Как начинающему бизнесу работать с персональными данными?

Законодательство в сфере персональных данных действительно строгое, за его нарушение могут оштрафовать на несколько десятков и даже сотен тысяч рублей. Если компании и предприниматели собирают информацию о клиентах, они считаются операторами персональных данных и должны работать с этими данными по определенным правилам.

Одно из правил — разработать и утвердить как минимум четыре документа, которые должны соответствовать закону и зачастую содержать технические сведения. Разработка каждого документа — кропотливая работа, и, скорее всего, обойтись без помощи юристов или специалистов в сфере информационной безопасности не получится.

Расскажу основные правила, о которых нужно знать.

Персональные данные — это любая информация, которая прямо или косвенно относится к определенному человеку и позволяет его идентифицировать.

Проблема в том, что в законе нет точного списка, что считать персональными данными. Некоторые суды полагают, что ими могут быть ФИО человека, его паспортные данные, адрес, номера телефонов. При этом сами по себе ФИО, адрес и номер телефона могут не быть персональными данными: ФИО могут повторяться, по адресу могут регистрироваться разные люди, номер телефона может перейти к другому абоненту, если расторгнут договор на оказание абонентских услуг.

Персональные данные человека собирают, например, когда проводят опросы, оформляют договоры или открывают доступ к сервисам на сайте.

Те, кто собирает данные, считаются операторами персональных данных, а люди, чьи данные собрали, — субъектами персданных. Оператором может быть кто угодно: физлицо, ИП, организация, государственный орган.

Просто так собирать, хранить или передавать данные третьим лицам нельзя. Сначала нужно подготовить условия, чтобы информация накапливалась в безопасном месте и никуда не утекала. А еще получить у субъекта персональных данных разрешение на сбор и обработку информации о нем. Без его согласия никакую персональную информацию хранить нельзя, иначе оператора привлекут к ответственности.

Все свои действия — что будут собирать и как будут работать с данными — операторы описывают в документах.

Чтобы собирать и работать с персональными данными, оператор должен разработать и ввести в действие довольно большой пакет документов. Вот только базовые:

1. Политика обработки персональных данных. В ней пишут, что за организация собирает данные, у кого, для чего, что именно она собирает и что будет делать с этими сведениями. Политику всегда публикуют на сайте оператора.
2. Положение об обработке и обеспечении безопасности персональных данных. В нем прописывают практически то же самое, что и в политике. Но положение — внутренний акт оператора, его утверждают приказом руководителя компании или ИП. Публиковать его нигде не нужно.
3. Модели угроз безопасности. В этом документе пишут, какие есть риски утечки данных и что делает оператор, чтобы их избежать. В законе о персональных данных не сказано, что модели угроз нужно прописывать в локальном акте, но я рекомендую это сделать. Одна из мер обеспечения безопасности персональных данных — определение угрозы. Как это делать, пояснила ФСТЭК в своих методических рекомендациях. Чтобы показать контролирующим органам, что вы учли рекомендации и проработали модели угроз безопасности, лучше оформить все документально.
4. Приказ о назначении человека, ответственного за обработку персональных данных. Им может быть юрист или ИТ-специалист.
5. Формы согласий на обработку персональных данных. Эти документы должны подписывать посетители сайта, то есть люди, чьи данные хочет собрать оператор.

В разработке документов участвует тот, кто отвечает за обработку персональных данных. Это необязательно должен быть сотрудник компании — к обработке данных можно привлекать и приглашенных специалистов.

После того как вы разработаете и утвердите все документы, нужно уведомить контролирующий орган о том, что вы будете собирать и обрабатывать персональные данные. За тем, как бизнес исполняет закон об обработке персональных данных, следит Роскомнадзор. Операторы отправляют ему уведомления, а ведомство заносит их в реестр операторов.

Есть ситуации, когда компания или физлицо работает с персональными данными, но уведомлять об этом Роскомнадзор не нужно. Вот несколько примеров:

• работодатель собирает, изменяет, обезличивает, удаляет и не передает третьим лицам персональные данные своих работников. Например, собирает СНИЛС, ИНН и паспортные данные, чтобы платить за сотрудников взносы;
• персональные данные нужны для гражданско-правового договора, их не распространяют и не передают третьим лицам. Например, клиент нанимает фотографа для съемки и в договоре оказания услуг пишет свои ФИО и паспортные данные. Так как после съемки фотограф не будет нигде хранить эти данные и не планирует, допустим, отправлять клиенту рекламу, становиться оператором ему не нужно;
• компания публикует некоторые персональные данные с разрешения человека. К примеру, выкладывает на своем сайте фотографии работников, указывает их должности, ФИО и сведения об образовании;
• персональные данные нужны, чтобы выдать разовый пропуск на территорию;
• компания или физлицо собирает данные на бумаге, без средств автоматизации. Например, проводит на улице анонимный опрос о вреде курения.

