Работа с персональными данными клиентов

Самая важная информация и ответы на вопросы в статье: "Работа с персональными данными клиентов". Актуальность данных для 2020 года вы можете уточнить у дежурного консультанта.

Облачная АТС Билайн

Защита персональных данных при работе с клиентами

1 июля 2017 года правительство РФ сильно ужесточило закон о персональных данных, что не могло не отразиться на наших клиентах. В этой статье мы расскажем, что нужно принять во внимание, если вы работаете с клиентской базой и храните информацию у себя в АТС, CRM или в иной базе данных.

Что такое персональные данные и что поменялось

С 1 июня 2017 необходимо спрашивать согласие пользователя каждый раз, когда компания запрашивает его персональные данные. В частности, при:

  • регистрации на сайте;
  • обращении к поддержке через чат;
  • заказе звонка через виджет обратных звонков;
  • оформлении заказа.

В целом, уведомлять пользователя стоит и просто при заходе на сайт, ведь на большинстве ресурсов отслеживаются данные пользователя, которые передаются через браузер: IP-адрес, устройство, операционная система, файлы cookie, геолокация и т. д.

Многие задаются вопросом, что такое персональные данные, что является личной информацией, а что – публичной? Говоря общими словами, персональная информация – это вся информация о человеке и его деятельности, а именно:

  • фамилия, имя, отчество;
  • номер телефона;
  • адрес;
  • email;
  • дата рождения;
  • паспортные данные;
  • социальные сети;
  • место работы;
  • должность и другие.

Точного определения того, что считать персональными данными, нет. Ни Минкомсвязи, ни Роскомнадзор не смогли точно очертить границы этого понятия, однако по результатам анализа судебной практики и изучения самой статьи становится понятно, что под персональными данными понимаются «связки». Т. е. сами по себе Ф. И. О. не являются персональной информацией, как и электронная почта или адрес. Но если эти данные объединить, то в совокупности они становятся персональными:

  • Иванов Иван Иванович;
  • [email protected];
  • г. Москва, ул. Иванова, д. 1.

В ряде случаев информацию считают персональной и без подобных «связок». Для полной уверенности компании стоит обратиться в Роскомнадзор, чтобы получить ответ о том, подпадают ли данные под действие закона.

Все эти данные в таком виде запрашивает и хранит практически любая компания, используя в том числе инструменты телефонии и CRM.

Как работает закон

До принятия поправки к КоАП хранение и обработку персональных данных контролировала прокуратура и штрафы за несоблюдение закона были невелики, в пределах 10 000 рублей для организаций. Закон существовал, но мало кто заботился о том, чтобы соблюдать его; в случае выявления нарушений предпринимателям было проще оплатить штраф.

После принятия поправки правила достаточно сильно ужесточились. С 2017 года за соблюдением закона следит Роскомнадзор, а штраф был увеличен до 300 000 рублей. Роскомнадзор заявил, что теперь проверки будут проводиться более тщательно и заметно чаще.

Как это применяется к нам

Если говорить более предметно, то под действие закона № 152-ФЗ «О персональных данных» подпадают все, у кого:

  • на сайте установлена статистика Яндекс.Метрика или Analytics от Google;
  • паспортные данные клиента задействованы в бизнес-процессах;
  • в компании есть программа лояльности для клиентов;
  • мобильные телефоны клиентов хранятся в базе компании;
  • в офисе или на сайте запрашиваются данные клиента;
  • используются любые иные механизмы сбора и хранения персональных данных сотрудников, клиентов и партнеров.

В случае использования Облачной АТС Билайн очевидно, что большинство предприятий хранят персональные данные. Так как же обезопасить компанию от штрафов и проблем?

Пример с облачной АТС Билайн

Наши клиенты, конечно же, хранят у себя номера телефонов клиентов и другие контактные данные. Это сразу накладывает ответственность, например, если используется виджет обратного звонка:

Сама по себе форма соответствует закону: так как здесь нет связки и указывается только номер мобильного телефона, под действие ФЗ она не подпадает.

