+7(499)495-49-41

Что делать юристу компании, которая работает с персональными данными клиентов

Содержание

Персональные данные клиента

Что делать юристу компании, которая работает с персональными данными клиентов

Адвокаты, осуществляющие деятельность индивидуально и в юридической консультации, адвокатские конторы, юридические фирмы и частно-практикующие юристы (далее – адвокаты и юридические фирмы) постоянно в ходе своей деятельности собирают, накапливают, хранят и используют персональные данные своих клиентов, а также третьих лиц. Если вы – один из вышеперечисленных субъектов, то вам необходимо учитывать требования законодательства, относящиеся к работе с персональными данными.

Понятие персональных данных

В соответствии с подпунктом 2) статьи 1 Закона Республики Казахстан “О персональных данных и их защите” (далее – Закон) персональные данные представляют собой сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе. Применительно к клиентам адвокатов и юридических фирм такими сведениями могут быть:

  • фамилия, имя, отчество;
  • данные о месте и дате рождения;
  • данные документов, удостоверяющих личность;
  • адрес и телефон;
  • сведения о правах на имущество;
  • сведения о доходах;
  • сведения об участии в коммерческих и некоммерческих организациях;
  • другие сведения, относящиеся к клиентам.

Субъектом персональных данных согласно подпункту 16) указанной статьи является физическое лицо, к которому относятся персональные данные. Таким образом, субъектом персональных данных выступает любой клиент – физическое лицо, обратившееся к вам за юридической помощью.

Базой, содержащей персональные данные, является совокупность упорядоченных персональных данных (подпункт 8) статьи 1 Закона). Следовательно, CRM-система, адресная книга, файловый или бумажный архив, содержащие указанные сведения ваших клиентов, будут считаться базой, содержащей персональные данные.

В соответствии с подпунктами 9) и 10) статьи 1 указанного Закона адвокаты и юридические фирмы, реализующие права на базу, содержащую персональные данные, а также осуществляющие сбор, обработку и защиту персональных данных выступают одновременно в качестве собственника и оператора базы, содержащей персональные данные.

Таким образом, поскольку адвокаты и юридические фирмы в своей деятельности собирают, накапливают, обрабатывают, используют, хранят и распространяют сведения, относящиеся к своим клиентам, то такая их деятельность попадает под регулирование Законом “О персональных данных и их защите”.

Согласие клиента на сбор и обработку персональных данных

Подпункт 5) статьи 1 Закона определяет сбор персональных данных как действия, направленные на получение персональных данных.  Согласно подпункту 12) указанной статьи обработка персональных данных представляет собой действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных.

В соответствии с пунктом 1 статьи 7 Закона  сбор и обработка персональных данных могут осуществляться вами только с согласия субъекта или его законного представителя, кроме случаев, предусмотренных статьей 9 Закона, которой установлен ряд случаев, когда  сбор, обработка персональных данных производятся без согласия субъекта (например, деятельность правоохранительных органов, судов, статистических органов, журналистов и т. д.). Деятельность адвокатов и юридических фирм в данный перечень исключений не включена. Таким образом, закон обязывает вас заручиться согласием клиента на сбор и обработку его персональных данных.

В соответствии с пунктом 1 статьи 8 Закона согласие на сбор и обработку должно быть дано письменно или в форме электронного документа, либо иным способом,  с применением защитных действий, не противоречащих законодательству.

В связи с этим, до начала использования персональных данных, у вас имеется следующий выбор:

  1. Получить у клиента письменное согласие на сбор и обработку персональных данных в виде отдельного документа.
  2. Включить необходимые условия об использовании персональных данных в текст договора об оказании юридической помощи (оказании юридических услуг). В целях уменьшения количества создаваемых документов, данный вариант представляется более рациональным, чем первый.
  3. Использовать электронную форму согласия на вашем сайте (для онлайн-заказов и обращений).

Конфиденциальность персональных данных

Под распространением персональных данных понимаются действия, в результате  которых происходит передача персональных данных, в том числе через средства массовой информации или предоставление доступа к персональным данным каким-либо иным способом (подпункт 15) статьи 1 Закона).

В соответствии с пунктом 1 статьи 11 Закона вы обязаны обеспечить конфиденциальность персональных данных ваших клиентов, соблюдая требование не допускать их распространения без согласия клиента либо наличия иного законного основания.

Для адвокатов данное положение фактически перекрывается требованиями Закона “Об адвокатской деятельности” по сохранению адвокатской тайны.

