Повторные продажи товаров и услуг требуют меньше вложений, чем привлечение новых покупателей. Поэтому предприниматели стараются вести базы клиентов, в которых хранят их контакты: телефоны, адреса электронной почты, имена и другое. Законодательство относит такую информацию к персональным данным и защищает ее. Если нужна клиентская база, но не хочется проблем с законом, читайте эту статью.
Основные термины
Обработка персональных данных (ПД) ─ это любые действия, связанные со сбором, записью, систематизацией, накоплением, хранением, уточнением, использованием, передачей, обезличиванием, блокированием, удалением, уничтожением ПД. Причем неважно, используется автоматизация при обработке информации или нет.
Примеры таких действий: сбор email-адресов, заполнение анкеты при выдаче бонусных карт, возможность комментирования на сайте только после того, как указана электронная почта.
Оператор персональных данных ─ организация, ИП и физическое лицо, которые определяют состав ПД, цели их обработки и перечень допустимых операций. Это значит, что все, кто собирает базы клиентов, относятся к операторам ПД, и должны соблюдать требования федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ.
Субъект обработки персональных данных ─ человек, информацию о котором обрабатывают.
Для того чтобы больше узнать про сбор и обработку персональных данных посмотрите наш бесплатный вебинар «5 ошибок владельца сайта по персональным данным».
ПД, разрешенные для распространения ─ это данные, доступ к которым предоставляют неограниченному кругу лиц, но только с согласия субъекта ПД. Термин введен с 1 марта 2021 года, подробности в этой статье.
Обязанности операторов персональных данных
- Хранить базы данных на серверах, находящихся на территории РФ и обеспечивать их безопасность.
- Назначить ответственного за организацию обработки ПД.
- Принимать меры для защиты собранных ПД от умышленного или случайного доступа к ним.
- Предоставлять владельцу ПД сведения о том, какая информация про него собрана.
- Сообщить в Роскомнадзор о намерении обрабатывать ПД.
- Взять у пользователя согласие на обработку ПД.
- Составить и разместить на сайте политику конфиденциальности ─ документ, в котором указаны цели сбора ПД.
Посмотрите видео, в котором я рассказываю об обработке ПД и необходимых документах.
Уведомление в Роскомнадзор и реестр операторов ПД
Организации, предприниматели и физические лица должны подать Уведомление в Роскомнадзор до того, как начнут собирать базы клиентов. В документе должны быть указаны:
- название юрлица или ФИО физлица (ИП);
- ИНН;
- адрес;
- данные паспорта, если оператор ─ физическое лицо или ИП;
- основной государственный регистрационный номер (ОГРН) для юрлиц;
- цели обработки ПД и их необходимость для деятельности оператора ПД;
- категории ПД ─ общедоступные (ФИО, год и место рождения, адрес, телефон, email и другие), их обычно достаточно для бизнеса, специальные (например, национальность, политические и религиозные взгляды), биометрические и иные;
- категории субъектов, чьи ПД будут обрабатываться, например, работники, состоящие в трудовых отношениях, физические лица, с которыми заключены договора (заказчики, заемщики, абоненты и другие);
- нормативные документы, на основании которых обрабатываются ПД, в том числе лицензии для лицензируемых видов деятельности;
- способы обработки ПД ─ автоматизированный, неавтоматизированный, смешанный;
- предполагаемые меры для сохранности ПД;
- дата начала обработки ПД;
- срок или условия для прекращения обработки ПД;
- есть ли трансграничная передача данных;
- местонахождение баз данных.
Роскомнадзор упростил составление Уведомления и разместил у себя на сайте онлайн-форму, после его заполнения нужно сформировать документ, который надо распечатать, подписать и направить заказным письмом с описью вложения в территориальное отделение Роскомнадзора по месту регистрации оператора.
После того как компания, ИП или физлицо подаст Уведомление, Роскомнадзор включит его в реестр операторов ПД.
Если база покупателей уже собиралась какое-то время, но оператор не был включен в реестр, нужно подать Уведомление, чем раньше, тем лучше. Наказывать в этом случае Роскомнадзор не будет. Другое дело, когда зафиксировано, что обработка ПД ведется, а в реестре нет об этом информации. О последствиях мы недавно писали в этом материале.
Необязательно подавать Уведомление, если данные собираются только для того, чтобы выполнить условия договора. Например, для проведения скайп-консультации нужно знать имя заказчика, ник в скайпе и электронную почту для отправки отчета.
Но в подобных случаях могут быть сложности:
- с подтверждением того, что ПД нужны только для выполнения обязательств;
- если исполнитель использует ПД заказчиков не только в договорных отношениях, но еще для рассылки писем или в других целях.
У оператора персональных данных на сайте должны быть такие документы: политика конфиденциальности и согласие на обработку персональных данных. Это минимальный обязательный набор, но возможно, вашему сайту нужны и другие документы. Чтобы знать точно, пройдите тест из нескольких вопросов. Кроме этого, получите в подарок шаблон публичной оферты.
Если у вас онлайн-школа, пройдите специальный тест, чтобы получить список документов для вашего образовательного проекта, а также в подарок шаблон публичной оферты.
Внимание!
«Право в сети» составит для вашего сайта с учетом особенностей вашей деятельности:
- Уведомление в Роскомнадзор;
- Согласие на обработку персональных данных;
- Политику конфиденциальности.
Для того чтобы узнать условия и стоимость, переходите по ссылке.
Если у вас есть вопросы, оставьте контакты в этой форме, и мы свяжемся с вами
Также вы можете позвонить нам по телефонам 8 800 550 60 39, связаться с нами по электронной почте ledovskikh.m@gmail.com или задать вопросы во всплывающем окне справа.