Однако в дальнейшем номер, если настроена интеграция с CRM, заносится в базу, добавляются Ф. И. О. и другая информация о клиенте. На этом этапе компания уже должна быть готова к тому, что действие закона о защите персональных данных начинает применяться к ней.

Итак, что же нужно сделать, чтобы при проверке не получить штраф?

  1. Подать заявление в Роскомнадзор через специальную форму на сайте;
  2. Подготовить самостоятельно 34 документа или воспользоваться сервисом от Контура;
  3. Предупредить своих пользователей о том, что собираете их данные:

Например, Яндекс.Деньги разместили ссылку в подвале сайта
Добавить в формы чекбоксы:

Добавление чекбокса в конце формы
  • Назначить ответственных в рамках работы с персональными данными – технического специалиста и юриста.
  • После этого деятельность компании полностью будет соответствовать закону РФ.

    Работа с персональными данными клиентов

    «Кадровая служба и управление персоналом предприятия», 2015, N 3

    Порядок работы с персональными данными клиентов во многом сходен с порядком работы с персональными данными сотрудников. Его мы рассмотрели в прошлом номере. Однако в работе с персональными данными клиентов есть несколько особенностей, о которых должны знать кадровики.

    Кадровым службам (особенно небольших и средних компаний) зачастую приходится работать с персональными данными не только сотрудников, но и клиентов. Прежде всего это касается компаний, продающих товары (выполняющих работы, оказывающих услуги) физическим лицам. Но и компании, работающие в секторе B2B, тоже нередко сталкиваются с персональными данными. Это, к примеру, персональные данные контактных лиц в организациях-контрагентах, физических лиц — консультантов, фрилансеров, иных граждан, которые не являются работниками компании, но оказывают ей услуги (например, врачи для фармацевтических компаний, авторы в журналах, рекрутеры в кадровых агентствах и т.д.).

    Примечание. См. статью о работе с персональными данными работников на с. 10 журнала N 2, 2015.

    Согласие и уведомление граждан

    Начнем с того, что согласие физического лица на предоставление и обработку персональных данных (ПД) является обязательным (ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», далее — Закон N 152-ФЗ). Причем оно может быть получено только в письменной форме.

    Форма письменного согласия законодательством не оговаривается, поэтому компания может использовать собственную, однако в ч. 4 ст. 9 (Закона N 152-ФЗ) предусмотрены сведения, которые должны быть отражены в нем.

    Читайте так же:  Что нужно для оформления машины в гибдд

    Примечание. Форму согласия и требования к его содержанию смотрите на с. 18 — 19 журнала N 2, 2015.

    Судебная практика. Если клиенты заказывают товары или услуги, заполняя анкету на сайте в электронном виде, содержащую сведения о персональных данных, то отдельного согласия на обработку данных не потребуется. Отправляя свои данные по указанному алгоритму заполнения анкеты, физические лица фактически выражают свое согласие на передачу своих персональных данных, т.е. при обработке персональных данных письменное согласие считается полученным (Постановление Федерального арбитражного суда Северо-Западного округа от 13.12.2010 по делу N А56-73636/2009).

    В отличие от трудовых отношений, когда работник чаще всего лично предоставляет свои ПД, с данными клиентов может возникнуть ситуация, когда сведения будут получены не напрямую, а от других операторов (например, если компания обращается к юридической фирме для ведения судебного дела в отношении клиента — физического лица).

    Для таких случаев ст. 18 Закона N 152-ФЗ предусматривает следующее правило. Если персональные данные получены не от субъекта ПД, то до начала их обработки оператор обязан предоставить субъекту ПД следующую информацию:

    • наименование либо фамилию, имя, отчество и адрес оператора или его представителя;
    • цель обработки персональных данных и ее правовое основание;
    • предполагаемые пользователи персональных данных;
    • установленные законом права субъекта персональных данных;
    • источник получения персональных данных.

    Форма и порядок такого уведомления законодательством не предусмотрены, однако информировать субъекта персональных данных необходимо так, чтобы впоследствии была возможность представить в суд доказательства подобного информирования. Потому лучше, если оператор вручит эту информацию субъекту ПД под личную подпись или отправит письмо почтой с уведомлением и описью вложения, а также сохранит почтовые документы.

