Как хранить персональные данные клиентов в организации

Хранение персональных данных в организации

Для тех, кто намерен заняться бизнесом или организовать работу некоммерческой организации, в том числе заниматься продажей товаров через Интернет, важно продумать, каким образом будет обеспечено правильное хранение и использование персональных данных работников и клиентов. Существуют требования, четко прописанные в ФЗ-152 и других нормативно-правовых актах, но многое остается на усмотрение руководителя компании или предпринимателя. Во втором случае законом прописана необходимость достижения определенного результата, например, предупреждения несанкционированного доступа к физическим и электронным носителям, но как этого достигнуть, придется решать самостоятельно.

Определить порядок хранения персональных данных в организации на начальном этапе функционировании организации требуется по нескольким причинам:

• за игнорирование правил в отношении ПДн сотрудников и заказчиков положены внушительные штрафы;
• при многократных нарушениях возникает вероятность потери клиентов и партнеров, а также несения не только административной, но и уголовной ответственностей;
• не будет возникать трудностей при прохождении проверок контролирующими структурами;
• удастся приобрести репутацию надежного партнера и работодателя;
• грамотно организованные обработка, хранение и использование персональных данных позволяют сократить время и трудозатраты отдела кадров, то есть можно будет не держать большой штат специалистов;
• снизится вероятность получения вызовов с суд по делам о неправомерном получении либо применении конфиденциальной информации граждан;
• не будет накапливаться ненужная документация;
• процесс поиска нужной информации о сотрудниках будет требовать минимальных усилий.

Какие сведения в организации относятся к ПДн?

Определение понятия «персональные данные» изложено в ФЗ-152 от 27 июня 2006, согласно которому это любые сведения, напрямую или косвенно касающиеся гражданина. Более конкретным является определение, предоставляемое Роскомнадзором, в соответствии с которым к ПДн относится информация, позволяющая произвести идентификацию личности без дополнительных уточнений: Ф.И.О., мобильный номер, серия и номер паспорта, биометрика, СНИЛС, пароли к аккаунтам, ИНН и т.д. Отдельно прописываются операции, которые можно с ней осуществлять. Сведения можно собирать, синхронизировать, обновлять, копировать, передавать, извлекать, удалять, обезличивать, блокировать, использовать и уничтожать.

Все фирмы и учреждения, которые нанимают подрядчиков, формируют штат сотрудников или предлагают клиентам заключить договор на предоставление услуг, а также владельцы сайтов с формами обратной связи являются операторами ПДн. Каждому из них предстоит разобраться, где и как правильно должны храниться персональные данные сотрудников, клиентов и партнеров. С целью минимизации или исключения ошибочных действий, следует сориентироваться в законодательных требованиях, подобрать оптимальный вариант сохранения сведений (на бумажных либо на электронных носителях), определиться с количеством сотрудников в штате и направлением деятельности, а затем приступать к непосредственным действиям по обеспечению защиты конфиденциальной информации. Будьте готовы к тому, что на разработку как технических мер информационной безопасности ПДн, так и приведение бизнес-процессов компании в соответствие с положениями ФЗ-152 придется выделить дополнительные финансовые ресурсы и время.

Хранение персональных данных работников

Работодатель несет ответственность за информацию, которую получает от нанимаемого персонала, причем это касается всех категорий сведений, начиная от семейного положения и образования, заканчивая адресом проживания и прошлыми местами трудоустройства. В список документов, содержащих ПДн, за которые отвечает руководство компании, входят:

• удостоверяющий личность документ — гражданский, заграничный паспорт или паспорт моряка;
• трудовая книжка, кроме ситуаций, когда речь идет о первом трудоустройстве;
• полис государственного пенсионного страхования;
• военный билет;
• дипломы и свидетельства о получении того или иного образования, повышении квалификации;
• разрешения на выполнение узкоспециализированных (в том числе опасных) видов работ;
• идентификационный код налогоплательщика.

