Хранение персональных данных

Хранение персональных данных работников

Специальное нормативное положение, в котором определяются правила по распоряжению личной информацией сотрудников работодателем, предусматривает соблюдение определенных требований:

  • конкретная форма, в которой хранятся личные данные сотрудников, должна соответствовать всем требованиям и полностью идентифицировать субъекта личной информации;
  • срок сохранения информации не должен превышать времени, которого будет достаточно для воплощения целей, в соответствии с которой требуется обработка;
  • данные необходимо уничтожать непосредственно после достижения всех целей, для которых была организована обработка информации;
  • информация должна быть удалена в случае отсутствия необходимости дальнейшей обработки и использования данных.

Обработка, передача и защита личных сведений сотрудников поручается ответственному оператору, который должен соблюдать все правила и специальное законодательное положение. Если же по каким-либо причинам должностное лицо не может самостоятельно выполнять свои прямые обязанности, то он должен поручить обработку и защиту информационных данных иному сотруднику на основании официально заключенного договора.

Важнейшим условием данного документа является указание специальной обязанности, в соответствии с которой обеспечивается обработка, передача и защита личной информации при соблюдении конфиденциальности и полной безопасности.

Кто имеет право обрабатывать и использовать персональные данные

Должностные лица, которые сталкиваются с обработкой и сохранением личной информации сотрудников, должны исполнять специальное положение. Подобные документы и правила составляются работодателем, а также чаще всего издаются в форме должностных инструкций, коллективных и индивидуальных трудовых договоров и др.

Положение или распоряжение включает правила защиты данных сотрудников, устанавливает перечень лиц, которым подлежит обработка и эксплуатация информации, срок обработки, основания и условия предоставления информации и др.

Хранение и использование личной информации сотрудников входит в компетенцию должностных лиц, которые назначаются непосредственно работодателем. В обязанности данных граждан входит соблюдение всех норм по обработке и распоряжению личными данными подчиненных. Законодательными актами регламентируется срок, правила, а также перечень лиц на руководящих должностях, которые должны работать с личной информацией сотрудников:

  • главный специалист, который занимается защитой данных;
  • заместитель директора, в обязанности которого входит администрирование персоналом;
  • менеджер по управлению персоналом;
  • начальных отдела кадров.

На предприятиях и в компаниях обработка и сохранение личной информации также поручается рядовым работникам, например, бухгалтерам, инженерам по защите информации, управлению и подготовке кадров, документоводам, специалистам по защите данных и др.

Рядовые исполнительные должностные лица также сталкиваются с использованием и защитой информации в процессе выполнения своих обязанностей, например, секретари, референты, инспекторы и др., которые принимают заявления и различные документы.

Срок хранения

Специальное положение о сохранении и защите личной информации регламентирует срок, в пределах которого допускается использование и хранение личных данных. Соответственно, трудовые книжки и дубликаты, которые не были забраны или в случае смерти работников, размещаются в активах предприятиях на срок до востребования. Если же такие документы относятся к классу невостребованных бумаг, то они размещаются в архивах компаний на срок не менее пятидесяти лет.

Положение, в котором определяется специфика индивидуального учета в системе пенсионного страхования, устанавливает срок сохранения личных данных граждан работниками государственного пенсионного фонда. Срок хранения таких бумаг составляет не менее шести лет. Данные документы должны соответствовать следующим требованиям:

  • содержать в себе какие-либо данные об индивидуальном счете лица, которое застраховано программой социального страхования;
  • быть оформлены в установленной письменной форме и заверены соответствующими подписями граждан;
  • быть представлены в электронной форме, так как юридическая сила таких документов должна подтверждаться электронной цифровой подписью, при условии соблюдения законной процедуры подписания;
  • содержать в себе данные о всех страховых взносах лиц и страховом стаже граждан;
  • предоставляться работодателями в государственные заведения по пенсионному страхованию с целью индивидуального учета граждан в общей системе обязательного страхования для предоставления социальных пенсий.

Иные документы, которые содержат в себе данные о пенсионном страховании, хранятся в архивах пенсионных учреждений не мене трех лет. Соответствующие документы подлежат уничтожению, когда срок их хранения истекает.

В таком случае уничтожение бумаг возможно исключительно после факта ознакомления застрахованным лицом со всеми данными о лицевом счете и страховом стаже.

Акты, в которых указываются случаи расследований профессиональных заболеваний должны храниться не менее 75 лет в активах государственного учреждения, которое специализируется на санитарно-эпидемиологическом надзоре и вело дело о расследовании конкретного происшествия. Работодатели должны хранить следующие документы на протяжении 45 лет с копиями и материалами расследования:

  • акты о несчастных случаях на производстве;
  • акты о несчастных случаях, которые касаются группы лиц;
  • документы о расследовании тяжелого несчастного случая;
  • бумаги о несчастных случаях сл смертельным исходом и др.

4. Передача персональных данных

4.1. При передаче персональных данных субъекта оператор обязан соблюдать следующие требования:

— передача персональных данных субъектов не допускается без письменного согласия субъекта, за исключением случаев, установленных федеральными законами. В случае, если лицо, обратившееся с запросом, не обладает соответствующими полномочиями на получение персональных данных субъекта, либо отсутствует письменное согласие субъекта на передачу его персональных данных, Министерство вправе отказать в предоставлении персональных данных. В этом случае лицу, обратившемуся с запросом, направляется письменный мотивированный отказ в предоставлении запрашиваемой информации;

— предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать требования конфиденциальности;

— все сведения о передаче персональных данных субъекта регистрируются в целях контроля правомерности использования данной информации лицами, ее получившими. Регистрации подлежат сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также отмечается, какая именно информация была передана.

4.2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

4.3. Внутренний доступ (доступ внутри организации) к персональным данным субъекта. Право доступа к персональным данным субъекта имеют работники в соответствии с разграничением прав доступа к обрабатываемым персональным данным.

4.4. Все сотрудники, имеющие доступ к персональным данным субъектов, обязаны подписать соглашение о неразглашении персональных данных.

4.5. К числу массовых потребителей персональных данных вне учреждения относятся государственные и негосударственные функциональные структуры: налоговые инспекции; правоохранительные органы; органы статистики; страховые агентства; военкоматы; органы социального страхования; пенсионные фонды; подразделения федеральных, областных и муниципальных органов управления. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.

4.6. Организации, в которые субъект может осуществлять перечисления денежных средств (страховые Общества, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения) могут получить доступ к персональным данным субъекта только в случае его письменного разрешения.

Не всю информацию о человеке и его жизни можно распространять и публиковать в открытых источниках. С самого начала интернет-экспансии границы стираются и данные, которые должны передаваться только с разрешения человека, у него буквально «воруют». Рассмотрим детальнее, что такое персональные данные, что включает в себя это понятие, как хранятся данные с пометкой «ПД», что грозит за нарушение закона и несанкционированное распространение личной информации?

Нормативная база

Перечень законов о персональных данных:

  • Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации;
  • Указ Президента Российской Федерации от 03 апреля 1995 г. N 334;
  • Указ Президента Российской Федерации от 17 марта 2008 г. N 351;
  • Постановление Правительства РФ от 26.06.1995 О сертификации средств защиты информации N 608;
  • Постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781 г. Москва “Об утверждении Положения об обеспечении безопасности личных данных при их обработке в информационных структурах персональных данных;
  • ГОСТы по информационной безопасности и защите информации;
  • ГОСТ Р 34.10-2001 Информационная технология. Криптографическая защита информации;
  • ГОСТ Р ИСО 7498-2-99 Информационная технология. Архитектура защиты информации;
  • ГОСТ Р 50739-95 Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования;
  • ГОСТ Р 50922-96 Защита информации. Основные термины и определения;
  • ГОСТ Р 52069.0-2003 Защита информации. Система стандартов. Основные положения.;
  • ГОСТ 28147-89 Системы обработки информации.

Федеральный закон “О персональных данных” можно скачать здесь:

Классификация персональных данных

Согласно Федеральному закону «О персональных данных» это любая информация, которая прямо или косвенно относится к жизни субъекта. Что относится к персональным данным:

  1. имя;
  2. фамилия и паспортные данные;
  3. место и дата рождения;
  4. адрес прописки либо проживания;
  5. семейное положение;
  6. информация о доходах и задолженностях;
  7. специальность, профессия,
  8. информация о занятости;
  9. доходы.

Сюда так же может относиться информация о социальных связях, контактах, личной жизни, покупках гражданина либо членов его семьи.

