Новое в российском законодательстве о работе с персональными данными
Что нового в законе «О персональных данных»: нарушения, штрафы, советы
Персональные данные — это сведения, по которым можно узнать человека. Например ФИО, сочетание номера и email.
Закон №152-ФЗ «О персональных данных» объясняет, как правильно работать с такой информацией. За нарушения грозят крупные штрафы, которые увеличились после изменений, внесенных в сентябре 2022 года. Вот только разобраться в законе не так просто, особенно тем, кто раньше с ним не сталкивался.
Кого касаются требования закона
Операторов персональных данных. Это любые лица, ИП, госорганы или компании, которые обрабатывают чужие ПД. Под обработкой понимают любые действия — хранение, передачу, изменение. Даже список сотрудников с телефонами в компьютере секретаря должен быть защищен.
Закон касается владельец сайтов и тех, кто сайт не использует. Вы собираете данные, если используете любую форму на сайте для ввода данных: для регистрации, заявки на обратный звонок, подписки на рассылку. Пользователь, который передал свои персональные сведения, становится субъектом ПД.
Как не нарушить закон
Зарегистрируйтесь в РКН
Для этого нужно заполнить форму на сайте ведомства и отправить ее в электронном или бумажном формате:
Форма очень подробная и часто вызывает сложности у операторов
Подавать уведомление нужно почти всем, кто обрабатывает данные. Исключений не так много:
- вручную отрабатываете — не нужно, через компьютер — нужно;
- вы — транспортная компания, собирающая ПД для безопасности грузоперевозок и здоровья пассажиров;
- вы религиозная или общественная организация, собирающая сведения о своих членах (но только если сведения не размещаются в интернете).
Если форма заполнена корректно, вас внесут в реестр РКН в 30-дневный срок. Но будьте готовы: не у всех это получается с первого раза!
Определите цели обработки
Нужно понимать, чьи данные и для чего собираете. По закону нельзя обрабатывать информацию, которая не нужна для целей обработки. Например, компания, которая собирает контакты только для оформления заказов, не имеет права потом рассылать по ним рекламные сообщения.
Опубликуйте политику обработки данных
Это важный документ, в котором указано, кто, для каких целей и каким образом обрабатывает персональные данные. Обычно его выкладывают на сайте компании. Если на сайте есть любая форма обратной связи, ссылка на политику обязательно должна быть. Для составления придется привлечь юриста.
Не забудьте про согласие на обработку
Не менее важный документ, который подтверждает, что пользователь согласен со всеми условиями и добровольно передает данные оператору.
Перед отправкой данных, пользователь должен дать согласие, проставив галочку «согласен» в чекбоксе формы для сбора ПД.
Такая форма грозит штрафом до 75 000 руб.
Сообщайте РКН о трансграничной передаче
Если вы передаете данные российских граждан иностранному обработчику, отправьте уведомление в Роскомнадзор. Передавать ПД за границу сейчас можно только с разрешения надзорного органа. Поэтому обязательно уточните месторасположение обработчика данных лично у него. Не стоит размещать на сайте формы, хранящие информацию за границей. Кстати, среди них популярные и привычные сервисы, которые раньше повсеместно использовали очень многие. Но сейчас это грозит штрафами и блокировкой.
Назначьте ответственного за обработку ПД
Он должен подчиняться руководителю. Это поможет минимизировать вероятность утечки ПДн.
Примеры нарушений закона 152-ФЗ
В российской судебной практике было немало случаев нарушений закона 152-Ф3. Вот некоторые из них:
- Банк присылал клиенту на телефон рекламные сообщения. Клиент же предоставил номер при оформлении кредита. То есть банк использовал данные не для целях сбора, за что и был признан виновным.
- Сотрудник компании, отвечающий за работу с ПД, отправлял анкеты соискателей без их согласия посторонним лицам.
- Работодатель обрабатывал персональные данные не только сотрудников и их родственников, но и лиц, не относящихся по закону к близким родственникам.
- Компания собирала данные с формы обратной связи, но не опубликовала на сайте документ о политике обработки ПД.
- Личные дела сотрудников компании хранились в общедоступном месте, доступ к ним имели посторонние лица.
- Оператор не уничтожил резюме соискателей работы, которые были отклонены, по истечению месяца.
Что вам поможет не нарушить закон
К нарушителям закона №152-ФЗ сейчас относятся куда суровее, чем раньше. Штрафуют на более крупные суммы даже без первого предупреждения.
Из-за недавних изменений в законе, проблемы могут возникнуть у компаний, которые используют для обработки ПД россиян зарубежный хостинг. Например, многие привычные облачные сервисы теперь могут стать источником больших проблем. Раньше их использование никого не волновало, они были простые и не требовали навыков разработки. Сейчас даже рассылка простого онлайн-опроса или анкеты грозит штрафов в 1 млн. Все потому что данные этой анкеты попадают в заграничный дата-центр, что нарушает закон.
Штрафов можно избежать, если передать обработку персональных данных российскому оператору. Их немного, но есть проверенные и надежные, например QForm. Это облачный сервис полезных виджетов для сайта, официально зарегистрированный в реестре Роскомнадзора как оператор персональных данных.
Пример формы заявки на Qform
QForm обрабатывает данные для компаний любого уровня. Вы можете спокойно собирать информацию на своем сайте, не боясь штрафов. Вам не придется взаимодействовать с Роскомнадзором, регистрироваться, проходить проверки и готовить с юристом целый пакет документов. Qform имеет весь пакет документов, которые положены оператору.
QForm позволяет быстро создать любые формы обратной связи, причем для этого не нужен программист. Формы автоматически устанавливают соглашение об обработке, которое соответствует закону 152-ФЗ. А это значит, что простой облачный сервис способен сэкономить время и деньги, которые пошли бы на юриста и программиста.
Читайте по теме:
Кто такие операторы персональных данных и чем они занимаютсяКак оператору персональных данных облегчить себе жизнь с помощью обработчика