    Судебная практика. Истица обратилась в суд с иском к ряду компаний о признании незаконными действий по передаче и обработке ее персональных данных и взыскании компенсации морального вреда. В обоснование заявленных требований она указала, что между ней и банком был заключен потребительский кредитный договор. В ходе его исполнения банк без согласия передал ее персональные данные ответчикам, от которых в дальнейшем в адрес истицы поступали требования о погашении просроченной задолженности. Суд иск удовлетворил исходя из того, что в нарушение требований закона ей до начала обработки персональных данных не была предоставлена информация об операторе, целях обработки, правовом основании, предполагаемых пользователях (Апелляционное определение Тульского областного суда от 13.02.2014 по делу N 33-372).

    Отзыв согласия

    Согласно ч. 2 ст. 9 Закона N 152-ФЗ субъект ПД (клиент компании) вправе отозвать согласие на обработку ПД. Специальная форма такого отзыва законодательством не предусмотрена.

    Отзыв может быть составлен по образцу, приведенному в примере 1.

    Пример 1. Отзыв согласия на обработку персональных данных.

    Кстати, ч. 2 ст. 9 Закона N 152-ФЗ предусматривает случаи, когда оператор может продолжить обработку ПД и без согласия клиента. Например, обработка ПД необходима для:

    • достижения целей, предусмотренных законодательством;
    • исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является клиент;
    • защиты жизни, здоровья, если получение согласия субъекта персональных данных невозможно;
    • осуществления деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности и пр.

    Судебная практика подтверждает, что согласие субъекта персональных данных на их обработку не обязательно, если она осуществляется в рамках исполнения заключенного с ним договора.

    Судебная практика. Суд отклонил довод истца о нарушении его прав на защиту персональных данных из-за звонка на его личный телефон со стороны ответчика, действующего по поручению кредитора истца. Истец не погасил задолженность перед кредитором, и тот поручил взыскание задолженности третьему лицу, сообщив ПД должника. Суд отметил, что в данном случае специально выраженного согласия не требуется (Кассационное определение Омского областного суда от 10.11.2010 N 33-7056 (2010 г.)).

    Организовываем работу

    Требования к организации работы с персональными данными клиентов, по сути, те же, что и к организации работы с персональными данными сотрудников. Подробнее об этом читайте на с. 13 — 19 журнала N 2, 2015. Причем в зависимости от специфики оператора стоит учитывать те или иные нормы подзаконных нормативных актов. Например, в Постановлении Правительства РФ от 01.11.2012 N 1119 устанавливаются требования к уровню защищенности персональных данных при обработке в информационной системе, если оператор обрабатывает биометрические или иные специальные категории ПД более чем 100 тыс. субъектов ПД, не являющихся сотрудниками оператора. Однако в этом случае кадровой службе вряд ли поручат обработку ПД клиентов.

    Имейте в виду: несмотря на то что работа с ПД и клиентов, и работников регулируется одним Законом N 152-ФЗ, регламентирование данной работы на уровне организации должно происходить с учетом того, что базы данных клиентов представляют коммерческую ценность. А работа с такой информацией регулируется также Федеральным законом от 29.07.2004 N 98-ФЗ «О коммерческой тайне».

    Примечание. См. статью «Устанавливаем режим коммерческой тайны» на с. 11 журнала N 11, 2014.

    Законодательством о персональных данных специально не предусмотрено, должна ли компания утверждать один локальный нормативный акт о работе с персональными данными работников и клиентов или это могут быть два отдельных акта. Но, учитывая, что согласно ч. 2 ст. 18.1 Закона N 152-ФЗ оператор при работе с клиентами обязан опубликовать или иным образом обеспечить неограниченный доступ к положению о защите персональных данных, целесообразнее разделить положение на два отдельных документа (для работников и клиентов). Ведь далеко не любая компания захочет обнародовать порядок работы с ПД работников.

