Меню
Главная - Другое - Состав персональных данных клиента

Состав персональных данных клиента

Состав персональных данных клиента

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

(в ред. Федерального от 25.07.2011 N 261-ФЗ)(см. текст в предыдущей редакции)Перспективы и риски споров в суде общей юрисдикции.

Ситуации, связанные со ст. 3- Гражданин хочет признать незаконными (запретить) сбор и разглашение информации о его частной жизни, удалить ее- Работник требует признать незаконными действия работодателя по обработке (сбору, хранению, использованию, распространению и пр.) персональных данных В целях настоящего Федерального закона используются следующие основные понятия:1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);1.1) персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;(п. 1.1 введен Федеральным от 30.12.2020 N 519-ФЗ)2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;3) обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;4) автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;5) распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;6) предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;7) блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);8) уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;9) обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;10) информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;11) трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Открыть полный текст документа

Сбор персональных данных и подготовка документации для их обработки: как избежать типовых нарушений Закона № 152-ФЗ?

Анонсы 1 июня 2021 Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца. 16 июня 2021 Программа разработана совместно с АО «Сбербанк-АСТ».

Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

23 сентября 2020 Руководитель группы консалтинга Центра информационной безопасности компании «Инфосистемы Джет» специально для ГАРАНТ.РУ Последние несколько лет по всему миру наблюдается тенденция к увеличению штрафных санкций за несоответствие требованиям законодательства в области обработки и защиты персональных данных.

Например, с 2 декабря 2020 года в России был введен один из самых крупных штрафов в этой сфере – за нарушение требований к локализации баз данных при первичном сборе персональных данных ().

Его размеры для компаний варьируются от 1 млн до 6 млн руб.

за первое нарушение и от 6 млн до 18 млн руб. при повторном. Существенно возросли штрафы и в Евросоюзе, где последние два года действует Общий регламент по защите данных (General Data Protection Regulation, GDPR), который пришел на смену ранее принятой директиве о защите данных.

Так, согласно статистике, опубликованной на сайте www.itpro.co.uk, общая сумма штрафов для компаний, работающих на территории ЕС, за несоответствия требованиям GDPR с начала года составила 68 млн евро.

Более 66% этой суммы пришлось на компании из Италии, где было зафиксировано 13 случаев нарушения регламента. Неудивительно, что вопросы выполнения требований в части обработки и защиты персональных данных неизменно остаются одними из самых важных для компаний.

В колонке я выделю ключевые нарушения, которые допускаются при обработке персональных данных в России, и поделюсь рекомендациями, как их избежать. Как правило, основанием для обработки персональных данных служит либо требование законодательства РФ, либо согласие на обработку персональных данных. Как показывают результаты последних проверок Роскомнадзора – основного регулятора в области защиты персональных данных в России, одной из распространенных ошибок компаний является неправильная организация сбора данных.

Обычно проверяющие в этой области чаще всего фиксируют следующие типовые нарушения:

  1. объем обрабатываемых персональных данных не соответствует заявленной цели обработки;
  2. форма согласия не соответствует требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ (далее – Закон № 152-ФЗ).
  3. компании не всегда собирают все необходимые согласия на обработку персональных данных у субъектов персональных данных;

До начала сбора персональных данных в организации важно определиться с целью их обработки: именно от этого будет зависеть весь процесс обработки персональных данных. Далее для выбранной цели определяется объем собираемых данных и срок их обработки. С решением последнего вопроса поможет Приказ Росархива от 20 декабря 2020 г.

№ 236. Если же в нем не удастся найти необходимые документы, организация может определить срок обработки самостоятельно.

Самое важное мероприятие в организации сбора данных – это основание их обработки. Если объем персональных данных соответствует требованиям законодательства, в большинстве случаев получать дополнительное согласие не придется. Исключение составляют передача данных сторонним организациям, сбор дополнительных контактных данных для проведения маркетинговых мероприятий и другие случаи, оговоренные в нормативных актах.
Исключение составляют передача данных сторонним организациям, сбор дополнительных контактных данных для проведения маркетинговых мероприятий и другие случаи, оговоренные в нормативных актах.

