Хранение, обработка личных данных при заполнении анкеты для получения посылки на почте

Политика конфиденциальности. Условия использования сайта — Снегурочка

Хранение, обработка личных данных при заполнении анкеты для получения посылки на почте

Настоящий веб-сайт обслуживается компаниями Mondi plc, Mondi Limited и их дочерними предприятиями (“Mondi”).

Настоящая политика защиты и обработки персональных данных (далее – Политика) разработана обществом с ограниченной ответственностью «Монди Сейлз СНГ» (далее – Общество) в соответствии с пунктом 2 статьи 18.1. Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006г.

и рекомендациями по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке установленном Федеральным законом «О персональных данных» № 152-ФЗ от 27 июля 2006г., опубликованными 01 августа 2017г.

на официальном сайте Федеральной    службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, во исполнение положений Трудового кодекса Российской Федерации, иных нормативно-правовых  актов Российской Федерации в области защиты и обработки персональных данных, заключаемых договоров, и определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов персональных данных и их права, а также основные требования к защите персональных данных.

Настоящая политика защиты и обработки персональных данных утверждена также в целях обеспечения исполнения руководства по соблюдению норм комплаенс в отношении защиты данных Группы Mondi и служит основой для разработки Обществом локальных нормативных актов, регламентирующих отдельные вопросы обработки, хранения, предоставления и осуществления иных действий с персональными данными физических лиц, передавших свои персональные данные Обществу при заполнении информационных полей на интернет сайтах Общества, в частности, но не ограничиваясь, Перечень должностей, при замещении которых осуществляется обработка персональных данных, Положение об обеспечении безопасности персональных данных при их обработке в информационных системах Общества.

Настоящее Положение не распространяется на отношения, возникающие при обработке персональных данных сотрудников Общества, а также его контрагентов, с которыми заключены гражданско-правовые договоры

Термины и сокращения

В настоящей Политике используются следующие термины и сокращения

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);

Оператор персональных данных — юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является Общество, расположенное по адресу по месту нахождения;

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному кругу лиц или определенному кругу лиц;

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или юридическому лицу;

Конфиденциальность персональных данных — обеспечение оператором необходимого и достаточного уровня информационной безопасности персональных данных и бизнес-процессов, в рамках которых они обрабатываются.

Субъекты персональных данных — физические лица, передавшие свои персональные данные путем заполнения информационных полей на сайтах Общества.

Принципы и цели обработки ПД

При обработке персональных данных Общество руководствуется следующими принципами с учетом необходимости обеспечения защиты прав и свобод работников, в том числе права на неприксоновенность частной жизни, личную и семейную тайну:

  • законности и справедливости,
  • своевременности и достоверности получения согласия субъекта персональных данных на обработку персональных данных,
  • обработки только тех персональных данных, которые отвечают целям их обработки,
  • соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки,
  • недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой,
  • обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Общество принимает необходимые и достаточные меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных,
  • хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

Персональные данные обрабатываются Обществом в целях:

  • для осуществления обработки и исполнения заказов покупателей;
  • для проведения Обществом рекламных акций;
  • для продвижения услуг и/или товаров Общества путем осуществления прямых контактов с субъектом персональных данных с помощью различных средств связи, включая, но не ограничиваясь: почтовая рассылка, электронная почта, телефон, сеть Интернет; социальные сети
  • в иных целях в случае, если соответствующие действия Общества не противоречат действующему законодательству, деятельности Общества, и на проведение указанной обработки получено согласие субъекта персональных данных.

Перечень персональных данных, обрабатываемых Обществом:

  • фамилию, имя, отчество;
  • должность;
  • номер контактного телефона;
  • адрес электронной почты.
  • данные, которые автоматически передаются сервисам сайта в процессе их использования с помощью установленного на устройстве субъекта персональных данных программного обеспечения, в том числе IP-адрес, данные файлов cookie, информация о браузере субъекта персональных данных (или иной программе, с помощью которой осуществляется доступ к сервисам), технические характеристики оборудования и программного обеспечения, используемых субъектом персональных данных, дата и время доступа к сервисам, адреса запрашиваемых страниц и иная подобная информация
  • участие субъекта персональных данных в результате использования сервисов сайта мотивационных программ, таких как, посещение тренингов, прохождение обучения, участие в конференциях и посещение различных объектов в издательско-полиграфисткой сфере и производстве бумаги.