    Мнение. Станислав Валуев, юрист правового бюро «Олевинский, Буюкян и партнеры»

    К сожалению, от риска незаконного использования персональных данных не застрахован никто. Защищать их можно любыми способами, при этом выполняя требования Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных». Эффективность защиты персональных данных клиентов во многом зависит от правильной организации работы сотрудников, которые взаимодействуют с базой персональной информации. Строгий контроль за доступом и использованием персональных данных клиентов максимально оградит эти сведения от использования нечистоплотными сотрудниками в личных целях. Самое важное, на мой взгляд, — выстроить работу сотрудников таким образом, чтобы ответственность за нарушение норм Закона наступала неотвратимо. Руководителям организаций, работающих с персональными данными клиентов, посоветовал бы обязательно разрабатывать положение о защите персональных данных клиентов, где указывать, что каждый сотрудник, получающий для работы персональные данные клиента, несет ответственность за конфиденциальность информации.

    До передачи персональных данных иным лицам компания должна запросить у клиента согласие на их передачу. Законодательством не предусмотрена форма такого запроса; он может быть таким, как указано в примере 2.

    [2]

    Пример 2. Запрос согласия субъекта персональных данных на распространение персональных данных.

    Читайте так же:  Куда нужно обратиться для смены фамилии

    Кстати, далеко не каждое действие будет считаться передачей данных или даже разглашением ПД. Примеры можно найти в судебной практике.

    Судебная практика. В Постановлении ФАС Восточно-Сибирского округа от 12.05.2011 по делу N А33-10809/2010 отмечено, что предоставление управляющей компанией физическим лицам, проживающим в обслуживаемых домах, платежных документов с указанием в них персональных данных последних является частью деятельности последней в рамках принятых на себя обязательств по управлению жилыми домами.

    Уведомление Роскомнадзора

    В отличие от оператора, работающего с персональными данными сотрудников, оператор, работающий с персональными данными клиентов, до начала обработки персональных данных обязан уведомить Роскомнадзор (ст. 22 Закона N 152-ФЗ).

    Порядок представления уведомлений регулируется Административным регламентом по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утвержденным Приказом Минкомсвязи России от 21.12.2011 N 346 (далее — Регламент).

    Есть несколько исключений, когда компании, работающие с персональными данными клиентов, не должны направлять уведомления в Роскомнадзор (ч. 2 ст. 22 Закона N 152-ФЗ). Например:

    • если ПД получены в связи с заключением договора при условии, что данные не распространяются и не предоставляются третьим лицам без согласия и используются исключительно для исполнения указанного договора;
    • сделаны субъектом персональных данных общедоступными (справочники, адресные книги и т.д.);
    • включают в себя только фамилии, имена и отчества субъектов персональных данных;
    • необходимы для однократного пропуска субъекта ПД на территорию, на которой находится оператор, или аналогичных целей;
    • обрабатываются без использования средств автоматизации (т.е. при работе с данными не используются вычислительная техника, компьютеры) и пр.

    Если перечисленные случаи не относятся к деятельности компании, то она направляет уведомление в территориальный орган Роскомнадзора (ч. 1 ст. 22 Закона N 152-ФЗ). Форма установлена Регламентом (Приложение N 2). Его можно подать не только в бумажном варианте, но и в электронном виде через сайт Роскомнадзора (ч. 3 ст. 22 Закона N 152-ФЗ).

    См. Портал персональных данных Уполномоченного органа по защите персональных данных // http://pd.rkn.gov.ru/operators-registry/notification/form.

    В течение 30 дней с даты поступления уведомления управление Роскомнадзора вносит сведения, содержащиеся в уведомлении, в реестр операторов, осуществляющих обработку персональных данных (ч. 4 ст. 22 Закона). На основании приказа руководителя уполномоченного органа в реестр вносится запись об операторе. Информация о внесении сведений об операторе в реестр размещается на официальном сайте Роскомнадзора.

    Ответственность оператора при работе с персональными данными клиентов практически аналогична ответственности работодателя, описанной в прошлом номере журнала. Единственное — нужно учитывать ст. 13.14 КоАП РФ, согласно которой за разглашение информации, доступ к которой ограничен федеральным законом, в том числе ПД граждан, лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа на должностных лиц компании от 4000 до 5000 руб.

