Повторные продажи товаров и услуг требуют меньше вложений, чем привлечение новых покупателей. Поэтому предприниматели стараются вести базы клиентов, в которых хранят их контакты: телефоны, адреса электронной почты, имена и другое. Законодательство относит такую информацию к персональным данным и защищает ее. Если нужна клиентская база, но не хочется проблем с законом, читайте эту статью.

Основные термины

Обработка персональных данных (ПД) ─ это любые действия, связанные со сбором, записью, систематизацией, накоплением, хранением, уточнением, использованием, передачей, обезличиванием, блокированием, удалением, уничтожением ПД. Причем неважно, используется автоматизация при обработке информации или нет. 

Примеры таких действий: сбор email-адресов, заполнение анкеты при выдаче бонусных карт, возможность комментирования на сайте только после того, как указана электронная почта.

Оператор персональных данных ─ организация, ИП и физическое лицо, которые определяют состав ПД, цели их обработки и перечень допустимых операций. Это значит, что все, кто собирает базы клиентов, относятся к операторам ПД, и должны соблюдать требования федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ.

Субъект обработки персональных данных ─ человек, информацию о котором обрабатывают.

ПД, разрешенные для распространения ─ это данные, доступ к которым предоставляют неограниченному кругу лиц, но только с согласия субъекта ПД. Термин введен с 1 марта 2021 года, подробности в этой статье.

Чтобы больше узнать про сбор и обработку персональных данных посмотрите наш бесплатный вебинар «5 ошибок владельца сайта по персональным данным».

Обязанности операторов персональных данных

  1. Хранить базы данных на серверах, находящихся на территории РФ и обеспечивать их безопасность.
  2. Назначить ответственного за организацию обработки ПД.
  3. Принимать меры для защиты собранных ПД от умышленного или случайного доступа к ним.
  4. Предоставлять владельцу ПД сведения о том, какая информация про него собрана. 
  5. Сообщить в Роскомнадзор о намерении обрабатывать ПД. 
  6. Взять у пользователя согласие на обработку ПД.
  7. Составить и разместить на сайте политику конфиденциальности ─ документ, в котором указаны цели сбора ПД.

Посмотрите видео, в котором я рассказываю об обработке ПД и необходимых документах.

Уведомление в Роскомнадзор и реестр операторов ПД

Организации, предприниматели и физические лица должны подать Уведомление в Роскомнадзор до того, как начнут собирать базы клиентов. В документе должны быть указаны:

  • название юрлица или ФИО физлица (ИП);
  • ИНН;
  • адрес;
  • данные паспорта, если оператор ─ физическое лицо или ИП;
  • основной государственный регистрационный номер (ОГРН) для юрлиц;
  • цели обработки ПД и их необходимость для деятельности оператора ПД;
  • категории ПД ─ общедоступные (ФИО, год и место рождения, адрес, телефон, email и другие), их обычно достаточно для бизнеса, специальные (например, национальность, политические и религиозные взгляды), биометрические и иные;
  • категории субъектов, чьи ПД будут обрабатываться, например, работники, состоящие в трудовых отношениях, физические лица, с которыми заключены договора (заказчики, заемщики, абоненты и другие);
  • нормативные документы, на основании которых обрабатываются ПД, в том числе лицензии для лицензируемых видов деятельности;
  • способы обработки ПД ─ автоматизированный, неавтоматизированный, смешанный;
  • предполагаемые меры для сохранности ПД;
  • дата начала обработки ПД;
  • срок или условия для прекращения обработки ПД;
  • есть ли трансграничная передача данных;
  • местонахождение баз данных.

Роскомнадзор упростил составление Уведомления и разместил у себя на сайте онлайн-форму, после его заполнения нужно сформировать документ, который надо распечатать, подписать и направить заказным письмом с описью вложения в территориальное отделение Роскомнадзора по месту регистрации оператора.

После того как компания, ИП или физлицо подаст Уведомление, Роскомнадзор включит его в реестр операторов ПД. 

Если база покупателей уже собиралась какое-то время, но оператор не был включен в реестр, нужно подать Уведомление, чем раньше, тем лучше. Наказывать в этом случае Роскомнадзор не будет. Другое дело, когда зафиксировано, что обработка ПД ведется, а в реестре нет об этом информации. О последствиях мы недавно писали в этом материале

Необязательно подавать Уведомление, если данные собираются только для того, чтобы выполнить условия договора. Например, для проведения скайп-консультации нужно знать имя заказчика, ник в скайпе и электронную почту для отправки отчета. 

Но в подобных случаях могут быть сложности:

  • с подтверждением того, что ПД нужны только для выполнения обязательств;
  • если исполнитель использует ПД заказчиков не только в договорных отношениях, но еще для рассылки писем или в других целях.

У оператора персональных данных на сайте должны быть такие документы: политика конфиденциальности и согласие на обработку персональных данных. Это минимальный обязательный набор, но возможно, вашему сайту нужны и другие документы. Чтобы знать точно, пройдите тест из нескольких вопросов (кнопка для сайтов).

Если у вас образовательный проект, нажмите кнопку с вопросами для онлайн-школ.

Внимание!

Юристы «Право в сети» подготовят для вашего сайта с учетом особенностей вашей деятельности:

  • Уведомление в Роскомнадзор;
  • Согласие на обработку персональных данных;
  • Политику конфиденциальности.

Оставьте заявку на бесплатную консультацию. Мы с вами свяжемся и в течение 15 минут ответим на вопросы. 

Вы можете связаться с вами и другими способами:

  • телефон +7 (920) 219-69-16;
  • WhatsApp, Viber, Telegram +7 (950) 768-52-77;
  • почта manager@lawinweb.ru;
  • напишите ваш вопрос во всплывающем слева окне.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *