Т—Ж
Написать
Что делать?
14K

Как начинающему бизнесу работать с персональными данными?

6
Аватар автора

Аноним

спросил в Сообществе Т⁠—⁠Ж

Я решил открыть небольшой интернет-магазин, но узнал, что бизнес должен строго соблюдать закон о персональных данных, в том числе разработать документацию по их защите.

Мы собираемся обрабатывать ФИО, телефоны, адреса доставки посылки и технические данные вроде IP-адреса, сведений об используемом браузере и cookies. Можем ли мы обойтись без документации и просто создать магазин на базе сертифицированной CMS или CRM? Нанять фирму, которая помогла бы соблюсти все требования закона о персональных данных, нам не по карману.

Аватар автора

Алена Геращенко

юрист

Страница автора

Законодательство в сфере персональных данных действительно строгое, за его нарушение могут оштрафовать на несколько десятков и даже сотен тысяч рублей. Если компании и предприниматели собирают информацию о клиентах, они считаются операторами персональных данных и должны работать с этими данными по определенным правилам.

Одно из правил — разработать и утвердить как минимум четыре документа, которые должны соответствовать закону и зачастую содержать технические сведения. Разработка каждого документа — кропотливая работа, и, скорее всего, обойтись без помощи юристов или специалистов в сфере информационной безопасности не получится.

Расскажу основные правила, о которых нужно знать.

Что такое персональные данные

Персональные данные — это любая информация, которая прямо или косвенно относится к определенному человеку и позволяет его идентифицировать.

Обложка статьи
Всё, что нужно знать о персональных данных
3

Проблема в том, что в законе нет точного списка, что считать персональными данными. Некоторые суды полагают, что ими могут быть ФИО человека, его паспортные данные, адрес, номера телефонов. При этом сами по себе ФИО, адрес и номер телефона могут не быть персональными данными: ФИО могут повторяться, по адресу могут регистрироваться разные люди, номер телефона может перейти к другому абоненту, если расторгнут договор на оказание абонентских услуг.

Персональные данные человека собирают, например, когда проводят опросы, оформляют договоры или открывают доступ к сервисам на сайте.

Те, кто собирает данные, считаются операторами персональных данных, а люди, чьи данные собрали, — субъектами персданных. Оператором может быть кто угодно: физлицо, ИП, организация, государственный орган.

Просто так собирать, хранить или передавать данные третьим лицам нельзя. Сначала нужно подготовить условия, чтобы информация накапливалась в безопасном месте и никуда не утекала. А еще получить у субъекта персональных данных разрешение на сбор и обработку информации о нем. Без его согласия никакую персональную информацию хранить нельзя, иначе оператора привлекут к ответственности.

Все свои действия — что будут собирать и как будут работать с данными — операторы описывают в документах.

Какие документы нужны для сбора персданных

Чтобы собирать и работать с персональными данными, оператор должен разработать и ввести в действие довольно большой пакет документов. Вот только базовые:

  1. Политика обработки персональных данных. В ней пишут, что за организация собирает данные, у кого, для чего, что именно она собирает и что будет делать с этими сведениями. Политику всегда публикуют на сайте оператора.
  2. Положение об обработке и обеспечении безопасности персональных данных. В нем прописывают практически то же самое, что и в политике. Но положение — внутренний акт оператора, его утверждают приказом руководителя компании или ИП. Публиковать его нигде не нужно.
  3. Модели угроз безопасности. В этом документе пишут, какие есть риски утечки данных и что делает оператор, чтобы их избежать. В законе о персональных данных не сказано, что модели угроз нужно прописывать в локальном акте, но я рекомендую это сделать. Одна из мер обеспечения безопасности персональных данных — определение угрозы. Как это делать, пояснила ФСТЭК в своих методических рекомендациях. Чтобы показать контролирующим органам, что вы учли рекомендации и проработали модели угроз безопасности, лучше оформить все документально.
  4. Приказ о назначении человека, ответственного за обработку персональных данных. Им может быть юрист или ИТ-специалист.
  5. Формы согласий на обработку персональных данных. Эти документы должны подписывать посетители сайта, то есть люди, чьи данные хочет собрать оператор.

В разработке документов участвует тот, кто отвечает за обработку персональных данных. Это необязательно должен быть сотрудник компании — к обработке данных можно привлекать и приглашенных специалистов.

Обложка статьи
Как защитить персональные данные от работодателя

После того как вы разработаете и утвердите все документы, нужно уведомить контролирующий орган о том, что вы будете собирать и обрабатывать персональные данные. За тем, как бизнес исполняет закон об обработке персональных данных, следит Роскомнадзор. Операторы отправляют ему уведомления, а ведомство заносит их в реестр операторов.

