Как правильно хранить персональные данные и не попасть на штраф

Если ваша компания собирает информацию о клиентах или посетителях своего сайта, она автоматически становится оператором персональных данных. Такие данные нужно правильно обрабатывать и хранить, иначе можно получить неслабый штраф от Роскомнадзора. Давайте разберемся, как избежать подобных проблем.
Что вообще считается персональными данными?
Для начала немного терминологии. К персональным данным относится любая информация о человеке и его деятельности. При этом четких определений в законе на этот счет нет. Но, как правило, такой информацией считаются: ФИО, дата рождения, паспортные данные, телефон, адрес проживания, электронная почта, ссылки на профили в соцсетях, фото и видео с участием человека, место работы, должность и так далее. Кроме того, к персональным данным относятся так называемые куки.
Когда мы становимся операторами персональных данных?
Как только компания или ИП начинает собирать вышеперечисленную информацию о тех или иных людях, она становится оператором персональных данных. Для этого достаточно разместить на своем сайте формы для регистрации, ответного звонка, сообщения или обратной связи, а также подписки на рассылку. Кроме того, интернет-магазин собирает персональные данные в тот момент, когда покупатель заказывает товар в интернете. Есть и другие примеры – дисконтные карты. Перед тем, как выдать клиентам скидочный инструмент, человек, как правило, заполняет небольшую анкету, где оставляет информацию о себе. То есть сбор данных необязательно должен проходить в Сети.
При этом операторами не считаются физлица, которые собирают данные для личных или семейных нужд, компании, которые обязаны хранить архивные документы по закону «Об архивном деле», а также компании, которые обрабатывают данные, отнесенные к гостайне указом Президента.
Как правильно собирать персональные данные?
Сбор, хранение и обработка персональных данных четко прописаны в Федеральном законе № 152-ФЗ. Согласно нему, компания имеет право собирать только необходимые данные для продажи товара или оказания услуги. При этом с клиента нужно взять согласие в виде бумажного документа или на сайте в виде галочки под полем «я соглашаюсь на обработку моих персональных данных».
Как хранить персональные данные?
Собрать информацию о клиентах – одно дело. Но не менее важно правильно хранить эти данные, чтобы не получить штраф от Роскомнадзора. А для этого нужно соблюсти несколько правил:
- Сообщить Роскомнадзору о том, что вы собираете персональные данные. Для этого достаточно заполнить соответствующую анкету на сайте ведомства.
- Подготовить все необходимые документы для работы с персональными данными, а именно политика обработки персональных данных, приказ о назначении сотрудника, который отвечает за организацию обработки персональных данных, правила доступа к персональным данным, правила защиты персональных данных, правила ведения учета материальных носителей персональных данных, а также при необходимости правила учета носителей биометрических данных.
- Соблюдать конфиденциальность личной информации. Все цифровые персональные данные на компьютере должны быть защищены паролем. Если данные хранятся в бумажном виде, то они должны храниться в шкафу с замком или в сейфе.
- Уничтожить персональные данные в течение 30 дней после того, как клиент получил товар или услугу. При этом можно также взять бессрочное согласие на обработку и хранение личной информации клиента. Тогда удалять данные через месяц не придется.
- Разделять базы с данными согласно их предназначению. Кроме того, если речь идет о персональных данных в цифровом виде, то их необходимо хранить на российских серверах.
А если что-то пойдет не так?
За несоблюдение правил сбора и хранения персональных данных российским законом предусмотрены штрафы до 75 тысяч рублей. А с 2019 года предусмотрен еще и отдельный штраф за сбор данных через сайты с иностранными хостинг-провайдерами – до 6 миллионов рублей. При этом Роскомнадзор проводит регулярные проверки компаний и ИП, как выездные, так и дистанционные.