Клиент оставляет много информации о себе: имя, почту, номер телефона. Список персональных данных обширный, и задача бизнеса — правильно обращаться с этой информацией, иначе можно получить штраф.
Что такое персональные данные
Персональные данные — это любая информация, которая относится к человеку и помогает хотя бы косвенно его идентифицировать. Например, СНИЛС, ИНН, электронная почта относятся к персональным данным, потому что принадлежат конкретному человеку. А госномер автомобиля — нет, потому что идентифицирует транспортное средство.
Когда бизнес собирает информацию о клиентах, он становится оператором персональных данных и обязуется правильно их собирать, обрабатывать и вовремя уничтожать.
Когда нужно собирать персональные данные и как это делать
Персональные данные защищены законом, поэтому бизнес должен собирать с клиентов согласие на их обработку. Но есть ситуации, когда это не нужно. Собрали в таблице самые частые случаи, когда надо и не надо собирать согласия на обработку персональных данных. По всем спорным вопросам лучше проконсультироваться с юристом.
Если согласие на обработку данных потребуется, нужно уведомить Роскомнадзор и собрать необходимые документы. О том, как это сделать, подробно писали в отдельной статье.
Каждая компания или ИП сами составляют согласие на обработку персональных данных. Мы подготовили шаблон, который можно брать за основу.
Когда уничтожать персональные данные клиента
Когда клиент отзывает свое согласие, бизнес должен уничтожить данные одним из двух способов:
- если данные собирались вручную — составить акт об уничтожении персональных данных;
- если данные обрабатывались с помощью сервисов — оформить акт об уничтожении персональных данных и сделать выгрузку из журнала регистрации событий в информационной системе персональных данных.
После этого клиенту нельзя будет присылать акционные предложения и использовать его данные другими способами. Оповещать его об уничтожении данных не нужно, но документы об этом надо хранить еще три года после окончания срока действия согласия.
Как не подпасть под штрафы
Штрафы за нарушения при работе с персональными данными зависят от сути нарушения и вида бизнеса. Например, для средних и крупных предприятий штраф за первое нарушение может достигать 150 000 ₽. Вот список самых частых проступков, которые совершает бизнес:
- не подал уведомление в Роскомнадзор;
- использовал данные без согласия клиентов;
- форма согласия на обработку персональных данных не соответствует требованиям закона;
- цели обработки персональных данных в согласии не совпадают с реальными;
- не уничтожил данные, когда клиент отозвал их;
- случилась утечка персональных данных из-за неправильного хранения;
- политика персональных данных доступна не на всех страницах сайта.
Часть из этих нарушений можно предотвратить самостоятельно, но иногда консультация юриста все равно потребуется. Например, сейчас обсуждается закон об увеличении штрафов за утечку персональных данных, так что к этому вопросу нужно отнестись серьезнее.
Что важно запомнить
- Персональные данные — это любая информация, которая относится к человеку и помогает его идентифицировать.
- Есть случаи, когда согласие на обработку персональных данных клиента не нужно. Понять, стоит ли бизнесу разрабатывать документы, поможет юрист.
- Перед началом обработки персональных данных нужно уведомить об этом Роскомнадзор и разработать необходимые документы.
- Если клиент отзывает согласие на обработку персональных данных, нужно удалить данные и хранить документы об этом в течение трех лет после окончания срока действия согласия.
- Если неправильно обрабатывать персональные данные, можно получить штраф.