Только за 2022 год Роскомнадзор оштрафовал операторов персональных данных за нарушения в работе более чем на 50 млн. рублей. Некоторые предприниматели даже не догадываются, что нарушают закон. В статье собрали самые распространенные ошибки, которые допускают предприниматели из-за незнания закона о персональных данных. Прочитайте и проверьте — не грозит ли вам штраф..
Не берут согласие на передачу персональных данных третьим лицам
Пример 1. ИП торгует через свой интернет-магазин. Для доставки товаров он заключил договор с курьерской службой и передаёт ей Ф.И.О., адрес проживания покупателей. Согласия от клиентов на передачу данных третьим лицам он не получает, думая, что личная информация нужна для исполнения договора купли-продажи.
Пример 2. ИП-работодатель сдаёт отчётность в Социальный фонд через СБИС. Для этого он передаёт в СБИС персональные данные сотрудников: Ф.И.О., СНИЛС. Согласия от работников на передачу личной информации третьим лицам он не получает. Он думает, что раз сдавать отчётность он обязан по закону, об этом не нужно предупреждать сотрудников.
Пример 3. Владелец интернет-магазина делает email-рассылки своим клиентам с новостями по акциям, скидкам, поступлению новых товаров. Для этого он использует почтовый сервис UniSender или аналогичную программу и туда загружает базу контактов. Согласия от клиентов на передачу их данных разработчикам программы он не получает.
В этих ситуациях ИП нарушает ч. 3 ст. 6 закона от 27.07.2006 № 152-ФЗ «О персональных данных». Передавать личную информацию третьим лицам можно только с согласия гражданина. Предпринимателя могут оштрафовать как должностное лицо на сумму от 10 000 до 20 000 рублей по ч. 1 ст. 13.11 КоАП РФ.
Роскомнадзор узнаёт о нарушениях операторов персональных данных в ходе проверок: плановых и внеплановых. Если он получит жалобу от граждан или информацию о возможной утечке личной информации, то придёт с визитом к предпринимателю в любое время. Пожаловаться в Роскомнадзор могут работники, клиенты, сотрудники подрядчиков.
Ответственность за конфиденциальность персональных данных несёт оператор — тот, кто заключил с гражданином договор. Он должен получить согласие, обеспечить защиту личной информации и предотвратить её утечки.
Чтобы разделить ответственность с третьей стороной при возможных «сливах данных», надо включить в договор с ней дополнительные условия:
- перечень персональных данных (ПД) и цели их обработки;
- список действий с ПД;
- обязанности обеспечить конфиденциальность личной информации граждан, принять меры по предотвращению утечек, хранить базы данных на территории России и другое по ч. 3 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Третья сторона не обязана получать согласия с клиентов ИП на обработку их персональных данных. Она не несёт ответственности за сохранность ПД, если оператор не позаботится указать это в договоре с ней.
Что делать:
- Проверьте все свои действующие договоры с третьими лицами. Составьте список контрагентов, которым отправляете личные данные своих работников или клиентов.
- Получайте согласие на передачу ПД третьим лицам при заключении договоров с гражданами. В законе нет требования об обязательной письменной форме. Можно выбрать любой способ, который подтвердит, что гражданин не против передачи его данных третьей стороне. Например, на сайте интернет-магазина можно после формы с заполнением личных данных вставить фразу «Даю своё согласие на обработку персональных данных, в том числе передачу их службе курьерской доставки ООО «Ромашка» для доставки посылки», чтобы покупатель поставил там галочку.
Если не уверены, нужно получать согласие на обработку ПД или нет, всегда получайте согласие. За это не штрафуют.
Берут одно согласие на все случаи обработки
Пример. Владелец сервиса «Муж на час» публикует на своём сайте данные своих работников с фото, номерами мобильных телефонов, а также отзывы клиентов с указанием их e-mail, ссылок на профиль в соцсетях. Отдельного согласия на распространение персональных данных он не получает. У него есть одно согласие на обработку ПД, которое подписывают работники у кадровика, и одно общее согласие от клиентов на обработку ПД при входе на сайт.
