Способ уничтожения устаревших персональных данных клиентов

Содержание
  1. Обработка персональных данных в 2021: как избежать штрафа
  2. Персональные данные: штрафы 
  3. Как понять, являетесь ли вы оператором персональных данных?
  4. Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора  
  5. Случаи, когда уведомление Роскомнадзора не требуется
  6. В каких случаях операторы не должны обеспечивать конфиденциальность персональных данных?
  7. Когда для обработки персональных данных не нужно согласие субъекта персональных данных?
  8. Портал персональных данных — что это такое?
  9. Политика обработки персональных данных
  10. 1. Общие положения
  11. 2. Термины и определения
  12. 3. Цели сбора персональных данных
  13. 4. Правовые основания обработки персональных данных
  14. 5. Принципы, порядок и условия обработки персональных данных
  15. 6. Сведения об обеспечении безопасности персональных данных
  16. 7. Права субъектов персональных данных
  17. Как удалить свои персональные данные из базы компании?
  18. Что сказано в законе?
  19. Как могут использовать мои персональные данные?
  20. Может ли моя персональная информация попасть к третьим лицам?
  21. Как отозвать согласие на обработку персональных данных?
  22. Как оператор защищает мои персональные данные?
  23. Что еще интересного почитать на канале:
  24. Защита персональных данных клиентов организации | Как защитить персональные данные клиента и что будет за их разглашение
  25. Нормативно-правовая база
  26. Обязанности оператора
  27. Положение о защите персональных данных
  28. Согласие на обработку персональных данных
  29. Риски, с которыми связана обработка персональных данных клиентов

Обработка персональных данных в 2021: как избежать штрафа

Способ уничтожения устаревших персональных данных клиентов

1 июля 2021 года вступил в силу Федеральный закон от 07.02.2021 № 13-ФЗ, который внес поправки в ст. 13.11 КоАП. В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.

Персональные данные: штрафы 

ОснованиеРазмер штрафа
ФизлицаДолжностные лицаЮрлицаИП
Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДнпредупреждение или штраф — от 1000 до 3000 руб. предупреждение или штраф — от 5000 до 10 000 руб.предупреждение или штраф — от 30 000 до 50 000 руб.
Обработка ПДн без письменного согласия на то их субъекта от 3000 до 5000 руб.от 10 000 до 20 000 руб.от 15 000 до 75 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДнот 700 до 1500 руб.от 3000 до 6000 руб.от 15 000 до 30 000 руб. от 5000 до 10 000 руб.
Непредоставление субъекту ПДн информации по их обработкепредупреждение или штраф — от 1000 до 2000 руб.предупреждение или штраф — от 4000 до 6000 руб.предупреждение или штраф — от 20 000 до 40 000 руб.предупреждение или штраф — от 10 000 до 15 000 руб. 
Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)предупреждение или наложение штрафа в размере от 1000 до 2000 руб.предупреждение или штраф — от 4000 до 10 000 руб.предупреждение или штраф — от 25 000 до 45 000 руб.  предупреждение или штраф — от 10 000 до 20 000 руб. 
Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копированияот 700 до 2000 руб.от 4000 до 10 000 руб.от 25 000 до 50 000 руб.от 10 000 до 20 000 руб. 
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДнпредупреждение или наложение административного штрафа — от 3000 до 6000 руб. 

Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.

В связи с этим возникает много вопросов, наиболее часто задаваемые:  

  • Являюсь ли я оператором персональных данных?
  • Распространяется ли на меня закон о персональных данных?
  • Как уведомить Роскомнадзор об обработке персональных данных?
  • Что делать владельцу сайта, чтобы избежать штрафов?  

Давайте разбираться со всеми вопросами по порядку.

Как понять, являетесь ли вы оператором персональных данных?

В Федеральном законе № 152-ФЗ дается определение трем ключевым понятиям, вокруг которых часто и возникают различные вопросы: персональные данные, оператор и обработка персональных данных.

