Пермская гражданская палата - Главная

НОВОСТИ



09.09.16. Новый сайт ПГП на PGPALATA.RU >>



08.09.16. Павел Селуков: «Пермские котики станут жителями Европы» Подробнее >>



08.09.16. Пермяки продолжают оспаривать строительство высотки у Черняевского леса Подробнее >>



08.09.16. В Чусовом появятся 54 контейнера для сбора пластика Подробнее >>



08.09.16. Жителям Перми расскажут об управленческих технологиях и их применении в некоммерческом секторе Подробнее >>



08.09.16. Пермские общественные организации могут обновить состав Комиссии по землепользованию и застройке города Подробнее >>



07.09.16. Историческое общество намерено помочь пермяку, осуждённому за реабилитацию нацизма Подробнее >>



07.09.16. До открытия в Перми «Душевной больницы» для детей осталось чуть больше полугода Подробнее >>



06.09.16. В Перми на Парковом проспекте открылся новый общественный центр Подробнее >>



06.09.16. Павел Селуков: «Мой гепатит» Подробнее >>

Архив новостей

ПИШИТЕ НАМ

palata@pgpalata.org

 





         


Права человека: опыт и методики

 

ПРАВОЗАЩИТНЫЕ МЕТОДИКИ

 

Право на неприкосновенность частной жизни

 

Рекомендации по обработке персональных данных
в деятельности маркетинговых организаций

 

Оглавление

***

Рекомендации адресованы организациям, занимающимся маркетинговой деятельностью и направлены на содействие обеспечению прав граждан при обработке их персональных данных. 26 января 2007 года вступил в действие Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Закон установил обязательные для исполнения правила по сбору, систематизации, накоплению, хранению, уточнению, использованию, распространению, обезличиванию, блокированию, уничтожению персональных данных и ответственность за их нарушение. Рекомендации содержат советы о том, как привести обработку персональных данных для целей маркетинговой деятельности в соответствие с требованиями законодательства.

 

Общие требования к обработке персональных данных

Организация, которая имеет дело с персональными данными, обязана соблюдать базовые принципы их обработки.

  • Соответствие целям сбора. Персональные данные должны использоваться только для тех целей, для которых они были собраны и храниться не дольше, чем это требуется для достижения целей обработки. Оператор должен уничтожать данные после достижения целей обработки.
  • Согласие субъекта данных. Обработка данных возможна только при условии согласия субъекта. Субъект имеет право отозвать свое согласие на обработку данных о себе. Обработка биометрических персональных данных и специальных категорий персональных данных возможно только при условии письменного согласия.
  • Прозрачность обработки и информированность субъекта. Оператор должен информировать субъекта о факте обработки данных, предоставлять сведения о целях и способах обработки. Субъект данных должен иметь возможность получать любую информацию, касающуюся обработки его данных.
  • Открытость. Оператор должен направить уведомление об обработке данных в Уполномоченный орган, а также иметь краткий документ, в котором отражена политика обработки данных.
  • Свобода доступа к данным о себе. Субъект данных должен иметь возможность знакомиться с данными о себе.
  • Право на уточнение. Персональные данные должны быть актуальны и достоверны. Субъект данных имеет право требовать уточнения информации, а также блокирования и уничтожения неточных данных.
  • Конфиденциальность. Оператор должен обеспечивать конфиденциальность персональных данных. Персональные данные не должны передаваться третьим лицам без согласия субъекта данных. Персональные данные должны быть защищены от несанкционированного доступа и распространения.
  • Ограничение обработки специальных категорий персональных данных. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни допускается только в исключительных случаях и при соблюдении определенных условий.
  • Ответственность. Субъект данных и Уполномоченный орган имеет право обжаловать неправомерные действия оператора и требовать соответствующей компенсации в суде.
  • Защита прав субъекта при передаче данных за рубеж. Передача данных за рубеж возможна только если иностранное государство обеспечивает адекватную защиту прав субъектов данных, или при условии письменного согласия.

