Владельцы бизнеса ежедневно имеют дело с обработкой персональных данных. Это происходит при оформлении заказов или подписок, сборе аудитории для проведения онлайн-вебинаров, при рассылке поздравительных открыток клиентам и в некоторых других случаях. За ошибки в работе с данными на компанию могут наложить серьёзное взыскание. Например, в 2025 году для юрлиц в пять раз увеличатся штрафы за несоответствие цели сбора данных. О том, как предпринимателям избежать негативных последствий, юрист Светлана Петрова рассказала порталу Biz360.ru.
Светлана Петрова – юрист, эксперт по регистрации и ликвидации юридических лиц. Имеет высшее юридическое образование. Провела 2000+ консультаций для владельцев бизнеса, бухгалтеров и юристов. Опыт работы с налоговыми органами по регистрации и ликвидации юрлиц – более 15 лет.
Онлайн-покупки, оформление онлайн-подписки, отправка email- или SMS-рассылки, участие в программе лояльности, отправка обращения в чат компании или обращение в службу поддержки, подписка на соцсети предпринимателя – во всех этих случаях клиент предоставляет бизнесу информацию о себе. Для обработки персональных данных во всех перечисленных ситуациях индивидуальному предпринимателю или компании требуется согласие субъекта данных. То есть лица, которому эти данные принадлежат. Согласие должно быть получено в соответствии с требованиями действующего законодательства о защите персональных данных.
На практике это выглядит так. При оформлении заказа или подписки на сайте или в личном кабинете приложения клиенту достаточно ознакомиться с политикой конфиденциальности и подтвердить согласие с ней, установив соответствующую галочку.
Предприниматели, у которых нет своего сайта, тоже выступают для Роскомнадзора в качестве оператора персональных данных. Они собирают и где-то хранят, а значит – используют информацию о своих сотрудниках, поставщиках, подрядчиках и клиентах.
ИП и юрлицам, чтобы стать оператором персональных данных, необходимо подать в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных. Это можно сделать тремя способами:
-
оформить уведомление на бумажном носителе и представить в Роскомнадзор;
-
оформить электронную заявку, подписать её электронной цифровой подписью и направить в ведомство в электронном виде;
-
оформить всё через портал «Госуслуги».
Без этого легально работать с конфиденциальными сведениями бизнес не может.
В роли надзорного органа по вопросам персональных данных выступает Роскомнадзор. Это ведомство имеет право:
-
запрашивать локальные нормативные акты организации, связанные с обработкой персональных данных (политика конфиденциальности; приказ о назначении ответственного лица; перечень лиц, имеющих право работать с персональными данными; согласия, которые оформлялись с субъектами персональных данных и так далее. Личные данные подписчиков, клиентов или контрагентов Роскомнадзор не требует);
-
проверять сведения, содержащиеся в уведомлении об обработке персональных данных;
-
требовать уточнения, блокирования или уничтожения недостоверных или незаконно полученных данных;
-
ограничивать доступ к информации, обрабатываемой с нарушением закона;
-
обращаться в суд, лицензирующие органы или прокуратуру для разбирательств, если будут нарушены права субъектов данных;
-
привлекать к административной ответственности сборщиков данных, но не обязательно самих операторов (то есть ответственных сотрудников компании, а не юрлицо).
Роскомнадзор налагает существенные штрафы за несоответствие цели сбора данных. Для юридических лиц они составляют от 60 до 100 тысяч рублей. Но уже с 30 мая 2025 года согласно изменениям, принятым в КоАП 30.11.2024 года №420-ФЗ, штрафы вырастут для юрлиц в пять раз: они составят от 300 тысяч до 500 тысяч рублей. Такие штрафы могут стать серьёзным финансовым ударом, особенно для начинающих предпринимателей.
В условиях цифровизации и усиления контроля за персональными данными предпринимателям стоит более ответственно подходить к сбору, обработке и хранению информации. Понимать, что это не просто формальность, а обязательный элемент деловой практики. Предприниматели обязаны гарантировать законность сбора и обработки данных. Это защищает бизнес от финансовых и правовых рисков, укрепляет доверие сотрудников, клиентов и партнёров к компании.
-
Отсутствие согласий субъектов, чьи данные обрабатываются.
-
Отсутствие на сайте возможности получения согласия субъектов персональных данных.
-
Отсутствие всплывающего окна, указывающего на использование файлов «cookies».
-
Отсутствие на сайте политики конфиденциальности (документа, в котором указан порядок сбора и обработки персональных данных).
-
Форма заполнения сведений о субъекте персональных данных содержит автоматически проставленные знаки согласия и ознакомления с политикой конфиденциальности, без возможности самому субъекту проставить соответствующие символы (галочки).
-
Использование политики конфиденциальности, не соответствующей целям деятельности конкретного юридического лица. Так бывает, когда компания находит в открытом доступе чужую политику конфиденциальности, указывает в этом документе своё наименование и сайт - и загружает его на свой интернет-ресурс.
-
Документ не адаптирован ни под деятельность, ни под цели данной организации.
-
Сбор данных и их обработка без предварительного уведомления Роскомнадзора.
-
Отсутствие ответственного лица за организацию обработки персональных данных.
-
Отсутствие утвержденных локальных актов в компании, которые регулируют процесс обработки персональных данных
Это не исчерпывающий перечень, но часто повторяющийся в требованиях Роскомнадзора, направленных бизнесу для исправления ситуации. На исправление выявленных нарушений юридическим лицам дают десять дней, продлить этот срок могут максимум на пять дней. Если сроки не соблюдаются, на юридическое лицо возлагается административная ответственность. В этом случае размер штрафа будет зависеть от тяжести нарушения.
-
Регулярно проверяйте локальные документы вашей компании о работе с персональными данными (например, раз в год или после весомых изменений в законодательстве).
-
Назначьте ответственных лиц в компании за обновление каждого бланка.
-
Обучайте сотрудников: введите регулярные обучающие сессии по вопросам защиты данных и актуальных нормативных требований, обеспечьте доступ к обновлённой документации через внутренние порталы или информационные рассылки.
-
Примите технические меры защиты доступа к своим документам: используйте защищённые внутренние порталы или системы управления документами для хранения и распространения необходимой информации, предоставьте доступ к конфиденциальным бумагам только тем сотрудникам, которым это необходимо для выполнения их профессиональных обязанностей.
-
Проводите мониторинг изменений законодательства: назначьте ответственных за отслеживание изменений в законодательстве и нормативных актах, разработайте процедуры оперативного внесения изменений в документацию и информирования об этом сотрудников.
-
Взаимодействуйте с субъектами данных: обеспечьте понятные материалы о том, как обрабатываются личные сведения ваших клиентов, сотрудников и деловых партнёров. Организуйте каналы для получения и обработки вопросов и предложений от субъектов данных.
-
Позаботьтесь о том, чтобы все договоры с сотрудниками, партнёрами и подрядчиками содержали положения о соблюдении требований по защите данных.
-
Если в аккаунте вашей компании в одной из соцсетей больше 10 тысяч подписчиков, стоит обратиться в Роскомнадзор для получения уникального реестрового номера. С 1 января 2025 года без него нельзя размещать в своих соцсетях рекламу, а информацию из ваших аккаунтов запрещено перепощивать. Кроме того, возможно ограничение доступа пользователей к странице.
Чтобы не пропустить интересную для вас статью о малом бизнесе, подпишитесь на наш Telegram-канал, страницу в «ВКонтакте» и канал на «Яндекс.Дзен».