Пункт 2 статьи 11 Закона предусматривает обязанность для лиц, которым стали известны персональные данные ограниченного доступа (то есть доступ, к которым ограничен законодательством) в связи с профессиональной, служебной необходимостью, а также трудовыми отношениями, обеспечивать их конфиденциальность. Таким образом, адвокаты и сотрудники юридических фирм, получившие в свое распоряжение персональные данные, содержащие, к примеру, медицинскую, банковскую и иную тайну, обязаны соблюдать конфиденциальность такой информации.

Накопление и хранение персональных данных

Подпункт 4) статьи 1 Закона под накоплением персональных данных понимает действия по систематизации персональных данных путем их внесения в базу, содержащую персональные данные. Занося даные клиентов в свою клиентскую базы, вы осуществляете накопление персональных данных.

  Пункт 1 статьи 12 Закона устанавливает, что накопление производится путем сбора персональных данных, необходимых и достаточных для выполнения осуществляемых вами задач. То есть вы не должны собирать данных о клиенте больше, чем вам требуется для оказания юридической помощи.

Под хранением персональных данных в соответствии с подпунктом 14) статьи 1 Закона понимаются действия по обеспечению целостности, конфиденциальности и доступности персональных данных.

  Согласно пункту 2 статьи 12 Закона хранение персональных данных должно осуществляться вами в базе, а срок хранения персональных данных определяется датой достижения целей их сбора и обработки, если иное не предусмотрено законодательством.

Использование персональных данных клиентов

Под использованием персональных данных понимаются действия с ними, направленные на реализацию ваших целей деятельности, то есть на оказание правовой помощи (юридических услуг) (подпункт 13) статьи 1 Закона).

Согласно статье 14 Закона использование персональных данных должно осуществляться только для ранее заявленных целей их сбора.

Исходя из целей деятельности адвокатов и юридических фирм использование может заключаться:

  • во включении персональных данных в составляемые заявления, жалобы, ходатайства, договоры и другие документы правового характера, изготавливаемые в интересах клиентов;
  • в сообщении этих данных суду, государственным органам, судебным исполнителям, организациям и физическим лицам, перед которыми осуществляется представительство интересов клиента.

Использовать персональные данные в целях, не предусмотренных договором с клиентом, не допустимо.

Обязанности адвоката (юридической фирмы), связанные с персональными данными

Как собственник и оператор базы, содержащей персональные данные, вы в соответствии со статьей 25 Закона обязаны:

  • утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых вами задач;
  • принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных в соответствии с законодательством;
  • соблюдать законодательство о персональных данных и их защите;
  • принимать меры по уничтожению персональных данных в случае достижения цели их сбора и обработки, а также в иных установленных законодательством случаях;
  • представлять доказательство о получении согласия клиента на сбор и обработку его персональных данных;
  • сообщать информацию, относящуюся к субъекту, в течение 3 рабочих дней со дня получения обращения его самого или его законного представителя;
  • в случае отказа предоставить информацию субъекту в срок, не превышающий 3 рабочих дней со дня получения обращения, представлять мотивированный ответ;
  • в течение 1 рабочего дня:
    • изменить и (или) дополнить персональные данные на основании соответствующих документов, подтверждающих их достоверность, или уничтожить персональные данные при невозможности их изменения и (или) дополнения;
    • блокировать персональные данные, относящиеся к субъекту, в случае наличия информации о нарушении условий их сбора, обработки;
    • уничтожить персональные данные в случае подтверждения факта их сбора, обработки с нарушением законодательства, а также в иных случаях, установленных законодательством;
    • снять блокирование персональных данных в случае неподтверждения факта нарушения условий сбора, обработки персональных данных.

Источник: http://defacto.kz/blog/personalnye-dannye-klienta

Что делать юристу компании, которая работает с персональными данными клиентов

Что делать юристу компании, которая работает с персональными данными клиентов

Компания имеет дело с персональными данными клиентов. С 1 июля 2017 года увеличивается штраф за нарушения правил обработки данных. Что делать юристу, чтобы организацию не оштрафовали.

Персональные данные клиента обрабатывают только с его согласия

Под персональными данными понимают любые сведения, которые относятся к физическому лицу. Например, под персональными данными подразумевают:

  • ФИО клиента;
  • адресные данные;
  • контактные данные (номера телефонов, адреса электронной почты и т. п.),
  • сведения о его семье,
  • информацию о его мировоззрении, вероисповедании и т. д.

