Обрабатывать персональные данные нужно правильно. Оштрафовать могут за использование данных без оснований, в избыточном объеме и без получения согласия. Для начинающего бизнеса незапланированные расходы на выплату больших штрафов могут стать причиной банкротства. Читайте рекомендации, чтобы разобраться в теме, снизить риски, сохранить деньги бизнеса.
Откуда берутся персональные данные?
Персональные данные – это любая информация, которая относится к физическому лицу прямо и косвенно (п. 1 ст. 3 Федерального закон N 152-ФЗ «О персональных данных», далее Закон).
Персональные данные берутся из информации и документов, когда вы:
1. Изучаете резюме кандидата, нанимаете людей в штат, работаете с самозанятыми, ИП, с физическими лицами не по трудовому договору.
2. Осуществляете пропуск на территорию по паспорту, по пропуску с фотографией, сканированием отпечатков пальцев.
3. Получаете интернет-заказы физических лиц, оказываете любые услуги физическим лицам, которые сообщают о себе сведения для получения услуги.
4. Проверяете полномочия лица, предъявившего доверенность.
5. Создаете любым способом базу данных телефонных номеров клиентов.
6. Получаете персональные (не анонимные) электронные и бумажные письма.
Важно! Закон не содержит конкретный и закрытый перечень персональных данных.
В практике Роскомнадзора персональными являются данные:
1. ФИО, возраст, пол.
2. Данные об образовании.
3. Адрес, номер телефона, адрес электронной почты на имя конкретного физического лица.
4. Семейное положение, наличие детей.
5. Факты биографии.
6. Финансовое положение, включая сведения о зарплате.
7. Фотография и видеозапись, позволяющие установить личность человека.
Рекомендация: при любых сомнениях бизнесу стоит признавать информацию о физическом лице, как персональные данные. Например, в 2017 году суды в решениях признали персональными данными: сведения о СНИЛС, номер банковского счета, письмо о финансовом состоянии. Кроме этого, адрес IP и в некоторых случаях файлы кукис.
Что такое обработка персональных данных?
Это без ограничений ваши действия с персональными данными, когда вы собираете, систематизируете, храните, уточняете, используете в своей деятельности, распространяете (передаете кому-то), уничтожаете.
Действия по обработке бывают двух видов:
• с помощью автоматизированных средств, что позволяет сохранять данные, логически структурировать в базы, таблицы, осуществлять поиск по заданным параметрам;
• без средств автоматизации, когда человек лично и непосредственно работает с персональными данными. Этот способ не исключает, что данные хранятся в информационной базе.
Как обрабатывать персональные данные без нарушений?
Давайте узнаем, что является нарушением, чтобы не попадать в такие ситуации.
Нельзя получать данные:
1. Без правовых оснований на это. Пример: заключается договор займа. В анкете должник указывает телефон, адрес родственников, своего руководителя по месту работы. Эти лица никак не связаны с кредитором и данные лично не предоставляли. В итоге – юридическое лицо может выплатить штраф до 100 000 рублей.
2. В целях, которые не совместимы с целью сбора данных. Помните, данные — не для любопытства, не «на всякий случай», не по принципу «чем больше, тем лучше». Всегда определяйте цель обработки. От целей зависит состав полученных данных. Данные, которые не связаны с целью их получения, являются избыточными.
Рекомендация: используйте в работе Чек-лист № 1 «Целевая обработка персональных данных». В чек-листе описаны требования и примеры.
3. Без согласия на обработку персональных данных, с нарушением требований, которые предъявляются к оформлению согласия. Есть правовые основания, когда вы сможете обрабатывать данные без разрешения, например, когда:
- исполняете обязательства по договору в пользу лица, предоставившего данные (доставка товара по адресу);
- выполняете предусмотренные законом требования (отправляете кассовый чек на электронную почту).
Основания, когда согласие не требуется, в исчерпывающем объеме содержится в Законе (статья 6). Если к вам это не относится, необходимо получать письменное разрешение.
Важно! Ответственность наступает не только при отсутствии согласия, но и когда нарушены требования к оформлению, перечню сведений. Штраф для юридического лица до 150 000 рублей
Рекомендация: используйте в работе Чек-лист № 2 «Как оформить согласие на обработку и распространение персональных данных» и образцы с комментариями. В чек-листе описаны требования и примеры в редакции последних изменений (от 01.09.2021).
Нужно ли подавать уведомление об обработке персональных данных в Роскомнадзор?
Роскомнадзор формирует специальный перечень компаний, которые работают с персональными данными. Чтобы Роскомнадзор узнал, что вы обрабатываете ПД, нужно подать уведомление. Для соблюдения правил оформления и подачи уведомления приняты Методические рекомендации, утвержденные Приказом Роскомнадзора от 30.05.2017 № 94.
Какие последствия могут быть, если не подать уведомление?
Вот реальная ситуация.
ООО «Шоппер» активно развивает e-commerce, обрабатывает большие массивы персональных данных клиентов. В реестре операторов персональных данных Роскомнадзора не состоит. Уведомлять Роскомнадзор считают юридически рискованным и нецелесообразным. Потому что:
- Уведомление подается до начала обработки, то есть срок упущен.
