Правильная обработка персональных данных — дело хлопотное и многоаспектное. Несоблюдение требований по использованию подобных сведений ведет к многомиллионным штрафам. Расскажем о том, как бизнесу защититься от такого рода проблем.
Для начала: что это такое персональные данные
Персональные данные — это сведения, используя которые, можно идентифицировать человека. В юридической литературе их разделяют на несколько групп:
- Первая — обычные. Сюда входит: ФИО, когда родился, где живет, семейное положение, какое у него образование, получаемые доходы и так далее;
- Вторая — принадлежность расовая и национальная, убеждения, жизненная позиция, информация о судимости, состоянии здоровья и так далее;
- Третья — все, что относится к биометрии;
- Четвертая — иные.
Номер телефона гражданина и его электронная почта, кстати, тоже входят в перечень персональных данных.
Что грозит за неправильное управление персональными данными?
Уполномоченный орган — Роскомнадзор — может привлечь виновного (юрлицо) к административной ответственности, назначив ему серьезный штраф: например, до 15 млн рублей заплатят те, у которых произошла утечка собранных небиометрических персональных данных. При повторном факте подобного рода — размер суммы вырастает в разы: она будет отсчитываться в зависимости от годовой выручки (1-3%), но при этом по минимуму нарушитель заплатит 20 млн рублей, а максимум — полмиллиарда. Размер штрафа зависит от того, сколько персональных данных утекло.
Отметим, что для физлиц, как, впрочем, и для должностных лиц, штрафы поменьше:
- за обработку сведений без согласия пользователя, например, граждане заплатят от 10 до 15 тысяч рублей, должностные лица — от 100 до 300 (для сравнения: юрлицо — от 300 до 700);
- при повторном нарушении — санкция вырастает почти в два раза. При этом для граждан она составит от 15 до 30 тысяч, для должностных лиц предусмотрена оплата от 300 до 500 тысяч, ИП — от 500 тысяч до миллиона (юрлицо: от 1 до 1,5 млн рублей).
Подробные размеры возможных финансовых взысканий указаны в статье 13.11 КоАП РФ.
Как защититься от таких финансовых потрясений?
Необходимо соблюсти ряд условий.
1. Опубликовать на сайте — официально разработанную «Политику обработки персональных данных». В ней обязательно укажите: какие цели сбора сведений преследуете; каковы правовые основания для обработки; что обрабатываете (интересен — объем и категория материалов); каким образом происходит обработка, актуализация, исправление, удаление или уничтожение сведений.
Далее — также необходимо Согласие на обработку персональных данных. Этот документ включает следующие обязательные пункты:
- собственно — сведения о субъекте, идентифицирующие его (при необходимости — представителя);
- наименование того, кто будет обрабатывать данные;
- какие цели он преследует;
- что обрабатывается;
- кому передаются эти данные;
- что делают с полученными персональными данными;
- какие способы обработки сведений используются;
- какие максимальные сроки согласия на обработку, когда можно отозвать его.
Чек-бокс согласия должен быть не автоматическим: по идее, зашедший на сайт пользователь, знакомится с материалами, касающимися обработки персональных данных, внимательно читает их, а потом проставляет «профильную галочку».
2. Политика и согласие пользователя на обработку персональных данных должны соответствовать действующим положениям законодательства. Роскомнадзор внимательно отслеживает, не нарушает ли ваш документ нормы актуальных актов.
Еще один момент, на который акцентирует внимание госорган, — использование сервисов статистики. Если на вашем ресурсе установлена кнопочка «Яндекс. Метрики», то об этом следует сказать (также как и о форматах ее применения) — в упомянутых выше материалах.
3. Если вы на своем сайте собираете и обрабатываете персональные данные, то обязательно должны уведомить об этом Роскомнадзор, попав в специальный Реестр.
4. Согласие на обработку персональных данных требуется получить не только от вашего потенциального клиента, но и от сотрудника компании. Это происходит в следующих случаях: если вам необходимы сведения:
- о его семье,
- для оформления, например, полиса дополнительного медицинского страхования или зарплатной карты,
- для получения данных с его бывшего места работы,
- для конструирования доверенности, пропусков;
- для размещения сведений о сотруднике на сайте и так далее.
Для составления трудового договора, выполнения предусмотренных законом требований, исполнения судебного акта — оформленного согласия не требуется.
5. Разработайте корректные локальные документы. Обратите внимание также на Положение о порядке хранения и защиты персональных данных. Места, где будут находиться персональные данные, утверждаются внутренним приказом. Защита персональных данных должна соответствовать базовым техническим и правовым требованиям, действующим в РФ.
Если вы передаете персональные данные другим компаниям для обработки, хранения или иных операций, — то в этом случае обязательно информируете о процессе заинтересованного субъекта. Это правило не распространяется на те случаи, когда передача производится для госорганов.
Еще парочка важных вопросов
Роскомнадзор информирует о проверке вашего сайта заранее?
Нет. Специалисты ведомства могут проанализировать портал в любое удобное для себя время. Обнаружат нарушение — направят официальное письмо. Устранять недостатки предстоит быстро и капитально.
Что еще обязательно надо учитывать?
Надо помнить о требовании по локализации баз данных, содержащих сведения о гражданах РФ, на территории страны. Это означает, что посторонних скриптов, которые могут собирать информацию о клиентах, на сайт лучше не ставить. Не выдержали эти правила? Получите штраф в размере от 1 до 6 млн рублей. Как утверждают некоторые эксперты, к началу сентября специалисты РКН из-за несоблюдения этих положений законодательства — наложили финансовые санкции на 20 фирм. Сумма штрафов оценивается в 130 млн рублей.
Cookie-файлы — об этом тоже сообщаем пользователям?
Cookie-файлы позволяют «запоминать» пользователя на портале. Они очень удобны: вам не требуется авторизироваться на сайте при каждом посещении ресурса, меняя под себя настройки. Формат обработки cookie — также регламентируется законодательством: зашедшего на ваш сайт — необходимо уведомить о том, что подобные технические файлы присутствуют и собирают соответствующую информацию.
Бессрочная обработка персональных данных — законна?
Нет. Характеристика «бессрочности» не соответствует требованиям ФЗ № 152. Сроки — должны быть определены четко. Если законодательство по поводу сроков сохраняет молчание, то рекомендуется установить срок исковой давности (3 года). Некоторые фирмы в качестве условия прекращения обработки указывают, что она длится до достижения определенной цели или до момента, когда согласие будет отозвано. Такие формулировки не противоречат требованиям.
Когда срок обработки вышел, то что следует сделать?
Данные — уничтожаются. Факт документируется Актом, к которому прикладывается документальное доказательство, подтверждающее, что подобных записей, например, на вашем сайте — уже нет. Акт хранится в течение трех лет.