Согласно, части 1, статьи 85 ГК РФ, к личной информации работника предприятия относится вся информация, необходимая руководителю для регулирования всех трудовых процессов, связанных с конкретным работником.

Номер телефона является персональной информацией в РФ, так, как он привязан к паспортным данным.

Общие ПД

К общим данным можно отнести те, которые находятся “на поверхности”. Общедоступные персональные данные – это имя, которое можно увидеть на бейджике сотрудника компании, его номер телефона в анкете на сайте, специальность и должность. Если человек сам распространяет данные, которые не относятся к разделу “Общие”, это не даёт права гражданам распоряжаться ими или публиковать в открытых источниках.

Биометрические ПД

Сюда относится вес, рост, цвет волос и глаз, отпечатки пальцев, национальность, особые приметы. Эти данные используются сотрудниками спецслужб для создания ориентировок и поиска преступников в базах данных.

Полиция и правоохранительные органы не имеют права снимать у граждан отпечатки пальцев без веской причины и заносить их информацию в базу данных.

Специальные ПД

Сюда относится расовая и национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни. Распространение этой информации не допускается, за исключением случаев, предусмотренных частью 2 ФЗ-152.

Никакие обстоятельства не обязывают гражданина разглашать эти данные сотрудникам полиции или публично. В данной просьбе можно отказать на законных обстоятельствах.

Обезличенные ПД

Это те данные, принадлежность которых невозможно установить. Обезличивание – процесс “отчуждения” данных, который делает личную информацию публичной.

Пример: В организации работают 2 сотрудника – мужчина и женщина. Мужчина соблюдает дресс-код, а женщина носит паранджу. Если работодатель подаст статистику о количестве верующих и/или религиозных людей, а конкретно – один атеист, один верующий, вычислить кто есть кто будет просто.

Такой топорный пример не является прямым нарушением закона, тем не менее передаёт личные данные (а вдобавок, специальные) третьим лицам.

Обработка персональных данных

Защита персональной информации может обеспечиваться несколькими источниками права:

  • Первым источником защиты является ТК РФ, в котором закреплены гарантии, нормы, правила регуляции обмена и открытой публикации материалов работника;
  • Вторым источником является система организационно-правовых отношений, устав предприятия, политика конфиденциальности, общепринятая в данной трудовой сфере;
  • Третьим фактором служит право на защиту личной информации, гарантированное Конституцией РФ каждому её гражданину.

Обмен информацией и использование персональных данных возникают на протяжении всего рабочего процесса, между работодателем и сотрудником, между сотрудниками, а также третьими лицами. Высший приоритет в урегулировании конфликтных ситуаций имеет Трудовой Кодекс Российской Федерации, за ним идёт уставо-правовые нормы организации, а потом уже право на защиту, гарантированное Конституцией РФ. Работодатель не может просто так требовать от сотрудника предоставить информацию. Оглашению подлежит лишь та информация, которая необходима для заключения трудового договора, оформления нормативных документов, возможного урегулирования конфликтных и спорных ситуаций, коллективного или корпоративного договора с третьими лицами (согласно тексту ст. 22 ТК РФ).

Способы защиты личной информации и предохранительные меры

Организационные:

  • Ограниченный доступ к хранилищам и архивам материалов;
  • Верификация запрашивающего лица перед предоставлением информации;
  • Ознакомительный формат предоставления сведений;
  • Санкции и штрафы за нарушения правил.

Технические:

  • Криптография и шифрование данных;
  • Создание отдельных серверов и каналов связи;
  • Уничтожение неактуальных материалов;
  • Экранировка помещений и устройств, для защиты от взлома.

Право на защиту персональной информации работник может реализовать через:

  • Свободное бесплатное обращение к документам, где фигурируют его личные данные (может потребовать копию любого нормативного документа).
  • Требование по отношению к работодателю, заключающееся в удалении или изменении персональных данных, либо их части.
  • Путём обжалования процедуры подачи, обработки и публикации сведений, организацией.

