Содержимое
Когда предприниматель нарушает закон о персональных данных и не знает этого За прошлый год Роскомнадзор оштрафовал операторов персональных данных на сумму больше 50 млн руб. Часто предприниматели даже не догадываются, что нарушают закон. Собрали распространенные ошибки, которые допускает бизнес из-за незнания закона о персональных данных. 🔹Нет согласия на передачу персональных данных третьим лицам Передавать личную информацию третьим лицам ИП можно только с согласия гражданина. Основание — ч. 3 ст. 6 закона от 27.07.2006 № 152-ФЗ «О персональных данных». Пример: предприниматель торгует через интернет-магазин. Для доставки товаров он заключил договор с курьерской службой и передал ФИО и адрес проживания покупателя. Согласия от клиентов на передачу данных третьим лицам он не получал. При выявлении нарушения штраф для предпринимателя 10 — 20 тыс. руб. Основание — ч. 1 ст. 13.11 КоАП РФ. Роскомнадзор узнаёт о нарушениях операторов персональных данных в ходе проверок. Если ведомство получит жалобу от граждан или информацию о возможной утечке личной информации, то придёт с визитом. Жалуются и работники, и клиенты, и сотрудники подрядчиков. Ответственность за конфиденциальность персональных данных несёт оператор — тот, кто заключил с гражданином договор. Оператор обязан получить согласие и обеспечить защиту личной информации. Чтобы разделить ответственность с третьей стороной при возможной утечке данных, в договор включают дополнительные условия: перечень персональных данных, цель обработки, список действий с данными, обязанности по обеспечению конфиденциальности личной информации граждан, меры по предотвращению утечек и хранение базы данных. Не обязательно, чтобы третья сторона получала согласие с клиентов ИП на обработку их персональных данных. Но в случае, когда оператор не укажет эти пункты в договоре, третья сторона не несёт ответственности за сохранность. Что делать ✔️ Проверьте действующие договоры с третьими лицами. Составьте список контрагентов, которым отправляете личные данные работников или клиентов. ✔️ Получайте согласие на передачу персональных данных третьим лицам при заключении договоров с гражданами. В законе нет требования об обязательной письменной форме. Выбирайте любой способ, который подтвердит, что гражданин не против передачи данных третьей стороне. Например, на сайте интернет-магазина при заказе товара для покупателя добавить фразу «Даю своё согласие на обработку персональных данных, в том числе на передачу службе курьерской доставки». 🔹Одно согласие на все случаи обработки Пример: владелец сервиса «Муж на час» публикует на сайте данные работников с фото, номерами мобильных телефонов, а также отзывы клиентов с указанием e-mail и ссылок на профиль в соцсетях. Отдельного согласия на распространение персональных данных он не получал. У него есть только согласие на обработку персональных данных, которое подписывали работники у кадровика, и общее согласие от клиентов на обработку данных при входе на сайт. Публикация телефонов, e-mail и имён сотрудников или клиентов в интернете, в рекламных буклетах либо на корпоративной доске при входе в офис — это распространение персональных данных. В этом случае доступ к ним получает любой желающий, то есть «неопределённый круг лиц». На распространение персональных данных получают отдельное согласие в письменной форме. Основание — ст. 10.1 закона от 27.07.2006 № 152-ФЗ «О персональных данных». Иначе предпринимателю грозит штраф по ч. 2 ст. 13.11 КоАП РФ: 20 — 40 тыс. руб. при первом нарушении; 100 — 300 тыс. руб. при повторном. Что делать Проверьте, где в открытом доступе размещаете данные работников и клиентов. На все эти случаи необходимо согласие на распространение персональных данных. ❗️ На сайте Роскомнадзора есть сервис для подготовки шаблона согласия на распространение данных. Сервис поможет составить шаблон согласия и при желании направить его в Роскомнадзор на проверку. #бизнес