Вы думаете, что закон о персональных данных — это не про вас? Это распространенная ошибка.
Если у вас есть сайт, форма заявки, рассылка или база клиентов, вы уже работаете с персональными данными и обязаны уведомлять Роскомнадзор. Разбираемся, как все сделать правильно и избежать штрафов до 300 000 рублей.
Что считается персональными данными?
Это любая информация, по которой можно прямо или косвенно определить человека. Например:
- ФИО
- дата рождения;
- адрес;
- данные паспорта, СНИЛС, ИНН;
- телефон;
- электронный адрес;
- фотография;
- биометрические данные;
- ссылка на сайт или профиль в соцсетях.
Важно: проверьте себя, если по данным можно выйти на человека — считайте их персональными. Даже спорные случаи лучше относить к этой категории, чтобы избежать проблем.
Кто такой оператор персональных данных?
Вы становитесь оператором, как только начинаете собирать и хранить информацию о людях. Например:
- записываете имя и телефон клиента в CRM;
- принимаете заказы через сайт с формой обратной связи;
- ведете базу покупателей в Excel;
- собираете email для рассылок.
Когда нужно уведомлять Роскомнадзор?
Уведомление подается один раз — до начала обработки данных. Обработкой считается не только сбор информации, но и ее хранение, передача, использование и удаление.
Подать уведомление можно:
- онлайн через сайт Роскомнадзора;
- в бумажном виде в территориальное управление.
В уведомлении указывают:
- сведения об операторе;
- цели обработки;
- категории данных и субъектов;
- место хранения баз данных;
- меры защиты информации.
Когда еще нужно сообщать в РКН?
1. Прекращение обработки данных. Например, вы убрали с сайта личный кабинет и форму подписки. Отправьте форму № 3 (из приложений к приказу Роскомнадзора № 180) в течение 10 рабочих дней после изменений.
2. Изменения условий обработки. Например, сменился адрес компании или структура сбора данных. Отправьте форму № 2 до 15-го числа следующего месяца после изменений. Заявление можно заполнить на сайте Роскомнадзора ( https://pd.rkn.gov.ru/operators-registry/notification/form/ )
Когда уведомлять не нужно?
Есть исключения:
- обработка данных вручную (например, парикмахерская ведет журнал записей на бумаге);
- работа через маркетплейс (мы слышим, как многие выдохнули) без получения данных покупателей напрямую (оператором выступает маркетплейс);
- данные входят в государственные информационные системы (например, федеральные и региональные системы вроде ГосСОПКА);
- обработка в целях транспортной безопасности (централизованные базы данных о пассажирах).
Примеры из жизни: нужно ли уведомлять РКН?
1. ИП без сотрудников продает только на маркетплейсе: нет, если работаете через стандартные инструменты (например, Wildberries), не получаете ФИО, телефон и адрес покупателя и не сохраняете данные в CRM или мессенджерах
2. ИП заключает договоры с другими ИП и самозанятыми: нет, если учет ведется только на бумаге. Да, если используете Excel, CRM, мессенджеры
3. В договорах с контрагентами указаны данные организации и ФИО директора: да, если получаете и храните ФИО, телефоны или другие данные физлиц
4. ООО с двумя учредителями, но деятельности нет: нет, если не собираете данные сотрудников, клиентов или контрагентов
5. Бизнес ведёт онлайн-журнал и собирает email для рассылок: да, email — это персональные данные, если по нему можно идентифицировать человека
Чем грозит отсутствие уведомления?
Если Роскомнадзор выявит обработку персональных данных без уведомления, бизнесу грозят штрафы до 300 000 рублей. Проверки бывают плановыми и внеплановыми — например, если пользователь пожалуется на сайт или рассылку.
Вывод: не игнорируйте требования закона. Подавайте уведомление в Роскомнадзор до начала обработки персональных данных — это сэкономит нервы, время и деньги.
Больше информации о поддержке бизнеса — в TГ-канале ЦРПП.
Напомним, обратиться за поддержкой Центра «Мой бизнес» Санкт-Петербург (СПб ГБУ «ЦРПП») по самым разным направлениям могут как действующие, так и начинающие самозанятые, ИП и юрлица. А также те, кто только планирует открытие своего дела.