Персональные данныелюбая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данныхлюбое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПДн относятся:

  • ФИО (вместе и даже по отдельности)
  • дата рождения
  • адрес
  • телефон
  • email
  • фотография
  • ссылка на персональный сайт
  • ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.   

Каждая категория операторов так или иначе сталкивается с обработкой ПДн. Физлица используют ПДн клиентов. ИП запрашивают эти данные, нанимая работников, или собирают ПДн на сайте, в интернет-магазине.

К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПДн.

Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПДн граждан. 

Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора  

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПДн, то под каждую из них нужно поставить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПДн. Это может быть как пользовательское соглашение, согласие на обработку ПДн, так и договор, политика конфиденциальности, так и часть оферты — название не столь принципиально.

 На сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите в этом заявлении внимание на пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать.

А вот на сайте Adidas текст согласия на обработку ПДн располагается прямо с формой регистрации, при этом ссылка ведет на Политику конфиденциальности компании.         

Шаг 3. Подготовьте текст документа с условиями обработки ПДн. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ): 

  • ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
  • цель обработки ПДн;
  • перечень ПДн, на обработку которых субъект дает согласие;
  • наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
  • срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);
  • подпись субъекта ПДн.

Обратите внимание! Если вы составляете пользовательское соглашение на основе чьего-то готового документа, то корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.

1 Федерального закона № 152-ФЗ) и разместите его на сайте в свободном доступе. Посмотрите, как это сделал тот же Microsoft.

 Подробнее о шести важных компонентах, которые необходимо включить в этот документ, читайте в статье «Политика обработки персональных данных: как составить документ»

Шаг 5. Подайте уведомление об обработке ПДн в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПДн. Но лучше поздно, чем никогда.

 За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор.

Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПДн. 

Случаи, когда уведомление Роскомнадзора не требуется

При обработке ПДн, если они:

  • относятся к субъектам, которых связывают с оператором трудовые отношения;
  • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  • являются общедоступными ПДн;
  • включают только ФИО субъектов ПДн;
  • нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;  
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

В каких случаях операторы не должны обеспечивать конфиденциальность персональных данных?

В соответствии с ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

  • в случае обезличивания персональных данных;
  • в отношении общедоступных персональных данных;
  • если данные включают только фамилии, имена и отчества субъектов персональных данных;
  • для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор (или в иных аналогичных целях);
  • если данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  • если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Когда для обработки персональных данных не нужно согласие субъекта персональных данных?

Согласно п. 2-11 ч. 1 ст. 6. Федерального закона 27.07.2006 № 152-ФЗ согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных:

1) осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

2) осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Портал персональных данных — что это такое?

В проекте программы «Цифровая экономика» говорится о планах по созданию специального портала персональных данных к 2021 году. Эта мера необходима для решения проблемы неконтролируемого сбора ПДн. Ответственность за ресурс будет возложена на Роскомнадзор.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Узнать больше

Предполагается, что портал персональных данных позволит пользователям узнавать, кому они давали разрешение на обработку ПДн, и запрещать их дальнейшее использование. Чтобы получить доступ к такой информации, им нужно будет просто авторизоваться на сайте.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!  

Более детальная информация об обработке персональных данных — в материалах наших экспертов:

5 базовых принципов закона о персональных данных, о которых нужно знать

Как подготовиться к плановой проверке ФСБ по персональным данным?

Проверка Роскомнадзора: как подготовиться и избежать штрафов 

Источник: https://kontur.ru/articles/4816

Политика обработки персональных данных

Способ уничтожения устаревших персональных данных клиентов

Политика обработки персональных данных (PDF)

Согласно Положению о коммерческой тайне, утверждённому ООО «Буферная бухта» от 06.12.2021

1. Общие положения

1.1.

