Закон о персональных данных (152-ФЗ) — штука достаточно противная. Требований тьма, соблюсти их все точно практически нереально, утечки случаются постоянно. И никто ни за что не отвечает. Но, если не будет какой-то вшивой бумажки, то можно схлопотать штрафов на 200 тысяч рублей за «низачто».
Привет, коллеги! Меня зовут Татьяна Никанорова — предприниматель, экономист, юрист, руководитель Консалтингового центра Профдело. С 2006 года помогаем малому и среднему бизнесу решать бухгалтерские и юридические вопросы, а также настраивать управленку и анализировать финансы.
Проверьте, касается ли вас закон о персональных данных
Любой бизнес, кроме неработающего, занимается обработкой персональных данных, и ваш тоже.
Проверьте себя, делаете ли вы что-то из перечисленного:
Нанимаете сотрудников.
- Сотрудничаете с самозанятыми.
Размещаете фото сотрудников на сайте.
Размещаете заявки на сбор данных на сайте.
Ведете CRM-систему (базу данных на клиентов) .
Ведете продажи методом холодного обзвона.
Размещаете вакансии и собираете резюме.
Публикуете в соцсетях фотографии с производства, на которых изображены люди.
Публикуете в СМИ статьи и кейсы с указанием фамилий сотрудников.
У вас образовательная организация.
У вас онлайн-сервис, требующий регистрации пользователей.
У вас ООО, и в нем в качестве единоличного исполнительного органа указан генеральный директор (а не управляющая организация) .
Если нашли хотя бы одно — поздравляю! Вы обрабатываете персданные, и вам нужно читать дальше.
Перечень не исчерпывающий, есть еще много ситуаций, где происходит обработка персональных данных. Если вы не уверены — лучше проконсультироваться с юристом.
Согласно закону 152-ФЗ «О персональных данных», обрабатывать данные значит:
- собирать;
записывать;
систематизировать;
- хранить;
передавать;
уничтожать.
Перечень длиннее, я выбрала самое важное. Полный перечень — в п. 3 ст. 3 Закона 152-ФЗ.
Неважно, где вы собираете и просматриваете персданные: на своем сайте или в стороннем онлайн-сервисе — всё это считается обработкой.
Политика конфиденциальности или Положение об обработке персональных данных
Вы наверняка встречали в сети оба варианта названий. Кто-то говорит, что они нужны все и радостно пытается продать вам 100500 образцов. Кто-то говорит, что всё это одно и то же. Где правда? — Правда в законе, как обычно.
Термин «Политика конфиденциальности» пришел к нам из европейского законодательстве по защите персданных. Он прописан в General Data Protection Regulation, GDPR — Общем регламенте по защите данных. Так называется документ по европейскому закону.
Закон 152-ФЗ о персданных требует от оператора, чтобы тот определился со своей политикой по обработке персональных данных, издал соответствующие локальные нормативные акты по обработке ПДн и по выявлению и предотвращению нарушений в сфере ПДн (пп 2, п. 1, ст 18.1 Закона 152-ФЗ).
В России все внутренние локальные нормативные акты было принято называть «Положением», и если вы используете термин «Положение» сейчас — это не ошибка. Я предпочитаю называть документ Политикой — как это указано в законе. Полное название документа может звучать так: «Политика об обработке персональных данных и о мерах по выявлению и предупреждению нарушений».
Некоторые делят этот документ на несколько:
Политика (положение) об обработке ПД;
Политика (положение) о защите ПД;
- Положение (политика) об уничтожении ПД;
Приказ о мерах по выявлению угроз;
- … и т. д.
В каком-нибудь условном «Газпроме» это, вероятно, обосновано. Для малого бизнеса в таком делении особой необходимости нет. Делайте единый документ, включайте туда всё, что требует закон, и будет вам счастье!
Нужно ли пользовательское соглашение
Пользовательское соглашение — это тоже калька с иностранного. Это, по сути, договор между пользователем сайта и его создателем. В российском праве это называется «оферта».
