Как работать с персональными данными, чтобы не получить штраф от Роскомнадзора

Если предприниматель собирает информацию о клиентах или посетителях своего сайта, он становится оператором персональных данных. К ним относится практически любая информация: телефоны, ссылки на соцсети, адреса. Чтобы правильно обрабатывать данные, нужно выполнять требования Федерального закона № 152-ФЗ. В противном случае бизнес получит солидный штраф от Роскомнадзора.

В журнале Делобанка разобрались, какие данные считаются персональными и как правильно их собирать, чтобы не получить проблем для бизнеса.

Какие данные считаются персональными

Персональные данные — это любая информация, которая прямо или косвенно относится к человеку. Закон не конкретизирует перечень, но обычно суды и Роскомнадзор причисляют к ним:

  • фамилию, имя и отчество человека;
  • дату рождения, паспортные данные;
  • адрес проживания или регистрации;
  • данные о местоположении и перемещениях;
  • номера телефонов, адреса электронной почты;
  • фотографии, видеозаписи с участием человека;
  • IP-адреса устройств, ссылки на учетные записи.

Персональными данными считаются и куки. Это небольшие текстовые файлы, которые хранятся в браузере и содержат информацию о посещённых сайтах: время и дату просмотра, тип устройства, просмотренные товары и страницы. Куки помогают сайтам запоминать пользователей, чтобы не авторизоваться каждый раз. Такие данные относятся к персональным как по отдельности, так и в составе куки-файла.

Как понять, что я оператор персональных данных

Вот простой пример. Алина продаёт мыло ручной работы. Она запустила одностраничный сайт и разместила фото всех товаров. Чтобы клиентам было удобнее, на сайте есть форма для обратного звонка. Покупатели оставляют номер телефона, Алина перезванивает, уточняет заказ и договаривается о доставке. В этом случае Алина — оператор персональных данных, хоть и запрашивает только телефон.

Максим недавно открыл барбершоп. До сентября 2020 года он просто давал рекламу и привлекал новых клиентов. Персональные данные Максим не обрабатывал. Когда появилась постоянная аудитория, барбершоп ввёл программу лояльности — скидочные карты. Чтобы их оформить, клиенты оставляют фамилию, имя и номер телефона. Так Максим стал оператором персональных данных.

Операторы персональных данных — это любые компании и ИП, которые собирают информацию о пользователе. Фактически это любой предприниматель, который размещает в интернете формы для:

  • регистрации на сайте;
  • авторизации через соцсети;
  • ответного звонка или сообщения;
  • заказа товара или услуги;
  • подписки на рассылку;
  • обратной связи.

Не имеет значения, как пользователь передает персональную информацию: по почте, на сайте, через соцсеть или в личном разговоре с менеджером. Каждый из случаев — это сбор персональных данных.

Не считаются операторами только:

  • Физические лица, которые собирают данные для личных или семейных нужд. Например, если человек записал номер телефона друга или спросил имейлы коллег, чтобы разослать приглашения на юбилей.
  • Компании, которые обязаны хранить архивные документы по закону «Об архивном деле». Это государственные организации, которые занимаются делами Архивного фонда РФ.
  • Компании, которые обрабатывают данные, отнесенные к гостайне указом Президента. Это органы власти и государственные организации.

Чтобы собирать и обрабатывать персональные данные, не обязательно работать в интернете. Если магазин оформляет дисконтную карту покупателю и спрашивает его номер телефона — это тоже сбор персональных данных.

Как правильно собирать и обрабатывать данные

Сбор, хранение и обработку персональных данных регламентирует Федеральный закон № 152-ФЗ от 27 июля 2006 года. Он предусматривает четыре правила, которые бизнес обязан соблюдать, если собирает информацию о пользователях и клиентах.

Перенесите сайт и базы персональных данных на российские серверы и хостинги

Закон разрешает собирать информацию о пользователях только на территории России. Это значит, что компании не могут пользоваться услугами зарубежных хостинг-провайдеров, если работают с персональными данными. Чтобы не нарушать требование закона, перенесите сайт на российских хостинг.

Некоторые международные хостинг-провайдеры имеют серверы в России. В таких случаях переносить сайт на новый хостинг не придётся: просто договоритесь, чтобы его разместили на российских серверах.

Будьте осторожны с конструкторами сайтов. Обычно они используют собственные зарубежные хостинги, даже если работают с полной поддержкой русского языка. В таких случаях лучше заранее уточнять, где находятся серверы. Если Роскомнадзор обнаружит, что сервер с вашим сайтом расположен за рубежом, сайт заблокируют, а вам могут выписать штраф (о размерах мы рассказали в последнем разделе).

Зарегистрируйтесь в качестве оператора персональных данных

Если вы планируете собирать персональные данные, заранее сообщите об этом Роскомнадзору — ещё на этапе разработки сайта или форм для подписок. Это всего лишь уведомительный порядок: собирать кучу документов и ехать в офис Роскомнадзора не придётся.

Чтобы уведомить Роскомнадзор, заполните небольшую анкету на его официальном сайте. Вот что нужно указать:

  • реквизиты и контакты компании;
  • цель сбора и обработки данных;
  • перечень действий с данными клиентов;
  • виды данных, которые планируете собирать;
  • информацию о месте нахождения сайта и баз данных.

Когда заполните и отправите анкету через сайт, сохраните её на компьютер и распечатайте. Подпишите документ и направьте заказным письмом в управление Роскомнадзора по месту регистрации бизнеса. Это обязательное требование. Перечень управлений с названиями и адресами посмотрите на сайте ведомства.

После регистрации Роскомнадзор внесёт ваш бизнес в Реестр операторов персональных данных. Найдите в реестре компанию и разместите на своём сайте ссылку — это дополнительное подтверждение, что вы соблюдаете все требования закона.

Некоторые компании могут не уведомлять Роскомнадзор, если:

  • собирают данные только о собственных сотрудниках;
  • заключают с каждым пользователем согласие на обработку данных;
  • запрашивают только фамилии, имена и отчества;
  • обрабатывают данные только на бумаге.

Есть и другие, более редкие исключения из общего правила. На всякий случай посмотрите весь список в законе — вдруг ваш бизнес может не уведомлять Роскомнадзор.

Запросите согласие на сбор и обработку данных

Добавьте под каждую форму для сбора данных небольшое предупреждение. Например, сделайте поле для галочки и подпись: «Я согласен на обработку персональных данных». Или просто добавьте текст: «Отправляя форму, вы даёте согласие на обработку персональных данных».

Чтобы законно обрабатывать данные, сообщите пользователю, кто, как и с какой целью использует информацию. Для этого составьте согласие на обработку персональных данных. Вот что в нём нужно указать:

  • реквизиты оператора персональных данных;
  • ФИО сотрудника, ответственного за обработку данных;
  • перечень действий с персональными данными;
  • срок, в течение которого действует согласие;
  • перечень данных и цели обработки.

Если вы составляете документ на бумажном носителе, добавьте ещё несколько пунктов:

  • паспортные данные субъекта персональных данных;
  • паспортные данные представителя субъекта (например, по доверенности);
  • подпись субъекта (и его представителя).

Чтобы пользователи ознакомились с документом, добавьте ссылку к форме регистрации или подписки. Конечно, согласие почти никто не прочитает. Зато вы обезопасите себя от лишних проверок.

Составьте и разместите на сайте политику обработки данных

Политика обработки персональных данных — ещё один документ, который проверяет Роскомнадзор. Он содержит общие правила сбора, обработки и хранения информации о пользователях. Фактически документ более подробно раскрывает согласие. Строгих требований для политики нет, но вы можете использовать рекомендации Роскомнадзора.

Размещать политику обработки данных под каждой формой не нужно. Добавьте ссылку на документ в любое место сайта. Например, в перечень локальных документов или нижнюю часть главной страницы. Если интересно, почитайте политику конфиденциальности Делобанка — можете даже взять в качестве примера.

Некоторые компании совмещают согласие и политику обработки данных. Роскомнадзор за это не штрафует, но лучше документы разделить — кто знает, к чему захочет придраться инспектор.

Что будет, если нарушить требования 152-ФЗ

Роскомнадзор проводит дистанционные и выездные проверки. Если инспекторы заметят, что вы обрабатываете персональные данные без согласия пользователей, бизнес получит внушительный штраф — до 75 тыс. рублей, а его руководитель — до 20 тыс. рублей.

