Получать почтой Подписаться
Банк предпринимателей
Все темы
Банки Законы Деньги Бухгалтерия Документы Переговоры Управление Люди Интервью

Збагойна: 152 ФЗ

С персональными данными всё не так уж страшно

Кого касается закон? А если я собираю куки? Я определяю геоданные посетителей. Я оператор? Что делать, если я оператор? Без документов никак? Как уведомить Роскомнадзор? Когда не нужно уведомлять Роскомнадзор? Меня проверят? Шпаргалка

Если у вас на сайте есть форма регистрации, вам нужно отправить уведомление в Роскомнадзор и составить политику конфиденциальности. Без них вы нарушаете закон.

С 1 июля вступают в силу поправки к 13.11 КоАП о нарушениях в работе с персональными данными. За нарушение в сборе, хранении или обработке персональных данных можно получить штраф до 75 000 рублей. Роскомнадзор уже составил план проверок компаний. Но без паники: всё не так страшно, срочно бежать к юристу не нужно. А что нужно — давайте разбираться.


Кого касается закон?

Закон касается операторов персональных данных: физических лиц и организации, которые собирают, хранят и обрабатывают персональные данные.

Оператором персональных данных может стать кто угодно. Даже если у вас личный сайт с формой регистрации, вам всё равно могут выписать штраф. Правда штрафы компаниям выше.

В законе нет четкого списка, что считать персональными данными. Правило такое: если по данным, что вы собираете, можно найти пользователя, сотрудника или клиента, это персональные данные. Например, если у вас есть имя, фамилия и электронная почта клиента, теоретически вы сможете найти его через поиск в Гугле.

Что считается персональными данными
фамилия, имя, отчество;
адрес;
электронная почта;
телефон;
дата или место рождения;
ссылка на соцсети;
профессия.

Давайте на примерах. Вы обрабатываете персональные данные, если:

в форме обратной связи на сайте клиенту нужно написать свое имя и телефон;

на форуме посетители регистрируются и оставляют свои имя и почту;

в интернет-магазине покупатель оставляет свои имя, телефон, адрес доставки;

в форме быстрого обращения система запрашивает у клиентов телефон и имя;

в блоге можно оставить комментарий, если указать имя и почту;

в рассылке есть форма подписки, куда посетители вписывают адрес почты и имя;

в компании работают сотрудники по трудовому договору, а у соискателей на должность вы запрашиваете имена, телефоны и почты, чтобы пригласить на повторное собеседование или прислать новости о компании.

Выходит, если вы получаете и храните данные посетителей сайта, сотрудников или соискателей, вы оператор персональных данных.

Если посетители сайта оставляют вам только никнеймы, вы можете не читать дальше эту статью. По никнеймам нельзя опознать человека в интернете, поэтому они не относятся к персональным данным.

Чтобы перестраховаться, мы рекомендуем держаться правила: собираете данные о пользователях на сайте, считайте их персональными. Чтобы не получить штраф, выполните действия, которые требует закон.

А если я собираю куки?

Трактовка закона расплывчатая, и однозначного ответа нет. Сама по себе кука — информация о поведении посетителя, она обезличена и по ней нельзя точно определить личность. Но если вместе с куками вы собираете электронную почту, фамилию и имя посетителя сайта, всё вместе это становится персональными данными. То же самое — с айпи-адресом.

Я определяю геоданные посетителей. Я оператор?

Здесь так же, как с куками. Закон не говорит точно, но по логике геоданные не считаются персональными данными. В сочетании с телефоном, именем, почтой или другими данными, геоданные становятся персональными данными. Здесь тоже лучше перестраховаться.

Что делать, если я оператор?

Порядок действий для ИП, физических лиц и компаний похож. И тем, и другим нужно:

получить письменное разрешение на обработку персональных данных у каждого пользователя сайта, соискателя на работу или сотрудника. На сайте около каждой формы напишите: «Когда нажимаете на кнопку, вы даете согласие на обработку персональных данных».