Для принятия на работу будущий сотрудник должен предоставить документы в бумажном либо электронном виде в установленной законом форме. Обязательным является заполнение формы Т-2, где предстоит указать общие сведения и информацию о приеме на ту или иную должность. В будущем именно в личную карточку вносят пометки о смене департамента или специализации, повышении или понижении в должности, прохождении аттестации, повышении квалификационного уровня, переподготовке, наградах и социальных гарантиях. Дополнительно прописывается контактный телефонный номер и место проживания (формальное и фактическое).

Организация учета и хранения персональных данных в соответствии с законодательными нормативами — зона ответственности работодателя, которому предстоит:

• выбрать место для размещения документов;
• назначить лиц, которые будут нести ответственность за сохранность носителей информации;
• установить режим доступа и круг людей, которые будут иметь право работать с ПДн;
• принять профилактические меры от кражи и передачи конфиденциальных сведений третьим лицам;
• получить письменное согласие на использование личной информации от каждого сотрудника;
• выдать локальные документы, регулирующие операции с ПДн, и позаботиться о том, чтобы их содержание было донесено до персонала.

Естественно, часть вопросов можно переложить на плечи подчиненных, но вот подписывать внутренние положения, приказы и т.д. должен именно руководитель, и ему необходимо четко понимать, как устроен процесс обеспечения безопасности ПДн.

Основные правила хранения и использования персональных данных оператором

В зависимости от сферы деятельности, масштабов организации и других факторов система обработки личной информации может существенно отличаться. Часть компаний предпочитает «по старинке» использовать бумажные носители, другие переходят в полностью электронный формат работы, хотя чаще всего наблюдается комбинированный вариант. ФЗ-152 и правительственными постановлениями предусмотрены общие условия хранения персональных данных в организации, которых должны придерживаться все:

1. Сохранение любых ПДн осуществляется в течение срока, который прописывается в соглашении либо необходим для достижения целей использования сведений.
2. Когда исчезает потребность либо достигается цель обработки, информацию нужно обезличить или уничтожить, если иного не предусматривают другие федеральные законы или подзаконные акты.
3. Любые действия в отношении ПДн не должны противоречить Трудовому Кодексу РФ, Конституции и другим ФЗ.
4. Полученные через электронные или иные источники сведения о сотруднике не могут быть основанием для принятия начальством фирмы решений, которые затрагивают интересы владельца ПДн.
5. Для защиты личной информации работодатель должен использовать собственные финансовые и прочие ресурсы.
6. В случае неправомерных действий со стороны фирмы работник имеет право подать судебный иск, где кроме компенсации (материальной и моральной) потребовать уничтожения ПДн из электронной базы либо с физических носителей.
7. Порядок обработки, хранения и использования персональных данных работников закрепляется в специальном положении и предусматривает проверку достоверности, предоставленной гражданином информации.
8. Каждый штатный и внештатный специалист должен получить разъяснения о собственных правах и расписаться в документе, который это подтверждает.
9. Передавая ПДн, работодатель обязан получить письменное разрешение на осуществляемые действия, кроме ситуаций, когда речь идет о здоровье и жизни гражданина.
10. Запрещено использовать личные данные для маркетинговых целей без согласия работника.
11. Все, кто имеет доступ к персональным данным работников, должны знать об ограничениях их обработки и необходимости соблюдения правил их хранения.
12. Нельзя запрашивать сведения о состоянии здоровья, если эта информации не влияет на способность человека справляться со своими профессиональными обязанностями.
13. Личные дела и другие ПДн персонала, как правило, хранят в кадровом департаменте в виде бумажных документов (папок с файлами) или на флеш-накопителях, в электронных БД.
14. Если сведения получены не напрямую от гражданина, то его нужно проинформировать об источнике информации, целях обработки, предполагаемых пользователях и его правах, обеспечиваемых федеральным законом о ПДн.
15. Доступ к персональным данным должен быть только у представителей отдела кадров, бухгалтерии, службы безопасности предприятия и гендиректора, также частичные права на использование могут быть предоставлены тем, кто работает в секретариате, для выполнения определенных текущих задач.

