У меня малый бизнес: разве защита персональных данных меня касается? Отвечаем на популярные вопросы
Возможно, Вы уже слышали, что штрафы за нарушения в сфере персональных данных серьезно увеличены.
Мы как юристы часто слышим от клиентов, что тематика персональных данных («ПДн») их не касается. Ведь они не обрабатывают данные физических лиц – клиентов, у них нет баз данных и так далее.
Однако это не так. Вот кратко и тезисно, почему ПДн – это про любую компанию:
«У нас нет клиентов – физических лиц»
У любой компании есть клиенты и заказчики, это всегда ФИО как минимум генерального директора или менеджера, телефон, email. Это уже ПДн.
-Если вы переписываетесь с кем-то по email или мессенджеру, вы уже обрабатываете ПДн.
«Но мы работаем только по договорам, а я читал, что если по договору – то согласие не нужно»
Согласие при обработке ПДн по договору, действительно, чаще всего не нужно.
-Но это не значит, что с данными можно делать всё, что угодно. Требование об утверждении политики обработки персональных данных и назначении ответственного за ПДн (т.н. «DPO») остаются.
«У меня только данные моих сотрудников, а уведомлять об их обработке Роскомнадзор не нужно»
Да, уведомлять РКН нужно не во всех случаях.
-Но это не отменяет требований:
- утвердить политику обработки ПДн,
- назначить DPO,
- защитить ПДн (включая технические и организационные меры).
«Я лучше подожду. Штраф всё равно лишь 5 000 руб.»
Верно, сейчас штраф за неуведомление РКН составляет 5 000 руб.
-Но уже через полгода штрафы за это вырастут до 100 000 – 300 000 руб. Это мотивирует принять хотя бы базовые меры по защите ПДн.
«Пока я не в реестре, я не оператор, хотя бы мне не будут грозить большие штрафы для операторов ПДн»
Это заблуждение.
-Неуведомление РКН и отсутствие в реестре никак не избавляет от других штрафов. Наоборот, это может рассматриваться как признак еще большей небрежности.