Вы можете называть документ «пользовательское соглашение», только он совершенно не про персональные данные, а про то, какие права и обязанности получают пользователи на вашем сайте, и какие полномочия есть у вас как владельца сайта. Документ крайне необходим онлайн-сервисам и всем сайтам, где есть регистрация/авторизация пользователей. И был бы неплох для всех остальных сайтов в качестве меры защиты авторского контента.
Как проверить, всё ли у вас в порядке по персональным данным
Даже если документы вам делал юрист, это, увы, не означает, что у вас всё в порядке. Мне жаль это говорить, но многие юристы документы делают так: скачивают в интернете шаблон, пробегают по диагонали, слегка редактируют под клиентские цели и отдают.
Вы документ смотрите — он длинный, сложный, читать неохота. Что-то там добавлено и даже отмечено: вот оно, очень важное. И вы думаете: «Они же юристы, лучше знают».
Или другой вариант: вы покупаете готовые шаблоны и подставляете в них свои реквизиты, надеясь, что все «прокатит».
Если я угадала, и один из вариантов — ваш, дам вам единственный способ привести документы в порядок. Это чеклист. Я напишу какие ключевые слова должны быть в вашем документе — Политике или Положении, — а вы пройдетесь по нему через поиск (Ctrl + F) и проверите, есть у вас они или нет. Если вам выдали несколько Положений-политик — сочувствую. Проверить придется их все. В этом плане единый документ оптимальнее, на мой взгляд.
Итак, что нужно проверить:
Ключевые слова: обработка, сбор, запись, систематизация, накопление, хранение, уточнение, обновление, изменение, извлечение, использование, передача, распространение, обезличивание, блокирование, удаление, уничтожение. Все эти действия совершает каждый бизнес с персданными, а в ваших положениях-политиках должно быть описано, как вы это делаете.
Цели. Вот здесь я ожидаю, что ваши документы будут несовершенны. Вернитесь в начало статьи — я там описала 12 самых распространенных целей обработки. Отметьте галочками ваши и найдите, где в вашем положении-политике указаны эти цели. Для каждой цели должна быть следующая информация:
— Наименование цели.
— Перечень персональных данных, которые собираются конкретно для этой цели.
— Длительность хранения персданных по этой цели, если она отличается от стандартной.
— Место хранения персданных по цели, если оно отличается от стандартного.
— Способ обработки (автоматизированный или ручной) .Если вашу бухгалтерию ведет аутсорсинговая компания, проверьте следующее:
— в согласиях от работников указано наименование компании, которой поручена обработка персональных данных;
— в договоре или отдельным документом прописано Поручение на обработку ПДн.
К содержанию документа «Поручение на обработку» закон предъявляет строгие требования — их можно найти в первоисточнике.Вы зарегистрированы в РКН как оператор персональных данных.
Этих четырех моментов достаточно. Если у вас по всем пунктам всё ок, значит, по персданным у вас, скорее всего, порядок. Если же вы что-то из чеклиста в своих документах не нашли, тогда ваши регламенты стоит доработать.
Тем, кто хочет посмотреть точный перечень документов, который делаем мы для наших клиентов, жмите сюда, без смс и регистрации.: )
Что делать, если документы не в порядке
Я выделила три ситуации различной степени тяжести. Собирайте анамнез, ставьте диагноз. А лечение для вас я уже прописала.
Ситуация 1: у вас вообще нет документов по персональным данным
Алгоритм самостоятельной подготовки:
Определяете все моменты, когда вы касаетесь персданных — это будут цели обработки.
Определяете стандартный срок хранения — обычно это «срок, необходимый для целей обработки» и стандартное место хранения.
По каждой цели составляете полный перечень возможных персданных, которые к вам попадут и способ их обработки.
Идете к нам на сайт, смотрите полный список документов, которые вам нужно подготовить.
Скачиваете любое современное положение-политику и добавляете туда все свои цели + перечень данных + место + длительность + способ обработки + порядок уничтожения.
Готовите остальные документы — самостоятельно или находите образцы в интернете.
Всё заполняете своими реквизитами.
Распечатываете, подписываете. Готово!
Если пойдете по варианту шаблонов или найма юриста — финальный результат проконтролируйте по моему чеклисту.