Инструкция, как организовать хранение и использование персональных данных

И в ФЗ-152, и в ТК РФ четко прописано, что за безопасность личных сведений несет ответственность руководитель организации, которому для выполнения всех правил необходимо:

• разработать и выдать внутренний документ, определяющий ключевые аспекты, связанные со сбором, обработкой и хранением конфиденциальной информации о персонале. Каждый работник после выдачи локального акта должен будет с ним ознакомиться под расписку;
• составить и утвердить перечень обрабатываемых в организации ПДн, в том числе тех, которые передаются в Пенсионный Фонд, службы статистики, трудовую инспекцию и налоговые органы;
• определиться и официально назначить ответственных за операции с ПДн и защиту сведений, идентифицирующих личность;
• позаботиться о подготовке заявлений о согласии на обработку персональной информации, журналов учета и проверок — это необходимо на случай неожиданных или плановых проверок со стороны Роскомнадзора, ФСБ или ФСТЭК;
• выбрать место, где будут храниться персональные данные сотрудников, зафиксированные на бумажных носителях, и подписать соответствующий приказ. Наиболее ценные бумаги помещаются, как правило, в сейф либо запирающийся шкаф, которые опечатываются, причем личные дела и трудовые книжки положено хранить отдельно друг от друга.

После исполнения всех требований, предъявляемых к операторам ПДн, необходимо осуществлять контроль над соблюдением прописанных в локальных актах правил, а также отслеживать изменения в нормативно-правовой базе. Для того чтобы поддерживать процесс обработки ПДн в организации в соответствие действующим требованиям необходимо периодически проводить независимый аудит, что позволит своевременно выявлять и устранять ошибки и несоответствия в документах, тем самым гарантируя сохранность и защиту персональных данных сотрудников и клиентов.

Хранение персональных данных клиентов

Решая проблему хранения и защиты персональных данных в организации, нужно отдельно уделить внимание организации процесса работы с информацией, получаемой от клиентов. Несмотря на то, что в отношении подобных сведений действуют те же принципы, что и для ПДн сотрудников, в данном вопросе присутствует множество тонкостей, в особенности если речь идет об интернет-магазинах, блогах, форумах или фирмах, заключающих контракты онлайн. Решение данных вопросов займет немало времени и усилий, однако в этом случае со стороны проверяющих структур не будет возникать претензий в части обработки ПДн (минимизация рисков наложения штрафов), а заказчики смогут быть уверенными в надежности организации.

Что подразумевают под ПДн клиентов?

По мере усиления контроля со стороны государства в сфере сохранения конфиденциальности информации о гражданах все больше компаний осознают необходимость исполнения своих обязанностей в качестве оператора ПДн. Но для того, чтобы выполнить все требования, прописанные в ФЗ-152 и других нормативно-правовых актах, нужно разобраться, что входит в состав персональных данных клиента. Сложностей добавляет тот факт, что границы данного понятия до конца не определены, хотя в законе прописано четкое определение. На практике к числу обрабатываемых и хранимых личных сведений фирмы могут относить:

• информацию об устройстве пользователя;
• Ф.И.О., дату рождения и место жительства;
• пол, гражданство, образование и семейный статус;
• место работы, регион и отрасль деятельности;
• должность и уровень дохода;
• сведения из гражданского или заграничного паспорта;
• мобильный, стационарный номер и адрес электронной почты;
• данные о входе на сайт, длительности посещения, пользовательских действиях (кликах, источнике входа, заполнении полей, просмотрах видео и баннеров, открытия страниц, cookie-идентификации);
• информацию о наличии детей (их количестве, поле, возрасте).

