Давайте разбираться, что такое
персональные данные, почему нужно из собирать и обрабатывать, а так же
зачем об этом знать Роскомнадзору. Ну и расскажу о том, какие важные
документы вам для этого могут понадобится, чтобы не нарваться на штрафы.
А начнём с основ и понятий.
Причем
согласие в этом случае должно быть отдельным документом (блоком на
сайте), конкретным и добровольным. И не "вшито" в договор или оферту.
Так нельзя!
Кто является Оператором?
Все — это и ИП, и самозанятый, и компания, если организуют обработку персональных данных.
Вы оказываете услуги — вы Оператор Пдн.
Что такое персональные данные (ПДн)?
Персональные
данные — любая информация, относящаяся к прямо или косвенно
определённому или определяемому человеку: ФИО, email, телефон, паспорт,
адрес, история заказов, IP-адрес, фото и т.д.
То есть по смыслу
ПДн — это данные, с помощью которых человека можно идентифицировать.
Какого-то прям конкретного перечня не существует.
По мнению ВС РФ отдельно email без всего или номер телефона без всего не являются ПДн.
При этом большинство юристов склоняется к тому, что это не так однозначно и РКН не то чтобы поддерживает это.
Обработка персональных данных — что это?
Обработка
ПДн — любое действие с персональными данными: запись, сбор, хранение,
систематизация, изменение, передача, удаление, даже просто хранение в
телефоне или облаке.
Смотрите. Даже если вы условно не собираете
ПДн (не просите их у своих клиентов), вы все равно можете их так или
иначе обрабатывать:собирать в таблицы;
делать рассылку на старых клиентов;
проводить анкетирование;
сохранять в контактах.
То есть сбор — это всего лишь часть общего понятия "обработка".
По общему правилу обрабатывать ПДн можно только с согласия или в ограниченных законом случаях без.
Когда НЕ требуется отдельное согласие?
В случаях, прямо установленных законом (ч. 1 ст. 6 ФЗ-152).
Например:Для исполнения договора, стороной которого выступает субъект данных.
Для выполнения обязательств по закону.
Для защиты жизни и здоровья, если нельзя получить согласие.
Для защиты прав и законных интересов оператора или третьих лиц, если это не нарушает права субъектов.
То есть вы можете обрабатывать данные своих клиентов в целях исполнения договора без их согласия.
Например:Отправить напоминание клиенту о встрече — это обработка ПДн в рамках договора. Согласия не надо.
Отправить информацию о новой услуге клиенту — это обработка ПДн НЕ в рамках договора и нужно отдельное согласие.
При
этом количество ПДн должно быть обусловлено вашей услугой. То есть я не
могу запрашивать у вас, например, дату рождения для проведения
консультации. Она мне вообще не нужна для консультации.
Получается, что если:Цель — подготовка, заключение и исполнение договора — согласие не нужно.
Цель — любая другая — практически всегда нужно согласие.
Согласие на распространение персональных данных
Штрафы
за нарушение обработки ПДн (отсутствие согласий, политики и т.д.)
большие. ТАк что имейте ввиду и подумайте о размещении Согласия на
обработку заранее.Если
вы собираетесь публиковать ПДн (например, в виде отзывов на сайте или в
соцсетях) — нужно отдельное согласие на распространение, с особыми
реквизитами. согласно ст. 10.1 ФЗ-152, Приказ Роскомнадзора № 18 от
24.02.2021.
Вариант без согласия? Обезличивать отзывы. Чтобы было не идентифицировать человека.
Уведомление о начале обработки персональных данных
Все операторы должны подавать это уведомление.
Исключение
— если вы обрабатываете данные только на бумаге, без автоматизации (и
еще два, но это не про нас) согласно ПП РФ от 15.09.2008 № 687.
Уведомление подается В Роскомнадзор, до начала обработки.
Штрафы за отсутствие уведомления (ч. 10 ст. 13.11 КоАП РФ):Самозанятые от 5 000 до 10 000
ИП от 100 000 до 300 000
Какие минимально нужны документы?
И для ИП, и для самозанятых понадобятся:согласия на обработку ПДн (там, где нужно);
политика в отношении обработки ПДн;
для сайтов корректные чекбоксы для сбора ПДн.
Политика для сайта
У Роскомнадзора есть рекомендации по составлению политики.
Что будет если не разместили политику на сайте?
Ну или не показали ее при запросе от РКН.
Штрафы по ч. 3 статьи 13.11 КоАП РФ:
Физлица и самозанятые — от 1 000 до 3 000 руб.
ИП — от 10 000 до 20 000 руб.Когда
речь заходит о сайте, чуть ли не один из первых документов, который
советуют разместить — это политика в отношении обработки персональных
данных.
Политика в отношении обработки персональных данных — документ с условиями работы с персональными данными.
Откуда политика вообще взялась?
Это всё положения пп 2 ч. 1 статьи 18.1 152-ФЗ.
Оператор
обязан издать (!) "документы, определяющие политику оператора в
отношении обработки персональных данных". Вот ровно из этой формулировки
и вылупилась политика в отношении обработки ПДн.
Кому нужна политика?
Всем
операторам персональных данных: ИП, юрлицам, самозанятым. Помним, что
мы с вами — самозанятые и ИП, оказывающие услуги — операторы
персональных данных.
Даже если вы не собираете отдельно
персональные данные, вы все равно с ними соприкасаетесь, а значит,
обрабатываете — вы оператор.
Например:прислали анкету клиенту
прислали предложение клиенту в мессенджер
подписали договор
согласовали условия
сделали сайт, страничку таплинк и т.п.
Что, как Оператор, вы обязаны сделать с политикой?
Все та же ч 2 статьи 18.1 ФЗ-152. Обязан:Издать политику в отношении обработки ПДн.
Обеспечить неограниченный доступ к этой политике.
Если
сбор персональных данных (оплата, рассылка, заявки и т.п.) идёт через
сайт или бот — разместить политику на сайте или в боте.
И
тут нюанс. Все эти пункты не исключают друг друга. То есть даже если у
вас нет сайта, с которого вы собираете ПДн, политика у вас все равно
должна быть и должна быть где-то размещена. У кого есть офис или кабинет
— можно повестить в уголок.
А если офиса нет... :)
Понятное
дело, что вероятность прихода сотрудников РКН с проверкой к
самозанятому или ИП домой — с вопросом "гдеее у вас размещена
политика?!", маловероятна, но я все равно должна была предупредить :)
Короче. Однозначный мастхэв по политике, если у вас есть:сайт/лендинг
бот
страница типа таплинк
Что должно быть в Политике?
Общий перечень — опять пп. 2 ч. 1 статьи 18.1 ФЗ-152:общие цели
цели сбора персональных данных
правовые основания обработки персональных данных
объем и категории обрабатываемых данных, категории субъектов персональных данных;
порядок и условия обработки персональных данных;
актуализация, исправление, удаление и уничтожение данных, ответы на запросы субъектов на доступ к персональным данным.
Вдогонку вот вам подборки полезных постов:
👉 Подборка полезных видео для коучей, психологов, консультантов
👉 Подборка полезных постов об офертах для частных практиков: ИП и самозанятых
👉 Подборка постов о том, что надо учитывать на сайте: для ИП и самозанятых
Смотрите, там тоже много важного на тему персональных данных.
Резюме
- В большинстве случаев нам нужно собирать и обрабатывать персональные данные
- Персональные данные можно собирать и обрабатывать только после уведомления в Роскомнадзор
- Однозначно нужно размещать политику на сайте, лендинге, в боте.