия на обработку данных, а также размещают в подвале сайта.

Как составить документ, читайте в рекомендациях Роскомнадзора. Также вы можете изучить политики других компаний — и на их основе составить свою. Например, политика обработки и защиты персональных данных компании «Эвотор», политика конфиденциальности Ozon, политика обработки персональных данных интернет-магазина Tasty Coffee.

Положение о работе с персональными данными. Это правила, по которым ваши сотрудники будут хранить, обрабатывать и использовать информацию. Правила должны соответствовать закону 152-ФЗ. Документ можно объединить с политикой обработки персональных данных.

Положение о неразглашении персональных данных. Этот документ должны подписать сотрудники. Таким образом все, кто будет иметь доступ к персональным данным, подтвердят, что не станут передавать информацию третьим лицам.

Приказы и инструкции для ответственных сотрудников. В документах указывают, у кого есть доступ к информации, где хранятся данные и как с ними работать.

Соглашение на обработку персональных данных.Это документ для клиентов. Например, соглашение на сайте «Летуаль». Можно не составлять отдельный документ, а условия согласия прописать в политике конфиденциальности. Как получить согласие на обработку данных, мы расскажем ниже.

Также компании используют и другие документы: список документов, которые могут понадобиться. Не обязательно готовить все 34, но чем яснее будут прописаны обязательства и правила работы с персональными данными, тем меньше вопросов возникнет у Роскомнадзора.

Шаг 2. Подайте уведомление в Роскомнадзор. В уведомлении нужно указать сведения о компании и сообщить, зачем вам понадобились персональные данные (ст. 22 закона 152-ФЗ). Подать документ можно тремя способами: распечатать уведомление и отправить в региональное управление Роскомнадзора, заполнить форму на сайте и подписать электронной подписью или подать через Госуслуги.

Форма уведомления

В течение 30 дней Роскомнадзор внесёт вас в реестр операторов персональных данных.

Если вы перестанете хранить персональные данные, об этом тоже нужно будет уведомить Роскомнадзор.

Шаг 3. Для организаций — назначьте ответственных. Решите, кто в компании будет заниматься персональными данными и выпустите приказ. Например, техническим обслуживанием и защитой процесса обработки займётся системный администратор. Доработкой документов, например, если вы добавите в форму новое поле, — юрист. НR-специалист ознакомит всех ответственных с новыми обязанностями и подготовленными документами.

Готово! Как только Роскомнадзор добавит вас в реестр операторов, вы сможете законно собирать, обрабатывать и хранить информацию о клиентах.

Для тех, кто с Эвотором

Покупайте приложения для Эвотора со скидкой 50%. Вас ждут сервисы для товарного учёта, маркировки, ЕГАИС, управления кафе, интеграции с 1С — и много чего ещё.

Узнать об акции

Как собирать данные, чтобы не попасть на штраф

Главное правило: пока клиент не согласится на обработку данных, собирать информацию о нём нельзя (ст. 9 закона 152-ФЗ). Даже если человек сам выложил свой номер телефона или имейл на странице в соцсетях, использовать такие данные без разрешения запрещено (ст. 10.1 закона 152-ФЗ). 

Получить согласие можно в любой форме, но важно, чтобы клиент мог ознакомиться с политикой конфиденциальности до того, как отправит вам свои данные.

Проще всего сразу указать, в каком случае клиент подтверждает согласие на обработку персональных данных.

Как собирать и хранить персональные данные клиентов, чтобы не попасть на штраф, фото 2

Клиент подтверждает согласие на обработку данных, когда подписывается на рассылку. Ничего дополнительно нажимать не нужно

Как собирать и хранить персональные данные клиентов, чтобы не попасть на штраф, фото 3

Клиент соглашается на обработку данных, когда вводит код для регистрации. Источник: rendez-vous.ru

Как собирать и хранить персональные данные клиентов, чтобы не попасть на штраф, фото 4

Здесь пользователю даже не нужно вводить никакие данные. Оставаясь на сайте, он подтверждает, что согласен на обработку данных. Источник: bookvoed.ru

Если вы собираете персональные данные клиентов на точке, например, когда выдаёте бонусные карты, вам тоже нужно получать разрешения. Распечатайте условия, чтобы клиенты могли поставить подпись и подтвердить согласие.

Собирать можно только те данные, на обработку которых вы получили разрешение. Например, в политике конфиденциальности компании написано, что она собирает только имена, телефоны и имейлы. Если компания попросит клиента указать адрес, должность или паспортные данные, это будет нарушением закона.

Что будет, если нарушить закон

За нарушение закона о персональных данных грозят штрафы (ст. 13.11 КоАП).

За что можно получить штраф:

● Данные собраны и хранятся без согласия пользователей: штрафы для физлиц 6000–10 000 ₽, для должностных лиц — 20 000–40 000 ₽, для организаций — 30 000–150 000 ₽.

● Данные собраны не с той целью, которая была заявлена: штрафы для физлиц 2000–6000 ₽, для должностных лиц — 10 000–20 000, для организаций — 60 000–100 000 ₽.