Если компания запрашивает у своих клиентов фамилию и электронный адрес при регистрации в интернет-магазине, телефон для связи при доставке товара и адрес проживания, чтобы привезти заказ, она считается оператором персональных данных клиентов. У любой компании, которая обрабатывает персональные данные клиентов, есть обязанности:

Юристу компании необходимо уведомить Роскомнадзор, что организация собирается запрашивать личные данные у клиентов. Также нужно следить, чтобы в отношении полученных данных не было нарушений. Это обезопасит компанию от штрафов и других санкций.   

Обрабатывать персональные данные клиентов можно только в определенных законом случаях

В законе 152-ФЗ присутствуют ограничения на обработку данных. В каких случаях можно запрашивать информацию у клиентов, указано в ч. 1 ст. 6 закона. Например, компания может обрабатывать персональные данные клиента, если это нужно для подписания или исполнения договора.

В частности, банк запрашивает данные для заключения кредитного договора с физическим лицом. А интернет-магазину нужно знать телефон для связи с клиентом, чтобы оперативно доставить товар.

Юристу компании нужно обратить внимание, чтобы у клиентов не требовали данные в случаях, когда закон этого не предусматривает.

Перед обработкой персональных данных клиента требуется получить его разрешение

Обработка персональных данных клиента возможна только с его согласия (ст. 9 закона № 152-ФЗ). Юристу нужно проконтролировать составление типового документа, с помощью которого компания будет получать согласие на обработку.

Если компания ведет деятельность через интернет-магазин, в качестве соглашения нужно опубликовать текст о предоставлении персональных данных клиента.

Пользователь магазина сможет дать согласие, если поставит галочку в соответствующем чек-боксе и нажмёт на кнопку «Я согласен».

Обычно программисты внедряют форму для подтверждения согласия так, чтобы ознакомление с ней и заполнение нужного поля было обязательным шагом при оформлении заказа. Если компания взаимодействует с физическими лицами очно, потребуется получить согласие при помощи бумажного варианта документа.  

В документе о  согласии на обработку персональных данных клиента должны присутствовать пункты, которые указаны в ч. 4 статьи 9 закона № 152-ФЗ. В частности:

  • наименование компании,
  • адрес компании,
  • перечень персональных данных клиента,
  • цели обработки данных.

Если гражданин откажется, компания должна прекратить обработку персональных данных клиента в течение 30 дней (ч. 5 ст. 21 закона № 152-ФЗ).

Доступ к персональным данным клиентов нужно предоставлять их владельцам

Если гражданин, который передал компании персональные данные, просит дать к ним доступ, компания обязана это сделать (ст. 14 закона № 152-ФЗ).

При этом гражданину потребуется предоставить не только сведения о нем, но и другую информацию. Например, с какой целью компания хочет обрабатывать персональные данные клиента и на каком основании.

Информацию следует передать за 30 дней после получения запроса от гражданина (ст. 20 закона № 152-ФЗ).

Из этого правила есть исключения (ч. 8 ст. 14 закона № 152-ФЗ). Например, компания не должна предоставлять клиенту данные, которые получила в результате оперативно-разыскной деятельности и также благодаря работе разведки или контрразведки.

Если физическое лицо запрашивает свои данные у госорганов, подобные структуры руководствуются при ответе на запрос особыми нормативными актами. Например, для Минфина РФ существуют Правила рассмотрения запросов субъектов персональных данных или их представителей в Министерстве финансов Российской Федерации.

Персональные данные клиента следует корректировать или удалять по его требованию

Если клиент требует внести изменения, блокировать или уничтожить его данные, компания обязана сделать это (ч. 1 ст. 14 закона № 152-ФЗ). Данные могут устареть, быть неполными или неточными.

А также может оказаться, что их получили незаконно, или компания ведет обработку персональных данных клиента в иных целях, чем заявляла. Требование клиента следует выполнить сообразно срокам, которые установили в ст.

21 закона № 152-ФЗ.

Если в компании не предусмотрели специального адреса для обращений по подобным поводам, письмо клиента может попасть в общие папки или спам. Сотрудники компании не обратят на него внимания, компания не выполнит требование в срок, это повлечет штраф. Лучше указать специальный адрес для писем по поводу персональных данных клиентов.

Нужно обеспечить сохранность персональных данных клиентов

Когда компания обрабатывает персональные данные клиентов, одна из ее обязанностей – проинформировать аудиторию о том, что она делает для сохранности это информации и какой именно политики придерживается. В частности, клиенты должны знать, кому и на каких основаниях компания будет передавать эти данные.