 

Правила обработки персональных данных при проведении маркетинговых исследований

  • Респонденты участвуют в исследованиях добровольно. Чтобы сохранить их доверие маркетинговая служба должна гарантировать, что исследования проводятся честно, объективно и не причиняют неудобства.
  • При проведении маркетинговых исследований во всех случаях, когда это уместно, людям должна быть предоставлена возможность участвовать в опросах анонимно. Эти меры не только снизят риски утечки конфиденциальной информации, но и позволят сэкономить ресурсы организации, затрачиваемые на обработку и хранение данных.
  • Маркетинговое исследование всегда основано на сохранении конфиденциальности собранной информации. Собранная информация никогда не используется для целей, не связанных с исследовательскими.
  • Исследовательские цели несовместимы с целями прямого маркетинга. Продвижение товаров и услуг конкретным участникам опросов, с использованием собранной информации об их индивидуальных предпочтениях является недопустимым. Если проведение маркетингового исследования сочетается с проектом прямого маркетинга (проводится для осуществления индивидуальных продаж и целевой рекламы) – данный тип деятельности называют «прямым маркетингом».
  • Данные опросов могут храниться в обезличенном виде, за исключением случаев, когда необходимо проведение повторных опросов.
  • Обработка данных клиентов организации, вне зависимости от того с какой целью они были собраны, могут использоваться для статистических или исследовательских целей без дополнительного согласования.
  • При проведении опросов не допускается сбор и хранение информации, затрагивающей вопросы расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни без письменного согласия. При отсутствии согласия эти данные могут собираться только на условиях анонимности, либо храниться в обезличенном виде.
  • При опросе несовершеннолетних необходимо получить согласие родителей.
  • В начале интервью респонденты должны быть предупреждены об использовании какой-либо записывающей аппаратуры, за исключением случаев, когда это происходит в публичных местах, где использование такой аппаратуры очевидно всем присутствующим. При использовании фотосъемки, видео и аудиозаписи анонимность респондента не должна нарушаться. По желанию респондента запись или соответствующий ее раздел должны уничтожаться или удаляться.
  • Исследователь должен сообщать респондентам свое имя, название организации и координаты.

 

Правила обработки персональных данных при осуществлении прямого маркетинга

  • Использование персональных данных для распространения рекламных общений подразумевает особенно жесткие требования к получению согласия на обработку данных. Если данные были получены не от самого субъекта равно как, если целями сбора данных не было распространение рекламных сообщений – организация перед началом обработки обязана уточнить согласие у всех субъектов, либо отказаться от осуществления адресных рекламных обращений.
  • В случае конфликта оператор должен доказать согласие субъекта на ее получение.
  • Организация обязана немедленно прекратить обработку данных, если человек специально заявляет о своем нежелании получать маркетинговую информацию.
  • Если данные используются исключительно для целей прямого маркетинга, они должны быть уничтожены по первому требованию субъекта данных. Если данные используются для иных целей, согласованных с субъектом, оператор должны прекратить использование данных для распространения рекламных сообщений.
  • Негласный сбор персональных данных и использование их для составления потребительских досье без ведома потребителей - незаконны.
  • Каждое сообщение рекламного характера должно включать номер телефона или адрес электронной почты, по которым можно связаться с организацией и отказаться от дальнейшего получения информации .
  • Обработка персональных данных должна предусматривать возможность оперативного удаления из базы данных субъекта, отказавшегося от получения информации.

 

Советы по обеспечению требований к обработке данных

 

Направление уведомлений

Уведомление уполномоченного органа не требуется, если оператор осуществляет обработку персональных данных:

  • своих работников;
  • контрагентов в связи с заключением договора, если данные используются исключительно для исполнения указанного договора;
  • являющихся общедоступными персональными данными;
  • включающих в себя только фамилии, имена и отчества субъектов персональных данных;
  • необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  • обрабатываемых без использования средств автоматизации.

В случае, если Вы обрабатываете данные своих клиентов в электронном виде и используете их для иных целей, кроме целей, связанных с исполнением договора – Вам следует совершить следующие действия:

  • Направьте уведомление о намерении осуществлять обработку персональных данных в уполномоченный орган по защите прав субъектов персональных данных. Уведомление должно содержать следующие сведения:
    • наименование (фамилия, имя, отчество), адрес оператора;
    • цель обработки персональных данных;
    • категории персональных данных;
    • категории субъектов, персональные данные которых обрабатываются;
    • правовое основание обработки персональных данных;
    • перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
    • описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;
    • дата начала обработки персональных данных;
    • срок или условие прекращения обработки персональных данных.
  • Уведомление может быть направлено в письменной форме с подписью уполномоченного лица или в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.
  • Адрес Уполномоченного органа в своем регионе можно получить на сайте Федеральной службы по надзору в сфере связи и массовых коммуникаций, по адресу http://www.rsoc.ru/main/about/territorial/

 

Публичное информирование о политике компании в отношении обработки данных

1. Создайте документ, который отражает политику организации в отношении обработки персональных данных (Положение об обработке персональных данных, Политику приватности и т.п.). Использование этого документа упростит процедуру информирования клиентов.

