Как фрилансеру работать с персональными данными клиентов

Расскажем, как работать с данными клиентов безопасно и без штрафов
Закон о персональных данных содержит множество требований у бизнесу. При работе с клиентами важно их знать
Что такое персональные данные? Закон определяет персональные данные как любую информацию, прямо или косвенно относящуюся к определенному физическому лицу. Из-за такого широкого определения отнести к персональным данным (ПД) можно большой объем информации: ФИО, номер телефона, адрес электронной почты, почтовый адрес, семейное положение - всё, что позволит охарактеризовать какого-то конкретного человека. К ПД относятся даже файлы cookies (те самые, которые фиксируют вашу активность на сайте).

Почему это важно знать фрилансеру? Потому что независимо от вашего способа легализации (самозанятый, ИП и т.д.) вам придется столкнуться с персональными данными клиентов. Если вы допустите ошибки в обработке этих данных или будете обрабатывать их без согласия, Роскомнадзор может оштрафовать вас на очень крупную сумму. Иными словами, как только вы сталкиваетесь с ПД клиентов, вы становитесь оператором ПД, а ваши клиенты - субъектами ПД. У каждой из сторон свои права и обязанности по закону “О персональных данных”, но у оператора этих обязанностей очень много. Поговорим о них.

Чего требует закон от оператора? Требования закона “О персональных данных” масштабны, но мы выделим базовые:

  1. Нужно получить согласие субъекта ПД на их обработку. Например, вы создали одностраничный сайт, на котором клиент может оставить заявку на получение услуги. В заявке фиксируются его фамилия, имя и номер телефона. Все это - персональные данные. Прежде, чем клиент отправит их вам, он должен согласиться с условиями обработки персональных данных, целями их обработки и другими важными параметрами. Для этого клиент подписывает согласие на обработку персональных данных.
  2. Цель обработки ПД должна быть конкретной, а набор необходимых для достижения этой цели данных - ограниченным и понятным. Например, вам не нужно знать о политических предпочтениях клиента, если вы хотите принять от него заявку на обслуживание. Для этого достаточно его имени и контактных данных.
  3. Кроме того, клиент должен понимать, как именно вы обрабатываете ПД, как их храните и защищаете. Все это должно быть отражено в политике в отношении обработки персональных данных (политике конфиденциальности). Роскомнадзор разработал рекомендации по составлению этого документа.
  4. Еще требуется уведомить Роскомнадзор о намерении начать работу с ПД. Сделать это можно на сайте ведомства по утвержденной форме.
  5. Если собираете ПД автоматизировано (например, ведете онлайн-реестр клиентов, обратившихся к вам через сайт), необходимо использовать серверы, расположенные в РФ.
Согласие на обработку нужно получать всегда? Нет, закон содержит исключения. Применительно к деятельности фрилансеров важно упомянуть лишь одно из исключений. Обработка персональных данных без согласия допускается тогда, когда это необходимо для исполнения договора в интересах субъекта ПД. Например, если вы заключаете договор на ремонт помещения с клиентом, данные для договора можно обрабатывать без его согласия. Но важно, чтобы объем использованных данных соответствовал цели договора. Роскомнадзор это проверяет и, если сочтет какие-то данные избыточными, оштрафует.

Что будет за нарушения? Нарушение порядка работы с ПД караются очень большими штрафами. Условно эти штрафы можно разделить на четыре группы:
  • за нарушение правил обработки ПД;
  • за неисполнение обязанностей при взаимодействии с Роскомнадзором;
  • за неисполнение обязанностей перед субъектом ПД;
  • за нарушения в сфере защиты пПД.

Размеры штрафов зависят от выбранного вами способа легализации. Самые крупные штрафы предусмотрены для юридических лиц. Так, например, за обработку ПД без согласия пользователя предусмотрен штраф:
  • для граждан - от 6 000 до 10 000 рублей;
  • для юридических лиц - от 30 000 до 150 000 рублей.
Самозанятые в контексте административной ответственности рассматриваются как граждане.

Если не опубликуете на своем сайте политику обработки ПД, Роскомнадзор может оштрафовать вас. Штраф составит:

  • если вы физическое лицо или самозанятый - от 1 500 до 3 000 рублей;
  • если оформлены как ИП - от 10 000 до 20 000 рублей;
  • если создали, например, ООО - от 30 000 до 60 000 рублей.
Огромные штрафы грозят, если будете осуществлять автоматизированный сбор ПД на серверах, расположенных за рубежом. В этом случае самозанятые и ИП подлежат такой же ответственности как юридические лица, а значит это может повлечь штраф в размере от 1 000 000 до 6 000 000 рублей.

Подведем итог:

  • Работа с персональными данными клиентов требует соблюдения многочисленных требований и правил;
  • Игнорировать эти правила опасно - грозят большие штрафы;
  • Перед началом сбора персональных данных клиентов нужно уведомить Роскомнадзор и подготовить пакет обязательных документов для публикации (политика конфиденциальности, согласие на обработку и т.д.).
23 МАРТА / 2024
Made on
Tilda