Скоро год, как вступили в силу изменения в российском законодательстве об ответственности юридических лиц за сбор и передачу персональных данных (далее по тексту – ПД). И здесь бизнесу лучше знать все правила, соблюдения которых требует государство.

Так, после изменений в ФЗ №152 и ФЗ №242, размеры штрафов для операторов ПД могут достигать 75 тысяч рублей. Появились и другие карательные меры: если веб-ресурс собирает ПД и не предупреждает об этом граждан, его могут просто заблокировать. Также запрещено собирать и хранить ПД не на территории РФ. Однако сегодня большинство компаний формируют клиентскую базу и собирают ПД людей. Вы одни из них? Тогда эта статья для вас.

Так что же нужно сделать, чтобы избежать штрафов?

Персональной является любая информация о физическом лице (субъекте ПД): фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия и т.д. А значит то, что пользователь указывает на вашем сайте при регистрации или заполнении формы, попадает под действие ФЗ № 152. Поэтому:

- Разместите галочку с надписью «Я согласен с обработкой и передачей персональных данных и Политикой конфиденциальности» в каждой электронной форме, посредством которой вы собираете персональные данные. Таким образом, вы получаете официальное согласие человека и становитесь чисты перед законом. Правда, нужно помнить, что человек может передумать, и он вправе потребовать свое согласие обратно. Для этого он может написать письмо на электронную почту, указанную в вашей Политике конфиденциальности с просьбой удалить его персональные данные. И организация обязана это сделать, сохранив акт о ликвидации этих данных. Разумеется, в реальности очень немногие люди знают о том, что у них есть такое право, но нужно быть готовым ко всему;

- Пропишите Политику конфиденциальности и Политику обработки персональных данных. Располагаться они должны на вашем сайте в свободном доступе, чтобы любой желающий мог с ними ознакомиться. Кстати, аналогичный текст нужно распечатать в бумажном виде и разместить на видном месте в офисе – это тоже требование законодательства;

- Вместо согласия на обработку и передачу ПД можно использовать единую публичную оферту. В ней нужно указать всё согласно ч.4 ст.9 152-ФЗ: какие данные, в каких целях обрабатываются. Учитывайте, что в этом случае вам нужно будет хранить логи сайта, чтобы при проверке вы могли доказать Роскомнадзору, что тот или иной пользователь действительно заходил на сайт и оставлял там свои персональные данные.

- До начала обработки сведений оповестите Роскомнадзор о том, что вы являетесь оператором ПД. Для этого на сайте Роскомнадзора оставьте электронную заявку, а затем продублируйте ее в письменном виде и отправьте Почтой России. В заявке также укажите адреса местонахождения баз ПД и перечень информации, которая в них содержится.

При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не требуется (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Например, при сборе данных, включающих в себя только фамилии, имена и отчества;

- Составьте приказ, в котором будет определен ответственный за обработку и передачу ПД. Это может быть как генеральный директор, так и лицо либо группа лиц, которые будут за это отвечать. Важно помнить, что у всех граждан, которые оформлены в вашей организации и занимаются обработкой данных клиентов (собирают телефоны, ФИО, адреса и пр.), в трудовых договорах обязательно должны быть прописаны функции и обязанности, связанные с обработкой ПД;

- Ведите учет всех полученных ПД и обеспечивайте их сохранность. Например, если вы получаете данные онлайн, то ваше устройство должно быть оборудовано лицензионным ПО, должны быть установлены антивирусные программы, система по шифрованию данных и т.д. Также эти устройства должны быть защищены паролями. Проверяющие органы уже давно фиксируют нарушения этих правил и выписывают штрафы – не стоит думать, что все это работает только на бумаге. Кстати, одно важное уточнение: если вы передаете данные заграницу (например, в головную компанию в другом государстве), вы также должны уведомить об этом Роскомнадзор. При этом хранить данные вы все равно обязаны в России;

- Персональные данные клиентов и даже ваших сотрудников помимо электронных носителей (серверов) должны храниться в сейфах в бумажном виде. Также важно помнить, что если компьютеры персонала имеют интеграцию со сторонними ресурсами (CRM-системы, виджеты, банковские сервисы), и данные проходят через них, эти ресурсы обязательно должны быть зарегистрированы в РФ. Если нет, то это будет считаться нарушением.

Соответственно, любые хостинги (в том числе и ваши собственные), с которыми вы работаете, должны действовать на территории РФ. Поэтому узнайте у вашего хостинг-провайдера, где физически находится ваш сайт и сервисные системы и, в случае, если они расположены не на территории РФ, переносите их на другой хостинг.

Остались вопросы? Пишите нам на почту blog@1mbank.ru, и мы обязательно ответим!

Ваш Первомайский 24/7 для бизнеса.