Привет! Вы в блоге «Коммерческая тайна». Не всё попадает в опубликованные статьи. В нашем Telegram-канале мы рассказываем то, что нельзя написать в блоге. Если вы — собственник или бухгалтер, подписка = доступ к информации, которая экономит сотни тысяч.
Многие предприниматели уверены, что уведомление в Роскомнадзор — это всё, что нужно для законной обработки персональных данных. На деле — это лишь формальность. Чтобы не получить штраф и не подвергнуть бизнес риску, нужно больше. Гораздо больше.
Закон требует сформировать комплект внутренних документов — причём в зависимости от того, кто вы: самозанятый, ИП или ООО. Особенно внимательно стоит быть тем, у кого есть сотрудники — ответственность здесь выше.
Что такое уведомление в Роскомнадзор
Это обязательная регистрация в реестре операторов персональных данных. Если вы собираете и храните ПДн сотрудников, клиентов или пользователей — вы обязаны подать уведомление. Но это только начало.
Без внутренних документов уведомление — мёртвый груз. Оно не освобождает от ответственности по закону «О персональных данных». Наоборот, у проверяющих появляется основание спросить: «А где положение? А где политика? Кто назначен ответственным?»
Какие документы действительно нужны
1. Если вы самозанятый
Допустим, вы мастер маникюра, фотограф, преподаватель, психолог. Вы работаете один и собираете имена, телефоны, e-mail клиентов. Минимум, который от вас требуется:
Политика обработки персональных данных. Это базовый документ, в котором вы описываете цели, перечень собираемых данных и меры по защите. Если работаете онлайн — публикуйте её на сайте. Офлайн — разместите на информационном стенде.
Согласие на обработку данных. Может быть оформлено как отдельный документ, либо встроено в договор, анкету или форму заявки. В онлайн-форме — это привычная галочка «Согласен с обработкой данных».
Обязательство о неразглашении. Даже если вы работаете один, фиксируйте, что не передаёте данные третьим лицам. Формат простой: «Я, [ФИО], обязуюсь не разглашать персональные данные клиентов без их согласия».
Положение об обработке и защите ПДн. Здесь вы описываете сроки, способы хранения и удаления данных, а также меры безопасности.
2. Если вы ИП без сотрудников
К вышеперечисленному добавляется:
Приказ о назначении ответственного. Даже если вы — единственный человек в бизнесе. Пример: «Назначить ответственным за обработку персональных данных ИП [ФИО]».
3. Если у вас ИП или ООО с сотрудниками
Документов становится больше, и требования — строже:
Положение о персональных данных работников. Перечислите, какие именно данные обрабатываете: паспорт, ИНН, номер счёта, зарплата и т. д.
Согласие работников на обработку данных. Каждый сотрудник должен подписать, что он согласен на обработку своих данных работодателем.
Приказ об установлении списка лиц, имеющих доступ к данным. Это официальный перечень — кто в компании может работать с персональными данными.
Регламент допуска. Подробно — кто и какие данные может видеть. Например: бухгалтер — полные данные для расчёта зарплаты, менеджер — только имя и телефон клиента.
Обязательство о неразглашении от сотрудников. Каждый должен письменно подтвердить, что не будет передавать данные третьим лицам.
Почему нельзя просто взять шаблон из интернета
Многие уверены: можно найти образец и просто заменить название компании. Это ошибка. Даже одно неточное слово в формулировке может стать причиной штрафа. Или — отказа от Роскомнадзора принять документы.
Проблема не только в юридических тонкостях. У каждого бизнеса своя специфика: одни работают с медицинскими данными, другие — с фотографиями клиентов, третьи — с видеозаписями. Один и тот же шаблон под все случаи не подходит.
Чем рискует бизнес без правильных документов
Без полного комплекта документов Роскомнадзор вправе наложить штраф или запретить обработку персональных данных до устранения нарушений. Это не редкость, а рабочая практика.
Особенно рискуют те, у кого есть сайт или CRM. Проверяющие приходят с контрольной закупкой, заполняют форму — и если политика не найдена, а галочки на согласие нет — будет акт.
Что делать
Если вы обрабатываете персональные данные — проверьте: все ли документы оформлены, актуальны и размещены там, где должны быть.
Если не уверены, что сможете сделать это правильно — есть смысл доверить оформление профессионалам. Это не тот случай, где стоит экономить. Нарушения в сфере персональных данных — это и риски, и репутационные потери.
Начать дискуссию