Компания не позаботилась о безопасности хранения персональных данных своих клиентов. Имена и номера телефонов скопировали хакеры и продали спамерам. За это компания получила штраф 45 000 ₽ и репутационный скандал.
Чтобы подобное не произошло с вами, расскажем, как нужно собирать и хранить персональные данные.
Что такое персональные данные
Интернет-магазин доставит товар, если клиент укажет свои ФИО и адрес доставки. Компания примет сотрудника на работу и запросит его ФИО, номер телефона, адрес, серию и номер паспорта. Эта и другая личная информация — персональные данные.
Персональные данные (ПДн). В законе не перечислены все возможные виды персональных данных. Сказано лишь, что это любая информация, которая относится к конкретному человеку. Персональные данные делятся на три группы: общие, специальные и биометрические.
Общие
Специальные
Биометрические
ФИО, дата рождения, сведения об образовании, паспортные данные, место регистрации и другие.
Национальность, раса, политические взгляды, судимость, религиозные и философские убеждения.
Рост, вес, отпечатки пальцев, фотографии и идеозаписи.
Персональными данные становятся тогда, когда мы понимаем, о ком идет речь. Имя или электронный адрес сами по себе — это еще не ПДн. Например, если у врача в клинике два пациента с одинаковыми именем и фамилией, то можно посмотреть дату рождения и точно определить, о каком пациенте идет речь. В этом случае персональными данными становятся имя+фамилия+дата рождения.
Оператор персональных данных — компания, которая работает с персональными данными, оперирует ими. Салон красоты собирает данные для рекламных SMS, косметологическая клиника хранит карточки клиентов. Владелец сайта с личным кабинетом, формой подписки, регистрации или обратной связи — тоже оператор.
Обработка персональных данных — это любое действие с данными: копирование ФИО посетителя в клиентскую базу, удаление старого номера телефона клиента, распечатка карточек пациентов клиники. Каждый человек, который делает что-то с данными — обработчик.
Марина сделала на сайте своей химчистки форму подписки на рассылку. Поля для заполнения: имя, электронный адрес, номер телефона. Марина собирает базу адресов в почтовом сервисе, а потом рассылает письма. Сотрудники Марины имеют доступ к базе данных.
В этом случае:
- персональные данные — имя, электронный адрес, номер телефона;
- оператор персональных данных — Марина;
- обработчики персональных данных — Марина и сотрудники почтового сервиса.
Как собирать персональные данные
Закон строго прописывает все процедуры, которые касаются сбора ПДн. Вот как их можно собирать.
Собирать только необходимые данные. Компания имеет право собирать только те персональные данные, которые необходимы для продажи товара или оказания услуги. Для доставки товара нужны ФИО и адрес, для подписки на рассылку — имя и электронная почта. Нельзя в таких случаях спрашивать номер СНИЛС, рост или место работы.
Взять согласие клиента. Собирать данные без согласия клиента — запрещено. Согласие — это бумажный документ, подписанный лично или галочка в поле «я соглашаюсь на обработку моих персональных данных».
Кнопку согласия можно поместить прямо в форму подписки
Как хранить персональные данные
За неправильное хранение персональных данных закон грозит штрафами до 250 000 рублей. Чтобы не получить их, нужно соблюдать несколько правил.
Подготовить официальные документы. Регламент работы с персональными данными в вашей компании должен быть закреплен в документах. В них важно указать все до мельчайших подробностей, например, как и где вы собираетесь хранить данные, кто конкретно имеет к ним доступ, как защищать персональные данные, когда их уничтожать.
Эти документы должны быть в обязательном порядке:
- Политика обработки персональных данных. Если у компании есть сайт, документ нужно разместить там на видном месте.
- Приказ о назначении сотрудника, который отвечает за организацию обработки персональных данных.
- Правила доступа к персональным данным.
- Правила защиты персональных данных.
- Правила ведения учета материальных носителей персональных данных.
- Правила учета носителей биометрических данных. Это нужно частным клиникам или косметологическим салонам.
Соблюдать конфиденциальность персональных данных и не раскрывать их третьим лицам. При хранении на компьютере или в локальной сети компании все документы или папки с данными нужно защищать паролем. Чтобы посторонние не получили доступ к бумажным данным, папки должны лежать в шкафу под замком или в сейфе.
