Что такое персональные данные и как продавцам с ними работать

Что такое персональные данные

Российский закон намеренно определяет персональные данные максимально широко.

Такой информацией может быть не только фамилия, имя, отчество, номер паспорта или ИНН, но и геолокация пользователя или его история заказов на сайте. Часто эти данные позволяют идентифицировать человека не сами по себе, а только в сочетании друг с другом.

Поэтому в законе и говорится как об определённом, так и об определяемом лице.

Определённое лицо — это когда вы точно знаете, что человек с конкретными Ф. И. О. или номером телефона и есть ваш клиент. А определяемое лицо — это когда какой-то идентификатор (например, ID или логин) в вашей CRM-системе может дать более полную информацию о клиенте, например его адрес или список последних заказов. Или если вы ещё не знаете конкретного человека, но, собрав дополнительные сведения о нём, сможете его идентифицировать. Так, на основе адресов, куда человек заказывал товары последние несколько раз, можно предположить, где он живёт или работает.

Исчерпывающего списка того, что считается персональными данными, не существует. 

У предпринимателей обычно копится такая информация:

• Ф. И. О.;
• номера телефонов;
• электронные почты;
• паспортные данные;
• домашние и рабочие адреса;
• даты рождения;
• гражданство;
• ИНН;
• СНИЛС;
• данные платёжных карт и банковские реквизиты.

Кроме того, если у вас есть сайт, то вы обрабатываете технические идентификаторы, которые могут обладать свойствами персональных данных, например IP-адреса и содержимое файлов cookies.

В какой момент вы получаете персональные данные

Бизнес чаще всего работает с данными клиентов, деловых партнёров и сотрудников.

Если вы продаёте товары или оказываете услуги, вам необходимо идентифицировать своих клиентов. Например, вы просите покупателя заполнить форму на сайте, где он указывает свои контактные данные.

Заключая договор с поставщиком или подрядчиком, вы также узнаёте персданные. Несмотря на то что в законе говорится о физических лицах, он касается и данных ваших деловых партнёров — индивидуальных предпринимателей, самозанятых и представителей юридических лиц.

Принимая на работу сотрудника, вы получаете о нём много сведений и тоже несёте за это ответственность. Обработку персональных данных сотрудников регулирует не только Федеральный закон «О персональных данных», но и глава 14 Трудового кодекса РФ.

Главные правила для тех, кто собирает и использует персданные

По закону, если физическое лицо, ИП или юрлицо нарушит порядок получения и обработки персональных данных, ему придётся заплатить штраф. Так, юрлицам ошибка обойдётся в сумму от 300 000 ₽ до 700 000 ₽, а при повторном нарушении — от 1 млн до 1,5 млн ₽. В 2024 году власти готовят новый закон с ещё более существенными штрафами.

Поэтому всем, кто имеет дело с персональными данными, важно соблюдать несколько правил:

1. Чтобы собирать персональные данные, нужно правовое основание — например, согласие.
2. Необходимо заранее обозначить цель обработки персональных данных — иначе по закону вы не сможете их использовать. Информацию нужно будет просто уничтожить.
3. Использовать персданные можно только с той целью, с которой они получены.

4. Данные должны надёжно храниться. Например, договоры с партнёрами стоит держать в помещении, куда не может зайти любой сотрудник или гость.
5. Хранить данные «на всякий случай» или дольше, чем это объективно необходимо, — запрещено.

Как начать собирать персданные

Как только вы начинаете собирать и обрабатывать персданные, вы автоматически становитесь оператором персональных данных. Чтобы всё было по закону, нужно заранее оформить документы и подать уведомление в Роскомнадзор.

Составить документы для работы с персональными данными

В зависимости от ситуации, специфики и размера бизнеса вам могут понадобиться несколько документов, например:

• политика в отношении обработки персональных данных — обязательный документ, который потребует Роскомнадзор;
• правила работы с персональными данными — список правил для сотрудников, его можно включить в текст политики;
• согласие на обработку персональных данных — документ для клиентов, который они должны прочесть и принять перед тем, как передавать вам персданные;
• положение о неразглашении персональных данных — внутренний документ, который подписывают сотрудники.

