Цели сбора персональных данных

Цели сбора персональных данных

ООО «ШОКОЛАТЬЕ» (далее – Компания) согласно Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" является оператором персональных данных, согласно ст. 18.1 разработало и утвердило настоящий документ, определяющий политику в отношении обработки персональных данных.

Структура документа:

  1. общие положения;
  2. цели сбора персональных данных;
  3. правовые основания обработки персональных данных;
  4. объем и категории обрабатываемых персональных данных, категории субъектов персональных данных;
  5. порядок и условия обработки персональных данных.
  6. Текст СОГЛАСИЯ на обработку персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ

Назначением политики является обеспечение защиты прав и свобод субъекта персональных данных при обработке его персональных данных.

Действие настоящей Политики распространяется на все операции, совершаемые в Компании с персональными данными с использованием средств автоматизации или без их использования. Обработка персональных данных производится как в ручном, так и автоматизированном режимах , в том числе на сайте www.shokoladki.ru (далее – сайт), при этом база данных с персональными данными пользователей находится на территории России.

Настоящая Политика обязательна для ознакомления и исполнения всеми лицами, допущенными к обработке персональных данных в Компании, и лицами, участвующими в организации процессов обработки и обеспечения безопасности персональных данных в Компании.

Настоящая Политика подлежит актуализации в случае изменения законодательства РФ о персональных данных.

При обработке данных используются следующие понятия:

  1. персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), то есть персональные данные – это различная информация, которая позволяет идентифицировать конкретного человека (сотрудника, лица, привлеченного по гражданско-правовому договору, представителей контрагентов, клиентов и т.д.).
  2. автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники, при этом применяются файлы cookie и аналогичные технологии только с разрешения посетителя сайта ;
  3. действия, совершаемые с ПДн
    обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
    блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
    уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
    обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
  4. информационная система персональных данных – совокупность содержащихся в базах данных Компании персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Основные права и обязанности оператора и субъекта:

Права субъекта ПДн: Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных. Для получения указанной информации субъект персональных данных может отправить письменный запрос (запрос может быть также направлен в форме электронного документа и подписан электронной подписью) на адрес: 121357, г. Москва, Верейская улица, дом 29, корпус 154, офис 43 в порядке, установленном ст.14 Федерального закона РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г.

Субъект персональных данных имеет право на контроль работы с его основных персональными данными, на удаление ПД по его требованию, на обжалование действий оператора, право обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке, право требовать возмещения убытков, причиненных в результате нарушения его прав, а также компенсации морального вреда.

Субъект персональных данных имеет возможность распоряжения своими персональными данными через обращения по электронной почте shokoladki@vk.ru

2. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

Основная цель сбора ПНд – выполнение условий заключенных Компанией договоров, а также подготовка договоров к заключению (в том числе в целях трудоустройства, в целях получения товаров, работ, услуг Компании, в целях поставки товаров, работ услуг Компании, в целях получения отзывов от контрагентов, партнеров ).

Администрация сайта собирает и хранит только те персональные данные, которые необходимы для предоставления полного или частичного функционала Сайта или исполнения соглашений и договоров с Пользователем, за исключением случаев, когда законодательством предусмотрено обязательное хранение персональных данных в течение определенного законом срока.

Основная цель сбора ПНд на сайте — выполнение условий договора с пользователем, а также предоставление доступа к функциональности сайта.

Вспомогательные цели сбора ПНд – в целях продвижения товаров, работ, услуг Компании на рынке, сбор отзывов посетителей / клиентов / партнёров с ПДн (благодарственные письма и т.д).

3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

При обработке персональных данных Компания руководствуется:

3.1. Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»;

3.2. Постановлением Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

3.3. Постановлением Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

3.4. Приказом ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

3.5. Приказом ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

4. ОБЪЕМ И КАТЕГОРИИ обрабатываемых ПЕРСОНАЛЬНЫХ ДАННЫХ , КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

Указание в полях различных форм сбора ПДн, применяемых при оформлении трудовых, гражданско-правовых отношений, фамилии, имени, отчества и места работы , дата рождения, фотография, ИНН, СНИЛС, данных паспорта, мобильного телефона, адреса электронной почты , адреса Почты России (или подобного ему адреса любой страны для направления корреспонденции) , даты рождения, данных о различных статусах (семейных, наличие детей, о состоянии здоровья (наличие группы инвалидности и т.п.) )- являются персональными данными.

