Как работать с персональными данными клиентов и не нарушить закон

Собираете телефоны и email клиентов без зазрения совести? А знаете, что за это можно получить штраф до 300 000 рублей? Закон о персональных данных касается каждого бизнеса — от ИП до крупной компании. Вот как работать с данными клиентов и не иметь проблем с Роскомнадзором.

Что считается персональными данными

Это не только паспортные данные. По закону персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физлицу.

Типичные данные, которые собирает бизнес:

• ФИО
• Телефон
• Email
• Адрес доставки
• История заказов
• Cookie и IP-адреса на сайте
• Номера карт (если храните)

Даже если у вас только телефон клиента — вы оператор персональных данных.

Обязанности оператора персональных данных

Если вы собираете, храните или обрабатываете данные клиентов, вы должны:

1. Уведомить Роскомнадзор

Подать уведомление о начале обработки персональных данных. Делается один раз, бесплатно, через сайт Роскомнадзора.

Исключения (когда можно не уведомлять):

• Данные только для исполнения договора (например, только для доставки)
• Данные только для выдачи пропусков
• Данные только для однократного прохода на территорию

Но даже в этих случаях нужно выполнять все остальные требования закона.

2. Получить согласие на обработку

Без согласия клиента вы не можете обрабатывать его данные.

Что должно быть в согласии:

• ФИО и контакты оператора (ваши)
• Цель обработки данных
• Перечень данных, которые собираете
• Перечень действий с данными
• Срок действия согласия
• Порядок отзыва согласия

3. Обеспечить защиту данных

Принять организационные и технические меры для защиты данных от несанкционированного доступа.

4. Исполнять права субъектов

По запросу клиента вы должны:

• Предоставить информацию о том, какие его данные вы обрабатываете
• Уточнить данные, блокировать или уничтожить их
• Отозвать согласие на обработку

Пошаговая инструкция по легализации обработки

Шаг 1: Определите, какие данные собираете

Составьте реестр всех данных, которые получаете от клиентов:

• Через сайт (формы обратной связи, регистрации)
• В офисе (бланки, анкеты)
• По телефону
• Через мессенджеры

Шаг 2: Разработайте документы

Политика обработки персональных данных — основной документ, который описывает, как вы работаете с данными. Размещается на сайте.

Согласие на обработку — форма, которую подписывает клиент. Для сайта — галочка при регистрации.

Приказы и регламенты — внутренние документы для сотрудников.

Шаг 3: Получите согласия клиентов

Для действующих клиентов — направьте запрос на согласие. Для новых — получайте при первом контакте.

Шаг 4: Подайте уведомление в Роскомнадзор

Через портал госуслуг или официальный сайт Роскомнадзора.

Шаг 5: Организуйте защиту данных

Минимальный набор мер:

• Пароли на компьютерах
• Разграничение прав доступа
• Антивирусная защита
• Регулярное резервное копирование

Особые категории данных

Для некоторых данных требования строже:

Биометрические данные (фото, отпечатки пальцев) — нужно письменное согласие.

Специальные категории (расовая принадлежность, здоровье, интимная жизнь) — вообще запрещено обрабатывать без явного согласия.

Обычному бизнесу лучше не собирать такие данные без крайней необходимости.

Работа с сайтом

Политика конфиденциальности — должна быть на сайте в доступном месте.

Согласие на cookies — баннер при первом посещении сайта.

Формы сбора данных — галочка согласия с ссылкой на политику конфиденциальности.

SSL-сертификат — шифрование данных при передаче.

Типичные нарушения и штрафы

Обработка без согласия
Штраф: для ИП — до 20 000 руб., для ООО — до 75 000 руб.

Необеспечение конфиденциальности
Штраф: до 50 000 руб.

Неисполнение обязанностей оператора
Штраф: до 30 000 руб.

Неуведомление Роскомнадзора
Штраф: до 10 000 руб.

Что проверяет Роскомнадзор

При плановой или внеплановой проверке смотрят:

• Наличие уведомления об обработке
• Политику конфиденциальности на сайте
• Формы получения согласий
• Внутренние документы
• Меры защиты данных

Проверки становятся все чаще, особенно для бизнеса с сайтами.

Как упростить соблюдение закона

Собирайте только необходимые данные
Не спрашивайте лишнего — меньше данных, меньше ответственности.

Используйте готовые решения
Шаблоны документов можно найти у юридических сервисов.

Автоматизируйте процессы
Настройте автоматическое получение согласий и ведение реестра обработки.

Для управления согласиями клиентов можно использовать CRM-системы. Например, Falcon Space позволяет настраивать автоматическое получение согласий при регистрации клиентов, вести журнал обработки и управлять правами доступа сотрудников.

Соблюдение закона о персональных данных — это не бюрократия, а конкурентное преимущество. Клиенты доверяют компаниям, которые заботятся о защите их информации. Сделайте все по закону, и вы избежите штрафов и получите лояльность клиентов.