Как подготовиться к проверке из Роскомнадзора по выполнению закона «О персональных данных»

Шаг 1. Запомните, что такое персональные данные

Это всякая информация, которая относится к определённому человеку: номер мобильного телефона, размер зарплаты, политические убеждения, даже фотографии в соцсетях и сведения о товарах, заказанных в интернет-магазине на прошлой неделе.

Шаг 2. Убедитесь, что закон распространяется на компанию

Так вышло, что закон распространяется на каждую компанию или ИП. Компании получают данные сотрудников при устройстве на работу, компании сферы услуг собирают данные клиентов — физических лиц.

Как только в бланках, файлах и сервисах компании появляются персональные данные, эта статья из познавательной становится руководством к действию. Компания хранит персональные данные даже тогда, когда работники пишут во внутренней соцсети, что исповедуют пастафарианство.

Шаг 3. Изучите масштаб поражения и удалите ненужное

Разберитесь, данные каких физических лиц накопила компания. Часто это работники и сотрудники по договорам подряда, соискатели вакансий и клиенты.

Поймите, какие это данные, и буквально выпишите в столбик. Работники: ФИО, дата рождения, размер зарплаты. Клиенты: ФИО, адрес электронной почты и домашний адрес.

Изучите, в какие бланки эти данные попадают, на каких компьютерах и в каких сервисах компании они хранятся. Персональные данные проникают куда угодно.

Если обнаружили ненужное для работы компании, смело избавляйтесь. Уже два года как сменили директ-мейл на SMS-рассылки — удаляйте почтовые адреса клиентов. Кадровики ещё хранят резюме соискателей за последние 15 лет — под нож.

Шаг 4. Спрашивайте разрешение

Передавать данные другой компании либо делать их публичными можно только с согласия физического лица. Типичные примеры: банк начисляет деньги на карты работников по зарплатному проекту, а курьерская компания развозит заказы клиентам.

Использовать специальные категории персональных данных можно только с письменного согласия. Это данные о национальной принадлежности, политических и религиозных взглядах и убеждениях, здоровье и интимной жизни.

Передавать данные заграничным контрагентам — тоже только с письменного согласия. Можно не делать так, если контрагент из одной из 17 стран, утверждённых приказом Роскомнадзора № 274 от 15.03.2013. Ведёте туристический бизнес и отправляете клиентов в Хорватию — берите письменное согласие на передачу данных в отели и компании, организующие трансфер.

Рассылать рекламные сообщения или совершать рекламные звонки — только с предварительного согласия, иначе Роскомнадзор и ФАС огорчатся. Заручитесь согласием клиента, когда собираете контактные данные на сайте или в бумажной анкете.

Шаг 5. Заведите пачку локальных нормативных актов

Результаты предыдущего шага вносятся во внутренний нормативный акт — политику в отношении обработки персональных данных.

152-ФЗ и Трудовой кодекс требуют, чтобы компания утвердила политику, ознакомила с ней работников и чтобы клиенты тоже могли это сделать.

Распечатка на информационном стенде и страничка на сайте решают проблему.

В случае, если в компанию придёт проверка, проверяющие захотят получить не одну политику. При этом в законе нет списка необходимых локальных актов. Выручает смекалка, «Яндекс» и Google, сервисы-помощники или умелые подрядчики.

Шаг 6. Приглядитесь к сайту

Обязательно опубликуйте на сайте политику в отношении обработки персональных данных, если собираете данные через него. Если нет — тоже опубликуйте, это выделит компанию в глазах клиентов и Роскомнадзора, который может проверить наличие политики на сайте компании безо всякого предупреждения.

При сборе данных через сайт не забудьте сослаться на политику и спросить разрешение клиентов на использование данных. Проставление галочки в форме на сайте — это тоже знак согласия.

Шаг 7. Уведомите Роскомнадзор

152-ФЗ советует отправить в Роскомнадзор уведомление, что компания использует персональные данные.

Закон перечисляет ряд случаев, когда это не обязательно, но лучше исключениями не пользоваться.

Корректно применить исключения к компании сложно. Не легче доказать это контролирующему органу, если он не согласится.

