Комментарий Анастасии Сивицкой, советника Orchards, для Право.ru.
За неосторожное обращение с персональными данными бизнесу может грозить штраф. Мало не допускать утечек информации, нужно правильно собирать и хранить такие сведения. Для начала стоит получить согласие на обработку данных. Эксперты говорят: не стоит запрашивать лишние сведения. Например, салону красоты ни к чему информация о месте работы или образовании клиентов. Такие требования можно признать незаконными. Еще, по словам юристов, важно разработать четкую и доступную политику обработки персональных данных. Документ должен быть понятен обычным людям.
Все чаще СМИ пишут о том, что компании штрафуют из-за разных нарушений закона «О персональных данных». В конце августа мировой судья судебного участка № 422 Таганского района Москвы Тимур Вахрамеев оштрафовал учебное агентство по дайвингу Scuba Schools International на 1 млн руб. за хранение персональных данных (ПД) россиян на зарубежных серверах. Компанию признали виновной по ч. 8 ст. 13.11 КоАП («Нарушение законодательства в области персональных данных»). Еще в том же месяце стало известно, что за нарушение Закона «О персональных данных» (ЗоПД) на 50 000 руб. оштрафовали и Telegram. В частности, за отказ компании удалить личные данные российских пользователей по требованию Роскомнадзора (РКН). В этом случае дело возбудили по ч. 5 все той же ст. 13.11 КоАП о невыполнении оператором требования уточнить неполные или незаконно полученные ПД.
Ответственность может грозить и за утечку таких сведений. Так, в начале сентября журналисты «Интерфаксу», что проверяет эту информацию. РКН при проверке подтвердил, что из МТС-банка утекли данных почти миллиона клиентов. Ранее за утечки наказали другие фирмы. Так, в мае этого года VK получил штраф в 60 000 руб., а в апреле на такую же сумму оштрафовали «Ростелеком». Но привлечь к ответственности могут не только за утечки данных или их неправильное хранение. В законе предусмотрены разные нарушения ЗоПД, за которые следуют финансовые санкции.
Как рассказала Анастасия Сивицкая, советник Orchards, чаще всего штрафы оспаривают банки и IT-компании:
Это достаточно крупные участники рынка, и они дорожат своей репутацией, а потому обжалуют даже незначительные суммы взысканий, например 30 000–60 000 рублей. Но в подавляющем большинстве случаев штрафы оспорить не удается. Например, в 2021 году мировой судья оштрафовал Twitter, Facebook и WhatsApp на 17; 15 и 4 млн руб. за отказ локализовать данные россиян на территории РФ. Таганский райсуд впоследствии «засилил» эти штрафы.
Чтобы уменьшить вероятность получить штраф, важно также определить, зачем бизнесу нужны персональные данные. По закону оператор (компания, которая обрабатывает ПД) обязан собирать данные в соответствии с целями их обработки. Он не должен требовать избыточную информацию. Чрезмерность в этом плане определяется по отношению к целям обработки персональных данных. Например, если салон красоты собирает информацию о месте работы, образовании и источниках дохода клиентов, очевидно, в этом нет необходимости.
Стандартный набор ПД, необходимых бизнесу, — это те данные, которые позволяют идентифицировать клиентов, поддерживать с ними связь, производить доставку при необходимости и фиксируют их потребительскую активность.