Как фрилансеру работать с персональными данными клиентов
Расскажем, как работать с данными клиентов безопасно и без штрафов
Что такое персональные данные? Закон определяет персональные данные как любую информацию, прямо или косвенно относящуюся к определенному физическому лицу. Из-за такого широкого определения отнести к персональным данным (ПД) можно большой объем информации: ФИО, номер телефона, адрес электронной почты, почтовый адрес, семейное положение - всё, что позволит охарактеризовать какого-то конкретного человека. К ПД относятся даже файлы cookies (те самые, которые фиксируют вашу активность на сайте).
Почему это важно знать фрилансеру? Потому что независимо от вашего способа легализации (самозанятый, ИП и т.д.) вам придется столкнуться с персональными данными клиентов. Если вы допустите ошибки в обработке этих данных или будете обрабатывать их без согласия, Роскомнадзор может оштрафовать вас на очень крупную сумму. Иными словами, как только вы сталкиваетесь с ПД клиентов, вы становитесь оператором ПД, а ваши клиенты - субъектами ПД. У каждой из сторон свои права и обязанности по закону “О персональных данных”, но у оператора этих обязанностей очень много. Поговорим о них.
Чего требует закон от оператора? Требования закона “О персональных данных” масштабны, но мы выделим базовые:
Что будет за нарушения? Нарушение порядка работы с ПД караются очень большими штрафами. Условно эти штрафы можно разделить на четыре группы:
Размеры штрафов зависят от выбранного вами способа легализации. Самые крупные штрафы предусмотрены для юридических лиц. Так, например, за обработку ПД без согласия пользователя предусмотрен штраф:
Если не опубликуете на своем сайте политику обработки ПД, Роскомнадзор может оштрафовать вас. Штраф составит:
Подведем итог:
Почему это важно знать фрилансеру? Потому что независимо от вашего способа легализации (самозанятый, ИП и т.д.) вам придется столкнуться с персональными данными клиентов. Если вы допустите ошибки в обработке этих данных или будете обрабатывать их без согласия, Роскомнадзор может оштрафовать вас на очень крупную сумму. Иными словами, как только вы сталкиваетесь с ПД клиентов, вы становитесь оператором ПД, а ваши клиенты - субъектами ПД. У каждой из сторон свои права и обязанности по закону “О персональных данных”, но у оператора этих обязанностей очень много. Поговорим о них.
Чего требует закон от оператора? Требования закона “О персональных данных” масштабны, но мы выделим базовые:
- Нужно получить согласие субъекта ПД на их обработку. Например, вы создали одностраничный сайт, на котором клиент может оставить заявку на получение услуги. В заявке фиксируются его фамилия, имя и номер телефона. Все это - персональные данные. Прежде, чем клиент отправит их вам, он должен согласиться с условиями обработки персональных данных, целями их обработки и другими важными параметрами. Для этого клиент подписывает согласие на обработку персональных данных.
- Цель обработки ПД должна быть конкретной, а набор необходимых для достижения этой цели данных - ограниченным и понятным. Например, вам не нужно знать о политических предпочтениях клиента, если вы хотите принять от него заявку на обслуживание. Для этого достаточно его имени и контактных данных.
- Кроме того, клиент должен понимать, как именно вы обрабатываете ПД, как их храните и защищаете. Все это должно быть отражено в политике в отношении обработки персональных данных (политике конфиденциальности). Роскомнадзор разработал рекомендации по составлению этого документа.
- Еще требуется уведомить Роскомнадзор о намерении начать работу с ПД. Сделать это можно на сайте ведомства по утвержденной форме.
- Если собираете ПД автоматизировано (например, ведете онлайн-реестр клиентов, обратившихся к вам через сайт), необходимо использовать серверы, расположенные в РФ.
Что будет за нарушения? Нарушение порядка работы с ПД караются очень большими штрафами. Условно эти штрафы можно разделить на четыре группы:
- за нарушение правил обработки ПД;
- за неисполнение обязанностей при взаимодействии с Роскомнадзором;
- за неисполнение обязанностей перед субъектом ПД;
- за нарушения в сфере защиты пПД.
Размеры штрафов зависят от выбранного вами способа легализации. Самые крупные штрафы предусмотрены для юридических лиц. Так, например, за обработку ПД без согласия пользователя предусмотрен штраф:
- для граждан - от 6 000 до 10 000 рублей;
- для юридических лиц - от 30 000 до 150 000 рублей.
Если не опубликуете на своем сайте политику обработки ПД, Роскомнадзор может оштрафовать вас. Штраф составит:
- если вы физическое лицо или самозанятый - от 1 500 до 3 000 рублей;
- если оформлены как ИП - от 10 000 до 20 000 рублей;
- если создали, например, ООО - от 30 000 до 60 000 рублей.
Подведем итог:
- Работа с персональными данными клиентов требует соблюдения многочисленных требований и правил;
- Игнорировать эти правила опасно - грозят большие штрафы;
- Перед началом сбора персональных данных клиентов нужно уведомить Роскомнадзор и подготовить пакет обязательных документов для публикации (политика конфиденциальности, согласие на обработку и т.д.).
23 МАРТА / 2024
