Не забудьте про 152-ФЗ!

[Construktor]

Важное предупреждение для руководителей мебельного бизнеса: Не забудьте про 152-ФЗ! (с детализацией по срокам и штрафам)
Руководители малого мебельного бизнеса, внимание! В условиях цифровизации и растущего числа онлайн-заказов, оформления договоров и гарантийных обязательств, вы ежедневно работаете с персональными данными ваших клиентов. Это не просто имена и телефоны, а любая информация, позволяющая идентифицировать человека.

Несоблюдение требований Федерального закона №152-ФЗ "О персональных данных" может привести к серьезным штрафам и репутационным потерям.

Основные моменты, на которые стоит обратить внимание:
1. Получение согласия на обработку персональных данных:

• Вы обязаны получить свободное, конкретное, информированное и сознательное согласие от каждого клиента на обработку его персональных данных.
• Согласие может быть получено в любой официально подтвержденной форме, будь то письменное согласие, чекбокс на сайте или другое подтверждение.
• Срок действия согласия определяется вами, но обычно указывается либо конкретная дата, либо условие достижения цели обработки.
• Важно: Хранить согласие на обработку персональных данных нужно 3 года после истечения срока действия согласия или его отзыва.

2. Сроки хранения персональных данных:

• Персональные данные должны храниться не дольше, чем этого требуют цели их обработки.
• После достижения цели обработки (например, выполнения заказа и истечения гарантийного срока) или отзыва согласия субъектом, персональные данные подлежат незамедлительному уничтожению или обезличиванию.
• В случае отсутствия возможности уничтожения в установленный срок, данные должны быть заблокированы в течение 30 дней, а уничтожены в течение 6 месяцев.
• Исключения: Существуют отдельные требования к срокам хранения некоторых документов, содержащих персональные данные (например, трудовые договоры - 50 или 75 лет, зарплатные ведомости - 75 лет). Однако это касается, в первую очередь, данных сотрудников, а не клиентов.

3. Уведомление Роскомнадзора:

• Большинство операторов персональных данных (в том числе и мебельные компании) обязаны уведомить Роскомнадзор о намерении осуществлять обработку персональных данных до начала такой обработки. Форма уведомления утверждена Приказом Роскомнадзора от 28.10.2022 № 180.
• При изменении сведений, указанных в уведомлении, оператор обязан уведомить Роскомнадзор об изменениях в течение 10 рабочих дней с даты возникновения таких изменений.

4. Реагирование на запросы субъектов данных:

• По запросу субъекта персональных данных (клиента) вы обязаны предоставить информацию об обрабатываемых данных, их источнике, целях, сроках и т.д.
• Срок ответа на такой запрос составляет 30 дней с даты получения запроса.

5. Действия при утечке данных:

В случае неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных (утечки), вы обязаны сообщить об этом в Роскомнадзор:

• в течение 24 часов с момента обнаружения инцидента;
• не позднее 72 часов - о результатах расследования инцидента.

Штрафы за нарушение 152-ФЗ (по состоянию на май 2025 года и с учетом грядущих изменений):
Штрафы предусмотрены статьей 13.11 КоАП РФ и зависят от вида нарушения и субъекта ответственности (для юридических лиц – это ООО):

Нарушение правил обработки персональных данных (например, без согласия, с нарушением цели обработки):

• Первичное нарушение: Для юридических лиц – от 150 000 до 300 000 рублей.
• Повторное нарушение: Для юридических лиц – от 300 000 до 500 000 рублей.
• Примечание: С 30 мая 2025 года эти штрафы будут увеличены.

Обработка персональных данных без согласия (если такое согласие обязательно):

• Для юридических лиц – от 300 000 до 700 000 рублей.

Невыполнение требований субъекта ПДн об уточнении, блокировании или уничтожении данных:

• Для юридических лиц – от 50 000 до 90 000 рублей.
• Повторное нарушение: Для юридических лиц – от 300 000 до 500 000 рублей.

Неуведомление или несвоевременное уведомление Роскомнадзора о намерении начать обработку персональных данных:

• Для юридических лиц – от 100 000 до 300 000 рублей.

Утечка персональных данных (новые штрафы):

• За утечку данных о не менее чем 10 000 физлиц или не менее 100 000 идентификаторов – 5 000 000 – 10 000 000 рублей.
• За утечку данных о более чем 100 000 физлицах или более 1 млн идентификаторов – 10 000 000 – 15 000 000 рублей.
• За утечку данных специальных категорий – 10 000 000 – 15 000 000 рублей.
• За утечку биометрических данных – 15 000 000 – 20 000 000 рублей.

При наличии ряда условий может применяться менее суровая санкция, но общий размер штрафа за утечки может достигать 500 000 000 рублей.

Вывод: Даже если ваш бизнес небольшой, вы обязаны соответствовать этим требованиям. Проведите аудит ваших процессов: как вы собираете, храните и используете данные клиентов? Убедитесь, что у вас есть все необходимые документы и процедуры (политика обработки персональных данных, согласия, приказы о назначении ответственных лиц, акты об уничтожении данных).