Также к ПДн, размещенным покупателями при заполнении форм сбора ПДн (через социальные сети (Facebook, Instagram и т.п.), в анкетах на бумажных носителях, заполняемых при выдаче бонусных карт, на сайте через формы обратной связи, формы регистрации, формы в целях продвижения товаров, работ, услуг на рынке и др.) на интернет-сайте www.shokoladki.ru , могут время от времени относиться:

  • ФИО (вместе и даже по отдельности)
  • дата рождения
  • адрес
  • телефон
  • адрес электронной почты (email)
  • фотография
  • ссылка на персональный сайт
  • ссылка на профиль в социальных сетях
  • IP
  • сведения, получаемые при помощи cookies (только с разрешения посетителя сайта)

любые формы отправки сообщений на сайте по типу «задать вопрос», «обратная связь», «регистрация пользователя / личный кабинет / авторизация через соцсети » и поля, обязательные для заполнения:

Любые формы анкет, заполняемые при выдаче бонусных карт и поля, обязательные для заполнения:

Читайте также:  Закон о полиции обязанности

Любые формы резюме, анкет, договоров при трудоустройстве, заключении гражданско-правовых договоров с физическими лицами:

Данные о фамилии, имени, отчества , дата рождения, предыдущего места работы , фотография, ИНН, СНИЛС, данных паспорта, мобильного телефона, адреса электронной почты , адреса Почты России (или подобного ему адреса любой страны для направления корреспонденции) , даты рождения, данных о различных статусах (семейных, наличие детей, о состоянии здоровья (наличие группы инвалидности и т.п.))

Любые формы договорных документов с контрагентами (поставщиками, клиентами), партнерами:

Данные о фамилии, имени, отчества , дата рождения, места работы , данных паспорта, мобильного телефона, адреса электронной почты , адреса Почты России (или подобного ему адреса любой страны для направления корреспонденции)

Компания, являясь оператором, осуществляет обработку следующих персональных данных:

  • соискателей на замещение вакантных должностей – в составе и в сроки, необходимые для принятия Компанией решения о приеме либо отказе в приеме на работу, с согласия субъектов персональных данных, а также для формирования кадрового резерва с согласия субъектов персональных данных
  • работников, состоящих или состоявших в трудовых отношениях с Компанией – в составе и в сроки, необходимые для достижения целей, предусмотренных законодательством РФ, осуществления и выполнения возложенных законодательством РФ на Компанию функций, полномочий и обязанностей, для формирования кадрового резерва с согласия субъектов персональных данных, а также для заключения и исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в целях предоставления страхования с согласия субъектов персональных данных;
  • родственников работников Компании – в составе и в сроки, необходимые для осуществления и выполнения возложенных законодательством РФ на Компанию функций, полномочий и обязанностей, осуществления прав и законных интересов Компании, а также для заключения и исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе, в целях предоставления страхования с согласия субъектов персональных данных;
  • представителей поставщиков Компании – в составе и в сроки, необходимые для осуществления взаимодействия с поставщиками с согласия субъектов персональных данных;
  • лиц, связанных с несчастными случаями – в составе и в сроки, необходимые для достижения целей, предусмотренных законодательством РФ, осуществления и выполнения возложенных законодательством РФ на Компанию функций, полномочий и обязанностей;
  • лиц, получающих доход, но не состоящих в трудовых отношениях с Компанией, в составе и в сроки, необходимые для достижения целей, предусмотренных законодательством РФ, осуществления и выполнения возложенных законодательством РФ на Компанию функций, полномочий и обязанностей;
  • представителей потенциальных и существующих клиентов – в составе и в сроки, необходимые для осуществления взаимодействия с потенциальными и существующими клиентами, с согласия субъектов персональных данных;
  • представителей партнеров – в составе и в сроки, необходимые для осуществления взаимодействия с партнерами, с согласия субъектов персональных данных.

