Физические и юридические лица обязаны знать и соблюдать Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», в котором описаны правила сбора и обработки персональных данных. Если вы нарушаете этот закон, то регулярные проверки Роскомнадзора, жалобы клиентов или конкурентов могут привести к значительным штрафам. 

14 июля 2022 года в ФЗ «О персональных данных» были внесены поправки, которые вступили в силу с 1 сентября 2022 года. Мы подготовили статью с учетом этих поправок.

Какие данные относятся к персональным

Персональные данные (ПД) — это любая информация, по которой можно идентифицировать человека, даже косвенно. В том числе к персональным данным относятся:

  • Ф. И. О.;
  • номер телефона;
  • email;
  • паспортные данные;
  • дата и место рождения;
  • адрес проживания или регистрации;
  • данные о местоположении;
  • фото и видео с участием человека;
  • данные о семейном, социальном и имущественном положении;
  • данные об образовании и профессии;
  • IP-адреса устройств, с которых человек выходит в сеть Интернет;
  • ссылки на его учетные записи.

Cookie-файлы также относятся к персональным данным. Это небольшие текстовые файлы, хранящиеся в браузере. В них содержится информация о посещенных пользователем сайтах: когда, с какого устройства и какие страницы он просматривал, какие данные вводил на сайте. С помощью этих файлов сайты «запоминают» пользователей, чтобы у них не было необходимости каждый раз авторизовываться.

Лицо, собирающее и обрабатывающее данные, называется оператором персональных данных, а человек, которого с помощью этих данных можно прямо или косвенно определить, — субъектом персональных данных.

Как понять, что вам нужно соблюдать ФЗ «О персональных данных»

Если вы напрямую работаете с физическими лицами, и они оставляют вам какие-либо из перечисленных выше данных, то вы являетесь оператором персональных данных и вам нужно собирать согласия на их обработку.

Сбором персональных данных считаются:

  • форма регистрации на сайте; 
  • форма авторизации с помощью аккаунтов в соцсетях;
  • форма заказа обратного звонка;
  • форма обратной связи;
  • форма заказа товара или услуги;
  • форма подписки на рассылку;
  • форма для отзывов;
  • печатная анкета;
  • устный сбор данных — например, при общении по телефону с менеджером или на кассе магазина с продавцом.

Операторы должны получать согласие на обработку персональных данных независимо от того, каким способом их собирают: через сайт, с помощью cookie-файлов или офлайн. Согласия можно собирать в письменном или электронном виде — как вам удобнее.

Действие ФЗ «О персональных данных» не распространяется на деятельность компаний по обработке архивных документов или сведений, относящихся к государственной тайне. Они тоже обрабатывают конфиденциальные данные, но не персональные, и их работа регламентируется другими законами.

Как правильно собирать и обрабатывать персональные данные клиентов

Вот основные правила.

Храните информацию о пользователях только на территории России

Сайт и базы данных, где собираются и хранятся персональные данные, должны располагаться только на российских хостингах и серверах. Пользоваться услугами зарубежных хостинг-провайдеров или конструкторов сайтов можно только в том случае, если у них есть серверы, расположенные на территории России, и ваш сайт располагается на одном из них. Если у провайдера есть серверы в России, а ваш сайт и базы данных расположены на зарубежном, можно попросить перенести их на российский сервер.

Узнать о расположении сервера, на котором находится ваш сайт, можно у хостинг-провайдера — спросите это у вашего менеджера или в техподдержке. Некоторые компании публикуют эту информацию в открытом доступе.

Штраф за возможные нарушения:

  • для физических лиц — от 30 до 100 тыс. руб.;
  • для должностных лиц — от 100 до 800 тыс. руб.;
  • для юридических лиц и индивидуальных предпринимателей — от 1 до 18 млн руб.

Уведомьте Роскомнадзор о том, что планируете собирать персональные данные

Чтобы отправить уведомление, заполните форму на сайте Роскомнадзора. Заполненное уведомление направьте в Роскомнадзор в электронном виде, затем распечатайте и направьте заказным письмом в свое территориальное управление Роскомнадзора. После этого вы попадете в реестр операторов персональных данных. 