Обработка персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни Обществом не осуществляется.

Права и обязанности Общества и субъекта персональных данных

Общества при обработке персональных данных:

  • принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и локальных нормативных актов;
  • принимает меры, необходимые и достаточные для защиты персональных данных от неправомерного или случайного доступа к ним и совершения в отношении персональных данных неправомерных действий;
  • назначает лицо, ответственное за организацию обработки персональных данных в Обществе;
  • публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;
  • гарантирует и обеспечивает соблюдение всех предусмотренных действующим законодательством прав субъекта персональных данных;
  • совершает иные действия, предусмотренные законодательством Российской Федерации в области персональных данных

Субъекты персональных данных имеют право на:

  • информацию об их персональных данных, обрабатываемых в Обществе;
  • доступ к своим персональным данным, включая право на получении копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом;
  • уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • отзыв согласия на обработку персональных данных;
  • принятие предусмотренных законом мер по защите своих прав;
  • осуществление иных прав, предусмотренных законодательством Российской Федерации.

В отношении запросов и обращений субъектов персональных данных, их представителей, уполномоченного органа по защите прав субъектов персональных данных, Общество следует политике максимально быстрого и объективного реагирования.

Порядок реагирования на запросы и обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, устанавливаются в соответствующих локальных актах Общества, регламентирующих вопросы обработки ПД.

Обработка персональных данных

Обработка персональных данных осуществляется исключительно:

  • с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных;
  • Общество не раскрывает третьим лицам не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации;

Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора, содержащего перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, целит обработки, обязанности такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность, в том числе защиту, персональных данных при их обработке;

  • доступ к обрабатываемым Обществом персональным данным разрешается только работникам Общества, занимающим должности, включенные в перечень должностей, при замещении которых осуществляется обработка персональных данных.

Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

При трансграничной передаче персональных данных Общество обязано убедиться  в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления такой передачи.

Обработка персональных данных осуществляется способами:

  • неавтоматизированной обработки персональных данных;
  • автоматизированной обработки персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
  • смешанной обработки персональных данных.

Принимаемые Обществом меры для обеспечения выполнения обязанностей оператора при обработке персональных данных

В целях принятия мер для обеспечения выполнения обязанностей оператора персональных данных Общество:

  • назначает лицо, ответственное за организацию обработки персональных данных;
  • принимает локальные нормативные акты и иные документы в области обработки и защиты персональных данных;
  • организует обучение работников, занимающих должности, включенные в перечень должностей, при замещении которых осуществляется обработка персональных данных;
  • получает согласие субъекта персональных данных на обработку персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
  • обеспечивает раздельное хранение персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и содержащих разные категории персональных данных.
  • обеспечивает хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
  • принимает иные меры, предусмотренные законодательством Российской Федерации в области персональных данных.

Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными нормативными актами Общества.

Общество осуществляет внутренний контроль за соблюдением законодательства Российской Федерации и локальных нормативных актов в области персональных данных, в том числе требований к защите персональных данных. Внутренний контроль обеспечивается лицом, ответственным за организацию обработки персональных данных.

Источник: https://snegurochka-paper.ru/pravovaya-ogovorka

Как собирать персональные данные и отправлять рассылки об акциях

Хранение, обработка личных данных при заполнении анкеты для получения посылки на почте

Владелец бизнеса стремится сохранить нынешних клиентов. Чтобы покупатели не уходили навсегда и возвращались чаще, с ними нужно поддерживать контакт — рассказывать о новых предложениях, об акциях и скидках.

Донести эту информацию до клиента получится, только если он оставил номер телефона, адрес электронной почты, ссылку на аккаунты в соцсетях. Все это персональные данные.

