Если собрать у клиентов персональные данные и неправильно их хранить или обрабатывать, реально получить штраф до 15 миллионов рублей. Рассмотрим все требования закона № 152-ФЗ, чтобы избежать финансовых потерь и защитить данные клиентов и сотрудников.

С чего все началось

С 1 июля 2017 года в силу вступили поправки к федеральному закону № 152-ФЗ «О персональных данных». А 23 января 2024 года принят законопроект об усилении ответственности за утечку персональных данных. Если раньше в случае нарушения максимальная сумма штрафа не превышала 10 000 рублей, то сейчас она заметно подросла — до 15 миллионов рублей. К мерам наказания добавилось лишение свободы — до 10 лет.

Упростилась и сама процедура — Роскомнадзор наделили полномочиями выписывать протоколы самостоятельно. Без вмешательства органов прокуратуры. Что, совершенно очевидно, заметно ускоряет процесс.

Что такое персональные данные и что к ним относят

В соответствии с 152-ФЗ, персональные данные (ПДн) — это любая информация, которая относится прямо или косвенно к физическому лицу (субъекту персональных данных).

В законе нет точного перечня, что дает возможность для достаточно широкой трактовки этого определения, оставаясь в рамках логики — если по данным можно каким-либо образом идентифицировать человека, то они — персональные.

К персональным данным можно отнести следующее:

• фамилия, имя, отчество
• дата и место рождения
• адрес регистрации и/или проживания
• семейное положение
• уровень доходов
• информация о месте работы и профессиональной деятельности
• сведения об образовании
• номер телефона
• электронная почта
• IP-адрес
• cookie
• ссылка на социальные сети или персональный сайт
• сведения о поведении на сайте и т.д.

Если компания ведет сбор, обработку, хранение, анализ такой информации, то она является оператором персональных данных, и ее деятельность подлежит проверке. Под действие закона не подпадает информация, которая обрабатывается для личных нужд. Записную книжку с номерами телефонов родственников проверять не будут.

Типы персональных данных

Пока в законе также нет перечня с категориями ПДн, но исходя из особенностей можно выделить следующие их группы:

Общедоступные

Это данные, которые опубликованы в свободном доступе, например, в социальных сетях. Ранее понятие «общедоступные персональные данные» означало, что доступ к ним предоставлен неограниченному кругу лиц. Но с 1 марта 2021 года, даже если пользователь сам о себе рассказал на своей странице — это не считается автоматически общедоступными данными. То есть, если человек указал свой телефон в соцсетях, стоматология не имеет права ему звонить и рекламировать клинику.

Обычные

Этот тип данных включает в себя любую информацию о физическом лице, которая не попадает под категории общедоступных, специальных или биометрических. К этой группе можно отнести: полное имя, место жительства, уровень образования. Например, работодатель собирает такую информацию, когда сотрудник устраивается на работу.

Специальные

Эти данные о расовой или этнической принадлежности, политических взглядах, религиозных убеждениях, состоянии здоровья, судимостях и тому подобное.

Присвоение особого статуса этим категориям связано с риском серьезных негативных последствий, если информация будет распространена или несанкционированно использована. Это может привести к дискриминации по различным признакам.

Биометрические

Биометрические данные — это информация, которая получена с помощью биометрических технологий, таких как отпечатки пальцев, сканирование сетчатки глаза, распознавание лиц, так в эту группу входит геномная информация. Операторы используют их для установления личности субъекта. К примеру, при входе в некоторые офисы есть система распознавания лиц, и эти данные — биометрические.

Иные

К этому типу относятся данные, которые не попадают ни в одну из вышеупомянутых категорий, но все равно требующие защиты. Примеры: геолокация и история браузера.

Принципы обработки личной информации

Чтобы работа с ПДн была законной, нужно следовать правилам из статьи 5 № 152-ФЗ:

Данные собирают и обрабатывают только с конкретной целью. Например, для того чтобы выдать заказ, магазин запрашивает имя и адрес доставки, но не имеет права узнавать сведения об образовании.

Не разрешено смешивать данные для разных целей. Например, если пациент зубной клиники оставил личную информацию для медицинской карты, эти сведения нельзя использовать для рассылки рекламы.

Данные должны быть точными и актуальными. Если изменился телефон, его нужно обновить, чтобы избежать ошибок.

Данные хранятся столько времени, сколько нужно для достижения цели. Например, после выдачи заказа магазин должен уничтожить или обезличить информацию.

Способы и условия обработки данных

Роскомнадзор выделяет два метода работы с ПДн:

1. Автоматизированный способ работает с помощью техники, баз данных и компьютерных систем. Например: пользователь заполняет карточку пациента на сайте стоматологии.
2. Неавтоматизированный метод использует человеческий труд, например, посетитель подошел в регистратуру поликлиники и заполняет информацию о себе вручную.