Если же объем персональных данных не соответствует требованиям законодательства РФ, необходимо получить согласие на обработку данных. Существует несколько форм согласий: конклюдентное, письменное и иные (в форме галочки, по телефону и т.

д.). Самый строгий тип согласия – в письменной форме, в законодательстве даже прописаны все случаи, когда их нужно получать.

Среди них, например, обработка биометрических данных (), специальных категорий персональных данных () и т. п. Если же задача организации не попадает в список особых случаев, можно использовать согласие в другой форме.

По моему опыту сопровождения проверок, у каждой формы согласия есть свои плюсы и минусы: Конклюдентное согласие Согласие в письменной форме Иные формы согласия + Легко получить (за исключением случаев, когда нужно согласие в письменной форме) При разработке и получении формы согласия по требованиям законодательства РФ регулятору не требуются дополнительные доказательства Как правило, допускается Роскомнадзором, что подтверждается проверками ведомства (за исключением случаев, когда необходимо согласие в письменной форме) – Не предусматривает каких-либо подтверждений получения. Ввиду отсутствия подтверждений может рассматриваться Роскомнадзором как нарушение требований Закона № 152-ФЗ Форма согласия должна соответствовать требованиям ч. 4 ст. 9 Закона № 152-ФЗ Для каждой цели нужно получать отдельное согласие, т.к.

в ч. 4 ст. 9 Закона № 152-ФЗ «цель» указана в единственном числе Требуется сохранять подтверждение получения (например, лог-файл на сайте или запись телефонного звонка в случае обработки персональных данных) и доказывать факт наличия согласия при возникновении инцидента. Данные подтверждения могут храниться в течение длительного периода Представители Роскомнадзора, как правило, рекомендуют учитывать требования ч.
Данные подтверждения могут храниться в течение длительного периода Представители Роскомнадзора, как правило, рекомендуют учитывать требования ч.

4 ст. 9 Закона № 152-ФЗ

  • При сборе данных нужно использовать базу данных, размещенную на территории РФ.
  • Когда организация получает данные не напрямую от самого субъекта, нужно либо направить ему уведомление об этом (оно должно соответствовать ), либо запросить у него согласие на обработку персональных данных. Способ уведомления при этом определяется организацией-оператором обработки данных. Например, это может быть письмо по электронной почте или SMS-сообщение.
  • В случаях, не установленных законодательством РФ, необходимо получать согласие на передачу данных сторонним организациям. Оно может быть как отдельным, так и встроенным в общее (за исключением случаев, когда требуется согласие в письменной форме).

Подготовка к сбору персональных данных – один из важнейших этапов выстраивания процесса их обработки, а его правильная организация поможет избежать достаточно большого количества ошибок и, как следствие, штрафных санкций со стороны регулятора. Еще один широко распространенный и не менее важный вид нарушений связан с документацией в области обработки персональных данных.

Дело в том, что для полного соответствия требованиям и подзаконных актов организациям нужно иметь огромное количество документов, в иерархии которых не просто разобраться. Как показывают результаты проверок Роскомнадзора, компании допускают три основных нарушения в этой области:

  1. отсутствует большая часть необходимой документации;
  2. документация не актуализируется на постоянной основе (например, при изменениях процессов обработки персональных данных);
  3. не заполняются типовые формы документов (перечни, журналы и др.) в соответствии с внутренней документацией организации.

Как же сформировать полный комплект документов, чтобы пройти проверку без нареканий со стороны представителей регулятора? Работа с персональными данными в любой организации начинается с верхнеуровневого документа, определяющего общие требования, то есть политики.

При ее разработке полезно изучить рекомендации Среди документов второго уровня в иерархии можно выделить следующие:

  • Методика оценки вреда субъектам персональных данных. По моей практике, компании крайне редко разрабатывают этот документ, хотя он необходим для успешного прохождения проверки Роскомнадзора;
  • Иные документы.
  • Регламент проведения внутренних проверок в части соблюдения требований и подзаконных актов в области обработки персональных данных;
  • Положение об обработке персональных данных. Его можно разработать как отдельно для работников и остальных субъектов данных, так и в виде единого документа. Я рекомендую выбирать второй вариант и не забывать, что с документом нужно ознакомить каждого работника под подпись;
  • Регламент обработки обращений от субъектов персональных данных / Роскомнадзора;

Для наглядности иерархическая структура необходимых документов представлена на схеме:

Рис.

