Закон «О персональных данных» — что нужно знать агентству
Работаете с персональными данными клиентов и сотрудников? Стремитесь улучшить позиции в работе с иностранными компаниями и госсектором? Этот материал для вас.
Многие агентства интересуются: что с этим законом делать? На что он влияет? Дело в том, что иностранные заказчики и представители иностранных компаний в России стали чаще спрашивать:
«Обеспечиваете ли вы защиту персональных данных, собираемых во время наших рекламных кампаний и поддержки сайта?».Закон о локализации баз персональных данных на территории РФ, тесно связанный с законом «О персональных данных» и вступивший в силу 1 сентября 2015 года, сильно их напугал.
Эта статья отвечает на вопросы:
- Что регулирует закон № 152-ФЗ «О персональных данных»?
- Кто попадает под действие закона?
- Какие основные требования закона № 152-ФЗ?
- Какие существуют основные риски за невыполнение закона для организаций и должностных лиц?
- Как лучше выполнить требования закона и показать это заказчикам?
Корпоративный пакет COSSA-2025
Cossa анонсирует главный рекламный формат на весь 2025 год: сразу 8 различных опций.
Пакет идеально подходит для онлайн-сервисов, стартапов, интернет-компаний и digital-агентств.
Успейте приобрести пакет до повышения цены!
Что регулирует закон № 152-ФЗ «О персональных данных»?
Закон регулирует все вопросы, связанные с обработкой (получением, хранением, передачей, удалением и т. д.) персональных данных физических лиц индивидуальными предпринимателями, юридическими лицами и бюджетными организациями. Организации и предприниматели обязаны правильно обрабатывать и защищать эти данные.
Персональные данные — это любая информация, относящаяся к физическому лицу. Даже связка имени и адреса электронной почты уже относится к персональным данным.
В агентствах обрабатываются, как минимум, персональные данные:
- Сотрудников;
- Близких родственников сотрудников;
- Кандидатов на вакантную должность;
- Клиентов.
Какие бывают персональные данные?
Специальные персональные данные: касаются расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
Биометрические персональные данные: характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
Общедоступные персональные данные: сделанные физическим лицом общедоступными или содержащиеся в специальных справочниках.
Иные персональные данные: все, что не попало ни в одну из вышеуказанных категорий.
К обработке специальных и биометрических персональных данных предусмотрены особые требования.
Кто попадает под действие закона?
Все предприниматели, физические и юридические лица, бюджетные организации, обрабатывающие персональные данные физических лиц. Их называют операторами персональных данных.
В первую очередь закон касается компаний, работающих в следующих сферах:
- Реклама и диджитал;
- Финансы и кредитование;
- Медицина и фармокология;
- Телекоммуникации;
- Образование;
- Офлайн- и онлайн-ритейл;
- Гостиничное дело;
- Бюджетные организации.
Эти компании чаще всего работают с персональными данными. Поэтому главный регулятор в этой сфере — Роскомнадзор — внимательно за ними следит.
Примеры обработки персональных данных в диджитал
В первую очередь, следят за видами обработки персональных данных, которые используются:
- Для трудоустройства сотрудников и оформления им ДМС;
- Для выдачи карт лояльности;
- Для рекламных и новостных рассылок;
- Для оказания услуг;
- Для регистрации на сайтах и информационных системах;
- Для звонков потенциальным клиентам.
Основные требования законодательства в области персональных данных
Разделим все требования для простоты на 4 группы. Работая с персональными данными, вы должны:
1. Подготовить пакет организационно-распорядительной документации.
2. Привести процессы работы с персональными данными в соответствие с законом.
3. Реализовать техническую защиту персональных данных в информационных системах.
4. Хранить базы с персональными данными на территории Российской Федерации.
Требования по подготовке внутренних организационно-распорядительных документов
Закон в ст. 18.1 требует от операторов персональных данных иметь локальные акты и политику, регламентирующую обработку и защиту персональных данных. Точного перечня необходимых документов не предлагается.