разместить на сайте политику конфиденциальности;

поставить ссылку на политику конфиденциальности рядом с каждой формой и в подвал сайта;

уведомить Роскомнадзор, что вы являетесь оператором персональных данных. Ниже мы указали случаи, кому и когда это делать не нужно;

для компаний сделать приказ и назначить конкретного сотрудника ответственным за обработку персональных данных.

Универсальной формы политики конфиденциальности нет. Нельзя скачать политику конфиденциальности с Озона и Гугла и использовать их. По закону вы не должны собирать лишние персональные данные, только те, которые нужны для вашей цели. Если у вас форум для автомобилистов, вам не нужен адрес по прописке или номер паспорта. А налоговой такие сведения понадобятся вполне законно.


Составить документы поможет бесплатный сервис Контура. Сервис задает вопросы, вы заполняете реквизиты компании, данные сотрудников, а Контур оформляет политику конфиденциальности и другие документы и по шагам рассказывает, что вам нужно сделать. Если документ нужно распечатать и хранить в компании, Контур об этом скажет.

Сервис Контура
подготовит документы по 152 ФЗ бесплатно

Без документов никак?

Лучше оформить документы, тем более за это не нужно платить. Иначе только два варианта:

убрать с сайта все формы регистрации, которые запрашивают данные посетителей;

вместо формы регистрации поставить одно поле «Контактные данные» и надеяться, что Роскомнадзор не сможет понять, относятся эти данные к персональным или нет. Один посетитель напишет свое имя, другой — телефон, третий — обругает матом.

Мы не рекомендуем играть в игры с Роскомнадзором, лучше сделать всё по правилам.

Как уведомить Роскомнадзор?

Уведомления надо подать до момента обработки данных. То есть если форма подписки на сайте есть, а вы не уведомили Роскомнадзор, вы уже нарушаете закон. Но если пришлете уведомление сейчас, Роскомнадзор не оштрафует за прошлые годы нарушений.

Заполнить и отправить уведомление можно на сайте Роскомнадзора. Для этого придется заполнить форму с 57 полями. Сначала ее надо отправить в электронном виде, потом — по почте и ждать ответа Роскомнадзора.

Форма регистрации оператора персональных данных на сайте Роскомнадзора

Есть путь легче — через сервис Контура.

Когда не нужно уведомлять Роскомнадзор?

Бывают случаи, когда вы обрабатываете данные, но сообщать об этом в Роскомнадзор не нужно:

пользуетесь общедоступными данными. Например, пользователь написал о себе в социальных сетях или разместил телефон в открытом телефонном справочнике;

обрабатываете данные, в которых есть только фамилия, имя и отчество пользователя;

запрашиваете данные, чтобы один раз выписать пропуск в свою компанию;

обрабатываете данные только на бумаге;

обрабатываете только данные сотрудников, например, чтобы заключить трудовой договор или оформить зарплатный проект;

обрабатываете данные клиентов, чтобы заключить договор, и не передаете их третьим лицам.


В законе есть и другие случаи, но они не касаются предпринимателей.

Меня проверят?

По новым поправкам увеличились штрафы для компаний, а за дело взялся Роскомнадзор. И взялся серьезно, на сайте можно скачать план проверок в компаниях.

Документы длинные, искать в них долго, поэтому рекомендуем один раз выполнить все требования закона и больше не волноваться о персональных данных.

За обработку персональных данных без предупреждения штраф для юридических лиц — от 15 000 до 75 000 рублей.

Шпаргалка

Когда попадаете под закон

на сайте есть форма обратной связи, регистрации или подписки;

храните данные соискателей на работу;

нанимаете сотрудников.

Как действовать

получить письменное разрешение на обработку персональных данных;

разместить на сайте политику конфиденциальности;

поставить ссылку на политику конфиденциальности во все формы на сайте;

уведомить Роскомнадзор;

для компаний сделать приказ и назначить конкретного сотрудника ответственным за обработку персональных данных.

75 000 ₽

максимальный штраф для компаний с 1 июля 2017 года

А вот еще интересно

21 июля
Карта против наличных
13 января
Патент или ЕНВД