![](https://60s2tqgz2e.a.trbcdn.net/wp-content/uploads/2017/11/IMG_7983-width-1140-1140x556.jpg)
Как собирать и хранить персональные данные клиентов, чтобы не попасть на штраф
Если у вас интернет-магазин, блог с комментариями или имейл-рассылка, вы подпадаете под закон о хранении персональных данных. Вам нужно отчитываться перед Роскомнадзором о том, как вы храните данные клиентов или читателей. Если этого не сделать, придётся заплатить штраф.
Данные — это любая информация о человеке и его деятельности:
— фамилия, имя, отчество;
— дата рождения;
— телефон;
— адрес;
— электронная почта;
— ссылки на социальные сети;
— место работы;
— должность.
Точного определения, что считать персональными данными, нет: ни Роскомнадзор, ни Минкомсвязи не смогли очертить рамки. Мы посмотрели статьи закона, судебную практику и поняли вот что: чаще всего персональные данные — это информация в связке. Например, имя, телефон или электронная почта по отдельности — простая информация. А если взять имя и телефон вместе, эта информация станет персональной:
— Ульяна, 8 (100) 000-00-01;
— Иван, 10.01.1990, визажист;
— Наталья, главный бухгалтер, ООО «Берёзка».
Всё это — информация в связках, её Роскомнадзором точно посчитает персональными данными.
У интернет-магазина есть имейл-рассылка. Покупатели оставляют свои данные — имена и имейлы — и раз в неделю получают письма о скидках и акциях.
Интернет-магазин хранит персональные данные и должен отчитываться перед Роскомнадзором.
Бывают случаи, когда персональными данными признают информацию без связок и без возможности идентифицировать человека. Поэтому, если есть сомнения, храните вы простую информацию о человеке или его персональные данные, лучше спросите у Роскомнадзора.
Что нужно сделать перед тем, как начать собирать персональные данные
Нельзя просто начать собирать телефонные номера, имейлы, имена или даты рождения клиентов. Сначала нужно подготовить необходимые документы, уведомить Роскомнадзор о том, что вы будете хранить персональные данные, и назначить ответственных.
Что нужно сделать:
Шаг 1. Подготовьте документы. В законе нет конкретного перечня необходимых документов. Компании и ИП могут сами решать, как именно оформлять положения и приказы — главное, чтобы этих документов было достаточно для выполнения обязанностей оператора персональных данных (ст. 18 закона 152-ФЗ).
Обычно компании готовят документы:
● Политику обработки и защиты персональных данных. Это обязательный документ. Он может называться по-разному: политика конфиденциальности, политика защиты персональных данных или как-то ещё. Главное, чтобы в нём было указано, какие именно данные вы храните, в каких целях их собираете и как обеспечивает конфиденциальность.
Политику нужно разместить в открытом доступе, чтобы клиенты могли её прочитать. Обычно ссылку добавляют в формы регистрации и согласия на обработку данных, а также размещают в подвале сайта.
Как составить документ, читайте в рекомендациях Роскомнадзора. Также вы можете изучить политики других компаний — и на их основе составить свою. Например, политика обработки и защиты персональных данных компании «Эвотор», политика конфиденциальности Ozon, политика обработки персональных данных интернет-магазина Tasty Coffee.
● Положение о работе с персональными данными. Это правила, по которым ваши сотрудники будут хранить, обрабатывать и использовать информацию. Правила должны соответствовать закону 152-ФЗ. Документ можно объединить с политикой обработки персональных данных.
● Положение о неразглашении персональных данных. Этот документ должны подписать сотрудники. Таким образом все, кто будет иметь доступ к персональным данным, подтвердят, что не станут передавать информацию третьим лицам.
● Приказы и инструкции для ответственных сотрудников. В документах указывают, у кого есть доступ к информации, где хранятся данные и как с ними работать.
● Соглашение на обработку персональных данных.Это документ для клиентов. Например, соглашение на сайте «Летуаль». Можно не составлять отдельный документ, а условия согласия прописать в политике конфиденциальности. Как получить согласие на обработку данных, мы расскажем ниже.
Также компании используют и другие документы: список документов, которые могут понадобиться. Не обязательно готовить все 34, но чем яснее будут прописаны обязательства и правила работы с персональными данными, тем меньше вопросов возникнет у Роскомнадзора.