5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

  • Файлы cookie, передаваемые Администрации сайта техническим устройствам Пользователя, могут использоваться для предоставления Пользователю персонализированных функций Сайта, для персональной рекламы, которая показывается Пользователю, в статистических и исследовательских целях, а также для улучшения Сайта.
  • Пользователь может в любой момент изменить (обновить, дополнить) предоставленные им персональные данные или их часть, воспользовавшись функцией редактирования персональных данных в персональном разделе Сайта, в случае, если она предусмотрена Сайтом, либо направив соответствующий запрос по электронной почте, указанной в разделе 1 настоящей Политики.
  • Сроки обработки персональных данных определены с учетом:
  • установленных целей обработки персональных данных;
  • сроков действия договоров с субъектами персональных данных и согласий субъектов персональных данных на обработку их персональных данных;
  • сроков, определенных Приказом Минкультуры РФ от 25 августа 2010 г. № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения».
  • Компания осуществляет обработку персональных данных на законной и справедливой основе.
  • При обработке персональных данных обеспечиваются их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
  • Компания не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных (если иное не предусмотрено федеральным законом РФ).
  • Компания осуществляет обработку специальных категорий персональных данных лиц, связанных с несчастными случаями, работников (данные о состоянии здоровья в рамках трудовых отношений). При этом Компания выполняет требования к осуществлению обработки специальных категорий персональных данных, предусмотренные Федеральным законом РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г. и Трудовым кодексом РФ.
  • Компания не осуществляет обработку биометрических персональных данных.
  • Компания не осуществляет трансграничную передачу персональных данных.
  • В Компании не осуществляется принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных.
  • Компания может поручать обработку персональных данных другому лицу. При этом Компания выполняет требования к поручению обработки персональных данных, предусмотренные Федеральным законом РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г.
  • Компания осуществляет обработку персональных данных с использованием средств автоматизации и без их использования. При этом Компания выполняет требования к автоматизированной и неавтоматизированной обработке персональных данных, предусмотренные Федеральным законом РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г. и принятыми в соответствии с ним нормативными правовыми актами.
  • Компанией для обеспечения выполнения обязанностей, предусмотренных Федеральным законом РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г. и принятыми в соответствии с ним нормативными правовыми актами, приняты следующие меры:

    • назначено лицо, ответственное за организацию обработки персональных данных;
    • изданы локальные акты по вопросам обработки и обеспечения безопасности персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений:
    • Положение об обработке персональных данных;
    • настоящая Политика;
    • другие локальные акты по вопросам обработки и обеспечения безопасности персональных данных;
  • применены правовые, организационные и технические меры по обеспечению безопасности персональных данных;
  • осуществляется внутренний контроль соответствия обработки персональных данных требованиям Федерального закона РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г. и принятых в соответствии с ним нормативных правовых актов, настоящей Политики, локальных актов Компании;
  • работники Компании, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями Федерального закона РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г. и принятых в соответствии с ним нормативных правовых актов, настоящей Политики и локальных актов Компании по вопросам обработки персональных данных.
  • Компания прекращает обработку персональных данных в следующих случаях:

    • при наступлении условий прекращения обработки персональных данных или по истечении установленных сроков;
    • по достижении целей их обработки либо в случае утраты необходимости в достижении этих целей;
    • по требованию субъекта персональных данных, если обрабатываемые в Компании персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
    • в случае выявления неправомерной обработки персональных данных, если обеспечить правомерность обработки персональных данных невозможно;
    • в случае отзыва субъектом персональных данных согласия на обработку его персональных данных или истечения срока действия такого согласия (если персональные данные обрабатываются Компанией исключительно на основании согласия субъекта персональных данных);
    • в случае ликвидации Компании.
    Читайте также:  Школа это бюджетная организация

    6. ФОРМА СОГЛАСИЯ на ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

    Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме.