При этом Роскомнадзор во время проверок компаний запрашивает перечень необходимых документов и сведений, которые на практике ему передают в виде копий внутренних документов.
Поскольку точного перечня документов не существует, каждый оператор персональных данных составляет их по своему усмотрению на основании текста закона и подзаконных актов.
Здесь вы найдете полный перечень необходимых документов, которых достаточно для соответствия требованиям.
Требования по приведению процессов работы с персональными данными в соответствие с законом
Персональные данные необходимо правильно собирать, обрабатывать и передавать.
Со всеми физическими лицами, у которых вы собираете персональные данные (например, через сайт клиента), должен быть заключен договор или взято согласие на их обработку.
С каждым контрагентом, которому вы передаете, предоставляете в доступ (например, другому агентству на субподряд) или от которого получаете персональные данные, необходимо заключить соглашение о поручении на их обработку.
Все сотрудники должны под роспись ознакомиться с внутренними документами организации по обработке и защите персональных данных и подписать обязательство о неразглашении.
В Роскомнадзор должно быть подано уведомление об обработке персональных данных.
Требования по технической защите персональных данных в информационных системах
Если персональные данные хранятся или как-то иначе обрабатываются в информационных системах (например, в «1С: Бухгалтерии», в базе данных сайта, CRM и других), нужно определить уровень их технической защищенности, составив соответствующий акт.
Затем нужно разработать модель угроз и на основании Постановления Правительства № 1119 и Приказа ФСТЭК России № 21 составить техническое задание на систему защиты персональных данных.
После этого разрабатывается и внедряется проект системы защиты. Внедрением может заняться сама компания или подрядчик, имеющий определенную лицензию ФСТЭК России.
Данное требование, по нашим данным, выполнили лишь 1% операторов. Во-первых, антивирус дорого стоит (закон говорит применять не просто антивирус, а сертифицированный ФСТЭК, при этом функционально они не отличаются, а по деньгам в 1.5–3 раза). Во-вторых, данное требование проверяется ФСТЭК и ФСБ России у малого и среднего бизнеса очень, очень, очень редко. Риск проверки крайне мал.
Требования по хранению баз персональных данных на территории Российской Федерации
С 1 сентября 2015 года сбор и хранение персональных данных граждан Российской Федерации может происходить только на территории Российской Федерации.
О месторасположении баз данных необходимо уведомить Роскомнадзор.
Особенно это касается иностранных и российских компаний, чьи информационные системы полностью или частично располагаются за пределами РФ.
Роскомнадзор дал операторам срок до конца февраля 2016 года, чтобы выполнить эти требования.
Кем проверяется выполнение требований закона?
Главный контролирующий орган: Роскомнадзор. Проверяет правильность обработки персональных данных и документы по персональным данным.
ФСТЭК России. Проверяет выполнение требований по технической защите.
ФСБ России. Проверяет выполнение требований по применению криптографии при обработке персональных данных.
Роскомнадзор проводит более 7000 плановых и внеплановых проверок в год, тогда как ФСТЭК и ФСБ — не более сотни проверок госсектора.
Если у Роскомнадзора к вам не будет претензий — можно сказать, что снято 99% рисков, связанных с данным законом.
Проверку локализации баз персональных данных Роскомнадзор проводит просто — запрашивает договор с российским хостинг-провайдером. После февраля проверка будет серьезнее и практичнее.
Кто несёт ответственность в случае, если хостинг-провайдер отечественный, а сервера использует зарубежные (т. е. пользователь может не знать, что его данные хранятся за границей)?
Ответственность лежит на конечном клиенте. Xостинг-провайдер может предоставлять зарубежные сервера, например, не для обработки и хранения данных персональных, а для вычислений.
Основные риски при невыполнении закона
По итогам проверок, мер систематического наблюдения и жалоб физических лиц Роскомнадзор и другие проверяющие органы могут накладывать штрафы, аннулировать лицензии, дисквалифицировать должностных лиц и блокировать сайты.
