Персональные данные: как их собирать, не нарушая законов

Повторные продажи товаров и услуг требуют меньше вложений, чем привлечение новых покупателей. Поэтому предприниматели стараются вести базы клиентов, в которых хранят их контакты: телефоны, адреса электронной почты, имена и другое. Законодательство относит такую информацию к персональным данным и защищает ее. Если нужна клиентская база, но не хочется проблем с законом, читайте эту статью.

Основные термины

Обработка персональных данных (ПД) ─ это любые действия, связанные со сбором, записью, систематизацией, накоплением, хранением, уточнением, использованием, передачей, обезличиванием, блокированием, удалением, уничтожением ПД. Причем неважно, используется автоматизация при обработке информации или нет. 

Примеры таких действий: сбор email-адресов, заполнение анкеты при выдаче бонусных карт, возможность комментирования на сайте только после того, как указана электронная почта.

Оператор персональных данных ─ организация, ИП и физическое лицо, которые определяют состав ПД, цели их обработки и перечень допустимых операций. Это значит, что все, кто собирает базы клиентов, относятся к операторам ПД, и должны соблюдать требования федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ.

Субъект обработки персональных данных ─ человек, информацию о котором обрабатывают.

Для того чтобы больше узнать про сбор и обработку персональных данных посмотрите наш бесплатный вебинар «5 ошибок владельца сайта по персональным данным».

Обязанности операторов персональных данных  

  1. Хранить базы данных на серверах, находящихся на территории РФ и обеспечивать их безопасность.
  2. Назначить ответственного за организацию обработки ПД.
  3. Принимать меры для защиты собранных ПД от умышленного или случайного доступа к ним.
  4. Предоставлять владельцу ПД сведения о том, какая информация про него собрана. 
  5. Сообщить в Роскомнадзор о намерении обрабатывать ПД. 
  6. Взять у пользователя согласие на обработку ПД.
  7. Составить и разместить на сайте политику конфиденциальности ─ документ, в котором указаны цели сбора ПД. 

Посмотрите видео, в котором я рассказываю об обработке ПД и необходимых документах.

Уведомление в Роскомнадзор и реестр операторов ПД

Организации, предприниматели и физические лица должны подать Уведомление в Роскомнадзор до того, как начнут собирать базы клиентов. В документе должны быть указаны:

  • название юрлица или ФИО физлица (ИП);
  • ИНН;
  • адрес;
  • данные паспорта, если оператор ─ физическое лицо или ИП;
  • основной государственный регистрационный номер (ОГРН) для юрлиц;
  • цели обработки ПД и их необходимость для деятельности оператора ПД;
  • категории ПД ─ общедоступные (ФИО, год и место рождения, адрес, телефон, email и другие), их обычно достаточно для бизнеса, специальные (например, национальность, политические и религиозные взгляды), биометрические и иные;
  • категории субъектов, чьи ПД будут обрабатываться, например, работники, состоящие в трудовых отношениях, физические лица, с которыми заключены договора (заказчики, заемщики, абоненты и другие);
  • нормативные документы, на основании которых обрабатываются ПД, в том числе лицензии для лицензируемых видов деятельности;
  • способы обработки ПД ─ автоматизированный, неавтоматизированный, смешанный;
  • предполагаемые меры для сохранности ПД;
  • дата начала обработки ПД;
  • срок или условия для прекращения обработки ПД;
  • есть ли трансграничная передача данных;
  • местонахождение баз данных.

Роскомнадзор упростил составление Уведомления и разместил у себя на сайте онлайн-форму, после его заполнения нужно сформировать документ, который надо распечатать, подписать и направить заказным письмом с описью вложения в территориальное отделение Роскомнадзора по месту регистрации оператора.

После того как компания, ИП или физлицо подаст Уведомление, Роскомнадзор включит его в реестр операторов ПД. 

Если база покупателей уже собиралась какое-то время, но оператор не был включен в реестр, нужно подать Уведомление, чем раньше, тем лучше. Наказывать в этом случае Роскомнадзор не будет. Другое дело, когда зафиксировано, что обработка ПД ведется, а в реестре нет об этом информации. О последствиях мы недавно писали в этом материале

Необязательно подавать Уведомление, если данные собираются только для того, чтобы выполнить условия договора. Например, для проведения скайп-консультации нужно знать имя заказчика, ник в скайпе и электронную почту для отправки отчета. 

Но в подобных случаях могут быть сложности:

  • с подтверждением того, что ПД нужны только для выполнения обязательств;
  • если исполнитель использует ПД заказчиков не только в договорных отношениях, но еще для рассылки писем или в других целях.

У оператора персональных данных на сайте должны быть такие документы: политика конфиденциальности и согласие на обработку персональных данных. Это минимальный обязательный набор, но возможно, вашему сайту нужны и другие документы. Чтобы знать точно, пройдите тест из 5 вопросов.

Внимание!

«Право в сети» составит для вашего сайта с учетом особенностей вашей деятельности:

  • Уведомление в Роскомнадзор;
  • Согласие на обработку персональных данных;
  • Политику конфиденциальности.

Для того чтобы узнать условия и стоимость, переходите по ссылке

Если у вас есть вопросы, оставьте контакты в этой форме, и мы свяжемся с вами


Также вы можете позвонить нам по телефонам 8 800 550 60 39, связаться с нами по электронной почте ledovskikh.m@gmail.com или задать вопросы во всплывающем окне справа.

Если статья была вам полезна, поделитесь с коллегами и друзьями!
Комментарии к новости "Персональные данные: как их собирать, не нарушая законов"
Здесь вы можете написать комментарий

* Обязательные для заполнения поля
Нажимая кнопку "Отправить", я принимаю условия Политики конфиденциальности. и даю своё согласие ИП Ледовских М. А. на обработку моих персональных данных , в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ "О персональных данных", в соответствии с целями и условиями, определенными Политикой конфиденциальности.