Не уведомлять Роскомнадзор можно только в случае, если вы осуществляете неавтоматизированную обработку персональных данных. Например, собираете номера телефонов клиентов только с помощью бумажной анкеты, не сохраняете их в электронные базы, а потом вручную рассылаете им смс или сообщения в мессенджерах.

В уведомлении обязательно укажите:

  • какие действия вы совершаете с персональными данными;
  • какие способы обработки используете;
  • передаете ли данные и куда именно;
  • какие меры принимаете для защиты данных — издаете локальные документы для сотрудников, используете технические средства (пароли, антивирусную защиту, шифрование и др.);
  • осуществляете ли вы трансграничную передачу данных и в какие именно государства;
  • по какому адресу расположены серверы с вашим сайтом и базами данных. 

В будущем, если эта информация изменится, вы будете обязаны уведомить Роскомнадзор об этом в течение 10 дней.

Штрафы за возможные нарушения:

  • для физических лиц — от 100 до 300 руб.;
  • для должностных лиц — от 300 до 500 руб.;
  • для юридических лиц — от 3 до 5 тыс. руб.

Составьте документ «Согласие на обработку персональных данных»

В тексте «Согласия на обработку персональных данных» нужно прописать данные, предусмотренные действующей редакцией ФЗ «О персональных данных», в том числе:

  • типы ПД, которые вы собираете;
  • то, с какой целью вы это делаете;
  • срок, на который предоставляется согласие;
  • какие действия с ПД вы планируете совершать — например, собирать, систематизировать, хранить, обновлять, удалять, передавать третьим лицам;
  • конкретный перечень лиц, которым вы собираетесь передавать ПД, если планируете это делать;
  • способ, которым можно отозвать разрешение на обработку ПД, — например, отписаться от рассылки или заполнить форму на сайте.

Если вы собираете согласия на обработку ПД только на бумаге, то в текст документа «Согласие на обработку персональных данных», который подписывает субъект, нужно добавить паспортные данные самого субъекта персональных данных, его представителя (при наличии) и их подписи.

Несоответствие согласия на обработку ПД требованиям действующего законодательства влечет за собой административную ответственность.

Штрафы за возможные нарушения:

  • для физических лиц — от 6 до 20 тыс. руб.;
  • для должностных лиц — от 20 до 100 тыс. руб.;
  • для индивидуальных предпринимателей — до 300 тыс. руб.;
  • для юридических лиц — от 30 до 500 тыс. руб.

Составьте политику обработки персональных данных или политику конфиденциальности

Политика обработки персональных данных — это отдельный документ, в котором прописаны правила сбора, хранения и обработки данных. По содержанию он похож на текст согласия на обработку персональных данных, но не дублирует его, а раскрывает более полно. Требования к тексту этого документа можно найти в рекомендациях Роскомнадзора. 

Для соблюдения требований в документе нужно указать цели сбора и обработки ПД, а для каждой из целей прописать:

  • категории и перечень ПД, которые вы собираете с этой целью;
  • способы и сроки хранения и обработки ПД;
  • порядок их уничтожения и регламенты реагирования на запросы субъектов ПД.

Ссылку на политику обработки данных необходимо разместить на каждой странице сайта, на которой вы собираете ПД.

Штрафы за возможные нарушения:

  • для физических лиц — от 1,5 до 3 тыс. руб.;
  • для должностных лиц — от 6 до 12 тыс. руб.;
  • для индивидуальных предпринимателей — от 10 до 20 тыс. руб.;
  • для юридических лиц — от 30 до 60 тыс. руб.

Попросите пользователей подтвердить, что они согласны с вашими условиями обработки данных

Сначала потребуется ознакомить пользователя с текстами обоих документов: «Согласия на обработку ПД» и «Политики обработки ПД». Сделать это можно несколькими способами:

  • разместить ссылку на документ на сайте или в приложении;
  • прислать ее в электронном письме или смс;
  • предоставить распечатанный текст документа.