И не забудьте зарегистрироваться в Роскомнадзоре как оператор персональных данных.
Ситуация 2: У вас есть какие-то документы, но чего-то не хватает, например, целей
В принципе алгоритмы те же, что и в ситуации 1 — выявляете недостающее и доделываете.
Ситуация 3: Вы уже заплатили юристу хорошие деньги, но чего-то не хватило
Здесь призываю быть аккуратными в призывании «кар небесных» на голову юристов. Обратитесь к тому, кто готовил вам документы, и вежливо уточните, почему у вас не хватает какой-то информации. Вангую, что вы получите ответ «А вы нам этого не говорили». Не огорчайтесь, доплатите юристу, и пускай он доделает свою работу. 🙂
Если у вас плохо с персональными данными, примите срочные меры, чтобы стало хорошо. 152-ФЗ — закон достаточно противный. Его исполнение контролируют аж три ведомства:
- Роскомнадзор;
- ФСТЭК;
- ФСБ.
Упаси вас мироздание вызвать вопросы у кого-то из этой тройки. И не забудьте опубликовать Политику на сайте.
А можно ли поручить разработку документов по персданным нашим юристам? — Можно, у нас работают два прекрасных юриста, оба прекрасно разбираются в теме. Пишите нашему боту, он подключит юристов для обсуждения ваших задач.
Если статья была для вас полезной, подписывайтесь на мой блог, оставляйте комментарии. Чтобы не пропустить новые статьи, следите за анонсами в моем Телеграме.
Хороший гайд. Я бы добавил еще раздел касательно новых и сложных правил трансграничной передачи ПД
А нельзя вместо иностранного слова гайд сказать просто - инструкция / справочник ??
Арслан, это конечно серьезный вызов :) я бы сама почитала что-то толковое о трансграничной передаче. Но, если дойду до этого вопроса, напишу. Или у вас почитаю ))
да, это сложный вопрос, даже пока нечего почитать толкового
кстати, да. я бы тоже почитал
А мне интересно, я готовила доску почета на предприятии. Она висит в холле. Нужно брать согласие работника?
Мне тоже интересно, я подготовил пачку объявлений о пропаже собаки, с фоткой собаки, чтобы развесить на столбах, мне нужно брать согласие собаки? Она же пропала, как взять согласие. Спасибо
Комментарий недоступен
Это у вас всё плохо, Татьяна.
За чёрную галочку приходится отстёгивать Комитету по 20-ке в месяц, а лидов горяченьких так и нет с виси🤷🏻♂️
Уважаемый отмороженный аккаунт!
Вы и правы, и неправы одновременно.
Во-1, отстегиваю комитету по 18К в месяц, а не 20. Уже экономия, хоть не помру с голоду :)
Во-2, разубеждать о лидах не буду. Ни один рыбак не будет орать на весь пруд "эй, чуваки, сюда, тут много рыбы". Он ее наловит и сожрет сам, ни с кем не поделившись. Поэтому, да, тут рыбы нет. И лидов тут нет. Не ищите :)
Самая главная концептуальная проблема с персональными данными — это то что можно хранить их все в одном месте. Никто не может признать, что допускается систематическая ошибка при проектировании БД: кладутся все данные в одно место. Правильнее было бы раскладывать перс. данные хотя бы в 3-4 места хранения. Тогда проблем с их утечкой в таком масштабе просто бы не происходило. Так как один слив не дает полноты данных. А сейчас на клиентов в одной таблице заведены все данные человека. И сливаются по одному щелчку. Это не просто утечка. Это угроза национальной безопасности. Куда смотрит государство и спецслужбы? Нельзя разрешать такое проектировать. А по поводу усиления защиты: не взламываемых систем нет, вопрос исключительно соотношения цены взлома/ценности от взлома.
есть мнение, и не только моё, что статья не об этом. почему-то когда речь идёт о персональных данных, все обращают внимание только на защиту от утечек. тут дело-то вот в чём: даже если у вас БД в пятой нормальной форме и все таблицы раскиданы по разным серверам, но при этом нет приказа о назначении ответственного за обработку или на сайте нет политики конфиденциальности — вам светит штраф. если вы не получили от фрилансера согласие на обработку персональных данных и занесли его ФИО, ИНН и телефон в вашу CRM — вам светит штраф.