    • При получении СОГЛАСИЯ субъекта ПНд на сайте при заполнении любой формы сбора ПНд (обратной связи) добавляется кнопку или галочка с текстом «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных», при этом подтверждение является обязательным.
    • При получения СОГЛАСИЯ субьекта ПНд при личном присутствии субъекта ПНд составляется документ (рукописный или на машинописном бланке) с условиями обработки ПДн, содержащий в своем тексте следующие данные:
    • ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
    • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
    • цель обработки ПДн;
    • перечень ПДн, на обработку которых субъект дает согласие;
    • наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
    • перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
    • срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);
    • подпись субъекта ПДн.

    Разрабатывая Политику обработки персональных данных, обязательно пропишите в документе шесть компонентов.

    1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который вносит поправки в ст. 13.11 КоАП и предусматривает расширение перечня оснований для привлечения к административной ответственности за незаконную обработку персональных данных и существенное увеличение штрафов.

    Один из обязательных документов, который должен подготовить оператор персональных данных, чтобы соблюсти требования Федерального закона от 27.07.2006 № 152-ФЗ, называется Политика в отношении обработки персональных данных, она объясняет, как компания работает с данными работников, клиентов и других физических лиц. Этот файл находится в свободном доступе практически на всех сайтах, которые имеют какие-либо формы сбора персональных данных.

    Как правильно составить Политику обработки персональных данных, какие разделы нужно обязательно включить? Разъяснения по этим вопросам дает Роскомнадзор.

    Структура Политики обработки персональных данных

    Ведомство рекомендует предусмотреть в документе шесть основных компонентов:

    • Общие положения
    • Цели сбора персональных данных
    • Правовые основания обработки персональных данных
    • Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
    • Порядок и условия обработки персональных данных
    • Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

    1. Общие цели

    В этом разделе вы фактически отвечаете на вопрос — для чего предназначена Политика обработки персональных данных? Здесь же разъясняются основные понятия, которые используются в документе, а также права и обязанности оператора и субъекта персональных данных.

    2. Цели сбора персональных данных

    Ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ требует определения конкретных, законных целей сбора данных. Следовательно, нельзя обрабатывать персональные данные, которые не соответствуют этим целям.

    Роскомнадзор указывает на то, что цели обработки персональных данных могут происходить в том числе:

    • из анализа правовых актов, регламентирующих деятельность оператора;
    • из целей фактически осуществляемой оператором деятельности;
    • из деятельности, которая предусмотрена учредительными документами оператора;
    • из конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).

    3. Правовые основания обработки персональных данных

    Федеральный закон от 27.07.2006 № 152-ФЗ не является правовым основанием обработки персональных данных. Эту роль выполняют правовые акты, в соответствии с которыми оператор обрабатывает данные.

    Таким образом, в Политике обработки данных в качестве правовых оснований можно указать: федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора; уставные документы оператора; договоры, заключаемые между оператором и субъектом персональных данных; согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).

    4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

    Важно, чтобы объем обрабатываемых персональных данных не расходился с заявленными целями обработки.

    К категориям субъектов персональных данных могут относиться: сотрудники — как настоящие, так и бывшие, кандидаты на вакансии, родственники работников, клиенты и контрагенты (физлица), представители или работники клиентов и контрагентов.

    Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

    Роскомнадзор обращает внимание на то, что по каждой категории субъектов и применительно к конкретным целям следует указать все обрабатываемые персональные данные. Отдельно описываются все случаи обработки специальных категорий персональных данных и биометрических персональных данных (если применяются).

    5. Порядок и условия обработки персональных данных

    Что указывается в этом разделе:

    • перечень действий, совершаемых с персональными данными;
    • способы обработки персональных данных;
    • сроки обработки персональных данных.

    Если в рамках достижения целей обработки персональных данных оператор взаимодействует с третьими лицами, то ему нужно:

    • пояснить условия передачи персональных данных в адрес третьих лиц (в том числе речь идет и о трансграничной передаче данных);
    • указать наименование и местонахождение третьих лиц;
    • обозначить цели передачи данных и их объем;
    • перечислить действия по обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.