Политика обработки персональных данных в ООО «Буферная бухта» (далее — Политика) определяет порядок обработки и защиты ООО «Буферная бухта» (далее — Оператор) и его аффилированных лиц информации о физических лицах (далее – Пользователи), которая может быть получена Оператором при использовании Пользователем услуг, предоставляемых посредством сайта lifehacker.ru и его поддоменов *.lifehacker.ru и сайта burninghut.ru и его поддоменов *.burninghut.ru (далее — Сайт).

1.2. Настоящая Политика направлена на защиту прав и свобод человека и гражданина при обработке Оператором его персональных данных, в том числе на защиту прав на неприкосновенность частной жизни, личную и семейную тайну.

1.3. Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных»).

1.4. Политика распространяется на все персональные данные Пользователей, обрабатываемые Оператором с применением средств автоматизации и без применения таких средств, полученные как до, так и после утверждения настоящей Политики.

1.5. Политика содержит сведения, подлежащие раскрытию в соответствии с ч. 1 ст. 14 ФЗ «О персональных данных».

1.6. Политика размещается на Сайте Оператора по адресу: https://lifehacker.ru/privacy, является общедоступным документом и обязательна для ознакомления лицами, передающими Оператору персональные данные посредством Сайта.

2. Термины и определения

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

Информация — сведения (сообщения, данные) независимо от формы их представления.

Оператор персональных данных (оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

3. Цели сбора персональных данных

3.1. В соответствии с требованиями действующего законодательства РФ Оператор определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, организует и осуществляет обработку персональных данных, а также организует и обеспечивает защиту обрабатываемых персональных данных.

3.2. Информация об Операторе:

Полное наименование: Общество с ограниченной ответственностью «Буферная бухта»

Сокращенное наименование: ООО «Буферная бухта»

ОГРН 1087328004752, ИНН 7328054190, КПП 732501001

Юридический адрес и адрес места нахождения: 432071, г. Ульяновск, ул. Радищева, д. 70, 3 этаж

3.3. Оператор обрабатывает персональные данные в целях соблюдения норм законодательства РФ, в том числе, но не ограничиваясь, следующими целями:

3.3.1. идентификации пользователя;

3.3.2. направления пользователю уведомлений и информации, связанных с использованием сайта, оказанием услуг, а также обработка обращений и заявок пользователя;

3.3.3. информирование о новых товарах, специальных акциях и предложениях;

3.3.4. проведение конкурсов;

3.3.5. формирования средств авторизации пользователя, используемых им для доступа к закрытым сегментам сайта;

3.3.6. осуществления обратной связи с пользователями Сайта Оператора, в том числе для получения от пользователей мнений, вопросов по информации сайтов и информационным продуктам Оператора, а также для направления им ответов;

3.3.7. в иных законных целях.

4. Правовые основания обработки персональных данных

4.1.

 Рассматриваемые в настоящем Соглашении отношения, связанные со сбором, хранением, обработкой, распространением и защитой информации о пользователях регулируются в соответствии с действующим законодательством Российской Федерации. Применение к ним норм иностранного права возможно исключительно в случаях, предусмотренных законодательством Российской Федерации и имеющими силу для Российский Федерации международными соглашениями.

5. Принципы, порядок и условия обработки персональных данных

5.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в ст. 5 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», в том числе:

5.1.1. законности и справедливости целей и способов обработки персональных данных;

5.1.2. соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Общества;

5.1.3. соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям их обработки;

5.1.4. достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

5.1.5. недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;

5.1.6. хранения персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или получателем, по которому является субъект персональных данных;

5.1.7. уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении, если иное не предусмотрено федеральным законом.

5.2. Оператор обрабатывает персональные данные на законной и справедливой основе для выполнения возложенных законодательством функций, полномочий и обязанностей, осуществления прав и законных интересов Оператора, работников Оператора и третьих лиц.

5.3. Оператор обрабатывает персональные данные Пользователей с их согласия, предоставляемого Пользователями и/или их законными представителями путем совершения конклюдентных действий на Сайте Оператора, в том числе, но не ограничиваясь, оформлением заказа, регистрацией в личном кабинете, подпиской на рассылку, в соответствии с настоящей Политикой.