    Защита персональных данных клиентов организации

    Защита персональных данных
    с помощью DLP-системы

    Б ольшинство российских компаний, работающих в секторе оказания услуг физическим лицам, тем или иным способом собирают и обрабатывают их персональные данные. Такая функция становится основанием для признания их операторами персональных данных в установленном законом порядке и необходимости принять комплекс организационных и технических мер, призванных защитить доверенную организациям информацию клиентов.

    Нормативно-правовая база

    Федеральный закон «О персональных данных» признает операторами всех юридических лиц и предпринимателей, которые получают и обрабатывают персональные данные клиентов в ситуациях, не являющихся обычным кадровым документооборотом. К предприятиям, постоянно сталкивающимся в своей работе с требованиями получать и обрабатывать данные в установленном законом порядке, а также предпринимать меры, направленные на их защиту, относятся:

    • медицинские учреждения, требования к которым, определяющие степень защищенности информационной системы, повышены из-за важности доверяемых им данных;
    • образовательные организации;
    • банки и другие финансовые учреждения;
    • страховые компании;
    • гостиницы;
    • библиотеки;
    • магазины.

    Каждый из этих субъектов бизнеса получает от граждан сведения, которые носят конфиденциальный характер, и это не только имя, данные паспорта и номер телефона, но и информация о семейном положении, здоровье, имуществе, счетах и вкладах. Организации, в деятельности которых эти сведения необходимы по различным причинам, часто нормативно-правового порядка (например, форматы различных учетных карточек устанавливаются министерствами и ведомствами), вместе со сведениями получают комплекс обязанностей по их защите при обработке и передаче третьим лицам.

    Закон требует от операторов предпринять комплекс организационных и технических мер, направленных на защиту доверенной им информации. Конкретизируются эти требования Постановлением Правительства № 1119, определяющим параметры, по которым устанавливается уровень защищенности системы, и приказами ФСТЭК России, которые регулируют применение и сертификацию технических средств, защищающих целостность информационной системы персональных данных. Также в области сертификации средств криптографической защиты данных и некоторых программных продуктов действуют стандарты, разрабатываемые и утверждаемые ФСБ России.

    Обязанности оператора

    Оператором является практически каждая организация, в рамках своей деятельности получающая от клиентов сведения о данных их паспорта или о номере телефона. Закон устанавливает обязанности оператора персональных данных как на организационном, так и на техническом уровне. После того, как компания определила, что требования закона безусловно относят ее к операторам, она обязана:

    • направить уведомление в Роскомнадзор о начале деятельности, связанной с обработкой персональных данных. Его форма заполняется на сайте, затем распечатывается, подписывается и отправляется в ведомство по почте;
    • разработать локальные нормативные акты, определяющие принципы и порядок обработки персональных данных клиентов в процессе осуществления ими предпринимательской деятельности;
    • разработать формат согласия на обработку персональных данных, которое подписывают клиенты, и определить порядок его предоставления для подписания;
    • назначить приказом руководителя лицо, ответственное за обеспечение надлежащей защиты персональных данных;
    • определить требуемую степень защищенности своей информационной системы согласно нормам Постановления Правительства № 1119;
    • разработать план приведения информационной базы в соответствие с требованиями законодательства и реализовать его.
    Читайте так же:  Цель командировки примеры для директора

    Выполнение этих обязанностей контролируется в ходе проверок Роскомнадзора. Следует учитывать, что по закону о защите прав юридических лиц в процессе проверок первая из плановых может пройти только спустя три года после направления уведомления.

    Положение о защите персональных данных

    Одной из задач оператора становится разработка внутреннего положения, определяющего принципы его работы при взаимодействии с персональными данными клиентов. Обычно оно размещается на сайте оператора таким образом, чтобы было доступно любому клиенту при поиске информации или предоставлении сведений, содержащих персональные данные. Подготовить такой нормативный акт можно самостоятельно, силами административного подразделения компании или службы безопасности, никаких специальных норм он не содержит, и требований к его формату и содержанию законодательство не предъявляет. В рекомендуемой версии структура положения будет выглядеть следующим образом:

    Согласие на обработку персональных данных

    Существенным элементом системы защиты персональных данных становится разработка формата согласия на обработку персональных данных и установление порядка его подписания. Чаще всего сведения получают от клиента в процессе оформления договора, но следует учитывать, что они сохраняются не только в информационных базах, но и на материальных носителях, которыми, в зависимости от вида услуг, могут быть:

    • листки учета посетителей, заполненные в гостиницах;
    • формуляры, оформляемые в библиотеках;
    • медицинские карты;
    • анкеты различного рода.

