Проводите опрос клиентов, собирая телефонные номера и E-mail? Принимаете заявки на регистрацию образовательных курсов? Значит вы оператор персональных данных.
Не важно, представляете ли вы компанию, являетесь предпринимателем или самозанятым. Федеральный закон №152 «О персональных данных» предусматривает суровые наказания для всех операторов, которые нарушают правила.
Понятие оператора персональных данных закреплено в 2 ст. 3 Закона № 152-ФЗ. Оператор — лицо, занимающиеся обработкой чужих персональных сведений, включая:
К ПД относится любая информация, позволяющая установить личность человека. Оператором может быть индивидуальный предприниматель, принимающий заказы через свой сайт, и мобильное приложение, запрашивающее местоположение или контакты.
То есть в понятие операторов включены физические и юридические лица.
В каждом из этих случаев человек или бизнес ответственен за хранение информации. Компания может назначить лицо, которое ответственно за обработку ПД и поручить ему функции оператора, заключив договор. Но тогда перед владельцем данных все равно ответственна компания-оператор.
Прочитав определение термина оператор персональных данных в законе, можно подумать, что чуть ли не любой может им считаться.
Что если делишься записью в соцсетях и упоминаешь в ней своего приятеля. От этого становишься оператором?
В таком примере роль оператора персональных данных выполняет сама социальная платформа. При регистрации на сайте пользователи дают согласие на распространение, обработку и использование своих персональных сведений. Ответственность за обработку лежит на соцсети, а не на его пользователях.
После первого сентября 2022 года вступили в силу изменения в законе №152-ФЗ. Вот самые важные из них, которые должен помнить оператор:
Форма согласия на обработку ПД должна быть предельно ясной и недвусмысленной, чтобы каждый человек, ознакомившись с ней, без труда мог уяснить для чего, куда, как и с какой целью будут использовать его личную информацию.
Перед началом работы с чужими ПД нужно зарегистрироваться как оператор в Роскомнадзоре. Это можно сделать:
Но в законе есть исключения, когда Роскомнадзор уведомлять об обработке ПД не нужно. Раньше таких ситуаций было больше десятка, но с первого сентября 2022 года большинство из них убрали, оставив три:
Но неопытному человеку будет трудно сообразить, как именно заполнить строки в форме. В ней нужно указать:
Если вы озадачены и не уверены, с чего начать, обратите внимание на опыт других операторов. Сайт содержит реестр операторов, данные из которого открыты для общего доступа. Посмотрите как другие компании оформляют свои уведомления, и повторите, адаптируя под свои нужды.
Регистрация может растянуться до месяца. Если заявление оформлено в цифровом виде, все равно понадобиться отправить бумажное заявление в местное представительство Роскомнадзора. В ходе регистрационного процесса инспекторы надзорного ведомства могут запросить дополнительные бумаги от компании для выяснения конкретных деталей.
Если поменялись методы, цели обработки персональных данных, руководство компании должно предупредить РКН в течение десяти дней со дня произошедших изменений. Для этого следует отправить уведомление. Образец такого документа можно найти на официальном сайте Роскомнадзора.
Он обязан соблюдать следующие принципы в работе с персональными данными:
Нельзя без согласия брать данные из социальных сетей, включая телефонные номера для коммерческих предложений.
Оператор имеет право передать права на обработку персональных данных третьему лицу. Необходимо только заключить контракт, который будет:
Оператор данных может быть привлечен к административной, уголовной и гражданской ответственности за нарушения. Штрафы составляют от 100 рублей до нескольких миллионов, в зависимости от тяжести проступка.
Штрафы для юридических лиц варьируются от 15-75 тыс. руб, а для индивидуальных предпринимателей – от 5 до 20 тыс. рублей.
Особенно строго наказывается хранение и передача персональных данных россиян в базах данных, расположенных за пределами страны. За это для юрлиц предусмотрен штраф в размере от 1 до 8 миллионов рублей, а при повторном нарушении – 16 миллионов.
РКН выявляет нарушение во время самостоятельной проверки или получив жалобу от владельцев ПД.
Человек получил рассылку, на которую не оформлял подписку, или ему начали звонить менеджеры онлайн-магазина, несмотря на отсутствие согласия на рекламные звонки. Пострадавший может потребовать удаления персональных данных из базы, подать жалобу в Роскомнадзор и запросить возмещения ущерба через суд.
Избежать штрафов от РКН непросто. Сначала придется разобраться с нюансами законодательства, которые усложняют работу с персональными данными. Необходимо быть готовым к регулярным инспекциям со стороны Роскомнадзора.
Предупреждение о проверке поступает за три дня, время для подготовки мало. Если найдут нарушения, могут сразу наложить штраф или дать время на исправление.
По этой причине многие компании предпочитают переложить ответственность за обработку данных на сторонних разработчиков, таких как облачные сервисы, которые берут на себя сбор, хранение и обработку данных, ограждая заказчика от рисков. Существуют сервисы, специализирующиеся на таких услугах, к ним относится QForm. Такой сервис:
Последний пункт приобрел особую важность из-за недавних изменений в законодательстве. Ранее некоторые компании не уделяли достаточно внимания местоположению серверов. Сейчас пользоваться иностранными базами данных запрещено.
Всего комментариев: 0
Оставить отзыв