Уничтожить персональные данные в течение 30 дней после того, как клиент получил товар или услугу. Например, после того, как компания выполнила ремонт в квартире заказчика, она обязана удалить из своей базы его ФИО и номер телефона.
Если вы хотите сохранить ФИО и номер телефона клиента, чтобы в будущем отправить ему SMS и предложить скидку на установку натяжных потолков, запросите бессрочное согласие на обработку и хранение его персональных данных. Бессрочное согласие можно отозвать — для этого клиент должен написать заявление на имя компании о прекращении обработки данных.
Создавать разные базы с данными клиентов для разных целей. Например, вы собираете персональные данные клиентов интернет-магазина. 75 человек дали согласие на получение рекламных материалов по электронной почте, а 100 человек — на получение подарков в день рождения. По закону, нужно создать две разные базы клиентов, потому что у их персональных данных разные цели обработки. Объединять базы нельзя.
Как хранить персональные данные
Способ хранения зависит от того, каким способом вы собирали персональные данные: через интернет, вручную или сканировали документы, которые заполнял клиент.
Если собрали ПДн через интернет. Если клиент вводит данные в формы подписок на рассылку или формы заказов на сайте, его ПДн остаются в интернете. Данные из форм обычно хранятся на сервере и защищаются компанией-провайдером. База персональных данных обязательно должна находиться на российском сервере.
Если собрали ПДн вручную. Часто в салоне красоты или парикмахерской администратор просит клиентов заполнить анкету и согласие на обработку персональных данных. Клиент оставляет имя и номер телефона, чтобы получать рекламные SMS, а сотрудники салона вбивают данные в базу. Это может быть простая табличка в Excel или база клиентов в CRM-системе.
Если отсканировали ПДн. Если вы собираете сканы паспортов и других документов, для них тоже нужно обеспечить специальное хранилище. Хранить сканированные или собранные вручную персональные данные можно на жестком диске компьютера, на флэшке, в локальной сети компании или в облаке.
Если собрали ПДн на бумаге. Можно собирать персональные данные на бумаге, например, согласия клиентов на обработку ПДн, договоры купли-продажи, ксерокопии паспортов, СНИЛС. Эти документы нужно хранить в папках в шкафу под замком или в сейфе, а кабинет запирать. В компании должен быть официальный документ со списком людей, которые обрабатывают ПДн или имеют доступ в этот кабинет.
Папки с данными надо разделить на группы. Одна группа — одна цель передачи персональных данных. Например, персональные данные клиентов и сотрудников нельзя хранить вместе. Если данные клиентов тоже делятся на разные группы, нужно выделить отдельные шкафы для хранения каждой группы.
«Когда компания создает и хранит базы персональных данных, ей нужно позаботиться и о том, как их защищать. Основные требования есть в Постановлении Правительства N 1119. Но своими силами обеспечить те уровни защиты, о которых сказано в законе сможет только микробизнес. Малому бизнесу мы рекомендуем привлекать IT-специалистов, которые занимаются информационной безопасностью».
Михаил Кравцов, старший эксперт по правовой поддержке работы с информацией ограниченного доступа Билайн
Михаил Кравцов, старший эксперт по правовой поддержке работы с информацией ограниченного доступа Билайн
Какие штрафы грозят нарушителям
Штрафы за нарушение закона о персональных данных могут суммироваться. Это значит, что за неправильную обработку и хранение данных одного клиента вы можете получить сразу несколько штрафов. Для индивидуальных предпринимателей размеры штрафов немного меньше, чем для юридических лиц.
- Хранение персональных данных без согласия их владельца — штраф 15-75 тысяч рублей.
- Игнорирование вопросов о способах обработки персональных данных — штраф 10-40 тысяч рублей.
- Игнорирование просьб уточнить, заблокировать или уничтожить персональные данные — штраф 10-45 тысяч рублей.
- Ненадежная защита данных — штраф 10-50 тысяч рублей.
- Нет политики конфиденциальности — штраф 5-30 тысяч рублей.
Эксперты
Михаил Кравцов, старший эксперт по правовой поддержке работы с информацией ограниченного доступа Билайн.
Татьяна Парамзина, ведущий менеджер персонализированных рекламных коммуникаций