Работая с клиентами и сотрудниками, вы каждый день имеете дело с их личной информацией. Но знаете ли вы, что именно относится к персональным данным (ПДн)? От ответа на этот вопрос зависит очень многое: от выстраивания честных отношений с клиентами до финансового благосостояния вашей компании. Мы расскажем, как определить, что вы обрабатываете ПДн, что должно быть для обработки у каждого оператора и какие штрафы грозят за нарушения.
Какие данные считаются персональными
Персональные данные (ПДн) — это любая информация, которая прямо или косвенно относится к конкретному физическому лицу (ст.3 ФЗ от 27.07.2006 № 152-ФЗ).
Ключевые слова — «прямо или косвенно». Прямая информация — это фамилия, имя, отчество. Косвенная — это данные, которые в совокупности позволяют идентифицировать человека.
Что относится к персональным данным физического лица:
Общедоступная информация: ФИО, дата рождения, номер телефона. Даже если эти данные есть в открытых источниках, их обработка должна подчиняться закону.
Биометрические данные (ст.11 ФЗ №152-ФЗ): фотографии, видео- и аудиозаписи, отпечатки пальцев, анализа ДНК, особенности внешности. Они характеризуют физиологические и биологические особенности.
Специальные категории ПДн (ст.10 ФЗ №152-ФЗ): расовая и национальная принадлежность, политические взгляды, состояние здоровья, религиозные и философские убеждения и т.д.
Иная личная информация: паспортные данные, ИНН, СНИЛС, сведения о работе и образовании, финансовое положение, семейный статус, адрес проживания и регистрации, сведения об имуществе.
Косвенные данные: IP-адрес компьютера, cookie-файлы, геолокация, данные о покупках и предпочтениях в интернет-магазине. В связке с другими сведениями они позволяют установить личность.
Пример сбора и обработки ПДн: вы — владелец интернет-магазина. Клиент Иван Сидоров делает заказ. Он вводит свои ФИО, номер телефона, адрес доставки и электронную почту. Это ПДн. Вы собираете их для обработки заказа — это ваша законная цель. Далее вы используете телефон для уточнения деталей заказа, а email — для отправки трек-номера или уведомлений. Это осуществление обработки персональных данных. Хранение такой информации в вашей базе данных также является обработкой.
Как понять, что вы обрабатываете ПДн
Вы как оператор отвечаете за процессы обработки персональных данных. Чтобы определить, что вы обрабатываете именно ПДн, воспользуйтесь пошаговой инструкцией.
Шаг 1: определите субъект информации
Если сведения принадлежат физлицу, с большой долей вероятности это ПДн. Если организации — это не персональные данные.
Пример:
«Петров Сергей Владимирович» — данные о физическом лице.
«ООО «Вектор»» — данные о компании.
Шаг 2: проверьте возможность идентификации
Задайте вопрос: можно ли по этим данным понять, о ком идет речь?
Прямые идентификаторы: ФИО, паспорт, телефон, email. Это точно ПДн.
Косвенные идентификаторы: IP-адрес, геолокация. Сами по себе могут не идентифицировать человека, но в связке с другими данными становятся персональными.
Пример:
«+7-XXX-XXX-XX-XX» — прямой идентификатор.
«Пользователь из Москвы» — без дополнительной информации, не идентифицирует.
Шаг 3: проанализируйте комбинации данных
Отдельные данные чаще всего не идентифицируют физлицо. Но в совокупности они могут стать персональными.
Пример:
Номер заказа №-154 — не персональные данные.
Номер заказа №-154 + ФИО клиента + его адрес — это ПДн.
Как обрабатывать персональные данные: основные правила
Оформите пакет документов по ПДн
Политика обработки персональных данных — главный документ, который регламентирует все процессы работы с ПДн в вашей компании. Политику нужно разместить на сайте компании.
Также понадобятся другие документы:
Шаблоны согласий на обработку персональных данных. Для разных целей обработки требуются разные согласия. Для рассмотрения анкеты соискателя — одно, для рассылки маркетинговых материалов — другое. Каждая форма должна четко описывать, какие данные, с какой целью и на какой срок вы обрабатываете.
Положение об обработке и защите ПДн. Это внутренний документ, с которым должны быть ознакомлены все сотрудники, работающие с данными.
Приказ о назначении лица, ответственного за обработку ПДн. Вы должны официальным документом назначить сотрудника, который будет контролировать соблюдение закона внутри компании. Это может быть руководитель, юрист или кадровик.
Инструкции для сотрудников, работающих с ПДн: о правилах обработки, о действиях в случае утечки и т.д.