в статье чётко рассказано, что делать, чтобы на этот штраф не налететь. а не про защиту )
Михаил, спасибо за комментарий. Вопрос важный, но вариантов решения лично я не вижу. В теории я с вами согласна. А в практике - как разложить персданные в 3 места, если. например, используется типовая Битрикс24 или АмоСРМ?
Отличная статья, глубокая и понятная. От прочтения текста закона глаза вытекают, а у вас все по полочкам. Спасибо!
Я бы не сказал что статья глубокая, весьма все поверхностно
Вот, вот! Все очень понятно
Спасибо большое!
Благодаря этой статье мы стали юридически просвещенными в этой сфере)))
А где вы читали подобные статьи?
Как по мне - закон для галочки(палочки :) ). Исполнять его на 100% невозможно.
Зато штрафовать они будут за малейшее нарушение на все 100%, впрочем, как обычно.
Я полностью согласна. Нарушает каждый, вопрос лишь в том, к кому придут.
А штрафы будут большие , если попадетесь
А насколько часто за это штрафуют по факту? Не крупные компании, а всякий малый бизнес. Я ни одной компании не знаю, к которой бы по вопросы перс данных кто-то докапывался
Павел, вот до Митрошиной блогеры тоже говорили, что "ни одного блогера не знаю, к кому бы докопались" :) И то, понадобилось публично схватить Блиновскую, чтобы блогеры зашевелились.
Как часто штрафуют малый бизнес - не часто. Но штрафуют. Чаще всего штрафуют тех, на кого пожаловались, и с проверкой пришли по жалобе. Кроме того, недавно был мораторий, поэтому малый бизнес "не кошмарили", но мораторий заканчивается в этом году. Будут ли продлевать? - ХЗ, стране нужны деньги самизнаетезачем.
Ввели тотальную регистрацию всех юрлиц + ИП с сотрудниками в качестве операторов. Как думаете, зачем? Если вы сейчас сгенерировали какую-то мысль, скорее всего она верная :)
Фишка в том, что проверяют и, соответственно, штрафуют, из-за отсутствия документов, согласий или правильных галочек. Нужно просто сделать нормальный комплект документов, проинвентаризировать все свои формы и дособирать согласия. И можно спать спокойно еще 3-5 лет.
Прошу прощения за уточнение, но фсб и фстэк не имеют отношения к регулированию персональных данных, этим занимается исключительно роскомнадзор и никакие штрафы от фсб и фстэк вам прилететь не могут.
То что контролируют эти ведомства в чем то вытекает и из 152 в т.ч., однако штраф за неисполнение 152 фз вы можете получить только от ркн.
Кроме того пользовательское соглашение вообще никакой роли не играет в соответствии с законодательством. Возможно лучше заменить этот блок, либо добавить информацию о требованиях к веб ресурсам, коих немного - политика обработки пдн организацией расположена на сайте, соглашение об обработке пдн расположено на сайте, и ныне согласие на обработку пдн необходимо давать отдельно нажимая на галочку согласия и ситуация в духе "нажимая отправить вы соглашаетесь на обработку..." в данный момент неверна с точки зрения регулятора.
Также вероятно стоит добавить про проверки ркн, список которых легко найти и понять собираются ли к вам идти) Плановые проверки кстати со времен ковида отменяли, но уже вернули обратно. А вот внеплановые они могли осуществлять в соответствии с регламентом, который в настоящее время отменен. Однако в план могут внести внеочереди, при поступлении заявления от субъектов пдн в ркн с жалобой
Спасибо за ваше мнение.
1. В статье я написала, что ФСБ и ФСТЭК может проверять соблюдение закона о персональных данных.
Ссылки для юристов:
1. Приказ ФСБ № 378
2. Приказы ФСТЭК № 17 и 21
Ссылка для неюристов: https://vc.ru/legal/47605-personalnye-dannye-kto-pridet-vas-proverit, кстати, очень хорошая ссылка, там очень четко и кратко написано кто может проверить и перечень нормативно-правовых документов, которые это регулируют.