Шаг 2. Подайте уведомление в Роскомнадзор. В уведомлении нужно указать сведения о компании и сообщить, зачем вам понадобились персональные данные (ст. 22 закона 152-ФЗ). Подать документ можно тремя способами: распечатать уведомление и отправить в региональное управление Роскомнадзора, заполнить форму на сайте и подписать электронной подписью или подать через Госуслуги.
В течение 30 дней Роскомнадзор внесёт вас в реестр операторов персональных данных.
Если вы перестанете хранить персональные данные, об этом тоже нужно будет уведомить Роскомнадзор.
Шаг 3. Для организаций — назначьте ответственных. Решите, кто в компании будет заниматься персональными данными и выпустите приказ. Например, техническим обслуживанием и защитой процесса обработки займётся системный администратор. Доработкой документов, например, если вы добавите в форму новое поле, — юрист. НR-специалист ознакомит всех ответственных с новыми обязанностями и подготовленными документами.
Готово! Как только Роскомнадзор добавит вас в реестр операторов, вы сможете законно собирать, обрабатывать и хранить информацию о клиентах.
Для тех, кто с Эвотором
Покупайте сервисы для товарного учёта, маркировки, ЕГАИС, управления кафе и интеграции с 1С. Они помогут наладить складской учёт, контролировать и анализировать продажи, вести КУДиР, а ещё рассчитывать налоговые платежи и взносы.
На правах рекламы ООО «Эвотор» 2Ranyn3S3Tn
Главное правило: пока клиент не согласится на обработку данных, собирать информацию о нём нельзя (ст. 9 закона 152-ФЗ). Даже если человек сам выложил свой номер телефона или имейл на странице в соцсетях, использовать такие данные без разрешения запрещено (ст. 10.1 закона 152-ФЗ).
Получить согласие можно в любой форме, но важно, чтобы клиент мог ознакомиться с политикой конфиденциальности до того, как отправит вам свои данные.
Проще всего сразу указать, в каком случае клиент подтверждает согласие на обработку персональных данных.
![Как собирать и хранить персональные данные клиентов, чтобы не попасть на штраф, фото 3 Как собирать и хранить персональные данные клиентов, чтобы не попасть на штраф, фото 3](https://60s2tqgz2e.a.trbcdn.net/wp-content/uploads/2022/06/Снимок-экрана-2022-06-22-145405-копия.png)
![Как собирать и хранить персональные данные клиентов, чтобы не попасть на штраф, фото 4 Как собирать и хранить персональные данные клиентов, чтобы не попасть на штраф, фото 4](https://60s2tqgz2e.a.trbcdn.net/wp-content/uploads/2022/06/image3.jpg)
Если вы собираете персональные данные клиентов на точке, например, когда выдаёте бонусные карты, вам тоже нужно получать разрешения. Распечатайте условия, чтобы клиенты могли поставить подпись и подтвердить согласие.
Собирать можно только те данные, на обработку которых вы получили разрешение. Например, в политике конфиденциальности компании написано, что она собирает только имена, телефоны и имейлы. Если компания попросит клиента указать адрес, должность или паспортные данные, это будет нарушением закона.
Что будет, если нарушить закон
За нарушение закона о персональных данных грозят штрафы (ст. 13.11 КоАП).
За что можно получить штраф:
● Данные собраны и хранятся без согласия пользователей: штрафы для физлиц 6000–10 000 ₽, для должностных лиц — 20 000–40 000 ₽, для организаций — 30 000–150 000 ₽.
● Данные собраны не с той целью, которая была заявлена: штрафы для физлиц 2000–6000 ₽, для должностных лиц — 10 000–20 000, для организаций — 60 000–100 000 ₽.
● Политики обработки данных нет в публичном доступе: штрафы для физлиц 1500–3000 ₽, для должностных лиц — 6000–12 000 ₽, для ИП — 10 000–20 000 ₽, для юрлиц — 30 000–60 000 ₽.
● Клиентам не предоставили информацию о том, какие их данные и как обрабатываются: штраф для физлиц 2000–4000 ₽, для должностных лиц — 8000–12 000 ₽, ИП — 20 000–30 000 ₽, юрлиц — 40 000–80 000 ₽.