Чтобы не нарушать правовые нормы, все виды ПДн клиентов нужно прописать во внутреннем документе предприятия — порядке хранения и защиты, а также указать их при регистрации в Роскомнадзоре. Если получать и сохранять персональную информацию о субъектах шире заявленного перечня, то есть риск получения штрафов и существенного репутационного ущерба. В законодательстве присутствует одна особенность, которая заключается в том, что каждая разновидность информации не подпадает под понятие ПДн. Лишь совокупность сведений, по которому можно идентифицировать субъекта, как персону можно отнести к ПДн, например, данные о номере телефона номер телефона в сочетании с информацией об имени человека с названием компании, в которой он работает. Также под категорию персональных не подпадают сведения, размещенные их владельцем в социальных или иных сетях общего доступа, за исключением «ВКонтакте».

Во всех остальных случаях действуют положения ФЗ-152 и подзаконных актов, которые оператору нужно выполнять.

Важность обеспечения защиты личной информации

Государство требует от операторов уничтожать или обезличивать ПДн после достижения целей их обработки, при этом период их хранения может быть весьма длительным. С момента получения от субъекта идентифицирующей информации компания несет ответственность за её безопасное хранение, что предполагает разработку и внедрение определенных защитных мер, а также использование специальных средств. Этому аспекту деятельности нужно уделять особое внимание, поскольку персональные данные могут быть обнародованы, утеряны или переданы третьим лицам без согласия владельца. Эффективная политика защиты позволяет избежать:

1. Промышленного шпионажа.
2. Человеческих ошибок.
3. Сбоев в функционировании программного обеспечения.
4. Неполадок в работе операционных систем.

Детально о том, как правильно хранить персональные данные клиентов

Независимо от специфики деятельности организации, в отношении операций с ПДн, включая хранение, нужно руководствоваться прописанными в законодательных актах правилами:

• пройти регистрацию на официальном портале Роскомнадзора, задекларировав и подтвердив статус оператора. Кроме электронного обращения потребуется подать заявление в письменной форме (лично приходить необязательно, можно отправить по почте в соответствующее территориальное подразделение РКН);
• уведомить субъектов о сборе их ПДн и получить их согласие. Если речь идет об интернет-ресурсах, то письменно это делать не нужно, но на сайте обязательно должно быть пользовательское соглашение с пометкой о том, что, пользуясь сервисом, человек автоматически дает согласие на обработку его личных данных;
• разработать и использовать внутренние документы, регулирующие доступ и защиту конфиденциальных сведений. Все акты, положения, руководства и т.д. должны быть подписаны директором предприятия. Также нужно будет назначить лиц, ответственных за безопасность ПДн, и закупить средства защиты.

Юридически безопаснее не размещать на сайте формы для заполнения, а оставить ссылку либо е-мейл для отправки сведений.

Условия и особенности хранения данных о клиентах напрямую зависят от того, каким образом они были собраны:

1. Если ПДн получены с помощью Интернета, то они попадают на сервер, и ответственность за их безопасность несет хостинг-провайдер, с которым должно быть заключено соглашение о поручения обработки ПДн, при этом по закону сведения должны размещаться на серверах на территории Российской Федерации.
2. Отсканированная информация может размещаться на съемных носителях, внешних или внутренних жестких дисках, в локальной сети либо в облаке. Последнее время многие организации выбирают именно последний вариант ввиду его экономичности и простоты доступа, однако необходимо быть предельно внимательными, выбирая хранилище с высоким уровнем защиты от взлома.
3. Сведения, собранные благодаря анкетам и опросникам, заносят в электронные базы — преимущественно используются CRM и Excel.
4. ПДн в бумажном виде должны помещаться в металлические запирающиеся шкафы либо сейфы, которые должны находиться в помещении, куда имеют доступ лишь уполномоченные сотрудники. С точки зрения удобства есть смысл организовать отдельное место для хранения каждой группы данных.