Политика в отношении обработки персональных данных — главный источник информации и для людей, чьи данные вы собираете, и для Роскомнадзора. В этом документе говорится, какую информацию вы обрабатываете, как и с какой целью.

В политике нужно указать:

• список персональных данных, которые вы используете, и их категории — общедоступные, биометрические, специальные или иные;
• цели, в которых вы обрабатываете эти данные;
• категории лиц, чьи данные вы собираете;
• способы и сроки обработки и хранения данных;
• порядок уничтожения персональных данных.

Документ должно быть легко найти — проще всего разместить его на вашем сайте. Если сайта нет, стоит держать распечатанную политику в офисе или магазине, например в уголке потребителя. Кроме того, важно дать прочитать текст всем сотрудникам под подпись.

Подать уведомление в Роскомнадзор

Уведомлять Роскомнадзор об обработке персональных данных должны практически все — не только юрлица, но и ИП и самозанятые.

Этого можно не делать в единственном случае — если вы не используете ни компьютер, ни любые программы, а записываете персданные на бумаге.

Подать уведомление можно в электронном виде, если у вас есть электронная подпись или личный кабинет на Госуслугах, или в бумажном — письмо необходимо выслать по адресу того управления, которое относится к вам территориально.

Во всех случаях форма уведомления одинаковая — она выложена на сайте Роскомнадзора. После того как Роскомнадзор рассмотрит заявление, информация о вас появится в списке операторов персональных данных. Кроме наименования, в нём будет указан ваш юридический адрес, номер телефона и адрес электронной почты.

Уведомить Роскомнадзор необходимо до того, как вы начнёте собирать персональные данные.

Если что-то изменилось, например вы стали работать с более широким перечнем персданных, нужно подать уточнённое уведомление не позднее 15-го числа месяца, следующего за тем, когда возникли изменения. Если вы перестаёте обрабатывать персональные данные, то у вас есть 10 рабочих дней, чтобы информировать об этом Роскомнадзор.

Получить согласие на обработку персональных данных

Вопреки популярному мнению, есть случаи, когда обрабатывать персональные данные можно и без согласия.

Например, оно не требуется:

• если персданные необходимы для исполнения закона: например, чтобы отправить информацию о сотрудниках в налоговую;
• если данные нужны, чтобы соблюсти договор с клиентом: например, вы создаёте клиенту личный кабинет на сайте на основании пользовательского соглашения (оферты). Но при этом вы не можете включить в оферту согласие на получение рекламы, его придётся получать отдельно, — об этом регулярно предупреждает ФАС России.

Полный список легальных оснований для обработки персональных данных можно найти в законе «О персональных данных».

Если согласие на обработку персональных данных вам всё же необходимо, важно помнить о следующем:

1. Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным. Старайтесь включать в него условия, которые содержатся в части 4 статьи 6 Федерального закона «О персональных данных».
2. Не делайте согласие бессрочным — ограничивайте срок его действия в соответствии со здравым смыслом и вашими реальными потребностями.
3. Помните, что даже если человек дал согласие, он может отозвать его в любое время, не объясняя причины. По общему правилу вы должны удалить данные в течение 30 календарных дней. Обязательно опишите, как можно отозвать согласие, — например, на какой адрес отправлять отзыв, что нужно в нём указать. Также продумайте план действий на этот случай.

Согласие можно получать как в бумажной, так и в электронной форме.

Иногда закон требует, чтобы согласие было обязательно в письменном виде: например, это касается обработки сведений о состоянии здоровья. Но если у вас интернет-магазин, то, разумеется, не нужно требовать от клиентов скан-копий подписанных ими согласий. Покупателям достаточно поставить галочку в чекбоксе на сайте. Имейте в виду: в спорной ситуации именно вам придётся доказывать, что согласие получено. На этот случай можно хранить лог-файлы или в принципе запретить регистрироваться в магазине и оформлять покупки тем, кто не поставил галочку.

Последние годы власти уделяют всё больше внимания защите персональных данных. Поэтому, чтобы избежать проблем и штрафов в будущем, лучше сразу подготовить несколько документов и зарегистрироваться в реестре Роскомнадзора.