Из этого материала вы узнаете:
- Какие данные клиентов считаются персональными
- Нюансы работы с персональными данными клиентов в российских реалиях
- На какие категории разделяют персональные данные клиентов
- Почему персональные данные клиента нужно защищать
- Хранение персональных данных клиентов в зависимости от способа сбора
- Правила сбора и хранения персональных данных клиента
- Что вам грозит за несоблюдение требований по хранению персональных данных клиентов
- Вопросы и ответы по хранению персональных данных клиентов
Вопрос хранения персональных данных клиентов заботит любую компанию, особенно если речь идет о передаче данной информации в электронном виде. Если вы являетесь владельцем интернет-магазина, блога с комментариями или e-mail—рассылки, на вас распространяется действие закона о защите персональных данных. А еще к вам в любой момент может обратиться Роскомнадзор и поинтересоваться, насколько надежно хранится у вас эта информация.
При отсутствии должной защиты данные могут стать добычей интернет-взломщиков, которые регулярно пополняют базы для последующей перепродажи спамерам и прочим «любителям» холодных безадресных рассылок. Ваша же компания получит большой штраф, размер которого может достигать 300 тысяч рублей, а также значительный «репутационный» скандал. Если вас беспокоит не только потеря значительной суммы, но и реноме, обязательно читайте эту статью до конца.
Какие данные клиентов считаются персональными
В соответствии с российским законодательством каждая организация, которая занимается сбором персональных данных клиентов (сокращенно ПДн), вне зависимости от ее волеизъявления, является оператором ПДн. В этом статусе у компании появляются официальные обязательства по осуществлению определенных процедур. Самостоятельно нести такую ответственность желают и могут далеко не все фирмы.
Данное решение вполне обоснованно, поскольку практическая деятельность показывает абсолютную новизну и почти нулевое использование в реальных обстоятельствах правил об использовании личных данных. Вопросы и проблемы возникают даже у специалистов.
Личные данные включают сведения о человеке и информацию о его работе, таких как:
- Ф. И. О.;
- дата рождения;
- номер телефона;
- место жительства;
- e-mail;
- ссылки на аккаунты в соцсетях;
- наименование работодателя;
- название должности.
Нюансы работы с персональными данными клиентов в российских реалиях
Что же считается персональными данными? Точного определения пока не существует. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций и Министерство цифрового развития, связи и массовых коммуникаций так и не обозначали границы данного понятия. Исходя из законодательных актов и материалов судебного делопроизводства, можно сформулировать, что личные данные представляют собой информацию «в связках». То есть по отдельности Ф. И. О., номер телефона и e-mail считаются простой информацией. Но, допустим, те же Ф. И. О. и телефонный номер в паре, а сочетание адреса, Ф. И. О. и должности представляют собой уже персональную информацию. Примеры «связок»:
- Елена, 8-756-899-11-90;
- Дмитрий, 15.08.1988, сварщик;
- кассир, ЗАО «Большая равнина».
Такую информацию Роскомнадзор считает персональной.
Закон не расценивает персональной информацию, выложенную самим человеком по доброй воле в открытый доступ. Ф. И. О. и номера телефонов, взятые из справочников типа «Желтые страницы», соцсетей и других подобных источников – это не персональные данные. Исключение – социальная сеть «ВКонтакте», данные пользователей которой Роскомнадзор запретил собирать и обрабатывать.
Например, центр опросов «Голд Системы» собирает в соцсетях базу покупателей и заносит в нее данные о пользователях, их контакты. Операторы компании потом звонят людям из этой базы с целью рекламы своих продуктов.
Эти сведения считаются персональными, и в теории данная организация должна подготовить для Роскомнадзора отчет по своей деятельности. Если использовать для сбора данных все социальные сети, кроме «ВКонтакте», то отчитываться перед контролирующим органом не нужно.
При заключении договора все указываемые потребителем сведения тоже считаются персональными. Если они удаляются сразу после завершения работ по договору, то отчет для Роскомнадзора не потребуется. Чтобы не нарушать закон, данные должны быть уничтожены без промедления.
Например, ИП Владимира Шарова занимается продажей воздушных шариков. Клиенты заключают с ним договор с указанием Ф. И. О., телефона, электронной почты и адреса. Предприниматель использует e-mail и номер телефона для рассылки рекламных предложений.
Личные данные Шаров собирает с целью оформления договора, но после завершения сделки продолжает их хранить. Следовательно, Роскомнадзор потребует с него отчет, поскольку закон определяет срок хранения персональных данных клиентов. Если Владимир отчитываться не хочет, то он обязан удалять информацию о своих покупателях после окончания контракта.