5.4. Оператор обрабатывает персональные данные автоматизированным и неавтоматизированным способами, с использованием средств вычислительной техники и без использования таких средств.

5.5. Оператор может обрабатывать следующие персональные данные клиентов:

5.5.1. Фамилия, имя, отчество;

5.5.2. Адрес;

5.5.3. Номер контактного телефона;

5.5.4. Адрес электронной почты;

5.5.5. IP-адрес.

5.6. Действия по обработке персональных данных включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.

5.7. Оператор не проверяет достоверность персональных данных, предоставленных пользователями. Оператор исходит из того, что пользователь предоставляет персональные данные в своем интересе без намерения нарушить права и законные интересы третьих лиц и оператору или причинить им убытки.

5.8. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным Законом РФ.

5.9. Оператор обрабатывает персональные данные Пользователей не дольше, чем того требуют цели обработки персональных данных, если иное не предусмотрено требованиями законодательства РФ.

5.10. Уничтожение Оператором персональных данных осуществляется в порядке и сроки, предусмотренные Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных».

5.11. и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки.

6. Сведения об обеспечении безопасности персональных данных

6.1.

Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

6.2. Меры по обеспечению безопасности персональных данных при их обработке, применяемые Оператором, планируются и реализуются в целях обеспечения соответствия требованиям, приведенным в статье 19 ФЗ-152 «О персональных данных».

6.3. В соответствии со статьей 18.1 ФЗ-152 Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения требований законодательства. Оператор в частности принял следующие меры:

6.3.1. Внедрены локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений установленных процедур по обработке персональных данных и устранение последствий таких нарушений;

6.3.2. применяются правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со статьей 19 ФЗ-152;

6.3.3. осуществляется внутренний контроль соответствия обработки персональных данных ФЗ-152 и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;

6.3.4. проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ-152, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ-152;

6.3.5. работники Оператора, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;

6.3.6. В дополнение к требованиям 152-ФЗ «О персональных данных», у Оператора осуществляется комплекс мероприятий, направленных на защиту информации о клиентах, работниках и контрагентах.

7. Права субъектов персональных данных

7.1. Субъект персональных данных имеет право:

7.1.1. на получение персональных данных, относящихся к данному субъекту, и информации, касающейся их обработки;

7.1.2. на уточнение, блокирование или уничтожение его персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

7.1.3. отозвать согласие на обработку персональных данных, направив соответствующий запрос Оператору по почте или обратившись лично;

7.1.4. на защиту своих прав и законных интересов;

7.2. Для реализации своих прав и законных интересов субъекты персональных данных имеют право обратиться к Оператору либо направить запрос лично или с помощью представителя. Запрос должен содержать сведения, указанные в ч. 3 ст. 14 ФЗ «О персональных данных».

7.3.

В случае, если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

7.4. Права и обязанности Оператора определяются действующим законодательством и соглашениями Оператора.

7.5. Предложения и замечания для внесения изменений в Политику следует направлять по адресу ask@lifehacker.ru . Политика актуализируется по мере необходимости.

Источник: https://Lifehacker.ru/privacy/

Как удалить свои персональные данные из базы компании?

Способ уничтожения устаревших персональных данных клиентов

Закрыла кредит, но полностью закончить отношения с банком не получается. Звонят, предлагают займы и карточки, призывают участвовать в опросах. Во время одного из разговоров с их call-центром я попросила удалить сведения обо мне из их базы и больше не звонить.

Последовал ответ: информацию уничтожить не могут по закону, да и вообще я сама дала разрешение на все эти звонки и другие виды обработки данных, когда заключала кредитный договор.

Это правда? На что я подписалась, когда поставила галочку в графе «Согласие на обработку персональных данных»?

Как выясняется, банк прав: он не может сразу удалить все сведения по моему требованию.

