Стратегии и тактики

Закон о персональных данных: инструкция по применению

1043 Алексей Головин
Рейтинг:
Рубрика: Клиентам
Тэги: закон о персональных данных

Пока гром не грянет, мужик не перекрестится

Почти 11 лет на закон о персональных данных никто не обращал внимания. В основном потому, что штрафы были мизерные — 10 тысяч р. С 1 июля 2017 года штрафы вырастут в десять раз, что автоматически делает закон популярнее ждуна и видеоблогеров в Думе. Появилась куча статей, которые противоречат друг другу и дают советы разной степени абсурдности. Нужно ли заверять скриншоты у нотариуса? Электронная почта — это персональные данные или нет? Правда ли, что документы нужно хранить в сейфе? Мы тоже разволновались и решили все узнать у адвоката Алексея Головина, члена адвокатской конторы «Пелевин и партнеры».
Алексей Головин
Рег. номер в реестре адвокатов Ленобласти 47/1987
Общий юридический стаж более 12 лет. Работал в госорганах, на должности следователя, а затем заместителя прокурора района. С 2013 года работал единственным юрисконсультом в ООО «ГИДОР» (обслуживание дорог федерального значения), ГТК «Таксовичкофф» (таксомоторные перевозки). С 2016 года осуществляет адвокатскую деятельность.

Специализация:
  • представительство в рамках административного производства, а также при процессуальных проверках;
  • представительство физических и юридических лиц в судах общей юрисдикции и Арбитражных судах;
  • разработка и правовая экспертиза проектов договоров, локальных нормативных актов.
1. Что случится 1 июля?
Вступят в силу изменения в КоАП. Сам закон о персональных данных (ПД) не меняется — ужесточается ответственность за нарушения. Штрафы вырастут в среднем в 10 раз. Самые злостные нарушители могут собрать комбо до 300 тысяч р.
2. Меня это касается?
Да. Любая фирма, которая собирает и ведет клиентскую базу, попадает под действие закона. Неважно, как именно вы собираете базу: через сайт, по телефону, письменную анкету или пр. А еще вы являетесь оператором персональных данных. И должны написать об этом в Роскомназдор. Исключение — журналисты, кадровики с данными сотрудников и те, кто с каждым клиентом заключает письменное соглашение.
3. Когда мою компанию проверит Роскомназдор?
Роскомназдор может прийти к вам по 2 поводам: плановая и внеплановая проверка. В конце года Роскомназдор публикует на своем сайте план и список юрлиц, которых будет проверять в будущем году. Дополнительно за 3 дня до проверки Роскомназдор отправит уведомление. Если вас в списке нет, это еще не значит, что можно расслабиться на год. Если кто-то из вашей клиентской базы пожалуется Роскомназдору на то, что беспричинно получает от вас рекламу, письма или смски, вас ожидает внеплановая проверка — без предупреждения.
4. Что относится к персональным данным (ПД)?
Всё, что позволяет персонализировать человека. ФИО, дата и место рождения, адрес, социальное и имущественное положение, образование, профессия, должность, доходы, биометрические данные. Это по закону. Судебная практика добавляет к ПД сведения о смерти, номер мобильного телефона, фотографии. Электронная почта типа kotik34@mail.ru не является ПД. Но вкупе с любыми другими ПД — это ПД.
5. Что нужно сделать на сайте?
На сайте нужно опубликовать пользовательское соглашение — документ, в котором прописана цель сбора данных, процессы сбора, обработки, хранения и передачи ПД. В соглашении должно быть написано, как клиент может изменить или удалить данные о себе из вашей базы. Ссылка на соглашение должна быть под каждой формой, которая собирает ПД. Есть 2 тонких момента.
Тонкий момент №1. После того, как клиент вошел в личный кабинет на сайте, ссылку под формами можно уже не показывать: достаточно 1 раз получить согласие клиента.
Тонкий момент №2. Под формой может быть
а) просто надпись "Нажимая на кнопку, вы соглашаетесь с нашей политикой обработки персональных данных",
б) может быть фраза с чек-боксом и заранее поставленной в него галочкой,
в) может быть фраза с пустым чек-боксом, куда клиент должен сам поставить галочку.
Все 3 варианта приемлемы. Но если вы думаете, как адвокат, и всегда стремитесь к минимальному риску, вариант в) — лучший. Если будет суд, в первых двух вариантах придется доказывать, что клиент видел и понимал надпись, в третьем случае доказывать не нужно, потому что клиент совершил осознанное действие — поставил галочку.
6. Что нужно сделать внутри компании?
Придется написать ряд локальных нормативных актов: положение об обработке ПД, приказ о назначении ответственного лица. Все, кто собирает и обрабатывает ПД, должны быть ознакомлены с положением под роспись. Все документы нужно хранить в отдельном кабинете с ограниченным доступом, в сейфе. Это не шутка: уже были штрафы просто за то, что документы лежали на столе.
7. А можно скопировать пользовательское соглашение у других?
Можно. Но если будет проверка или суд, вас накажут. В соглашении должны быть правильно описаны процессы именно в вашей компании, и не факт, что в украденном тексте все будет совпадать. Даже если вы скопировали текст, проверьте его и дополните описаниями своих бизнес-процессов.
8. А если у меня иностранные партнеры или клиенты?
С партнерами (например, с иностранными сервисами рассылок) нужно обменяться договорами. Электронные копии годятся. Если вы работаете с иностранными клиентами, т.е. собираете персональные данные белорусов и перуанцев, все документы (пользовательское соглашение, локальные акты) должны соответствовать закону о ПД в Беларуси и Перу. В этом случае за ориентир берется самое строгое законодательство, и все документы пишутся под него. В противном случае перуанец может пожаловать в Перукомнадзор, тот пожалуется в Роскомназдор, и у вас будет внеплановая проверка.
9. Куки и ремаркетинг относятся к закону?
Нет. Куки и ремаркетинг относятся к американскому законодательству. Предупреждение о том, что сайт использует куки, нужно, если вы работаете с американской аудиторией.
10. Нужно ли делать нотариально заверенные скриншоты?
Нет. Скриншоты могут пригодиться только в суде. Скриншот подтверждает, что в день, когда он был сделан, например, 12 марта 2015 года, на сайте была голубая галочка. Такой скриншот пригодится только в том случае, если дело касается именно 12 марта 2015 и голубой галочки. Поэтому нотариально заверенные скриншоты вряд ли вам нужны.

