Как бизнесу работать с персональными данными пользователей

Совсем недавно мы рассказывали о том, как собирать данные на сайте и использовать их для развития бизнеса. Но нужно понимать, что в большинстве случаев вы собираете персональные данные. Работа с такими данными охраняется законом, и важно знать, как с ними работать и как не нарушить правила.

Что такое персональные данные и закон о защите персональных данных

Определение персональных данных возьмем прямо из официального документа. В п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ написано:

«Персональные данные ― любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)»

Исходя из официального определения любая информация, которая позволяет идентифицировать человека, относится к персональным данным. Примеров в документе нет. Чуть больше конкретики можно найти в пункте 2.5 «Методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения». Здесь в скобках приведены примеры ПД:

• фамилия,
• имя,
• отчество,
• дата рождения,
• место рождения,
• семейное положение,
• социальное положение,
• имущественное положение,
• образование,
• профессия и доходы.

Однако это только пример. Конкретного перечня видов персональных данных нет. По сути, каждая организация в зависимости от своего бизнеса самостоятельно определяет перечень данных, которые она собирает у своих клиентов и считает персональными.

Что еще может быть персональными данными:

• медицинские сведения;
• номер телефона и email;
• принадлежность к социальным группам;
• национальность;
• отпечатки пальцев;
• философские и политические убеждения;
• cookie-файлы и многие другие данные.

Еще раз стоит отметить, что персональными данными считается только та информация, по которой можно идентифицировать человека. То есть, если компания проводит анонимный опрос «Какой вид отдыха предпочитают люди?», она не собирает персональные данные, так как невозможно узнать, какой конкретно человек оставил тот или иной ответ.

А вот, когда, регистрируясь на сайте, пользователь оставляет свое имя и фамилию, а также заполняет небольшую анкету, где указывает пол, дату рождения, номер телефона, город проживания, любимый цвет и стиль музыки ― вот тогда всё, что человек указал, становится персональной информацией.

Как обрабатывать персональные данные бизнесу в интернете

Ну что ж, с понятием персональных данных разобрались. Но как же правильно их собирать и хранить?

1. Интернет-магазины и прочие интернет-бизнесы должны собирать только ту информацию о клиентах, которую они будут использовать для ведения своего бизнеса (Статья 5 п.2 Закона «О персональных данных»).
2. Клиент должен дать свое согласие на обработку персональных данных. Если интернет-магазин планирует рассылать потенциальным покупателям рекламу по смс или email, он обязан получить согласие на использование контактных данных для этой отправки (Статья 15 Закона «О персональных данных»).

Иногда согласие не нужно. С полным перечнем таких ситуаций можно ознакомиться в Статье 6 Закона «О персональных данных». Опишем основные моменты, которые касаются интернет-бизнеса. Интернет-бизнесу не нужно собирать согласия с клиентов, если:

• данные нужны для исполнения договора, который уже заключен с человеком;
• собранные личные данные будут использованы в целях проведения статистического исследования, при условии, что они будут обезличены;
• лицо ранее самостоятельно сделало свои данные доступными для неограниченного количества пользователей (например, вы узнали о хобби пользователя из его странички в соцсети).

Также рекомендуем собирать согласие на сбор cookie-файлов. В российском законодательстве конкретно о куки-файлах ничего не говорится, но из-за расплывчатости определения термина «персональные данные» суды нередко относят cookie к информации, для сбора которой нужно согласие. А если вы планируете работать в Европе, это согласие нужно обязательно. То есть всплывающая плашка, которая уведомляет пользователя о сборе куки, очень даже необходима.

1. До начала обработки персональных данных уведомьте Роскомнадзор, что вы будете это делать (Статья 22 Закона «О персональных данных»). Можно сообщить ведомство как в письменном виде, так и в электронном на сайте Роскомнадзора. В течение 30 дней со дня получения уведомления Роскомнадзор внесет запись в реестр операторов персональных данных. Обратите внимание, что в законе есть исключения, когда уведомлять ведомство не нужно, поэтому внимательно прочитайте документ.
2. Ваша техника должна обеспечивать защиту персональных данных пользователей. Подробнее о требованиях к безопасности хранения данных вы можете прочитать в Приказе ФСБ России от 10.07.2014 N 378.
3. С 1 сентября 2015 года хостинг, база, центр обработки персональных данных должны располагаться на территории России (Статья 18 Закона «О персональных данных»). Адрес местонахождения баз данных необходимо сообщить Роскомнадзору.
4. Разместите на сайте «Политику обработки персональных данных» или «Политики конфиденциальности» и внесите в них пункты о порядке сбора, хранения и обработки персональных данных.
5. Назначьте ответственного за организацию обработки персональных данных (Статья 22.1 Закона «О персональных данных»).

Что грозит за нарушение закона о персональных данных

За обработку персональных данных без согласия человека можно получить штраф (статья 13.11 п.2 КоАП РФ):

• для гражданина — 6-10 тысяч рублей,
• для должностных лиц — 20-40 тысяч рублей,
• для юридических лиц — 30–150 тысяч рублей.

Также человек, чьи персональные данные были собраны незаконно, может потребовать возмещения морального вреда (Статья 24 Закона «О персональных данных»).

Что делать, если произошла утечка информации

К сожалению, даже у крупных и защищенных компаний бывают утечки. Из последних крупных утечек можно вспомнить инцидент с Яндекс.Едой, когда в сеть утекли огромные базы данных с информацией о заказах пользователей.

Какого-то крупного наказания компаний за утечку персональных данных нет. Однако, если инцидент крупный, организация может потерять клиентов. Перечислим несколько важных шагов, которые должен сделать владелец сайта при утечке:

Шаг 1. Уведомьте Роскомнадзор об утечке. Как только обнаружена утечка, в течение 24 часов компании обязаны сообщать надзорным органам об инциденте, предполагаемых причинах, вреде, нанесенном правам субъектов персональных данных и принятых мерах по устранению последствий. А также в течение 72 часов нужно рассказать о результатах внутреннего расследования.

Шаг 2. Найдите виновника и выясните, что украли. Сделал это кто-то из сотрудников или же третьи лица пробрались в вашу сеть и скачали базы данных клиентов. От того, кто украл и что конкретно, будут зависеть дальнейшие действия.

Шаг 3. Узнайте, куда утекла информация, и пресеките распространение. Если данные украл сотрудник, согласно ч. 1 ст. 193 ТК РФ вы можете потребовать от работника письменное объяснение. Если его вина доказана, к нему можно будет применить как минимум дисциплинарное взыскание.

Если информация украдена третьими лицами, они, скорее всего, захотят продать ее или просто выложить в сеть, чтобы дискредитировать вас. Продажу базы отследить вы не сможете. Тут просто нужно смириться с ситуацией. Если хакеры решили выставить данные на всеобщее обозрение, вам необходимо найти ресурс, где разместят информацию и сообщить о нем в Роскомнадзор, чтобы тот заблокировал сайт как можно скорее.

Шаг 4. Работайте со СМИ (или не работайте). Если данные украдены, о проблеме необходимо рассказать. Здесь вам понадобятся результаты расследования инцидента. Хорошо, если вы точно будете знать виновника. В случае если данные попали в публичное пространство, идеально, если к моменту объяснения ситуации веб-сайт злоумышленников будет заблокирован.

Федеральный закон 152 «О персональных данных» — основной документ, который вы должны обязательно изучить. Работа с персональными данными не только кладезь знаний для маркетолога, но и большая ответственность. Отнеситесь к безопасности баз данных клиентов очень серьезно, а лучше проконсультируйтесь со специалистами.