По закону «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», он обязан хранить информацию в течение еще пяти лет со дня прекращения отношений с клиентом. Другой вопрос, что происходит с ней все эти годы — как банк ее обрабатывает и для чего использует.

Что сказано в законе?

acegif.com

Согласно Федеральному закону № 152 от 27.07.2006, персональные данные (ПД) — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Это могут быть и общие сведения (ФИО, место регистрации, дата рождения, образование, место работы, доходы), и биометрия (рост, цвет глаз, цвет волос, ДНК, группа крови, отпечатки пальцев).

Существуют и так называемые специальные ПД: раса, национальность, религиозные и философские убеждения, судимость, предпочтения в личной, интимной жизни.

Следующее важное понятие — «оператор». Это организация или физическое лицо, которые занимаются обработкой ПД, то есть собирают их, записывают, систематизируют, хранят, уточняют, используют, передают, блокируют, удаляют, уничтожают. В общем, выполняют любые действия с персональной информацией.

Прежде чем начать обрабатывать данные, оператор должен получить от субъекта согласие — «конкретное, информированное, сознательное». Это та самая галочка, которую мы ставим на сайте или на бумажной анкете в магазине, обменивая ее на дисконтную карту.

По идее, прежде чем начертить значок напротив надписи «Согласен», нужно ознакомиться с пользовательским соглашением. В нем прописано, с какой целью и какие именно данные оператор собирается обрабатывать, сколько будет действовать согласие и как его можно отозвать.

Но разве кто-нибудь читает этот документ?

Как могут использовать мои персональные данные?

acegif.com

И очень зря. Определения ПД и видов их обработки в законе довольно размытые. Опытные юристы могут подвести под них что угодно.

Например, в своей «Политике использования данных» одна популярная соцсеть предупреждает, что может получить доступ практически к любым данным своих пользователей.

Местоположение, телефонная книга, журнал вызовов, данные кредитных карт, списки друзей, информация о подключенных устройствах — регистрируясь в сети, человек сдает ей всю жизнь — свою и своих знакомых.

А использовать эти данные компания может для улучшения и продвижения как своих продуктов, так и бизнеса рекламодателей.

Другой известный сайт, специализирующийся на частных объявлениях, предупреждает, что будет размещать данные на сайте и в информационных ресурсах, передавать их своим партнерам (к примеру, службе доставки), проверять с их помощью личность пользователя.

Банки включают в свои договоры согласие на обработку биометрических данных. Нет, образец ДНК у клиентов не требуют, зато фотографируют и потом используют фото для авторизации. В банковских соглашениях можно найти пункты об обмене информацией с телефонными операторами (вдруг клиент сменит номер или SIM-карту) и бюро кредитных историй, а также о получении рекламы по SMS и электронной почте.

Может ли моя персональная информация попасть к третьим лицам?

Интернет-магазины передают номер телефона, почту, домашний адрес в службу доставки. Банки направляют сведения о должниках коллекторским агентствам.

Работодатели платят зарплату через банк — тот получает паспортные данные и информацию о доходах. И все это законно.

Оператор действительно может поручить обработку персональных данных третьему лицу — достаточно лишь заручиться письменным согласием субъекта.

Как отозвать согласие на обработку персональных данных?

acegif.com

В свободной форме — написать заявление на имя компании и отправить ее заказным письмом или по электронной почте, либо отнести лично. У оператора есть 30 дней с момента получения, чтобы удалить ПД.

Есть несколько случаев, когда уничтожить ПД не получится, как бы ни хотелось их субъекту. Например, использовать информацию без согласия человека могут суды и судебные приставы, государственные органы при исполнении своих полномочий и журналисты для профессиональной деятельности.

Банки обязаны хранить персональные данные в течение 5 лет. И что же, все это время меня будут забрасывать рекламой — по почте и по телефону? Я не могу заставить банк удалить информацию обо мне, зато могу запросить сведения о том, какими персональными данными и как он оперирует. И вот как раз от многих видов обработки (например, рекламных рассылок) можно отказаться.