Иерархическая верхнеуровневая схема документов оператора персональных данных Список внушительный, не говоря о том, что в этой колонке я не рассматриваю документы по защите персональных данных по требованиям ФСТЭК и ФСБ России.

Но и это еще не все: организациям, в которых планируется проверка Роскомнадзора, также следует обратить внимание на подготовку справок по различным вопросам.

Например, это может быть информация по обработке данных уволенных работников, справка об обработке биометрических данных и не только. Например, в моей практике был случай, когда компании пришлось подготовить суммарно порядка 200 справок по разным вопросам обработки персональных данных.

Так что этот вопрос лучше продумать заранее. При сборе персональных данных важно правильно организовать процесс с самого начала, чтобы в ходе проверок избежать предписаний от Роскомнадзора за такие распространенные нарушения, как отсутствие согласия на форме обратной связи или отсутствие всплывающего баннера в случаях, когда компания использует cookie-файлы посетителей сайта.

В настоящий момент планируются изменения в , которые прояснят многие неоднозначные моменты в нормативных требованиях к защите персональных данных. Например, сейчас на рассмотрении в Госдуме находится законопроект, разрешающий получать одно согласие в письменной форме сразу для нескольких целей обработки персональных данных, что не предусмотрено положениями действующего закона. Кроме того, Роскомнадзор планирует разработать методические рекомендации по обезличиванию данных для коммерческих компаний.

Сегодня подобный документ действует только для государственных организаций, что вызывает большое количество вопросов со стороны бизнеса.

Тем не менее важно понимать, что даже в случае принятия этих поправок к положениям останется немало открытых вопросов, что требует уделять повышенное внимание к выстраиванию процессов обработки Пдн.

_____________________________ С текстом законопроекта № 992331-7 «О внесении изменений в Федеральный закон «О персональных данных»» и материалами к нему можно ознакомиться на официальном сайте Госдумы. Теги: , , , , , , , , , , , , , Документы по теме:

  1. Федеральный закон от 27 июля 2006 г. № 152-ФЗ
  2. Приказ Росархива от 20 декабря 2020 г. № 236

Читайте также: В целях реализации экспериментальных правовых режимов предлагается вывести некоторые положения о персональных данных из-под законодательного регулирования.

По данным экспертов, спрос на услуги телемедицины в период пандемии вырос на 177%. Обновленный перечень будет применяться с 1 ноября. Такое исключение предусмотрено в законодательстве об обработке персональных данных.

© ООО «НПП «ГАРАНТ-СЕРВИС», 2021. Система ГАРАНТ выпускается с 1990 года.

Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Все права на материалы сайта ГАРАНТ.РУ принадлежат ООО «НПП «ГАРАНТ-СЕРВИС». Полное или частичное воспроизведение материалов возможно только по письменному разрешению правообладателя. Портал ГАРАНТ.РУ зарегистрирован в качестве сетевого издания Федеральной службой по надзору в сфере связи,информационных технологий и массовых коммуникаций (Роскомнадзором), Эл № ФС77-58365 от 18 июня 2014 года.
Портал ГАРАНТ.РУ зарегистрирован в качестве сетевого издания Федеральной службой по надзору в сфере связи,информационных технологий и массовых коммуникаций (Роскомнадзором), Эл № ФС77-58365 от 18 июня 2014 года. ООО «НПП «ГАРАНТ-СЕРВИС», 119234, г.

Москва, ул. Ленинские горы, д. 1, стр. 77, . 8-800-200-88-88 (бесплатный междугородный звонок) Редакция: +7 (495) 647-62-38 (доб.

3145), Отдел рекламы: +7 (495) 647-62-38 (доб. 3136), . Реклама на портале. Если вы заметили опечатку в тексте,выделите ее и нажмите Ctrl+Enter

Положение о персональных данных

ПОЛОЖЕНИЕо персональных данных клиентов ООО «ВЕТЦ»

  • ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение устанавливает порядок получения, учета, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным (далее ПД) клиентов ООО «ВЕТЦ» (далее Общества).

Под клиентами подразумеваются лица, которым Общество оказывает услуги.1.2.