    Передавать персональные данные оператор вправе органам дознания и следствия, а также иным уполномоченным органам по предусмотренным законодательством основаниям.

    В Политику обработки персональных данных следует внести сведения о соблюдении требований конфиденциальности персональных данных (они названы в ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ) и информацию о принятии мер (ч. 2 ст. 18.1, ч. 1 ст. 19).

    Кроме того, оператору нужно указать условие прекращения обработки персональных данных. Это может быть достижение целей обработки, истечение срока действия согласия на обработку, отзыв согласия субъекта персональных данных на обработку, выявление неправомерной обработки данных.

    Отдельное внимание стоит уделить такому вопросу, как хранение персональных данных. Во-первых, обязательно называются сроки. Во-вторых, используются базы данных, находящиеся на территории РФ. В-третьих, учитывается тот факт, что хранение должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки. В-четвертых, необходимо упомянуть об иных условия хранения, в том числе, при обработке данных без использования средств автоматизации.

    6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

    Согласно ст. 21 № 152-ФЗ, персональные данные должны быть актуализированы оператором, если подтвержден факт неточности персональных данных. То же касается и подтверждения факта неправомерности обработки.

    Персональные данные подлежат уничтожению при достижении целей их обработки и в случае отзыва субъектом персональных данных согласия на их обработку, если: иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; иное не предусмотрено иным соглашением между оператором и субъектом персональных данных. Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ или иными федеральными законами.

    Читайте также:  Маркировка шин м s без снежинки

    На основании ст. 20 оператор обязан сообщить субъекту персональных данных информацию об осуществляемой им обработке персональных данных по запросу.

    Роскомнадзор рекомендует включить в Политику обработки персональных данных регламенты реагирования на запросы и обращения субъектов персональных данных, их представителей, уполномоченных органов по поводу неточности данных, неправомерности их обработки, отзыва согласия и доступа к своим данным. Не лишним будет добавить в Политику соответствующие формы запросов и обращений.

    Размещение Политики обработки персональных данных в офисе и на сайте

    Любой человек, чьи данные обрабатывает компания, имеет право ознакомиться с Политикой обработки персональных данных. Поэтому ее нужно размещать в общедоступном месте. Например, использовать для этого информационный стенд.

    Если компания собирает персональные данные через интернет, то она обязана разместить Политику на сайте. Посетитель сайта сможет ознакомиться с ней, кликнув по ссылке.

    Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!

    Мы уже начинали говорить о персональных данных, их сборе и обработке. Но, об этом можно говорить бесконечно и мы продолжим. В прошлый раз мы говорили об изменениях в законе, но не учли самого главного — САМ ЗАКОН ВЫ НЕ ЧИТАЛИ. И, судя по обратной связи, информация требует более детальной проработки.
    Поэтому мы несколько раз перечитали все законы и дополнения к ним. Сделали из него эдакую выжимку. Четко по пунктам расписав основные его нормы и требования.

    Основы основ

    «Обработка персональных данных базируется на принципах законности и справедливости» — гласит ФЗ-152 «О персональных данных». Из этих понятиях зиждятся остальные принципы, отражающие суть обработки персональных данных как процесса. И вот что вам необходимо запомнить:

    1. Обработка персональных данных должна отвечать целям сбора персональных данных;
    Это значит, что Субъект обработки ПДн (покупатель, клиент, работник и т.д.) должен быть уведомлен о целях обработки. Поэтому цели должны быть отражены в форме письменного согласия на обработку персональных данных.

    2. Не должны объединяться базы данных, содержащих персональные данные, обработка которых осуществляется в несовместимых между собой целях;
    Тут все очевидно: не должны быть объединены базы персональных данных, содержащие, например, фискальную информацию о работниках компании, и базы персональных данных клиентов компании.