Как оператор защищает мои персональные данные?

acegif.com

Чем больше клиентов у компании и, соответственно, персональных данных, тем надежнее должна быть их охрана. Например, в крупных организациях — банках, страховых компаниях — многоступенчатая защита ПД включает:

  • обеспечение безопасности помещений, где размещается информационная система ПД;
  • обеспечение сохранности носителей ПД;
  • использование средств защиты информации, которые отвечают требованиям законодательства;
  • ограниченный доступ к ПД — только для сотрудников, которым они нужны для работы;
  • использование шифровальных средств для защиты информации и т. д.

Наконец, сам человек должен защищать свои данные. Тем, что тщательно выбирает компанию, которой их доверяет, и внимательно читает документы об их обработке.

Например, на сайте Страхового Дома ВСК «Политика в отношении обработки персональных данных» прописана очень просто и подробно. Изучить ее можно за несколько минут — чуть дольше, чем тут же оформить любую страховку.

А в надежности их хранения и обработки лично я не сомневаюсь: ВСК знает толк в защите моих интересов.

Что еще интересного почитать на канале:

6 признаков обмана при покупке авиабилетов онлайн

Новые законы 2021 года, которые коснутся собственников жилья

Источник: https://zen.yandex.ru/media/vsk/kak-udalit-svoi-personalnye-dannye-iz-bazy-kompanii-5e301d2ff5f9695471f0dab4

Защита персональных данных клиентов организации | Как защитить персональные данные клиента и что будет за их разглашение

Способ уничтожения устаревших персональных данных клиентов

Большинство российских компаний, работающих в секторе оказания услуг физическим лицам, тем или иным способом собирают и обрабатывают их персональные данные.

Такая функция становится основанием для признания их операторами персональных данных в установленном законом порядке и необходимости принять комплекс организационных и технических мер, призванных защитить доверенную организациям информацию клиентов.

Нормативно-правовая база

Федеральный закон «О персональных данных» признает операторами всех юридических лиц и предпринимателей, которые получают и обрабатывают персональные данные клиентов в ситуациях, не являющихся обычным кадровым документооборотом. К предприятиям, постоянно сталкивающимся в своей работе с требованиями получать и обрабатывать данные в установленном законом порядке, а также предпринимать меры, направленные на их защиту, относятся:

  • медицинские учреждения, требования к которым, определяющие степень защищенности информационной системы, повышены из-за важности доверяемых им данных;
  • образовательные организации;
  • банки и другие финансовые учреждения;
  • страховые компании;
  • гостиницы;
  • библиотеки;
  • магазины.

Каждый из этих субъектов бизнеса получает от граждан сведения, которые носят конфиденциальный характер, и это не только имя, данные паспорта и номер телефона, но и информация о семейном положении, здоровье, имуществе, счетах и вкладах.

Организации, в деятельности которых эти сведения необходимы по различным причинам, часто нормативно-правового порядка (например, форматы различных учетных карточек устанавливаются министерствами и ведомствами), вместе со сведениями получают комплекс обязанностей по их защите при обработке и передаче третьим лицам.

Закон требует от операторов предпринять комплекс организационных и технических мер, направленных на защиту доверенной им информации.

Конкретизируются эти требования Постановлением Правительства № 1119, определяющим параметры, по которым устанавливается уровень защищенности системы, и приказами ФСТЭК России, которые регулируют применение и сертификацию технических средств, защищающих целостность информационной системы персональных данных. Также в области сертификации средств криптографической защиты данных и некоторых программных продуктов действуют стандарты, разрабатываемые и утверждаемые ФСБ России.

