Что такое персональные данные и когда нужно согласие клиента на их обработку?

Законодательство России предусматривает обязательство фирмы, получающей персональные данные заказчиков, предпринимать все необходимые меры по их защите. Порядок работы с такой информацией включает в себя целый комплекс обязательств, знать которые важно каждому предпринимателю. Это позволит не только избежать проблем с законом, но и укрепить доверие потребителей, успешно расширять клиентскую базу и наращивать производство.

Скрыть содержание

Что это такое – сведения о потребителе?

Персональные данные – это любые сведения, позволяющие установить личность потребителя. Нормативной основой для работы с такого рода информацией является закон РФ «О персональных данных» от 27.07.2006 (далее – закон). В этот нормативный документ неоднократно вносились изменения и дополнения и сейчас действует его редакция от 29.07.2017.

Действие закона распространяется только на физических лиц. Персональные данные – это термин, связанный только с людьми. В понятие положение о защите и обработке персональных данных не включается информация о предприятиях, учреждениях, организациях и контрагентов.

В число конфиденциальной информации о потенциальном покупателе может входить его фамилия, имя, дата и место рождения, адрес проживания, пол, семейный статус и иные данные, имеющие отношение к конкретному человеку.

Сведения о покупателе могут быть получены лишь на основе необходимой достаточности. Это означает, что потенциальный заказчик в праве оставить лишь только ту информацию, которая является достаточной для совершения заказа работы или услуги. Как правило, это фамилия, имя отчество, место прописки, телефон. Исполнитель не вправе требовать получения дополнительной избыточной информации и может быть привлечен к ответственности за нарушение требований законодательства.

Данные прописки покупателя, как правило, истребуют для того, чтобы в случае нарушения им обязательств, подать иск. Любые претензии в суд в отношении клиентов, согласно требованиям законодательства России, подаются по месту проживания должника.

Важно! Коммерческие организации и индивидуальные предприниматели освобождены от необходимости уведомлять Роскомнадзор о том, что будут работать с материалами о потенциальных покупателях, так как эти данные получаются в связи с заключением договора.

Именно Роскомнадзор является специальным уполномоченным органом, осуществляющим контроль в области защиты персональных сведений о потенциальных приобретателях товара или услуги.

Подробнее о том, какие данные входят в понятие ПД мы рассказываем тут, а на какие категории делится персональная информация узнаете из этого материала.

Нужно ли брать разрешение с физического лица для обработки его личной информации?

В соответствии с требованиями законодательства, обработка сведений о покупателе осуществляется только с его согласия. Такое согласие должно быть выраженным и не оставлять никаких сомнений в том, что потребитель не возражает против использования сведений о нем. В статье 9 закона предусматривается, что такое согласие может быть отозвано в любой момент.

Документы

Закон не предусматривает определенного типа документа, в котором закрепляется согласие заказчика на обработку сведений о нем. Однако такой документ должен ясно доступно и предельно понятно излагать факт истребования таких данных и позволять человеку делать конкретный, информированный и сознательный выбор.

Для работы с информацией о покупателе должны иметься соответствующие внутренние документы. В них отражаются обоснование необходимости получения таких данных, механизм работы с ними, порядок назначения ответственного лица, обрабатывающего такие данные.

Справка! Эти документы должны находиться в публичном доступе. В них должно быть предусмотрена возможность выражения согласия на предоставления информации для получения услуги или выполнения работы.

Перечень документов рассмотрим ниже.

Положение

Наиболее часто встречающимся документом является специальное положение о работе с материалами о покупателе. Оно подлежит утверждению руководителем субъекта предпринимательства и содержит в себе все обязательства, касающиеся получения обработки и ликвидации полученных сведений о потенциальном покупателе. Такое положение должно соответствовать требованиям законодательства России.

Положение, как правило, состоит из следующих разделов:

  • преамбула, в которой указываются общие принципы работы с личной информацией заказчиков;
  • цели и задачи работы со сведениями о потребителях услуги или работы;
  • перечень истребуемых личных сведений клиентов;
  • порядок обработки сведений, права и обязанности лиц, работающих с такими данными;
  • ответственность лиц, нарушившихся внутренние правила об обеспечении конфиденциальности информации о заказчиках.

Скачать образец положения о защите персональных данных клиентов

Больше информации о правилах разработки Положения об обработке ПД найдете тут.

Соглашение

Закон не запрещает выработку специального соглашения об обработке персональных сведений. Оно составляется в одностороннем порядке и является офертой, то есть предложением добровольного предоставления данных для получения услуги или выполнения определенных работ. Предприниматель вправе разработать свой вариант соглашения об обработке персональной информации и выдавать его в каждом конкретном случае перед заинтересованным потенциальным потребителем услуги либо заказчиком товара.