Наказание за нарушение требований законодательства в отношении ПДн

За проверку условий хранения и защиты личных сведений граждан в организациях отвечает, прежде всего, Роскомнадзор, специалисты которого могут прийти к вам с плановым или внеплановым визитом (например, если поступило заявление о том или ином нарушении). На этот случай на предприятии должны быть внедрены и соблюдены организационные и технические меры защиты персональных данных. Организационные мероприятия внедряются после разработки организационно-распорядительной документации, которая описывает все бизнес-процессы предприятия в части обработки персональных данных. К техническим относится определение уровней защищенности информационных систем персональных данных на основе моделей угроз. В соответствие с уровнем защищенности подбираются и устанавливаются на компьютеры необходимое программное обеспечение для защиты.

Будьте готовы к тому, что проверяющие захотят увидеть сейфы и помещения, где находятся папки с договорами и т.д., а также убедиться в наличии пользовательского соглашения на интернет-ресурсе. Также контролирующие органы могут запросить воочию продемонстрировать каким образом и какие данные вносятся в ваши ИСПДн.

Обнаружение нарушений предполагает назначение штрафов в размере до 300 тысяч рублей. Минимальное наказание предусмотрено для физических лиц. При этом сумма может увеличиться в несколько раз, если нарушений много. Оспаривать решение контролирующего органа долго и, как правило, безрезультатно, поэтому разумнее изначально адаптировать работу компании под установленные требования. Проще всего это сделать, обратившись к экспертам в Центр безопасности данных.

Нюансы, которые нужно принимать во внимание

Разбираясь, как хранить персональные данные клиентов, следует учесть:

1. Выполнив заказ на поставку товара или предоставление услуги, организация должна в течение 30 дней после завершения сделки (либо после закрытия, предусмотренного договором окна по срокам) уничтожить собранные и хранимые ПДн
2. Запрещается передача идентифицирующих сведений о гражданах третьим лицам, за исключением случаев, прописанных в ФЗ-152
3. Для добавления в клиентскую базу с целью дальнейшего сотрудничества нужно получить у субъекта бессрочное согласие. При этом нужно принимать в расчет, что гражданин может в любой момент отозвать его, подав соответствующее заявление
4. Формирование базы данных должно осуществляться для выполнения какой-то одной цели сбора и обработки информации

Даже при получении сведений через мессенджеры вы не освобождаетесь от ответственности за их сохранность несмотря на то, что фактически ПДн находятся на сервере другой фирмы

Хранение персональных данных

Грамотное организованное хранение документов, содержащих персональные данные, — залог того, что конфиденциальная информация о сотрудниках, клиентах и в целом деятельности организации не попадет в руки посторонних лиц. Ответственность за определение правил, места размещения и защиты информации ложится, согласно закону, на работодателя, однако не все четко понимают, о каких нюансах нужно позаботиться. Добавляют сложностей постоянные дополнения и корректировки нормативно-правовых актов, которые приходится отслеживать, чтобы не получить штраф и не попасть в эпицентр скандала, связанного с распространением личных сведений граждан.

Разберемся, как и где хранить персональные данные, чтобы спокойно проходить проверки и поддерживать имидж серьезной компании, которая заботится об информационной безопасности. Более конкретные рекомендации работодатели или их представители могут получить, воспользовавшись услугами наших экспертов, которые проанализируют текущее положение дел и составят список необходимых изменений.

Существуют ли четкие правила хранения персональных данных?

Многие начинающие бизнесмены полагают, что для урегулирования вопросов, касающихся операций с ПДн, есть четкие инструкции, используя которые получится сформировать четкие правила и привести деятельность в соответствии с законодательными требованиями. На практике единого подхода к решению вопроса нет. Это значит, что каждый руководитель или ИП самостоятельно (или делегируя обязательства на заместителя либо руководителя отдела кадров):

• разрабатывает регламент хранения персональных данных;
• определяет, где они будут находиться;
• подбирает и одобряет предпринимаемые меры защиты и ограничения доступа;
• назначает сотрудников, которые будут нести ответственность за контроль операций с личными сведениями;
• выбирает те или иные виды наказаний за нарушения правил;
• подписывает внутренние распоряжения.