    Все эти документы часто хранятся в общем доступе, степень их защищенности нельзя отнести к повышенной. Распространение на них режима конфиденциальности защищается включением соответствующих норм в трудовые договоры с персоналом, но, как показывает практика, взыскать ущерб с сотрудника, виновного в разглашении конфиденциальной информации, крайне сложно. Единственной защитой персональных данных, хранящихся на бумажных носителях, становится трудность обработки большого объема рукописных данных, это значит, что их неправомерное распространение возможно только в случае заинтересованности злоумышленника в сведениях о конкретном клиенте. Но, подписывая согласие на обработку данных, клиент должен быть уверен в том, что они будут охраняться максимально возможным и соответствующим требованиям законодательства способом.

    Также в согласии указываются цели обработки персональных данных, например, для гостиницы это будет соблюдение требований безопасности клиентов и сохранности имущества. Подписывая согласие, клиент должен признать целесообразность этих целей. После того, как определены цели, указываются способы обработки персональных данных, ручные и автоматические. Клиент должен выразить свое согласие и с ними.

    В согласии указываются лица, которым, по договору с оператором, данные могут передаваться для хранения и обработки. Как показывает последняя судебная практика, применительно к банкам, эти лица необходимо скрупулезно и подробно перечислить.

    Как гласит закон, согласие на обработку персональных данных в любое время может быть отозвано, делается это по тем каналам связи, которые оператор установил для коммуникации с клиентом. После отзыва компания обязана в течение 30 дней уничтожить данные. Этого можно избежать только в том случае, когда их нахождение у организации-оператора обусловливается требованиями федеральных законов, например, по борьбе с терроризмом или об отмывании денежных средств. Ранее срок удаления составлял 7 дней, но он был настолько неудобен для операторов, что было принято решение о его продлении. Также клиент вправе требовать удаления или изменения данных, если они не соответствуют действительности, искажены. При получении отказа или в случае неисполнения требований гражданин может обратиться с заявлением в Роскомнадзор.

    Риски, с которыми связана обработка персональных данных клиентов

    Операторы должны учитывать, что нарушение установленного порядка обработки и защиты персональных данных влечет за собой возникновение неблагоприятных последствий. Такие нарушения могут быть выявлены тремя способами:

    • при проведении проверочных мероприятий органами контроля за соблюдением законодательства о защите персональных данных – Роскомнадзором, ФСТЭК РФ, ФСБ России;
    • в результате взаимодействия оператора с некоторыми другими ведомствами, например, ФАС РФ;
    • физическим лицом, чьи права нарушены. Такое нарушение может стать основой для предъявления иска в суд о восстановлении нарушенного права и компенсации морального вреда.

    Следствиями выявления нарушения государственным органом становятся:

    • вынесение предписания об устранении нарушений закона;
    • административные штрафы, налагаемые на руководителей компаний;
    • запрет на занятие деятельностью, связанной с обработкой персональных данных;
    • в наиболее вопиющих случаях неправомерного использования или распространения данных – привлечение к уголовной ответственности.

    Лицо, информация о частной жизни которого была неправомерно получена или распространена, может обратиться в суд со следующими категориями исков:

    • иск о возмещении морального вреда, связанного с неправомерным использованием персональных данных;
    • иск о запрете собирать персональные данные, если организация не обладает необходимыми сертифицированными ресурсами для обеспечения их безопасности (этот способ защиты прав часто применяется во взаимоотношениях с магазинами);
    • иск об удалении или изменении некорректно учтенных данных.