    3. Обрабатываемый объем персональных данных не должен быть избыточным по отношению к целям их обработки;
    Получается, что интернет-магазин продающий носки может обрабатывать персональные данные покупателей, которые могут содержать информацию о предпочтениях, о маркетинговой активности, но персональные данные покупателя, говорящие о наличии у него, скажем, заболеваний, будут явно избыточными.

    4. При обработке персональных данных должны быть обеспечены их точность, достаточность и актуальность по отношению к целям обработки;
    Это необходимо в первую очередь для качественного и своевременного выполнения какого-либо юридически значимого действия, при котором используются персональные данные. Например, для непосредственной покупки товара.

    5. Хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных.
    Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей. То есть если интернет-магазин закрывается, то базу персональных данных его покупателей нельзя оставлять «врагам», необходимо ее хотябы обезличить.

    Этапы работы с персональными данными

    1. Сбор
    При сборе персональных данных с посетителей сайта мы рекомендуем в любом случае указывать:

    • наименование оператора;
    • цель обработки персональных данных и ее правовое основание;
    • предполагаемые пользователи персональных данных;
    • установленные законом права субъекта персональных данных;
    • источник получения персональных данных.

    Кроме того, по запросу гражданина оператор по обработке персональных должен предоставить:

    • Подтверждение факта обработки персональных данных оператором;
    • Наименование и место нахождения оператора, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
    • Сроки обработки персональных данных;
    • Информацию об осуществленной или о предполагаемой трансграничной передаче данных;

    2. Хранение
    Хранение и запись, систематизация, накопление, уточнение, должны осуществляться на территории РФ – это уже все знают. Хранение персональных данных может осуществляться в любой форме, в том числе бумажной.
    Обработка персональных данных может осуществляться за границей, если база данных в РФ содержит равный или больший объем персональных данных.

    3. Использование
    Помните! Действия, совершаемые с собранными персональными данными должны осуществляться строго согласно целям, для которых они были предоставлены.
    То есть, если данные собраны при покупке носков в интернет магазине «А», то и использоваться они должны только для продаж магазина «А», которому эти данные оставили. Если эти данные использовать для продажи квартир на другом ресурсе, то это уже будет считаться неправомерным использованием персональных данных.

    4. Блокирование
    Если субъект обнаружил что его данные используют неправомерно и обратился к вам с претензией (или его представитель/ соответствующий орган), то вы обязаны блокировать его персональные данные и проверить правомерность их использования. Если данные эти обрабатывает подрядчик, то вы обязаны сделать все для блокировки и проверки данных обратившегося.
    Все тоже самое вы обязаны провернуть в том случае, если субъект обнаружил неточности в своих данных.
    Блокировка должна осуществляться с момента такого обращения или получения запроса на время проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

    5. Уничтожение
    А вот уничтожить данные или обеспечить прекращение использования вы обязаны в случае отзыва согласия. Также, если сохранение персональных данных более не требуется для целей обработки персональных данных.
    Произвести все это необходимо в срок не более тридцати дней с даты поступления отзыва, если иное не предусмотрено договором.

    Напомним, что нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах влечет предупреждение или наложение административного штрафа:

    • на граждан в размере от трехсот до пятисот рублей;
    • на должностных лиц — от пятисот до одной тысячи рублей;
    • на юридических лиц — от пяти тысяч до десяти тысяч рублей.

    Суммы сами по себе небольшие, но сам факт привлечения внимания надзорных органов может повлечь гораздо более серьезные проблемы.

    БОНУС

    Трансграничная передача данных возможна, ее никто не запрещал.
    НО, вы обязаны

    • хранить и актуализировать все данные на серверах в РФ (первичная БД)
    • указать в «Соглашении на обработку ПДн» то, что вы планируете передавать эти данные в другую страну и для каких конкретных целей (писать ли конкретную страну в законе не указано)

    Ответственность за использование переданных данных несет тот Оператор, которому переданы эти базы данных.

    Предоставление удаленного доступа к базам данных, находящихся на территории РФ, с территории другого государства ФЗ-242 не запрещается.

    На этом все, коллеги. Да прибудет с вами милость Эру!

    Ссылка на основную публикацию
    Adblock detector