ФЗ о персональных данных: обязательные шаги для любого бизнеса

от

«Если вы собираете данные клиентов, вы уже подпадаете под закон, даже если не знаете его номер. Это не про бюрократию, а про конкретные действия, которые нельзя игнорировать. Игнорирование, это не просто штраф, это прямая угроза бизнесу.»

Что такое 152-ФЗ на самом деле

Федеральный закон № 152-ФЗ «О персональных данных», это не абстрактный свод правил. Это юридический каркас, который определяет, как можно работать с любой информацией, позволяющей прямо или косвенно идентифицировать человека. Под это определение попадает не только ФИО и паспорт, но и номер телефона, email, данные о местоположении, история покупок и даже IP-адрес, если он постоянный.

Закон построен на нескольких ключевых принципах, которые часто упускают из виду, сводя всё к «получить согласие». Первый принцип — целесообразность. Вы не можете собирать данные «про запас» или потому что «может пригодиться». Каждый запрашиваемый пункт должен быть строго необходим для конкретной, заявленной цели. Запрашивать номер паспорта для подписки на email-рассылку — прямое нарушение.

Второй принцип — прозрачность. Вы обязаны не просто получить согласие, а информировать субъекта данных (вашего клиента) о том, кто вы, зачем собираете информацию, что с ней будете делать, как долго хранить и кому её можете передать. Эта информация должна быть доступна до момента сбора данных.

Кто является оператором персональных данных

Оператор, это не только крупная компания с отделом compliance. По закону, оператором является любое юридическое или физическое лицо, которое самостоятельно или совместно с другими организует и (или) осуществляет обработку персональных данных. Проще говоря, если ваш интернет-магазин, салон красоты, онлайн-школа или даже фрилансер, оказывающий услуги, собирает имена, телефоны или email клиентов — вы оператор.

Это статус налагает ответственность. Вы становитесь тем, кто отвечает за безопасность этой информации перед законом и перед самими клиентами.

Обязательные шаги для бизнеса: не только уведомление в Роскомнадзор

Большинство статей сводятся к одному пункту: подать уведомление об обработке персональных данных в Роскомнадзор. Это важно, но это лишь вершина айсберга. Полный цикл выглядит иначе.

1. Определить цели и правовые основания обработки

Прежде чем что-либо собирать, письменно зафиксируйте: для чего вам нужны данные клиента. Цели должны быть конкретными и законными. Например: «исполнение договора купли-продажи», «отправка информационной рассылки с согласия субъекта», «трудоустройство». Под каждую цель должно быть правовое основание из статьи 6 152-ФЗ: согласие субъекта, исполнение договора, исполнение закона.

2. Разработать документы

Без внутренних документов ваша деятельность считается нелегитимной. Минимальный набор включает:

  • Политика обработки персональных данных. Публичный документ, размещаемый на сайте. В нём вы раскрываете все принципы работы с данными.
  • Согласие на обработку. Не галочка в попапе «Я согласен». Это отдельный документ или четко оформленный блок, содержащий все обязательные реквизиты: кто оператор, какие данные, для каких целей, способы обработки, срок хранения, порядок отзыва.
  • Приказ о назначении ответственного. Даже если ответственный — вы сами, это должно быть оформлено приказом.
  • Перечень персональных данных. Конкретный список того, что вы обрабатываете.

3. Обеспечить безопасность данных

Закон требует принимать «правовые, организационные и технические меры» для защиты данных. Для большинства средних и малых бизнесов, не обрабатывающих специальные категории данных (здоровье, расовая принадлежность и т.д.), достаточно выполнения базовых требований ФСТЭК России.

Это означает необходимость классифицировать ваши информационные системы (ИСПДн) и выполнить соответствующие меры защиты. На практике для простых случаев (сайт-визитка, интернет-магазин) это сводится к:

  • Использованию SSL-сертификатов (HTTPS).
  • Регулярному обновлению ПО и систем.
  • Настройке разграничения прав доступа к данным внутри компании.
  • Организации резервного копирования.
  • Использованию антивирусного ПО.