Вы хотите ежедневно обрабатывать персональные данные пользователей интернет-магазина: ФИО, номера телефонов, адреса доставки посылки и технические данные вроде IP-адресов, сведений об используемом браузере и cookies. Вся эта информация относится к конкретному человеку, прямо и косвенно, и позволяет его идентифицировать. Об этом нужно уведомить Роскомнадзор.

Просто собирать информацию о клиентах в системе — даже сертифицированной и защищенной — не получится. Вам придется зарегистрироваться в качестве оператора персональных данных, а для этого нужно разработать документацию и отправить уведомление в Роскомнадзор.

Уведомление подает тот, кто отвечает за обработку персональных данных. Его можно отправить обычной почтой или через сайт Роскомнадзора, если есть усиленная квалифицированная электронная подпись или регистрация на госуслугах.

В уведомлении нужно подробно описать:

1. Кто будет собирать информацию и какую именно: имена, адреса, технические данные, номера телефонов.
2. Для чего и каким образом собираются персональные данные. Например, «для организации деловых поездок» и «с помощью средств автоматизации». Средства автоматизации — это, к примеру, корпоративный компьютер или программы бухучета. В законе это называется средствами вычислительной техники.
3. Где будете хранить персональные данные.
4. Какие меры принимаете, чтобы их обезопасить. Например, вы назначили ответственного за обработку данных, разработали политику и модели угроз безопасности, обучили людей, которые будут работать с персональными данными.

Необходимых мер по закону больше — все не перечислить. Чтобы их соблюсти и ничего не нарушить, как раз и понадобятся юристы или специалисты в сфере ИТ и информационной безопасности.

В уведомлении нужно указать полный адрес с почтовым индексом места, где расположены серверы компаний, на которых хранятся базы персональных данных. Роскомнадзор зарегистрирует уведомление и внесет оператора в реестр в течение 15 дней. Платить за это не нужно.

После того как вы разработаете документацию, я рекомендую перепроверить несколько вещей перед тем, как уведомлять Роскомнадзор. Ведомство требует максимально актуальную информацию, поэтому лучше перестраховаться.

Просмотрите и обновите списки. Вот они:

1. Список персональных данных, которые вы обрабатываете.
2. Перечень субъектов, с чьими данными вы работаете.
3. Перечень третьих лиц. Третьи лица для оператора — это компании, которым вы поручаете обработку персданных, или компании, с которыми вместе обрабатываете данные для общих целей. Например, фирмы, которые предоставляют вам какие-либо услуги на аутсорсинге. Подавать список третьих лиц в Роскомнадзор не нужно, но при проверке ведомство может про него спросить.

Проверьте информационные системы по обработке данных. Сервисы, которые собирают и хранят данные ваших клиентов, должны быть оснащены средствами защиты информации — СЗИ. Это может быть антивирусная программа или электронный замок.

СЗИ должны быть сертифицированы Федеральной службой по техническому и экспортному контролю России. Если Роскомнадзор придет с проверкой, он будет запрашивать сертификат на СЗИ.

Если оператора нет в реестре, Роскомнадзор рано или поздно сам его найдет. Ведомство регулярно просматривает сайты, где собирают персональные данные, выясняет, кому они принадлежат, и отправляет владельцам письма-запросы.

На такое письмо нужно ответить в течение 10 дней: отправить в ведомство уведомление о включении в реестр или обоснованный отказ.

Если владелец сайта не ответит на запрос Роскомнадзора, его могут оштрафовать:

1. Физлицо — на 100—300 ₽.
2. ИП — на 300—500 ₽.
3. Организацию — на 3000—5000 ₽.

Да, эти штрафы небольшие, но еще Роскомнадзор может организовать проверку — и если обнаружит другие нарушения, суммы будут серьезнее. Например, минимальный штраф для ИП — 10 000 ₽, для организации — 30 000 ₽. А если хранить данные россиян на зарубежных серверах и игнорировать предупреждения Роскомнадзора, можно получить максимальный штраф — 18 000 000 ₽.