По ИНН или названию организации можно проверить, законно ли оператор собирает персональные данные
По ИНН или названию организации можно проверить, законно ли оператор собирает персональные данные

Можно ли работать с персональными данными и не уведомлять об этом Роскомнадзор

Есть ситуации, когда компания или физлицо работает с персональными данными, но уведомлять об этом Роскомнадзор не нужно. Вот несколько примеров:

  • работодатель собирает, изменяет, обезличивает, удаляет и не передает третьим лицам персональные данные своих работников. Например, собирает СНИЛС, ИНН и паспортные данные, чтобы платить за сотрудников взносы;
  • персональные данные нужны для гражданско-правового договора, их не распространяют и не передают третьим лицам. Например, клиент нанимает фотографа для съемки и в договоре оказания услуг пишет свои ФИО и паспортные данные. Так как после съемки фотограф не будет нигде хранить эти данные и не планирует, допустим, отправлять клиенту рекламу, становиться оператором ему не нужно;
  • компания публикует некоторые персональные данные с разрешения человека. К примеру, выкладывает на своем сайте фотографии работников, указывает их должности, ФИО и сведения об образовании;
  • персональные данные нужны, чтобы выдать разовый пропуск на территорию;
  • компания или физлицо собирает данные на бумаге, без средств автоматизации. Например, проводит на улице анонимный опрос о вреде курения.

Вы хотите ежедневно обрабатывать персональные данные пользователей интернет-магазина: ФИО, номера телефонов, адреса доставки посылки и технические данные вроде IP-адресов, сведений об используемом браузере и cookies. Вся эта информация относится к конкретному человеку, прямо и косвенно, и позволяет его идентифицировать. Об этом нужно уведомить Роскомнадзор.

Просто собирать информацию о клиентах в системе — даже сертифицированной и защищенной — не получится. Вам придется зарегистрироваться в качестве оператора персональных данных, а для этого нужно разработать документацию и отправить уведомление в Роскомнадзор.

Как будут проверять операторов персональных данных
2

Как подать уведомление в Роскомнадзор

Уведомление подает тот, кто отвечает за обработку персональных данных. Его можно отправить обычной почтой или через сайт Роскомнадзора, если есть усиленная квалифицированная электронная подпись или регистрация на госуслугах.

В уведомлении нужно подробно описать:

  1. Кто будет собирать информацию и какую именно: имена, адреса, технические данные, номера телефонов.
  2. Для чего и каким образом собираются персональные данные. Например, «для организации деловых поездок» и «с помощью средств автоматизации». Средства автоматизации — это, к примеру, корпоративный компьютер или программы бухучета. В законе это называется средствами вычислительной техники.
  3. Где будете хранить персональные данные.
  4. Какие меры принимаете, чтобы их обезопасить. Например, вы назначили ответственного за обработку данных, разработали политику и модели угроз безопасности, обучили людей, которые будут работать с персональными данными.

Необходимых мер по закону больше — все не перечислить. Чтобы их соблюсти и ничего не нарушить, как раз и понадобятся юристы или специалисты в сфере ИТ и информационной безопасности.

Обложка статьи
Бизнес в интернете
1

В уведомлении нужно указать полный адрес с почтовым индексом места, где расположены серверы компаний, на которых хранятся базы персональных данных. Роскомнадзор зарегистрирует уведомление и внесет оператора в реестр в течение 15 дней. Платить за это не нужно.

Так выглядит форма уведомления. Если есть усиленная квалифицированная электронная подпись, такую форму можно заполнить на сайте Роскомнадзора
Так выглядит форма уведомления. Если есть усиленная квалифицированная электронная подпись, такую форму можно заполнить на сайте Роскомнадзора

Что нужно сделать перед отправкой уведомления в Роскомнадзор

После того как вы разработаете документацию, я рекомендую перепроверить несколько вещей перед тем, как уведомлять Роскомнадзор. Ведомство требует максимально актуальную информацию, поэтому лучше перестраховаться.

Просмотрите и обновите списки. Вот они:

  1. Список персональных данных, которые вы обрабатываете.
  2. Перечень субъектов, с чьими данными вы работаете.
  3. Перечень третьих лиц. Третьи лица для оператора — это компании, которым вы поручаете обработку персданных, или компании, с которыми вместе обрабатываете данные для общих целей. Например, фирмы, которые предоставляют вам какие-либо услуги на аутсорсинге. Подавать список третьих лиц в Роскомнадзор не нужно, но при проверке ведомство может про него спросить.

Проверьте информационные системы по обработке данных. Сервисы, которые собирают и хранят данные ваших клиентов, должны быть оснащены средствами защиты информации — СЗИ. Это может быть антивирусная программа или электронный замок.

СЗИ должны быть сертифицированы Федеральной службой по техническому и экспортному контролю России. Если Роскомнадзор придет с проверкой, он будет запрашивать сертификат на СЗИ.

Что будет, если не отправить уведомление в Роскомнадзор

Если оператора нет в реестре, Роскомнадзор рано или поздно сам его найдет. Ведомство регулярно просматривает сайты, где собирают персональные данные, выясняет, кому они принадлежат, и отправляет владельцам письма-запросы.

