Как составлять, обрабатывать и хранить персональные данные, чтобы не попасть под штрафы
После того, как мы с вами выяснили какими бывают персональные данные и чем они отличаются, перейдем к тому как правильно собирать обрабатывать и хранить их, не нарушая закон и не попадая под санкции от государства!
Если вы не читали первую часть статьи, приглашаем ознакомиться https://dzen.ru/a/YzL1pdk3WUDHUTGT
Что такое политика конфиденциальности
Чтобы собирать у посетителей нашего сайта его персональные данные, обрабатывать и хранить их, нам нужно получить от них согласие! Но подписывать документ на бумаге — затруднительно и порой невозможно, из-за этого сайт растеряет всех посетителей. Поэтому разработали способ проще — выложить на сайт специальный документ - Политику конфиденциальности.
Политика конфиденциальности - документ, в котором вы декларируете, какие данные вы собираете, для каких целей вы их собираете и что с ними делаете. Вы также должны указать, какое действие считается согласием на обработку персональных данных. Например, подтверждение регистрации, оформление заказа, подписка и т.д.
Как принять политику конфиденциальности
1. Составьте документ
Подготовьте политику конфиденциальности в виде отдельного документа.
В документе отразите:
1) Общие положения.
В первом разделе рекомендуется описать назначение Политики, а также указать, кто будет обрабатывать персональные данные:
- К какому сайту (сервису) применяется политика;
- Кто будет обрабатывать персональные данные (кто является оператором персональных данных пользователей).
2) Второй раздел рекомендуется посвятить основным понятиям, используемые в Политике, и их расшифровке.
Например: обработка персональных данных, оператор, субъект персональных данных, конфиденциальность персональных данных и т.д.
3) Далее необходимо перечислить основные права и обязанности оператора и субъекта (ов) персональных данных.
4) Цели сбора персональных данных.
Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей.
Все цели обработки персональных данных условно можно разделить на две группы:
- Первая — выполнять требования законов и нормативных правовых актов. Это, например, сдача отчетности в ФНС, внебюджетные фонды.
- Вторая — исполнять обязательства перед субъектом персональных данных, в том числе по трудовым и гражданским договорам. Например, исполнение договора, создание рекламных акций, продвижение товаров, ведения кадрового делопроизводства, обязательного пенсионного страхования работников и т.д.
5) Перечень персональных данных.
Например, имя, адрес, телефон и т.д.
Не забудьте перечислить файлы cookie — обезличенные данные о посетителях, которые собирают Яндекс.Метрика и Гугл.Аналитика.
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
К категориям субъектов персональных данных могут быть отнесены, в том числе:
- клиенты и контрагенты оператора (физические лица);
- работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;
- представители/работники клиентов и контрагентов оператора (юридических лиц).
В рамках каждой из категорий субъектов и применительно к конкретным целям рекомендуется перечислить все обрабатываемые оператором персональные данные, а также, если применимо, отдельно описать все случаи обработки специальных категорий персональных данных и биометрических персональных данных.
6) Правовые основания обработки персональных данных.
Правовые основания прямо связаны с целями обработки информации о физическом лице. Это те нормативные документы, которые регулируют конкретный вид деятельности оператора.
например, федеральные законы и принятые на их основе нормативные правовые акты; уставные документы оператора; договоры, заключаемые между оператором и субъектом персональных данных;
7) Порядок и условия обработки персональных данных.
Укажите, как вы будете обрабатывать данные, например можно указать следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Также в политике надо прописать, как вы собираете эти согласия. Например, напишите, что "согласие дается путем проставления галочки при регистрации пользователя на сайте".
И ещё необходимо указать способы обработки персональных данных. Способы обработки бывают:
- автоматизированный (данные обрабатываются на компьютере, сервере);
- неавтоматизированный (данные хранятся и обрабатываются на бумаге).
8) Обработка, хранение, и уничтожение персональных данных.
Укажите, в течение какого срока вы храните персональные данные. Также укажите где и как вы их храните. Сроки должны соответствовать целям сбора персональных данных.
Рекомендуется включить в Политику регламент(ы) реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов/обращений.
2. Опубликуйте политику конфиденциальности на вашем сайте
Когда пользователь заполняет форму или регистрируется, обязательно покажите ему ссылку на политику конфиденциальности.
При заходе на сайт — предупредите, что обрабатываете файлы cookie. Обычно используют всплывающее окно с кнопкой «ок» или «согласен».
Опубликуйте документ в доступном месте. У посетителей должна быть возможность в любой момент ознакомиться с ним. Обычно политику конфиденциальности прячут в подвал сайта.
3. Уведомите Роскомнадзор
Владельцы сайтов, которые собирают персональные данные, обязаны уведомлять Роскомнадзор. (ст 22, ФЗ 152)
За отсутствие уведомления штрафуют по ст. 19.7 КоАП РФ: ИП — на сумму до 500 рублей, ООО — до 5000 рублей.
Ссылка на формы заполнения от Роскомнадзора. После, вы будете включены в реестр операторов персональных данных.
4. Назначьте ответственного за хранение персональных данных
Обычно ответственность возлагают на сотрудника, который работает с данными — кадровика, оператора колл-центра, менеджера продаж. Если вы ИП и работаете один — на самого себя.
5. Храните данные на серверах в России
Хранить персональные данные за пределами России запрещено по ст. 18 ФЗ 152.
Что будет, если на сайте нет опубликованной Политики конфиденциальности.
Если оператор не размещает на сайте политику, — или размещает, но не соблюдает, — ему грозит штраф. (согласно Закону №152-ФЗ «О персональных данных», и ст. 13.11 КОАП)
Так как персональные данные чаще всего собирают компании, коротко пройдемся по штрафам для них. Вот самые частые случаи:
- Если на сайте нет политики — 30–60 тыс. рублей.
- Если на сайте есть политика, но компания не соблюдает ее условия — 60–100 тыс. рублей.
- Если компания не объясняет пользователю, как она обрабатывает его данные — 40–80 тыс. рублей.
- Если персональные данные оказались некорректными, — и пользователь просит это исправить, а компания ничего не делает, — 50–90 тыс. рублей.
Наказание может ужесточаться, если компания совершает правонарушение не в первый раз. Помимо штрафов, оператору может грозить блокировка сайта. Например, пользователь пожалуется, что на сайте нет политики, и Роскомнадзор на время проверки ограничит к нему доступ.
Итог.
Главное при составлении политики конфиденциальности — объяснить людям, какие их данные вы собираете и зачем.
Чтобы у пользователей не возникло вопросов и, как следствие, поводов обратиться в Роскомнадзор. И, конечно, важно отразить в документе всю информацию, которую требует закон.
Политику конфиденциальности Вы можете составить самостоятельно или с помощью специальных сервисов (например, Конструктор политики обработки персональных данных от Tilda), или обратиться за помощью к юристу.
Подписывайтесь на наши каналы, и будьте в курсе новостей!