Персональные данные в 2024: Как бизнесу работать по 152-ФЗ и не получить штраф до 18 млн рублей

Каждый сайт с формой обратной связи, каждый нанятый сотрудник, каждый клиент в CRM-системе — всё это работа с персональными данными. Ошибка в их обработке может стоить компании до 18 млн рублей. Вы уверены, что ваш бизнес полностью защищен?

В этом материале мы, эксперты ButlerSPB, разберем от А до Я, что такое персональные данные с точки зрения закона 152-ФЗ, как выстроить процессы в компании правильно и что делать, чтобы проверки Роскомнадзора не стали для вас неприятным сюрпризом.

Прочитайте до конца, чтобы получить готовый чек-лист для самоаудита.

Что закон считает персональными данными (ПДн)?

Если говорить просто, то персональные данные — это любая информация, которая прямо или косвенно относится к конкретному человеку (субъекту персональных данных). Многие предприниматели ошибочно думают, что речь идет только о паспортных данных, но это далеко не так.

Закон делит ПДн на несколько категорий. Вот основные примеры, с которыми сталкивается почти любой бизнес:

Общие: ФИО, дата и место рождения, паспортные данные, адрес регистрации и проживания, номер телефона, e-mail.
Специальные: национальность, расовая принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь. Работать с ними можно только в исключительных, строго оговоренных законом случаях.
Биометрические: фотоизображение, запись голоса, отпечатки пальцев, рисунок радужной оболочки глаза. Всё, что характеризует физиологические и биологические особенности человека.
Иные: IP-адрес, cookie-файлы, данные о геолокации. Сами по себе они могут не идентифицировать человека, но в совокупности с другой информацией (например, с данными из личного кабинета) они становятся полноценными персональными данными.

Экспертная вставка: “Важно понимать: любая информация, по которой можно прямо или косвенно определить конкретного человека, — это персональные данные. Даже если у вас есть только e-mail и имя, это уже ПДн, и на их обработку распространяются все требования 152-ФЗ.” — Юридический отдел ButlerSPB.

Кто есть кто в мире ПДн: Оператор, Субъект, Роскомнадзор

Чтобы говорить на одном языке с законом, нужно запомнить три ключевых термина:

Оператор: Это вы — ваша компания или ИП. Любая организация, которая самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку ПДн, а также определяет цели обработки, состав данных и действия, совершаемые с ними. Как только вы разместили на сайте форму “Заказать звонок” — вы стали оператором.
Субъект: Это ваш клиент, сотрудник, кандидат на вакансию, посетитель сайта — любой человек, чьи данные вы обрабатываете.
Роскомнадзор (РКН): Государственный орган, который контролирует, как операторы соблюдают законодательство о персональных данных. Именно он проводит проверки и выписывает штрафы.

”Три кита” законной обработки ПДн узнайте больше о главном сайте ButlerSPB на официальном сайте ButlerSPB

Вся работа с персональными данными в России строится на трех фундаментальных принципах. Если вы нарушаете хотя бы один из них, вы рискуете.

1. Законное основание (согласие — не единственный вариант)

Вы не можете просто так взять и собрать чьи-то данные. У вас должно быть законное основание. Самое известное — это согласие на обработку персональных данных. Оно должно быть конкретным, информированным и сознательным.

Плохой пример: Галочка с текстом “Я согласен с условиями”. С какими условиями? На что именно согласен? Непонятно.
Хороший пример: “Ставя галочку, я даю согласие на обработку моих персональных данных (имя, e-mail) в соответствии с Политикой конфиденциальности для цели получения маркетинговой рассылки”.

Однако согласие нужно не всегда. Другие популярные основания:

Исполнение договора, стороной которого является субъект (например, вы обрабатываете данные клиента для доставки товара).
Требования другого закона (например, вы обязаны обрабатывать данные сотрудников по Трудовому кодексу).

2. Определенная цель сбора

Вы должны четко понимать, для чего вам нужны те или иные данные, и не собирать ничего “про запас”. Цель должна быть конкретной, заранее определенной и законной.

