Чтобы стимулировать бизнес к более серьезной работе с персданными, правительство традиционно прибегает к методу «кнута», напрочь забывая о «прянике». Так, в конце ноября Госдума РФ в третьем чтении приняла законопроект, который вводит новые штрафы (например, за неуведомление Роскомнадзора о случайной утечке персональных данных) и увеличивает размеры старых.
В частности, предлагается штрафовать предпринимателей на сумму до 15 млн рублей, если количество пострадавших превысит 100 тыс. человек. Да, чем меньше пострадавших, тем меньше взыскание, но даже один миллион рублей за утечку личных данных порядка тысячи человек может поставить на бизнесе крест.
Однако не стоит думать, что все это касается только крупного бизнеса, потому что малые предприятия не представляют интереса для РКН. Еще как представляют! И не только юрлица, но и индивидуальные предприниматели. В новой публикации разбираемся, как организовать работу с персданными, чтобы впоследствии не закрыть ИП из-за огромных взысканий.
Перед законом все равны
Предприниматель, взаимодействующий с личными данными других людей, является оператором персональных данных. Федеральный закон №152-ФЗ «О персональных данных» дает четкое определение: оператор — любое физическое или юридическое лицо, самостоятельно или совместно с другими лицами организующее и/или осуществляющее обработку персональных данных. К слову, нет никакой разницы, кому это сведения принадлежат — клиентам или сотрудникам.Таким образом, индивидуальный предприниматель обязан зарегистрироваться в РКН, внедрить соответствующие нормативные акты на своем предприятии и неукоснительно соблюдать все требования закона наравне с юрлицами и вне зависимости от размера бизнеса. К слову, правила ведения отчетности одинаковы как для компаний, так и для ИП.
Справедливости ради, стоит отметить, что некоторые предприниматели все же освобождаются от регистрации в РКН и обработки персданных. Как нетрудно догадаться, к таковым относятся ИП без сотрудников, которые не получают личные сведения о клиентах. Например, если фермер в одиночку занимается хозяйством, а свою продукцию реализует на местном рынке.
Откуда берутся персональные данные?
В настоящее время многие люди предпочитают совершать покупки онлайн, чтобы сэкономить время на походах в магазин. Но доставка товара невозможна без информации о клиенте — ФИО, адресе и телефоне. Это и есть те самые персональные данные, обработкой и хранением которых занимаются продавцы.Другой пример — найм персонала. Еще на этапе отбора потенциальных сотрудников работодатель получает анкеты и резюме, в которых указаны все те же ФИО, адрес прописки и другие сведения — зачастую с подтверждающими документами. Например, наличие высшего образования традиционно подтверждается копией или сканом диплома.
Алгоритм работы
Вот и получается, что львиная доля всех предпринимателей попросту вынуждена работать с персданными. Далее мы поговорим о том, как эту работу организовать не только эффективно, но и правильно.Документы и отчеты
На первом этапе необходимо разработать и внедрить на предприятие документацию, которая будет регламентировать обработку персональных данных. Ее можно разделить на две категории: локальные нормативные акты и отчетность для РКН.Локальные нормативные акты. В соответствии с законом, обязательными являются четыре документа:
- Политика об обработке персональных данных — базовый документ, в котором объясняются принципы работы с личными данными клиентов и сотрудников;
- Положение о персданных работников — регламентирует порядок обработки, а также права и обязанности работодателя и сотрудников в части защиты личных сведений;
- Локальные акты по вопросам обработки персданных — определяют способы и сроки обработки и хранения, а также порядок уничтожения сведений;
- Задокументированные процедуры по предотвращению и выявлению нарушений закона о персданных — регламентируют порядок действий при утечках.
Отчетность для РКН. Приводить полный список в рамках одного материала попросту не имеет смысла, так как на сегодняшний день он насчитывает порядка 60 документов. Однако три из них должны быть у любого ИП, выступающего в качестве оператора персданных: политика в отношении обработки персональных данных, согласие физлиц на обработку и хранение личной информации, а также инструкции для работников с доступом к персданным.
Регистрация в РКН
Строго говоря, данный этап правильнее было бы назвать уведомлением Роскомнадзора о начале обработки персональных данных. Сделать это можно тремя разными способами.Во-первых, направить уведомление в территориальное управление РКН напрямую по почте. Для этого используется форма, установленная приказом ведомства №180 от 21 августа 2023 года. Предпринимателям Подмосковья нужно отправить уведомление по адресу: г. Москва, Старокаширское шоссе, д. 2, корп. 10.
Во-вторых, можно уведомить РКН непосредственно на сайте ведомства. Достаточно заполнить форму и подписать ее УКЭП. Для этого потребуется плагин для браузера «КриптоПро ЭЦП Browser plug-in».
В-третьих, сформировать уведомление и подать его в РКН можно через единый портал «Госуслуги». В этом случае УКЭП не нужен, так как идентификация пользователя происходит посредством его учетной записи.
Важно: Предприниматель, деятельность которого связана с обработкой персональных данных, должен зарегистрироваться в РКН в кратчайшие сроки. Чаще всего проверки в данной сфере проводятся именно на предмет уведомления ведомства.
Обеспечение защиты персданных
Меры безопасности, применяемые к личным данным клиентов и сотрудников, установлены ст. 19 все того же федерального закона №152-ФЗ. Они включают работу по двум направлениям: организационные действия (например, ограничение доступа к данным работникам, у которых нет соответствующего допуска) и применение технических средств. К последним относятся программы шифрования, антивирусы, файрволы и другие.Заключение соглашений с контрагентами
Бизнес нередко прибегает к услугам сторонних лиц и организаций для осуществления собственной деятельности. Например, производители товаров обращаются к курьерским службам для доставки заказа конечному потребителю. Само собой, в этом случае вместе с заказом курьеру передаются и персданные.В подобных ситуациях предпринимателю необходимо заключить соглашения по соблюдению действующего законодательства со всеми контрагентами: службами доставки, облачными хранилищами и т.д. В документе должны быть прописаны обязанности сторон, характер и способы обработки, запрет на передачу данных третьим лицам и ответственность за утечку информации.
Важно: особое внимание стоит уделить электронным сервисам вроде CRM, менеджеров рассылок и облачных хранилищ. Все они обязаны соблюдать условия российского законодательства. Так, например, одно из основных требований к подобным сервисам на сегодняшний день — размещение серверов на территории РФ.
Ответственность за нарушения
Перечень всевозможных нарушений в сфере защиты персональных данных установлен ст. 13.11 КоАП РФ. В него входит: обработка информации без соответствующего уведомления РКН, отсутствие обязательных документов или неправильное их оформление, отсутствие средств технической защиты и так далее. Разумеется, все это влечет штрафы.В данном разделе мы коснемся нарушений, за которые чаще всего штрафуют именно индивидуальных предпринимателей. Итак:
- незаконная обработка персданных — от 10 тыс. до 100 тыс. рублей;
- обработка данных без согласия физлица — от 20 тыс. до 300 тыс. рублей;
- отсутствие мер по защите персданных на материальных носителях — от 20 тыс. до 40 тыс. рублей;
- уклонение от проверки — от 2 тыс. до 4 тыс. рублей;
- нарушение правил обращения с собранными данными — от 1 млн до 6 млн рублей, а за повторное нарушение — до 18 млн рублей!
Так, в 2025 году появятся оборотные штрафы за повторную утечку персданных, которые составят до 3% от годового дохода предприятия. Кроме того, предусматриваются штрафы за нарушения при обработке биометрических сведений — до 1 млн рублей.