2. Вы пишете " пользовательское соглашение вообще никакой роли не играет в соответствии с законодательством".
Не играет никакой роли в обработке персональных данных - да. Я об этом и написала в статье.
Не играет никакой роли вообще - нет. Играет. Это оферта пользователям сайта.
3. Вы пишете "либо добавить информацию о требованиях к веб ресурсам, коих немного - политика обработки пдн организацией расположена на сайте, соглашение об обработке пдн расположено на сайте".
Политика и соглашение - это суть одно и то же. Я пишу об этом в статье. Плодить 2 документа нет необходимости. И даже вредно.
4. Вы пишете: "и ситуация в духе "нажимая отправить вы соглашаетесь на обработку..." в данный момент неверна с точки зрения регулятора."
Вы ошибаетесь. Неверная ситуация когда в чекбоксе заранее проставлена галочка. А информирование "нажимая отправить..." является вполне законным, если другой вариант применить невозможно, например, в корпоративных мессенджерах, где никаких галочек нигде поставить нельзя. Если не согласны, мы можем поглубже об этом подискутировать с цитатами из 152-ФЗ.
5. Вы пишете: "Также вероятно стоит добавить про проверки ркн. А вот внеплановые они могли осуществлять в соответствии с регламентом, который в настоящее время отменен"
На текущий момент действует мораторий на проверки РКН до конца 2023 года. Но сейчас уже середина года, до окончания моратория недалеко. Кроме того, из Постановления следует, что внеплановая проверка может быть проведена, например, при непосредственной угрозе стране. Или для компаний связи, которые были ранее пойманы на нарушений лицензионных требований. То есть - не невозможны. Хотя, дополнение интересное.
Еще раз благодарю за ваш комментарий, думаю, что такие комментарии по существу очень важны.
И еще момент, если к рекламе продукции привлекаются дети, то согласие за них пишет родитель? До какого возраст?
Вот например корпоративный календарь, там рисунок ребенка сотрудника и подписано Иванов Иван 5 лет, сын сварщика. Здесь требуется согласие с родителя?
С детьми все очень непросто, особенно с рекламой, но да, согласие за детей пишет родитель до 18 лет.
Вопрос в сторону.
Определяете стандартный срок хранения — обычно это «срок, необходимый для целей обработки» и стандартное место хранения.
интересно, проверяющих устроит такая формулировка?
Вот прям такую формулировку 1в1 "стандартный срок" лучше не писать. Нужно указать цифру. И для места нужно указать точный адрес, он же в уведомлении роскомнадзора пишется.
Обратный вопрос: если мне звонит банк, с которым я сроду не имел дела, и предлагает взять очередной кредит, то я могу с него что-нибудь отсудить за использование персональных данных?
недавно что-то такое пробегало — нельзя ли привлечь банк, который вам позвонил, к ответственности за несанкционированную обработку, если вы не давали им согласия. вопрос только в том, что фиг с них чего получишь, как физлицо. имхо, я не юрист.
я оформлял пару кредитов с "броадкастингом" заявок по банкам — сам виноват, звонят и ничего я им не предъявлю — я там какое-то согласие подписывал, у кредитного консультанта.
Дмитрий, если есть доказательства - привлечь можно. Но лучше привлекать за спам - по закону о рекламе от миллиона штрафы.
Скорее всего вам звонит какой-нибудь самозанятой, который работает на ИП по договору подряда, а не сам банк как юрлицо. На исполнителе вся ответственность и ограничится.
Нет нигде описания являются ли персональными данными отдельные наборы данных: отдельно телефон, отдельно email, отдельно фамилия, отдельно мессенджер?
Это описано в законе. То, что может идентифицировать человека — является. Номер отдельно, фамилия отдельно и т.п. — нет.
потому что штраф 60к
Я больше насчитала. В статье есть ссылка, гляньте!