Если для отправки коммерческого предложения вам нужен только e-mail и имя, вы не вправе требовать у клиента паспортные данные или адрес проживания. Если цель достигнута (например, клиент получил товар), вы обязаны прекратить обработку его данных, если нет других оснований ее продолжать.

3. Обеспечение безопасности

Мало законно собрать данные — их нужно надежно защитить от утечек, кражи и неправомерного доступа. Закон требует от оператора принимать необходимые правовые, организационные и технические меры для защиты ПДн. Сюда входит всё: от назначения ответственных лиц и разработки внутренних правил до использования антивирусов и шифрования.

Чек-лист: Приводим бизнес в соответствие с 152-ФЗ

Это пошаговый план, который поможет вам легализовать работу с персональными данными в компании.

Шаг 1. Провести аудит Определите, какие персональные данные, где, от кого, для каких целей и какими способами вы собираете. Составьте карту потоков данных: сайт, CRM, 1С, бумажные анкеты сотрудников, договоры с клиентами и т.д.

Шаг 2. Назначить ответственного Издайте внутренний приказ о назначении сотрудника, ответственного за организацию обработки персональных данных. Этот человек будет контролировать соблюдение закона и отвечать на запросы Роскомнадзора и субъектов.

Шаг 3. Разработать внутренние документы Это самый важный и объемный шаг. Вам потребуется пакет локальных нормативных актов:

Политика обработки персональных данных. Это публичный документ. Вы обязаны опубликовать его на своем сайте, если ведете сбор данных онлайн.
Положение об обработке и защите ПДн. Это внутренний, детальный документ для сотрудников.
Формы согласий на обработку ПДн (отдельно для клиентов на сайте, отдельно для сотрудников при приеме на работу).
Другие документы: приказ об утверждении перечня лиц, допущенных к ПДн, форма журнала учета обращений субъектов, форма отзыва согласия и т.д.

Шаг 4. Уведомить Роскомнадзор В большинстве случаев до начала обработки ПДн вы обязаны подать в Роскомнадзор уведомление об обработке персональных данных. Это можно сделать онлайн на портале РКН. Есть исключения (например, если вы обрабатываете данные только своих сотрудников в рамках ТК РФ), но они немногочисленны.

Шаг 5. Обеспечить техническую защиту Установите антивирусное ПО, используйте надежные пароли, настройте разграничение прав доступа к данным (бухгалтер не должен видеть данные из CRM-отдела маркетинга), по возможности используйте шифрование. Это отдельная большая задача, которая часто требует привлечения IT-специалистов.

Шаг 6. Ознакомить сотрудников Все сотрудники, имеющие доступ к ПДн, должны быть ознакомлены под роспись с вашими внутренними правилами и нести ответственность за их нарушение.

Актуальные штрафы за нарушения 152-ФЗ в 2024 году

Цена ошибки в работе с ПДн постоянно растет. Вот лишь некоторые из действующих штрафов для юридических лиц:

Нарушение	Сумма штрафа для юр. лиц
Обработка ПДн без согласия в письменной форме	до 150 000 ₽ (за первое), до 500 000 ₽ (за повторное)
Отсутствие Политики конфиденциальности на сайте	до 60 000 ₽
Невыполнение требования субъекта (об уточнении, блокировке, уничтожении)	до 90 000 ₽
Непредоставление информации субъекту о его данных	до 80 000 ₽
Утечка данных (обсуждаемый законопроект)	Оборотные штрафы до 500 млн ₽ или % от выручки

Не только штрафы: репутационные риски и потеря доверия клиентов

Новость об утечке данных из компании может нанести удар по репутации, от которого сложно оправиться. Клиенты просто перестанут вам доверять и уйдут к конкурентам, которые относятся к безопасности серьезнее.

Отвечаем на популярные вопросы бизнеса

Нужна ли политика конфиденциальности, если у меня просто лендинг с формой заявки?

Да, обязательно. Как только на сайте появляется форма, где пользователь оставляет свое имя, телефон или e-mail, вы становитесь оператором ПДн. Отсутствие политики — одно из самых частых и легко выявляемых нарушений. Документ должен быть размещен так, чтобы на него можно было легко перейти с любой страницы сайта.