На сайте компании следует создать об этом раздел в открытом доступе и дать на него ссылку на главной странице. Каждый посетитель сайта должен иметь возможность ознакомиться с политикой компании и с теми мерами, которые она предпринимает для защиты персональных данных клиентов (ч. 2 ст. 18.1 закона № 152-ФЗ).

Для защиты персональных данных клиентов компания должна принять меры

Оператор персональных данных клиентов должен обеспечить сохранность информации. Для защиты сведений следует соблюдать правила:

Обзоры последних изменений

Главные изменения в законодательстве в 2018 году
Посмотрите изменения, которые вступают или уже вступили в силу в 2018 году.

Директоров и учредителей станут чаще привлекать по долгам компании
И другие выводы из Обзора практики Верховного суда № 2/2018 от 04.07.2018

Закупки по Закону № 44-ФЗ с 1 июля: все изменения в одной инструкции
С 1 июля все конкурентные закупки можно проводить в электронном виде, правила для закупок в бумажном виде тоже изменились. Законодатели ввели в Закон № 44-ФЗ новые статьи, которые срочно нужно изучить.

Формулировки договоров, из смысла которых суды делают вывод, что стороны не установили досудебный порядок
Обзор практики.

Изменения в КоАП РФ в 2018 году
Все поправки в одной таблице.

Источник: https://www.law.ru/article/21594-qqq-17-m5-30-05-2017-personalnye-dannye-klientov

Как защитить персональные данные сотрудников и не попасть на повышение штрафов с 1 июля 2017 года

Что делать юристу компании, которая работает с персональными данными клиентов

ФИО и любая другая личная информация о гражданине – это персональные данные.

Если у компании есть сотрудники, либо хранятся персональные данные клиентов или других физических лиц, она должна выполнять требования Федерального закона № 152-ФЗ «О персональных данных».

За их соблюдением строго следит Роскомнадзор. Требований много, и ответственность за их несоблюдение предусмотрена серьезная.

Как защитить персональные данные сотрудников и клиентов и правильно организовать работу с персональными данными, чтобы избежать штрафов, читайте в нашей публикации.

Что такое персональные данные?

Согласно закону № 152-ФЗ, персональные данные – это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. То есть о персональных данных можно говорить, если по информации или ее совокупности можно понять, о ком именно идет речь. Если же идентифицировать личность нельзя, то такие сведения нельзя отнести к персональным данным.

Исчерпывающего списка персональных данных в законодательстве не приводится. Относятся данные к персональным или не относятся, решается в каждой ситуации отдельно. Но обычно к ним принято относить:

  • фамилию, имя, отчество;
  • адрес проживания;
  • электронный адрес;
  • номер телефона;
  • дата рождения;
  • место рождения;
  • национальность;
  • вероисповедание;
  • место работы;
  • должность;
  • рост;
  • вес;
  • и т.д.

Как должен защищать персональные данные отдел кадров

Обязанности в сфере защиты персональных данных отделом кадров четко прописаны в главе 14 Трудового кодекса РФ и ст. 18.1 Закона № 152-ФЗ.

Итак, кадровым сотрудникам следует:

  1. Проходить обучение, повышать квалификацию по обработке персональных данных (если работодатель ответственно относится к вопросу соблюдения кадровой службой законодательства о персональных данных – он потратится на учебу).
  2. Осуществлять все действия с персональными данными (документами, содержащими персональные данные) только с письменного согласия работника. Кстати, сообщение информации о работе того или иного сотрудника кредитным организациям по телефону также должно быть произведено только с письменного согласия работника.
  3. Знакомить перед заключением трудового договора сотрудников с локальным нормативным актом, определяющим порядок обработки персональных данных в компании.
  4. Соблюдать режим ограниченного допуска к персональным данным (разграничивать доступ между специалистами по кадрам в соответствии с функционалом, использовать в работе запирающиеся шкафы, сейфы, запирающие и блокирующие устройства).

Во-первых, необходимо выяснить состав физических лиц, чьи персональные данные обрабатываются.

Если компания имеет дело лишь с персональными данными:

  • сотрудников, работающих по трудовым договорам;
  • работающих по договорам ГПХ;
  • и иными физическими лицами.

Когда обработка персональных данных отделом кадров ограничивается лишь фамилией, именем и отчеством – достаточно разработать единый комплексный документ, определяющий политику компании в области обработки персональных данных, как работников, так и иных лиц, вступающих в отношения с компанией и чьи персональные данные обрабатываются.