Цель настоящего Положения – защита ПД клиентов Общества от несанкционированного доступа и разглашения. ПД всегда являются конфиденциальной, строго охраняемой информацией.1.3. Основанием для разработки настоящего Положения являются Конституция РФ, Федеральный Закон «О персональных данных», с изменениями, вступившими в силу, другие действующие нормативно-правовые акты РФ.1.4.

Настоящее Положение и изменения к нему утверждаются директором Общества и вводятся приказом по предприятию.

  • ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1.

Под ПД клиентов понимается информация необходимая Обществу и его сотрудникам для оказания должных услуг.Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)Состав персональных данных клиентов:– Ф.И.О.– номер телефона– e-mail– адрес места жительства2.2.

Данный состав данных является конфиденциальными. Режим конфиденциальности ПД снимается в случаях обезличивания, в отношении общедоступных персональных данных или по истечении установленного федеральным законом сроков хранения документов, относящихся к персональным данным клиента.2.3. В целях информационного обеспечения могут создаваться источники ПД (справочники).2.4.

Сведения о клиенте могут быть в любое время исключены из источников ПД по требованию клиента либо по решению суда или иных уполномоченных государственных органов.

  • ОБЯЗАННОСТИ ОБЩЕСТВА

3.1. В целях обеспечения прав и свобод человека и гражданина Общество и его представители при обработке ПД клиента обязаны соблюдать следующие общие требования:3.2. Обработка ПД клиента может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, а так же для формирования персональных скидочных предложений.3.3.

При определении объема и содержания, обрабатываемых ПД клиента Общество и его представители должны руководствоваться Конституцией РФ, Федеральным законом «О персональных данных» и иными федеральными законами.3.4. Все ПД клиента Общество получает в добровольном порядке, от воли клиента и его интересах, который даёт согласие на обработку, в том числе на сбор, систематизацию, накопление, хранение (уточнение, обновление, изменение), использование, передачу третьим лицам, обезличивание, блокирование и уничтожение его ПД – фамилии, имени, отчества, даты рождения, адреса, номера контактного телефона, адреса электронной почты Обществу с целью предоставления ему товаров и услуг.3.5. Общество не имеет права получать и обрабатывать ПД клиента о его политических, религиозных и иных убеждениях и частной жизни.3.6.

Защита ПД клиента от неправомерного их использования или утраты должна быть обеспечена Обществом за счет его средств в порядке, установленном федеральным законом.3.7.

Работники Общества и их представители должны быть ознакомлены под роспись с документами предприятия, устанавливающими порядок обработки ПД клиентов, а также об их правах и обязанностях в этой области.3.8. Работники не должны отказываться от своих прав на сохранение и защиту тайны.

  • ПРАВА КЛИЕНТА

4.1.

Клиент, ПД которого обрабатываются Обществом и его представителями, имеет право:– требовать от Общества уточнения своих ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;– отозвать свое согласие на обработку ПД в любой момент;– требовать устранения неправомерных действий Общества в отношении его ПД;– обжаловать действия или бездействие Компании в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если субъект ПД считает, что Компания осуществляет обработку его ПД с нарушением требований Закона или иным образом нарушает его права и свободы;– на защиту своих прав и законных интересов.4.2.
Клиент, ПД которого обрабатываются Обществом и его представителями, имеет право:– требовать от Общества уточнения своих ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;– отозвать свое согласие на обработку ПД в любой момент;– требовать устранения неправомерных действий Общества в отношении его ПД;– обжаловать действия или бездействие Компании в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если субъект ПД считает, что Компания осуществляет обработку его ПД с нарушением требований Закона или иным образом нарушает его права и свободы;– на защиту своих прав и законных интересов.4.2.