- Уведомление автоматически привлечет внимание к бизнесу, начнется проверка со стороны госоргана.
Роскомндазор получает сведения о регистрации бизнеса из реестра юридических лиц. Бизнес, который по ОКВЭД оказывает услуги в сфере права, маркетинговые услуги, проводит операции с недвижимостью, консультирует по вопросам коммерческой деятельности и управления, получит требование Роскомнадзора о предоставлении информации для включения в реестр операторов.
Важно! Есть основания, учитывая которые уведомление подавать не требуется. Например, когда данные обрабатываются:1. исключительно в целях трудового законодательства;
2. для однократного пропуска посетителя на территорию;
3. без использования компьютера и иных технических средств.
Рекомендация: выясните, применимы ли к вам исключения, установленные ч. 2 ст. 21 Закона. Если нет, то уведомите Роскомнадзор. Это разумно.
Если не уведомили, накажут?
В Кодексе об административных правонарушениях есть статья 19.7 — ответственность за непредставление сведений. Максимальный штраф для юридического лица 5000 рублей. В 2020 году Роскомнадзор ни разу не воспользовался этой нормой (отчет Роскомнадзора, https://rkn.gov.ru).
Зачем разделили согласие на обработку и согласие на обработку данных, разрешенных к распространению?
С 1 марта 2021 года разделены согласие на обработку персональных данных и согласие на обработку данных, разрешенных к распространению. Во втором случае согласие может быть дано в пользу неограниченного круга лиц.
Для бизнеса это значит, что нужно оформлять два отдельных согласия и смотреть требования, которые предъявляются к каждому из них.
Пример 1. ООО «Ириска» оказывает ООО «Карамелька» услуги кадрового администрирования. ООО «Карамелька» при приеме на работу оформляет с сотрудником согласие и поручает обработку сведений ООО «Ириска». Это не является распространением. Отдельное согласие не требуется.
Пример 2. В согласии на обработку персональных данных указана общая формулировка: обработка данных, включая сбор, систематизацию, хранение, распространение. Это согласие не дает право распространять данные всем без ограничений.
Рекомендация: используйте в работе Чек-лист № 2 «Как оформить согласие на обработку и распространение персональных данных». В чек-листе требования и примеры в редакции последних изменений (от 01.09.2021).
Ансимова Кира. Автор статьи. Юрист экспертного уровня для бизнеса. Инстаграм @businesslawyer.online
Важные итоги
1. Относите любую информацию, которая связана с физическим лицом, к персональным данным.
2. Уничтожайте персональные данные: информацию, документы (копии, сканы, электронные файлы), когда нет цели использовать их дальше. Неожиданно получили резюме на электронную почту, вакансии нет, но резюме не удалили? Храните копию паспорта сотрудника в личном деле? За это грозит штраф до 100 000 рублей.
3. Получайте согласие на обработку данных, следите за оформлением, перечнем информации. Есть согласие, но оформлено с нарушением? Помните, что за это могут оштрафовать на 150 000 рублей.
4. Помните, что для распространения персональных данных неограниченному кругу лиц требуется отдельное согласие.
Чек-листы, которые помогут избежать штрафов
Чек-лист № 1 «Целевая обработка персональных данных»
| Что | Какие требования | Что это значит. Примеры. |
Как у вас: да/ нет |
|---|---|---|---|
| 1. Цель (цели) обработки персональных данных. | 1.1. Законная. | Вам нужны данные для достижения результата, который не нарушает прав и законных интересов третьих лиц. | [опишите на примере вашей компании] |
|
1.2. Заранее определенная, связана с целями деятельности бизнеса. Если целей несколько – исчерпывающий перечень. Если среди целей есть цель, связанная с рекламными целями (получение рекламы) – лучше оформить отдельное согласие. |
До обработки персональных данных: 1. Вы знаете ответ на вопрос, зачем вам нужны данные физического лица. 2. Вы заранее доводите суть цели до человека, чьи данные обрабатываете. Как правило, при получении согласия на обработку персональных данных. Варианты целей: – для заключения договоров; – для выполнения обязательств по программе лояльности; – для ведения кадрового делопроизводства и учета. |
||
| 1.3. Конкретная. |
Не используйте общие, размытые, абстрактные формулировки. Пример неконкретной цели получения данных мобильного телефона: для повышения продаж. Удачный пример: для рассылки смс-сообщений участникам акции. |
||
| 2. Ваши действия по обеспечению целевой обработки. | 2.1. Запрашивать данные в таком объеме, который обеспечивает цель обработки. |
Пример: 1. Интернет-магазин не имеет права запрашивать паспортные данные и почтовый адрес клиента, который забирает товар самовывозом. 2. Косметический салон не имеет права запрашивать у клиента данные финансового положения. |
|
| 2.2. Вести раздельный учет персональных данных, которые получены с разными целями, и цели не связаны между собой. |
Пример: база данных сотрудников и база данных контрагентов. |