Разберемся, как получить контакты пользователя, законно использовать их и хранить.

  1. Не обрабатывайте персональные данные без согласия клиентов.

  2. Ничего им не отправляйте без их согласия.

  3. Попросите клиентов заполнить анкету, чтобы получить это согласие.

  4. Храните заполненные анкеты.

  5. Ваш клиент в любой момент может отозвать свое согласие. В этом случае отпишите его от рассылок и удалите его персональные данные.

  6. Клиенты соглашаются на использование данных только в тех целях, которые указаны в анкете. Использовать их с другой целью — незаконно.

Какие законы регламентируют рассылки рекламных предложений клиентам

Как собирать, хранить и использовать контакты вашей аудитории.Федеральный закон № 152-Ф3 «О персональных данных»

Что запрещено рекламировать, какие рекламные сообщения запрещено транслировать. Проморассылки тоже считаются рекламой, и на них действуют те же ограничения, что и на другие форматы.Федеральный закон № 38-Ф3 «О рекламе»

Для смс-рассылок существуют дополнительные требования.Федеральный закон № 126-Ф3 «О связи»

Что относится к персональным данным

В законе нет четкого списка, что считать персональными данными. Если по данным можно идентифицировать физическое лицо — это персональные данные. В спорных ситуациях решение принимает суд.

Вы имеете дело с персональными данными, если собираете о клиентах следующие сведения:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • домашний адрес и адрес регистрации;
  • номер телефона;
  • электронная почта;

Обработкой персональных данных считается любое действие с этими данными, включая сбор, хранение и использование.

Как избежать штрафов

Не используйте персональные данные без предварительного согласия.

Сбор данных организуют с какой-то конкретной целью, и незаконно использовать эти данные с любой другой целью. Например, если покупатель оставил вам телефон для получения электронной копии чека по смс, вы не можете слать ему сообщения с рекламой магазина.

Для каждого покупателя, чьи контакты вы получили, у вас должно быть письменное согласие на обработку персональных данных. В случае судебных разбирательств, именно вы должны будете доказать, что получили согласие. Главным аргументом в защиту организатора рассылки станет анкета, собственноручно заполненная покупателем.

Согласие на обработку персональных данных
Типовая анкета с согласием на получение рекламных рассылок и оповещений о проводимых акциях, мероприятиях, скидках, их результатах. Храните заполненные анкеты и не позволяйте им оказаться в чужих руках.

Что отвечать клиентам про обработку их данных

Если ваши клиенты интересуются, как используются их данные, вы обязаны ответить. По закону вы не можете скрывать от клиента факт обработки его персональных данных, цель и способ обработки. Вы обязаны рассказать, какие сотрудники и сервисы имеют доступ к его данным.

Ограничения при рассылке рекламы

  • Реклама не должна содержать ложной информации;
  • недопустимы некорректные сравнения с товарами конкурентов;
  • порочить честь, достоинство или деловую репутацию;
  • побуждать к совершению противоправных действий;
  • призывать к насилию и жестокости;
  • формировать негативное отношение к лицам, не пользующимся рекламируемыми товарами, или осуждать таких лиц;
  • содержать информацию порнографического характера;
  • использовать иностранных слова и выражения, которые могут привести к искажению смысла информации;
  • указывать на одобрение рекламируемого товара чиновниками или государственными органами;

По требованию клиента или уполномоченного органа рассылка прекращается.

Запрещено рекламировать

  • табачные изделия и курительные принадлежности;
  • наркотические, психотропные вещества и растения, которые их содержат;
  • взрывчатые вещества, кроме пиротехники;
  • медицинские услуги по аборту;
  • человеческие органы и части тела в качестве товаров;
  • товары, для продажи которых требуется сертификация, лицензирование и разрешение, если нет соответствующих сертификатов, лицензий, разрешений.

Ограничения при смс-рассылке

Нельзя отправлять смс-рассылку без предварительного согласия абонента. Он должен отдельно обозначить согласие на получение сообщений на телефон. В нашей анкете мы учли эту тонкость.

