Вокруг 152-ФЗ ходит столько легенд, что если верить всему, что говорят на бизнес-форумах, можно легко «доработаться» до визита Роскомнадзора. Предприниматели годами передают друг другу вредные советы, которые давно не имеют ничего общего с реальностью.
Меня зовут Дмитрий, я IT-юрист, и сегодня мы разрушим 5 главных мифов о персональных данных, в которые ваш бизнес всё еще продолжает верить.
Миф 1. «У нас микробизнес, Роскомнадзор проверяет только корпорации»
Реальность: Регулятору абсолютно неважен оборот вашей компании или количество сотрудников. Закон один и для Газпрома, и для кофейни у дома. Более того, проверки часто начинаются не из-за планового графика Роскомнадзора, а по жалобам. Стоит одному обиженному уволенному сотруднику или недовольному клиенту, которому прислали спам-смс, написать заявление — и к вам придут с проверкой. А штрафы за нарушения в сфере ПДн сейчас исчисляются сотнями тысяч и миллионами рублей.
Миф 2. «Если мы не собираем ФИО, то это не персональные данные»
Реальность: Самое частое и опасное заблуждение. Закон говорит, что ПДн — это любая информация, позволяющая прямо или косвенно определить человека. Номер телефона без имени? Персональные данные. Электронная почта вида director@company.ru? Персональные данные. Файлы cookie и IP-адрес посетителя сайта? Да, суды уже давно признали их персональными данными. Если у вас на сайте стоит Яндекс.Метрика, вы уже обрабатываете ПДн, даже если на странице нет ни одной формы для ввода имени.
Миф 3. «Мы скачали Политику конфиденциальности у конкурентов — теперь мы в домике»
Реальность: Чужая Политика — это мина замедленного действия. Роскомнадзор при проверке сопоставляет то, что написано в документе, с вашими реальными процессами. Если вы скопировали Политику у интернет-магазина, а у вас онлайн-школа, в документе будут указаны не те цели, не те сроки хранения и не те сторонние сервисы. Для регулятора это означает одно: Политика в компании отсутствует или не соответствует действительности. Это самостоятельное нарушение.
Миф 4. «Раз мы храним всё на бумаге в папках, 152-ФЗ нас не касается»
Реальность: Касается, и еще как. В законе есть целый огромный блок, посвященный обработке без средств автоматизации. Для «бумажных» баз данных (личных дел в кадровой службе, журналов посетителей на охране, анкет клиентов) действуют даже более жесткие правила, утвержденные Правительством. Ошиблись полкой, положили анкету соискателя в папку к работающему сотруднику или не пропустили старый договор через шредер — привет, штраф.
Миф 5. «Достаточно повесить внизу сайта плашку "Мы собираем куки", и закон соблюден»
Реальность: Дежурная строчка в «подвале» сайта, которую пользователь видит, только если прокрутит страницу до самого конца, больше не работает. Позиция регулятора жесткая: пользователь должен дать осознанное и активное согласие до того, как скрипты аналитики начнут собирать его данные. Правильный баннер должен требовать клика по кнопке «Принять» или «Согласен» и обязательно содержать прямую ссылку на вашу Политику конфиденциальности.
Заключение
Вера в юридические мифы — это непозволительная роскошь для современного бизнеса. Защита персональных данных давно вышла из категории «формальной бюрократии» и стала реальным элементом безопасности компании.
P.S. Хотите узнать, какие из этих мифов прямо сейчас ставят под угрозу ваш бизнес? Присылайте описание ваших процессов или ссылку на сайт на почту kartashovdmitriyi@yandex.ru — разберем, где у вас реальные риски, а где всё настроено правильно.