Если круг субъектов и перечень персональных данных шире (например, компания занимается обработкой и хранением персональных данных своих клиентов), то ограничиться локальными нормативными актами не получится. В таком случае Закон № 152-ФЗ обязывает компанию:

  1. уведомить Роскомнадзор о намерении обрабатывать персональные данные;
  2. подготовить перечень документов, определяющий порядок обработки и защиты персональных данных. Перечень таких документов достаточно обширный. Практика показывает, что это:
    • Приказ о назначении ответственного за организацию обработки персональных данных;
    • Документ, определяющий политику оператора в отношении обработки персональных данных;
    • Согласия сотрудников на обработку персональных данных (в т.ч. на передачу третьим лицам и получение у третьих лиц);
    • Документ, содержащий положения о принятии оператором правовых, организационных и технических мер для защиты персональных данных;
    • Документы по организации приема и обработке обращений и запросов субъектов персональных данных;
    • Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации;
    • Документ, устанавливающий требования к ведению журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию;
    • Документ, устанавливающий требования к хранению материальных носителей содержащих персональные данные;
    • Документ о классификации информационных систем;
    • Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом;
    • Документ, устанавливающий порядок обработки персональных данных работников.

Если обработку персональных данных по поручению компании выполняет провайдер, (например, аутсорсинговая бухгалтерская компания), то вышеперечисленный перечень документов дополняется:

  1. Письменным поручением на обработку персональных данных. Такое поручение может быть внесено в основной договор об оказании услуг и должно включать не только поручение провайдеру осуществлять от имени компании обработку персональных данных, но и цели такой обработки, перечень действий с ними, их состав, а также обязательство провайдера соблюдать конфиденциальность и безопасность персональных данных, а также требования к их защите.
  2. Согласиями на передачу персональных данных провайдеру – от каждого сотрудника

Как видим, перечень документов, регламентирующий обработку персональных данных, достаточно обширный.

Чтобы не перегружать документооборот огромным количеством локальных нормативных актов (приказов, положений, инструкций и т.д.

), а процесс приема на работу в бесконечный процесс ознакомления с локальными документами, рекомендуется утвердить один документ, регламентирующий все аспекты работы с персональными данными в компании.

Как проверить свою бухгалтерскую компанию на предмет защиты персональных данных

Все ранее перечисленные требования относятся и к провайдеру, в том числе, компаниям, оказывающим услуги бухгалтерского аутсорсинга.

Добросовестный провайдер:

  • По запросу клиента предоставит выписку из федерального реестра операторов персональных данных (компания-провайдер попадает в этот реестр после уведомления Роскомнадзора).

Важно!

Проверить провайдера на соблюдение порядка уведомления Вы можете самостоятельно на сайте Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/operators-list/.

  • Ознакомит со своей Политикой в отношении персональных данных клиентов.
  • Включит в договор обслуживания условия о поручении и обязанности провайдера осуществлять обработку персональных данных от имени компании, а также обязанности, связанные с защитой этих данных.

Важно!

Провайдер не обязан брать согласия с субъектов персональных данных, которые он обрабатывает в связи с исполнением договора на обслуживание, поэтому обязательно возьмите письменные согласия с работников на передачу персональных данных провайдеру.

Ответственность за нарушение закона 152-ФЗ

Возможные нарушения в области защиты персональных данных и суммы штрафов мы привели в таблице:

За что могут штрафоватьСумма штрафа
Персональные данные обрабатываются не в тех целях, на которое дано согласиеНапример, персональные данные работника обрабатываются в целях расчета заработной платы, ведения кадрового делопроизводства, но никак не для оформления кредита, открытия лицевых счетов в банках, продажи чего-либо. В согласии на обработку персональных данных обязательно указываются цели обработки – это требование Закона 152-ФЗ.от 30 000 до 50 000 руб.
Обработка персональных данных отделом кадров без письменного согласия (когда оно, естественно, требуется)от 15 000 до 75 000 руб.
Политика по обработке персональных данных не опубликована или отсутствует в свободном доступе (на стенде, на сайте и т.д.)от 15 000 до 30 000 руб.
Оператор персональных данных не отреагировал на запрос сотрудника (субъекта персональных данных)Например, на электронную почту приходит регулярная рассылка с сайта ***, принадлежащего компании ААА. Получатель рассылки направляет в компанию ААА запрос о подтверждении факта обработки его персональных данных, их состава, целей такой обработки и т.д. В течение 30 дней компания ААА должна дать официальный ответ. Если такого ответа не последовало, то это нарушение.от 20 000 до 45 000 руб.
Нарушены условия защиты бумажных документов, содержащих персональные данные Например, произошла утечка данных вследствие случайного доступа постороннего лица, уничтожение персональных данных, их распространение и т.д.от 25 000 до 50 000 руб.

