Почти каждый бизнес сегодня собирает данные клиентов. Имя в форме заявки, телефон для доставки, email для рассылки, дата рождения для бонуса - всё это персональные данные.
А значит, на компанию распространяется Федеральный закон № 152-ФЗ «О персональных данных». Разберёмся простыми словами: что именно он требует и что нужно сделать предпринимателю.
Что такое 152-ФЗ на самом деле
Это закон, который гласит:
Если вы собираете информацию о людях - вы обязаны защищать её и использовать только по правилам.
Причём не важно:
- крупная вы компания или ИП
- офлайн-бизнес или интернет-магазин
- B2B или B2C
Если есть клиентская база - вы уже «оператор персональных данных».
Что считается персональными данными
Очень многие предприниматели думают, что это только паспорт.
На практике персональные данные - это:
- имя и фамилия
- номер телефона
- email
- адрес доставки
- дата рождения
- фото
- IP-адрес
- данные сотрудников
Даже список телефонов в Excel - это уже обработка персональных данных.
Что бизнес обязан сделать
Вот минимальный набор, который должен быть у любой компании.
1. Получить согласие
Если человек оставляет данные:
- на сайте
- в анкете
- в программе лояльности
- в CRM
Он должен понимать:
- кто собирает данные
- зачем
- как они будут использоваться
На сайте должен быть чекбокс с согласием и понятный текст.
2. Разместить политику конфиденциальности
На сайте обязательно должна быть страница, где написано:
- какие данные вы собираете
- зачем
- где храните
- кому передаёте
- как человек может потребовать удалить свои данные
Если такой страницы нет - это нарушение.
3. Обеспечить защиту данных
Бизнес обязан защитить базу от утечек.
Минимум:
- доступ к базе только у нужных сотрудников
- пароли
- резервное копирование
- защищённая CRM
Если произойдёт утечка - отвечать будет компания.
4. Хранить данные в России
Персональные данные граждан РФ должны храниться на серверах в России.
5. Уведомить Роскомнадзор
Если компания обрабатывает персональные данные, она должна уведомить Роскомнадзор о том, что является оператором. Многие об этом просто не знают - но требование действует.
За что чаще всего штрафуют
На практике проблемы возникают из-за простых вещей:
- нет политики конфиденциальности
- нет согласия на сайте
- база хранится где попало
- сотрудники имеют полный доступ к данным
- компания не подала уведомление
Штрафы могут быть серьёзными - вплоть до миллионов рублей для юридических лиц. Но хуже штрафа - репутационный удар и потеря доверия клиентов.
Самые распространённые заблуждения
«Мы маленькая компания, нас не проверят».
- Проверяют и ИП.
«Мы просто храним телефоны».
- Это уже обработка данных.
«Мы никому не передаём базу».
- Хранение - тоже обработка.
«Это касается только интернет-магазинов».
- Нет. Это касается любого бизнеса с клиентами.
Почему 152-ФЗ - это не только про штрафы
Сегодня данные - это актив.
На них строится:
- маркетинг
- аналитика
- программы лояльности
- повторные продажи
Но если база оформлена неправильно - это не актив, а риск.Грамотно выстроенная работа с персональными данными:
- защищает компанию
- повышает доверие клиентов
- снижает юридические риски
Что стоит проверить прямо сейчас
Простой чек-лист:
- Есть ли политика конфиденциальности?
- Есть ли согласие с чекбоксом на сайте?
- Подано ли уведомление в Роскомнадзор?
- Где физически хранится база?
- Ограничен ли доступ сотрудников?
- Можно ли удалить данные клиента по его запросу?
152-ФЗ - это набор базовых правил: собираете данные - объясните зачем, защитите их и используйте честно. И для современного бизнеса это уже не формальность, а обязательная часть работы.