Журналы, акты, регламенты и т.д.
Важно! Оформляя документы по ПДн, обязательно учитывайте специфику вашего бизнеса. Например, если у вас ИП без сотрудников, вам будет достаточно минимального комплекта, в том время как крупным организациям может понадобиться до 60–70 различных документов.
Обязательное берите согласие
В большинстве случаев для работы с ПДн физлиц нужно получить письменное согласие на обработку персональных данных. Это прямое требование пункта 1 части 1 статьи 6 ФЗ №ФЗ-152.
Однако закон предусматривает важные исключения, когда право на обработку персональных данных возникает у оператора без согласия:
1. Обработка необходима для исполнения договора. Если клиент заказывает у вас товар или услугу, вы вправе обрабатывать его данные для доставки, оформления документов и расчета без отдельного согласия. Данные — неотъемлемая часть договорных отношений.
Пример: интернет-магазин обрабатывает ФИО и адрес покупателя для доставки заказа. Согласие не нужно, так как это условие исполнения договора купли-продажи.
2. Обработка предусмотрена законом. Это касается прежде всего трудовых отношений. При приеме на работу вы обрабатываете данные сотрудника на основании Трудового кодекса, а не его согласия.
Пример: работодатель передает данные сотрудника в СФР для учета стажа. Это обязанность, установленная законом.
3. Обработка необходима для защиты жизни или здоровья. В экстренной ситуации, когда нужно спасти жизнь человека, согласие не запрашивается.
Пример: больница передает данные пациента другой клинике для экстренной консультации.
Важно! Если цель обработки данных выходит за пределы договора и нет других оснований для обработки без согласия, обязательно его возьмите. Оно должно быть оформлено отдельно от остальных документов.
Правильно передавайте персональные данные
Передача ПДн третьим лицам — один из самых рискованных процессов. Закон строго регламентирует обработку и хранение персональных данных в таких случаях. Вы остаетесь ответственными за данные, даже после их передачи.
Основные правила передачи:
1. Получите согласие. Оно необходимо в большинстве случаев. Исключение — передача в рамках исполнения договора (например, курьерской службе для доставки) или по требованию закона (в ФНС, СФР).
2. Заключите договор-поручение. Если вы поручаете другому лицу (агенту, подрядчику) обрабатывать данные от вашего имени, это оформляется официальным документом. В договоре укажите:
перечень передаваемых данных.
цели их обработки.
перечень действий, которые можно совершать с данными.
обязанность соблюдать конфиденциальность и правила безопасности.
требования к защите данных.
3. Убедитесь в безопасности агента. Вы обязаны удостовериться, что компания-получатель обеспечивает адекватную защиту данных. Она должна принимать как минимум те же меры безопасности, что и вы.
На практике компании чаще всего ошибаются именно в оформлении документов по ПДн: политика неполная, уведомление в Роскомнадзор не подано, нет согласий сотрудников. Мобиз помогает собрать все необходимые документы, проверяет корректность и уведомляет о нарушениях раньше регулятора.
Ответственность оператора за нарушения
Чаще всего операторов привлекают к ответственности по ст.13.11 КоАП за следующие правонарушения:
1. Отсутствие надлежаще оформленного согласия. Согласие должно быть конкретным, информированным и содержать все данные, требуемые законом. Проставление галочки на сайте без ясной цели — рискованно.
Пример: в форме подписки на сайте нет перечня данных, целей обработки и срока действия согласия.
Штраф для юрлиц: От 300 000 до 700 000 рублей.
2. Нарушение требований о локализации (ч.5 ст.18 ФЗ №152-ФЗ). Собирать ПДн можно только с помощью сервисов и ПО, серверы которых находятся на территории РФ. Использовать иностранное ПО нельзя. Это одно из самых дорогих нарушений.
Пример: база данных клиентов онлайн-магазина хранится на серверах в другой стране без соблюдения требований локализации.
Штраф для юрлиц: От 1 млн до 6 млн рублей.
3. Отсутствие регистрации в Роскомнадзоре. Зарегистрироваться в реестре операторов нужно до начала обработки ПДн.
Пример: человек открыл ИП, начал продавать товары в онлайн-магазине, не зарегистрировавшись в РКН.
Штраф для ИП и юрлиц: от 100 000 до 300 000 рублей.
Чтобы снизить вероятность штрафа, регулярно проводите внутренний контроль обработки персональных данных. Если хотите узнавать о нарушениях до получения предписания или штрафа от Роскомнадзора, воспользуйтесь сервисом Мобиз. С его помощью можно круглосуточно отслеживать события по вашей компании и контрагентам, а также своевременно выявлять риски.