Что говорят суды о плохо защищенных персональных данных

  • В тексте договора об оказании бухгалтерских услуг отсутствовали существенные условия об обеспечении конфиденциальности и безопасности персональных данных при их обработке, не был приведен перечень действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, а также не указаны требования к защите обрабатываемых персональных данных. Компании выписали предписание устранить нарушение (Постановление ФАС Северо-Западного округа от 29.04.2013 по делу № А44-5910/2012).

Источник: https://1c-wiseadvice.ru/company/blog/kak-zashchitit-personalnye-dannye-sotrudnikov-i-ne-popast-na-povyshenie-shtrafov-s-1-iyulya-2017-god/

Закон «О персональных данных» — что нужно знать агентству

Что делать юристу компании, которая работает с персональными данными клиентов

Многие агентства интересуются: что с этим законом делать? На что он влияет? Дело в том, что иностранные заказчики и представители иностранных компаний в России стали чаще спрашивать:

«Обеспечиваете ли вы защиту персональных данных, собираемых во время наших рекламных кампаний и поддержки сайта?».

Закон о локализации баз персональных данных на территории РФ, тесно связанный с законом «О персональных данных» и вступивший в силу 1 сентября 2015 года, сильно их напугал.

Эта статья отвечает на вопросы:

  • Что регулирует закон № 152-ФЗ «О персональных данных»?
  • Кто попадает под действие закона?
  • Какие основные требования закона № 152-ФЗ?
  • Какие существуют основные риски за невыполнение закона для организаций и должностных лиц?
  • Как лучше выполнить требования закона и показать это заказчикам?

Что регулирует закон № 152-ФЗ «О персональных данных»?

Закон регулирует все вопросы, связанные с обработкой (получением, хранением, передачей, удалением и т. д.) персональных данных физических лиц индивидуальными предпринимателями, юридическими лицами и бюджетными организациями. Организации и предприниматели обязаны правильно обрабатывать и защищать эти данные.

Cossa рекомендует: образовательная 20-недельная онлайн-программа, разработанная Андреем Тереховым (CEO COSSA/RUWARD) для PR-менеджеров на стороне агентств и веб-студий.

  • 20 тематических блоков по 5 дней каждый
  • 100 практических ежедневных заданий
  • 20 больших еженедельных заданий
  • 20 видео-роликов по теории (7+ часов)
  • Более 300 ссылок на материалы по теме
  • Баланс стратегия:тактика — 2:3
  • Баланс практика:теория — 3:1

Успей оплатить участие по сниженной цене до 6 октября!

Реклама

Персональные данные — это любая информация, относящаяся к физическому лицу. Даже связка имени и адреса электронной почты уже относится к персональным данным.

В агентствах обрабатываются, как минимум, персональные данные:

  • Сотрудников;
  • Близких родственников сотрудников;
  • Кандидатов на вакантную должность;
  • Клиентов.

Какие бывают персональные данные?

Специальные персональные данные: касаются расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Биометрические персональные данные: характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

Общедоступные персональные данные: сделанные физическим лицом общедоступными или содержащиеся в специальных справочниках.

Иные персональные данные: все, что не попало ни в одну из вышеуказанных категорий.

К обработке специальных и биометрических персональных данных предусмотрены особые требования.

Кто попадает под действие закона?

Все предприниматели, физические и юридические лица, бюджетные организации, обрабатывающие персональные данные физических лиц. Их называют операторами персональных данных.

В первую очередь закон касается компаний, работающих в следующих сферах:

  • Реклама и диджитал;
  • Финансы и кредитование;
  • Медицина и фармокология;
  • Телекоммуникации;
  • Образование;
  • Офлайн- и онлайн-ритейл;
  • Гостиничное дело;
  • Бюджетные организации.

Эти компании чаще всего работают с персональными данными. Поэтому главный регулятор в этой сфере — Роскомнадзор — внимательно за ними следит.