По закону сбор и хранение избыточных персональных данных запрещен. Допустим, продавец шаурмы собирает номера телефонов и Ф. И. О. потребителей для рассылки приглашений в свое кафе. Однако он не имеет права узнавать сведения о должности и месте работы клиентов, которые не нужны для данной рассылки. За подобное нарушение предпринимателя могут оштрафовать.
На какие категории разделяют персональные данные клиентов
Постановление № 1119 Правительства РФ гласит, что персональные данные граждан делятся на три группы, исходя из которых определяется степень их защиты:
- Религиозные, философские, политические взгляды, а также информация о личной и интимной жизни человека, сведения о гражданстве к специальной категории.
- Фото, отпечатки пальцев, рост, вес, другие физические параметры и биологические сведения относятся к биометрической категории.
- Персональные данные, выложенные самими гражданами в открытый доступ, например, анкеты в соцсетях, относятся к общей категории.
Остальные сведения, не входящие в три основные разряда, – это другие группы.
Существуют типы по количеству людей, данные которых хранятся одновременно:
- менее 100 000 субъектов;
- более 100 000 субъектов.
Исходя из принятых классификаций, определяется и необходимый уровень защиты личных данных.
Почему персональные данные клиента нужно защищать
Персональные данные находятся под угрозой, когда возникает риск их утери или обнародования. Наиболее часто возникают такие ситуации, как:
- сбой операционных систем, их незащищенность от действий лиц со злым умыслом;
- проблемы в функционировании программного обеспечения, которое защищает ПДн;
- человеческие ошибки, например, забыли закрыть доступ, не выключили компьютер, упустили проблемную ситуацию.
Хранение персональных данных клиентов в зависимости от способа сбора
От системы сбора персональных данных зависят способы их хранения. Информация классифицируется ручным способом посредством Интернета или сканов клиентской документации.
Если ПД собраны через Интернет.
Данные посредством Сети могут собираться с помощью виджета Envybox под названием «Захватчик клиентов».
Когда человек заносит личные сведения в формы заказов и подписок на сайте, его персональные данные попадают в Интернет. Вся информация из онлайн-форм сохраняется на сервере. Защиту этих материалов обеспечивает провайдер. Поэтому оптимальным местом нахождения базы личной информации считается сервер в России.
Если ПД собраны вручную.
Данные собираются вручную, например, в различных салонах красоты, посредством заполнения клиентами анкет, где они указывают свои имена и контакты для получения рекламных сообщений. Там же подписывается согласие на обработку ПДн. Личные сведения работники заносят в базу, которая оформляется в Excel-таблице или в системе CRM.
Если ПД отсканированы.
Когда организации для работы требуется сканирование документов, например, паспортов клиентов, то эти оттиски тоже необходимо где-то хранить, обычно для этого используется облачное хранилище или в локальной сети, а также на жестком диске ПК или съемном носителе.
Если ПД собраны на бумаге.
Если персональные данные зафиксированы в бумажном варианте в виде согласия абонентов на их обработку, а также договоры, копии паспорта, страхового свидетельства и т. д., их хранят в закрытом хранилище. Это могут быть шкаф или сейф, которые располагаются в запираемом помещении. Право доступа к документам дается только определенной категории сотрудников.
Хранение персональных данных клиентов в организации на бумажном носителе осуществляется в папках, которые делятся на несколько групп в зависимости от цели сохранения. Нужно учитывать, что ПДн работников и покупателей не находятся рядом. Сведения о клиентах также могут подразделяться на группы. В идеале для хранения каждой группы должно быть организовано отдельное место.
Правила сбора и хранения персональных данных клиента
При хранении персональных данных клиентов вы можете уклониться от требований российского законодательства, либо следовать всем правилам.
- Чтобы избежать ответственности, надо либо удалить со своего интернет-ресурса форму для внесения контактов, либо оставить в ней строку указания адреса электронной почты для рассылки или строку номера телефона для сбора заказов. В этом случае Роскомнадзор не заинтересуется данной организацией и ее сайтом.
- Чтобы сделать все по закону, следует выполнить следующее:
- Зарегистрировать оператора ПДн на сайте Роскомнадзора. Для этого надо отправить заявление в электронном и письменном виде. Это очень просто: вбейте необходимую информацию в электронную форму и получите заявление – заполните его и отправьте. Затем распечатайте бумажный вариант, который надо отправить в ближайшее отделение Роскомнадзора посредством Почты России.
- Готовые документы сохраните – предъявите их при проверке сотрудникам Роскомнадзора.
- Необходимо обязательно предупредить своих пользователей о том, что вы храните их персональные данные, поэтому они должны согласиться с вашей политикой конфиденциальности. Ссылку следует размещать в удобном месте: внизу страницы, в шапке либо она должна появляться сразу при регистрации на вашем веб-ресурсе – главное, чтобы клиент ознакомился с информацией до того, как он отправит личные сведения.