Основные риски:
- Наложение на организацию штрафа до 300 000 рублей;
- Наложение на должностных лиц штрафа до 10 000 рублей;
- Разрыв трудового договора с должностным лицом;
- Запрет руководителю занимать руководящие должности на срок до 3-х лет;
- Блокировка сайта организации по жалобе физического лица;
- Внесение компании в реестр нарушителей прав субъектов персональных данных.
С начала 2015 года по данным Роскомнадзора с организаций и должностных лиц было взыскано штрафов на 174 000 000 рублей.
С 1 сентября 2015 года Роскомнадзор имеет право без проверки, на основании жалобы физического лица заблокировать сайт организации за несоблюдение требований закона «О персональных данных».
Как лучше всего выполнить требования закона?
- Собственными силами;
- Привлечь юриста;
- Обратиться к системному интегратору;
- «Ждать, пока грянет гром»;
- Использовать сервисы автоматизированной подготовки документов по персональным данным.
Рассмотрим каждый по отдельности.
Выполнение закона собственными силами
Чтобы выполнить требования, необходимо не только знать сам закон «О персональных данных» и подзаконные акты, но также разбираться в технических аспектах, чтобы описывать информационные системы персональных данных в организационно-распорядительной документации.
На поиск и разработку шаблонов документов по персональным данным, изучение законодательства и практику у вас или вашего сотрудника уйдет до 2-х месяцев. И это не даст гарантию результата: можно в чем-то ошибиться.
Выполнение закона с помощью юриста
Достаточно хороший способ, если у юриста или юридической компании, которой вы доверяете, есть необходимые знания по информационной безопасности.
Для подготовки документов по персональным данным, помимо знания самого закона, необходимо знать также подзаконные акты технического содержания и уметь регламентировать технические моменты.
При выборе такого варианта уточняйте у юриста — какие именно документы он будет разрабатывать, будет ли отображать в них технические моменты и имеет ли он опыт работы с Роскомнадзором.
Выполнение закона с привлечением системного интегратора
К системным интеграторам, как правило, обращаются большие компании и крупные государственные учреждения.
Плюсы: высокий уровень оказываемых услуг по информационной безопасности, гарантии, работа под ключ (разработка документации по персональным данным и внедрение технической защиты).
Минусы: высокая стоимость (в большинстве случаев — переваливающая за 1 000 000 рублей) и долгий срок реализации проекта, связанный с негибкостью бизнес-процессов.
«Ждать, когда грянет гром»
Единственные плюсы: отсутствие любых затрат в краткосрочной перспективе.
Минусы: рано или поздно закон придется выполнить. И лучше это сделать, пока требования не ужесточились окончательно.
Работа по ужесточению штрафных санкций Роскомнадзором ведется — в первом чтении уже принят законопроект о повышении штрафов до минимальных 30 000 рублей и максимальных 300 000 рублей за одно нарушение.
Выполнение закона с помощью сервисов автоматизированной подготовки документов по персональным данным
Плюсы: простота и доступность людям, не являющимся специалистами по информационной безопасности; невысокая стоимость; оперативная подготовка документов и консультации экспертов по безопасности.
Некоторые из сервисов также предоставляют финансовые гарантии с возмещением штрафов Роскомнадзора и помощь в прохождениях проверок.
Явные минусы: способ не подойдет крупным государственным компаниям и не поможет с полноценным внедрением системы защиты персональных данных, проверяемой в госсекторе ФСТЭК России и ФСБ России.
Почему стоит решить вопрос с выполнением требований закона «О персональных данных» именно сейчас
Это не только обязанность каждой частной или государственной компании, обрабатывающей персональные данные сотрудников и клиентов.
Заказчики (особенно иностранные) стали запрашивать не только учредительные документы, но и документы по персональным данным, чтобы подтвердить выполнение закона.
Закон стали использовать в качестве рычага давления не только органы исполнительной власти, но и конкуренты.
Какой способ вы бы ни выбрали, важно в итоге выполнить требования закона, снизив риски для компании и должностных лиц.
Источник картинки на тизере: Flickr