Примеры обработки персональных данных в диджитал

В первую очередь, следят за видами обработки персональных данных, которые используются:

  • Для трудоустройства сотрудников и оформления им ДМС;
  • Для выдачи карт лояльности;
  • Для рекламных и новостных рассылок;
  • Для оказания услуг;
  • Для регистрации на сайтах и информационных системах;
  • Для звонков потенциальным клиентам.

Основные требования законодательства в области персональных данных

Разделим все требования для простоты на 4 группы. Работая с персональными данными, вы должны:

1. Подготовить пакет организационно-распорядительной документации. 2. Привести процессы работы с персональными данными в соответствие с законом. 3. Реализовать техническую защиту персональных данных в информационных системах.

4. Хранить базы с персональными данными на территории Российской Федерации.

Требования по подготовке внутренних организационно-распорядительных документов

Закон в ст. 18.1 требует от операторов персональных данных иметь локальные акты и политику, регламентирующую обработку и защиту персональных данных. Точного перечня необходимых документов не предлагается.

При этом Роскомнадзор во время проверок компаний запрашивает перечень необходимых документов и сведений, которые на практике ему передают в виде копий внутренних документов.

Поскольку точного перечня документов не существует, каждый оператор персональных данных составляет их по своему усмотрению на основании текста закона и подзаконных актов.

Здесь вы найдете полный перечень необходимых документов, которых достаточно для соответствия требованиям.

Требования по приведению процессов работы с персональными данными в соответствие с законом

Персональные данные необходимо правильно собирать, обрабатывать и передавать.

Со всеми физическими лицами, у которых вы собираете персональные данные (например, через сайт клиента), должен быть заключен договор или взято согласие на их обработку.

С каждым контрагентом, которому вы передаете, предоставляете в доступ (например, другому агентству на субподряд) или от которого получаете персональные данные, необходимо заключить соглашение о поручении на их обработку.

Все сотрудники должны под роспись ознакомиться с внутренними документами организации по обработке и защите персональных данных и подписать обязательство о неразглашении.

В Роскомнадзор должно быть подано уведомление об обработке персональных данных.

Требования по технической защите персональных данных в информационных системах

Если персональные данные хранятся или как-то иначе обрабатываются в информационных системах (например, в «1С: Бухгалтерии», в базе данных сайта, CRM и других), нужно определить уровень их технической защищенности, составив соответствующий акт.

Затем нужно разработать модель угроз и на основании Постановления Правительства № 1119 и Приказа ФСТЭК России № 21 составить техническое задание на систему защиты персональных данных.

После этого разрабатывается и внедряется проект системы защиты. Внедрением может заняться сама компания или подрядчик, имеющий определенную лицензию ФСТЭК России.

Данное требование, по нашим данным, выполнили лишь 1% операторов. Во-первых, антивирус дорого стоит (закон говорит применять не просто антивирус, а сертифицированный ФСТЭК, при этом функционально они не отличаются, а по деньгам в 1.5–3 раза). Во-вторых, данное требование проверяется ФСТЭК и ФСБ России у малого и среднего бизнеса очень, очень, очень редко. Риск проверки крайне мал.

Требования по хранению баз персональных данных на территории Российской Федерации

С 1 сентября 2015 года сбор и хранение персональных данных граждан Российской Федерации может происходить только на территории Российской Федерации.

О месторасположении баз данных необходимо уведомить Роскомнадзор.

Особенно это касается иностранных и российских компаний, чьи информационные системы полностью или частично располагаются за пределами РФ.

Роскомнадзор дал операторам срок до конца февраля 2016 года, чтобы выполнить эти требования.

Кем проверяется выполнение требований закона?

Главный контролирующий орган: Роскомнадзор. Проверяет правильность обработки персональных данных и документы по персональным данным.

ФСТЭК России. Проверяет выполнение требований по технической защите.

ФСБ России. Проверяет выполнение требований по применению криптографии при обработке персональных данных.

Роскомнадзор проводит более 7000 плановых и внеплановых проверок в год, тогда как ФСТЭК и ФСБ — не более сотни проверок госсектора.

Если у Роскомнадзора к вам не будет претензий — можно сказать, что снято 99% рисков, связанных с данным законом.

Проверку локализации баз персональных данных Роскомнадзор проводит просто — запрашивает договор с российским хостинг-провайдером. После февраля проверка будет серьезнее и практичнее.

Кто несёт ответственность в случае, если хостинг-провайдер отечественный, а сервера использует зарубежные (т. е. пользователь может не знать, что его данные хранятся за границей)?

Ответственность лежит на конечном клиенте. Xостинг-провайдер может предоставлять зарубежные сервера, например, не для обработки и хранения данных персональных, а для вычислений.