Когда точно нужен юрист?

Если вы хороший руководитель, отлично знаете процессы внутри компании, закон и подзаконные акты, вы можете самостоятельно составить все документы. Есть 2 случая, когда вам точно понадобится юрист. Во-первых, иностранные клиенты. Документы должны соответствовать закону той страны, где живет ваш клиент. В 90% это Россия. А если Казахстан? Боливия? Катманду? Юрист изучит законодательство этих стран, выберет самые жесткие требования и разработает документы под них. Во-вторых, оценка рисков. Если о законе вы слышите впервые, а компания работает не первый год на рынке, вы точно нарушитель. Предположим, компания работает с 2009 года, закон — с 2006. Компания не делала соглашений, не уведомляла Роскомназдор. Это значит, что 8 лет она обрабатывает персональные данные с полным пакетом нарушений. В этом случае юрист оценит риски, возможные штрафы и посоветует, как лучше выйти из ситуации.

Что может сделать копальщик?

Программист, верстальщик, контент-менеджер, агентство, которое делало сайт, не несут никакой ответственности за то, что ваша компания не соответствует закону о ПД. Что они точно могут сделать: опубликовать пользовательское соглашение, под формами поставить на него ссылку, расписаться во внутренних документах о том, что с положением о ПД они ознакомлены. Конечно же, по вашему требованию копальщик может скопировать чужое соглашение и выложить на ваш сайт. Но если проверка обнаружит подлог, отвечать будете вы, а не копальщик.

Хочу посмотреть текст закона

В одном документе мы собрали все ответы на вопросы, но не русским языком, а языком закона — с номерами, ссылками и точными формулировками.
Для тех, кто начнет с нуля

Максимальный чек-лист

1
Написать локальные нормативные акты, назначить ответственного за ПД, Сотрудников, которые работают с ПД, ознакомить с положением под роспись.
2
Обменяться договорами с подрядчиками (сервисами почтовых рассылок, смс-рассылок и пр.) Можно обменяться электронными копиями.
3
Положить все документы в сейф.
4
Подготовить и опубликовать на сайте пользовательское соглашение.
5
Под каждой формой сбора данных опубликовать ссылку на пользовательское соглашение.
6
Отправить почтой или по интернету уведомление в Роскомназдор о том, что ваша компания является оператором персональных данных.
Если у вас остались вопросы, вы можете задать их в комментариях или обратиться за консультацией в адвокатскую контору «Пелевин и партнеры».
Украсьте свою новостную ленту:
Ваши комментарии