Считать, что дело в паспортных данных, — очень распространенное заблуждение российского бизнеса. В законе говорится о любой информации, относящейся «к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)»: адрес проживания и регистрации, место работы и занимаемые ранее должности, сведения о семейном положении, квалификации, интересах, судимости, номере телефона, адресе электронной почты, ИНН и СНИЛС. К персональным данным относятся сведения о браузере, посещенных страницах и cookie — это подтверждает судебное дело МГТС.
Многие операторы данных полагают, что закон распространяется только на работу их сайта или основную информационную систему (к примеру — CRM). Но Роскомнадзор может проверить все информационные системы компании.
Другая распространенная ошибка: учитывать требования закона только по основным аспектам взаимодействия с клиентами — непосредственному обслуживанию и продаже услуг, в то время как персональные данные используются при рассылке, промо-акциях, ретаргетинге.
По статистике Роскомнадзора, согласие на обработку персональных данных часто не соответствует требованиям закона: оно бессрочное и без четкого указания целей работы с данными (о формулировках вроде «во всех необходимых целях» забудьте), не упомянуты третьи лица, обрабатывающих персональные данные.
Еще одно «популярное» нарушение — утвержденная приказом политика компании относительно обработки персональных данных не представлена в открытом доступе — в офисах, на сайте и в мобильном приложении, — если на этих площадках ведется сбор данных (например, через форму обратной связи, заказ товаров или запрос на услугу).
В законодательство регулярно вносятся изменения, да и в самой компании многое меняется. Если компания не обновляет документацию в уведомлении (например, ответственным числится давно уволенный сотрудник), Роскомнадзор может нагрянуть с проверкой.
Опыт других стран
Законы, регулирующие персональные данные, есть во всех цивилизованных странах мира. В США, например, с 1996 года действует закон HIPAA (Health Insurance Portability and Accountability Act), регулирующий работу с и устанавливающий требования по защите медицинских данных пациентов. Штрафы за его нарушение — от $100 до $1,5 млн.
В странах Евросоюза с мая 2018 года вступает в силу новый регулирующий документ по защите персональных данных — General Data Protection Regulation (GDPR). В нем определено два уровня штрафов, — в зависимости от характера, частоты и от того, кем (оператором или обработчиком данных) допущено нарушение. ,. Максимальный штраф составит 4% мирового годового оборота организации, но не менее 20 млн евро (но не менее), минимальный — 2% мирового годового оборота или 10 млн евро.