На черных рынках тоннами эти персональные данные продают :D
так тут о том, как штраф за отсутствие документов не схватить, а не о том, как ПДн реально защищать. меня на работе как-то заставили вот это всё готовить — как же я запарился! жаль, что тогда этой статьи не было.
Есть и более глубокая проблема с персональными данными, чем просто сложность нормативных документов. Компании, в массе своей, знают, что какие-то подписи под какими-то бумажками надо собирать и воспринимают это как "налог". Что делать дальше с этими бумажками не знают и просто считают, что вся клиентская база по умолчанию "согласна на всё". Всем же на подпись даём согласия? Всем! Значит и проблем нет.
Поэтому, просто разово прописать все в политике и согласиях недостаточно. Нужно, чтобы перс данные стали оцифрованными и понятными бизнесу, чтобы он смог с ними хоть как-то работать.
Честно говоря, я ставлю перед собой и своей компанией задачу - чтобы не оштрафовали. Со всем остальным разберемся без доп.законов
Комментарий удален модератором
Спасибо!
Карты говорят мне, что персональные данные имеют свойство бродить в бездне цифровой безопасности, ускользая от наших рук
Спасибо, что не прошли мимо :)
Комментарий удален модератором
Спасибо за ваш комментарий, но пароль даже в паре с логином не являются персональными данными
Комментарий недоступен
Трансграничная передача? нужно получить разрешение РКН на такую передачу https://pd.rkn.gov.ru/cross-border-transmission/form/
За обработку без согласия пользователя:
150 000р за первое нарушение
500 000р за второе и следующие
И за обработку вне территории РФ
6 000 000 - за первое нарушение
18 000 000 - за второе и следующие
ИП идут по "прайсу" юрлиц.
Как же я люблю статьи, где нет-нет, да и ввернут про неких нехороших юристов
Про бухгалтеров - агентов налоговой - уже было в https://vc.ru/legal/580148-buhgalter-agent-nalogovoy
Татьяна, спасибо вам за очень полезную статью!
Вопрос: Обязательно ли на сайте Интернет - магазина заставлять каждого пользователя при регистрации ставить галочку о том, что он принимает опубликованную на сайте Политику обработки персональных данных?
Или достаточно строчки текста типа "Регистрируясь, вы выражаете свое согласие с нашей Политикой.. (+ ссылка на оную) ?
На мой взгляд галочка безопаснее. Я бы ставила её.
Строчку пишем там, где галочки невозможны, например, в мессенджерах.
Спасибо за статью! Особенно за ее часть про штрафы.
Подскажите, является ли комбинация имени, электронной почты, ID Телеграма, юзернейма Телеграма и фотографии человека, собираемых на сайте, его персональными данными?
Если да, то почему и какой элемент в этом наборе главный?
Заранее благодарю.
Да, указанная комбинация это ПД.
Любых двух обьектов достаточно, чтобы считаться ПД, а для фотографии достаточно ее одной.
Почему - так написано в законе (хотя там не очень очевидно) и такие разьяснения дает роскомнадзор (собственно, слушаем его).
Все хорошо, но вот ничего не сказано о самой системе защиты. О реализации приказа ФСТЭК 21 и о прохождении аттестации по нему. А также о подтверждении этой аттестации каждые 2 года.
Я понимаю, что это не совсем тема статьи. Но, когда ты мелкое ИП, реализация данного приказа носит характер сочинительный и юридический ибо цены на сертифицированные средства защиты истинно конские.
А если используешь не сертифицированные - могут легко сказать, что средств защиты не обнаружено либо они не соответствуют нормам.
Простой пример "очень низких" цен: СУБД Postgres - свободная, бесплатная, а её сертифицированная версия, самая дешевая - 250 тысяч.
Роман, спасибо за дополнение. Если вы можете дать какие-то советы "мелким" ИП и даже ООО (к которым несомненно отнесу и свою компанию) - что нам делать для реализации этого приказа и нужен ли он вообще - я буду благодарна, и включу ваш комментарий в текст этой статьи с указанием на вас - уверена, это будет всем полезно
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором
Надо решать вопрос концептуально, чтобы доступ к персональным данным не мог нанести никакого ущерба людям.