Персональные данные в сфере маркетинга: как соблюдать требования законодательства?
Содержание статьи
Если отдел маркетинга в вашей компании для различных целей проводит сбор телефонов или почт клиентов – ваш бизнес автоматически становится оператором персональных данных. Рассказываем, что вам делать и как не столкнуться с серьезными последствиями за различные нарушения.
Что из себя представляют персональные данные?
Под этой категорией сведений регулятор понимает любую информацию, при помощи которой можно идентифицировать того или иного человека. Это и ФИО, и номер телефона, и паспортные данные, и фотография человека, и его почта или адрес проживания. Обработка этих данных (а сюда относится и их сбор) сразу накладывает на компанию гордое звание оператора персональных данных. А последнее, к слову, запускает в отношении бизнеса целый пул обязанностей, которые необходимо исполнять.
Ваша компания с вероятностью 99,9% уже является оператором ПД. Ведь к этой категории относится любой бизнес, у которого есть сотрудники. Также оператором организация становится в том случае, если обрабатывает информацию о своих клиентах. Причем метод взаимодействия не имеет значения: оставил человек свои контактные данные на вашем сайте или оформил заказ на маркетплейсе. Если вы тем или иным образом получили его данные – значит, вы их собрали и стали оператором ПД.
Что нужно делать бизнесу, который обрабатывает данные сотрудников и клиентов? Какие существуют обязанности и что случится с теми, кто нарушит законодательные требования?
Проведем бесплатный аудит вашей организации или ИП на предмет соблюдения новых требований закона «О персональных данных»
Сделаем заключение на соблюдение требований Роскомнадзора
Запишитесь на бесплатный аудит
Заполните форму и мы свяжемся с вами
Уведомление Роскомнадзора
Перед тем как начать взаимодействие с персональными данными, необходимо направить уведомление в РКН. Однако прежде чем это сделать, потребуется провести ряд обязательных мероприятий:
- Сформировать требуемый законом пакет документации.
- Осуществить некоторые организационные и технические мероприятия, к примеру, поставить ограничения на доступ в помещения, в которых хранятся ПД.
После этого ваш бизнес готов к тому, чтобы направить извещение в надзорный орган. Сделать это можно в электронном формате (Госуслуги или сайт РКН) или посредством бумажного заявления, направленного в адрес Роскомнадзора. После получения уведомления у органа будет 30 дней на то, чтобы рассмотреть его и внести вас в реестр операторов персональных данных. В случае прекращения обработки ПД также необходимо будет уведомить РКН.
Однако в ряде случаев бизнес может обойтись без регистрации в реестре Роскомнадзора. Эти ситуации описаны в статье 22 закона о персданных. В основном речь идет о заключении прямых договоров с клиентами, когда их данные не передаются третьим лицам и им не предоставляются дополнительные услуги. Аналогично без извещения надзорного органа можно обойтись, если вы:
- Обрабатываете сведения о работниках по ТК РФ.
- Используете только ФИО людей.
- Выдаете разовый пропуск на территорию.
Но подобные ситуации «разбиваются» о различные подводные камни. К примеру, работодатель наверняка передает сведения о сотрудниках в банк для начисления заработной платы. А это уже основание для признания его оператором ПД.
Если у вас есть сомнения, подпадает ли ваша компания под обязанность регистрации в реестре РКН, можно направить запрос о даче разъяснений в адрес регулятора.
Какие документы нужны для обработки персональных данных?
Документы, разработанные без ошибок и нарушений, помогают бизнесу исполнять все закрепленные за ним обязанности и не нести риски привлечения к ответственности. Каждой компании нужно иметь обширный список документации, в который входят те, что будут подробно рассмотрены ниже.
Политику конфиденциальности и правила работы с персональными данными часто путают и выдают один документ за другой. На самом же деле это разные регламенты. Документ по работе с персональными данными должен содержать рекомендации РКН и закона о персданных. Политика конфиденциальности же гораздо шире – в ней приводится процесс взаимодействия со всей конфиденциальной информацией, включая ПД.
В то же время допускается объединение обоих документов в единый свод правил. Его нужно разместить на сайте в общем доступе и давать к ознакомлению пользователям в случае, если они проходят регистрацию на веб-ресурсе компании.
Согласие на обработку персданных – специальная форма, которая заполняется субъектом персональных данных. В ней должна приводиться информация обо всех сайтах, которые будут обрабатывать сведения о пользователях. Сам документ должен содержать в себе четкие и ясные формулировки, чтобы у пользователя не возникало двоякости трактования тех или иных положений.
Обязательство о неразглашении персональных данных накладывает на сотрудников компании обязанность не передавать полученные персданные третьим лицам. Подписать данную бумагу обязаны все лица, у которых имеется доступ к информации о клиентах организации.
И еще одним важным документом является приказ о назначении ответственности лица за работу с ПД. Это внутренняя бумага, которая не подлежит размещению где-либо. Вместе с тем при проведении проверочных мероприятий РКН может
Остались вопросы?
Наш менеджер вас проконсультирует
Наши ключевые услуги
Вам может быть интересно