||
| 2.3. Уничтожать или обезличивать персональные данные после достижения цели обработки. |
Пример: уничтожайте копии резюме кандидатов после отбора, удаляйте неактуальную информацию после изменения информации. |
Чек-лист № 2 «Как оформить согласие на обработку и распространение персональных данных»
| Требование к информации | Особенности | Как у вас да/нет |
|---|---|---|
| Ⅰ. Согласие на обработку персональных данных | ||
| 1. ФИО, адрес, данные основного документа личности: номер, кем и когда выдан. |
1.1. Адрес указывайте по месту регистрации (постоянной или временной). 1.2. Основной документ личности: для граждан РФ только паспорт. Для иных категорий лиц по ситуации: ВНЖ, удостоверение беженца и пр. |
[опишите на примере вашей компании] |
| 2. Если согласие оформляется по доверенности: данные доверителя и лица по доверенности согласно пункту 1 +данные доверенности. |
2.1. Пример: Лицо А (тот, кто выдал доверенность) и все его данные согласно пункту 1, в лице В (тот, на кого оформлена доверенность) и все его данные согласно пункту 1, действующего на основании доверенности и дата/ номер доверенности. |
|
| 3. Цель обработки персональных данных. | 3.1. Требования к цели и примеры их оформления даны в чек-листе № 1. | |
| 4. Наименование самого оператора обработки. | 4.1. Все юридические данные вашего бизнеса. | |
| 5. Перечень персональных данных, в отношении которых дается согласие. |
5.1. Пример: ФИО, адрес, номер телефона, сведения образовании. |
|
| 6. Если вы далее поручаете кому-то обработать данные (не сами делаете) – указываете такое лицо. | 6.1. Все юридические данные лица, которому поручаете обработку. | |
| 7. Перечень действий с персональными данными, на совершение которых дается согласие, общее описание способов обработки персональных данных. | 7.1. Указать виды обработки и способы обработки. На практике – включают все виды обработки, указанные в Законе, и все виды обработки. | |
| 8. Обязательно срок действия согласия и способ его отзыва. |
8.1. Пример: Настоящее согласие действует со дня его подписания до дня отзыва в письменной форме. Отзыв направляется по почте на юридический адрес. |
|
| 9. Подпись лица |
9.1. Подпись, расшифровка. 9.2. Согласие считается надлежаще оформленным также в случае проставления галочки на сайте, введения смс-кода. |
|
| Ⅱ. Согласие на обработку данных, разрешенных к распространению | ||
| 1. ФИО, контактная информация (номер телефона, адрес электронной почты или почтовый адрес). | 1.1. Обратите внимание – можно выбрать, что включать. | |
| 2. Наименование оператора обработки. | 2.1. Состав сведений: данные адреса из ЕГРЮЛ, ИНН, ОГРН. | |
| 3. Сведения о ресурсе оператора, через который неограниченный круг лиц будет видеть информацию. | 3.1. Адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы. | |
| 4. Цель (цели) обработки персональных данных. | 4.1. Требования к цели и примеры их оформления даны в чек-листе № 1. | |
| 5. Категории и перечень персональных данных, включенных в согласие. |
5.1. Пример: Персональные данные: ФИО, адрес, номер телефона, сведения образовании. Биометрические: фотография. Специальные: состояние здоровья, политические взгляды и др. |
|
| 6. Запреты по данным согласно пункту 5 чек-листа. |
6.1. Пример: Условия и запреты на обработку вышеуказанных персональных данных (ч. 9 ст. 10.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных») (отметить нужное): ◻ не устанавливаю; ◻ устанавливаю запрет на передачу (кроме предоставления доступа) неограниченному кругу лиц; ◻ устанавливаю запрет на обработку (кроме получения доступа) неограниченному кругу лиц; ◻ устанавливаю условия обработки (кроме получения доступа) этих данных неограниченному кругу лиц: без средств автоматизации. |
|
| 7. Условия по желанию субъекта персональных данных. |
7.1. Персональные данные передаются только по внутренней сети оператора. 7.2. Доступ к информации лишь для строго определенных сотрудников. 7.3. Доступ с использованием информационно-телекоммуникационных сетей. 7.4. Без передачи полученных персональных данных. |
|
| 8. Срок действия согласия. |
8.1. Пример: Настоящее согласие действует со дня его подписания до дня отзыва в письменной форме. Отзыв направляется по почте на юридический адрес. |
Инструкция: как внести изменения об ИП в ЕГРИП
17 мая 2019
Изменения в ЕГРИП об ИП вносят, когда предприниматель сменил гражданство или ОКВЭД. В других случаях заявление необязательно. Как заполнить форму — в статье....
Как открыть пункт выдачи заказов Ozon: пошаговая инструкция
12 января 2023
Выбирая, какой бизнес начать, можно не придумывать уникальную идею, а открыть ПВЗ Ozon. Как это сделать и каким требованиям должен соответствовать пункт выдачи — читайте в статье....
Как получить лицензию на продажу алкоголя
26 марта 2019
Собираетесь продавать алкоголь? Делайте все по закону. Узнайте, как получить лицензию, кто должен это делать и как....
Комментарии
Оставьте первый комментарий