Рассылка по сети подвижной радиотелефонной связи должна осуществляться при условии получения предварительного согласия абонента, выраженного посредством совершения им действий, однозначно идентифицирующих этого абонента и позволяющих достоверно установить его волеизъявление на получение рассылки.

Рассылка признается осуществленной без предварительного согласия абонента, если заказчик рассылки в случае осуществления рассылки по его инициативе или оператор подвижной радиотелефонной связи в случае осуществления рассылки по инициативе оператора подвижной радиотелефонной связи не докажет, что такое согласие было получено.

Федеральный закон № 126-Ф3 «О связи»,
статья 44.1. Рассылка по сети подвижной радиотелефонной связи

Штрафы

По статье 13.11 КоАП РФ за нарушение закона «О персональных данных»

Нарушение закона «О персональных данных» или обработка персональных данных с любой целью, кроме заявленной, если действия не нарушают Уголовный кодекс:

  • предупреждение;
  • от 1000 до 3000 ₽ для граждан;
  • от 5000 до 10 000 ₽ для ответственных сотрудников или руководителя организации;
  • от 30 000 до 50 000 ₽ для организаций.

Обработка персональных данных без письменного согласия или если письменное согласие не содержит необходимых по закону сведений:

  • от 3000 до 5000 ₽ для граждан;
  • от 10 000 до 20 000 ₽ для ответственных сотрудников или руководителя организации;
  • от 15 000 до 75 000 ₽ для организаций.

Не опубликован документ, определяющий политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных:

  • предупреждение;
  • от 700 до 1500 ₽ для граждан;
  • от 5000 до 10 000 ₽ для ИП;
  • от 3000 до 6000 ₽ для ответственных сотрудников или руководителя организации;
  • от 15 000 до 30 000 ₽ для организаций.

Если не предоставили клиенту информацию об обработке его персональных данных:

  • предупреждение;
  • от 1000 до 2000 ₽ для граждан;
  • от 10 000 до 15 000 ₽ для ИП;
  • от 4000 до 6000 ₽ для ответственных сотрудников или руководителя организации;
  • от 20 000 до 40 000 ₽ для организаций.

Если по требованию клиента или гос. органа данные не уточнили, не заблокировали или не удалили:

  • предупреждение;
  • от 1000 до 2000 ₽ для граждан;
  • от 10 000 до 20 000 ₽ для ИП;
  • от 4000 до 10 000 ₽ для ответственных сотрудников или руководителя организации;
  • от 25 000 до 45 000 ₽ для организаций.

Если персональные данные попали в чужие руки или оказались уничтожены, повреждены или изменены, если это не привело к уголовно наказуемому деянию:

  • от 700 до 2000 ₽ для граждан;
  • от 10 000 до 20 000 ₽ для ИП;
  • от 4000 до 10 000 ₽ для ответственных сотрудников или руководителя организации;
  • от 25 000 до 50 000 ₽ для организаций.

Штраф по статье 14.3 КоАП РФ за нарушение закона «О рекламе»

  • от 2000 до 2500 ₽ для граждан;
  • от 4000 до 20 000 ₽ для ответственных сотрудников или руководителя организации;
  • от 100 000 до 500 000 ₽ для организаций.

Штрафов избежать несложно — достаточно придерживаться нескольких правил: не храните данные без ведома и согласия ваших покупателей, не отправляйте им рекламу без разрешения.

Разрешение нужно получить в письменной форме и хранить от третьих лиц. Если вы придумали новый способ использовать эти данные, придется заново спрашивать разрешения.

Если вас попросили удалить данные — удалите их и прекратите рассылку.

Программа лояльности для покупателей в Кабинете Дримкас Создавайте акции и отслеживайте их результат. Кабинет подскажет, какими механиками по привлечению и удержанию клиентов воспользоваться и наглядно покажет их эффективность в отчетах.

