На сегодняшний день максимальный штраф за нарушение порядка обработки персональных данных может достичь 6 млн. рублей на компанию. Однако, на практике такую сумму компании потребуется заплатить только при повторном совершении правонарушения. В случае введения оборотного штрафа размер санкции будет зависеть от выручки.
Как исключить риск получения штрафов за незаконную обработку персональных данных:
Начать следует с терминологии:
Оператором персональных данных является физическое лицо, юридическое лицо, государственный орган или ИП, которые осуществляют обработку персональных данных (сбор, использование, хранение, распространение). Если вы через свой сайт получаете контакты клиента для оформления заказа – вы оператор персональных данных.
К персональным данным смело можно отнести любую информацию, которая относится к гражданину (ФИО, телефон, e-mail, пол, адрес, семейное положение, фотография и т.д).
Предлагаем небольшой чек-лист по шагам, что делать, если вы оператор персональных данных:
1. Включить сведения о себе в реестр операторов персональных данных на официальном сайте Роскомнадзора. Уведомить Роскомнадзор важно до начала обработки персональных данных.
2. Разработать локальные нормативные акты по работе с персданными:
· Политику в отношении обработки персональных данных
· Положение о персональных данных работников
· Приказы об организации обработки и хранения
· Приказ о назначении ответственных лиц
· Положения о хранении, защите и уничтожении
3. Получить письменное согласие. Работа с персданными невозможна без согласия их владельца – субъекта персональных данных. На сайтах заручиться согласием можно в электронном виде. К примеру, путем проставления «галочки» в окне после заполнения данных пользователем сайта.
Если планируется распространение полученных персданных – оформляется отдельное согласие.
Владелец данных вправе отозвать их. Для этого, на вашем сайте должен быть указан e-mail, на который пользователь сможет обратиться.
4. Не забудьте назначить ответственных за работу с персданными. Контролируйте соблюдение внутренних регламентов по хранению и обработке данных, чтобы предотвратить намеренную утечку данных или утечку по халатности.
В целом обработка персональных данных содержит ряд нюансов. К примеру:
Ø не требуется уведомлять Роскомнадзор о начале обработки персональных данных, если такая обработка осуществляется исключительно в целях трудового законодательства (в отношении работников). Однако, из-за обязанности ведения налогового, бухгалтерского и воинского учета такая обязанность вновь появляется и исключение аннулирует само себя;
Ø не требуется согласие на обработку персональных данных, которые находятся в общем доступе или обезличены;
Ø требуется при получении электронного согласия ознакомить пользователя сайта с Политикой обработки и защиты персданных.
Чтобы не запутаться в череде юридических тонкостей мы рекомендуем обратиться за консультацией к команде юристов Бридж Групп, которые расскажут как правильно организовать обработку персональных данных для вашего бизнеса, чтобы не попасть на штрафные санкции Роскомнадзора.