Наказания за неправильную работу с персональными данными постоянно ужесточаются. Раньше бизнесу грозил один штраф — до 10 тыс. рублей, но с 2017 года их стало больше. Например, за работу без политики обработки данных компании получают штраф до 30 тыс. рублей, ИП — до 10 тыс. рублей. Кроме того, Роскомнадзор накладывает денежные санкции и за другие нарушения:

  • не предоставили пользователю информацию об обработке его данных — до 40 тыс. рублей для компаний или 15 тыс. для ИП;
  • проигнорировали запрос пользователя на удаление его персональных данных — до 45 тыс. рублей для компаний или 20 тыс. для ИП.

В 2019 году появился новый штраф — за сбор данных через сайты с иностранными хостинг-провайдерами. Его размер — от 1 до 6 млн рублей для компаний и от 30 до 60 тыс. рублей для ИП. Руководителей тоже штрафуют на солидные суммы — от 100 до 200 тыс. рублей.

Коротко

  1. Персональные данные — любая информация о пользователе или клиенте, которую получает предприниматель. Если компания или ИП собирают номера телефонов, email или ФИО, они считаются операторами персональных данных.
  2. Чтобы правильно обрабатывать данные, предприниматель должен соблюдать требования Федерального закона № 152-ФЗ. В частности, он размещает сайт на российском хостинге, составляет согласие и политику обработки данных, а также уведомляет Роскомнадзор о работе в качестве оператора.
  3. Если компания неправильно собирает и обрабатывает персональные данные, Роскомнадзор выписывает штрафы. Например, за работу без политики обработки — до 30 тыс. рублей, за сбор без согласия — до 75 тыс., за работу на иностранном хостинге — до 6 млн.

Антон Техтелев

«Подпишитесь на наш блог, чтобы первыми узнавать лайфхаки для бизнеса»

0
43 комментария
Написать комментарий...
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Indig0

Какие же всё-таки бредовые у нас законы(

Ответить
Развернуть ветку
Георгий Беглорян

Бредовые статьи на vc/ 

Ответить
Развернуть ветку
Георгий Беглорян

Примеры у вас некорректные. 

Давайте разберем один.

Алина продаёт мыло ручной работы. Она запустила одностраничный сайт и разместила фото всех товаров. Чтобы клиентам было удобнее, на сайте есть форма для обратного звонка. Покупатели оставляют номер телефона, Алина перезванивает, уточняет заказ и договаривается о доставке. В этом случае Алина — оператор персональных данных, хоть и запрашивает только телефон.

1. Номер телефона сам по себе не относиться к ПД (Куча писем Роскомнадзора) потому что не позволяет идентифицировать субъекта персональных данных. *

2. Алина исполняет договор-купи продажи мыла ручной работы, поэтому она вправе не регистрироваться в РКН как оператор и т.д. **

Так как знаю чиновников из РКн, скажу так, они в сами в шоке от того что вы не понимаете терминологию и закон и спамите службу своими бессмысленными регистрациями ОПД.  

*ч.1 ст.3 ФЗ «О персональных данных»

**п.2, ст.22, ФЗ РФ 152 "О персональных данных" полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

Ответить
Развернуть ветку
Александр СПб

Что значит спамите??? Они там для чего сидят? Не для того, чтобы разъяснять пользователям то, что сами и напридумывали и помогать не нарушать "закон"? Логика у вас конечно чиновничья, нет слов. С какого я должен её понимать и разбираться в терминологии бюрократов?

Ответить
Развернуть ветку
Делобанк
Автор

Александр, если у вас есть вопросы по налогам, продажам и эффективности бизнеса — задайте их нашим экспертам. Они постараются помочь. Присоединяйтесь к нашему деловому клубу в мессенджере телеграм (бесплатно и без регистраций) → https://t.me/joinchat/Pzg8m8ch729iZjgy

Ответить
Развернуть ветку
Andrey Knyazev

То есть если ты делаешь стартап и ты собираешь почту людей, то ты попадаешь вот под это все?

Ответить
Развернуть ветку
Mike Kosulin

Да.
Добро пожаловать в Россию:)

Ответить
Развернуть ветку
Георгий Беглорян

нет, почта к ПД не относиться 

Ответить
Развернуть ветку
Чайка О.