Обработка персональных данных проводится различными способами: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование и уничтожение. Рассмотрим условия, как это делать законно:

• Оператор обязан получить разрешение на обработку персональных данных в электронном или письменном виде. Например, посетитель сайта должен поставить галочку, что дает согласие.
• Оператор несет ответственность за конфиденциальность ПДн, даже если ее выполняет другой человек или компания. Передавать данные третьим лицам разрешено только, если это указано в законе или договоре. Например, компания может передать сведения о сотрудниках своей бухгалтерии для расчета зарплаты.
• Запрещено разглашать данные без законных оснований. Например, в судебном процессе личная информация может передаваться только сторонам дела.

Когда Роскомнадзор может проверить

Роскомнадзор проводит плановые проверки одного предприятия не чаще одного раза в два года. То есть, если год назад бизнес уже проверяли, то в обозримом будущем инспектора ждать не стоит. Но на основании обращения могут приехать вне этого графика. Например, если кто-то напишет жалобу на спам или назойливые звонки. В этом случае органы надзора уведомят за 24 часа до начала проверки.

Что делать, чтобы не попасть под штрафы

В форме сбора информации на сайте нет ничего фундаментально неправильного. Более сложный вопрос — какие именно данные собираются с помощью этой формы. Как раз из-за расплывчатой формулировки понятия персональных данных, никто не может гарантировать, что предпринимателя не оштрафуют за виджет на сайте, в котором спрашивается о предыдущем месте отпуска. Поэтому под формой сбора информации необходимо фиксировать согласие пользователей. Например, добавить текст: «Нажимая на кнопку, вы даете согласие на обработку персональных данных».

Важно, чтобы в тексте была ссылка на пользовательское соглашение или на согласие на обработку ПДн. Если на сайте установлена Яндекс.Метрика или Google Analytics и данные пользователей собираются в автоматическом режиме, необходимо установить соответствующий дисклеймер, предупреждающий об обработке и передаче данных в системы аналитики. В противном случае нарушителю грозит штраф.

Политика работы с персональными данными должна соответствовать рекомендациям Роскомнадзора и находиться в открытом доступе. На этом не стоит экономить — документ составляется для конкретной компании с учетом сферы деятельности и корпоративных нужд. Особое внимание следует уделить разделам «Цели обработки персональных данных» и «Перечень обрабатываемых данных». По закону бизнес имеет право собирать только ту информацию, которая необходима для его деятельности. В противном случае — это нарушение, которое становится поводом для штрафа. Поэтому стоит проверить все формы сбора информации. Не исключено, что без некоторых можно обойтись.

Роскомнадзор уточнил трактовку статьи 13.11 Кодекса административных правонарушений Российской Федерации, согласно которой штраф может быть возложен за каждое выявленное нарушение, а не за сам факт нарушения. То есть за каждую форму без согласия на обработку персональных данных будет выписан отдельный штраф.

Компания должна определить сотрудника, который будет следить за выполнением законодательства в сфере персональных данных. Расширять штат необязательно, в небольших компаниях эту функцию может взять на себя кадровик, юрист или бухгалтер. Назначение необходимо утвердить официально. Одновременно должны быть разграничены права доступа к ПДн. Например, в нашей виртуальной АТС есть встроенная система ролей, с помощью которой можно дать сотрудникам доступ только к той информации, которая необходима для их работы, профиль можно настроить более, чем по 150 параметрам конфиденциальности. Иными словами, если сотрудникам для работы не требуется информация по всей телефонной базе клиентов, то доступ к ней или к ее части будет запрещен.

Уведомление Роскомнадзора об обработке личной информации

Компании должны уведомлять Роскомнадзор о начале обработки персональных данных. Формы уведомлений утверждены приказом Роскомнадзора от 28.10.2022 № 180.

Есть три способа отправлять уведомление в Роскомнадзор:

• в бумажном виде;
• электронно с усиленной квалифицированной электронной подписью на сайте Роскомнадзора;
• электронно через ЕСИА (Госуслуги).

Точный срок, когда нужно уведомить Роскомнадзор, пока не утвержден, но затягивать не стоит, потому что может прийти проверка.

 После подачи заявления органы надзора рассмотрят его в течение 30 дней и добавят компанию в реестр операторов.

Стоит обратить внимание на графу «Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ». Если компания пользуется виртуальной телефонией или CRM-системами, она должна вписать туда местонахождение их баз данных. Но тут есть свои сложности. Есть отдельная статья о трансграничной передаче данных, форма уведомления дает выбрать любую страну мира, но по закону хранить данные можно только на российских серверах. Хостинги MANGO OFFICE отвечают требованиям законодательства, все серверы находятся на территории Российской Федерации, у пользователей при подаче уведомлений проблемы не возникали. Но если возникли сомнения касательно местонахождения баз данных хостера, лучше направить официальный запрос в Минкомсвязь.

Запрет на обработку информации

Запретить работать с ПДн могут в двух случаях:

Нарушение законодательства. Организациям могут предписать прекратить работать с ПДн. Например, если компания серьезно нарушает правила по защите данных, ей запретят собирать и использовать персональные данные клиентов, а без этого сложно проводить рекламные кампании.

Отзыв согласия от пользователя. Человек может в любой момент забрать свое согласие на обработку ПДн. В этом случае оператор обязан удалить все сведения о нем и в будущем не собирать и не хранить эту информацию.