Обязанности оператора

Оператором является практически каждая организация, в рамках своей деятельности получающая от клиентов сведения о данных их паспорта или о номере телефона. Закон устанавливает обязанности оператора персональных данных как на организационном, так и на техническом уровне. После того, как компания определила, что требования закона безусловно относят ее к операторам, она обязана:

  • направить уведомление в Роскомнадзор о начале деятельности, связанной с обработкой персональных данных. Его форма заполняется на сайте, затем распечатывается, подписывается и отправляется в ведомство по почте;
  • разработать локальные нормативные акты, определяющие принципы и порядок обработки персональных данных клиентов в процессе осуществления ими предпринимательской деятельности;
  • разработать формат согласия на обработку персональных данных, которое подписывают клиенты, и определить порядок его предоставления для подписания;
  • назначить приказом руководителя лицо, ответственное за обеспечение надлежащей защиты персональных данных;
  • определить требуемую степень защищенности своей информационной системы согласно нормам Постановления Правительства № 1119;
  • разработать план приведения информационной базы в соответствие с требованиями законодательства и реализовать его.

Выполнение этих обязанностей контролируется в ходе проверок Роскомнадзора. Следует учитывать, что по закону о защите прав юридических лиц в процессе проверок первая из плановых может пройти только спустя три года после направления уведомления.

Положение о защите персональных данных

Одной из задач оператора становится разработка внутреннего положения, определяющего принципы его работы при взаимодействии с персональными данными клиентов.

Обычно оно размещается на сайте оператора таким образом, чтобы было доступно любому клиенту при поиске информации или предоставлении сведений, содержащих персональные данные.

Подготовить такой нормативный акт можно самостоятельно, силами административного подразделения компании или службы безопасности, никаких специальных норм он не содержит, и требований к его формату и содержанию законодательство не предъявляет. В рекомендуемой версии структура положения будет выглядеть следующим образом:

  • общие положения. Здесь необходимо описать принципы работы с персональными данными, общие цели их использования, сведения о том, что после истечения определенного времени данные, потерявшие актуальность, должны быть уничтожены, порядок утверждения самого документа и внесения в него изменений;
  • определения. Здесь поясняется, что понимается под персональными данными клиентов применительно к уставным целям и задачам конкретной компании, поясняются другие термины, например, «клиент», «оператор». Требуемые от клиента персональные данные описываются максимально подробно, с пояснениями, от какой категории лиц какие именно сведения должны быть предоставлены. Здесь же описываются допустимые способы получения персональных данных;
  • требования к конфиденциальности. В положении указывается, что на персональные данные распространяется режим конфиденциальности, что оператор обязывает своих сотрудников соблюдать его требования. Кроме того, отмечается, что при передаче сведений третьим лицам для обработки на основании соглашения оператор включает в его обязательства соблюдение конфиденциальности и ответственность за нарушение этих требований;
  • права и обязанности клиента. В этом разделе необходимо быть осторожнее. Так, возложение на клиента обязанности уведомлять организацию об изменении персональных данных должно быть объяснено или нормами закона, или интересами самого клиента;
  • обязанности самого общества, возникающие при обработке персональных данных. Здесь можно не ограничиваться требованиями закона, инициативные решения повысят привлекательность предложения организации для клиента;
  • способы защиты персональных данных;
  • заключительные положения.

Согласие на обработку персональных данных

Существенным элементом системы защиты персональных данных становится разработка формата согласия на обработку персональных данных и установление порядка его подписания.

Чаще всего сведения получают от клиента в процессе оформления договора, но следует учитывать, что они сохраняются не только в информационных базах, но и на материальных носителях, которыми, в зависимости от вида услуг, могут быть:

  • листки учета посетителей, заполненные в гостиницах;
  • формуляры, оформляемые в библиотеках;
  • медицинские карты;
  • анкеты различного рода.

Все эти документы часто хранятся в общем доступе, степень их защищенности нельзя отнести к повышенной.

Распространение на них режима конфиденциальности защищается включением соответствующих норм в трудовые договоры с персоналом, но, как показывает практика, взыскать ущерб с сотрудника, виновного в разглашении конфиденциальной информации, крайне сложно.