А если она содержит имя и фамилию? Мне давеча юрист говорил, что самый надёжный вариант - спрашивать только телефон.

Ответить
Развернуть ветку
Георгий Беглорян

ФИО тоже не относиться к ПД если не позволяет определить субъекта ПД. 
Предположим, у вас почта [email protected] - такая учетная запись не будет являться ПД. Также учитывайте правила сервиса электронной почты, там может быть прямо указано что ваш маил это не ПД. Можете мне не верить, но у меня очень хороший бэкграуд по этому вопросу в ЕС и РФ который затрагивает очень большую аудиторию в Интернете.       

Ответить
Развернуть ветку
Чайка О.

Спасибо за ответ. Я вам верю ).

Ответить
Развернуть ветку
ITNEWS

Постановление Правительства Российской Федерации от 13.09.2019 № 1197
Почта и телефон относятся к ПД.

http://publication.pravo.gov.ru/Document/View/0001201909160024

Ответить
Развернуть ветку
Чайка О.

Спасибо!

Ответить
Развернуть ветку
ITNEWS

Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 30.12.2020) "О персональных данных" (с изм. и доп., вступ. в силу с 01.03.2021)> Глава 4. Обязанности оператора> Статья 22. Уведомление об обработке персональных данных

Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) обрабатываемых в соответствии с трудовым законодательством;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

Т.е, по логике если у вас регистрация на сайте с офертой (пользовательское соглашение) и регистрация нужна для доступа к разделам сайтам вашим которые не доступны обычным пользователям и/или вы будете оказывать платные услуги этим пользователем кто зарегистрировался. И уведомлять Роскомнадзор не нужно.

Если я ошибаюсь, пусть меня поправят специалисты в этом вопросе!

Ответить
Развернуть ветку
Mike Kosulin

Только нельзя тогда никаких рекламных смс отправлять;)
И лучше отправлять не от своего имени, а от сервиса авторизации

Ответить
Развернуть ветку
Andrey Knyazev

Спасибо :)

Ответить
Развернуть ветку
ITNEWS

Постановление Правительства Российской Федерации от 13.09.2019 № 1197
Почта относится к ПД.

http://publication.pravo.gov.ru/Document/View/0001201909160024?index=1&rangeSize=1

Ответить
Развернуть ветку
Делобанк
Автор

Андрей, если у вас есть вопросы по налогам, продажам и эффективности бизнеса — задайте их нашим экспертам. Они постараются помочь. Присоединяйтесь к нашему деловому клубу в мессенджере телеграм (бесплатно и без регистраций) → https://t.me/joinchat/Pzg8m8ch729iZjgy

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Indig0

Если соблюдать все правила, то ещё как усложнило, либо сделало невозможным использование некоторых сервисов.
Приведу пример. Есть такой инструмент как Firebase от Гугл, используется для бэкенда мобильных приложений. Очень легко позволяет прикрутить к мобильному приложению систему авторизации, облачную базу данных, рассылку пушей и аналитику. Но всё это крутится в облаках Гугла в Европе (не в РФ) и США. И соответсвенно не соответсвует нашим законам. А инструмент реально полезный и удобный для мобильных стартапов, и аналогов с серверами в РФ не имеет.

Ответить
Развернуть ветку
Dmitrii Tikhonov

Сам сейчас прикрутил firebase к приложению и очень печалит ситуация с РФ рынком. Может просто отключить регистрацию по телефону для рф пользователей или добавить галочку...

Ответить
Развернуть ветку
Indig0

Я пока просто решил забить на эти требования, либо до тех пор как по шапке не дадут, либо до массовых прецедентов на рынке.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Indig0

Ну такое себе - минимальный тариф 9к в месяц, а у firebase в бесплатном тарифе довольно неплохие лимиты.
По качеству и надёжности вряд ли превосходят firebase, а по функционалу отстают.

Вместо них я бы наверное посмотрел в сторону развёртывания на своих серверах.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Евгений Пыхтин

Где можно посмотреть прецеденты о признании адреса эл.почты персональными данными? Каким образом оператор может с помощью эл.адреса "однозначно идентифицировать гражданина", а ведь этот критерий являлся главным для попадания в категорию персональных данных, емнип.

Ответить
Развернуть ветку
Георгий Беглорян

почта не относиться к ПД, также как ФИО, без других данных

Ответить
Развернуть ветку
Pavel Protasov

Такого критерия в законе нет и никогда не было. Закон относит к ПДн любую информацию, которую можно прямо или косвенно связать с конкретным лицом.

Ответить
Развернуть ветку
Евгений Пыхтин

Поэтому я и спрашиваю о конкретных кейсах признания одного email (даже без фио) ПД. В этом случае практически весь емайл-маркетинг оказывается вне закона, потому что большинство сервисов массовой рассылки зарубежные.

Ответить
Развернуть ветку
Делобанк
Автор

Евгений, если у вас есть вопросы по бизнесу — задайте их нашим экспертам. Они постараются помочь. Присоединяйтесь к нашему деловому клубу в мессенджере телеграм (бесплатно и без регистраций) → https://t.me/joinchat/Pzg8m8ch729iZjgy

Ответить
Развернуть ветку
Mike Kosulin
Закон разрешает собирать информацию о пользователях только на территории России. Это значит, что компании не могут пользоваться услугами зарубежных хостинг-провайдеров, если работают с персональными данными.

Это не совсем так.

Ответить
Развернуть ветку
Делобанк
Автор

Майк, если у вас есть вопросы по бизнесу — задайте их нашим экспертам. Они постараются помочь. Присоединяйтесь к нашему деловому клубу в мессенджере телеграм (бесплатно и без регистраций) → https://t.me/joinchat/Pzg8m8ch729iZjgy

Ответить
Развернуть ветку
Mike Kosulin

Если кратко, то вот

Ответить
Развернуть ветку
Катя Канева

Хорошая статья, но в ней есть серьезная ошибка - регистрироваться в реестре операторов ПД в РКН в соответствии с исключениями, предусмотренными ст. 22 ФЗ о ПД не обязаны компании, которые осуществляют обработку в ПД в целях исполнения договора заключённого с субъектом (то есть если Вы собираете ПД для организации доставки товара по заказу или для оказания заказанной услуги например в соответствии с офертой на сайте). Из Вашей же статьи следует, что это должны делать практически все. Это вредное и опасное заблуждение. 

Ответить
Развернуть ветку
Антон Левин
Некоторые компании могут не уведомлять Роскомнадзор, если:
- заключают с каждым пользователем согласие на обработку данных;

Двоякость какая то. Т.е. если пользователь поставил галку "согласен", то соглашение есть и можно не становится оператором ПН?

Ответить
Развернуть ветку
Делобанк
Автор

Антон, если у вас есть вопросы по налогам, продажам и эффективности бизнеса — задайте их нашим экспертам. Они постараются помочь. Присоединяйтесь к нашему деловому клубу в мессенджере телеграм (бесплатно и без регистраций) → https://t.me/joinchat/Pzg8m8ch729iZjgy

Ответить
Развернуть ветку
Егор Зотов

А если обрабатывать данные с отрытых источников и не хранить их - например парсить сайты и отсылать куда-то эти данные, не сохраняя у себя, это попадает под 152 фз ?

Ответить
Развернуть ветку
Делобанк
Автор

Егор, если у вас есть вопросы по бизнесу — задайте их нашим экспертам. Они постараются помочь. Присоединяйтесь к нашему деловому клубу в мессенджере телеграм (бесплатно и без регистраций) → https://t.me/joinchat/Pzg8m8ch729iZjgy

Ответить
Развернуть ветку
Zloy Sniper

Можно ли считать себя оператором персональных данных, если для регистрации требуется ввести email в качестве логина, а оплата подписки проводится картой через paypal и российский банк-эквайер? И можно ли в этом случае расположить сайт на иностранном хостинге?

Ответить
Развернуть ветку
Антон Смуров

Я верно понимаю, если физлицо владеет сайтом, на котором есть регистрация, то этот случай просто никак не регламентирован?

Ответить
Развернуть ветку
Делобанк
Автор

Антон, если у вас остались вопросы по бизнесу — задайте их нашим экспертам. Они постараются помочь. Присоединяйтесь к нашему деловому клубу в мессенджере телеграм (бесплатно и без регистраций) → https://t.me/joinchat/Pzg8m8ch729iZjgy

Ответить
Развернуть ветку
40 комментариев
Раскрывать всегда