Общество и его представители в процессе обработки ПД обязано:– предоставлять клиенту по его запросу информацию, касающуюся обработки его ПД, либо на законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса от клиента или его представителя;– разъяснить клиенту юридические последствия отказа предоставить ПД, если предоставление данных является обязательным в соответствии с федеральным законом;– до начала обработки ПД (если данные получены не от клиента) предоставить клиенту следующую информацию, за исключением случаев, предусмотренных частью 4 статьи 18 Закона:1) наименование, либо фамилия, имя, отчество и адрес Общества или его представителя;2) цель обработки ПД и ее правовое основание;3) предполагаемые пользователи ПД;4) установленные Законом права клиента;5) источник получения ПД.– принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;– опубликовать в сети интернет на сайтах univet-clinic.ruи обеспечить неограниченный доступ с использованием сети интернет к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите данных;– осуществить блокирование неправомерно обрабатываемых ПД, относящихся к клиенту, или обеспечить их блокирование (если обработка ПД осуществляется другим лицом, действующим по поручению Общества) с момента обращения или получения запроса на период проверки, в случае выявления неправомерной обработки ПД при обращении клиента.– уточнить ПД, либо обеспечить их уточнение (если обработка данных осуществляется другим лицом, действующим по поручению Общества) в течение 7 рабочих дней со дня представления– сведений и снять блокирование ПД, в случае подтверждения факта неточности данных на основании сведений, представленных клиентом или его представителем;– прекратить неправомерную обработку ПД или обеспечить прекращение неправомерной обработки ПД лицом, действующим по поручению Общества, в случае выявления неправомерной обработки ПД, осуществляемой Обществом или лицом, действующим на основании договора с Обществом, в срок, не превышающий 3 рабочих дней, с даты этого выявления;– прекратить обработку ПД клиента или обеспечить ее прекращение (если обработка ПД осуществляется другим лицом, действующим по договору с Обществом) и уничтожить ПД или обеспечить их уничтожение (если обработка ПД осуществляется другим лицом, действующим по договору с Обществом) по достижению цели обработки ПД, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является клиент, в случае достижения цели обработки ПД;– прекратить обработку ПД клиента или обеспечить ее прекращение и уничтожить ПД или обеспечить их уничтожение в случае отзыва клиентом согласия на обработку ПД, если Общество не вправе осуществлять обработку данных без согласия клиента;

  • СБОР, ОБРАБОТКА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1.

Обработка ПД клиента – это получение, хранение, комбинирование, передача или любое другое использование ПД.5.2. Все ПД клиента следует получать у него самого. Если ПД клиента возможно получить только у третьей стороны, то клиент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.5.3.

Все ПД клиента Общество получает в добровольном порядке, от воли клиента и его интересах. Клиент даёт согласие на обработку, в том числе на сбор, систематизацию, накопление, хранение (уточнение, обновление, изменение), использование, передачу третьим лицам, обезличивание, блокирование и уничтожение его персональных данных – фамилии, имени, отчества, даты рождения, адреса, номера контактного телефона, адреса электронной почты Обществу с целью предоставления ему товаров и услуг, включая, но не ограничиваясь: идентификацией участника в программе лояльности, осуществление доставки, распространения информационных и рекламных сообщений (по SMS, электронной почте, телефону, иным средствам связи), получения обратной связи.

  • ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1.

При передаче ПД клиентов Общество должно соблюдать следующие требования:6.1.1.

не передавать ПД клиентов третьей стороне без письменного согласия клиентов, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральным законом;6.1.2.

не передавать ПД клиентов третьим лицам в коммерческих целях, без его письменного согласия;6.1.3. предупреждать третьих лиц, получающих ПД клиентов, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

Лица, получающие ПД клиентов, обязаны соблюдать конфиденциальность.6.1.4.

разрешать доступ к ПД клиентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПД, которые необходимы для выполнения конкретных функций;

  • ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

7.1.

Внутренний доступ (доступ внутри предприятия).Доступ к ПД клиентов имеют:– директор Общества– иные сотрудники Общества, утвержденные приказом;– сами клиенты, носители данных.7.2. Внешний доступ.ПД вне организации могут представляться в государственные и негосударственные функциональные структуры в соответствии с законодательством:– налоговые инспекции;– правоохранительные органы;

  • ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1.

В целях обеспечения сохранности и конфиденциальности ПД клиентов Общества все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только уполномоченными работниками, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях.8.2.

Передача информации, содержащая сведения о ПД клиентов Общества без письменного согласия клиентов запрещается, за исключением случаев предусмотренных действующим законодательством РФ8.3. Информация, относящаяся к ПД клиентов хранится в электронном виде, в базе данных Общества. Доступ к электронной базе данных клиентов, обеспечивается двухфакторной системой авторизации: на уровне доменной учетной записи и на уровне баз данных.