Публикация телефонов, e-mail и имён своих сотрудников или клиентов в интернете, в рекламных буклетах либо на корпоративной доске при входе в офис — это распространение персональных данных. В этом случае доступ к ним получает любой желающий, то есть «неопределённый круг лиц».
На распространение ПД нужно получать отдельное согласие в письменной форме, чтобы не нарушать ст. 10.1 закона от 27.07.2006 № 152-ФЗ «О персональных данных». Иначе предприниматель может заплатить штраф по ч. 2 ст. 13.11 КоАП РФ:
- от 20 000 до 40 000 рублей — при первом нарушении;
- от 100 000 до 300 000 рублей — при повторном.
Если данные граждан публикуются на сайте с иностранным доменом, то наказание будет ещё строже — по ч. 8 и 9 ст. 13.11 КоАП РФ. Это штраф для ИП от 100 000 до 800 000 рублей.
Что делать
Проверьте, где вы размещаете в открытом доступе данные работников и клиентов. На все эти случаи получите согласие на распространение ПД. Для формы этого документа есть свои требования.
Так, гражданин должен по каждому виду ПД указать, что он разрешает с ними делать. Например, он согласен дать свой e-mail оператору ПД, но против его публикации на сайте.
На сайте Роскомнадзора есть специальный сервис для подготовки шаблона согласия на распространение ПД. Для авторизации нужна подтверждённая учётная запись на Госуслугах. Вы можете составить шаблон согласия и при желании направить его в Роскомнадзор на проверку.
С 1 сентября 2022 года согласие на обработку персональных данных должно быть «конкретным, предметным, информированным, сознательным и однозначным». В идеале на одну цель обработки нужно одно согласие. Например, для интернет-магазина могут потребоваться:
- согласие на обработку для продажи товара;
- согласие на передачу данных службе доставки;
- согласие на распространение при публикации отзывов на сайте с личными данными клиентов.
Собирают излишнюю личную информацию
Пример. Клиент интернет-магазина покупает товар с самовывозом из пункта выдачи заказов. Владелец магазина при оформлении заказа запрашивает с него: Ф.И.О., мобильный телефон, дату рождения, домашний адрес, паспортные данные, адрес электронной почты.
Предприниматель может собирать только те персональные данные, которые совместимы с целями их обработки. Запрашивая избыточную личную информацию с граждан, он нарушает ст. 5 закона о персональных данных. В примере c доставкой самовывозом домашний адрес клиента, e-mail и дата рождения продавцу не нужны.
За такое нарушение оператор ПД получит штраф по ч. 1 ст. 13.11 КоАП РФ. Для индивидуального предпринимателя он составит:
- от 10 000 до 20 000 рублей — при первом нарушении;
- от 50 000 до 100 000 рублей — за повторное.
Что делать
Проведите инвентаризацию всех бизнес-процессов: от заказа товара до его доставки клиентам и получения отзывов. Запишите, какую личную информацию граждан вы получаете и обрабатываете на всех этапах.
Оцените, какие персональные данные вам нужны для работы, а какие — нет. После этого уничтожьте или передайте в архив лишние ПД. Если необходимо, исправьте согласия на обработку ПД, убрав оттуда избыточные запросы.
С 1 марта 2023 года оператор ПД должен иметь Акт оценки вреда, который может быть причинён субъекту ПД при утечке его персональных данных. Документ составляют в соответствии с приказом Роскомнадзора от 27.10.2022 № 178. Оператор делает список всех видов ПД, которые он обрабатывает, и по каждому из них оценивает степень вреда: высокую, среднюю, низкую.
По возможности, исключайте обработку персональных данных с высокой степенью вреда, так как за них при нарушениях штраф может быть больше.
Не уведомляют Роскомнадзор о трансграничной передаче
Пример. Маркетологи интернет-магазина используют в работе для анализа поведения посетителей сайта Google Analytics. На странице есть личные данные клиентов магазина. Google Analytics — это иностранный сервис, без локализации баз данных в России. В данном случае владелец интернет-магазина фактически отправляет персональные данные клиентов иностранной компании в другую страну. Это трансграничная передача ПД (ТППД), о которой нужно уведомлять Роскомнадзор. Но владелец интернет-магазина этого не делает. Он думает, что это обязательно только для тех, у кого есть зарубежные партнёры.
С 1 марта 2023 года передавать иностранцам и иностранным организациям в другой стране личные данные россиян можно только после уведомления Роскомнадзора. Это обязательно по ч. 3 ст. 12 закона о персональных данных.
Как уведомить Роскомнадзор:
- Получить от иностранной организации или гражданина другой страны, которым будут направляться ПД, сведения по ч. 5 ст. 12 закона персональных данных. Это информация о том, насколько защищена личная информация граждан у этого контрагента. Её может запросить Роскомнадзор при проверке уведомления о намерении осуществлять ТППД.
- Заполнить форму на сайте Роскомнадзора. Для авторизации понадобится подтверждённая учётная запись на Госуслугах. Если её нет, то можно заполнить бумажное уведомление в соответствии с ч. 4 ст. 12 закона о персональных данных и отправить его Почтой России.
Если персональные данные передают в государство с адекватной защитой ПД, можно после уведомления не дожидаться ответа от Роскомнадзора. Список таких стран утверждён приказом Роскомнадзора от 05.08.2022 № 128.
Если личная информация попадает в страну, которой нет в списке, нужно подождать 10 рабочих дней. За это время Роскомнадзор рассмотрит уведомление и примет решение, можно передавать ПД иностранцу или нет. Если ведомство откажет в ТППД, то никакую информацию этому контрагенту отправлять нельзя.
Если Роскомнадзор запретил ТППД, а личные данные россиян к иностранцу уже попали, нужно обеспечить уничтожение ПД. Как это делать, в законе не сказано. Часто ИП может только направить письмо своему партнёру с просьбой уничтожить ПД, и на этом легальные способы заканчиваются.
Что делать
Если вы используете Google Analytics, направьте уведомление в Роскомнадзор о ТППД или выберите для анализа сайта другие метрики.
Не уничтожают персональные данные
Пример. Компания искала бухгалтера через интернет и собирала резюме кандидатов. Кадровик получал от соискателей согласие на обработку персональных данных в целях выбора работника для закрытия вакансии. Бухгалтера нашли и приняли на работу. Но кадровик продолжает хранить «на всякий случай» резюме других кандидатов.
Все персональные данные после достижения целей обработки надо уничтожить или сдать в архив. На архивное дело законодательство о ПД не распространяется.
Если этого не сделать, то будет нарушение требований ч. 4 и ч. 6 ст. 21 закона о персональных данных. ИП может заплатить штраф до 100 000 рублей по ч. 1 ст. 13.11 КоАП РФ.
Что делать
Проверьте, не храните ли вы лишнюю информацию. Например, данные бывших клиентов или уволенных работников. Посмотрите, что нужно сдать в архив, а что — уничтожить.
Обучите своих работников правилам обработки ПД. Объясните им, что не стоит копить личные данные граждан, если это не нужно по закону.
Полезные советы от Роскомнадзора
Роскомнадзор опубликовал в августе 2023 года Рекомендации операторам персональных данных. Что он советует:
- Уменьшите перечень личной информации граждан, которую собираете и обрабатываете.
- Обеспечьте раздельное хранение ПД работников, клиентов, представителей подрядчика. Не объединяйте в одни базы персональные данные с несовместимыми целями обработки. Например, не размещайте список для служебной рассылки в одной программе с маркетинговой рассылкой.
- Храните раздельно личные данные клиентов и историю работы с ними: договоры, платежи и другое.
- Не копите персональные данные «на всякий случай». Используйте и храните только ту информацию, которая нужна вам для деятельности. Своевременно уничтожайте ПД.
- Используйте различные технические средства и программы защиты информации. Помните, что передача ПД третьим лицам снижает уровень безопасности и не снимает ответственности с оператора за сохранность персональных данных, их конфиденциальность.
- Своевременно сообщайте в Роскомнадзор об утечках личной информации граждан.
- Защищайте ПД не только от внешних злоумышленников, но и от внутренних нарушителей.
- Назначьте ответственного в вашей организации за защиту персональных данных, дайте ему полномочия и проведите обучение.