Собирать… Хранить… Так и представляется корзинка, грибы. Вкусно, полезно, питательно. Но если набрать «не тех», можно сильно отравиться. Если неправильно приготовить вполне съедобные грибы – тоже. Такие во аналогии с персональными данными: за неосторожное обращение с ними бизнесу может грозить штраф. Мало не допускать утечек информации, нужно правильно собирать и хранить такие сведения.
Законодательство устанавливает различные правонарушения в сфере защиты персональных данных, наказываемые денежными штрафами.
Юристы выделяют следующие нарушения как наиболее распространенные.
-
нет согласия на обработку персональных данных;
-
нет политики обработки таких сведений;
-
В уведомлении Роскомнадзору не указано намерение обработки ПД, а процессы обработки данных не соответствуют информации из заявления.
Удается ли оспорить штрафы?
Банки и ИТ-компании чаще всего оспаривают штрафы. Как крупные участники рынка,
их беспокоит репутация, поэтому обжалуют даже небольшие суммы взысканий, например 30 000–60 000 рублей.
Штрафы редко удаётся оспорить. В 2021 году мирового судья оштрафовал Twitter, Facebook и WhatsApp на 17; 15 и 4 миллиона рублей за отказ в локализации данных россиян на территории России. Таганский районный суд увеличил эти штрафы.
Как снизить риски штрафов
Для этого юристы , опрошенные Право.ru, рекомендует компаниям:
-
Создать документы, устанавливающие правила обработки данных, такие как политика конфиденциальности и внутренние инструкции.
-
Сохранять сведения в российском хранилище информации.
-
Обеспечить законные основания для работы с данными — получить разрешения на обработку, составить соглашения.
-
Для защиты данных следует ограничивать доступ и применять средства информационной безопасности.
.
Какая личная информация необходима бизнесу?
Для снижения риска получения штрафа необходимо выяснить, для каких целей бизнес использует персональные данные.
Согласно законодательству оператор персональных данных обязан собирать информацию только для тех целей, которые были заявлены при обработке.
Он не должен требовать избыточную информацию.
Избыток информации определяется с учетом целей обработки персональных данных. Например, если салон красоты собирает сведения о работе, образовании и источниках дохода посетителей, это излишне.
В деле № А60-24551/2021 кассация признала незаконным требование ресурсоснабжающей компании о предоставлении паспорта клиентом для перерасчета. Суд округа указал, что по закону паспорт не требуется, поэтому его запрос является незаконным и избыточным.
Юристы определяют ряд ключевых задач, для достижения которых компании используют персональные данные.
Оказание услугиВ качестве примера: для отправки товара покупателю, для общения с заказчиком.
Маркетинг. ПД Эффективно продвигают товары и услуги, стимулируя продажи, рассылая рекламу, оповещая о акциях и скидках, новых поступлении и реализуя бонусные и накопительные программы для получения обратной связи.
Сбор ПД помогает отслеживать покупки каждого клиента, что позволяет анализировать поведение потребителей через обработку больших объемов информации.
Этот метод дает возможность предложить индивидуальные скидки и акции, а также формировать маркетинговую стратегию компании.
Ну и конечно Сбор и обработка информации о работниках и претендентах на вакансии. Задачи могут быть сформулированы как общими, так и конкретными. Разнообразие бизнеса исключает существование единого списка типичных задач.
Некоторые нормативно-правовые акты прямо обязывают операторов хранить определённые данные. Например, есть требования к архивному хранению, в том числе по отбывшим свою службу работникам, для возможности предоставления сведений по запросам уполномоченных органов.
Базовый набор персональных данных для бизнеса позволяет опознавать клиентов, общаться с ними, осуществлять доставку по запросу и регистрировать их действия в качестве покупателей.
Отсутствует единый перечень персональных данных, подходящий всем компаниям, поскольку его состав определяется задачами сбора информации.
Практика показывает примерный объём данных о работниках. К нему относятся паспортные данные, образование, ИНН, СНИЛС и сведения о трудовой деятельности.
Несмотря на общие правила, между компаниями могут существовать различия. Некоторые отрасли бизнеса требуют от сотрудников прохождения медосмотров. В таком случае медицинская информация также подлежит обработке.
Предприятия могут запросить необычные сведения у потенциальных партнеров, если деятельность компании требует подобной информации.
Компания, занимающаяся оценкой персонала, может требовать информацию об образовании, сфере деятельности, отрасли, возрасте и других критериях, используемых ею для анализа когнитивных способностей.
Медорганизация собирает сведения о здоровье пациентов, но другая компания не вправе это делать.
Пример. Неправомерный сбор ПД
Предприятия, применяющие технологии "умный дом", собирают сведения, например, время возвращения домой, информацию о местоположении. Такая информация, потенциально, относится к персональным данным и может быть собрана, например, для оказания технической поддержки.
В Европе был случай, когда работодатель собирал информацию о психологическом благополучии сотрудников.
Его признали нарушителем, поскольку при оценке прохождения испытательного срока использовал данные по договору, хотя такая информация не требуется для заявленной цели. В данном случае исполнение договора не является законным основанием.
Правила сбора и хранения персональных данных по версии Роскомнадзора.
Ограничить объем собранных и обработанных компанией данных.
Отдельно хранить сведения о различных группах, таких как клиенты, сотрудники и кандидаты.
Сохранять сведения о личности — Фамилию, Имя, Отчество, электронный адрес, номер телефона, адрес и информацию об общении, такую как предоставленные услуги, купленные товары, переписка, контракты — в отдельных базах данных.
Не храните персональные данные «про запас». Уничтожьте информацию после того, как ее обработка выполнена.
В целях обеспечения безопасности данных использовать разрешенные технические и программные средства оператора.
В срок информировать Роскомнадзор о возможных и имевших место утечках персональной информации.
7). Контролировать физический доступ к ПД.
Установить лицо, отвечающее за защиту информации, и предоставить ему требуемые полномочия (рекомендации Роскомнадзора операторам персональных данных).
Как составить политику обработки ПД
Компании нужно руководство для сбора и обработки персональных данных.
Кроме того, каждый оператор персональных данных обязан обладать такой политикой. Компании, собирающие подобную информацию в сети, обязаны законным образом публиковать ее на сайте.
Тогда субъектам персональных данных останется меньше причин предъявить компанию к ответственности в Роскомнадзоре за неточную информацию о процессах и чрезмерный сбор данных.
Политика ставит перед собой практическую задачу – информировать субъектов персональных данных о способах обработки их информации.
Эффективная политика должна учитывать запросы обычного человека.
Информация должна быть ясной для непрофессионалов и организована логично. В качестве примера можно привести описание целей обработки данных, оснований и перечня сведений в виде таблицы.
Документ можно оформить в двух колонках. В одной — полная официально-юридическая редакция политики.
А во втором – краткий рассказ простым языком.
P.S. В России документы по защите персональных данных не обязательно должны быть понятны всем гражданам, но таковая практика считается лучшей во всём мире и направлена на человека.