Как провести сбор персональных данных и обеспечить безопасность

1099
Когда в компанию принимают нового сотрудника или начинают работать с новым клиентом, получают его персональные данные. Какие правила сбора персональных данных нужно соблюдать и как хранить персональные данные.

Перед сбором персональных данных получают согласие

Компания, которая является оператором персональных данных, должна получить согласие на сбор персональных данных и дальнейшую обработку. К согласию на получение персональных закон предъявляет ряд требований:

  1. Согласиться может только субъект персональных данных (подп. 1 п. 1 ст. 6 Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных», далее – закон № 152-ФЗ).
  2. Согласие должно быть конкретно выражено и быть сознательным.
  3. Перед получением согласия необходимо проинформировать владельца данных о целях и задачах сбора, основаниях обработки (п. 1 ст. 9 закона № 152-ФЗ). Также следует известить о сроках обработки и порядке, в котором владелец вправе отозвать согласие (постановления АС Уральского округа от 29.09.14 по делу № А60-31459/2013Пятого ААС от 13.08.14 по делу № А59-48/2014).

Перед сбором персональных данных согласие оформляют письменно. Документ может быть в бумажном или электронном виде. Для заверения электронной формы документа используют усиленную электронную подпись. В некоторых случаях достаточно, чтобы получение согласия можно было подтвердить (п. 1 ст. 9 закона № 152-ФЗ). Например, если покупатель интернет-магазина предоставляет данные при оформлении заказа и заполняет форму на сайте.

Если начнётся спор, компания-оператор должна доказывать, что владелец дал согласие на получение персональных данных (п. 3 ст. 9 закона № 152-ФЗ). В связи с этим форму сбора персональных данных следует разработать специально под задачи компании и определить, какой именно тип данных необходим. Владелец вправе потребовать прекратить обработку, и компания обязана выполнить его требование (п. 2 ст. 9 закона № 152-ФЗ).

Сбор персональных данных в договоре влечет риски

Некоторые компании предлагают вносить данные при заполнении типовой формы договора. В этом случае нужно обратить внимание на способность потребителя согласиться или отказаться. Если условия договора не позволяют потребителю проявить свою волю, суд признает данный способ сбора персональных данных ненадлежащим (постановления АС Северо-Западного округа от 18.07.16 по делу № А44-9647/2015АС Уральского округа от 22.12.16 по делу № А76-5164/2016).

Новый сотрудник должен дать согласие на получение персональных данных

При трудоустройстве компания проводит сбор персональных данных нового сотрудника. Необходимо ознакомить его под роспись с документами компании о порядке обработки данных (п. 8 ст. 86 ТК РФ). Порядок можно закрепить:

  • в трудовом договоре,
  • в правилах внутреннего трудового распорядка,
  • в положении о персональных данных или другом локальном акте.

О том, что сотрудника ознакомили с документами, он должен расписаться в отдельном документе. Например, в специальном журнале.

Хранить персональные данные необходимо с соблюдением правил безопасности

В процессе сбора персональных данных компания получает конфиденциальную информацию о владельцах данных (ст. 7 закона № 152-ФЗ). Обязанность оператора – хранить персональные данные с соблюдением требований безопасности. Требования зависят от способа, при помощи которого компания обрабатывает полученные сведения:

  1. При автоматизированной обработке следует руководствоваться постановлением Правительства РФ от 01.11.12 № 1119 и приказом ФСТЭК России от 18.02.13 № 21. Чтобы хранить персональные данные согласно этим правилам, потребуется контроль со стороны IT-отдела компании.  
  2. Если компания хранит персональные данные без применения средств автоматизации, нужно опираться на меры ст. 19 закона № 152-ФЗ и п. 13–15 Положения, утв. постановлением Правительства РФ от 15.09.08 № 687. В частности, указать в локальном акте круг лиц, которые работают на сборе персональных данных и участвуют в дальнейшей обработке. Также нужно перечислить тех, кто имеет доступ к данным. Кроме того, следует разделить данные по цели обработки и содержать их на разных носителях.

Читайте об этом

Читайте также

Скоро в журнале «Юрист компании»
    Узнать больше


    Ваша персональная подборка

      Подписка на статьи

      Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

      Рекомендации по теме

      Академия юриста компании

      Академия

      Смотрите полезные юридические видеолекции

      Смотреть

      Cтать постоян­ным читателем журнала!

      Cтать постоян­ным читателем журнала

      Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

      Живое общение с редакцией
      Рассылка

      © Актион кадры и право, Медиагруппа Актион, 2007–2017

      Журнал «Юрист компании» –
      первый практический журнал для юриста

      Использование материалов сайта возможно только с письменного разрешения редакции журнала «Юрист компании».

      
      • Мы в соцсетях
      Внимание! Вы находитесь на сайте для юристов

      Вы точно юрист? Предлагаем сделку!
      Пройдите быструю регистрацию, а мы обеспечим вас увлекательным юридическим чтением.
      Регистрация займет минуту.

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И получить доступ на сайт Займет минуту!
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль