Что делать юристу компании, которая работает с персональными данными клиентов

3216
Компания имеет дело с персональными данными клиентов. С 1 июля 2017 года увеличивается штраф за нарушения правил обработки данных. Что делать юристу, чтобы организацию не оштрафовали.

Под персональными данными понимают любые сведения, которые относятся к физическому лицу. Например, под персональными данными подразумевают:

  • ФИО клиента;
  • адресные данные;
  • контактные данные (номера телефонов, адреса электронной почты и т. п.),
  • сведения о его семье,
  • информацию о его мировоззрении, вероисповедании и т. д.

Если компания запрашивает у своих клиентов фамилию и электронный адрес при регистрации в интернет-магазине, телефон для связи при доставке товара и адрес проживания, чтобы привезти заказ, она считается оператором персональных данных клиентов. У любой компании, которая обрабатывает персональные данные клиентов, есть обязанности:

  1. Направить в Роскомнадзор уведомление о намерении работать с персональными данными клиентов. За нарушение компанию оштрафуют (ст. 19.7 КоАП РФ).
  2. Выполнять требования, которые установили в Федеральном законе от 27 июля 2006 г. № 152-ФЗ «О персональных данных». За нарушение требований закона Роскомнадзор привлекает компании к ответственности по ст. 13.11 КоАП РФ. С 1 июля 2017 года вступают в силу новые правила, значительно вырастают штрафы за нарушения правил о защите персональных данных клиентов.

Юристу компании необходимо уведомить Роскомнадзор, что организация собирается запрашивать личные данные у клиентов. Также нужно следить, чтобы в отношении полученных данных не было нарушений. Это обезопасит компанию от штрафов и других санкций.   

Персональные данные клиента обрабатывают только с его согласия

Когда компания занимается обработкой персональных данных клиентов, она обязана соблюдать принципы обработки (ст. 5 закона № 152-ФЗ). В частности, компания вправе запрашивать только данные, которые отвечают целям их обработки (ч. 4). Если, например, компании нужно знать адрес клиента, чтобы доставить заказ, нельзя требовать сканы личных документов.

Обрабатывать персональные данные клиентов можно только в определенных законом случаях

В законе 152-ФЗ присутствуют ограничения на обработку данных. В каких случаях можно запрашивать информацию у клиентов, указано в ч. 1 ст. 6 закона. Например, компания может обрабатывать персональные данные клиента, если это нужно для подписания или исполнения договора. В частности, банк запрашивает данные для заключения кредитного договора с физическим лицом. А интернет-магазину нужно знать телефон для связи с клиентом, чтобы оперативно доставить товар. Юристу компании нужно обратить внимание, чтобы у клиентов не требовали данные в случаях, когда закон этого не предусматривает.

Перед обработкой персональных данных клиента требуется получить его разрешение

Обработка персональных данных клиента возможна только с его согласия (ст. 9 закона № 152-ФЗ). Юристу нужно проконтролировать составление типового документа, с помощью которого компания будет получать согласие на обработку. Если компания ведет деятельность через интернет-магазин, в качестве соглашения нужно опубликовать текст о предоставлении персональных данных клиента. Пользователь магазина сможет дать согласие, если поставит галочку в соответствующем чек-боксе и нажмёт на кнопку «Я согласен». Обычно программисты внедряют форму для подтверждения согласия так, чтобы ознакомление с ней и заполнение нужного поля было обязательным шагом при оформлении заказа. Если компания взаимодействует с физическими лицами очно, потребуется получить согласие при помощи бумажного варианта документа.  

В документе о  согласии на обработку персональных данных клиента должны присутствовать пункты, которые указаны в ч. 4 статьи 9 закона № 152-ФЗ. В частности:

  • наименование компании,
  • адрес компании,
  • перечень персональных данных клиента,
  • цели обработки данных.

Если гражданин откажется, компания должна прекратить обработку персональных данных клиента в течение 30 дней (ч. 5 ст. 21 закона № 152-ФЗ).

Доступ к персональным данным клиентов нужно предоставлять их владельцам

Если гражданин, который передал компании персональные данные, просит дать к ним доступ, компания обязана это сделать (ст. 14 закона № 152-ФЗ). При этом гражданину потребуется предоставить не только сведения о нем, но и другую информацию. Например, с какой целью компания хочет обрабатывать персональные данные клиента и на каком основании. Информацию следует передать за 30 дней после получения запроса от гражданина (ст. 20 закона № 152-ФЗ).

Из этого правила есть исключения (ч. 8 ст. 14 закона № 152-ФЗ). Например, компания не должна предоставлять клиенту данные, которые получила в результате оперативно-разыскной деятельности и также благодаря работе разведки или контрразведки.

Если физическое лицо запрашивает свои данные у госорганов, подобные структуры руководствуются при ответе на запрос особыми нормативными актами. Например, для Минфина РФ существуют Правила рассмотрения запросов субъектов персональных данных или их представителей в Министерстве финансов Российской Федерации.

Персональные данные клиента следует корректировать или удалять по его требованию

Если клиент требует внести изменения, блокировать или уничтожить его данные, компания обязана сделать это (ч. 1 ст. 14 закона № 152-ФЗ). Данные могут устареть, быть неполными или неточными. А также может оказаться, что их получили незаконно, или компания ведет обработку персональных данных клиента в иных целях, чем заявляла. Требование клиента следует выполнить сообразно срокам, которые установили в ст. 21 закона № 152-ФЗ.

Если в компании не предусмотрели специального адреса для обращений по подобным поводам, письмо клиента может попасть в общие папки или спам. Сотрудники компании не обратят на него внимания, компания не выполнит требование в срок, это повлечет штраф. Лучше указать специальный адрес для писем по поводу персональных данных клиентов.

Нужно обеспечить сохранность персональных данных клиентов

Когда компания обрабатывает персональные данные клиентов, одна из ее обязанностей – проинформировать аудиторию о том, что она делает для сохранности это информации и какой именно политики придерживается. В частности, клиенты должны знать, кому и на каких основаниях компания будет передавать эти данные. На сайте компании следует создать об этом раздел в открытом доступе и дать на него ссылку на главной странице. Каждый посетитель сайта должен иметь возможность ознакомиться с политикой компании и с теми мерами, которые она предпринимает для защиты персональных данных клиентов (ч. 2 ст. 18.1 закона № 152-ФЗ).

Для защиты персональных данных клиентов компания должна принять меры

Оператор персональных данных клиентов должен обеспечить сохранность информации. Для защиты сведений следует соблюдать правила:

Читайте в рекомендации Системы Юрист

Читайте на тему

Профессиональная справочная система для юристов, в которой вы найдете ответ на любой, даже самый сложный вопрос.
Попробуйте бесплатный доступ на 3 дня >>

Обзоры последних изменений

Как поменять адрес, чтобы вас не вычеркнули из ЕГРЮЛ
Работать не по адресу регистрации стало еще опаснее. С 1 сентября налоговые инспекции начали исключать из ЕГРЮЛ действующие компании, у которых в ЕГРЮЛ указан фиктивный адрес.

Срок ликвидации ООО ограничили: изменения с 1 сентября 2017 года
Теперь закончить ликвидацию ООО нужно в течение года. В законе установили крайний срок.

Стало сложнее восстановить срок на обращение в кассацию и надзор Верховного суда
С 31 июля стало сложнее восстановить срок на подачу кассационных и надзорных жалоб в Верховный суд РФ.

В гражданском процессе убрали принцип непрерывности: чем это опасно
Теперь СОЮ будут быстрее рассматривать дела.

Изменения в КоАП РФ в 2017 году
Все поправки в одной таблице.

Скоро в журнале «Юрист компании»
    Узнать больше


    Ваша персональная подборка

      Подписка на статьи

      Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

      Рекомендации по теме

      Академия юриста компании

      Академия

      Смотрите полезные юридические видеолекции

      Смотреть

      Cтать постоян­ным читателем журнала!

      Cтать постоян­ным читателем журнала

      Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

      Живое общение с редакцией
      Рассылка

      © Актион кадры и право, Медиагруппа Актион, 2007–2017

      Журнал «Юрист компании» –
      первый практический журнал для юриста

      Использование материалов сайта возможно только с письменного разрешения редакции журнала «Юрист компании».

      Зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) Свидетельство о регистрации  ПИ № ФС77-62254 от 03.07.2015

      Политика обработки персональных данных

      
      • Мы в соцсетях
      Внимание! Вы находитесь на сайте для юристов

      Вы точно юрист? Предлагаем сделку!
      Пройдите быструю регистрацию, а мы обеспечим вас увлекательным юридическим чтением.
      Регистрация займет минуту.

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И получить доступ на сайт!
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль