Персональные данные в сфере маркетинга: как соблюдать требования законодательства?
Если отдел маркетинга в вашей компании для различных целей проводит сбор телефонов или почт клиентов – ваш бизнес автоматически становится оператором персональных данных. Рассказываем, что вам делать и как не столкнуться с серьезными последствиями за различные нарушения.
Что из себя представляют персональные данные?
Под этой категорией сведений регулятор понимает любую информацию, при помощи которой можно идентифицировать того или иного человека. Это и ФИО, и номер телефона, и паспортные данные, и фотография человека, и его почта или адрес проживания. Обработка этих данных (а сюда относится и их сбор) сразу накладывает на компанию гордое звание оператора персональных данных. А последнее, к слову, запускает в отношении бизнеса целый пул обязанностей, которые необходимо исполнять.
Ваша компания с вероятностью 99,9% уже является оператором ПД. Ведь к этой категории относится любой бизнес, у которого есть сотрудники. Также оператором организация становится в том случае, если обрабатывает информацию о своих клиентах. Причем метод взаимодействия не имеет значения: оставил человек свои контактные данные на вашем сайте или оформил заказ на маркетплейсе. Если вы тем или иным образом получили его данные – значит, вы их собрали и стали оператором ПД.
Что нужно делать бизнесу, который обрабатывает данные сотрудников и клиентов? Какие существуют обязанности и что случится с теми, кто нарушит законодательные требования?
Уведомление Роскомнадзора
Перед тем как начать взаимодействие с персональными данными, необходимо направить уведомление в РКН. Однако прежде чем это сделать, потребуется провести ряд обязательных мероприятий:
- Сформировать требуемый законом пакет документации.
- Осуществить некоторые организационные и технические мероприятия, к примеру, поставить ограничения на доступ в помещения, в которых хранятся ПД.
После этого ваш бизнес готов к тому, чтобы направить извещение в надзорный орган. Сделать это можно в электронном формате (Госуслуги или сайт РКН) или посредством бумажного заявления, направленного в адрес Роскомнадзора. После получения уведомления у органа будет 30 дней на то, чтобы рассмотреть его и внести вас в реестр операторов персональных данных. В случае прекращения обработки ПД также необходимо будет уведомить РКН.
Однако в ряде случаев бизнес может обойтись без регистрации в реестре Роскомнадзора. Эти ситуации описаны в статье 22 закона о персданных. В основном речь идет о заключении прямых договоров с клиентами, когда их данные не передаются третьим лицам и им не предоставляются дополнительные услуги. Аналогично без извещения надзорного органа можно обойтись, если вы:
- Обрабатываете сведения о работниках по ТК РФ.
- Используете только ФИО людей.
- Выдаете разовый пропуск на территорию.
Но подобные ситуации «разбиваются» о различные подводные камни. К примеру, работодатель наверняка передает сведения о сотрудниках в банк для начисления заработной платы. А это уже основание для признания его оператором ПД.
Если у вас есть сомнения, подпадает ли ваша компания под обязанность регистрации в реестре РКН, можно направить запрос о даче разъяснений в адрес регулятора.
Какие документы нужны для обработки персональных данных?
Документы, разработанные без ошибок и нарушений, помогают бизнесу исполнять все закрепленные за ним обязанности и не нести риски привлечения к ответственности. Каждой компании нужно иметь обширный список документации, в который входят те, что будут подробно рассмотрены ниже.
Политику конфиденциальности и правила работы с персональными данными часто путают и выдают один документ за другой. На самом же деле это разные регламенты. Документ по работе с персональными данными должен содержать рекомендации РКН и закона о персданных. Политика конфиденциальности же гораздо шире – в ней приводится процесс взаимодействия со всей конфиденциальной информацией, включая ПД.
В то же время допускается объединение обоих документов в единый свод правил. Его нужно разместить на сайте в общем доступе и давать к ознакомлению пользователям в случае, если они проходят регистрацию на веб-ресурсе компании.
Согласие на обработку персданных – специальная форма, которая заполняется субъектом персональных данных. В ней должна приводиться информация обо всех сайтах, которые будут обрабатывать сведения о пользователях. Сам документ должен содержать в себе четкие и ясные формулировки, чтобы у пользователя не возникало двоякости трактования тех или иных положений.
Обязательство о неразглашении персональных данных накладывает на сотрудников компании обязанность не передавать полученные персданные третьим лицам. Подписать данную бумагу обязаны все лица, у которых имеется доступ к информации о клиентах организации.
И еще одним важным документом является приказ о назначении ответственности лица за работу с ПД. Это внутренняя бумага, которая не подлежит размещению где-либо. Вместе с тем при проведении проверочных мероприятий РКН может
Наши ключевые услуги
Наш менеджер вас проконсультирует