Соглашение состоит из следующих разделов:

  1. наименование фирмы, получающей сведения о клиенте;
  2. цель получения информации о заказчиках;
  3. перечень операций по обработке данных;
  4. обязательство фирмы по использование всех необходимых средств для обеспечения конфиденциальности данных и исключения их утечки в публичный доступ.

Скачать бланк соглашения о неразглашении персональных данных клиентов

Подробнее о соглашении на использование и обработку ПД мы рассказывали в специальной статье, а из этого материала вы узнаете, в каких случаях требуется договор на обработку ПД и как его составить.

Разрешение

Предприниматель может оформить отдельный документ, в котором клиент может указать свое согласие на обработке сведений о нем. Перед дачей согласия клиент должен получить информацию о цели и порядке обработки его данных, после чего от него запрашивается соответствующее согласие на обработку его персональных данных.

Согласие состоит из следующих частей:

  1. ФИО заказчика с указанием реквизитов его паспорта либо другого удостоверения личности.
  2. Согласие на предоставление личных сведений о себе с указанием исчерпывающего перечня операций по обработке. В этом случае обязательно необходимо указать срок предоставления согласия, который, как правило, действует на неограниченно период.
  3. Подтверждение добровольного осознанного согласия на обработку персональных данных.
  4. Подпись.

Обязательство о неразглашении

Нередко на сайтах можно видеть обязательство по неразглашению данных потенциальных потребителей. В этом случае, если покупатель оформил свое согласие на приобретение товара или услуги, то ему предварительно предлагается ознакомиться с обязательством о неразглашении его личной информации. Лишь после такого согласия, клиенту может быть оказана услуга либо выполнена необходимая для него работа.

В обязательстве содержится следующая информация:

  1. наименование фирмы, получающей данные о покупателе;
  2. перечень сведений, которые предоставляет заказчик;
  3. обязательство по принятия всех необходимых мер для обеспечения конфиденциальности полученных данных и исключения их утечки в публичный доступ.

Скачать образец обязательства о неразглашении персональных данных клиента

Как грамотно составить обязательство о неразглашении ПД мы рассказываем тут.

Обработка

В понятие обработки входят следующие действия с данными о клиента:

Внимание! Обработка персональных сведений должна осуществляться в строгом соответствии с требованиями законодательства и внутренними документами предпринимателя: положением, обязательством и т.д.

При нарушении требований законодательства об обработке сведений о покупателях, в том числе несоблюдения необходимых условий для обеспечения их безопасности, обработчик таких данных обязан незамедлительно предпринять все необходимые меры по устранению этих нарушений.

Подробнее о том, что включает в себя обработка ПД, мы рассказывали здесь.

Защита

Предприниматель единолично организует систему мер, необходимых для защиты персональных данных. Вместе с тем, целесообразно, чтобы система этих мер предусматривала обеспечение безопасности, внутреннего контроля обработки информации. Обработчик обязан предпринять все необходимые меры для исключения утечки персональных данных.

Меры по защите персональных данных подразделяются на внутренние и внешние:

Внутренние меры в себя включают:

  • определение типа и категории данных, которые могут считаться персональными;
  • утверждение перечня документов, содержащих личные данные клиентов;
  • определение перечня сотрудников, имеющих доступ к такой информации;
  • инструктаж по работе с персональными данными;
  • назначение ответственного за хранение личных данных клиентов.

Внешние меры защиты в себя включают:

  • в том числе хранение данных на запароленных электронных носителях;
  • хранение документов с личными данными клиентов в письменном виде в закрывающихся на замок кабинетах, сейфах и других недоступных для публичного доступа специальных помещениях.

За нарушение требований законодательства о защите персональных данных, в соответствии со статьями 24 Закона, а также 13.14 Кодекса РФ об административных правонарушениях на физическое лицо может быть наложен штраф от одной до трех тысяч рублей, а на должностное лицо от пяти до десяти тысяч рублей, на юридическое лицо – от тридцати до пятидесяти тысяч рублей.

О том, какие требования к обработке и защите ПД установлены на законодательном уровне, узнаете из этого материала, а про то, какие уровни защиты и базовые модели угроз бывают при использовании и обработке ПД, читайте здесь.

Заключение

Персональные данные – это личная информация потребителя, которую он указывает для приобретения услуги или работы. Работа с такой информацией должна соответствовать требованиям законов России и внутренним документам исполнителя.

Для обработки таких сведений составляются специальные документы: положение, согласие, обязательство, которые предусматривают перечень необходимых сведений, порядок работы с ними, ответственность.

Обработчик данных обязан предпринять все необходимые меры для сохранности конфиденциальности полученных персональных данных как в виде недоступности документов, так и электронных данных.

Комментарии 0
Спасибо! Ваш комментарий появится после проверки.
Добавить комментарий