В эпоху цифровых технологий, когда каждый клик и действие в интернете оставляют след, вопросы обработки персональных данных становятся краеугольным камнем для любого, кто работает с информацией. От небольших интернет-магазинов до крупных корпораций, от фрилансеров до индивидуальных предпринимателей — каждый сталкивается с необходимостью соблюдения правил игры, установленных российским законодательством. Главным регулятором  выступает Федеральный закон No 152-ФЗ «О персональных данных». 30-го мая увеличили штрафы за нарушения в области хранения, обработки и защиты персональных данных. Давайте разберемся, что нужно знать и как правильно действовать, чтобы избежать штрафов.

Когда данные являются персональными? И что с ними делать?

Начнем с самого простого: если на сайте клиент оставляет имя и номер телефона  — это сбор персональных данных? Однозначно да! Этот, казалось бы, безобидный запрос информации уже подпадает под действие закона.  Значит, рядом с такой формой должна быть четкая ссылка на  политику конфиденциальности и явное, недвусмысленное предупреждение, что данные будут собираться, храниться и обрабатываться.

Являются ли куки (cookie) персональными данными? Они тоже подпадают под регулирование. Если вы используете куки, посетитель должен быть об этом уведомлен. Как правило, это реализуется через специальный баннер, который появляется при первом заходе на сайт.

Все эти требования четко и подробно прописаны в 152-ФЗ. Важно понимать, что он регулирует не только строго определенные биометрические данные (отпечатки пальцев, изображения лица), но и любые другие сведения, которые позволяют прямо или косвенно идентифицировать человека. То есть, простое имя в связке с номером телефона, адресом электронной почты или даже IP-адресом — это уже классический пример персональных данных, требующих защиты и соблюдения всех законодательных норм.

Где хранить данные, если компания функционирует в России, но зарегистрирована в другой стране? 

Если вы работаете в России и собираете персональные данные граждан РФ, ваши базы данных обязательно должны находиться на территории России. Даже если ваш основной сервер или головной офис расположен за рубежом, вы обязаны обеспечить локализацию данных.

А будут ли дополнительно проверять тех, кто уже подал уведомление в Роскомнадзор?

Пока сложно сказать наверняка, но вероятность такой проверки существует. В условиях растущего внимания к вопросам цифровой безопасности, операторам данных лучше быть готовыми к возможным аудитам и проверкам соответствия. Соблюдать требования выгоднее, чем потом быстро исправлять замечания.

А что насчет самозанятых?

Очень частый и важный вопрос: касается ли закон о персональных данных самозанятых граждан? Ответ — да, безусловно, касается! Если вы, как самозанятый, собираете и обрабатываете персональные данные своих клиентов (например, ведете базу контактов для рассылки, оформляете заказы с указанием адресов и телефонов), вы подпадаете под действие закона. И для физических лиц тоже предусмотрены отдельные штрафы.

Например, за неправильную обработку, их раскрытие без согласия, самозанятому могут грозить штрафы до 50 000 рублей.

Сколько Роскомнадзор рассматривает уведомление о начале обработки данных?

Официальный срок — 30 рабочих дней, но обычно рассматривают за 10. После этого вы получаете подтверждение о включении вас в реестр.

Нужно ли уведомлять Роскомнадзор, если база в 1С?

Теперь о технических аспектах. Если вы храните персональные данные в таких популярных бухгалтерских или учетных программах, как 1С, или любой другой информационной системе, которая позволяет автоматизировать процессы обработки данных — да, вы обязаны подать уведомление в Роскомнадзор. Любая автоматизированная обработка персональных данных требует официального информирования.

А если вся информация о сотрудниках или клиентах хранятся исключительно на бумаге?

В этом случае, согласно пункту 8 части 2 статьи 22 Федерального закона No 152-ФЗ, уведомление не требуется. Однако стоит помнить: как только вы переносите эти данные в электронный вид, пусть даже частично (например, сканируете документы или заносите контакты в электронную таблицу), обязанность по уведомлению возникает. Важно четко разделять «ручной» и автоматизированный учет.

Подведем итог

Защита персональных данных — серьезная законодательная норма, которая касается практически каждого, кто ведет бизнес в России. Это часть  ответственности перед клиентами, сотрудниками, государством. Игнорировать правила — значит рисковать не только репутацией, но и ощутимым ударом по кошельку.

Поэтому крайне важно:

• Внимательно изучить Федеральный закон No 152-ФЗ.
• Собрать пакет документов, регулирующих обработку, хранение и защиту ПНд.
• Назначить ответственного за обработку ПНд приказом.
• Получать явные согласия от субъектов персональных данных.
• Обеспечить хранение данных граждан РФ на территории России.
• Подать уведомление в Роскомнадзор.

Соблюдение этих норм поможет вам спокойно работать, не опасаясь внезапных проверок и штрафов, и построить доверительные отношения с вашей аудиторией.

Если у вас есть вопросы или вам нужна помощь в сборе документов и подаче уведомления в Роскомнадзор, то звоните нам! Наша компания оказывает услуги по подаче уведомления в Роскомнадзор и сборе документов. За 1 день вы будете внесены в реестр, а через 3 дня у вас на руках будут документы. Обращайтесь!