Обработка персональных данных — что это такое и кому грозит штраф
Персональные данные — имена, адреса, номера телефонов и фотографии — собирают практически все, от кадровиков до консультантов интернет-магазинов. Правила сбора, хранения и использования полученной информации определяются федеральным законом номер 152. За исполнением его требований следит Роскомнадзор. Если замечает нарушения — штрафует. Максимальный размер штрафа — 75 тысяч для организации и 20 тысяч для ИП. Однако штрафы за разные нарушения суммируются, итоговая сумма может быть гораздо больше.
Чек-лист, что делать, чтобы не оштрафовали
За что штрафуют
Закон не дает подробного списка «персональных данных». Предполагается, что это любая информация, позволяющая идентифицировать конкретного человека. По одному только номеру телефона это сделать невозможно. Связка «номер плюс имя» уже указывают на кого-то конкретного. И если в форме обратной связи на сайте нужно заполнять поля «Напишите телефон», «Напишите имя», — это уже сбор персональных данных.
Те, кто собирает такую информацию, становятся «операторами персональных данных». Закон накладывает на них определенную ответственность. Но в то же время и защищает. Клиент интернет-магазина может потребовать компенсацию морального вреда, если считает, что с его данным обращались как-то не так. Но если все было по закону, суд будет на стороне магазина.
Требования к «операторам»
1. Человек должен дать письменное согласие на обработку его данных. Согласие нужно требовать и подтверждать по каждому случаю. Для этого внизу бумажной анкеты и в различных формах на сайте ставят пустое окошко для галочки.
«Письменное согласие — первое, на что смотрит Роскомнадзор при проверках. И это тот случай, когда поговорка «Молчание — знак согласия» не работает. Классический пример: человек оформляет покупку в интернет-магазине. Естественно, нужна доставка. Значит, необходимо указать имя и адрес получателя. Это уже персональные данные и просто так интернет-магазин их получать не имеет права. Хорошо, владелец просит программиста на странице оформления заказа разместить дополнительное поле «Согласен на обработку моих персональных данных». Вроде бы все правильно. Но, если возможно завершить оформление заказа, не поставим галочку в этом поле, — это уже повод для штрафа. И за каждое такое нарушение штрафуют отдельно. Пять клиентов не поставили галочки — пять штрафов выпишет Роскомнадзор».
2. «Оператор» должен объяснить, для каких целей ему персональные данные. Запрещается собирать информацию, не соответствующую этим целям. Если для входа на закрытую территорию нужен временный пропуск, у посетителя просят документ, подтверждающий личность. Водительских прав или разворота паспорта с фотографией для этого достаточно. Если охранник захочет вписать в журнал еще и адрес прописки — это веская причина для жалобы. Штраф за такое усердие — до 50 тысяч рублей.
Объяснения, зачем указывать сведения о себе, нужно давать не Роскомнадзору, а непосредственно пользователю. Например, покупателю в интернет-магазине. Для этого рядом с окошком «Согласен на обработку данных» указывают ссылку на страницу, где всё подробно расписано.
Вот как это делают на сайте «Леруа Мерлен»
На этой странице нужно написать, какую информацию собирает «оператор» и для чего.
3. Собранные данные нужно охранять. Бумаги держать в сейфах и шкафах с замками. Информацию в цифровом виде — в базах данных, доступных только сотрудникам компании или проверенным исполнителям на аутсорсе. Еще одно требование закона — размещать базы данных нужно на российских серверах.
Штраф за утечку — от 25 до 50 тысяч рублей.
4. Собранные персональные данные нужны для конкретного дела. Заключения трудового договора, оформления доставки, подписки на рассылку. Если пользователь считает это дело уже завершенным или оно ему больше неинтересно, он может потребовать удалить свои данные. И «оператор» обязан подчиниться. Иначе штраф до 45 тысяч.
5. Часто Роскомнадзор не штрафует сразу после проверки, а выписывает предписание или требует пояснений о замеченных нарушениях. Если игнорировать эти требования, выпишут штраф и за это. От трех до шести тысяч рублей.
Как только организация начинает собирать персональные данные, она обязана уведомить об этом Роскомнадзор. Делается это письмом на сайте. В некоторых случаях это можно не делать. Полный список исключений указан во второй части 22-й статьи федерального закона №152. Если коротко: не обязательно уведомлять Роскомнадзор тем, кто спрашивает у клиента только фамилию и имя, берет информацию из открытых источников, использует полученные данные только для обслуживания того человека, кому они принадлежат.
Чек-лист, что делать, чтобы не оштрафовали
Разместите поле письменного согласия на обработку во всех формах на сайте и на всех бумажных бланках, где ваши клиенты или сотрудники указывают персональные данные. Достаточно просто окошка для галочки, но без этой отметки документ нужно считать не заполненным.
Сделайте и опубликуйте подробное описание, какие данные вы собираете и для каких целей. Поставьте ссылку на это описание во всех формах, где просите указать личные данные.
Проверьте, не просите ли вы указывать слишком много подробностей. Если найдётся лишнее, исключите эти пункты.
Позаботьтесь о сохранности данных, электронных и бумажных. Проинструктируйте сотрудников. Электронную информацию перенесите на российские сервера.
Зарегистрируйтесь как «оператор персональных данных», если не попадаете под исключение. Если попадаете — пропишите это исключение в документе, описывающем, как вы собираете данные. Например, укажите, что имя, адрес и номер телефона клиента нужны для обслуживания его заказа, то есть для «исполнения договора с субъектом персональных данных», и третьим лицам вы эти данные передавать не собираетесь.
