Возьмёмся за дело
Встретимся с вами — реально или виртуально. Это может быть начало большого пути или же простая консультация.
Закон о персональных данных: инструкция по применению
[ база знаний ]
[ На чтение 9 минут ]
Мы расспросили адвоката Алексея Головина о том, что нужно делать и чего бояться.
[ статья обновлена 12.06.2017 ]
Пока гром не грянет, мужик не перекрестится
Почти 11 лет на закон о персональных данных никто не обращал внимания. В основном потому, что штрафы были мизерные — 10 тысяч р. С 1 июля 2017 года штрафы вырастут в десять раз, что автоматически делает закон популярнее ждуна и видеоблогеров в Думе. Появилась куча статей, которые противоречат друг другу и дают советы разной степени абсурдности. Нужно ли заверять скриншоты у нотариуса? Электронная почта — это персональные данные или нет? Правда ли, что документы нужно хранить в сейфе? Мы тоже разволновались и решили все узнать у адвоката Алексея Головина, члена адвокатской конторы «Пелевин и партнеры».
Алексей Головин
Рег. номер в реестре адвокатов Ленобласти 47/1987
Общий юридический стаж более 12 лет. Работал в госорганах, на должности следователя, а затем заместителя прокурора района. С 2013 года работал единственным юрисконсультом в ООО «ГИДОР» (обслуживание дорог федерального значения), ГТК «Таксовичкофф» (таксомоторные перевозки). С 2016 года осуществляет адвокатскую деятельность.
Специализация:
Специализация:
- представительство в рамках административного производства, а также при процессуальных проверках;
- представительство физических и юридических лиц в судах общей юрисдикции и Арбитражных судах;
- разработка и правовая экспертиза проектов договоров, локальных нормативных актов.
Вступят в силу изменения в КоАП. Сам закон о персональных данных (ПД) не меняется — ужесточается ответственность за нарушения. Штрафы вырастут в среднем в 10 раз. Самые злостные нарушители могут собрать комбо до 300 тысяч р.
Да. Любая фирма, которая собирает и ведет клиентскую базу, попадает под действие закона. Неважно, как именно вы собираете базу: через сайт, по телефону, письменную анкету или пр. А еще вы являетесь оператором персональных данных. И должны написать об этом в Роскомназдор. Исключение — журналисты, кадровики с данными сотрудников и те, кто с каждым клиентом заключает письменное соглашение.
Роскомназдор может прийти к вам по 2 поводам: плановая и внеплановая проверка. В конце года Роскомназдор публикует на своем сайте план и список юрлиц, которых будет проверять в будущем году. Дополнительно за 3 дня до проверки Роскомназдор отправит уведомление. Если вас в списке нет, это еще не значит, что можно расслабиться на год. Если кто-то из вашей клиентской базы пожалуется Роскомназдору на то, что беспричинно получает от вас рекламу, письма или смски, вас ожидает внеплановая проверка — без предупреждения.
Всё, что позволяет персонализировать человека. ФИО, дата и место рождения, адрес, социальное и имущественное положение, образование, профессия, должность, доходы, биометрические данные. Это по закону. Судебная практика добавляет к ПД сведения о смерти, номер мобильного телефона, фотографии. Электронная почта типа kotik34@mail.ru не является ПД. Но вкупе с любыми другими ПД — это ПД.
На сайте нужно опубликовать пользовательское соглашение — документ, в котором прописана цель сбора данных, процессы сбора, обработки, хранения и передачи ПД. В соглашении должно быть написано, как клиент может изменить или удалить данные о себе из вашей базы. Ссылка на соглашение должна быть под каждой формой, которая собирает ПД. Есть 2 тонких момента.
Тонкий момент №1. После того, как клиент вошел в личный кабинет на сайте, ссылку под формами можно уже не показывать: достаточно 1 раз получить согласие клиента.
Тонкий момент №2. Под формой может быть
а) просто надпись "Нажимая на кнопку, вы соглашаетесь с нашей политикой обработки персональных данных",
б) может быть фраза с чек-боксом и заранее поставленной в него галочкой,
в) может быть фраза с пустым чек-боксом, куда клиент должен сам поставить галочку.
Все 3 варианта приемлемы. Но если вы думаете, как адвокат, и всегда стремитесь к минимальному риску, вариант в) — лучший. Если будет суд, в первых двух вариантах придется доказывать, что клиент видел и понимал надпись, в третьем случае доказывать не нужно, потому что клиент совершил осознанное действие — поставил галочку.
Тонкий момент №1. После того, как клиент вошел в личный кабинет на сайте, ссылку под формами можно уже не показывать: достаточно 1 раз получить согласие клиента.
