Шаг 1. Запомните, что такое персональные данные

Это всякая информация, которая относится к определённому человеку: номер мобильного телефона, размер зарплаты, политические убеждения, даже фотографии в соцсетях и сведения о товарах, заказанных в интернет-магазине на прошлой неделе.

Шаг 2. Убедитесь, что закон распространяется на компанию

Так вышло, что закон распространяется на каждую компанию или ИП. Компании получают данные сотрудников при устройстве на работу, компании сферы услуг собирают данные клиентов — физических лиц.

Как только в бланках, файлах и сервисах компании появляются персональные данные, эта статья из познавательной становится руководством к действию. Компания хранит персональные данные даже тогда, когда работники пишут во внутренней соцсети, что исповедуют пастафарианство.

Шаг 3. Изучите масштаб поражения и удалите ненужное

Разберитесь, данные каких физических лиц накопила компания. Часто это работники и сотрудники по договорам подряда, соискатели вакансий и клиенты.

Поймите, какие это данные, и буквально выпишите в столбик. Работники: ФИО, дата рождения, размер зарплаты. Клиенты: ФИО, адрес электронной почты и домашний адрес.

Изучите, в какие бланки эти данные попадают, на каких компьютерах и в каких сервисах компании они хранятся. Персональные данные проникают куда угодно.

Если обнаружили ненужное для работы компании, смело избавляйтесь. Уже два года как сменили директ-мейл на SMS-рассылки — удаляйте почтовые адреса клиентов. Кадровики ещё хранят резюме соискателей за последние 15 лет — под нож.

Шаг 4. Спрашивайте разрешение

Передавать данные другой компании либо делать их публичными можно только с согласия физического лица. Типичные примеры: банк начисляет деньги на карты работников по зарплатному проекту, а курьерская компания развозит заказы клиентам.

Использовать специальные категории персональных данных можно только с письменного согласия. Это данные о национальной принадлежности, политических и религиозных взглядах и убеждениях, здоровье и интимной жизни.

Передавать данные заграничным контрагентам — тоже только с письменного согласия. Можно не делать так, если контрагент из одной из 17 стран, утверждённых приказом Роскомнадзора № 274 от 15.03.2013. Ведёте туристический бизнес и отправляете клиентов в Хорватию — берите письменное согласие на передачу данных в отели и компании, организующие трансфер.

Рассылать рекламные сообщения или совершать рекламные звонки — только с предварительного согласия, иначе Роскомнадзор и ФАС огорчатся. Заручитесь согласием клиента, когда собираете контактные данные на сайте или в бумажной анкете.

Шаг 5. Заведите пачку локальных нормативных актов

Результаты предыдущего шага вносятся во внутренний нормативный акт — политику в отношении обработки персональных данных.

152-ФЗ и Трудовой кодекс требуют, чтобы компания утвердила политику, ознакомила с ней работников и чтобы клиенты тоже могли это сделать.

Распечатка на информационном стенде и страничка на сайте решают проблему.

В случае, если в компанию придёт проверка, проверяющие захотят получить не одну политику. При этом в законе нет списка необходимых локальных актов. Выручает смекалка, «Яндекс» и Google, сервисы-помощники или умелые подрядчики.

Шаг 6. Приглядитесь к сайту

Обязательно опубликуйте на сайте политику в отношении обработки персональных данных, если собираете данные через него. Если нет — тоже опубликуйте, это выделит компанию в глазах клиентов и Роскомнадзора, который может проверить наличие политики на сайте компании безо всякого предупреждения.

При сборе данных через сайт не забудьте сослаться на политику и спросить разрешение клиентов на использование данных. Проставление галочки в форме на сайте — это тоже знак согласия.

Шаг 7. Уведомите Роскомнадзор

152-ФЗ советует отправить в Роскомнадзор уведомление, что компания использует персональные данные.

Закон перечисляет ряд случаев, когда это не обязательно, но лучше исключениями не пользоваться.

Корректно применить исключения к компании сложно. Не легче доказать это контролирующему органу, если он не согласится.

Уведомление отправляется через сайт Роскомнадзора или портал госуслуг, а затем по почте. В уведомлении укажите реквизиты компании и информацию из политики. Используйте инструкцию на сайте Роскомнадзора, она ответит на некоторые вопросы по заполнению.

Этих шагов хватит, чтобы подготовиться к проверке или «письму счастья» из Роскомнадзора. Гарантировать успех в общении с контролирующим органом нельзя, но принять разумные меры стоит уже сегодня… или завтра. Да и Роскомнадзор лоббирует повышение штрафов на порядок.