В связи со вступлением в силу с 01.07.2017 года поправок в КоАП и изменений в ФЗ-152 «О персональных данных» в последнее время ощущается нарастающий интерес к теме персональных данных. Однако еще не всем понятно, какие документы должны быть у самой компании и какие документы должны быть опубликованы на сайтах компаний, что в них нужно писать, чтобы избежать штрафов и негодования контролирующего органа.
Первое, что следует учесть предпринимателям, так это, то, что произошло ужесточение регулирования и контроля обработки персональных данных правительством. И помимо этого планируется еще много инициатив, по словам Морковчина Александра — старшего консультанта по информационной безопасности Центра информационной безопасности компании Инфосистемы Джет:
«… это будет создание единого портала обработчиков персональных данных, ряд законопроектов, связанных внесением изменений в ФЗ-152 «О персональных данных» (в части трансграничной передачи, биометрических персональных данных и прочее)».
Вот как комментирует эту тему Елена Кожемякина — Управляющий партнер юридической фирмы BLS:
«С 1 июля 2017 года административная ответственность за нарушение законодательства в области персональных данных повышается в несколько раз. Максимальный штраф для юридических лиц составит 75 тыс. рублей вместо 10 тысяч рублей, также теперь будет семь видов правонарушений вместо одного, и за каждое из них теперь может быть наложен отдельный штраф. С этого же периода изменяется подведомственность дел при нарушении закона о персональных данных, ранее дела мог возбудить только прокурор, теперь же протоколы об административных правонарушениях будут составлять, в первую очередь, должностные лица Роскомнадзора».
Второе, что необходимо учесть всем компаниям, которые еще не привели свои процессы обработки персональных данных в соответствие, все-таки вплотную заняться этим вопросом. Но, к сожалению, дать универсального совета, как обеспечить полное соблюдение требований законодательства нельзя, это довольно трудоемкий процесс, требующий времени, так как в любой организации мало бизнес-процессов, в которых персональные данные не обрабатываются.
Мы постарались собрать в одной статье все полезные рекомендации специалистов из этой области, опираясь на их опыт:
Рекомендации от Олега Лагуткина — генерального директора БКИ «Эквифакс»:
«В поле зрения регулятора попадают любые формы сбора, хранения, актуализации, передачи, систематизации, удаления хранящейся информации, содержащей данные, позволяющие идентифицировать физическое лицо. Сюда входят не только классические данные, как ФИО, день рождения, но и личные фотографии, адреса и ряд других. Даже безобидная визитная карточка, которыми принято обмениваться во время деловых переговоров, является носителем персональных данных.
Организации, которым в своей деятельности приходится запрашивать персональные данные, к примеру, проводя регистрацию, размещая форму обратной связи, необходимо соблюдать несколько простых правил, чтобы избежать проблем с законом и, соответственно, крупных штрафов за его несоблюдение.
Следует внимательно ознакомиться с текстом Федерального закона от 07.02.2017 № 13-ФЗ и составить документ с разъяснениями по политике обработки данных, который будет отражать цель, условия и сроки хранения, а также наименование оператора данных и его актуальные контакты. Такой документ — «Политика оператора в отношении обработки персональных данных» обязательно должен быть утвержден и находиться в открытом доступе, чтобы субъект персональной информации мог ознакомиться с ним в любое время, а ссылку на него идеально размещать в связке с полем согласия на обработку данных (окошко с галочкой).
Дополнительно можно разместить документ, определяющий порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ № 152 «О персональных данных». Это поможет систематизировать процесс взаимодействия оператора с субъектом персональных данных по вопросам предоставления установленной законодательством информации.
Кроме того, любой оператор персональных данных должен уведомить в соответствующем порядке надзорный орган о том, что он таковым является до начала сбора и обработки информации».
Получить консультацию по расширенным
тарифам портала ЗАЧЕСТНЫЙБИЗНЕС
Оставьте заявку и мы Вас проконсультируем
Рекомендации от Романовой Алены — юриста «Зарцын, Янковский и партнеры»:
«Первым делом нужно определить цель, во имя которой существует сайт. Если он носит исключительно информационный или рекламный характер достаточно опубликовать пользовательское соглашение. Сложнее ситуация в том случае, если через сайт осуществляется дистанционная продажа товаров, или предоставляется какая-либо платная услуга. В этом случае необходимо выбрать один из следующих документов:
• Лицензионное соглашение,
• Агентский договор,
• Договор оказания услуг.
Обратите внимание, что все договоры должны носить признаки публичной оферты.
Проработайте схему сбора и обработки данных.
После выбора формы основного документа, нужно самому понять схему, по которой Вы будете собирать, и обрабатывать ПДн:
1. Онлайн-магазину, который осуществляет поставку через транспортные компании больше подходит Агентский договор с одной стороны и Лицензионное соглашение с другой. В этом случае Агентский договор должен регулировать взаимоотношения между магазином и «курьеркой», включая передачу данных пользователей, а Лицензионное соглашение будет регулировать отношения между покупателем и магазином;
2. Онлайн-магазину, осуществляющему предпродажную подготовку б/у товаров, стоит задуматься о договоре оказания услуг, оставив попытки внедрить лицензионный.
Всем наверняка помнится дело крупнейшего разработчика игр mail.ru, в котором компания неверно определила форму договора с пользователями, дело тогда дошло до суда и закончилось солидными выплатами в адрес налоговой.
Поэтому помните, что договоров в компании может применяться несколько с учетом её специфики, однако все они должны отображать правила обработки персональных данных пользователей.
Разработайте политику конфиденциальности — разрабатывая данный документ, особое внимание необходимо уделить целям обработки, способам, сроку и месту хранения ПДн, а также способу выражения согласия Пользователя на обработку. Наиболее оптимальный способ его получения — установить чекбокс «Согласен с условиями политики конфиденциальности». При этом важно, чтобы пользователь активировал его до окончания оформления заказа на сайте. Мониторинг наличия согласия Пользователя на сайте, в настоящий момент под особым прицелом Роскомнадзора.
И еще кое-что, не следует запрашивать у пользователей излишние данные (паспортные и пр.) если фактически Вы их не используете. Это лишь вызовет дополнительные вопросы у контролирующего органа».
Рекомендации от Кожемякиной Елены — управляющего партнера юридической фирмы BLS:
«Во многих случаях вопросы о защите персональных данных не относятся напрямую к применению трудового законодательства. Так или иначе, мы можем озвучить несколько базовых рекомендаций:
• Получайте письменное согласие на обработку персональных данных у каждого сотрудника и кандидата.
• Опубликуйте на сайте или разместите в общем доступе политику компании в области обработки персональных данных.
• Обрабатывайте персональные данные только для тех целей, согласие на которые вы получили.
• При запросе сотрудника сообщайте, какие данные о нем у вас есть, как они обрабатываются, как вы обеспечиваете их безопасность и передавали ли третьим лицам.
• Блокируйте по первому требованию работников и компетентных органов неполные или неверные персональные данные.
• Обеспечьте обучение сотрудников правилам работы с персональными данными».
И в заключение, мы опубликовали очень, на наш взгляд, интересный комментарий от Генерального директора LINKPROFIT.
«Предупреждение еще не штраф. В первую очередь нужно обладать хорошей реакцией, чтобы избежать повестки в прокуратуру.
Чтобы избежать предупреждений, сотрудник, ответственный за организацию обработки персональных данных — если Вы не знаете, кто это такой, то следует завести себе одного с должностной инструкцией и всеми вытекающими — должен привести в порядок всю документацию. Начнет он с правил и политики компании в отношении обработки персональных данных, так как именно на эти документы вы будете ссылаться во всех вопросах, касающихся обработки сведений о пользователях.
На сайте обязательно должны быть опубликованы реквизиты организации, а под формами заказа, заявки, обратной связи или регистрации должны быть размещены пункты «согласия» на использование, обработку и хранение данных, указанных пользователем.
Идеальный вариант — это если с персональными данными будет работать посредник, который будет ответственен за любое нарушение по работе с персональными данными клиента. Таким посредником часто выступают партнерские сети.
Будучи оператором персональных данных, мы проверяем каждый сайт партнера или рекламодателя на соответствие требованиям Роскомнадзора, и если мы находим недочет в форме обратной связи, в форме заявки или регистрации, мы указываем на этот момент нашему клиенту. Мы следим за тем, чтобы сайт соответствовал последним требованиям 152-ФЗ и предупреждений пока не получали».
На основании всех перечисленных рекомендаций Вы теперь самостоятельно сможете оценить, какие документы Вам нужны, как правильно их применять и где хранить.
Берегите себя и свои деньги!
С уважением, Портал ЗАЧЕСТНЫЙБИЗНЕС!
Получить консультацию по расширенным
тарифам портала ЗАЧЕСТНЫЙБИЗНЕС
Оставьте заявку и мы Вас проконсультируем