Подробный порядок работы с данными пользователей должен быть закреплен в соответствующих документах вашей компании. В них следует расписать способы защиты, вид и место хранения персональной информации, список лиц, которые могут с ней работать, дату уничтожения.
Существует еще ряд важных моментов, которые необходимо учитывать:
- Личные данные не передаются третьим лицам. Все папки защищаются паролем при хранении на сервере, в сети или на компьютере. В бумажном виде информация хранится в сейфе.
- Персональные данные уничтожаются в течение тридцати дней после закрытия заказа. Допустим, организация установила окна по договору. После этого она должна удалить имя и телефон заказчика из своей базы.
- Если вы хотите сохранить сведения о клиенте для последующего их использования, то обязаны запросить его бессрочное согласие. Однако это соглашение можно расторгнуть в любое время, потребителю достаточно написать заявление на имя руководителя предприятия о запрете использования его данных.
- Для разных целей следует формировать несколько клиентских баз. Допустим, 60 покупателей интернет-магазина согласны на рассылку рекламы по e-mail, а 110 оставили свои данные для получения подарочной скидки. То есть ПДн предоставлены для двух целей, следовательно, по закону требуется создать две базы пользователей. Сливать все данные в одну группу нельзя.
Что вам грозит за несоблюдение требований по хранению персональных данных клиентов
Контролирующий орган обычно проводит плановые проверки, но могут возникнуть и непредвиденные ситуации, допустим, поступили обращения от покупателей или конкурирующих организаций. Роскомнадзор в этом случае проверит обращение, все документы, просмотрит пользовательское соглашение и уведомления на сайте.
При несоответствиях требованиям закона налагаются штрафные санкции:
- для физических лиц – 5 000 рублей;
- для работников компании в случае невыполнения должностных обязанностей – 25 000 рублей;
- для индивидуальных предпринимателей – 100 000 рублей;
- для юридических лиц – 300 000 рублей.
При этом штрафы могут суммироваться. Допустим, четыре работника не выполнили свои обязательства по отношению к персональным данным клиентов, значит, они получат суммарный штраф в размере 100 000 рублей.
Ответы на вопросы о хранении персональных данных клиентов
-
- Серверы с данными находятся за границей. Нужно ли подавать уведомление? Следует ли переносить данные на российские серверы?
Необходимо в обязательном порядке сформулировать соглашение и подать уведомление. Вопрос о переносе данных на российский сервер нигде однозначно не раскрыт. В этом случае нужно обратиться в раздел «Разъяснения» на сайте Министерства цифрового развития, связи и массовых коммуникаций или выяснить в Роскомнадзоре.
- Я храню и обрабатываю cookie-файлы. Я оператор?
В Роскомнадзоре не раскрывают вопрос относительно cookie-файлов. Поэтому за разъяснениями рекомендуем обратиться в этот орган. Для перестраховки бизнесмены размещают на сайте всплывающее окно с сообщением о согласии посетителей на хранение cookie.
- Я собираю геоданные пользователей. Я оператор?
К персональным данным относятся все материалы о человеке и его работе, которые собираются в «связках». Поэтому геоданные будут относиться к ПДн, если они предоставлены вместе с другими данными, например, с Ф. И. О. и номером телефона. Для сбора только геоданных необязательно становится оператором.
-
- А что делать, если сбор персональных данных идет через мессенджеры?
В данной ситуации хранение ПД клиентов осуществляется на сервере компаний-операторов. Однако ответственность за сохранность ПДн остается на владельце организации, ведущей деятельность и сбор личной информации в мессенджерах.
Необходимо контролировать защиту данных пользователей и понимать, обосновано ли в чат-центре хранение персональных данных клиентов. Закон этого не запрещает.
- Как работать без третьей стороны при сборе ПД в мессенджерах?
Для этого потребуется переподключение on-premise, или in-house. При нем данные будут отправляться не в чат-центр, а сразу на сервер компании. Бизнесмены могут организовать данный процесс самостоятельно.
Это надежный и несложный способ хранения ПДн одним лицом. Однако потребуются материальные затраты, чтобы создать, настроить, установить софт и сопутствующее оборудование. Поэтому такой способ сбора персональных данных без третьей стороны рационально использовать в случае большого потока входящей информации и зависимости бизнеса от покупателей. Именно клиенты обычно жалуются на утечку личных сведений.
Законодательный акт «О хранении персональных данных» был изменен, принципы его стали более строгими. Чтобы знать, как хранить личные данные пользователей и при этом делать все по правилам, следует разобраться в законе, научиться разделять категории данных и понимать уровни их защиты.