Что важно сделать для соблюдения закона 152-ФЗ о персональных данных

Напомним, что нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах влечет предупреждение или наложение административного штрафа:

• на граждан в размере от трехсот до пятисот рублей;
• на должностных лиц — от пятисот до одной тысячи рублей;
• на юридических лиц — от пяти тысяч до десяти тысяч рублей.

Итак, чтобы качественно подготовиться, давайте начнем с основ закона:

Важно осознавать, что по закону (прочитать его стоит уж поверьте) есть четкий список того, что относиться к персональным данным (ПД) и многие ошибочно думают, что Ф.И.О. без данных паспорта не попадает под действие закона. Подобные данные попадают под определение - косвенных ПД. Исходя из их определения - любое сочетание данных о клиенте попадает под действие закона.

ВАЖНО! Заполнение ФИО и телефона в форме на сайте требует соблюдения 152-ФЗ.

Важно подготовить ниже перечисленный пакет документов, чтобы 152-ФЗ выполнялся:

1. Приготовить печатные версии документов заверенные печатями и подписями:
   
   1. Приказ о назначении ответственного за организацию обработки персональных данных [Образец приказа 152-ФЗ];
   2. Должностная инструкция ответственного за организацию обработки персональных данных. [Образец должностной инструкции по соблюдению 152-ФЗ];
   3. Политика в отношении обработки персональных данных  [Образец политики обработки Персональных Данных];
   4. Правила обработки персональных данных [Образец правил обработки Персональных Данных].
2. Указать на сайте реквизиты Вашей организации (ИНН, ОГРН, Адрес);
3. Разместить активную гиперссылку на политику организации в отношении обработки персональных данных;
4. Под формой отправки заказа / формы обратной связи разместить:
   1. Согласие на использование ПД для выполнения запроса;
   2. Согласие на обработку / хранение ПД и уведомление о понимании процедуры отзыва своих ПД;
   3. Если ваш сервер вне территории РФ, то согласие на трансграничную передачу ПД.

   Теперь давайте разберем важные моменты выполнения закона 152-ФЗ:
   

1. Обработка персональных данных должна отвечать целям сбора персональных данных;
Это значит, что Субъект обработки ПД (покупатель, клиент, работник и т.д.) должен быть уведомлен о целях обработки. Поэтому цели должны быть отражены в форме письменного согласия на обработку персональных данных.

2. Не должны объединяться базы данных, содержащих персональные данные, обработка которых осуществляется в несовместимых между собой целях;
Тут все очевидно: не должны быть объединены базы персональных данных, содержащие, например, фискальную информацию о работниках компании, и базы персональных данных клиентов компании.

3. Обрабатываемый объем персональных данных не должен быть избыточным по отношению к целям их обработки;
Получается, что интернет-магазин продающий носки может обрабатывать персональные данные покупателей, которые могут содержать информацию о предпочтениях, о маркетинговой активности, но персональные данные покупателя, говорящие о наличии у него, скажем, заболеваний, будут явно избыточными.

4. При обработке персональных данных должны быть обеспечены их точность, достаточность и актуальность по отношению к целям обработки;
Это необходимо в первую очередь для качественного и своевременного выполнения какого-либо юридически значимого действия, при котором используются персональные данные. Например, для непосредственной покупки товара.

5. Хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей. То есть если интернет-магазин закрывается, то базу персональных данных его покупателей нельзя оставлять «врагам», необходимо ее хотя бы обезличить.

Этапы работы с персональными данными

1. Сбор
При сборе персональных данных с посетителей сайта рекомендуется в любом случае указывать:

• наименование оператора;
• цель обработки персональных данных и ее правовое основание;
• предполагаемые пользователи персональных данных;
• установленные законом права субъекта персональных данных;
• источник получения персональных данных.

Кроме того, по запросу гражданина оператор по обработке персональных должен предоставить:

• Подтверждение факта обработки персональных данных оператором;
• Наименование и место нахождения оператора, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
• Сроки обработки персональных данных;
• Информацию об осуществленной или о предполагаемой трансграничной передаче данных;

2. Хранение
Хранение и запись, систематизация, накопление, уточнение, должны осуществляться на территории РФ – это уже все знают. Хранение персональных данных может осуществляться в любой форме, в том числе бумажной. Обработка персональных данных может осуществляться за границей, если база данных в РФ содержит равный или больший объем персональных данных. Трансграничная передача данных возможна, ее никто не запрещал. НО, вы обязаны

• хранить и актуализировать все данные на серверах в РФ (первичная БД)
• указать в «Соглашении на обработку ПДн» то, что вы планируете передавать эти данные в другую страну и для каких конкретных целей (писать ли конкретную страну в законе не указано)

Предоставление удаленного доступа к базам данных, находящихся на территории РФ, с территории другого государства ФЗ-242 не запрещается.

3. Использование
Помните! Действия, совершаемые с собранными персональными данными должны осуществляться строго согласно целям, для которых они были предоставлены.
То есть, если данные собраны при покупке носков в интернет магазине «А», то и использоваться они должны только для продаж магазина «А», которому эти данные оставили. Если эти данные использовать для продажи квартир на другом ресурсе, то это уже будет считаться неправомерным использованием персональных данных.

4. Блокирование
Если субъект обнаружил, что его данные используют неправомерно и обратился к вам с претензией или его представитель, то вы обязаны блокировать его персональные данные и проверить правомерность их использования. Если данные эти обрабатывает подрядчик, то вы обязаны сделать все для блокировки и проверки данных обратившегося. Все тоже самое вы обязаны провернуть в том случае, если субъект обнаружил неточности в своих данных.
Блокировка должна осуществляться с момента такого обращения или получения запроса на время проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

5. Уничтожение
А вот уничтожить данные или обеспечить прекращение использования вы обязаны в случае отзыва согласия. Также, если сохранение персональных данных более не требуется для целей обработки персональных данных.
Произвести все это необходимо в срок не более тридцати дней с даты поступления отзыва, если иное не предусмотрено договором.

Ответственность за использование переданных данных несет тот Оператор, которому переданы эти базы данных.


Назад в раздел