У вас всё плохо с персональными данными, и вот почему

Закон о персональных данных (152-ФЗ) — штука достаточно противная. Требований тьма, соблюсти их все точно практически нереально, утечки случаются постоянно. И никто ни за что не отвечает. Но, если не будет какой-то вшивой бумажки, то можно схлопотать штрафов на 200 тысяч рублей за «низачто».

У вас всё плохо с персональными данными, и вот почему

Привет, друзья! Меня зовут Татьяна Никанорова, я — предприниматель, финансовый ментор для бизнесов, собственник Консалтингового центра Профдело, мы настраиваем управленческий учет и строим эффективные финансовые стратегии для бизнеса, а также известны качественным бухгалтерским обслуживанием для ООО и ИП.

Проверьте, касается ли вас закон о персональных данных

Любой бизнес, кроме неработающего, занимается обработкой персональных данных, и ваш тоже.
Проверьте себя, делаете ли вы что-то из перечисленного:

  1. Нанимаете сотрудников.

  2. Сотрудничаете с самозанятыми.
  3. Размещаете фото сотрудников на сайте.

  4. Размещаете заявки на сбор данных на сайте.

  5. Ведете CRM-систему (базу данных на клиентов) .

  6. Ведете продажи методом холодного обзвона.

  7. Размещаете вакансии и собираете резюме.

  8. Публикуете в соцсетях фотографии с производства, на которых изображены люди.

  9. Публикуете в СМИ статьи и кейсы с указанием фамилий сотрудников.

  10. У вас образовательная организация.

  11. У вас онлайн-сервис, требующий регистрации пользователей.

  12. У вас ООО, и в нем в качестве единоличного исполнительного органа указан генеральный директор (а не управляющая организация) .

Если нашли хотя бы одно — поздравляю! Вы обрабатываете персданные, и вам нужно читать дальше.

Перечень не исчерпывающий, есть еще много ситуаций, где происходит обработка персональных данных. Если вы не уверены — лучше проконсультироваться с юристом.

Согласно закону 152-ФЗ «О персональных данных», обрабатывать данные значит:

  • собирать;
  • записывать;

  • систематизировать;

  • хранить;
  • передавать;

  • уничтожать.

Перечень длиннее, я выбрала самое важное. Полный перечень — в п. 3 ст. 3 Закона 152-ФЗ.

Неважно, где вы собираете и просматриваете персданные: на своем сайте или в стороннем онлайн-сервисе — всё это считается обработкой.

Политика конфиденциальности или Положение об обработке персональных данных

Вы наверняка встречали в сети оба варианта названий. Кто-то говорит, что они нужны все и радостно пытается продать вам 100500 образцов. Кто-то говорит, что всё это одно и то же. Где правда? — Правда в законе, как обычно.

Термин «Политика конфиденциальности» пришел к нам из европейского законодательстве по защите персданных. Он прописан в General Data Protection Regulation, GDPR — Общем регламенте по защите данных. Так называется документ по европейскому закону.

Закон 152-ФЗ о персданных требует от оператора, чтобы тот определился со своей политикой по обработке персональных данных, издал соответствующие локальные нормативные акты по обработке ПДн и по выявлению и предотвращению нарушений в сфере ПДн (пп 2, п. 1, ст 18.1 Закона 152-ФЗ).

У вас всё плохо с персональными данными, и вот почему

В России все внутренние локальные нормативные акты было принято называть «Положением», и если вы используете термин «Положение» сейчас — это не ошибка. Я предпочитаю называть документ Политикой — как это указано в законе. Полное название документа может звучать так: «Политика об обработке персональных данных и о мерах по выявлению и предупреждению нарушений».

Некоторые делят этот документ на несколько:

  • Политика (положение) об обработке ПД;

  • Политика (положение) о защите ПД;

  • Положение (политика) об уничтожении ПД;
  • Приказ о мерах по выявлению угроз;

  • … и т. д.

В каком-нибудь условном «Газпроме» это, вероятно, обосновано. Для малого бизнеса в таком делении особой необходимости нет. Делайте единый документ, включайте туда всё, что требует закон, и будет вам счастье!

Нужно ли пользовательское соглашение

Пользовательское соглашение — это тоже калька с иностранного. Это, по сути, договор между пользователем сайта и его создателем. В российском праве это называется «оферта».

Вы можете называть документ «пользовательское соглашение», только он совершенно не про персональные данные, а про то, какие права и обязанности получают пользователи на вашем сайте, и какие полномочия есть у вас как владельца сайта. Документ крайне необходим онлайн-сервисам и всем сайтам, где есть регистрация/авторизация пользователей. И был бы неплох для всех остальных сайтов в качестве меры защиты авторского контента.

У вас всё плохо с персональными данными, и вот почему

Как проверить, всё ли у вас в порядке по персональным данным

Даже если документы вам делал юрист, это, увы, не означает, что у вас всё в порядке. Мне жаль это говорить, но многие юристы документы делают так: скачивают в интернете шаблон, пробегают по диагонали, слегка редактируют под клиентские цели и отдают.

Вы документ смотрите — он длинный, сложный, читать неохота. Что-то там добавлено и даже отмечено: вот оно, очень важное. И вы думаете: «Они же юристы, лучше знают».

Или другой вариант: вы покупаете готовые шаблоны и подставляете в них свои реквизиты, надеясь, что все «прокатит».

Если я угадала, и один из вариантов — ваш, дам вам единственный способ привести документы в порядок. Это чеклист. Я напишу какие ключевые слова должны быть в вашем документе — Политике или Положении, — а вы пройдетесь по нему через поиск (Ctrl + F) и проверите, есть у вас они или нет. Если вам выдали несколько Положений-политик — сочувствую. Проверить придется их все. В этом плане единый документ оптимальнее, на мой взгляд.

Итак, что нужно проверить:

  1. Ключевые слова: обработка, сбор, запись, систематизация, накопление, хранение, уточнение, обновление, изменение, извлечение, использование, передача, распространение, обезличивание, блокирование, удаление, уничтожение. Все эти действия совершает каждый бизнес с персданными, а в ваших положениях-политиках должно быть описано, как вы это делаете.

  2. Цели. Вот здесь я ожидаю, что ваши документы будут несовершенны. Вернитесь в начало статьи — я там описала 12 самых распространенных целей обработки. Отметьте галочками ваши и найдите, где в вашем положении-политике указаны эти цели. Для каждой цели должна быть следующая информация:

    — Наименование цели.
    — Перечень персональных данных, которые собираются конкретно для этой цели.
    — Длительность хранения персданных по этой цели, если она отличается от стандартной.
    — Место хранения персданных по цели, если оно отличается от стандартного.
    — Способ обработки (автоматизированный или ручной) .
  3. Если вашу бухгалтерию ведет аутсорсинговая компания, проверьте следующее:

    — в согласиях от работников указано наименование компании, которой поручена обработка персональных данных;
    — в договоре или отдельным документом прописано Поручение на обработку ПДн.
    К содержанию документа «Поручение на обработку» закон предъявляет строгие требования — их можно найти в первоисточнике.
  4. Вы зарегистрированы в РКН как оператор персональных данных.

Этих четырех моментов достаточно. Если у вас по всем пунктам всё ок, значит, по персданным у вас, скорее всего, порядок. Если же вы что-то из чеклиста в своих документах не нашли, тогда ваши регламенты стоит доработать.

Тем, кто хочет посмотреть точный перечень документов, который делаем мы для наших клиентов, жмите сюда, без смс и регистрации.: )

Что делать, если документы не в порядке

Я выделила три ситуации различной степени тяжести. Собирайте анамнез, ставьте диагноз. А лечение для вас я уже прописала.

Ситуация 1: у вас вообще нет документов по персональным данным

Алгоритм самостоятельной подготовки:

  1. Определяете все моменты, когда вы касаетесь персданных — это будут цели обработки.

  2. Определяете стандартный срок хранения — обычно это «срок, необходимый для целей обработки» и стандартное место хранения.

  3. По каждой цели составляете полный перечень возможных персданных, которые к вам попадут и способ их обработки.

  4. Идете к нам на сайт, смотрите полный список документов, которые вам нужно подготовить.

  5. Скачиваете любое современное положение-политику и добавляете туда все свои цели + перечень данных + место + длительность + способ обработки + порядок уничтожения.

  6. Готовите остальные документы — самостоятельно или находите образцы в интернете.

  7. Всё заполняете своими реквизитами.

  8. Распечатываете, подписываете. Готово!

У вас всё плохо с персональными данными, и вот почему

Если пойдете по варианту шаблонов или найма юриста — финальный результат проконтролируйте по моему чеклисту.
И не забудьте зарегистрироваться в Роскомнадзоре как оператор персональных данных.

Ситуация 2: У вас есть какие-то документы, но чего-то не хватает, например, целей

В принципе алгоритмы те же, что и в ситуации 1 — выявляете недостающее и доделываете.

Ситуация 3: Вы уже заплатили юристу хорошие деньги, но чего-то не хватило

Здесь призываю быть аккуратными в призывании «кар небесных» на голову юристов. Обратитесь к тому, кто готовил вам документы, и вежливо уточните, почему у вас не хватает какой-то информации. Вангую, что вы получите ответ «А вы нам этого не говорили». Не огорчайтесь, доплатите юристу, и пускай он доделает свою работу. 🙂

Если у вас плохо с персональными данными, примите срочные меры, чтобы стало хорошо. 152-ФЗ — закон достаточно противный. Его исполнение контролируют аж три ведомства:

  • Роскомнадзор;
  • ФСТЭК;
  • ФСБ.

Упаси вас мироздание вызвать вопросы у кого-то из этой тройки. И не забудьте опубликовать Политику на сайте.

А можно ли поручить разработку документов по персданным нашим юристам? — Можно, у нас работают два прекрасных юриста, оба прекрасно разбираются в теме. Пишите нашему боту, он подключит юристов для обсуждения ваших задач.

Интересуетесь каналами про бизнес? Подробнее об этом я рассказала в статье "Что почитать владельцу компании в Telegram? Субъективный обзор из 20 каналов".

Лайк и коммент - по традиции!

Если статья была для вас полезной, подписывайтесь на мой блог, оставляйте комментарии. Чтобы не пропустить новые статьи, следите за анонсами в моем Телеграме.

7777
88 комментариев

Хороший гайд. Я бы добавил еще раздел касательно новых и сложных правил трансграничной передачи ПД

3

А нельзя вместо иностранного слова гайд сказать просто - инструкция / справочник ??

7

Арслан, это конечно серьезный вызов :) я бы сама почитала что-то толковое о трансграничной передаче. Но, если дойду до этого вопроса, напишу. Или у вас почитаю ))

3

да, это сложный вопрос, даже пока нечего почитать толкового

1

кстати, да. я бы тоже почитал

А мне интересно, я готовила доску почета на предприятии. Она висит в холле. Нужно брать согласие работника?

2

Мне тоже интересно, я подготовил пачку объявлений о пропаже собаки, с фоткой собаки, чтобы развесить на столбах, мне нужно брать согласие собаки? Она же пропала, как взять согласие. Спасибо

9