Какие документы нужны компании, если она занимается обработкой персональных данных
Работа с персональными данными людей требует соблюдения довольно строгих правил и предписаний. Нарушение бизнесом установленного порядка влечет наложение суровых санкций. Помимо административных штрафов в сотни тысяч рублей возможно даже уголовное преследование ответственных лиц. Избежать негативных последствий позволяет тщательная подготовка документации по работе с персональными данными.
Провести аудит на соответствие 152-ФЗ и разработать всю необходимую документацию помогут эксперты «Консалт-групп».
Содержание статьи
- Коротко о требованиях к документации по работе с персональными данными
- Кто такие операторы персональных данных и какие требования к ним предъявляются
- Локальные документы для работы с персональными данными
- Документы для веб-ресурсов
- Свои реквизиты
- Договор-оферта
- Пользовательское соглашение
- Политика конфиденциальности
- Согласие на работу с личными данными
- Уведомления о сборе куки-файлов
- Согласие на получение рекламных материалов
- Санкции за нарушения в работе с персональными данными
Коротко о требованиях к документации по работе с персональными данными
Закон гарантирует защиту персональных (личных) данных людей.
Предприниматели и компании, которые обрабатывают личную информацию человека, признаются операторами персональных данных. Операторами являются практически все работодатели.
Операторы личных данных обязаны своевременно сообщить в Роскомнадзор о начале и прекращении работы с персональными данными, а также об изменениях в такой работе.
Операторы обязаны иметь соответствующие локальные акты, которые регламентируют работу с личными данными внутри компании.
Также бизнес обязан размещать на веб-ресурсах (на сайте, в приложениях, в соцсетях и чат-ботах) всю необходимую документацию в сфере обработки и защиты личных данных.
Как правило, продавцы товаров и услуг размещают на веб-ресурсе документацию не только для выполнения требований закона, но и для защиты интересов бизнеса.
К нарушителям в области обработки личных данных применяются санкции в виде административной, гражданской и даже уголовной ответственности.
В случае грубых нарушений в работе с персональными данными сумма штрафа может составить от 20 до 500 млн рублей (до 3% годовой выручки).
Кто такие операторы персональных данных и какие требования к ним предъявляются
Закон о защите персональных данных (152-ФЗ) признает в качестве операторов этих данных любых лиц, которые работают с личной информацией граждан. Персональной считается информация, позволяющая идентифицировать человека, включая ФИО, реквизиты удостоверяющих документов, контактный телефон, имейл и тому подобное (список, в принципе, открытый).
С учетом данного положения, операторами автоматически признаются следующие категории лиц:
- работодатели (компании и предприниматели, которые обрабатывают информацию о своих сотрудниках);
- ИП и юрлица, которые оформляют договоры с физ. лицами;
- ИП и юрлица, которые применяют пропускной режим (даже если пропуск для человека был оформлен всего один раз для прохода на закрытую территорию).
Сведения обо всех операторах отражаются в специальном реестре. Ознакомиться с реестром и проверить законность обработки персональных данных вправе любой желающий.
Таким образом, любая компания и предприниматель, которые считаются операторами персональных данных, должны сообщить в Роскомнадзор об обработке личной информации граждан. Сделать это нужно однократно и заблаговременно, то есть до начала работы с персональными данными. При изменении ранее сообщенных сведений нужно также уведомить регулятора (до 15 числа следующего месяца). Если же обработка личных данных прекращена, следует сообщить о том в Роскомнадзор в течение 10 рабочих дней.
Таким образом, уведомление Роскомнадзора — это один из первых документов, который потребуется компаниям и предпринимателям, обрабатывающим частную информацию о гражданах.
Также 152-ФЗ обязывает операторов персональных данных обеспечить надежную защиту личной информации путем принятия целого ряда мер организационного и технического характера.
Во-первых, следует разработать комплект локальной документации, регламентирующий порядок работы с персональными данными.
Во-вторых, необходимо ограничить доступ к такой информации и назначить ответственных лиц.
В-третьих, нужно разместить в открытом доступе (на веб-ресурсе, в приложениях, в соцсетях) документы, связанные с обработкой личных данных, чтобы пользователи имели возможность ознакомиться с данными материалами.
Учесть индивидуальные особенности бизнеса и подготовить необходимый комплект документации по работе с персональными данными помогут эксперты «Консалт-групп».
Локальные документы для работы с персональными данными
Мы уже говорили, что фактически любой работодатель относится к операторам персональных данных. Поэтому предпринимателям и юрлицам потребуется разработать и официально утвердить целый комплект внутренних документов, на основании которых будет осуществляться обработка приватной информации граждан.
Стандартный набор локальных актов по работе с персональными данными может выглядеть следующим образом:
- положение о правилах работы с личными сведениями (обработка, защита, уничтожение);
- приказы об ограничении доступа к таким сведениям, об определении ответственных лиц и др.;
- инструкции ознакомления сотрудников с требованиями по защите данных;
- обязательство о неразглашении;
- списки сотрудников, получивших доступ к персональным данным, журналы учета;
- регламенты осуществления контроля (аудита) в компании;
- документы, определяющие уровень защищенности сведений и потенциальный вред;
- формы документов, где используются личные сведения физлиц;
- форма согласия на обработку личных данных и др.
Требования в отношении сотрудников определены в Трудовом кодексе, в федеральном законе № 152-ФЗ, в Постановлениях правительства и прочих нормативных актах. Конкретный перечень документации определяется спецификой бизнеса, поэтому крайне неразумно будет использовать «чужие» шаблоны документов.