Доступ в помещения, где установлено серверное и сетевое оборудование, ограничен и определяется должностными инструкциями работников.8.3.

Персональные компьютеры, в которых содержатся ПД, защищены паролями доступа.8.4. Ответственность по обеспечению технической защиты базы ПД лежит на генеральном директоре общества.8.6. Ответственность по контролю мер информационной безопасности лежит на генеральном директоре общества.

  • ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ, СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

9.1. Лица, имеющие доступ к ПД, подписывают Обязательство о неразглашении ПД клиентов.9.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПД, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

Особенности работы с персональными данными клиента

27 мая 2020 Сферу работы с персональными данными клиента контролирует ФЗ-152. Его цель – защита личных данных граждан, постановка требований к порядку их распространения и использования. Закон ввел необходимость получения согласия лица на использование данных, порядок их сбора, обработки и хранения, а также ответственность за нарушения.

При работе с персональными данными обязательно получить согласие клиента на обработку персональных данных, а также соблюдать конфиденциальность. Без согласия обрабатывать информацию можно только в крайних случаях, когда это нужно для защиты жизни, здоровья или других жизненно важных интересов клиента, если получение согласия невозможно.

Обработка персональных данных должна ограничиваться достижением конкретных и законных целей. Нельзя обрабатывать данные, которые несовместимы с целями сбора.

Рекомендуем прочесть:  Приказы для ос скачать

Нельзя объединять базы данных, которые содержат информацию для разных целей, несовместимых друг с другом. Персональные данные не должны быть избыточными по отношению к целям. Нужно обеспечить точность, достаточность и актуальность персональных данных к целям обработки.

Оператор должен удалять или уточнять неполную или неточную информацию сам или обратиться с поручением. Хранить данные нужно в форме, которая позволит идентифицировать клиента не дольше, чем этого требуют цели обработки, если срок хранения не установлен федеральным законом, договором, где одна из сторон — клиент. Обрабатываемые персональные данные уничтожают или обезличивают, когда цели сбора достигнуты или в случае потери необходимости.

Лицо, которое обрабатывает персональные данные по поручению оператора, не обязано получать согласие клиента на обработку его персональных данных. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед клиентом за действия лица несет оператор.

Лицо, которое обрабатывает персональные данные по поручению оператора, несет ответственность перед оператором. Оператор обязан проинформировать клиента о наличии персональных данных, относящихся к нему, и дать возможность ознакомиться с персональными данными при обращении в течение тридцати дней с даты получения запроса клиента. Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия клиента, если иное не предусмотрено законом.

При незаконной обработке оператор по первому требованию обязан прекратить обработку, а, при обнаружении неточностей – исправить. Сведения о клиенте должны быть в любое время исключены из общедоступных источников по его требованию или по решению суда или иных уполномоченных государственных органов.

Клиент принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

Согласие может быть дано клиентом или его представителем.

В случае получения согласия от представителя, его полномочия должен проверить оператор. Согласие подтверждается в письменной форме на бумажном носителе или в форме электронного документа, подписанного электронной подписью.

  1. при обработке данных физическими лицами только для личных и семейных целей, если при этом не нарушаются права субъектов персональных данных;
  2. при хранении, комплектовании, учете и использовании документов с персональными данными Архивным фондом РФ и других архивных документов;
  3. при обработке персональных данных, составляющих государственную тайну.

Детально ознакомиться с правами оператора и клиента можно здесь НовостиПерсональные данныеПоправки к законам

Персональные данные клиентов: правда и домыслы о хранении и обработке

Персональные данные клиентов – словосочетание, которое пугает многих владельцев интернет-магазинов своей официозностью и той тревожной аурой, которую навевает на него 152-ФЗ «О персональных данных». Так, за неправильное хранение, за разглашение, передачу положены грабительские штрафы.

Штрафы действительно предусмотрены, но не вся та информация, которая хранится на сайтах интернет-магазинов, является персональными данными клиентов.

О заблуждениях, правилах обработки и хранения ПД мы поговорим далее.