На такое письмо нужно ответить в течение 10 дней: отправить в ведомство уведомление о включении в реестр или обоснованный отказ.

Если владелец сайта не ответит на запрос Роскомнадзора, его могут оштрафовать:

  1. Физлицо — на 100—300 ₽.
  2. ИП — на 300—500 ₽.
  3. Организацию — на 3000—5000 ₽.

Да, эти штрафы небольшие, но еще Роскомнадзор может организовать проверку — и если обнаружит другие нарушения, суммы будут серьезнее. Например, минимальный штраф для ИП — 10 000 ₽, для организации — 30 000 ₽. А если хранить данные россиян на зарубежных серверах и игнорировать предупреждения Роскомнадзора, можно получить максимальный штраф — 18 000 000 ₽.

Что делать? Читатели спрашивают — эксперты отвечают
Задать свой вопрос
Теги: бизнес, право
Алена Геращенко
Работаете с персональными данными? Поделитесь, с какими сложностями сталкивались:
Комментарии проходят модерацию по правилам журнала
Загрузка

Сообщество

Екатерина Болквадзе
Екатерина Болквадзе
Как я ухаживаю за волосами, чтобы они хорошо росли
Как я ухаживаю за волосами, чтобы они хорошо росли
1
Алексей Климовский
Алексей Климовский
Как я вложил первые 10 000 ₽ в ИТ-стартапы и стал венчурным инвестором
Как я вложил первые 10 000 ₽ в ИТ-стартапы и стал венчурным инвестором
Светлана Ишкова
Светлана Ишкова
Как я произвожу снеки из ягод и растений-эндемиков в Хабаровске
Как я произвожу снеки из ягод и растений-эндемиков в Хабаровске
Анастасия Корнилова
Анастасия Корнилова
Что будет с пенсией и стажем, если выйти из российского гражданства?
Что будет с пенсией и стажем, если выйти из российского гражданства?
15
Кристина Барынина
Кристина Барынина
Как мы с братом сходили на праздник в честь Дня космонавтики
Как мы с братом сходили на праздник в честь Дня космонавтики
Дмитрий Ермаков
Дмитрий Ермаков
«Я был в диком восторге»: как мы с женой две недели путешествовали по Южной Корее
«Я был в диком восторге»: как мы с женой две недели путешествовали по Южной Корее
1
Галина Муртазина
Галина Муртазина
«Осталось только завезти мебель»: как я построила дом в селе Сокуры
«Осталось только завезти мебель»: как я построила дом в селе Сокуры
Александр Чмаретков
Александр Чмаретков
Как мы с друзьями съездили в Карелию на 3 дня
Как мы с друзьями съездили в Карелию на 3 дня
Екатерина
Екатерина
Как я помогаю одиноким старикам в Швеции
Как я помогаю одиноким старикам в Швеции
2
Лер4ик
Лер4ик
Рекомендую GOGYM — приложение для занятия спортом в тренажерном зале
Рекомендую GOGYM — приложение для занятия спортом в тренажерном зале
John Snow
John Snow
Письмо психологу: переживаю расставание с партнером
Письмо психологу: переживаю расставание с партнером
4
Любовь Лебедева
Любовь Лебедева
Как я побывала на Сахалине
Как я побывала на Сахалине

Популярное за неделю

Как рассчитать налоговый вычет на ребенка
Как рассчитать налоговый вычет на ребенка
83
Имущественный вычет: сколько вам вернут при покупке квартиры?
Имущественный вычет: сколько вам вернут при покупке квартиры?
157
Лучшие умные колонки: топ удачных моделей
Лучшие умные колонки: топ удачных моделей
64
Как я поставила зубной имплант с коронкой
Как я поставила зубной имплант с коронкой
61
«Увидела, влюби­лась, купила»: 10 вещей на весну от россий­ских брендов
«Увидела, влюби­лась, купила»: 10 вещей на весну от россий­ских брендов
45
«Голубые глаза — это что-то на велико­лепном»: 8 привле­кательных черт внешности
«Голубые глаза — это что-то на велико­лепном»: 8 привле­кательных черт внешности
132
Точно нет: 4 причи­ны не пере­­езжать в Санкт-Петербург
Точно нет: 4 причи­ны не пере­­езжать в Санкт-Петербург
332
«Не дайте человеку заменить вам целую жизнь»: как я расстался с девушкой после 18 лет отношений
«Не дайте человеку заменить вам целую жизнь»: как я расстался с девушкой после 18 лет отношений
310
Как и когда можно узнать результаты лотереи грин-карт DV-2025
Как и когда можно узнать результаты лотереи грин-карт DV-2025
50
Велопрокат, лагерь для взрослых и пышечная: какой бизнес открыть, если есть 500 000 ₽
Велопрокат, лагерь для взрослых и пышечная: какой бизнес открыть, если есть 500 000 ₽
28