Повторные продажи товаров и услуг требуют меньше вложений, чем привлечение новых покупателей. Поэтому предприниматели стараются вести базы клиентов, в которых хранят их контакты: телефоны, адреса электронной почты, имена и другое. Законодательство относит такую информацию к персональным данным и защищает ее. Если нужна клиентская база, но не хочется проблем с законом, читайте эту статью.
Основные термины
Обработка персональных данных (ПД) ─ это любые действия, связанные со сбором, записью, систематизацией, накоплением, хранением, уточнением, использованием, передачей, обезличиванием, блокированием, удалением, уничтожением ПД. Причем неважно, используется автоматизация при обработке информации или нет.
Примеры таких действий: сбор email-адресов, заполнение анкеты при выдаче бонусных карт, возможность комментирования на сайте только после того, как указана электронная почта.
Оператор персональных данных ─ организация, ИП и физическое лицо, которые определяют состав ПД, цели их обработки и перечень допустимых операций. Это значит, что все, кто собирает базы клиентов, относятся к операторам ПД, и должны соблюдать требования федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ.
Субъект обработки персональных данных ─ человек, информацию о котором обрабатывают.
ПД, разрешенные для распространения ─ это данные, доступ к которым предоставляют неограниченному кругу лиц, но только с согласия субъекта ПД. Термин введен с 1 марта 2021 года, подробности в этой статье.
Чтобы больше узнать про сбор и обработку персональных данных посмотрите наш бесплатный вебинар «5 ошибок владельца сайта по персональным данным».
Обязанности операторов персональных данных
- Хранить базы данных на серверах, находящихся на территории РФ и обеспечивать их безопасность.
- Назначить ответственного за организацию обработки ПД.
- Принимать меры для защиты собранных ПД от умышленного или случайного доступа к ним.
- Предоставлять владельцу ПД сведения о том, какая информация про него собрана.
- Сообщить в Роскомнадзор о намерении обрабатывать ПД.
- Взять у пользователя согласие на обработку ПД.
- Составить и разместить на сайте политику конфиденциальности ─ документ, в котором указаны цели сбора ПД.
Посмотрите видео, в котором я рассказываю об обработке ПД и необходимых документах.
Уведомление в Роскомнадзор и реестр операторов ПД
Организации, предприниматели и физические лица должны подать Уведомление в Роскомнадзор до того, как начнут собирать базы клиентов. В документе должны быть указаны:
- название юрлица или ФИО физлица (ИП);
- ИНН;
- адрес;
- данные паспорта, если оператор ─ физическое лицо или ИП;
- основной государственный регистрационный номер (ОГРН) для юрлиц;
- цели обработки ПД и их необходимость для деятельности оператора ПД;
- категории ПД ─ общедоступные (ФИО, год и место рождения, адрес, телефон, email и другие), их обычно достаточно для бизнеса, специальные (например, национальность, политические и религиозные взгляды), биометрические и иные;
- категории субъектов, чьи ПД будут обрабатываться, например, работники, состоящие в трудовых отношениях, физические лица, с которыми заключены договора (заказчики, заемщики, абоненты и другие);
- нормативные документы, на основании которых обрабатываются ПД, в том числе лицензии для лицензируемых видов деятельности;
- способы обработки ПД ─ автоматизированный, неавтоматизированный, смешанный;
- предполагаемые меры для сохранности ПД;
- дата начала обработки ПД;
- срок или условия для прекращения обработки ПД;
- есть ли трансграничная передача данных;
- местонахождение баз данных.
Роскомнадзор упростил составление Уведомления и разместил у себя на сайте онлайн-форму, после его заполнения нужно сформировать документ, который надо распечатать, подписать и направить заказным письмом с описью вложения в территориальное отделение Роскомнадзора по месту регистрации оператора.
После того как компания, ИП или физлицо подаст Уведомление, Роскомнадзор включит его в реестр операторов ПД.
Если база покупателей уже собиралась какое-то время, но оператор не был включен в реестр, нужно подать Уведомление, чем раньше, тем лучше. Наказывать в этом случае Роскомнадзор не будет. Другое дело, когда зафиксировано, что обработка ПД ведется, а в реестре нет об этом информации. О последствиях мы недавно писали в этом материале.
Необязательно подавать Уведомление, если данные собираются только для того, чтобы выполнить условия договора. Например, для проведения скайп-консультации нужно знать имя заказчика, ник в скайпе и электронную почту для отправки отчета.
Но в подобных случаях могут быть сложности:
- с подтверждением того, что ПД нужны только для выполнения обязательств;
- если исполнитель использует ПД заказчиков не только в договорных отношениях, но еще для рассылки писем или в других целях.
У оператора персональных данных на сайте должны быть такие документы: политика конфиденциальности и согласие на обработку персональных данных. Это минимальный обязательный набор, но возможно, вашему сайту нужны и другие документы. Чтобы знать точно, пройдите тест из нескольких вопросов (кнопка для сайтов).
Если у вас образовательный проект, нажмите кнопку с вопросами для онлайн-школ.
Внимание!
Юристы «Право в сети» подготовят для вашего сайта с учетом особенностей вашей деятельности:
- Уведомление в Роскомнадзор;
- Согласие на обработку персональных данных;
- Политику конфиденциальности.
Оставьте заявку на бесплатную консультацию. Мы с вами свяжемся и в течение 15 минут ответим на вопросы.
Вы можете связаться с вами и другими способами:
- телефон +7 (920) 219-69-16;
- WhatsApp, Viber, Telegram +7 (950) 768-52-77;
- почта manager@lawinweb.ru;
- напишите ваш вопрос во всплывающем слева окне.
