В марте начали действовать изменения в законе о персональных данных (ПД). Правила стали жестче, а штрафы — больше. Предприниматели и юристы рассказывают, как это изменит бизнес.
1. Как изменился закон о персональных данных в 2021 году
Появилось новое понятие — «персональные данные, разрешенные для распространения». Раньше использовали термин «общедоступные персональные данные». Теперь, чтобы опубликовать на сайте отзыв клиента, придется получить его дополнительное согласие. Раньше было достаточно общего согласия на обработку.
Нельзя распространять данные из открытых источников без разрешения. Например, если человек указал в соцсетях фамилию, имя, номер телефона и e-mail, эту информацию нельзя использовать без прямого разрешения субъекта.
Теперь все компании обязаны обезличивать ПД. Раньше это в основном делали бюджетные организации, используя вместо ФИО номер. Закон устанавливает срок в 3 дня для прекращения распространения данных по требованию субъекта. Например, если соискатель потребует у кадрового агентства убрать его резюме из базы, анкету должны удалить в течение трех дней.
Также введены новые правила приема на работу. Кадровики должны подписывать с новыми сотрудниками соглашение об обработке и распространении данных. Без этого нельзя передать информацию даже в банк для оформления зарплатной карты или написать имя сотрудника на сайте компании. Передавать информацию без согласия можно только в исключительных случаях, например, по запросу силовых структур.
Сооснователь компании «Б-152» Максим Лагутин считает, что закон не доработан, но выделяет основную суть: «Человек может лучше управлять распространением своих персональных данных… и в любой момент может сделать их недоступными для распространения».
Новые поправки вводят и штрафы за обработку данных без согласия:
- 6–10 тысяч рублей для граждан;
- 20–40 тысяч рублей для должностных лиц и ИП;
- 30–150 тысяч для организаций.
При повторном нарушении суммы увеличиваются почти в два раза.
2. Почему закон изменили
Жизнь и бизнес активно переходят в электронное пространство, где сосредоточены базы данных пользователей и клиентов. Мошенники постоянно воруют эту информацию. По данным Центробанка, в 2020 году кибермошенники украли у россиян 10 миллиардов рублей, что на 52,2% больше, чем в 2019 году. Информацию воруют, берут из открытых источников или покупают у операторов через сотрудников. Именно поэтому государство решило ужесточить законодательство.
Главный юрист PR-агентства 2L Александр Штыров считает изменения обоснованными: «В области обработки персональных данных назрела необходимость большей защиты субъекта ПД… Закон даст право требовать удаления своих ПД с любого ресурса без необходимости доказывать незаконность получения». Скорее всего, это один из этапов ужесточения контроля за личными данными граждан.
3. Что делать бизнесу, чтобы не получить штраф
Некоторые юристы отмечают, что закон содержит расплывчатые формулировки. Но есть рекомендации, позволяющие избежать претензий от контролирующих органов:
- Оформить новые соглашения. Лучше сделать новые соглашения с сотрудниками и контрагентами, прописав, какую информацию можно передавать.
- Назначить ответственных. Обычно это кадровые сотрудники, бухгалтер или руководитель.
- Разработать локальные акты. Это правила, которые регламентируют работу, хранение и передачу ПД.
- Обучить сотрудников. Все работники должны знать, что не имеют права передавать ПД клиентов без согласия.
- Уведомить Роскомнадзор. Любая компания, использующая ПД, становится оператором и должна уведомить об этом РКН.
Уведомлять службу не придется, если данные обрабатываются в рамках трудового договора, для оформления разового пропуска или если в данных только ФИО.
Что касается документов, управляющий директор консультационной группы «ТИМ» Виктор Миронов подчеркивает, что единой формы согласия сегодня нет: «Каждый оператор разрабатывает свою форму… Но лучше сделать письменную форму, чтобы избежать сложных ситуаций».
Кроме этого, предпринимателям следует обеспечить защиту от кибермошенников. Директор онлайн-бухгалтерии «Небо» Артем Туровец отмечает, что вопрос защиты данных — это еще и вопрос репутации.
Эксперт в области информационной безопасности Сергей Белов предупреждает о возможных затратах: «Дополнительные затраты бизнеса связаны с анализом и модификацией пользовательских соглашений, трудовых договоров… Затрат может потребовать работа с заявлениями об отзыве согласия».
4. Как изменения в законе повлияют на работу бизнеса
Пока складывается картина, что предпринимателям придется сделать упор на работу с документами. Под действие закона попадают типовые ситуации: взаимодействие с банками, ЧОПами, медицинскими и образовательными учреждениями, а также туристическая сфера.
Наверное, больше всего проблем появится в рекламе и маркетинге. Например, если компания получила от партнеров базу номеров для обзвона, по новым правилам люди из этой базы должны были дать на это согласие. В противном случае они могут пожаловаться в контролирующие органы.
Сергей Белов считает, что правила продвижения бизнеса поменяются: «Ужесточение правил приведет к повышению издержек… Мы увидим сокращение рынка рекламных оповещений с помощью e-mail, SMS, звонков».
С этим согласен и Александр Штыров: «Любая рекламная кампания должна проводиться с учетом требований. Поэтому нужно предусмотреть максимальные возможности в форме согласия. Это залог отсутствия штрафов».
Вывод: Закон о персональных данных 2021 года не принесет радикальных изменений, но теперь бизнесу придется аккуратнее работать с любыми данными клиентов и сотрудников. Специалисты рекомендуют привести в порядок документы и переписать соглашения.