Вы должны предупреждать пользователей о том, что сайт использует cookie-файлы, и получать их активное согласие. Обычно это реализуется через всплывающий баннер с кнопкой “Принять” или “Согласен” и ссылкой на политику, где разъясняется, какие именно файлы и для чего вы собираете.

Что делать, если произошла утечка данных?

Закон предписывает четкий алгоритм. В течение 24 часов вы обязаны уведомить Роскомнадзор о факте инцидента, а в течение 72 часов — предоставить подробную информацию о его причинах и последствиях. Параллельно нужно провести внутреннее расследование и, в зависимости от уровня риска для субъектов, уведомить их о случившемся.

Клиент просит удалить все его данные. Что делать?

Вы обязаны выполнить его требование. Это называется отзывом согласия. После получения такого запроса вы должны прекратить обработку и уничтожить данные субъекта в срок, не превышающий 30 дней, если для их хранения нет иных законных оснований (например, требования архивного или налогового законодательства).

Не откладывайте защиту данных на потом

Работа с персональными данными — это не разовая акция, а постоянный процесс, требующий внимания и экспертизы. Правильно выстроенная система не только защитит от многомиллионных штрафов, но и повысит доверие клиентов и партнеров к вашему бренду, став вашим конкурентным преимуществом.

Как ButlerSPB может помочь вашему бизнесу?

Самостоятельно разобраться во всех тонкостях 152-ФЗ бывает сложно и затратно по времени. Мы готовы взять эту задачу на себя.

Проведем комплексный аудит ваших процессов на соответствие 152-ФЗ.
Разработаем “под ключ” весь пакет необходимых документов (политики, согласия, приказы, положения).
Поможем правильно составить и подать уведомление в Роскомнадзор.
Проконсультируем по любым сложным вопросам, связанным с ПДн и их защитой.

Получить бесплатную экспресс-консультацию по 152-ФЗ

Наш специалист свяжется с вами, оценит вашу ситуацию и предложит первые шаги для приведения компании в соответствие с законом.

Что такое персональные данные и как их защитить

Персональные данные в 2024: Как бизнесу работать по 152-ФЗ и не получить штраф до 18 млн рублей

Что закон считает персональными данными (ПДн)?

Кто есть кто в мире ПДн: Оператор, Субъект, Роскомнадзор

”Три кита” законной обработки ПДн узнайте больше о главном сайте ButlerSPB на официальном сайте ButlerSPB

1. Законное основание (согласие — не единственный вариант)

2. Определенная цель сбора

3. Обеспечение безопасности

Чек-лист: Приводим бизнес в соответствие с 152-ФЗ

Актуальные штрафы за нарушения 152-ФЗ в 2024 году

Не только штрафы: репутационные риски и потеря доверия клиентов

Отвечаем на популярные вопросы бизнеса

Нужна ли политика конфиденциальности, если у меня просто лендинг с формой заявки?

Что делать, если произошла утечка данных?

Клиент просит удалить все его данные. Что делать?

Не откладывайте защиту данных на потом

Как ButlerSPB может помочь вашему бизнесу?

Читайте также

Что такое персональные данные и как их защитить

Персональные данные в 2024: Как бизнесу работать по 152-ФЗ и не получить штраф до 18 млн рублей

Что закон считает персональными данными (ПДн)?

Кто есть кто в мире ПДн: Оператор, Субъект, Роскомнадзор

”Три кита” законной обработки ПДн узнайте больше о главном сайте ButlerSPB на официальном сайте ButlerSPB

1. Законное основание (согласие — не единственный вариант)

2. Определенная цель сбора

3. Обеспечение безопасности

Чек-лист: Приводим бизнес в соответствие с 152-ФЗ

Актуальные штрафы за нарушения 152-ФЗ в 2024 году

Не только штрафы: репутационные риски и потеря доверия клиентов

Отвечаем на популярные вопросы бизнеса

Нужна ли политика конфиденциальности, если у меня просто лендинг с формой заявки?

Как правильно собирать cookie-файлы на сайте?

Что делать, если произошла утечка данных?

Клиент просит удалить все его данные. Что делать?

Не откладывайте защиту данных на потом

Как ButlerSPB может помочь вашему бизнесу?

Читайте также