    Российские суды удовлетворяют требования о взыскании морального вреда чаще всего в пределах небольших сумм, в среднем 50 тысяч для столицы и крупных городов, 10 тысяч по России. Но риск заключается не в том, чтобы потерять небольшие средства, а в вынесении проблемы в публичное поле. После вступления в силу решения суда или сообщения СМИ о процессе Роскомнадзор может назначить внеочередную проверку соблюдения законодательства о защите персональных данных, и по ее результатам организации может быть запрещено заниматься их обработкой. Это станет причиной существенно больших убытков для оператора.

    Организации, работающие с физическими лицами, должны учитывать все требования и риски и выстраивать свою работу таким образом, чтобы нарушения установленного порядка защиты персональных данных не происходило.

    Положение «О порядке обработки персональных данных клиентов

    1. ОБЩИЕ ПОЛОЖЕНИЯ

    Читайте так же:  Кому положено сопровождение в санаторий

    1.1. Настоящий документ определяет политику Оператора в отношении обработки персональных данных и реализации требований к защите персональных данных (далее по тексту — Положение) в соответствии с требованиями ст.18.1 Федерального закона Российской Федерации от 27.07.2006 г. №152-ФЗ «О персональных данных».

    2. ОСНОВНЫЕ ПОНЯТИЯ

    2.1. В настоящем Положении используются следующие основные понятия:

    2.1.1. персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

    Видео (кликните для воспроизведения).

    2.1.2. оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

    2.1.3. обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

    2.1.4. автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

    2.1.5. неавтоматизированная обработка персональных данных — обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, в ходе которой использование, уточнение, распространение, уничтожение персональных данных каждого из субъектов персональных данных, осуществляется при непосредственном участии человека;

    2.1.6. обработка персональных данных на бумажном носителе — обработка персональных данных, в том числе неавтоматизированная, осуществляемая Оператором с помощью фиксации персональных данных каждого из субъектов персональных данных на бумажном(ых) носителе(ях);

    2.1.7. использование персональных данных — применение персональных данных для достижения целей их обработки;

    2.1.8. распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

    2.1.9. предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

    2.1.10. блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

    2.1.11. уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

    2.1.12. обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

    2.1.13. информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

    2.1.14. трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

    3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

    [3]

    3.1. Оператор в ходе обработки персональных данных руководствуется следующими принципами:

    3.1.1. обработка персональных данных осуществляется на законной и справедливой основе в соответствии с:

    — Гражданским кодексом РФ;

    — Федеральным законом РФ от 27.07.2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»;

    — Федеральным законом РФ от 27.07.2006 г. №152-ФЗ «О персональных данных»;

    — Федеральным законом РФ от 08.02.1998 г. №14-ФЗ «Об обществах с ограниченной ответственностью»;

    — Трудовым кодексом РФ;

    — Постановлением Правительства РФ от 01.11.2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

    — Постановлением Правительства РФ от 15.09.2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

    — Приказом ФСТЭК РФ №55, ФСБ РФ №86, Мининформсвязи РФ №20 от 13.02.2008 «Об утверждении Порядка проведения классификации информационных систем персональных данных»;

    — Приказом Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18.02.2013 г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

    3.1.2. обработка персональных данных допускается в случаях, определенных федеральным законом;

    3.1.3. обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Целями обработки персональных данных Оператором являются:

    1) в отношении клиентов Оператора – регистрации клиентов на Интернет-сайте fotosklad.ru (далее по тексту – Сайт), заключения, изменения, расторжения, повторного заключения договоров купли-продажи товара, клиентом на сайте.

    2) в отношении клиентов третьих лиц, осуществляющих деятельность на Интернет-сайте fotosklad.ru — регистрации указанных лиц на Сайте, заключения, изменения, расторжения, повторного заключения договоров купли-продажи товара, указанными лицами на сайте.

    3.1.4. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях несовместимых между собой;

    3.1.5. Обработке подлежат только персональные данные, которые отвечают целям их обработки;

    3.1.6. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

    3.1.7. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;

    3.1.8. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

    4. СУБЪЕКТЫ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

    4.1. Оператор осуществляет обработку персональных данных в соответствии с настоящим Положением в отношении следующих категорий субъектов (физических лиц):

    Читайте так же:  Сломалась кнопка на телефоне что делать

    4.1.1. Клиенты (покупатели) Оператора.

