Персона нон грата: как не получить срок за хранение персональных данных
Несмотря на то, что федеральному закону № 152-ФЗ «О персональных данных» уже более 10 лет, бизнес заговорил о нем лишь полтора года назад – в связи с ужесточением правил сбора, обработки и хранения персональных данных. Изменения эти скорее являются переходными – мировая практика регулирования вопроса о персональных данных давно вышла за рамки обычной «галочки» на форме обратной связи и продолжает совершенствоваться. Так, в апреле 2016 года Европейским парламентом был одобрен Общий регламент по защите данных (General Data Protection Regulation; GDPR), который начинает действовать на территории Европейского союза с 25 мая 2018 года.
Как международный акт повлияет на жизнь отечественных предпринимателей в будущем, мы еще поговорим, а сейчас подробнее рассмотрим требования законодательства Российской Федерации, которые актуальны уже сейчас.
С чего все началось
С 1 июля 2017 года в силу вступили поправки к федеральному закону № 152-ФЗ «О персональных данных». Если раньше в случае его нарушения максимальная сумма штрафа не превышала 10 000 рублей, то сейчас она заметно подросла – до 300 000 рублей. Ответственность предусмотрена сразу двенадцатью статьями, три из которых – уголовный кодекс. А к мерам наказания добавилось лишение свободы – до 4 лет.
Упростилась и сама процедура – Роскомнадзор наделили полномочиями выписывать протоколы самостоятельно. Без вмешательства органов прокуратуры. Что, совершенно очевидно, гораздо ускоряет процесс.
Почему это касается вас
В соответствии с тем же 152-ФЗ, персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
В законе нет перечня таких данных, что дает возможность для достаточно широкой трактовки этого определения, оставаясь в рамках логики – если по данным можно каким-либо образом идентифицировать человека, то они являются персональным.
Таким образом, к персональным данным можно отнести следующее:
- фамилия, имя, отчество
- дата и место рождения
- адрес регистрации и/или проживания
- семейное положение
- уровень доходов
- информация о месте работы и профессиональной деятельности
- сведения об образовании
- номер телефона
- электронная почта
- IP-адрес
- cookie
- ссылка на социальные сети или персональный сайт
- сведения о поведении на сайте и т.д.
Если компания ведет сбор, обработку, хранение, анализ такой информации, то она является оператором персональных данных, и ее деятельность подлежит проверке. Под действие закона не подпадает информация, которая обрабатывается для личных нужд. Записную книжку с номерами телефонов родственников проверять не будут.
Когда они придут
Роскомнадзор проводит плановые проверки одного предприятия не чаще одного раза в три года. То есть, если два года назад бизнес уже проверяли, то в обозримом будущем инспектора ждать не стоит.
Но на основании обращения могут приехать вне этого графика. Например, если кто-то напишет жалобу на спам или назойливые звонки. В этом случае органы надзора уведомят за 24 часа до начала проверки.
Следуя букве закона
В принципе нет ничего фундаментально неправильного в форме сбора информации на сайте. Более сложный вопрос – какие именно данные собираются с помощью этой формы. Как раз из-за расплывчатой формулировки понятия персональных данных, никто не может гарантировать, что предпринимателя не оштрафуют за виджет на сайте, в котором спрашивается о предыдущем месте отпуска. Поэтому под формой сбора информации необходимо фиксировать согласие пользователей на обработку их данных. Например, это может быть текст: «Нажимая на кнопку, вы даете согласие на обработку ваших персональных данных». Роскомнадзор уточнил трактовку статьи 13.11 Кодекса административных правонарушений Российской Федерации, согласно которой штраф может быть возложен за каждое выявленное нарушение, а не за сам факт нарушения. То есть за каждую форму без согласия на обработку данных будет выписан отдельный штраф.
Важно, чтобы в тексте была ссылка на пользовательское соглашение или на согласие на обработку персональной информации.
Если на сайте установлена Яндекс.Метрика или Google Analytics и данные пользователей собираются в автоматическом режиме, необходимо установить советующий дисклеймер, предупреждающий об обработке и передаче данных в системы аналитики. В противном случае нарушителю грозит штраф до 50 000 рублей.
Политика обработки персональных данных должна во-первых – быть, во-вторых – соответствовать рекомендациям Роскомнадзора, в-третьих – находиться в открытом доступе. На этом не стоит экономить – документ составляется для конкретной компании с учетом сферы деятельности и корпоративных нужд. Особое внимание следует уделить разделам «Цели обработки персональных данных» и «Перечень обрабатываемых данных». По закону бизнес имеет право собирать только ту информацию, которая необходима для его деятельности. В противном случае – это нарушение, которое является поводом для штрафа. Поэтому стоит проверить все формы сбора информации. Не исключено, что без некоторых можно обойтись.
Для надежности можно заверить веб-страницы у нотариуса.
Компания должна определить сотрудника, который будет следить за выполнением законодательства в сфере персональных данных. Расширять штат необязательно, в небольших компаниях эту функцию может взять на себя кадровик, юрист или бухгалтер. Назначение необходимо утвердить официально. Одновременно должны быть разграничены права доступа к персональным данным. Например, в нашей виртуальной АТС есть встроенная система ролей, с помощью которой можно дать сотрудникам доступ только к той информации, которая необходима для их работы, профиль можно настроить более, чем по 150 параметрам конфиденциальности. Иными словами, если сотрудникам для работы не требуется информация по всей телефонной базе клиентов, то доступ к ней или к ее части будет запрещен.
Пора заявить о себе
Операторы баз данных должны уведомить Роскомнадзор о своей деятельности. Если бизнес не сделал это, не значит, что о нем не знают. Поэтому лучше начать составлять документ прямо сейчас.
Уведомление оформляется в двух видах – в электронном и печатном. Электронная форма заполняется на сайте Роскомнадзора. Стоит обратить внимание на графу «Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ». Если компания пользуется виртуальной телефонией или CRM-системами, она должна вписать туда местонахождение их баз данных. Но тут есть свои сложности. Есть отдельная статья о трансграничной передаче данных, форма уведомления дает выбрать любую страну миру, но по закону хранить данные можно только на российских серверах. Хостинги MANGO OFFICE отвечают требованиям законодательства, все серверы находятся на территории Российской Федерации, у пользователей при подаче уведомлений проблемы не возникали. Но если возникли сомнения касательно местонахождения баз данных хостера, лучше направить официальный запрос в Минкомсвязь.
После отправки электронного уведомления, нужно распечатать форму и отправить ее по почте в управление Роскомнадзора субъекта Федерации, где зарегистрирован бизнес. Органы надзора рассмотрят его в течение 30 дней и добавят компанию в реестр операторов.
Вместо заключения
Великие законы за день не пишутся. К примеру, работа по подготовке проекта «Гражданское уложение Российской империи» (аналог нынешнего гражданского кодекса) шла в течение десятков лет, а итогом стал 12-томный документ объемом около 6 000 страниц, который включал в себя исчерпывающие ответы по основным вопросам гражданских отношений. Но это так, занимательный факт для размышления.
«MANGO OFFICE» не является юридической компанией. Материал несет информационный характер