2. В документе укажите следующую информацию:

  • цели и способы обработки персональных данных;
  • категории, типы обрабатываемых данных;
  • категории субъектов, персональные данные которых обрабатываются;
  • правовое основание обработки персональных данных;
  • перечень действий с персональными данными;
  • условия прекращения обработки персональных данных;
  • как получить доступ к персональным данным;
  • условия раскрытия и объем данных доступных партнерам и третьим лицам;
  • контактную информацию лиц, ответственных за рассмотрение жалоб и запросов.

Документ должен быть размещен в открытом доступе и быть доступен клиентам организации. Отсылка к указанному документу уместна каждый раз при запросе персональной информации (Положению о политике обработки данных, Политике приватности).

Способ опубликования и распространения документа должен соответствовать характеру, месту и способам сбора информации и взаимодействия с клиентами (в офисе, в местах продаж, на веб-сайте, в виде буклета).

 

Персональные данные должны использоваться только для тех целей, для которых они были собраны

  • Оцените, какая персональная информация действительно нужна организации, а какие данные могут быть обезличены или уничтожены без ущерба для деятельности организации.
  • Проведите инвентаризацию целей использования персональных данных ваших клиентов. Определите какую персональную информацию Вы получаете, и из каких источников, каким образом и на каких основаниях. Как используете личную информацию в пределах вашей организации. В каких случаях, как и на каких основаниях Вы предоставляете доступ к персональным данным для третьих лиц.
  • Собирайте данные только в том объеме, который необходим для достижения поставленных целей. Избегайте сбора и хранения избыточной информации на всякий случай, без определенной цели.
  • Избегайте сбора и использования персональных данных для целей, которые не относятся к сфере компетенции организации .
  • Для осуществления разных целей обработки используйте разные базы данных (продвижение новых продуктов, информация о новых услугах, информационные рассылки). Установите правила целевого использования баз данных. Своевременно вносите изменения в случае отзыва согласия на использование баз данных в оговоренных целях.
  • Избегайте объединения баз данных, созданных для несовместимых целей.
  • Уничтожайте данные после достижения цели их обработки.

Проверьте себя

Если на какой-либо из вопросов Вы дали ответ «НЕТ», значит Вам необходимо пересмотреть свою политику обработки данных и привести ее в соответствие с требованиями законодательства.

  • Можете ли Вы обосновать цель сбора и хранения всех собираемых персональных данных?
  • Всегда ли субъектам данных известно о том, что информация о них Вами собирается?
  • Используете ли Вы собранные данные только для тех целей, о которых были проинформированы субъекты?
  • Известно ли субъектам о том, кто будет иметь доступ к информации о них?
  • Можно ли назвать способы сбора данных ненавязчивыми?
  • Уничтожаете ли Вы ненужные персональные данные?
  • Существуют ли в организации правила уничтожения и обезличивания данных?
  • Разделяете ли Вы базы персональных данных своих клиентов, в зависимости от целей использования данных?

 

Обработка данных возможна только при условии согласия субъекта

Согласие может быть специальным и подразумеваемым. Специальное согласие дается в устной и письменной форме. Подразумеваемое согласие следует из поведения человека и обстоятельств предоставления данных оператору.

Специальное согласие на обработку данных не требуется, если:

  • обработка осуществляется в целях исполнения договора, одной из сторон которого является субъект данных,
  • организация собирает данные только для первичных целей, которые очевидны для клиента и вытекают из специфики взаимодействия с ним,
  • субъект данных в течение ближайшего года уже получал информацию о целях и способах обработки данных, и с момента получения информации ничего не изменилось,
  • обработка осуществляется в статистических или исследовательских целях при условии соблюдения анонимности субъекта,
  • обработка осуществляется при условии обязательного обезличивания персональных данных.

Специальное согласие на обработку данных необходимо, если:

  1. планируется использование данных для неочевидных для субъекта целей,
  2. предполагается раскрытие или передача информации третьим лицам,
  3. при сборе данных используются скрытые, негласные, косвенные средства и способы,
  4. информация собирается от третьих лиц.

Например, при сборе контактной информации респондентов, согласившихся принять участие в опросе, не требуется специального согласия на использование их данных для более корректной обработки результатов опроса, проверки работы маркетологов, возможности сделать уточнение, высказать благодарность или провести контрольный опрос через определенный промежуток времени. Однако необходимо запрашивать согласие респондентов на использование данных для распространения рекламных или информационных сообщений, или проведение иных опросов, или на передачу контактной информации партнерам.

Письменное согласие необходимо:

  • при раскрытии, разглашении или распространении личной информации конфиденциального характера;
  • при сборе специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;
  • при сборе биометрических персональных данных ( сведений, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность).