Единственной защитой персональных данных, хранящихся на бумажных носителях, становится трудность обработки большого объема рукописных данных, это значит, что их неправомерное распространение возможно только в случае заинтересованности злоумышленника в сведениях о конкретном клиенте. Но, подписывая согласие на обработку данных, клиент должен быть уверен в том, что они будут охраняться максимально возможным и соответствующим требованиям законодательства способом.

Также в согласии указываются цели обработки персональных данных, например, для гостиницы это будет соблюдение требований безопасности клиентов и сохранности имущества.

Подписывая согласие, клиент должен признать целесообразность этих целей. После того, как определены цели, указываются способы обработки персональных данных, ручные и автоматические.

Клиент должен выразить свое согласие и с ними.

В согласии указываются лица, которым, по договору с оператором, данные могут передаваться для хранения и обработки. Как показывает последняя судебная практика, применительно к банкам, эти лица необходимо скрупулезно и подробно перечислить.

Как гласит закон, согласие на обработку персональных данных в любое время может быть отозвано, делается это по тем каналам связи, которые оператор установил для коммуникации с клиентом. После отзыва компания обязана в течение 30 дней уничтожить данные.

Этого можно избежать только в том случае, когда их нахождение у организации-оператора обусловливается требованиями федеральных законов, например, по борьбе с терроризмом или об отмывании денежных средств.

Ранее срок удаления составлял 7 дней, но он был настолько неудобен для операторов, что было принято решение о его продлении. Также клиент вправе требовать удаления или изменения данных, если они не соответствуют действительности, искажены.

При получении отказа или в случае неисполнения требований гражданин может обратиться с заявлением в Роскомнадзор.

Риски, с которыми связана обработка персональных данных клиентов

Операторы должны учитывать, что нарушение установленного порядка обработки и защиты персональных данных влечет за собой возникновение неблагоприятных последствий. Такие нарушения могут быть выявлены тремя способами:

  • при проведении проверочных мероприятий органами контроля за соблюдением законодательства о защите персональных данных – Роскомнадзором, ФСТЭК РФ, ФСБ России;
  • в результате взаимодействия оператора с некоторыми другими ведомствами, например, ФАС РФ;
  • физическим лицом, чьи права нарушены. Такое нарушение может стать основой для предъявления иска в суд о восстановлении нарушенного права и компенсации морального вреда.

Следствиями выявления нарушения государственным органом становятся:

  • вынесение предписания об устранении нарушений закона;
  • административные штрафы, налагаемые на руководителей компаний;
  • запрет на занятие деятельностью, связанной с обработкой персональных данных;
  • в наиболее вопиющих случаях неправомерного использования или распространения данных – привлечение к уголовной ответственности.

Лицо, информация о частной жизни которого была неправомерно получена или распространена, может обратиться в суд со следующими категориями исков:

  • иск о возмещении морального вреда, связанного с неправомерным использованием персональных данных;
  • иск о запрете собирать персональные данные, если организация не обладает необходимыми сертифицированными ресурсами для обеспечения их безопасности (этот способ защиты прав часто применяется во взаимоотношениях с магазинами);
  • иск об удалении или изменении некорректно учтенных данных.

Российские суды удовлетворяют требования о взыскании морального вреда чаще всего в пределах небольших сумм, в среднем 50 тысяч для столицы и крупных городов, 10 тысяч по России. Но риск заключается не в том, чтобы потерять небольшие средства, а в вынесении проблемы в публичное поле.

После вступления в силу решения суда или сообщения СМИ о процессе Роскомнадзор может назначить внеочередную проверку соблюдения законодательства о защите персональных данных, и по ее результатам организации может быть запрещено заниматься их обработкой.

Это станет причиной существенно больших убытков для оператора.

Организации, работающие с физическими лицами, должны учитывать все требования и риски и выстраивать свою работу таким образом, чтобы нарушения установленного порядка защиты персональных данных не происходило.

Источник: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/perechen-personalnyh-dannyh-podlezhashchih-zashchite/zaschita-personalnykh-dannykh-klientov-organizatsii/

О ваших правах
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: