Что считается персональными данными

Бизнес вправе собирать, хранить, использовать и передавать персональные данные клиентов только с их согласия — об этом говорит Федеральный закон № 152-ФЗ «О персональных данных». В документе нет четкого перечня того, что именно считается персональными данными, но логика такая:

Персональными данными (ПД, ПДн) считаются любые сведения, по которым можно установить личность.

Это, например:

  • ФИО, номер телефона, паспортные данные, СНИЛС, email;
  • IP-адрес устройства, куки-файлы;
  • фото, голос, отпечатки пальцев;
  • профиль в соцсетях. При этом никнейм пользователя вроде Romashka777 персональными данными не считается, так как по нему нельзя однозначно идентифицировать человека.

Все, кто обрабатывают такие данные, по закону являются операторами ПДн и должны уведомить об этом Роскомнадзор. Например, если интернет-магазин просит указать ФИО и email в форме обратной связи, это считается сбором персональных данных, поэтому компания обязана встать на учет как оператор персданных.

Регистрироваться в Роскомнадзоре должны те, кто обрабатывает данные с помощью средств автоматизации. Неважно, ведете вы базу клиентов в CRM или записываете все табличку Excel — это считается автоматизированной обработкой.

Если же вы ведете учет на бумаге, регистрироваться как оператор ПДн не требуется. При этом закон все равно нужно соблюдать: держать бумажные документы в закрытом месте, следить за их сохранностью, составить список тех, кто получит к ним доступ, и вовремя утилизировать.

У владельца придорожной кофейни нет CRM и учетных систем: он работает один и ведет учет посетителей в журнале, поэтому он не является оператором персональных данных.

Что сделать перед тем, как начать обработку персональных данных

1. Определите ответственного. Это может быть сотрудник компании, специалист на аутсорсе или сам предприниматель, если поручить задачу некому. В обязанности будет входить отвечать на запросы Роскомнадзора, следить за обновлениями в законодательстве и обновлять политику конфиденциальности в соответствии с ними, не допускать нарушений и информировать ведомство в случае утечки информации. Назначение необходимо оформить приказом.

2. Уведомите Роскомнадзор. Сделать это нужно до того, как начнете собирать персональные данные, иначе компании выпишут штраф в размере до 300 000 ₽.

Форма есть на сайте ведомства, указать в ней нужно следующее:

  • Информацию о предприятии, индивидуальном предпринимателе или самозанятом: адрес регистрации, название компании.
  • Какие сведения вы планируете собирать и с какой целью. Например, если используете CRM, можно указать цель: «Продвижение товаров, работ, услуг на рынке», а персональные данные — email, номер телефона, дата рождения, профессия, ИНН.
  • Чьи персональные данные собираете — это могут быть клиенты, подрядчики сотрудники, соискатели.
  • Что будете делать с полученной информацией — например, обрабатывать и хранить и так далее.
  • Как обеспечите защиту данных — например, можно указать, что в компании есть ответственный за работу с данными, опубликованы правила их обработки, а доступ есть только у сотрудников, которым он необходим для работы. Также можно указать, что вся информация хранится на серверах в России.

Чтобы встать на учет, нужно заполнить форму и отправить ее в Роскомнадзор. Сделать это можно заказным письмом в территориальный орган ведомства по месту ведения бизнеса, через Госуслуги или форму на сайте, если есть УКЭП.

Сотрудники ведомства рассмотрят заявление в течение месяца и внесут компанию в реестр операторов ПДн.

3. Составьте политику обработки персональных данных. Этот документ еще называют политикой конфиденциальности — в нем компания разъясняет, как именно работает с персданными.

Единого шаблона для составления политики нет. Роскомнадзор рекомендует составлять документ исходя из специфики бизнеса и его задач, поэтому «списывать» политику у конкурентов не стоит.

Хотя документ составляется в свободной форме, в нем должны быть:

  • название и юридический адрес компании или ИП;
  • с какой целью собираются данные и кто имеет к ним доступ;
  • какие сведения вы собираете и кто еще может получить доступ
    к персональным данным;
  • каким способом компания защищает персональные данные;
  • как можно отозвать разрешение на использование данных.
«Подвал» сайта банка «Точка» с политикой конфиденциальности
Политика конфиденциальности должна быть на виду, например, в футере сайта, чтобы клиент или сотрудники Роскомнадзора могли легко найти документ и изучить его. Источник: tochka.com

Дополнительно стоит попросить сотрудников, у которых есть доступ к персданным, подписать соглашение о неразглашении (NDA). В документе нужно прописать срок действия соглашения и ответственность за нарушение, например, штрафы или увольнение. NDA помогает снизить вероятность, что данные клиентов окажутся в открытом доступе.

Школа онлайн-курсов английского планирует собирать ФИО, email и паспортные данные, чтобы установить личность пользователя и заключить с ним договор на платные образовательные услуги, отправлять уведомления и рекламные сообщения, а также для общения. Эти цели компания должна прописать в своей политике обработки персональных данных.

4. Подготовьте согласие на обработку данных. Это документ, который подписывают после прочтения политики конфиденциальности. Если берете согласие письменно, например, при приеме на работу, нужно указать, какие данные нужны и в каких целях используете.

Образец письменного согласия на обработку персональных данных при устройстве на работу
Пример письменного согласия на обработку персональных данных при приеме на работу

Электронное согласие — это чекбокс, в котором пользователь проставляет галочку.

Пример формы обратной связи с согласием на обработку персональных данных
Пример оформления формы регистрации. Источник: Unisender.com

Важная деталь: давать разрешение на обработку пользователь, клиент или сотрудник должен добровольно. То есть в бумажном документе он должен поставить подпись под соответствующим пунктом. Если говорить про электронное согласие, то пользователь также должен поставить галочку сам: если она по умолчанию проставлена в форме заказа, разрешение не будет иметь юридическую силу.

Если планируете делиться сведениями с третьими лицами, например, подрядчиками или сервисами, на него нужно получать отдельное согласие, иначе можно нарваться на штраф от 300 000 до 700 000 ₽ и даже получить уголовное наказание.

При этом согласие на обработку и передачу данных необязательно брать всегда. Есть исключения, например:

1. Данные нужны для исполнения договора. Например, школа танцев заключает договор об оказании услуг с клиентом и получает его ФИО, телефон и email. Брать разрешение на обработку персданных компания не должна, так как без них она не сможет выполнить обязательства.

Если школа планирует отправлять рекламу новых курсов на почту, нужно получить согласие клиента — через ту же «галочку» в форме на сайте или подпись в анкете. На каждое отдельное действие с персональными данными нужно получать разрешение.

2. Сведения о клиенте содержатся в бухгалтерских или налоговых документах. Их компания должна хранить по закону.

3. Информацию запрашивают правоохранительные органы. Если следователь запросит персданные клиентов или сотрудников компании для расследования, компания обязана их предоставить.

Как работать с персональными данными, чтобы не получить штраф

Храните данные в России. По № 152-ФЗ все персональные данные россиян должны храниться на серверах внутри страны, поэтому если вы используете условный Google Forms или другой зарубежный сервис, нужно уведомить об этом Роскомнадзор и получить разрешение. Если этого не сделать, ведомство может оштрафовать компанию на сумму до 6 млн ₽.

Обеспечьте безопасность персональных данных. Тут каждый собственник решает сам: если ресурсы позволяют, можно накупить компьютеров, использовать их как серверы для хранения данных и нанять IT-специалиста, который будет за ними следить. Это довольно затратно, и не каждая компания может себе это позволить.

Малый бизнес чаще всего передает хранение данных сторонней компании — например, поставщику CRM или облачного сервиса. Тогда защиту от утечек и взлома обеспечивает разработчик, но ответственность за возможные инциденты все равно несет бизнес как оператор ПДн.

Также важно соблюдать дополнительные меры безопасности: установить антивирусное ПО, использовать надежные пароли и двухфакторную аутентификацию и выдавать доступ к данным тем сотрудникам, которым это необходимо для работы. Например, менеджеру по продажам нужен номер телефона клиента, чтобы подтвердить заказ или договориться о встрече, а кадровику эти данные ни к чему.

Уничтожайте персональные данные по достижению цели или по требованию. Если клиент отозвал согласие, данные следует удалить: бумажные документы уничтожают шредером и оформляют акт. Если данные хранились в информационных системах, то их стирают из базы, составляют акт и делают выгрузку из журнала событий.

Когда цель, с которой собирали данные, достигнута, также нужно уничтожить данные в течение 30 дней. Например, у клиента закончился абонемент в фитнес-клуб: если он не продлевает договор, клуб должен стереть его данные из базы. Если организация этого не сделает, клиент вправе обратиться в суд.

Используйте персданные только для тех целей, которые указаны в политике конфиденциальности. Если компания пишет, что номер телефона и адрес электронной почты нужен для уточнения данных по заказу, а потом начинает рассылать рекламу — это нарушение. На любое действие с персональными данными нужно брать дополнительное разрешение, иначе можно нарваться на иск от пользователя и штрафы от Роскомнадзора.

Если персональные данные оказались в открытом доступе, обязательно сообщите в Роскомнадзор. Безопасность данных — это ответственность компании, поэтому в случае утечки нужно сразу связаться с ведомством. Укажите, что случилось и почему это произошло, какие данные были скомпрометированы, может ли это навредить клиентам, и что было сделано для решения проблемы.

Что нужно помнить при работе с персональными данными: чеклист для бизнеса

✅ Проанализируйте, какие данные вы обрабатываете. В 152-ФЗ нет четкого определения, но обычно к персональным данных относятся: имя, фамилия, дата рождения, паспортные данные, место работы, должность и так далее.

✅ Встаньте на учет в Роскомнадзор до начала работы с персональными данными. По закону это должны делать все, кто их собирает, иначе ведомство выпишет штраф до 300 000 ₽.

✅ Назначьте ответственного. Это может быть сотрудник компании или сам предприниматель, если делегировать задачу некому. Нужно будет отслеживать изменения в законе, контролировать безопасность данных и отвечать на запросы Роскомнадзора.

✅ Подготовьте нужные документы. Составьте политику обработки персональных и форму согласия для клиентов. Из этих документов должно быть понятно, какие данные вы собираете и с какой целью. Помните, что нельзя передавать персональные данные третьим лицам — для этого нужно получать разрешение клиента.

✅ Обеспечьте комплексную защиту данных. Серверы и базы данных должны находиться на территории РФ — это прямое требование закона. Если обрабатываете ПДн с помощью зарубежных сервисов, нужно уведомить Роскомнадзор и получить на это разрешение.

Также соблюдайте базовые меры безопасности:

  • используйте лицензионное антивирусное ПО и регулярно его обновляйте;
  • подпишите NDA с персоналом;
  • предоставляйте сотрудникам доступ к тем данным, которые нужны для работы;
  • используйте шифрование при передаче и хранении данных.

Если произошла утечка данных — немедленно сообщите в Роскомнадзор и опишите, что случилось, какие данные были скомпрометированы и что вы предприняли для устранения проблемы.