● Политики обработки данных нет в публичном доступе: штрафы для физлиц 1500–3000 ₽, для должностных лиц — 6000–12 000 ₽, для ИП — 10 000–20 000 ₽, для юрлиц — 30 000–60 000 ₽.

● Клиентам не предоставили информацию о том, какие их данные и как обрабатываются: штраф для физлиц 2000–4000 ₽, для должностных лиц — 8000–12 000 ₽, ИП — 20 000–30 000 ₽, юрлиц — 40 000–80 000 ₽.

● Из-за неправильного хранения данных произошла утечка: штраф для физлиц 1500–3000 ₽, должностных лиц — 8000–20 000 ₽, ИП — 20 000–40 000 ₽, юрлиц — 50 000–100 000 ₽. В 2022 году штрафы планируют повысить и взимать не фиксированную сумму, а процент от оборота компании. В таком случае для крупных компаний с большим годовым оборотом штрафы могут увеличиться в миллионы раз.

● Клиент попросил изменить или удалить его данные, потому что они неточные или получены незаконным путём, а компания этого не сделала (ст. 21 закона 152-ФЗ): штраф для граждан 2000–4000 ₽, для должностных лиц — 8000–20 000 ₽, для ИП 20 000–40 000 ₽, для юрлиц — 50 000–90 000 ₽.

Если вовремя не подать уведомление в Роскомнадзор, тоже будет штраф: для граждан — до 300 ₽, для должностных лиц — до 500 ₽, для юрлиц — до 5000 ₽.

В 2022 году штраф за утечку персональных данных планируют повысить. Размер штрафа будет зависеть от оборота компании. Сколько именно придётся платить, пока неизвестно — вопрос ещё обсуждается. Сначала речь шла о штрафе в размере 1% от годового оборота и 3% — если компания своевременно не сообщила об утечке Роскомнадзору. Но позже Минцифры решило уменьшить штраф и не наказывать за первую утечку

Как Роскомнадзор проверяет хранение персональных данных

Роскомнадзор присваивает всем компаниям уровни риска и в соответствии с уровнем определяет тип и график проверок. 

 

Уровень риска Тип проверки Периодичность проверок
Высокий Инспекционный визит или выездная проверка Раз в два года
Значительный Инспекционный визит или выездная проверка Раз в три года
Средний Инспекционный визит, документарная проверка или выездная проверка Раз в четыре года
Умеренный Документарная проверка или выездная проверка  Раз в шесть лет
Низкий Не проверяют

Оценка риска — сложный параметр. Его рассчитывают, исходя из тяжести и вероятности нарушений. Например, если компания собирает данные клиентов на сайте интернет-магазина и передаёт их на территорию иностранного государства — это самая тяжёлая группа. Если компания к тому же уже нарушала закон о персональных данных в течение последних двух лет, она попадёт в первую группу вероятности. Такой компании присвоят высокий уровень риска, а значит, проверять её будут чаще. 

Низкий риск присвоят, если компания обрабатывает персональные данные небольшого числа людей, до тысячи человек, и раньше не нарушала закон. 

Чтобы сориентироваться, к какой группе риска вас может отнести Роскомнадзор, изучите критерии в самом конце Постановления Правительства «О федеральном государственном контроле (надзоре) за обработкой персональных данных».

План проверок Роскомнадзора

Нюансы

Я храню и обрабатываю cookie-файлы. Я оператор персональных данных?

В законе нет ясного перечня персональных данных, но позиция Роскомнадзора и судов такова, что cookie также относят к персональным данным. Поэтому зарегистрируйтесь в качестве оператора и добавьте на сайт сообщение, в котором спросите согласия пользователей на хранение cookie.

Я собираю геоданные пользователей. Я оператор персональных данных? 

Геоданные относятся к персональным данным, когда они в «связке». Если вы не приписываете к ним имя или номер телефона, закон может обойти вас стороной. Но так как точного определения персональных данных нет, лучше перестраховаться и уточнить у Роскомнадзора, что делать в вашей ситуации.

Сервера с данными находятся за границей. Мне подавать уведомление? Переносить ли данные на российские сервера?

Персональные данные должны храниться на серверах, расположенных на территории России. Подать уведомление в Роскомнадзор тоже нужно. Есть лишь несколько исключений: они касаются международных договоров России, органов власти, научной, творческой или профессиональной деятельности журналиста и СМИ. В остальных случаях базы данных должны храниться в России.

Подытожим

1. Персональные данные — это любая информация о человеке и его деятельности. Чаще всего персональными считают данные в связках: не просто имя, а имя и номер телефона или имя и место работы. Но иногда персональными могут признать и данные без связок, так как чёткого
определения в законе нет.
2. Чтобы собирать и хранить персональные данные, нужно подготовить политику конфиденциальности и другие документы, подать уведомление в Роскомнадзор и назначить ответственных сотрудников.
3. Хранить и использовать персональные данные можно только с согласия клиентов, даже если они сами выложили их в интернет. Нельзя хранить лишнюю информацию — ту, которая не нужна для вашей бизнес-задачи.
4. За нарушение закона о персональных данных грозят штрафы.

Опубликовали 15 июня 2022 года

Избежать штрафов