Не ждите проверки! Проактивное отношение к защите персональных данных не только убережет вас от значительных штрафов, но и повысит доверие ваших клиентов к вашему мебельному бизнесу, что является не менее ценным активом.

[Construktor]

Чтобы не вникать во всю эту простыню - самое главное. ВСЕ должны до 30 мая отправить уведомление в РКН о начале обработки персональных данных. В противном случае уже за это можете получить штраф до 300 тыр.

[zzerg]

Достаточно плотно общался на эту тему с ребятами которые занимаются созданием сайтов, кучу статей прочитал, но единого вывода нет, юристы не могут ответить однозначно из-за расплывчатой терминологии самого закона.

Я даже звонил в РКН на горячую линию, получить инфу из первых рук, но ответа не дождался, а для письменного запроса нужна регистрация на госуслугах.

Пока придерживаюсь мнения: если на сайте нет регистрации пользователей, если вы не ведете базу заказчиков в электронном виде и не делаете по этой базе рассылки - регистрация именно в качестве Оператора не обязательна, достаточно "политики конфиденциальности"

Еще момент не понятный - посещение любой больницы начинается с заполнения бланка на согласие обработки персональных данных, а там куча мутных контор перечислена, которые с твоими паспортными данными будут делать что хотят 25 лет. Получается без согласия нельзя получить услуги поликлиники? Или просто никому не приходит в голову сразу отказаться

[Construktor]

Цитата:

Сообщение от zzerg

если вы не ведете базу заказчиков в электронном виде и не делаете по этой базе рассылки

Рассылки тут точно не при чем) Закон относится ко всем, кто собирает и/или обрабатывает персональные данные. А база персональных данных в электронном виде это что?) Да хоть список контактов в телефоне. Мы с супругой плотно разбирались в данном вопросе и пришли к выводу - регистрироваться надо ВСЕМ)

[zzerg]

Цитата:

Сообщение от Construktor

Рассылки тут точно не при чем)

Как раз это основное, для этого согласие и подписывают и данные "предоставляют" (читай продают). В принципе РКН про вас ничего не узнает, пока кто-то не наябедничает, а первая причина - несанкционированные звонки, письма, сообщения. Вас никогда спамеры не беспокоили? Иногда прям отчетливо следы отслеживаются с чего началось)

Цитата:

Сообщение от Construktor

А база персональных данных в электронном виде это что?) Да хоть список контактов в телефоне

В законе явно указано что база должна быть в электронном виде, я записываю клиентов в блокнот замерный и в комп не переношу и это не является базой. Телефонная книга тоже базой не является

Более того само понятие "персональные данные" определено как ...совокупность данных, позволяющих идентифицировать...

Номер телефона и имя - не позволяет однозначно идентифицировать. Адрес и телефон тоже

ФИО + адрес + телефон - позволяет

Далее просто по логике - вам оставили номер и адрес, вы приехали на замер, сделали мебель и забыли. Вы не собираете, не храните, и не систематизируете данные о заказчиках, т.е. не оперируете ими. Если оперируете - тогда конечно надо регистрироваться.

Однозначно пока даже юристы не могут ответить, прецедентов мало, из известных: яндекс не засудили, когда он выложил в общак базу абонентов "имя+телефон" а коллекторское агенство засудили.

[Construktor]

zzerg, ну мое дело предупредить) а там поступайте на свое усмотрение

[zzerg]

Да понятно, но хочется однозначный ответ найти. Меня этот вопрос больше как владельца сайта интересует, форма обратной связи и ссылка на вотсапп уже требуют регистрации или еще нет

Однозначно надо - если данные попадают в CRM, если ведете список заказчиков хоть в экселе и если владеете сайтом где требуется регистрация и ответные сообщения пользователям

[Construktor]

Цитата:

Сообщение от zzerg

Однозначно пока даже юристы не могут ответить

Если нет однозначного ответа - то все на усмотрение проверяющего) А государству сейчас денежки ой как нужны...

Цитата:

Сообщение от zzerg

Меня этот вопрос больше как владельца сайта интересует, форма обратной связи и ссылка на вотсапп

Ну тут еще и вопрос о трансраничной передаче персональных данных выползает) сайт на российском сервере? а ватсап вообще вражеский) обложили со всех сторон...

В данной ситуации каждый для себя принимает решение самостоятельно. Я решил по всем своим организациям и ип заявления подать...

[zzerg]

Помимо регистрации какие-то обязанности у оператора возникают? Отчетность?

[Construktor]

Цитата:

Сообщение от zzerg

Помимо регистрации какие-то обязанности у оператора возникают? Отчетность?

Ну там еще требуется огромный пакет документов для офиса подготовить... А так вроде не надо отчитываться. Только сообщать в случае нештатных ситуаций, типа взлома базы и тп. Ну и не забывать подписывать с клиентами согласие на обработку персональных данных)