Для более сложных случаев или при обработке больших объемов данных может потребоваться аттестация ИСПДн или привлечение лицензированных ФСТЭК организаций.

4. Подать уведомление в Роскомнадзор

Это делается после того, как все внутренние процессы настроены. Уведомление подается до начала фактической обработки. Исключения, когда уведомлять не нужно, строго оговорены в законе (например, обработка данных только для исполнения конкретного договора с данным субъектом). Лучше проконсультироваться со специалистом, чтобы не ошибиться.

Чего делать нельзя: типичные нарушения

Понимание запретов помогает избежать грубых ошибок.

  • Обработка без согласия или иного законного основания. Нельзя просто добавить email из визитки в рассылку.
  • Совмещение несовместимых целей. Если клиент дал телефон для связи по доставке, нельзя использовать его для рекламных звонков о новых товарах без отдельного согласия.
  • Передача данных третьим лицам без информирования субъекта. Отправка базы email стороннему call-центру — прямое нарушение, если это не было явно оговорено.
  • Хранение данных дольше установленного срока. После достижения цели или отзыва согласия данные должны быть обезличены или уничтожены.
  • Сбор избыточных данных. Требование ИНН или серии паспорта там, где без этого можно обойтись.

Что будет, если игнорировать

Роскомнадзор проводит плановые и внеплановые проверки. Поводом для последней может стать жалоба клиента. Последствия — не только штрафы (для юрлиц до 300 тыс. рублей по ст. 13.11 КоАП), которые сами по себе могут быть чувствительны для малого бизнеса.

Гораздо серьезнее репутационные риски и возможные исковые требования о компенсации морального вреда от клиентов. В отдельных случаях возможно даже приостановление деятельности. Но главное — потеря доверия. Клиенты всё чаще ценят приватность, и утечка данных или её неправомерное использование может уничтожить репутацию быстрее любого штрафа.

Права вашего клиента, о которых вы должны помнить

Субъект персональных данных (ваш клиент) имеет право, которое вы обязаны обеспечить технически и организационно:

  • На доступ к своим данным: по запросу клиент может узнать, какие его данные вы обрабатываете и для чего.
  • На уточнение и блокирование: если данные неверны, клиент может потребовать их исправить. Он также может потребовать временно прекратить их обработку.
  • На отзыв согласия: это ключевое право. Процедура отзыва должна быть не менее простой, чем процедура его дачи. Получив отзыв, вы обязаны прекратить обработку и уничтожить данные, если нет иного законного основания для их хранения.
  • На удаление (право на забвение): в определенных случаях клиент может потребовать полного удаления своих данных.

Отсутствие работающих механизмов для реализации этих прав — самостоятельное нарушение.

С чего начать прямо сейчас

Если вы до сих пор не привели процессы в соответствие, не стоит паниковать. Действуйте последовательно:

  1. Проведите аудит. Выпишите все точки сбора данных: формы на сайте, анкеты в офисе, звонки, CRM-система. Поймите, что, зачем и на каком основании вы собираете.
  2. Разработайте и опубликуйте Политику конфиденциальности. Используйте шаблоны, но адаптируйте их под свой бизнес.
  3. Приведите в порядок формы сбора согласия. Убедитесь, что они содержат всю обязательную информацию.
  4. Назначьте ответственного и издайте приказ.
  5. Оцените ИСПДн и примите базовые технические меры защиты.
  6. Подайте уведомление в Роскомнадзор через личный кабинет на их сайте.

152-ФЗ, это не препятствие для бизнеса, а инструмент для построения доверительных отношений с клиентом на прозрачных и безопасных условиях. Его выполнение перестает быть формальностью, когда вы понимаете, что защищаете не только данные, но и устойчивость собственного дела.

Оставьте комментарий