Ответственный подход на начальном этапе дает возможность в будущем не вносить радикальных изменений даже при изменении нормативно-правовой базы. Для того, чтобы все сделать правильно, необходимо принимать в расчет актуальные предписания относительно работы архивов, ограничения доступа к информации разных категорий сотрудников, а также ранее установленный порядок сбора и обработки ПДн (он должен быть закреплен в локальном акте или распоряжении). Еще один существенный момент заключается в том, чтобы политика по данному вопросу учитывала способ выполнения операций (в рамках ИСПДн либо на бумажных носителях).

Важные нюансы, связанные с порядком хранения персональных данных

Для того чтобы гарантировать сохранность и секретность ПДн, необходимо:

1. Четко определить условия хранения персональных данных на бумажных носителях и в электронном виде. Речь идет не только о месте, но и установлении режима доступа туда для разных категорий сотрудников.
2. Выбрать людей, которые будут отвечать за конкретные аспекты, связанные с сохранением информации.
3. Провести разъяснительную работу с персоналом, объяснив степень важности ограничений и правил использования ПДн в рамках профессиональной деятельности, а также дав четкие инструкции, как действовать в той или иной ситуации.
4. Продумать средства защиты для сейфов, шкафов с замками, а также заняться внедрением специализированного программного обеспечения.
5. Если ведется работа с биометрическими данными, то дополнительно продумать механизмы контроля и ограничения доступа в соответствии с Правительственным постановлением № 512, вступившем в силу в 2008 году.

При урегулировании вопроса хранения личной информации необходимо понимать, что это не однократная работа, а постоянные усилия, направленные на поддержание информационной безопасности. Каждый год появляются новые угрозы и требования, которым приходится соответствовать, чтобы, во-первых, не платить огромные штрафы, а во-вторых, чтобы не быть хуже конкурентов и рассчитывать на доверие со стороны клиентов и партнеров.

Какой должна быть система хранения персональных данных

Основная нагрузка по работе с ПДн ложится на плечи кадрового департамента, поэтому его работники должны иметь точное представление о том, что и как делать для предупреждения несанкционированного доступа. Законодательной базой является Конституция, ФЗ-152, ФЗ-149, Трудовой Кодекс и другие нормативные акты. Особое внимание должно уделяться срокам хранения, передачи и обработки персональных данных. На сегодняшний день правовые нормы определяют следующие требования:

• 3 года предприятие имеет право и обязано хранить заявления о трудоустройстве либо увольнении, письма с рекомендациями, автобиографии, указы о переводе на другую должность, анкеты;
• на протяжении пяти лет сохраняются докладные, служебные записки, командировочные листы, разнообразные справки (которые не включаются в личное дело), а также приказы и выписки;
• финансовая информация (связанная с выдачей зарплаты, премиальных, пособий и т.д.) находится в архиве 75 лет.

Существует разница между сроком действия согласия на обработку ПДн и длительностью сохранения самих данных. Хранение персональных данных — это процесс, регулируемый законодательством, решением владельца и целями использования сведений. ФЗ-152 закрепляет обязанность оператора сразу после достижения цели обработки обезличить и уничтожить полученные данные.

Все работники, как штатные, так и внештатные, которые работают с личными сведениями, должны подписать соглашение о неразглашении. Типовой документ необходимо предварительно адаптировать под особенности деятельности фирмы.

Сбор, обработка и хранение персональных данных на бумажных и электронных носителях

Выделяют сведения о субъектах, сохраняемые в бумажном и электронном виде. Каждый вариант есть свои плюсы, минусы и особенности. Нередко информация дублируется для эффективного выполнения рабочих задач и в целях безопасности.

