3 июня 2015

Как подготовиться к проверке из Роскомнадзора по выполнению закона «О персональных данных»

О законе «О персональных данных» (152-ФЗ) слышали в каждой компании, а вот выполнить требования захотели и смогли немногие. Сегодня мы делимся постом Игоря Луканина, руководителя сервиса «Контур.Персональные данные».

Лиля Леднёва

Как подготовиться к проверке из Роскомнадзора по выполнению закона «О персональных данных»

Шаг 1. Запомните, что такое персональные данные

Это всякая информация, которая относится к определённому человеку: номер мобильного телефона, размер зарплаты, политические убеждения, даже фотографии в соцсетях и сведения о товарах, заказанных в интернет-магазине на прошлой неделе.

Шаг 2. Убедитесь, что закон распространяется на компанию

Так вышло, что закон распространяется на каждую компанию или ИП. Компании получают данные сотрудников при устройстве на работу, компании сферы услуг собирают данные клиентов — физических лиц.

Как только в бланках, файлах и сервисах компании появляются персональные данные, эта статья из познавательной становится руководством к действию. Компания хранит персональные данные даже тогда, когда работники пишут во внутренней соцсети, что исповедуют пастафарианство.

Шаг 3. Изучите масштаб поражения и удалите ненужное

Разберитесь, данные каких физических лиц накопила компания. Часто это работники и сотрудники по договорам подряда, соискатели вакансий и клиенты.

Поймите, какие это данные, и буквально выпишите в столбик. Работники: ФИО, дата рождения, размер зарплаты. Клиенты: ФИО, адрес электронной почты и домашний адрес.

Изучите, в какие бланки эти данные попадают, на каких компьютерах и в каких сервисах компании они хранятся. Персональные данные проникают куда угодно.

Если обнаружили ненужное для работы компании, смело избавляйтесь. Уже два года как сменили директ-мейл на SMS-рассылки — удаляйте почтовые адреса клиентов. Кадровики ещё хранят резюме соискателей за последние 15 лет — под нож.

Шаг 4. Спрашивайте разрешение

Передавать данные другой компании либо делать их публичными можно только с согласия физического лица. Типичные примеры: банк начисляет деньги на карты работников по зарплатному проекту, а курьерская компания развозит заказы клиентам.

Использовать специальные категории персональных данных можно только с письменного согласия. Это данные о национальной принадлежности, политических и религиозных взглядах и убеждениях, здоровье и интимной жизни.

Передавать данные заграничным контрагентам — тоже только с письменного согласия. Можно не делать так, если контрагент из одной из 17 стран, утверждённых приказом Роскомнадзора № 274 от 15.03.2013. Ведёте туристический бизнес и отправляете клиентов в Хорватию — берите письменное согласие на передачу данных в отели и компании, организующие трансфер.

Рассылать рекламные сообщения или совершать рекламные звонки — только с предварительного согласия, иначе Роскомнадзор и ФАС огорчатся. Заручитесь согласием клиента, когда собираете контактные данные на сайте или в бумажной анкете.

Шаг 5. Заведите пачку локальных нормативных актов

Результаты предыдущего шага вносятся во внутренний нормативный акт — политику в отношении обработки персональных данных.

152-ФЗ и Трудовой кодекс требуют, чтобы компания утвердила политику, ознакомила с ней работников и чтобы клиенты тоже могли это сделать.

Распечатка на информационном стенде и страничка на сайте решают проблему.

В случае, если в компанию придёт проверка, проверяющие захотят получить не одну политику. При этом в законе нет списка необходимых локальных актов. Выручает смекалка, «Яндекс» и Google, сервисы-помощники или умелые подрядчики.

Шаг 6. Приглядитесь к сайту

Обязательно опубликуйте на сайте политику в отношении обработки персональных данных, если собираете данные через него. Если нет — тоже опубликуйте, это выделит компанию в глазах клиентов и Роскомнадзора, который может проверить наличие политики на сайте компании безо всякого предупреждения.

При сборе данных через сайт не забудьте сослаться на политику и спросить разрешение клиентов на использование данных. Проставление галочки в форме на сайте — это тоже знак согласия.

Шаг 7. Уведомите Роскомнадзор

152-ФЗ советует отправить в Роскомнадзор уведомление, что компания использует персональные данные.

Закон перечисляет ряд случаев, когда это не обязательно, но лучше исключениями не пользоваться.

Корректно применить исключения к компании сложно. Не легче доказать это контролирующему органу, если он не согласится.

Уведомление отправляется через сайт Роскомнадзора или портал госуслуг, а затем по почте. В уведомлении укажите реквизиты компании и информацию из политики. Используйте инструкцию на сайте Роскомнадзора, она ответит на некоторые вопросы по заполнению.

Этих шагов хватит, чтобы подготовиться к проверке или «письму счастья» из Роскомнадзора. Гарантировать успех в общении с контролирующим органом нельзя, но принять разумные меры стоит уже сегодня… или завтра. Да и Роскомнадзор лоббирует повышение штрафов на порядок.

