Как компании работать с персданными-1

ТЕМА: ДОГОВОРНАЯ РАБОТА

Как регламентировать взаимодействие между отделами, чтобы упростить работу с договорами

4 УРОК ИЗ 4

Как компании работать с персданными

Компания получает персданные от работников, со своего сайта или от контрагентов. За любую ошибку в работе с персданными компанию может оштрафовать Роскомнадзор. От неприятностей не спасет даже то, что действия компании не подпадают под составы правонарушений из КоАП. Роскомнадзор вправе вынести предписание об устранении любого нарушения в области персданных. А если не выполнить предписание ведомства, компанию оштрафуют на сумму до 20 тыс. руб. На уроке разработаете план работы с персданными, который исключит придирки госорганов.

Какие обязанности должен исполнить оператор

Все обязанности можно разделить на две группы. Первая группа – обязанности, которые нужно исполнять всегда. Вторая – правила,

которые нужно соблюдать в конкретных ситуациях. В первой группе шесть обязанностей. Оператор должен:

соблюдать принципы обработки данных;

обрабатывать данные, только когда это допускает закон; опубликовать политику в отношении обработки персданных; защитить персданные при обработке; обрабатывать данные на российских серверах; назначить ответственное лицо.

Во второй группе пять правил. Оператор:

уведомляет Роскомнадзор о намерении обрабатывать персданные, если не входит в перечень лиц, которые могут не уведомлять;

предоставляет доступ к персданным владельца, если он это запросил;

уточняет, блокирует или уничтожает персданные, если об этом попросил владелец;

уведомляет о видеонаблюдении, если ведет съемку; наказывает за разглашение, если сотрудник раскроет персданные других.

Как получить согласие на обработку персданных

Без согласия гражданина обрабатывать персданные нельзя. Это правило из пункта 1 части 1 статьи 6 и статья 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персданных). Есть два варианта, как получить согласие: отдельным документом или в электронном виде.

Отдельным документом. Лучше получить отдельное письменное согласие, даже когда закон не требует письменную форму. В случае спора именно оператор должен доказывать, что гражданин дал согласие на обработку данных (ч. 3 ст. 9 Закона о персданных). Письменный документ будет служить доказательством такого согласия. Можете скачать заполненный образец согласия, чтобы скорректировать его под свою работу.

В электронном виде. Этот вариант подойдет, если доступ к сайту компании – и есть та услуга, которую покупает или бесплатно

получает пользователь. Пользовательское соглашение регулирует

все возможные конфликты, связанные с объемом услуг, которые

получит гражданин. Кроме того, этот вариант подойдет, если физлица размещают на сайте информацию от своего имени. Пользовательское соглашение позволит владельцу сайта модерировать такую информацию.

Согласие можно оформить на сайте как документ, который называется «Согласие на обработку персональных данных». Это самый распространенный вариант. Он подойдет для всех случаев, когда организация или предприниматель через свой сайт только собирают контактные данные и информируют о своих товарах или услугах.

Также можно разместить на сайте более подробный документ с названием «Пользовательское соглашение между владельцем и пользователем сайта». Можете посмотреть и воспользоваться заполненным образцом.

Когда нужно обезличить персданные

Оператор обязан уничтожить либо обезличить персданные, когда достигнет целей обработки или потеряет интерес к ним (ч. 7 ст. 5 Закона о персданных). Про "уничтожить" все понятно. Обезличить данные – сделать так, чтобы невозможно было определить, что речь идет о конкретном человеке (п. 9 ст. 3 Закона о персданных).

Обезличивают сведения, как правило, специальные организации, которые занимаются сбором информации. Например, организации, которые проводят соцопросы или медучреждения, которым нужна статистика заболеваний. По этой причине большинство организаций, чья деятельность не связана со сбором персональных данных, уничтожают ненужную информацию.

Пример обезличенных и необезличенных данных

1. Статья в крупной федеральной газете.

«Иванов Сергей» – обезличенные данные. «Иванов Сергей, 1981 года рождения, проживающий в г. Саратове по ул. Лесная» – необезличенные данные.

2. Статья на корпоративном сайте.

«Сотрудник из отдела продаж» – обезличенные данные. «Иванов Сергей» – необезличенные данные.

Есть случаи, когда закон обязывает обезличивать персональные данные. Например, когда компания проводит исследования. Исключение – когда целью исследования является политагитация или продвижение товаров, работ, услуг на рынке (п. 9 ч. 1 ст. 6 Закона о персданных).

Для коммерческих структур нет обязательных требований, как надо обезличивать персональные данные. Но если есть такая задача, можно воспользоваться правилами, которые закон установил для госструктур в двух документах:

приказе от 05.09.2013 № 996 (далее – Требования по обезличиванию); Методических рекомендациях по применению приказа от 05.09.2013 № 996.

Основное требование к обезличиванию персональных данных – обеспечить защиту от несанкционированного использования и обработки (п. 3 Требования по обезличиванию).

Обезличить данные можно четырьмя способами:

1. Часть персданных заменить идентификаторами и создать таблицы

соответствия идентификаторов исходным данным.

2.Изменить состав или семантику персданных, то есть заменяют их на результаты статистической обработки, обобщить или удалить часть сведений.

3.Массив персданных разбить на несколько частей и хранить их раздельно.

4.Поменять местами отдельные записи, а также группы записей в массиве персданных.

Когда нужно уничтожить персданные

Оператор обязан уничтожить данные в четырех случаях.

Субъект персданных потребовал уничтожить их. Если гражданин потребовал уничтожить свои персданные, их нужно уничтожить в течение семи рабочих дней. Требование субъекта будет законным в двух случаях.

Первый: оператор получил персданные незаконно. Например, гражданин сообщил, что не передавал свои данные, и организация не может пояснить, откуда у нее телефон для рассылки спама.

Второй: персданные не относятся к необходимым для заявленной цели обработки. Например, гражданин отказался заключать договор и потребовал у организации уничтожить скан его паспорта.

Эти правила прописаны в части 1 статьи 14 и части 3 статьи 20 Закона о персданных.

Оператор сам обнаружил, что неправомерно обрабатывает персданные. Нужно уничтожить данные в течение 10 рабочих дней с даты, когда оператор выявил неправомерную обработку персданных (ч. 3 ст. 21 Закона о персданных).

Оператор достиг цели обработки персданных. Нужно уничтожить данные в течение 30 дней с даты достижения цели обработки (ч. 4 ст. 21 Закона о персданных).

Субъект персданных отозвал согласие на обработку персданных.

Необходимо уничтожить данные в течение 30 дней с даты

поступления отзыва, если для целей обработки персональных

данных больше не нужно их сохранять (ч. 5 ст. 21 Закона о персданных).

Для двух последних случаев есть исключение. Оператор вправе не уничтожать данные при одном из двух условий. Первое: если об этом договорились оператор и субъект персданных. В качестве документа, разрешающего не уничтожать данные, может выступать как отдельное соглашение, так и договор. Второе: если оператор вправе осуществлять обработку персданных без согласия субъекта персональных данных на законных основаниях.

Чтобы уничтожить персональные данные, нужно создать комиссию по уничтожению персональных данных и утвердить акт об уничтожении персданных.

Самое важное

Без согласия гражданина обрабатывать персданные нельзя.

Компании проще уничтожить персданные, чем их обезличить.