Источник: https://dreamkas.ru/blog/personal_information

Зачем нужно согласие на обработку персональных данных — Право на vc.ru

Хранение, обработка личных данных при заполнении анкеты для получения посылки на почте

Хотите иметь дело с проверкой Роскомнадзором своего ИТ-продукта или сайта? А потом ещё платить штраф, нести ответственность?

Думаю, что нет. Поэтому, давайте, начнём разбирать что надо делать с персональными данными в Российской Федерации и как не попасть под санкции госорганов.

Немного теории

Согласно положениям статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:

1) нарушение порядка сбора, хранения, использования или распространения информации о гражданах, обработка данных в не установленном законом порядке и использование этих данных не по назначению караются следующими штрафами:

– Физическое лицо: предупреждение или штраф в размере 1 000 – 3 000 рублей;

– Должностное лицо: штраф в размере от 5 000 – 10 000 рублей;

– Юридическое лицо: штраф в размере 30 000 – 50 000 рублей;

2) Обработка персональных данных без согласия гражданина приведет:

– Физическое лицо: штраф в размере 3 000 – 5 000 рублей;

– Должностное лицо: штраф в размере от 10 000 – 20 000 рублей;

– Юридическое лицо: штраф в размере 15 000 – 75 000 рублей;

3) В случае, если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф:

– Физическое лицо: штраф в размере 700 – 1 500 рублей;

– Должностное лицо: штраф в размере от 3 000 – 6 000 рублей;

– Индивидуальный предприниматель: штраф в размере от 5 000 – 10 000 рублей

– Юридическое лицо: штраф в размере 15 000 – 30 000 рублей;

Первоначально определимся с основными понятиями и поймём, что же они значат (неформальное объяснение по тексту будет обозначаться “Д”, это от слова description):

Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Д: это любая совокупность информации, через которую можно определить определенного человека. К примеру, абстрактная электронная почта, допустим posledni_kaktus_naokne@bk.

ru – не относится к ПД, однако электронная почта с рабочим адресом допустим, ivan.ivanov@romashka.ru с подписью в письме “Главный инженер” – относятся к персональным данным, т.к.

мы можем однозначно определить, что это Иван Иванов, работающий главным инженером в организации “Ромашка”.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Д: это вы, собирающий персональные данные. Любой контакт с физическим лицом, в том числе в пространстве Интернет, позволяющий однозначно определить человека – и вот вы уже владелец персональных данных в лице оператора.

Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Д: это любые действия, которые вы совершаете как оператор.

Самый большой штраф как вы видите – это за сбор ПД гражданина без согласия, поэтому в статье будем говорить в основном об этом.

Определим сразу случаи, когда согласие на обработку ПД не надо собирать в соответствии с законодательством Российской Федерации:

1. Сбор осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора, необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии.

Д: когда законодательством установлено, что физическое лицо должно предоставить персональные данные и иначе никак.

2. Осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

Д: когда вы заключили с физическим лицом договор и в рамках этого (только этого) договора вам нужны персональные данные. Сюда подходит и оферты (публичный договор) на сайте и его акцепт, но до покупки товара или услуг, заказа с сайта (к примеру) ещё надо довести пользователя, а значит момент когда собираете ПД – наступает раньше.

3. Осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных.

Д: вы обезличиваете данные физического лица и “размываете” их в море других данных, соответственно определить кому что принадлежит – невозможно даже вам.

4. Необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

Д: данный пункт не относится к интернет-проектам, но для понимания ситуации, пример, когда приезжает частная медицинская бригада и оказывает помощь.

5. Необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи.

Д: если вы организуете почтовую связь, то лицу, которому фактически оказываете услуги – нет необходимости требовать согласия на обработку ПД.

6. Осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

7. Осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Д: не требуется согласие при использовании ПД, если это данные чиновников, предоставленные в соответствии с законодательством Российской Российской Федерации.

Во всех остальных случаях, при контакте и сборе ПД от физического лица – вы должны получать его согласие и иначе никак – закон есть закон!

Что делать

Теперь разберём как собирать ПД и получать согласие.

