Как не угробить свой бизнес из-за закона о персональных данных

С 1 июля увеличатся штрафы за нарушение закона «О персональных данных» и ускорится процедура привлечения к ответственности: Роскомнадзор сможет передавать дела в суд и блокировать сайты минуя прокуратуру. Как не повторить судьбу LinkedIn и не нарваться на штрафы? Рассказываем.

Кого это касается?

Под действие Федерального закона №152-ФЗ «О персональных данных» и изменений к нему подпадают все, кто собирает, обрабатывает и хранит сведения о гражданах, — независимо от источника, будь то найм или поиск работников, выдача пропусков, промоакции…

По информации Роскомнадзора, более 40% жалоб физических лиц поступает на банки, кредитные организации, МФО и коллекторские агентства. Турфирмам, интернет-сервисам, ретейлерам, активно применяющим почтовые рассылки, промо-акции, BTL, программы лояльности, нужно готовиться к проверкам Роскомнадзора.

Если ваш сайт или информационные системы с персональными данными «хостятся» полностью или частично за пределами РФ, Роскомнадзор их заблокирует.

Что делать?

Уточните, кто, от кого и зачем получает персональные данные в вашей компании, как обрабатывает и куда передает. Такие данные обычно гражданах аккумулируются у юристов, бухгалтеров, безопасников, айтишников, кадровиков, логистов, маркетологов и редакторов сайта.

Определите, в каких системах (1C, CRM, сайт) обрабатываются данные. Эта информация нужна при разработке модели угроз безопасности и технических требований по защите персональных данных.

Назначьте ответственных за обработку и защиту персональных данных (юристы, кадровики, айтишники и безопасники). Их задача — «причесать» ваши документы под требования закона и готовиться к проверке.

Составьте внутренние документы с правилами обработки и защиты персональных данных в вашей компании — приказы, положения, инструкции, регламенты, политика конфиденциальности, акты, перечни… Документы должны отражать специфику вашей работы с данными — поэтому их лучше составить самостоятельно, а не «надергать» из интернета (перечень документов, требуемых Роскомнадзором, обычно выглядит так). Обычно такую работу делают юристы и кадровики, но им может не хватить знаний, — подключите айтишников и безопасников или обратитесь к консультантам.

Получите согласие на обработку персональных данных у своих сотрудников и всех физических лиц, с которыми вы взаимодействуете.

Если вы поручаете обработку персональных данных сторонней компании — подпишите с ней соответствующее соглашение.

Ознакомьте всех своих сотрудников под подпись с внутренними документами о персональных данных.

Подайте в Роскомнадзор уведомление об обработке персональных данных — онлайн-форму можно заполнить на сайте ведомства.

Внедрите систему технической защиты персональных данных..

Отслеживайте изменения законодательства по защите персональных данных и, в случае необходимости, обновляйте внутреннюю документацию.

Что грозит нарушителям?

Штрафы. Для должностных лиц — до 20 000 рублей, для юридических лиц — до 75 000 рублей за одно нарушение законодательства о персональных данных.

Блокировка сайта. По решению суда его включат в Реестр нарушителей прав субъектов персональных данных и закроют к нему доступ пользователей.

Приостановка обработки персональных данных и их удаление по требованию Роскомнадзора, если сведения о физических лицах были собраны незаконно. Если обработка персональных данных — ключевой процесс для компании, то ее работа фактически остановится.

«Популярные» ошибки

Считать, что дело в паспортных данных, — очень распространенное заблуждение российского бизнеса. В законе говорится о любой информации, относящейся «к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)»: адрес проживания и регистрации, место работы и занимаемые ранее должности, сведения о семейном положении, квалификации, интересах, судимости, номере телефона, адресе электронной почты, ИНН и СНИЛС. К персональным данным относятся сведения о браузере, посещенных страницах и cookie — это подтверждает судебное дело МГТС.

Многие операторы данных полагают, что закон распространяется только на работу их сайта или основную информационную систему (к примеру — CRM). Но Роскомнадзор может проверить все информационные системы компании.

Другая распространенная ошибка: учитывать требования закона только по основным аспектам взаимодействия с клиентами — непосредственному обслуживанию и продаже услуг, в то время как персональные данные используются при рассылке, промо-акциях, ретаргетинге.

По статистике Роскомнадзора, согласие на обработку персональных данных часто не соответствует требованиям закона: оно бессрочное и без четкого указания целей работы с данными (о формулировках вроде «во всех необходимых целях» забудьте), не упомянуты третьи лица, обрабатывающих персональные данные.

Еще одно «популярное» нарушение — утвержденная приказом политика компании относительно обработки персональных данных не представлена в открытом доступе — в офисах, на сайте и в мобильном приложении, — если на этих площадках ведется сбор данных (например, через форму обратной связи, заказ товаров или запрос на услугу).

В законодательство регулярно вносятся изменения, да и в самой компании многое меняется. Если компания не обновляет документацию в уведомлении (например, ответственным числится давно уволенный сотрудник), Роскомнадзор может нагрянуть с проверкой.

Опыт других стран

Законы, регулирующие персональные данные, есть во всех цивилизованных странах мира. В США, например, с 1996 года действует закон HIPAA (Health Insurance Portability and Accountability Act), регулирующий работу с и устанавливающий требования по защите медицинских данных пациентов. Штрафы за его нарушение — от $100 до $1,5 млн.

В странах Евросоюза с мая 2018 года вступает в силу новый регулирующий документ по защите персональных данных — General Data Protection Regulation (GDPR). В нем определено два уровня штрафов, — в зависимости от характера, частоты и от того, кем (оператором или обработчиком данных) допущено нарушение. ,. Максимальный штраф составит 4% мирового годового оборота организации, но не менее 20 млн евро (но не менее), минимальный — 2% мирового годового оборота или 10 млн евро.