Пошаговая инструкция по защите данных в организации:

  • Разработка проекта алгоритма обработки персональных сведений;
  • Разработка системы согласия и отказа на обработку личных материалов;
  • Разработка проекта уведомительных сообщений о включении личных материалов в общий поток;
  • Проектирование структуры, обязующейся сохранять информацию с ограниченным доступом;
  • Издательство приказа о введении материалов работников предприятия в базу данных, определение порядка и способа обработки и передачи информации, назначение ответственных, обозначение санкций и штрафов за нарушение устава;
  • Внесение изменений или дополнений в трудовые и должностные инструкции работников, которые ответственны за хранение, предоставление и обработку личных сведений.

В интернете, как и других открытых источниках, также хранятся и обрабатываются данные пользователей. С 2017 года сайты, которые используют технологию cookie, обязаны оповещать пользователей об этом. Эта технология позволит показывать релевантную рекламу, оптимизировать процесс работы, ускорить технические алгоритмы. Тем не менее, они собирают данные о гражданах:

  • историю посещений;
  • ссылки и переходы (сайт видит, с какой страницы пользователь на неё попал);
  • какие аккаунты привязаны к учётной записи (если авторизоваться на сайте при помощи профиля в социальной сети);
  • поисковые запросы (не только на конкретном ресурсе. Google, Yandex и прочие техно-гиганты собирают всю информацию а пользователях).

Сбор, хранение и обработка данных происходит в обязательном порядке. Если пользователь против – нужно покинуть ресурс, который собирает информацию. Продолжая работу с сайтом, пользователь даёт своё согласие на сбор данных.

Хранение и использование персональных данных: 3 опасных мифа

Некорректное обращение с личной информацией клиента может привести компанию к солидным штрафам. Именно поэтому эксперты рекомендуют удостовериться, что в случае судебного процесса вы сможете доказать получение согласия клиента на использование его персональных данных. Три страшных мифа о личной информации клиентов – в нашей статье.

Фото: Shutterstock

Елена Денисова, руководитель коммерческой практики, CLIFF В этой статье вы прочитаете:

  • Как хранить и использовать персональные данные, чтобы не попасть под суд
  • Как разработать локальные нормативные акты по защите персональных данных

Хранение и использование персональных данных часто является головной болью коммерсантов. Ведь каждая компания, занимающаяся онлайн-торговлей, собирает данные о своих клиентах, не задумываясь о том, что желание лучше узнать потребителя может обернуться для нее судом и штрафами. Чтобы обезопасить организацию, необходимо принять разумные меры предосторожности для защиты персональной информации.

Предприниматели зачастую считают, что на проблему использования персональных данных работника можно не обращать внимания: «Может, стоит забыть об этом, а что? Про суды не слышал… Штрафы небольшие», или «А может, мы и не собираем данные?», или «У нас же интернет в России вроде бы не урегулирован и не отслеживается». Это недальновидный подход, который означает готовность оставаться в «теневой сфере». Если вы заботитесь о себе, о репутации своей компании, проявите должную осмотрительность в данном вопросе. Итак, давайте развеем мифы и посмотрим, стоит ли так беспокоиться по этому поводу.

Миф первый. Интернет — зона, не регулируемая законами

Бизнесмены полагают, что вопросы хранения и использования персональных данных к интернету не относятся, ведь в Федеральном законе от 27.07.2006 №152‑ФЗ «О персональных данных» (далее — Закон) об этом прямо не говорится. Однако это не так. Указанный документ регулирует и интернет-торговлю, а также отношения, связанные с обработкой данных с помощью средств автоматизации (глоссарий). А значит, опасно размещать информацию о сотрудниках на корпоративном портале или о клиентах на сайте без их согласия.

При неаккуратном отношении к использованию персональных данных работников компании грозит штраф до 10 тыс. руб., ее директору — до 500 тыс. руб., а также тюремное заключение на срок до пяти лет и лишение права занимать определенные должности на тот же срок (ст. 13.11, 13.14, 19.7 КоАП; ст. 137, 140, 272 УК РФ). При этом наказание зависит от состава преступления и его тяжести.

  • Как сделать продающий сайт: ключевые особенности

Так, основанием для привлечения к ответственности может стать, например, жалоба клиента в Роскомнадзор. Именно этот орган занимается защитой прав субъектов персональных данных (п. 1 ст. 23 Закона и п. 1 Постановления Правительства РФ от 16.03.2009 №228). Кроме того, он уполномочен контролировать соблюдение требований Закона, блокировать или приостанавливать на неопределенный срок обработку данных.

Наконец, злоупотребление правами субъекта персональных данных может стать инструментом недобросовестной конкуренции, ведь массовые запросы и жалобы пользователей в контролирующие органы и проверки со стороны этих органов — как следствие таких жалоб — способны парализовать вашу работу. Недочетами и ошибками в ней могут воспользоваться в том числе недобросовестные конкуренты и рейдеры, «инициирующие» подобные жалобы физических лиц. Подают их с помощью электронных форм, размещенных на сайтах ведомств.

Глоссарий

Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор персональных данных — государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие ее цели, состав данных, подлежащих обработке, и совершаемые с ними операции.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных — обработка, которая производится с помощью средств вычислительной техники.

Распространение персональных данных — действия, направленные на их раскрытие неопределенному кругу лиц.

  • Договор на оказание услуг: типичные ошибки, образец

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или кругу лиц.

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для их уточнения).

Уничтожение персональных данных — действия, после которых невозможно восстановить данные в информационной системе и (или) материальные носители данных.

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Источник: ст. 3 Федерального закона №152‑ФЗ «О персональных данных»

Миф второй. Нарушать можно: штрафы незначительные

Иногда от проблемы хранения и использования персональных данных отмахиваются, потому что о судебных делах известно мало, а штрафы кажутся небольшими. На текущий момент Роскомнадзор активно реализует полномочия по судебной защите прав граждан, в том числе и неопределенного круга лиц. Еще в 2009 году в суды были направлены первые иски против интернет-сайтов, на которых были размещены без согласия на использование персональные данные работников.

Судебная практика по этим вопросам тогда отсутствовала. Только за 2014 год, по сведениям Роскомнадзора, в судебном порядке прекращена деятельность более 20 ресурсов в доменной зоне. RU, на которых были незаконно размещены персональные данные. Тогда удалось взыскать свыше 200 тыс. руб. штрафов, возбуждено 145 административных дел, по которым привлечены к ответственности 125 лиц. Все административные дела подведомственны мировым судьям, и факты привлечения к ответственности не слишком широко известны. Сейчас сумма наказания не так высока (максимум 10 тыс. руб. за каждое выявленное нарушение), но Роскомнадзор планирует повысить ее в 70 и более раз1.

За нарушение законодательства РФ о персональных данных в трудовых отношениях дополнительно предусмотрена дисциплинарная (подпункт «в» п. 6 ст. 81 ТК РФ), материальная (ст. 238 ТК РФ) и гражданско-правовая ответственность.

Миф третий. Сбор сведений — это всего лишь внимание к клиенту

Часто предприниматели считают, что не занимаются обработкой персональных данных, поскольку «просто собирают их, чтобы знать своего потребителя», или уверены в том, что интернет-сайт нельзя назвать инструментом автоматизированной обработки, а потому к ним это не относится. Однако согласно Закону оператором персональных данных является любое лицо (физическое, юридическое), которое организует и осуществляет обработку персональных данных, а также определяет цели сбора информации. Чтобы избежать проблем с хранением и использованием персональных данных и соблюсти требования Закона, нужно сделать следующее:

Определить, как, когда и в каком объеме вы получаете сведения о клиентах. Если вы не получаете никакой информации, по которой клиента можно идентифицировать (получаете только адрес электронной почты, не предлагая зарегистрироваться или оставить контактные данные, не получаете от своих покупателей никаких сведений — все происходит исключительно на условиях конфиденциальности), значит, вы не работаете с персональными данными. В остальных случаях вы подпадаете под все требования Закона.

  • Депремирование сотрудников: когда приступать к жестким мерам

Подумать, когда и при каких обстоятельствах потребуется получить согласие на использование его персональных данных. Оно необходимо как для осуществления торговых операций, так и для любой деятельности, направленной на продвижение товаров, работ или услуг на рынке с помощью прямого контакта с потребителем (SMS-сообщения, телефонные звонки, электронная рассылка и прочее). При этом доказать в случае споров, что согласие (в любой форме, не обязательно в письменной) было дано, обязан оператор, то есть ваша компания. Поэтому необходимо разработать правила сбора, обработки, хранения и уничтожения персональных данных, а также специальную форму согласия на эти действия (см. материал для скачивания). Однако согласие покупателя не требуется, если обработка данных осуществляется в целях исполнения договора, одной из сторон которого он является, то есть если информация используется лишь вашей компанией без передачи третьим лицам и только ради оформления сделки купли-продажи с клиентом.

Удостовериться, что получение согласия можно будет доказать. Просто разместить на сайте правила и форму согласия на использование персональных данных недостаточно, это не гарантирует защиты от претензий со стороны потребителя и контролирующих органов. Пока у вас в наличии не будет подписанного покупателем документа, из которого четко следует его согласие на обработку его персональных данных (а также виды и цели этой обработки), организация рискует быть привлеченной к ответственности. Разумеется, доказательством может выступать бумажная анкета с подписью клиента, но для интернет-торговли такой вариант непригоден.

  • Анализ конкурентной среды: как провести бизнес-разведку

По мнению Роскомнадзора, согласием на обработку персональных данных на сайте может являться файл электронной цифровой подписи. Кроме того, предложения оператора о продаже товара в отдельных случаях могут рассматриваться как публичная оферта. Таким образом, субъект персональных данных, соглашаясь на оферту в момент заказа или регистрации, фактически выражает свою волю и одобрение на обработку данных, предоставленных при заполнении заявки. По мнению судебных органов, на сайте желательно предусмотреть веб-метку, означающую согласие клиента с правилами и порядком обработки персональных данных (постановление ФАС СЗО от 13.12.2010 по делу №А56-73636/2009, постановление ФАС УО от 18.03.2010 по делу №Ф09-1736/10-С1, определение Мосгорсуда от 14.02.2011 по делу №33-2064).

Определите, нужно ли вам уведомлять Роскомнадзор. Если вы получаете персональные данные покупателя и при этом самостоятельно реализуете договор с клиентом (например, розничной купли-продажи), не передавая никому его личную информацию, то получать статус оператора обработки персональных данных не нужно. А вот согласие клиента на их обработку необходимо. Если же вы передаете информацию о клиенте третьим лицам (в том числе с целью исполнения договора — например, курьерской службе), то вам нужно и получать согласие на обработку данных, и иметь статус оператора, а кроме того, получать отдельное согласие на передачу персональных данных третьим лицам2.

Меры предосторожности

Чтобы обезопасить себя от конфликтов с потребителями и проверяющими органами, следует разработать и утвердить локальные нормативные акты, связанные как с технической, так и с организационной защитой персональных данных.

В них должны содержаться: обязательство об использовании и хранении персональных данных только с согласия покупателя; обязательство о неразглашении персональных данных покупателей; описание технических мер, которые принимает организация для защиты персональных данных покупателей; перечень лиц, имеющих доступ к базе данных покупателей; обязательство сообщать покупателю о целях и способах использования его персональных данных и использовать их сугубо по назначению и этими способами.

Также следует предупредить клиентов об ответственности за сообщение чужих персональных данных при регистрации или оформлении покупки (ответственность по ст. 137 УК РФ за незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия).

В правилах, описывающих порядок работы с персональными данными покупателей, надо указать, что это делается в целях выполнения их заказов, а продавец имеет право на использование, сбор, систематизацию, хранение, распространение, уничтожение, передачу персональных данных третьим лицам в соответствии с законодательством Российской Федерации. Такие правила всегда лучше создавать отдельно и размещать в свободном доступе.

1 http://pd.rkn.gov.ru/press-service/news3119.htm 2Образец формы уведомления об обработке персональных данных и методические рекомендации по ее заполнению размещены на официальном сайте Роскомнадзора www.rsoc.ru

Материалы для скачивания: Образец формы согласия на обработку персональных данных.docx 17 КБ

Информация об авторе и компании

Елена Денисова окончила Московский государственный открытый университет и Московский финансово-юридический университет. Специализируется в области коммерческого права, занимается решением задач, связанных с электронной коммерцей, включая судебную защиту ее субъектов. Обеспечивала юридическое сопровождение ряда стартапов в этой области.

CLIFF — группа компаний, оказывающая юридические услуги широкого спектра. Основана в 1994 году. Штат — более 50 юристов. Одна из первых компаний, которая занялась работой с проектами в сфере электронной коммерции — от разработки платежных систем до создания с нуля интернет-проектов разных направлений. Официальный сайт — www.cliff.ru

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *