Новости →
Закон о персональных данных: как не "попасть" на штраф?
Скоро год, как вступили в силу изменения в российском законодательстве об ответственности юридических лиц за сбор и передачу персональных данных. И здесь бизнесу лучше знать все правила, соблюдения которых требует государство.
Так, после изменений в ФЗ №152 и ФЗ №242, размеры штрафов для операторов ПД могут достигать 75 тысяч рублей. Появились и другие карательные меры: если веб-ресурс собирает ПД и не предупреждает об этом граждан, его могут просто заблокировать. Также запрещено собирать и хранить ПД не на территории РФ. Однако сегодня большинство компаний формируют клиентскую базу и собирают ПД людей. Вы одни из них? Тогда эта статья для вас.
Так что же нужно сделать, чтобы избежать штрафов?
Персональной является любая информация о физическом лице (субъекте ПД): фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия и т.д. А значит то, что пользователь указывает на вашем сайте при регистрации или заполнении формы, попадает под действие ФЗ №152. Поэтому:
- Разместите галочку с надписью "Я согласен с обработкой и передачей персональных данных и Политикой конфиденциальности" в каждой электронной форме, посредством которой вы собираете персональные данные. Таким образом, вы получаете официальное согласие человека и становитесь чисты перед законом. Правда, нужно помнить, что человек может передумать, и он вправе потребовать своё согласие обратно. Для этого он может написать письмо на электронную почту, указанную в вашей Политике конфиденциальности с просьбой удалить его персональные данные. И организация обязана это сделать, сохранив акт о ликвидации этих данных. Разумеется, в реальности очень немногие люди знают о том, что у них есть такое право, но нужно быть готовым ко всему;
- Пропишите Политику конфиденциальности и Политику обработки персональных данных. Располагаться они должны на вашем сайте в свободном доступе, чтобы любой желающий мог с ними ознакомиться. Кстати, аналогичный текст нужно распечатать в бумажном виде и разместить на видном месте в офисе — это тоже требование законодательства;
- Вместо согласия на обработку и передачу ПД можно использовать единую публичную оферту. В ней нужно указать всё согласно ч.4 ст.9 152-ФЗ: какие данные, в каких целях обрабатываются. Учитывайте, что в этом случае вам нужно будет хранить логи сайта, чтобы при проверке вы могли доказать Роскомнадзору, что тот или иной пользователь действительно заходил на сайт и оставлял там свои персональные данные.
- До начала обработки сведений оповестите Роскомнадзор о том, что вы являетесь оператором ПД. Для этого на сайте Роскомнадзора оставьтеэлектронную заявку, а затем продублируйте её в письменном виде и отправьте Почтой России. В заявке также укажите адреса местонахождения баз ПД и перечень информации, которая в них содержится.
- При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не требуется (ст. 22Федерального закона от 27.07.2006 №152-ФЗ). Например, при сборе данных, включающих в себя только фамилии, имена и отчества;
- Составьте приказ, в котором будет определён ответственный за обработку и передачу ПД. Это может быть как генеральный директор, так и лицо либо группа лиц, которые будут за это отвечать. Важно помнить, что у всех граждан, которые оформлены в вашей организации и занимаются обработкой данных клиентов (собирают телефоны, ФИО, адреса и пр.), в трудовых договорах обязательно должны быть прописаны функции и обязанности, связанные с обработкой ПД;
- Ведите учёт всех полученных ПД и обеспечивайте их сохранность. Например, если вы получаете данные онлайн, то ваше устройство должно быть оборудовано лицензионным ПО, должны быть установлены антивирусные программы, система по шифрованию данных и т.д. Также эти устройства должны быть защищены паролями. Проверяющие органы уже давно фиксируют нарушения этих правил и выписывают штрафы — не стоит думать, что все это работает только на бумаге. Кстати, одно важное уточнение: если вы передаёте данные заграницу (например, в головную компанию в другом государстве), вы также должны уведомить об этом Роскомнадзор. При этом хранить данные вы все равно обязаны в России;
- Персональные данные клиентов и даже ваших сотрудников помимо электронных носителей (серверов) должны храниться в сейфах в бумажном виде. Также важно помнить, что если компьютеры персонала имеют интеграцию со сторонними ресурсами (CRM-системы, виджеты, банковские сервисы), и данные проходят через них, эти ресурсы обязательно должны быть зарегистрированы в РФ. Если нет, то это будет считаться нарушением. Соответственно, любые хостинги (в том числе и ваши собственные), с которыми вы работаете, должны действовать на территории РФ. Поэтому узнайте у вашего хостинг-провайдера, где физически находится ваш сайт и сервисные системы и, в случае, если они расположены не на территории РФ, переносите их на другой хостинг.
Уже 0 голосов
Оцените новость
|
|
1mbank.ru.
|
27 апреля 2019.
|
Бухгалтерия и право; Личная эффективность; Тренинги для руководителей. |