Уведомление отправляется через сайт Роскомнадзора или портал госуслуг, а затем по почте. В уведомлении укажите реквизиты компании и информацию из политики. Используйте инструкцию на сайте Роскомнадзора, она ответит на некоторые вопросы по заполнению.

Этих шагов хватит, чтобы подготовиться к проверке или «письму счастья» из Роскомнадзора. Гарантировать успех в общении с контролирующим органом нельзя, но принять разумные меры стоит уже сегодня… или завтра. Да и Роскомнадзор лоббирует повышение штрафов на порядок.

Комментарии

Написать комментарий

igorlukanin

03.06.15 22:48

Я думал услышать в ответ, что каждому из читателей статьи в день по несколько раз докучают рекламными сообщениями, а ФАС и РКН всё никак не огорчатся :) Хотя я сам как-то с помощью минимальных затрат сил (рассказать?) смотивировал РКН оштрафовать одного интернет-провайдера за слишком назойливую попытку телефонной продажи своих услуг. По поводу перетекания в сеть — я смотрю на это c оптимизмом. Реальный бизнес скорее получает новые каналы доставки своих товаров и услуг. Раньше нужна была реклама на радио или телефонный обзвон для анонса акции среди лояльных клиентов? А сегодня можно просто запостить в соцсети. Раньше нужно было организовывать логистику товаров и услуг, искать способы привлечь покупателей? Теперь это берут на себя маркетплейсы вроде Яндекс.Маркета. А ещё сеть создаёт новые бизнесы. Детективам работать не интересно? Есть сервисы, пытающиеся удалять информацию, по глупости оставленную в интернете. Новые рынки, новые возможности :)

+ - Ответить

03.06.15 22:57

Евгений, с точки зрения буквы закона и определение из статьи, и определение из вашего комментария не являются верными. За верным нужно обратиться к ст. 3 закона. А с точки зрения компании, пытающейся выполнить 152-ФЗ, практически любые используемые ею персональные данные будут относиться к определённому человеку. Работники? На них аж личные дела есть. Сотрудники по договорам подряда? Их паспортные данные в договорах. Соискатели вакансий? Выложили всю подноготную о себе в резюме. Клиенты? Всяко бывает, но даже коммунист с айфоном скорее всего оставит свой телефон, и весьма вероятно — что-то ещё (адрес, логин на сайте или в соцсетях). Если же коммунист купил айфон у оффлайн-ритейлера из избежал всяческих способов заполучить его данные (формы на сайтах, анкеты, бумажные договоры и т. д.) — ритейлер может порадоваться, выполнить закон ему будет чуть легче. Знаете ещё примеры и хотите обсудить? Пишите, буду только рад :)

inspire

04.06.15 09:39

ой, а можно рассказать про то, как оштрафовать банк "за слишком назойливую попытку телефонной продажи своих услуг"?)) Или всё, раз они согласие моё имеют, то операторы вольны мне звонить пять раз за час?

04.06.15 15:18

Многое зависит от того, имели вы дела с компанией ранее или нет (вы её клиент или нет). В моём случае я не был никогда клиентом интернет-провайдера (типичная ситуация с холодными звонками), поэтому, позвонив мне, провайдер нарушил и закон «О рекламе», и закон «О персональных данных», запрещающий прямые контакты для продвижения товаров и услуг без предварительного согласия. Я за 10 минут написал жалобы на сайтах ФАС и РКН, на следующий день мне перезвонили, я отправил по электронной почте детализацию звонков по телефону, доказывающую, что мне звонили — и через месяц получил письмо, что была проведена проверка и на компанию наложен штраф. Если вы уже клиент компании, а она при заключении договора взяла у вас согласие на такие рекламные контакты, можно воспользоваться другими возможностями 152-ФЗ — правом на отзыв своего согласия. Иногда помогает звонок в колл-центр с требованием прекратить звонки или гневное сообщение в соцсетях компании. Иногда — электронное и обычное письмо в компанию с отзывом согласие на обработку данных для целей «информирования». Иногда — только разрыв договора :) Тут придётся поэкспериментировать.

Читать все комментарии