Лучшие предложения

Nahodki AliExpress: samye interesnye i poleznye tovary marta

Находки AliExpress: самые интересные и полезные товары марта

Популярную DDR4-оперативку на 16 ГБ отдают со скидкой 67% на AliExpress

Магазины, которые продлили скидки после большой распродажи на AliExpress

10 предметов для небольших, но заметных изменений в интерьере

Надо брать: недорогой игровой монитор с высокой герцовкой от Bloody

15 товаров, чтобы с комфортом проводить время на даче

Забираем очаровательные кеды из коллаборации SELA и «Союзмультфильма»

Надо брать: кроссовки от Li-Ning для тех, кто проводит весь день на ногах

Это интересно

«Семальтара»: как работает семаглутид в таблетках и для чего его назначают

Что за препарат «Семальтара» и почему его могут назначить при сахарном диабете 2‑го типа

ИГРА: Помогите Яне построить свой бизнес

Как женщины-учёные выводят науку за пределы лабораторий: 3 идеи, которые двигают прогресс

Комментарии

Evgeny Sokolenko

03.06.15 14:33

Увы и ах, но этого не достаточно! Персональные данные - это совокупность сведений по которым можно определить физическое лицо. ФИО Дата рождения Адрес проживания и т.д. Коммунист, 100 т.р., заказал Iphone 6- кто это?

id297101743

03.06.15 16:54

депутат конечно

igorlukanin

03.06.15 22:57

Евгений, с точки зрения буквы закона и определение из статьи, и определение из вашего комментария не являются верными. За верным нужно обратиться к ст. 3 закона. А с точки зрения компании, пытающейся выполнить 152-ФЗ, практически любые используемые ею персональные данные будут относиться к определённому человеку. Работники? На них аж личные дела есть. Сотрудники по договорам подряда? Их паспортные данные в договорах. Соискатели вакансий? Выложили всю подноготную о себе в резюме. Клиенты? Всяко бывает, но даже коммунист с айфоном скорее всего оставит свой телефон, и весьма вероятно — что-то ещё (адрес, логин на сайте или в соцсетях). Если же коммунист купил айфон у оффлайн-ритейлера из избежал всяческих способов заполучить его данные (формы на сайтах, анкеты, бумажные договоры и т. д.) — ритейлер может порадоваться, выполнить закон ему будет чуть легче. Знаете ещё примеры и хотите обсудить? Пишите, буду только рад :)

ligra

03.06.15 21:19

иначе Роскомнадзор и ФАС огорчатся.)))) порадовало)))) на самом деле, есть такая классная статья, она правда лет 10 назад была опубликована о том что мы сами убили всю конфеденциалисность и сейчас даже детективам работать не интересно))) я вот смотрю какими темпами все в сеть переползает и понимаю что через два года реальный бизнес будет уже не особо рентабельным. все только в сеть и из нее

igorlukanin

03.06.15 22:48

Я думал услышать в ответ, что каждому из читателей статьи в день по несколько раз докучают рекламными сообщениями, а ФАС и РКН всё никак не огорчатся :) Хотя я сам как-то с помощью минимальных затрат сил (рассказать?) смотивировал РКН оштрафовать одного интернет-провайдера за слишком назойливую попытку телефонной продажи своих услуг. По поводу перетекания в сеть — я смотрю на это c оптимизмом. Реальный бизнес скорее получает новые каналы доставки своих товаров и услуг. Раньше нужна была реклама на радио или телефонный обзвон для анонса акции среди лояльных клиентов? А сегодня можно просто запостить в соцсети. Раньше нужно было организовывать логистику товаров и услуг, искать способы привлечь покупателей? Теперь это берут на себя маркетплейсы вроде Яндекс.Маркета. А ещё сеть создаёт новые бизнесы. Детективам работать не интересно? Есть сервисы, пытающиеся удалять информацию, по глупости оставленную в интернете. Новые рынки, новые возможности :)

inspire

04.06.15 09:39

ой, а можно рассказать про то, как оштрафовать банк "за слишком назойливую попытку телефонной продажи своих услуг"?)) Или всё, раз они согласие моё имеют, то операторы вольны мне звонить пять раз за час?

igorlukanin

04.06.15 15:18

Многое зависит от того, имели вы дела с компанией ранее или нет (вы её клиент или нет). В моём случае я не был никогда клиентом интернет-провайдера (типичная ситуация с холодными звонками), поэтому, позвонив мне, провайдер нарушил и закон «О рекламе», и закон «О персональных данных», запрещающий прямые контакты для продвижения товаров и услуг без предварительного согласия. Я за 10 минут написал жалобы на сайтах ФАС и РКН, на следующий день мне перезвонили, я отправил по электронной почте детализацию звонков по телефону, доказывающую, что мне звонили — и через месяц получил письмо, что была проведена проверка и на компанию наложен штраф. Если вы уже клиент компании, а она при заключении договора взяла у вас согласие на такие рекламные контакты, можно воспользоваться другими возможностями 152-ФЗ — правом на отзыв своего согласия. Иногда помогает звонок в колл-центр с требованием прекратить звонки или гневное сообщение в соцсетях компании. Иногда — электронное и обычное письмо в компанию с отзывом согласие на обработку данных для целей «информирования». Иногда — только разрыв договора :) Тут придётся поэкспериментировать.

Что вы могли пропустить

6 способов использовать лимонную кислоту в быту

27 марта