Персональные данные и 152-ФЗ: что должен знать каждый предприниматель
Работаете с клиентами онлайн? Принимаете заявки через сайт, ведете CRM-систему или отправляете email-рассылки? Затем вы обрабатываете персональные данные и учитываете требования 152-ФЗ. Разбираемся, как это сделать правильно, чтобы избежать проблем с законом.
Статья 152-ФЗ
Закон распространяется на всех, кто собирает, хранит или использует персональные данные граждан России. Даже если у вас нет сайта, но вы ведете клиентскую базу в Excel или общаетесь с клиентами через мессенджеры, сохраняя их контакты, вы обращаетесь в соответствии с законом.
Персональными данными считается любая информация, которая позволяет идентифицировать человека: ФИО, телефон, адрес электронной почты, адрес и даже IP-адрес.
Что требует закон
Основные требования довольно простые, но их необходимо выполнять неукоснительно.
Во-первых, сообщите Роскомнадзору о том, что вы обрабатываете персональные данные. Подайте заявление через официальный сайт ведомства. В нем указжите цели обработки данных и способы их защиты.
Во-вторых, получите от людей согласие на обработку их данных. Согласие должно быть добровольным, осознанным и документально подтвержденным. Человек должен понять, зачем вы собираете его данные и что с ними будете делать.
В-третьих, создайте политику конфиденциальности. В этом документе подробно рассмотрено, как вы работаете с персональными данными. Его ссылка нужна на сайте в открытом доступе.
Техническая защита данных
Закон требует не только юридической правильной обработки данных, но и технической их защиты.
Используйте шифрование — установите SSL-сертификат на сайт. Ограничьте доступ к базе данных только теми сотрудниками, которым это действительно необходимо для работы. Регулярно создавать резервные копии и следить за обновлениями антивирусного ПО. Читайте также: Как подключить SSL сертификат
Обязательно назначьте ответственного за защиту данных. Это может быть, как штатный сотрудник, так и внешний специалист по договору.
Где хранятся данные
Персональные данные российских граждан должны храниться на территории России. Использование зарубежных сервисов для их хранения запрещено. Это касается популярных облачных решений, таких как Google Drive или Dropbox.
Некоторых российских провайдеров: Selectel, СберCloud, Yandex Cloud, МТС Cloud. Они соответствуют требованиям законодательства и ограничений, которые не соответствуют требованиям страны.
Принцип минимизации
Собирайте только те данные, которые действительно необходимы для оказания услуги. Если вы консультируетесь и записываете клиентов на встречу, достаточно имени и телефона. Не запрашивайте паспортные данные, СНИЛС или другую избыточную информацию без необходимости.
Штрафы и ответственность
Нарушение 152-ФЗ может дорого обойтись. Штрафы для юридических лиц до 18 миллионов рублей. За утечку денежных данных может быть назначен штраф в размере до 3% от годового оборота компании, а в некоторых случаях даже уголовная ответственность.
Практические советы
Cоблюдение 152-ФЗ — это не только защита от штрафов, но и конкурентное преимущество. Клиенты доверяют компаниям, которые серьезно относятся к защите своих данных.
Хотите узнать подробнее? Читайте полную статью: Как соблюдать 152-ФЗ и продавать услуги законно: защита персональных данных клиентов