Вам требуется подготовить текст политики обработки и защиты персональных данных, а также согласие на обработку персональных данных.

Если у вас юридическое лицо или вы – индивидуальный предприниматель – вы должны утвердить политику обработки персональных данных приказом, где также определите ответственное лицо за обработку персональных данных в предприятии.

Хочу обратить внимание, что данная политика как в Российской Федерации, так и в зарубежных странах – относится не только к работе с потребителями, но и с работниками.

Опубликуйте в общий доступ на сайте (и в мобильном приложении) политику обработки и защиты персональных данных.

Самое главное по теме.

Если у вас есть какие-либо формы, где пользователи оставляют свои данные (или в приложении автоматически собираются, используются cookie и иные способы сбора данных), то под каждую форму (или при первом входе в приложение) нужно поставить что-то типа «Даю согласие на обработку своих персональных данных» и чекбокс. Если у вас есть ещё и пользовательское соглашение, то следует сделать чекбокс и с ним.

При этом крайне важно, чтоб донести до пользователя возможность прочитать данные документы и поэтому необходимо сделать гиперссылку или хотя бы текст кликабельным и ведущим на текст самого документа!

Немного юридического обоснования чекбоксов, а как называет Роскомнадзор – “галочек”:

Часть 4 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных” устанавливает обязательство собирать персональные данные:

“4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.

Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью…”.

Но это как-то всё слишком сложно и в хозяйственной деятельности оперативно нельзя реализовать, поэтому наш доблестный Роскомнадзор пошёл навстречу людям и дал разъяснения:

“Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме.

Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме”.

Подать уведомление об обработке ПДн в Роскомнадзор.

В соответствии с частью 1 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных”, оператор должен это сделать до начала обработки ПД.

За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор.

Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.

Выполнение данного шага напрямую зависит от целей сбора персональных данных. Федеральный закон от 27 июля 2006 г. N 152-ФЗ в статье 22 предусматривает ряд исключений, когда подавать уведомление не требуется (обработка ПД в рамках трудового законодательства, заключенного договора и т.д.).

Итого, чтобы минимально привести в порядок работу с персональными данными вам потребуется:

– политика обработки персональных данных;

– приказ об утверждении вышеуказанной политики;

– согласие на обработку персональных данных;

– чекбокс с гиперссылкой на вышеуказанное согласие.

Всё это требуется опубликовать на сайте и / или в приложении.

И зачем всё это вообще?

Для чего же это вообще нужно? Зачем нужно беспокоиться о персональных данных и о получении согласия пользователя на их обработку?

Конечно, это прежде всего административная (штрафы, блокировка) и гражданская (причинение вреда) ответственность – такие вещи могут очень серьёзно повлиять на бизнес. Но есть ещё такая штука как частная жизнь граждан, как злоупотребление правом и недобросовестная реклама продавцов.

Я на 100% уверен, что каждый из нас не любит, когда на телефон приходит спам, реклама, а посередине ночи будит смс или звонок с просьбой “срочно перевести деньги, а то в тюрьму посадят”. А всё это происходит из-за ненадлежащего исполнения лицами, осуществляющими сбор персональных данных, своих обязательств.

И согласие на обработку ПД – всего лишь часть механизма, который должен обеспечивать нашу с вами защиту как граждан и повышать социальную ответственность.

К сожалению, такие полезные институты и механизмы могут превратиться в инструмент для давления… И мы как юристы должны эффективно использовать законы и максимально обезопасить бизнес от этого.

Так что, если вы выполнили все условия и шаги из настоящей статьи, то поздравляем – вы не только уменьшили вероятность быть оштрафованным и привлеченным к ответственности (работа с ПД физических лиц лишь небольшая часть правовой политики ИТ-продукта), но и сделали шаг к социально-ориентированному Интернет-пространству, уважающему личные данные пользователей!

Материал опубликован пользователем.
Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать

Источник: https://vc.ru/legal/46868-zachem-nuzhno-soglasie-na-obrabotku-personalnyh-dannyh

Прав-помощь
Добавить комментарий