Вопрос: Как хранить персональные данные?

[Дивергент]

Открыл интернет магазин. При оформлении заказа беру с клиентов номера телефонов и имя. Как нужно оформить всё по закону, что бы собирать с клиентов такие данные?
И как их хранить?

 

[Lawyer]

Добрый день. Любая информация, относящаяся прямо или косвенно к определенному физическому лицу является персональными данными (это не только ФИО, паспортные данные и номер телефона, а также адрес места жительства, история покупок, рейтинг покупательских возможностей, IP-адрес, куки, геолокация, «любимые товары» и иная информация, которую можно ассоциировать с человеком).

В данном случае, собирая данные клиентов, интернет-магазин является Оператором персональных данных, а клиент - субъектом. О том, что вы является оператором персональных данных и обрабатываете ПД физических лиц необходимо уведомить Роскомндзор. Форма уведомления и порядок его заполнения представлен на сайте Роскомнадзора (Портал персональных данных - Форма уведомления). После подачи уведомления вас внесут в реестр операторов ПД.

На начальном этапе я бы рекомендовала вам провести анализ вашего бизнес-процесса, чтоб проследить: как, где, для чего и какая информация собирается вами о клиентах. После чего подготовить пакет документов, регламентирующий обработку персональных данных ваших клиентов (политику в отношении пд, согласие на обработку пд, уведомление о сборе куки, приказ о назначении ответственного и проч). Особое внимание обратить на разработку политики в отношении обработки персональных данных, которая должна содержать цели обработки, правовые основания обработки, объем и категории перс.данных, порядок и условия обработки, срок хранения, уничтожения и прочее в соответствии с ФЗ 152. Политику обычно размещают на сайте, чтоб клиент мог беспрепятственно с ней ознакомиться.

Если вы используете cookie, об этом также нужно уведомить пользователей — удобнее всего разместить баннер, который автоматически появляется на сайте.

При сборе данных обязательно должна быть ссылка или форма о согласии на обработку данных. Оно должно быть конкретным, предметным и понятным.

Также, не следует забывать об уничтожении персональных данных. Если перс. данные вам больше не требуются, или если пользователь отозвал согласие на обработку данных (или в иных случаях), оператор обязан уничтожить данные и составить акт о ликвидации данных о пользователе.

Что касается хранения ПД. С 1 сентября 2015 года в России вступило в силу положение, которое обязывает операторов персональных данных обрабатывать и хранить персональные данные россиян с использованием баз данных, размещенных на территории РФ. В противном случае речь пойдет о «трансграничной передаче данных», для которой установлены дополнительные требования и регламентация.

 

[Дивергент]

Добрый день. Любая информация, относящаяся прямо или косвенно к определенному физическому лицу является персональными данными (это не только ФИО, паспортные данные и номер телефона, а также адрес места жительства, история покупок, рейтинг покупательских возможностей, IP-адрес, куки, геолокация, «любимые товары» и иная информация, которую можно ассоциировать с человеком).

В данном случае, собирая данные клиентов, интернет-магазин является Оператором персональных данных, а клиент - субъектом. О том, что вы является оператором персональных данных и обрабатываете ПД физических лиц необходимо уведомить Роскомндзор. Форма уведомления и порядок его заполнения представлен на сайте Роскомнадзора (Портал персональных данных - Форма уведомления). После подачи уведомления вас внесут в реестр операторов ПД.

На начальном этапе я бы рекомендовала вам провести анализ вашего бизнес-процесса, чтоб проследить: как, где, для чего и какая информация собирается вами о клиентах. После чего подготовить пакет документов, регламентирующий обработку персональных данных ваших клиентов (политику в отношении пд, согласие на обработку пд, уведомление о сборе куки, приказ о назначении ответственного и проч). Особое внимание обратить на разработку политики в отношении обработки персональных данных, которая должна содержать цели обработки, правовые основания обработки, объем и категории перс.данных, порядок и условия обработки, срок хранения, уничтожения и прочее в соответствии с ФЗ 152. Политику обычно размещают на сайте, чтоб клиент мог беспрепятственно с ней ознакомиться.

Если вы используете cookie, об этом также нужно уведомить пользователей — удобнее всего разместить баннер, который автоматически появляется на сайте.

При сборе данных обязательно должна быть ссылка или форма о согласии на обработку данных. Оно должно быть конкретным, предметным и понятным.

Также, не следует забывать об уничтожении персональных данных. Если перс. данные вам больше не требуются, или если пользователь отозвал согласие на обработку данных (или в иных случаях), оператор обязан уничтожить данные и составить акт о ликвидации данных о пользователе.

Что касается хранения ПД. С 1 сентября 2015 года в России вступило в силу положение, которое обязывает операторов персональных данных обрабатывать и хранить персональные данные россиян с использованием баз данных, размещенных на территории РФ. В противном случае речь пойдет о «трансграничной передаче данных», для которой установлены дополнительные требования и регламентация.

Я же могу хранить персональные данные у себя в организации на рабочих компьютерах? Просто нужно уведомить Роскомнадзор?

 

[Lawyer]

Да. Персональные данные могут храниться в бумажном или электронном виде.

Согласно ФЗ № 152, ст. 18.1, п. 1.2, оператор сам определяет способ хранения и фиксирует это в локальных документах (например, базы данных клиентов часто хранят в виртуальном облаке, а информацию о сотрудниках ― в распечатанном виде). Ответственность за определение правил, места размещения, ограничения доступа к данным и мер защиты информации ложится, согласно закону, на Оператора.

 

[Кислотный]

да судя по сайтам в рунете, то всем пофигу на персональные данные. Все подряд оставляют свои данные, а те кто их собирает толком и не обрабатывают. Отсюда и утечки. Потом звонками мошенники достают постоянно

 

[Lawyer]

да судя по сайтам в рунете, то всем пофигу на персональные данные. Все подряд оставляют свои данные, а те кто их собирает толком и не обрабатывают. Отсюда и утечки. Потом звонками мошенники достают постоянно

Обработка персональных данных - это совокупность действий с персональным данным, включая СБОР, запись, систематизацию, накопление, хранение, передачу, обезличивание, удаление и т.д. Иными словами, сбор данных на сайте - это и есть обработка.

На мой взгляд, последнее время крупные игроки рынка (банки, операторы связи, корпорации, клиники и проч.) более ответственно стали относиться к обработке персональных данных, в том числе, в связи с увеличившимися штрафами на утечки и повышенным вниманием со стороны надзорного органа.
Малый и средний бизнес да, согласна, пока занят более насущным вопросами (оплата по текущим обязательствам, налоги, трудовая и пожарная инспекции) и только начинает погружаться в тему Privacy. Однако всем ясно одно - как раньше уже не будет, это только вопрос времени.