Что такое персональные данные? Закон определяет
персональные данные как любую информацию, прямо или косвенно относящуюся к определенному физическому лицу. Из-за такого широкого определения отнести к персональным данным (ПД) можно большой объем информации: ФИО, номер телефона, адрес электронной почты, почтовый адрес, семейное положение - всё, что позволит охарактеризовать какого-то конкретного человека. К ПД относятся даже файлы cookies (те самые, которые фиксируют вашу активность на сайте).
Почему это важно знать фрилансеру? Потому что независимо от вашего
способа легализации (самозанятый, ИП и т.д.) вам придется столкнуться с персональными данными клиентов. Если вы допустите ошибки в обработке этих данных или будете обрабатывать их без согласия, Роскомнадзор может оштрафовать вас на очень крупную сумму. Иными словами, как только вы сталкиваетесь с ПД клиентов, вы становитесь оператором ПД, а ваши клиенты - субъектами ПД. У каждой из сторон свои права и обязанности по закону “О персональных данных”, но у оператора этих обязанностей очень много. Поговорим о них.
Чего требует закон от оператора? Требования закона “О персональных данных” масштабны, но мы выделим базовые:
- Нужно получить согласие субъекта ПД на их обработку. Например, вы создали одностраничный сайт, на котором клиент может оставить заявку на получение услуги. В заявке фиксируются его фамилия, имя и номер телефона. Все это - персональные данные. Прежде, чем клиент отправит их вам, он должен согласиться с условиями обработки персональных данных, целями их обработки и другими важными параметрами. Для этого клиент подписывает согласие на обработку персональных данных.
- Цель обработки ПД должна быть конкретной, а набор необходимых для достижения этой цели данных - ограниченным и понятным. Например, вам не нужно знать о политических предпочтениях клиента, если вы хотите принять от него заявку на обслуживание. Для этого достаточно его имени и контактных данных.
- Кроме того, клиент должен понимать, как именно вы обрабатываете ПД, как их храните и защищаете. Все это должно быть отражено в политике в отношении обработки персональных данных (политике конфиденциальности). Роскомнадзор разработал рекомендации по составлению этого документа.
- Еще требуется уведомить Роскомнадзор о намерении начать работу с ПД. Сделать это можно на сайте ведомства по утвержденной форме.
- Если собираете ПД автоматизировано (например, ведете онлайн-реестр клиентов, обратившихся к вам через сайт), необходимо использовать серверы, расположенные в РФ.
Согласие на обработку нужно получать всегда? Нет, закон содержит исключения. Применительно к деятельности фрилансеров важно упомянуть лишь одно из исключений. Обработка персональных данных без согласия
допускается тогда, когда это необходимо для исполнения договора в интересах субъекта ПД. Например, если вы заключаете договор на ремонт помещения с клиентом, данные для договора можно обрабатывать без его согласия. Но важно, чтобы объем использованных данных соответствовал цели договора. Роскомнадзор это проверяет и, если сочтет какие-то данные избыточными, оштрафует.
Что будет за нарушения? Нарушение порядка работы с ПД караются очень большими штрафами. Условно эти штрафы можно разделить на четыре группы:
- за нарушение правил обработки ПД;
- за неисполнение обязанностей при взаимодействии с Роскомнадзором;
- за неисполнение обязанностей перед субъектом ПД;
- за нарушения в сфере защиты пПД.
Размеры штрафов зависят от выбранного вами способа легализации. Самые крупные штрафы предусмотрены для юридических лиц. Так, например, за обработку ПД без согласия пользователя предусмотрен
штраф:
- для граждан - от 6 000 до 10 000 рублей;
- для юридических лиц - от 30 000 до 150 000 рублей.
Самозанятые в контексте административной ответственности рассматриваются как граждане.
Если не опубликуете на своем сайте политику обработки ПД, Роскомнадзор может оштрафовать вас.
Штраф составит:
- если вы физическое лицо или самозанятый - от 1 500 до 3 000 рублей;
- если оформлены как ИП - от 10 000 до 20 000 рублей;
- если создали, например, ООО - от 30 000 до 60 000 рублей.
Огромные
штрафы грозят, если будете осуществлять автоматизированный сбор ПД на серверах, расположенных за рубежом. В этом случае самозанятые и ИП подлежат такой же ответственности как юридические лица, а значит это может повлечь штраф в размере от 1 000 000 до 6 000 000 рублей.
Подведем итог:
- Работа с персональными данными клиентов требует соблюдения многочисленных требований и правил;
- Игнорировать эти правила опасно - грозят большие штрафы;
- Перед началом сбора персональных данных клиентов нужно уведомить Роскомнадзор и подготовить пакет обязательных документов для публикации (политика конфиденциальности, согласие на обработку и т.д.).