Затем нужно, чтобы пользователь подтвердил, что он согласен с условиями обработки данных. Собирать согласия на обработку ПД можно несколькими способами:

  • с помощью печатной анкеты, в которой есть пункт о согласии на обработку ПД, — клиент должен поставить в анкете подпись;
  • в виде файла, заверенного электронной цифровой подписью;
  • c помощью формы для сбора данных на сайте или в приложении;
  • с помощью двойного подтверждения (Double Opt-In).

Со сбором согласий с помощью подписей проблем обычно не возникает. Про два других способа расскажем подробнее.

Форма для сбора данных. В форму для сбора данных нужно добавить текст «Отправляя форму, вы соглашаетесь на обработку персональных данных» или поле для простановки галочки с подписью «Я согласен на обработку персональных данных».

Важный момент: галочка в такой форме не должна быть проставлена заранее. Клиент должен сам проставить ее, чтобы выразить свое согласие в явной форме. Если галочка в форме есть по умолчанию, клиент может не заметить ее, из-за невнимательности разрешить вам собирать данные, а потом пожаловаться на вашу компанию.

Двойное подтверждение. Двойное подтверждение необходимо, если клиент оставляет свои ПД не только для регистрации на сайте или в приложении, но и для последующего получения email- или смс-рассылки. Получить подтверждение в этом случае можно несколькими способами:

  • отправить на email или в смс ссылку, по которой нужно перейти;
  • отправить на email или в смс код, который нужно ввести на сайте или в приложении;
  • позвонить на телефон пользователя — в этом случае кодом будут последние цифры номера, с которого осуществляется звонок.

Также с помощью двойного подтверждения можно получить согласие офлайн. Порядок действий в этом случае будет таким же, только покупатель не вводит код на сайте или в приложении, а говорит продавцу на кассе, который и вводит код в систему.

В соответствии с поправками к ФЗ «О персональных данных» от 1 сентября 2022 года согласие должно быть однозначным, то есть субъект ПД должен ясно выразить его. Бездействие пользователя, например, отсутствие активности в течение какого-то времени, не может считаться его согласием на обработку ПД. Допустим, если пользователь подписался на рассылку, получил письмо со ссылкой для подтверждения подписки на рассылку, но проигнорировал его, вы не имеете права отправлять ему новые письма, пока он не подтвердит подписку.

Сохраняйте согласия, полученные от пользователей

Сохраняйте полученные вами согласия на обработку персональных данных в течение всего времени, пока используете их, и три года после. Хранить согласия необходимо на случай проверки Роскомнадзора или обращения клиента с жалобой.

Если собираете согласия на обработку ПД через сайт, они сохраняются в логах — технических файлах, где фиксируются действия клиента на сайте. При необходимости эти файлы можно выгрузить.

Отдельно запросите согласие на сбор cookies

Если ваш сайт собирает cookie-файлы, добавьте на него всплывающую плашку, которая предупреждает об этом или запрашивает разрешение на сбор этих данных.

Во втором случае согласием пользователя на сбор cookies считается то, что он продолжает пользоваться сайтом.

Отдельного штрафа за то, что вы не предупредили о сборе cookies, в российском законодательстве нет. Но вас могут привлечь к ответственности за то, что вы используете эти данные без согласия субъектов.

Отдельная плашка с предупреждением о сборе cookies нужна по регламенту Евросоюза о защите персональных данных — GDPR. Если ваш сайт посещают пользователи из стран Евросоюза, вы должны подчиняться и этому регламенту тоже.

Собирайте только те данные, которые вам нужны

По закону нельзя собирать и обрабатывать ПД, которые не нужны для реализации ваших целей. Когда цель, с которой вы собирали ПД, будет достигнута, их нужно будет уничтожить. 