Основные риски при невыполнении закона

По итогам проверок, мер систематического наблюдения и жалоб физических лиц Роскомнадзор и другие проверяющие органы могут накладывать штрафы, аннулировать лицензии, дисквалифицировать должностных лиц и блокировать сайты.

Основные риски:

  • Наложение на организацию штрафа до 300 000 рублей;
  • Наложение на должностных лиц штрафа до 10 000 рублей;
  • Разрыв трудового договора с должностным лицом;
  • Запрет руководителю занимать руководящие должности на срок до 3-х лет;
  • Блокировка сайта организации по жалобе физического лица;
  • Внесение компании в реестр нарушителей прав субъектов персональных данных.

С начала 2015 года по данным Роскомнадзора с организаций и должностных лиц было взыскано штрафов на 174 000 000 рублей.

С 1 сентября 2015 года Роскомнадзор имеет право без проверки, на основании жалобы физического лица заблокировать сайт организации за несоблюдение требований закона «О персональных данных».

Как лучше всего выполнить требования закона?

  • Собственными силами;
  • Привлечь юриста;
  • Обратиться к системному интегратору;
  • «Ждать, пока грянет гром»;
  • Использовать сервисы автоматизированной подготовки документов по персональным данным.

Рассмотрим каждый по отдельности.

Выполнение закона собственными силами

Чтобы выполнить требования, необходимо не только знать сам закон «О персональных данных» и подзаконные акты, но также разбираться в технических аспектах, чтобы описывать информационные системы персональных данных в организационно-распорядительной документации.

На поиск и разработку шаблонов документов по персональным данным, изучение законодательства и практику у вас или вашего сотрудника уйдет до 2-х месяцев. И это не даст гарантию результата: можно в чем-то ошибиться.

Выполнение закона с помощью юриста

Достаточно хороший способ, если у юриста или юридической компании, которой вы доверяете, есть необходимые знания по информационной безопасности.

Для подготовки документов по персональным данным, помимо знания самого закона, необходимо знать также подзаконные акты технического содержания и уметь регламентировать технические моменты.

При выборе такого варианта уточняйте у юриста — какие именно документы он будет разрабатывать, будет ли отображать в них технические моменты и имеет ли он опыт работы с Роскомнадзором.

Выполнение закона с привлечением системного интегратора

К системным интеграторам, как правило, обращаются большие компании и крупные государственные учреждения.

Плюсы: высокий уровень оказываемых услуг по информационной безопасности, гарантии, работа под ключ (разработка документации по персональным данным и внедрение технической защиты).

Минусы: высокая стоимость (в большинстве случаев — переваливающая за 1 000 000 рублей) и долгий срок реализации проекта, связанный с негибкостью бизнес-процессов.

«Ждать, когда грянет гром»

Единственные плюсы: отсутствие любых затрат в краткосрочной перспективе.

Минусы: рано или поздно закон придется выполнить. И лучше это сделать, пока требования не ужесточились окончательно.

Работа по ужесточению штрафных санкций Роскомнадзором ведется — в первом чтении уже принят законопроект о повышении штрафов до минимальных 30 000 рублей и максимальных 300 000 рублей за одно нарушение.

Выполнение закона с помощью сервисов автоматизированной подготовки документов по персональным данным

Плюсы: простота и доступность людям, не являющимся специалистами по информационной безопасности; невысокая стоимость; оперативная подготовка документов и консультации экспертов по безопасности.

Некоторые из сервисов также предоставляют финансовые гарантии с возмещением штрафов Роскомнадзора и помощь в прохождениях проверок.

Явные минусы: способ не подойдет крупным государственным компаниям и не поможет с полноценным внедрением системы защиты персональных данных, проверяемой в госсекторе ФСТЭК России и ФСБ России.

Почему стоит решить вопрос с выполнением требований закона «О персональных данных» именно сейчас

Это не только обязанность каждой частной или государственной компании, обрабатывающей персональные данные сотрудников и клиентов.

Заказчики (особенно иностранные) стали запрашивать не только учредительные документы, но и документы по персональным данным, чтобы подтвердить выполнение закона.

Закон стали использовать в качестве рычага давления не только органы исполнительной власти, но и конкуренты.

Какой способ вы бы ни выбрали, важно в итоге выполнить требования закона, снизив риски для компании и должностных лиц.

Источник картинки на тизере: Flickr

Источник: https://www.cossa.ru/152/116858/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.