1. Электронное хранение предполагает создание защищенных ИСПДн, которые в автоматическом режиме фиксируют и обрабатывают большие массивы данных. В таком случае не нужно много места или закупки закрывающихся шкафов и сейфов, а отыскать интересующие сведения можно за пару секунд, к тому же при серьезном подходе к обеспечению защиты нет риска кражи или утечки ПДн. Из недостатков следует отметить наличие затрат на оснащение современным программным обеспечением, потребность в постоянном создании резервных копий, а также регулярное обновление оборудования.
2. Правила хранения персональных данных на бумажных носителях предполагают размещение личных дел в сейфах в алфавитном порядке в зависимости от регистрационного номера. Остальные сведения размещаются согласно внутреннему регламенту, то есть работодатель может сам выбрать место для папок-накопителей, определить ответственных за безопасность сотрудников и установить ограничение доступа. К плюсам бумажных носителей можно отнести оптимизацию учета ПДн, минимальное время поиска информации. К минусам можно отнести существенные финансовые расходы на сейфы, необходимость дополнительного обучения новых сотрудников отдела кадров, потребность в большом свободном и защищенном пространстве (если фирма большая и личных дел много).

Обработка и хранение персональных данных: составление внутренних правил

Документ преимущественно составляют по шаблону, внося некоторые корректировки в зависимости от формы, способа фиксации ПДн и других особенностей деятельности организации. Основные разделы:

• общие положения;
• способы выявления и профилактики несанкционированного доступа и распространения ПДн;
• цели обработки и содержание хранимой личной информации;
• категории субъектов;
• сроки обработки и сохранения сведений;
• механизм уничтожения информации;
• ответственность за нарушение правил.

После внедрения правил хранения персональных данных в информационных системах и на бумажных носителях необходимо убедиться в том, что:

• уровень защиты достаточно высокий и соответствует актуальным угрозам;
• все сотрудники дали согласие на совершение операций с личными сведениями;
• принятые локальные акты соответствуют федеральному законодательству;
• содержание внутреннего документа, регулирующего хранение и обработку ПДн, донесено до персонала (каждый должен поставить подпись).

Пять ошибок интернет-магазинов при работе с персональными данными

С 1 сентября 2022 года продавцы могут быть оштрафованы за отказ продавать товары или услуги клиенту, если тот отказывается представить свои персональные данные. Речь идет о случаях, когда принуждение к передаче данных не предусмотрено законом. Поправки внесены в ст. 14.8 КоАП. И это еще один шаг на пути ужесточения требований к работе с личной информацией.

На сегодняшний день ни один интернет-магазин не обходится без сбора и хранения персональных данных (далее — ПД) покупателей. И это вполне объяснимо: чтобы оплатить товар на сайте и заказать доставку, покупатель должен оставить свои контакты: телефон или адрес электронной почты, адрес проживания. Кроме того, большинство магазинов в целях удержания клиентов делают информационные рассылки, внедряют программы лояльности и таким образом формируют базы клиентов.

Согласно Федеральному закону от 27.07.2006 № 152-ФЗ (далее — Закон о персональных данных) интернет-магазин в данном случае является оператором ПД, а покупатель — их субъектом. И это накладывают на продавцов жесткие требования.

В этой статье остановимся на нескольких ошибках, которые могут привести к штрафам.

• Отсутствие на сайте политики в отношении обработки персональных данных
• Обработка персональных данных покупателей без их согласия
• Передача персональных данных третьим лицам без согласия на это
• Отсутствие предупреждения об использовании куки-файлов
• Неуведомление Роскомнадзора об обработке персональных данных
• Запрет на принудительный сбор персональных данных клиентов

Отсутствие на сайте политики в отношении обработки персональных данных

Если интернет-магазин занимается обработкой персональных данных покупателей, то он обязан опубликовать на своем сайте этот документ. Обычно политика состоит из шести разделов:

• общие цели политики;
• цели сбора ПД;
• правовые основания обработки ПД;
• объем и категории обрабатываемых данных, категории субъектов ПД;
• порядок и условия обработки ПД;
• актуализация, исправление, удаление и уничтожение данных, ответы на запросы субъектов на доступ к ПД.