Например, вы должны доставить клиенту товар, и для этого вам нужны его почтовый адрес и телефон для связи. В этом случае вы не имеете права запрашивать у клиента паспортные данные, т. к. они не нужны для доставки. А адрес и телефон вы должны удалить из базы, когда товар будет доставлен, если заключенный с клиентом договор не предполагает повторных заказов.

Штрафы за возможные нарушения:

  • для физических лиц — от 2 до 12 тыс. руб.;
  • для должностных лиц — от 10 до 50 тыс. руб.;
  • для индивидуальных предпринимателей — до 100 тыс. руб.;
  • для юридических лиц — от 60 до 300 тыс. руб.

Назначьте ответственного за обработку данных

Ответственным может быть как физическое лицо, так и другая компания, с которой заключается договор. Задачи ответственного:

  • отслеживать изменения правового регулирования работы с персональными данными;
  • обновлять политику конфиденциальности, согласие на обработку данных и другие документы в соответствии с требованиями законодательства;
  • информировать об обновлениях и давать инструкции по работе с данными всем сотрудникам, которые за это отвечают;
  • реагировать на обращения и запросы субъектов ПД — например, на просьбу уточнить, какие данные есть у оператора, или требование прекратить их обработку.

Срок реагирования на запросы субъектов ПД — до 10 рабочих дней, но можно продлить его до 15 рабочих дней.

Штрафы за возможные нарушения:

  • для физических лиц — от 2 до 30 тыс. руб.;
  • для должностных лиц — от 8 до 50 тыс. руб.;
  • для индивидуальных предпринимателей — от 20 до 100 тыс. руб.; 
  • для юридических лиц — от 40 до 500 тыс. руб.

Примите меры по техническому обеспечению безопасности персональных данных

Это можно сделать самостоятельно или привлечь компанию-подрядчика. Для выполнения такой работы у компании должна быть лицензия Федеральной службы по техническому и экспортному контролю (ФСТЭК) на деятельность по технической защите конфиденциальной информации.

Между вами и обработчиком ПД должен быть заключен договор-поручение, в котором нужно указать:

  • перечень обрабатываемых ПД, цели обработки и операции, которые будут совершаться с данными;
  • обязанности обработчика;
  • требования к защите ПД.

Технические средства защиты информации, которые применяете вы или обработчик, должны пройти сертификацию ФСТЭК. К таким средствам относятся: программные комплексы защиты информации, системы защиты информации от несанкционированного доступа, системы виброакустической и акустической защиты, устройства защиты телефонных линий и др. Полный список — в Государственном реестре сертифицированных средств защиты информации на сайте ФСТЭК.

Оператор персональных данных должен выстроить взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). 

В случае утечки ПД оператор обязан в течение 24 часов уведомить Роскомнадзор, в течение 72 часов расследовать инцидент и сообщить в Роскомнадзор о результатах расследования.

Штраф за возможные нарушения:

  • для физических лиц — от 1,5 до 4 тыс. руб.;
  • для должностных лиц — от 8 до 20 тыс. руб.;
  • для индивидуальных предпринимателей — от 20 до 40 тыс. руб.; 
  • для юридических лиц — от 50 до 100 тыс. руб.

Резюме

К персональным данным относятся любые данные клиента, по которым можно его идентифицировать. Если вы собираете эти данные, вы являетесь оператором персональных данных и обязаны соблюдать Федеральный закон «О персональных данных». Вы должны:

  • уведомить Роскомнадзор о том, что собираете ПД;
  • разместить сайт и базы данных на российском хостинге и серверах;
  • запрашивать у клиента согласие на сбор данных о нем, добавить на сайт тексты согласия на обработку персональных данных и политики обработки данных;
  • запрашивать согласие на сбор cookies;
  • назначить ответственного за обработку данных;
  • своевременно реагировать на запросы субъектов ПД;
  • принять меры по техническому обеспечению безопасности персональных данных самостоятельно или с помощью компании-подрядчика.

За нарушение требований Федерального закона «О персональных данных» оператор будет нести ответственность. Только точное следование закону защитит вас от штрафа. Размер штрафа зависит от конкретного нарушения.