Документы для веб-ресурсов
Владельцы веб-ресурсов для выполнения требований законодательства в сфере персональных данных, а также для защиты собственных интересов должны разработать и разместить в открытом доступе определенные сведения и документы. Как минимум, потребуется оферта для интернет-магазина, согласие на обработку личных данных, пользовательское соглашение, политика конфиденциальности.
Обычно такие материалы «вывешиваются» на сайте, но также ссылки на документы можно размещать в приложениях, в соцсетях (чат-ботах) и т. д.
Свои реквизиты
На веб-ресурсе должна быть отражена информация о его собственнике. Если речь идет о дистанционной продаже и рекламе таких товаров, то интернет-магазин обязан не просто указать название юрлица (ФИО предпринимателя), но также сообщить пользователям свой рег. номер (ОГРН/ОГРНИП), адрес, номера телефонов и/или имейл (см. ст. 8 закона о рекламе и правила продажи товаров).
Договор-оферта
Оферта нужна прежде всего онлайн-магазинам, продающим товары в интернете. Также без оферты не обойдутся сайты, которые предлагают платные услуги (обучение, консультации, онлайн-кинотеатры) или B2B-продажи (облачные сервисы, прием платежей, почтовые рассылки).
Оферта представляет собой предложение владельца веб-ресурса заключить сделку. Все условия предлагаемой сделки, в частности порядок заключения договора, самым подробным образом прописываются в оферте. Оферта размещается на веб-ресурсе в свободном доступе, чтобы пользователи могли заранее ознакомиться со всеми условиями.
Реклама может признаваться или не признаваться офертой в зависимости от ее содержания.
Это предложение направлено на неопределенный круг лиц, то есть действительно для любого, кто на него откликнется. Договор с пользователем заключается автоматически, но только после выполнения действий, которые признаются акцептом. Это может быть оформление заказа, оплата продукции и др.
То есть оферта — это еще не договор, а только предложение заключить договор на названых условиях. После акцепта пользователь обязательно должен получить уведомление о подтверждении заключения сделки.
Наличие оферты на сайте — это не только выполнение требований закона. Правильно составленная оферта убережет продавца от многих неприятностей при возникновении конфликтных ситуаций: возврат по браку, отказ покупателя от оплаты, утрата товара курьером и прочее.
Пользовательское соглашение
Пользовательское соглашение не относится к обязательным документам для размещения на веб-ресурсе. Такое соглашение обычно устанавливает правила пользования сайтом. Для владельца виртуальной площадки данный документ — это способ защитить свои интересы при возникновении конфликта с клиентом по поводу использования функционала платформы.
Однако на практике пользовательское соглашение зачастую содержит элементы оферты и политики конфиденциальности (три в одном).
Политика конфиденциальности
Посетители различных сайтов довольно часто заполняют формы обратной связи, авторизуются (регистрируются), оформляют подписки и т. д. Во всех случаях они оставляют свои личные данные. Какие сведения и зачем собирает владелец веб-ресурса, можно узнать из политики конфиденциальности.
Данный документ владелец сайта должен разместить на каждой странице веб-ресурса, где производится сбор личных данных.
Политика конфиденциальности не может ограничить права посетителей сайта.
Согласие на работу с личными данными
Обработка личной информации возможна только при получении соответствующего согласия конкретного человека. Согласие должно быть оформлено в виде письменного разрешения получать, хранить и использовать персональные данные.
При этом совсем необязательно оформлять отдельный документ, подписанный цифровой подписью. Получением согласия может стать проставление галочки в чек-боксе под формой сбора данных.
Нельзя считать согласием молчание или бездействие.
Уведомления о сборе куки-файлов
Желательно также уведомлять посетителей сайта о производимом сборе куки-файлов. Прямого требования в законе нет, но есть судебная практика, когда информация о поведении пользователей на сайте приравнивалась к персональным данным. Поэтому сайтам, в том числе подключенным к ЦРМ и сервисам статистики, лучше сообщать своим пользователям о сборе кукис.
Согласие на получение рекламных материалов
Рекламная рассылка, в том числе онлайн, допускается только на условиях получения предварительного согласия клиента (закон о рекламе). Часто предприниматели включают пункт о согласии в текст договора, который они заключают с клиентом, или в иные документы. Однако Антимонопольная служба считает такую практику недобросовестной.
Даже факт регистрации на интернет-сайте не является однозначным свидетельством того, что пользователь разрешает присылать рекламу с этого веб-ресурса. Оформление согласия должно предполагать, что клиент может как согласиться, так и отказаться от получения рекламных рассылок. Поэтому рекомендуется получать от клиента прямое согласие.
Санкции за нарушения в работе с персональными данными
С конца мая 2025 года ужесточаются санкции за нарушения в сфере работы с персональной информацией.
Что может ожидать операторов персональных данных при игнорировании требований закона.
- Утечка (незаконная передача) личных данных может обернуться штрафом для бизнеса в сумме до 15 миллионов рублей, а с биометрией — до 20 миллионов рублей. Повторная компрометация данных может стоить до 3% годовой выручки.
- Если не сообщить Роскомнадзору об утечке личных сведений, бизнес получит штраф до 3 миллионов рублей.
- Если «забыть» уведомить Роскомнадзор о начале работы с персональными данными, то штраф составит до 300 тысяч рублей.
- Если обрабатывать личную информацию физлиц без получения соответствующих согласий, то штраф составит до 300 тысяч, а при повторных нарушениях — до полумиллиона рублей.
- Трансграничная передача персональных данных будет «стоить» бизнесу от 6 до 18 миллионов рублей.
Помимо административной, есть еще и гражданская ответственность для нарушителей (возмещение вреда, материального и морального), а также уголовное преследование с наказанием до 5 лет заключения.