● Из-за неправильного хранения данных произошла утечка: штраф для физлиц 1500–3000 ₽, должностных лиц — 8000–20 000 ₽, ИП — 20 000–40 000 ₽, юрлиц — 50 000–100 000 ₽. В 2022 году штрафы планируют повысить и взимать не фиксированную сумму, а процент от оборота компании. В таком случае для крупных компаний с большим годовым оборотом штрафы могут увеличиться в миллионы раз.
● Клиент попросил изменить или удалить его данные, потому что они неточные или получены незаконным путём, а компания этого не сделала (ст. 21 закона 152-ФЗ): штраф для граждан 2000–4000 ₽, для должностных лиц — 8000–20 000 ₽, для ИП 20 000–40 000 ₽, для юрлиц — 50 000–90 000 ₽.
Если вовремя не подать уведомление в Роскомнадзор, тоже будет штраф: для граждан — до 300 ₽, для должностных лиц — до 500 ₽, для юрлиц — до 5000 ₽.
В 2022 году штраф за утечку персональных данных планируют повысить. Размер штрафа будет зависеть от оборота компании. Сколько именно придётся платить, пока неизвестно — вопрос ещё обсуждается. Сначала речь шла о штрафе в размере 1% от годового оборота и 3% — если компания своевременно не сообщила об утечке Роскомнадзору. Но позже Минцифры решило уменьшить штраф и не наказывать за первую утечку.
Уровень риска | Тип проверки | Периодичность проверок |
---|---|---|
Высокий | Инспекционный визит или выездная проверка | Раз в два года |
Значительный | Инспекционный визит или выездная проверка | Раз в три года |
Средний | Инспекционный визит, документарная проверка или выездная проверка | Раз в четыре года |
Умеренный | Документарная проверка или выездная проверка | Раз в шесть лет |
Низкий | Не проверяют | — |
Оценка риска — сложный параметр. Его рассчитывают, исходя из тяжести и вероятности нарушений. Например, если компания собирает данные клиентов на сайте интернет-магазина и передаёт их на территорию иностранного государства — это самая тяжёлая группа. Если компания к тому же уже нарушала закон о персональных данных в течение последних двух лет, она попадёт в первую группу вероятности. Такой компании присвоят высокий уровень риска, а значит, проверять её будут чаще.
Низкий риск присвоят, если компания обрабатывает персональные данные небольшого числа людей, до тысячи человек, и раньше не нарушала закон.
Чтобы сориентироваться, к какой группе риска вас может отнести Роскомнадзор, изучите критерии в самом конце Постановления Правительства «О федеральном государственном контроле (надзоре) за обработкой персональных данных».
План проверок Роскомнадзора
Нюансы
Я храню и обрабатываю cookie-файлы. Я оператор персональных данных?
В законе нет ясного перечня персональных данных, но позиция Роскомнадзора и судов такова, что cookie также относят к персональным данным. Поэтому зарегистрируйтесь в качестве оператора и добавьте на сайт сообщение, в котором спросите согласия пользователей на хранение cookie.
Я собираю геоданные пользователей. Я оператор персональных данных?
Геоданные относятся к персональным данным, когда они в «связке». Если вы не приписываете к ним имя или номер телефона, закон может обойти вас стороной. Но так как точного определения персональных данных нет, лучше перестраховаться и уточнить у Роскомнадзора, что делать в вашей ситуации.
Сервера с данными находятся за границей. Мне подавать уведомление? Переносить ли данные на российские сервера?
Персональные данные должны храниться на серверах, расположенных на территории России. Подать уведомление в Роскомнадзор тоже нужно. Есть лишь несколько исключений: они касаются международных договоров России, органов власти, научной, творческой или профессиональной деятельности журналиста и СМИ. В остальных случаях базы данных должны храниться в России.
Подытожим
1. Персональные данные — это любая информация о человеке и его деятельности. Чаще всего персональными считают данные в связках: не просто имя, а имя и номер телефона или имя и место работы. Но иногда персональными могут признать и данные без связок, так как чёткого
определения в законе нет.
2. Чтобы собирать и хранить персональные данные, нужно подготовить политику конфиденциальности и другие документы, подать уведомление в Роскомнадзор и назначить ответственных сотрудников.
3. Хранить и использовать персональные данные можно только с согласия клиентов, даже если они сами выложили их в интернет. Нельзя хранить лишнюю информацию — ту, которая не нужна для вашей бизнес-задачи.
4. За нарушение закона о персональных данных грозят штрафы.
Подписываясь на рассылку, вы соглашаетесь с политикой персональных данных