    4.2. Оператор осуществляет обработку следующих категорий персональных данных:

    4.2.1. в отношении клиентов (покупателей):

    — фамилия, имя, отчество клиента;

    — мобильный телефон клиента;

    -электронная почта клиента;

    — наименование улицы, на которую будет осуществляться доставка для клиента

    — номер дома, в который будет осуществляться доставка для клиента

    — номер квартиры (офиса), в которую (-ый) будет осуществляться доставка для клиента;

    — фамилия, имя, отчество лица, получающего товар;

    — почтовый индекс места, куда осуществляется доставка товара для клиента;

    5. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

    5.1. Обработка персональных данных может осуществляться Оператором в информационной системе с использованием средств автоматизации и без использования таких средств, а также на бумажных носителях.

    5.2. Решения, порождающие юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, не принимаются Оператором на основании исключительно автоматизированной обработки его персональных данных.

    5.3. В случае намерения принять подобное решение на основании исключительно автоматизированной обработки персональных данных, необходимо получение Оператором согласия субъекта в письменной форме с обязательным разъяснением порядка принятия решения, его возможных юридических последствий, возможности заявить возражения против такого решения, а также порядка защиты субъектом персональных данных своих прав и законных интересов.

    5.4. Обработка персональных данных допускается в следующих случаях:

    5.4.1. осуществляется с согласия субъекта персональных данных;

    5.4.2. обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

    [1]

    5.4.3. обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

    5.4.4. обработка необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

    5.4.5. обработки персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (персональные данные, сделанные общедоступными субъектом персональных данных);

    5.4.6. обработки персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом

    5.5. В случае отзыва субъектом согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных только при наличии оснований, предусмотренных п.п.5.4.2-5.4.6 Положения.

    6. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

    6.1. Субъект персональных данных вправе:

    6.1.1. получать от Оператора информацию, касающуюся обработки его персональных данных;

    6.1.2. требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

    6.1.3. требовать от Оператора прекращения обработки персональных данных в целях продвижения товаров, работ, услуг путем осуществления прямых контактов с помощью средств связи;

    6.1.4. обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

    7. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

    7.1. Информация, относящаяся к персональным данным, доступ к которой получен Оператором или иными лицами в установленном законом порядке, не подлежат разглашению третьим лицам, за исключением случаев, предусмотренных федеральным законом.

    7.2. Сотрудники Оператора и иные лица, получившие доступ к персональным данным и осуществляющие их обработку, подписали обязательство о неразглашении конфиденциальной информации, а также предупреждены о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности, в случае нарушения норм и требований действующего законодательства РФ в области обработки персональных данных.

    8. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

    8.1. Оператор принимает, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных ФЗ РФ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

    8.2. В частности Оператором принимаются следующие меры по обеспечению по обеспечению безопасности персональных данных:

    — назначено ответственное за обработку персональных данных должностное лицо;

    — утверждено и размещено данное Положение на Интернет-сайте Оператора fotosklad.ru

    — утверждаются другие локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ в сфере обработки персональных данных, устранение последствий таких нарушений;

    — применяются достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

    — осуществляется внутренний контроль на предмет соответствия обработки персональных данных Федеральному закону РФ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Положению и иным локальным актам Оператора в сфере обработки персональных данных;

    Видео (кликните для воспроизведения).

    — осуществляется ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

    Источники


    1. Макаров, Ю.Я. Рассмотрение мировыми судьями уголовных дел / Ю.Я. Макаров. — Москва: ИЛ, 2015. — 302 c.

    2. Скворцова, М.В. Англо-русский словарь сокращений. Бизнес, банки, финансы, статистика, экономика, юриспруденция / М.В. Скворцова. — М.: Филоматис, 2014. — 527 c.

    3. История политических и правовых учений / В.Г. Графский и др. — М.: Норма, 2003. — 944 c.
    4. Радько, Т. Н. Теория государства и права / Т.Н. Радько. — М.: Академический проект, 2005. — 720 c.
    5. Аношко, В. С. История и методология почвоведения / В.С. Аношко. — М.: Вышэйшая школа, 2013. — 340 c.
    Работа с персональными данными клиентов
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here