Об этом расскажет юрист и предприниматель Руслан Шаймухаметов.
— За нарушение законодательства в сфере персональных данных (ПД) могут оштрафовать на несколько десятков тысяч рублей. Если компании собирают информацию о клиентах, они считаются операторами ПД и должны работать с этими данными по определенным правилам.
Одно из правил — разработать и утвердить документы, которые должны соответствовать закону
Основные правила, о которых нужно знать⤵️
ПД— это любая информация, которая прямо или косвенно относится к определенному человеку и позволяет его идентифицировать (ФИО человека, его паспортные данные, адрес, номера телефонов).
ПД человека собирают, например, когда проводят опросы, оформляют договоры или открывают доступ к сервисам на сайте.
Те, кто собирает данные, считаются операторами ПД, а люди, чьи данные собрали, — субъектами ПД. Оператором может быть кто угодно: физлицо, ИП, организация, государственный орган.
Просто так собирать, хранить или передавать данные третьим лицам нельзя. Сначала нужно подготовить условия, чтобы информация накапливалась в безопасном месте и никуда не утекала. А еще получить у субъекта ПД разрешение на сбор и обработку информации о нем. Без его согласия никакую персональную информацию хранить нельзя.
Чтобы собирать и работать с ПД, оператор должен разработать и ввести в действие пакет документов. Вот базовые⤵️
✅ Политика обработки ПД. В ней пишут, что за организация собирает данные, у кого, для чего, что именно она собирает и что будет делать с этими сведениями. Политику всегда публикуют на сайте оператора.
✅ Положение об обработке и обеспечении безопасности ПД. В нем прописывают практически то же самое, что и в политике. Но положение — внутренний акт оператора, его утверждают приказом руководителя компании или ИП. Публиковать его нигде не нужно.
✅ Модели угроз безопасности. В этом документе пишут, какие есть риски утечки данных и что делает оператор, чтобы их избежать.
✅ Приказ о назначении человека, ответственного за обработку ПД. Им может быть юрист или ИТ-специалист.
✅ Формы согласий на обработку ПД. Эти документы должны подписывать посетители сайта, то есть люди, чьи данные хочет собрать оператор.
В разработке документов участвует тот, кто отвечает за обработку ПД.
После того как документы разработаны и утверждены, нужно уведомить Роскомнадзор о том, что вы будете собирать и обрабатывать ПД, а ведомство занесет вас в реестр операторов.
По ИНН или названию организации можно проверить, законно ли оператор собирает ПД.
Уведомление можно отправить обычной почтой или через сайт Роскомнадзора, если есть усиленная квалифицированная электронная подпись или регистрация на госуслугах.
Если оператора нет в реестре, Роскомнадзор рано или поздно сам его найдет. Ведомство регулярно просматривает сайты, где собирают ПД, выясняет, кому они принадлежат, и отправляет владельцам письма-запросы
На такое письмо нужно ответить в течение 10 дней — отправить в ведомство уведомление о включении в реестр или обоснованный отказ. Если владелец сайта не ответит на запрос Роскомнадзора, его могут оштрафовать:
Физлицо — на 100—300 рублей
ИП — на 300—500 рублей
Организацию — на 3000—5000 рублей.
Еще Роскомнадзор может организовать проверку — и, если обнаружит другие нарушения, суммы будут серьезнее. Например, минимальный штраф для ИП — 10 000 руб., для организации — 30 000 руб. А если хранить данные россиян на зарубежных серверах и игнорировать предупреждения Роскомнадзора, можно получить максимальный штраф — 18 млн рублей.