152-ФЗ «О персональных данных» от 27 июля 2006 г.— это основной документ, регламентирующий все отношения, связанные с обработкой персональных данных. Для более глубокого понимания давайте рассмотрим конкретную ситуацию. У интернет-магазина есть свои клиенты, ПД которых хранятся в «облаке» сторонней организации.

Также эту базу использует в работе маркетинговое агентство. Здесь всего один оператор ПД.

Им является непосредственно интернет-магазин, который ставит конкретную задачу исполнителю, то есть агентству. А вот обработчиков ПД в данном случае будет два: это организация, в облаке которой находится база данных интернет-магазина, и маркетинговое агентство.

Так как сейчас мы не представляем своей жизни без интернета, то свои ПД (электронные адреса, ФИО, номера телефонов, ИНН и др.) мы оставляем, посещая различные сайты.

Также во всех организациях, с которыми нам приходится взаимодействовать в течение жизни, ведется обработка наших ПД (образовательные учреждения, банки и пр.).

Но как и где именно это происходит? Существуют различные методы, с помощью которых можно обеспечить защиту данных:

  • Различные нормативные документы (положения, правила и инструкции), регламентирующие обработку ПД в организации, считаются административными методами.
  • К техническим методам относятся специализированные средства защиты информации;
  • Сигнализация в помещении банка, система видеонаблюдения и пропускной режим в кабинете, где стоят компьютеры — все это является физическими методами;

Защитить ПД конкретного человека можно с помощью его обезличивания.

То есть когда человек, например, обращается в банк с заявкой на выдачу кредита, ему присваивается идентификационный номер. За счет того, что сам по себе набор цифр не является информацией, относящейся к ПД, лицо, которое таким образом зашифровано, невозможно определить. Данная тема давно обросла слухами, и эта информация, к сожалению, не всегда оказывается достоверной.

Основные правила, регулирующие обработку ПД, остаются без изменений с момента вступления в силу поправок в КоАП РФ, которыми была ужесточена ответственность за нарушение законодательных норм.

Суммы штрафов стали более существенными — до 75 000 руб., кроме этого введены новые составы правонарушений. Конечно, штрафы, предусмотренные для юридических лиц, гораздо серьезнее, чем для физических.

75 000 руб. — это максимальный размер штрафа, установленный для компаний за совершение одного из семи нарушений.

В других случаях он составляет от 30 000 до 50 000 руб. Штрафные санкции, определенные законом за совершение нескольких составов правонарушений, частично могут суммироваться.

К возможным нарушениям отнесены:

  1. Обработка ПД в непредусмотренных законом случаях или противоречащая целям сбора ПД;
  2. Обработка ПД без письменного согласия субъекта;
  3. Лицо не исполнило свою обязанность по публикации политики по обработке ПД.

Те, кто не вникает в суть данного вопроса и делает заключения на основании поверхностных знаний, как правило, заблуждаются сами и дезинформируют других. Давайте более серьезно подойдем к данной теме и ознакомимся с самыми распространенными мифами о ПД. Заблуждение № 1: Любые сведения о физическом лице считаются ПД Если не вникать в суть вопроса, то так оно и есть.

Обратимся к норме Закона (ч.1 ст.3 ФЗ «О ПД»): «Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».

Но если перенести эту формулировку в реалии жизни, то персональными будут признаны только те данные, по которым легко можно идентифицировать человека.

Например, по адресу электронной почты или телефонному номеру вам вряд ли удастся установить конкретное лицо.

Отсюда и вывод: если по имеющимся сведениям нельзя вычислить безошибочно гражданина, то они не являются ПД.

В случае если анкета обратной связи не предусматривает указание кроме телефонного номера и адреса электронной почты иных сведений, по которым можно без труда определить конкретного пользователя, то данная информация не считается ПД.

Даже если в ней указывается имя человека, это также не превратит ее в ПД, так как по нему нельзя идентифицировать физическое лицо.

В соответствии с ч.1 ст. 19 Гражданского кодекса РФ

«Гражданин приобретает и осуществляет права и обязанности под своим именем, включающим фамилию и собственно имя, а также отчество, если иное не вытекает из закона или национального обычая»

.

Для наступления юридических последствий на основании нормы закона не достаточно указание имени. Кроме него необходимы фамилия и отчество. Та же ситуация и с данными об IP адресе, cookie и др., которые автоматически собираются во время посещения нами различных сайтов.

