В марте и июле 2021 г. вступили в силу изменения в 152-ФЗ «О персональных данных». С 1 сентября начал действовать приказ Роскомнадзора. В нем определен перечень сведений, которые должны содержать согласие на обработку персональных данных. Похоже, что ряд нововведений привел к положительной динамике.
По данным Центробанка РФ, в первом квартале 2021 г. совершено более 237 тыс. операций без согласия клиентов на сумму свыше 2,8 млн рублей. Объем вырос на 57%, количество — на 40% по сравнению с аналогичным периодом прошлого года. Во втором квартале ситуация улучшилась: объем увеличился на 38%, количество — на 23% год к году.
Разбираем детали:
· Нововведения в законе «О персональных данных»
· Новые требования Роскомнадзора
· Необходимость локализации данных в России
Это важно знать бизнесу!
Если пользователь написал в социальной сети свой номер телефона или электронную почту, это не значит, что вы можете использовать данные для решения маркетинговых задач.
Если человек является сотрудником вашей компании, вы не можете опубликовать на корпоративном сайте его имя и фамилию без согласия.
Почему? Теперь бизнесу нужно получать не только разрешение на обработку персональных данных, но и согласие на их распространение.
Что нового в законе «О персональных данных»?
Формулировка «персональные данные, сделанные общедоступными субъектом персональных данных» заменена на «персональные данные, разрешенные субъектом персональных данных для распространения». В свою очередь, распространение — это вид обработки, для которого требуется получение отдельного согласия у субъекта.
Простыми словами: теперь работодатель, интернет-магазин, госучреждения, выступающие в качестве оператора, обязаны запрашивать у пользователя согласие не только на обработку персональных данных, но и на распространение этих сведений.
Какие действия следует предпринять:
· рядом с формой регистрации разместите кнопку, при нажатии на которую пользователь откроет документ, чтобы дать согласие на распространение своих персональных данных;
· добавьте на сайт раздел «Политика конфиденциальности» с указанием типа собираемых данных и причин их раскрытия, разместив на нее ссылку рядом с формой обратной связи и кнопкой регистрации. Хороший пример на сайте Microsoft.
Какие требования выдвинул Роскомнадзор?
Приказом Роскомнадзора каждый оператор вносит в документ-согласие следующие пункты:
— ФИО субъекта персональных данных.
— Контакты субъекта персональных данных — телефон, e-mail, почтовый адрес.
— Информацию об операторе:
· для организации — наименование, адрес, ИНН, основной государственный регистрационный номер;
· для физлица — ФИО, место жительства или пребывания;
· для ИП — ФИО, ИНН, основной государственный регистрационный номер.
— Данные об информационных ресурсах оператора, с применением которых производится доступ неограниченному кругу лиц и какие-либо действия с персональными данными: адрес, который включает наименование протокола (http, https), сервер (www), домен, имя каталога на сервере, имя файла web-страницы.
— Цели, для достижения которых осуществляется обработка данных — предоставление продуктов компании, разработка новых продуктов, совершенствование существующих продуктов, предложения новых товаров/услуг и т.п.
— Категории и список персональных данных — ФИО, телефон, дата рождения, аккаунты в социальных сетях и мессенджерах.
— Категории и список персональных данных, для обработки которых пользователь поставит условия и запреты (заполняется по желанию субъекта).
— Условия, при которых оператор может распространять собранные им данные исключительно по его внутренней сети, к которой имеется доступ у установленных сотрудников.
— Действие согласия — время, в течение которого действует выданное субъектом согласие.
Во избежание ошибок оператор может отправить документ-согласие на проверку в специальный сервис, разработанный Роскомнадзором. Специалисты проверят его на соответствие новым требованиям, при необходимости дадут компетентные советы.
Про локализацию данных слышали?
В конце августа несколько зарубежных компаний были оштрафованы судом в Москве за нарушение законодательства. Twitter получила административное наказание в размере 17 млн рублей, Facebook — 15 млн рублей, WhatsApp — 4 млн рублей. Причина вынесения штрафов: хранение баз персональных данных российских пользователей этими компаниями на зарубежных серверах.
Согласно российскому законодательству, операторы обязаны локализовать хранение персональных данных россиян на территории РФ.
Скорее всего, работа с персональными данными в облачном хранилище Google также может привести к нарушению законов РФ. В этом случае оператор не выбирает размещение сервера, то есть облако Google может находиться за пределами России. Если Роскомнадзор запросит информацию о хранении персональных данных, вы не сможете ее предоставить.
На заметку: 30 июня на сайте Роскомнадзора опубликовано сообщение, что Google не локализовала данные россиян в РФ.
Бизнесу важно соблюдать порядок работы с персональными данными. В последние годы власти ужесточают требования и внесут в законодательство серьезные изменения. Если раньше за первое нарушение могло выноситься предупреждение, теперь сразу грозит административное взыскание. Например, штраф за обработку персональных данных субъекта без получения его согласия варьируется (https://clck.ru/Xhasz) от 10 тыс. до 150 тыс. рублей.
Вы согласны с необходимостью ужесточения законов по работе с персональными данными?
