К слову, в настоящее время рассматривается инициатива по введению оборотных штрафов для операторов персональных данных за утечку таких данных. В случае введения оборотного штрафа размер санкции будет зависеть от выручки.
Как исключить риск получения штрафов за незаконную обработку персональных данных
Начать следует с терминологии.
Оператором персональных данных является физическое лицо, юридическое лицо, государственный орган или ИП, которые осуществляют обработку персональных данных (сбор, использование, хранение, распространение). Т. е. если вы через свой сайт получаете контакты клиента для оформления заказа — вы оператор персональных данных.
К персональным данным смело можно отнести любую информацию, которая относится к гражданину (ФИО, телефон, e-mail, пол, адрес, семейное положение, фотография и т. д).
Советы от Бридж Групп
Предлагаем небольшой чек-лист по шагам, что делать, если вы — оператор персональных данных:
1. Включить сведения о себе в реестр операторов персональных данных на официальном сайте Роскомнадзора. Уведомить Роскомнадзор важно до начала обработки персональных данных.
2. Разработать локальные нормативных акты по работе с персданными:
- Политику в отношении обработки персональных данных.
- Положение о персональных данных работников.
- Приказы об организации обработки и хранения.
- Приказ о назначении ответственных лиц.
- Положения о хранении, защите и уничтожении.
3. Получить письменное согласие. Работа с персданными невозможна без согласия их владельца — субъекта персональных данных. На сайтах в сети Интернет заручиться согласием можно в электронном виде. К примеру, путем проставления «галочки» в окне после заполнения данных пользователем сайта.
Если планируется распространение полученных персданных — оформляется отдельное согласие.
Владелец данных вправе отозвать их. Для этого, на вашем сайте должен быть указан e-mail, на который пользователь сможет обратиться.
4. Не забудьте назначить ответственных за работу с персданными. Контролируйте соблюдение внутренних регламентов по хранению и обработке данных, чтобы предотвратить намеренную утечку данных или утечку по халатности.
В целом обработка персональных данных содержит ряд нюансов. К примеру:
- не требуется уведомлять Роскомнадзор о начале обработки персональных данных, если такая обработка осуществляется исключительно в целях трудового законодательства (в отношении работников). Однако, из-за обязанности ведения налогового, бухгалтерского и воинского учета такая обязанность вновь появляется и исключение аннулирует само себя;
- не требуется согласие на обработку персональных данных, которые находятся в общем доступе или обезличены;
- требуется при получении электронного согласия ознакомить пользователя сайта с Политикой обработки и защиты персданных.
Хотите узнать, как провести проверку соответствия вашего сайта требованиям федерального закона 152-ФЗ «О персональных данных»? Регистрируйтесь на вебинар «Интернет-бизнес без санкций в период санкций»
Подробно расскажем о том, какие ошибки компании при ведении бизнеса онлайн через Интернет могут повлечь за собой штрафные санкции и как их избежать. Ждем вас 7 апреля в 10.00 по Мск.
Интернет-бизнес без штрафов
Бесплатный практический вебинар. Регистрируйтесь прямо сейчас
Начать дискуссию