Все это не относится к ПД без прохождения полной идентификации личности. Заблуждение № 2: Оператором по обработке ПД считается лицо, осуществляющее их обработку Вновь обратимся к ФЗ «О персональных данных».

На основании ч.2 ст.3

«Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными»

.

Но имеются исключения из этого правила, о чем свидетельствует норма, прописанная в ч.3 ст.6 вышеуказанного закона:

«Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора»

. Их мы не считаем операторами ПД по причине того, что они не устанавливают цель, состав и действия, совершаемые с ПД.

К ним в реальности относятся организации, которые получают определенный заказ от клиента на обработку, хранение ПД или выполнение иной задачи.

Ими могут быть, к примеру, консалтинговые или сервисные компании.

Обязанностью непосредственно самого клиента является получение разрешения от субъекта ПД на их обработку и совершение иных действий с ними.

Не торопитесь сразу относить себя к числу операторов ПД.

Может быть такое, что вы получили эти данные от оператора, а не от самого субъекта ПД. Заблуждение № 3: Обязанностью всех сайтов является размещение Политики конфиденциальности На самом деле в ФЗ «О Персональных данных» мы можем увидеть норму, которая вводит обязанность публикации Политики конфиденциальности. А именно, это прописано в ч.2 ст.18.1.:

«Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети»

.

Но опять же стоит помнить о некоторых исключениях:

  • Как уже было оговорено в заблуждении № 1, не все данные о физ. лице относятся к персональным.
  • Эти правила распространяются исключительно на лицо, которое выполняет обработку ПД по поручению оператора (вернитесь к заблуждению № 2).
  • В ФЗ «О Персональных данных» нет норм, закрепляющих за частными лицами или ИП обязанность издавать документы и локальные нормативные акты, регулирующие вопросы обработки ПД. Пп.2 ч.1 ст.18.1 гласит, что это должны выполнять только юридические лица.

Заблуждение № 4: Для обработки ПД необходимо получить письменное согласие Несомненно, первым и обязательным условием для обработки ПД является согласие на это самого субъекта ПД. Об этом четко говорится в пп.1 ч.1 ст.6 ФЗ «О Персональных данных».

Но всегда ли для его получения стоит оформлять письменное разрешение с подписью субъекта ПД?

Существует несколько правил:

  1. Получение отдельного согласия не потребуется, если оператор производит свои действия по обработке ПД;
  2. Согласие не требуется лицу, выполняющему свои действия на основании поручения оператора ПД.
  3. Самим субъектом ПД либо по его просьбе доступ к ПД открыт неограниченному кругу лиц.
  4. В рамках исполнения договора с субъектом ПД;

То есть если вы заключаете пользовательское соглашение, то вам будет достаточно уведомить пользователя об обработке его ПД.

  1. Согласие может быть предоставлено оператору в другой форме.

Иными словами, если ФЗ не содержит ссылки на получение только письменного согласия, то существует несколько альтернативных форм, в которых оно может быть дано: переход по ссылке, направленной пользователю на электронную почту в момент регистрации в аккаунте, введение специального кода, отправленного в смс-сообщении.

  1. Письменное согласие может быть подписано электронной подписью в случае наличия последней.

Заблуждение № 5: Все без исключения операторы ПД должны быть внесены в реестр Роскомнадзора Исходя из этой нормы, большинство консультантов рекомендуют все же информировать Роскомнадзор.

Как указано в ч.1 ст.22 ФЗ,

«Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных»

.

Но не стоит забывать про исключения, прописанные в той же статье. Существуют основания, наличие которых освобождает оператора от необходимости информировать Роскомнадзор.

Не уведомляя соответствующие органы, оператор может совершить обработку следующих ПД:

  • «Сделанных субъектом персональных данных общедоступными» (пп.4 ч.2 ст.22).
  • «Полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных» (пп.2 ч.2 ст.22);

Если вы все же встали на учет в Роскомнадзор, то будьте готовы к детальному анализу всех внутренних нормативных документов вашей компании и постарайтесь обеспечить их фактическое выполнение, иначе привлечения к административной или даже уголовной ответственности вам не избежать!