Тонкий момент №2. Под формой может быть
а) просто надпись "Нажимая на кнопку, вы соглашаетесь с нашей политикой обработки персональных данных",
б) может быть фраза с чек-боксом и заранее поставленной в него галочкой,
в) может быть фраза с пустым чек-боксом, куда клиент должен сам поставить галочку.
Все 3 варианта приемлемы. Но если вы думаете, как адвокат, и всегда стремитесь к минимальному риску, вариант в) — лучший. Если будет суд, в первых двух вариантах придется доказывать, что клиент видел и понимал надпись, в третьем случае доказывать не нужно, потому что клиент совершил осознанное действие — поставил галочку.
Придется написать ряд локальных нормативных актов: положение об обработке ПД, приказ о назначении ответственного лица. Все, кто собирает и обрабатывает ПД, должны быть ознакомлены с положением под роспись. Все документы нужно хранить в отдельном кабинете с ограниченным доступом, в сейфе. Это не шутка: уже были штрафы просто за то, что документы лежали на столе.
Можно. Но если будет проверка или суд, вас накажут. В соглашении должны быть правильно описаны процессы именно в вашей компании, и не факт, что в украденном тексте все будет совпадать. Даже если вы скопировали текст, проверьте его и дополните описаниями своих бизнес-процессов.
С партнерами (например, с иностранными сервисами рассылок) нужно обменяться договорами. Электронные копии годятся. Если вы работаете с иностранными клиентами, т.е. собираете персональные данные белорусов и перуанцев, все документы (пользовательское соглашение, локальные акты) должны соответствовать закону о ПД в Беларуси и Перу. В этом случае за ориентир берется самое строгое законодательство, и все документы пишутся под него. В противном случае перуанец может пожаловать в Перукомнадзор, тот пожалуется в Роскомназдор, и у вас будет внеплановая проверка.
Нет. Куки и ремаркетинг относятся к американскому законодательству. Предупреждение о том, что сайт использует куки, нужно, если вы работаете с американской аудиторией.
Нет. Скриншоты могут пригодиться только в суде. Скриншот подтверждает, что в день, когда он был сделан, например, 12 марта 2015 года, на сайте была голубая галочка. Такой скриншот пригодится только в том случае, если дело касается именно 12 марта 2015 и голубой галочки. Поэтому нотариально заверенные скриншоты вряд ли вам нужны.
Когда точно нужен юрист?
Если вы хороший руководитель, отлично знаете процессы внутри компании, закон и подзаконные акты, вы можете самостоятельно составить все документы. Есть 2 случая, когда вам точно понадобится юрист. Во-первых, иностранные клиенты. Документы должны соответствовать закону той страны, где живет ваш клиент. В 90% это Россия. А если Казахстан? Боливия? Катманду? Юрист изучит законодательство этих стран, выберет самые жесткие требования и разработает документы под них. Во-вторых, оценка рисков. Если о законе вы слышите впервые, а компания работает не первый год на рынке, вы точно нарушитель. Предположим, компания работает с 2009 года, закон — с 2006. Компания не делала соглашений, не уведомляла Роскомназдор. Это значит, что 8 лет она обрабатывает персональные данные с полным пакетом нарушений. В этом случае юрист оценит риски, возможные штрафы и посоветует, как лучше выйти из ситуации.
Что может сделать копальщик?
Программист, верстальщик, контент-менеджер, агентство, которое делало сайт, не несут никакой ответственности за то, что ваша компания не соответствует закону о ПД. Что они точно могут сделать: опубликовать пользовательское соглашение, под формами поставить на него ссылку, расписаться во внутренних документах о том, что с положением о ПД они ознакомлены. Конечно же, по вашему требованию копальщик может скопировать чужое соглашение и выложить на ваш сайт. Но если проверка обнаружит подлог, отвечать будете вы, а не копальщик.
Хочу посмотреть текст закона
В одном документе мы собрали все ответы на вопросы, но не русским языком, а языком закона — с номерами, ссылками и точными формулировками.
Для тех, кто начнет с нуля
Максимальный чек-лист
- Написать локальные нормативные акты, назначить ответственного за ПД, Сотрудников, которые работают с ПД, ознакомить с положением под роспись.
- Обменяться договорами с подрядчиками (сервисами почтовых рассылок, смс-рассылок и пр.) Можно обменяться электронными копиями.
- Положить все документы в сейф.
- Подготовить и опубликовать на сайте пользовательское соглашение.
- Под каждой формой сбора данных опубликовать ссылку на пользовательское соглашение
- Отправить почтой или по интернету уведомление в Роскомназдор о том, что ваша компания является оператором персональных данных.
Автор
Алексей Головин, адвокат
продолжить чтение
[ Инструмент — SMM ]
Хватит жить прошлым, или бизнес в стиле Remote
[ статья и кейс ]
[ кейс по теме ]
Кейс Take the Cake + Пелевин и Партнёры