Под обработку данных попадают различные операции: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

Политика размещается на сайте, чтобы посетитель сайта смог ознакомиться с ней, кликнув по ссылке.

Посмотрите пример оформления Политики в отношении обработки персональных данных в интернет-магазине Vprok.ru.

Некоторые продавцы включают политику в Пользовательское соглашение. Например, так делает магазин O’stin.

Обработка персональных данных покупателей без их согласия

Недостаточно просто предупредить покупателей о том, что онлайн-магазин обрабатывает ПД. Нужно еще заручиться их согласием на это (ст. 9 Закона о персональных данных).

На сайте Роскомнадзора приводится шаблон согласия. Можно также посмотреть, как оформляют согласие конкретные интернет-магазины.

Роскомнадзор рекомендует интернет-магазинам получать согласие, если правоотношения с пользователем не оформлены в виде акцепта публичной оферты или в виде иных форм договорных отношений.

Как видно на примере выше, получить согласие на обработку ПД можно посредством проставления «галочки» в соответствующей веб-форме. Обратите внимание, что использовать предустановленную «галочку» нельзя. Важно, чтобы посетитель самостоятельно совершил действие.

Роскомнадзор обращает внимание на то, что в случае обработки биометрических и специальных категорий ПД (указаны в ст. 10 Закона о персональных данных) согласие должно быть оформлено в письменной форме.

Передача персональных данных третьим лицам без согласия на это

С 1 марта 2021 года согласие на обработку ПД, разрешенных для распространения, оформляется отдельно от иных согласий (Федеральный закон от 30.12.2020 № 519-ФЗ). Субъект вправе установить запреты на передачу ПД неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.

Приказ Роскомнадзора от 24.02.2021 № 18 установил требования к содержанию согласия на обработку ПД, разрешенных для распространения.

Отсутствие предупреждения об использовании куки-файлов

Куки — это файлы с информацией, полученной при посещении веб-ресурса. Интернет-магазины используют их для отслеживания и запоминания определенной информации о посетителе, чтобы адаптировать сайт в соответствии с его интересами и потребностями.

Такие файлы применяются для анализа работы пользователя с сайтом: позволяют изучить посещение страниц, используемых ссылок и время пребывания пользователя на странице.

Стоит отметить, что Закон о персональных данных конкретно не уточняет, входят ли куки в понятие ПД. Но подавляющее большинство интернет-магазинов учитывают потенциальные риски и предупреждают пользователей.

Неуведомление Роскомнадзора об обработке персональных данных

В ст. 22 Закона о персональных данных указана такая обязанность оператора ПД, как направление уведомления Роскомнадзору. Оператор должен исполнить это требование еще до начала обработки.

Уведомление не требуется в том случае, если объем собираемых ПД ограничивается только фамилией, именем и отчеством. Но магазин обычно запрашивает либо номер телефона, либо адрес электронной почты, либо и то и другое. Следовательно, направить уведомление придется.

Также уведомление не потребуется, если персональные данные не распространяются, не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения договора.

Форма уведомления представлена на сайте Роскомнадзора. В течение 30 дней после его отправки регулятор внесет сведения в Реестр операторов персональных данных.

Запрет на принудительный сбор персональных данных клиентов

Президент РФ Владимир Путин подписал Федеральный закон от 28.05.2022 № 145-ФЗ, который вводит штрафы за отказ продавцов заключать, исполнять, изменять или расторгать договор с потребителем из-за его нежелания предоставить персональные данные. Изменения вступят в силу с 1 сентября 2022 года.

За совершение этих действий предусмотрены штрафы:

• на должностных лиц — от 5 000 до 10 000 руб.;
• на юрлиц — от 30 000 до 50 000 руб.

В каких случаях штраф может сработать? Иногда при совершении покупки через интернет от клиента требуют чуть ли не паспортные данные. Чтобы пресечь такие избыточные требования к покупателю, было решено законодательно ограничить действия продавца.