Письменное согласие субъекта на обработку его персональных данных должно включать в себя:

  1. фамилию, имя, отчество, адрес субъекта персональных данных, паспортные данные;
  2. наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
  3. цель обработки персональных данных;
  4. перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  5. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  6. срок, в течение которого действует согласие, а также порядок его отзыва.

Информирование

  • В процессе сбора информации предварительно проинформируйте клиента о целях использования собираемой информации, способах обработки и о том, кто может иметь доступ к персональным данным.
  • Включите соответствующую информацию о целях и способах обработки в текст анкеты, бланка, запроса на получение информации, текст договора, давайте устные разъяснения при личном общении или общении по телефону, разработайте текст письменного уведомления или соглашения об обработке данных, предлагайте для ознакомления текст положения об обработки данных.
  • Если Вы собираете данные для передачи третьим лицам – необходимо получить специальное согласие до момента передачи информации.
  • Если Вы получили информацию о субъекте не от него самого, либо если возникла необходимость использовать данные субъекта для целей, которые не были согласованы заранее, Вы должны направить субъекту данных Уведомление об обработке, которое будет включать следующую информацию:
    • наименование и адрес Вашей организации;
    • цель обработки персональных данных;
    • предполагаемые пользователи персональных данных;
    • права субъекта персональных данных.
  • Субъект данных вправе запросить у Вас дополнительную информацию, например, о перечне обрабатываемых персональных данных и источнике их получения, а также о сроках обработки персональных данных, в том числе сроках их хранения.

Подтверждение согласия

  1. Подтверждение согласия должно быть очевидным. В случае конфликта обязанность доказать наличие согласия субъекта на обработку данных возлагается на Вас.
  2. Если Вы планируете использовать данные сразу для нескольких целей – Вы должны уточнить согласие на каждый из вариантов использования отдельно.
  3. Согласие не должно быть вынужденным.Клиент должен иметь возможность отказаться от использования его данных во вторичных целях, не отказываясь при этом от участия в опросе или от получения услуг.
  4. Процедура подтверждения согласия (или фиксации отказа) не должна быть затратна для организации, поэтому оптимален вариант при котором согласие запрашивается в момент сбора данных, посредством включения в анкету или уведомление об порядке обработки и использования данных, пункта, запрашивающего согласие на использование данных во вторичных целях, например: «я хочу получать рекламную информацию», «не возражаю, против получения новых предложений об участии в опросах компании» и т.п.
  5. При сборе данных подчеркните, как они не будут использованы, например, «не будут использованы для распространения рекламы и прямого маркетинга, ни при каких обстоятельствах не могут быть переданы третьим лицам, компания гарантирует конфиденциальность данных, никакая информация не будет использована в целях, которые не оговорены заранее».

Отзыв согласия

  • Определите процедуру отзыва согласия на обработку данных.
  • При проведении информационных и рекламных рассылок указывайте процедуру отказа от дальнейшего получения информации, включайте в распространяемые материалы номера телефона, адрес электронной почты, по которому клиент может сообщить о своем нежелании в дельнейшем получать сообщения.

Выводы о наличие согласия человека на использование его персональных данных могут быть сделаны на основании следующих критериев:

  • человек получил и прочел информацию об использовании или раскрытии данных и способах их обработки;
  • человек мог свободно отказаться от использования данных, отказ не связан ни с какими другими целями;
  • отказ не требует от человека материальных затрат и специальных усилий.

Например, согласие получать рекламную информацию может следовать из нежелания человека отказаться от рассылок, при условии, что такая возможность была предложена.

Исключительные случаи

  • Запрос согласия, если оно не было получено заранее, возможен в виде своеобразного анонса при распространении первого сообщения. «Уважаемый клиент, предлагаем Вам стать получателем информации рекламного характера об определенной группе товаров и услуг. Наши рассылки будут приходить с периодичностью один раз в месяц. Чтобы подтвердить свое согласие на получение информации нажмите, пожалуйста, на эту ссылку». Запрос обязательно должен включать контактные данные организации и варианты подтверждения/отказа от использования данных.
  • Продвижение новых товаров и услуг среди своих клиентов – законный интерес организации. В международной практике допустимо использовать данные клиентов для распространения информации о своих товарах или услугах без предварительного согласования при соблюдении следующих условий:
    • предлагаются товары и услуги сопутствующие или подобные тем, которые уже были приобретены клиентом;
    • с момента последнего приобретения прошло не менее года;
    • клиент специально не заявлял о своем нежелании получать информацию;
    • при распространении информации клиенту предоставляется простой способ сообщить о своем нежелании получить подобные сведения в дальнейшем.
  • При этом нужно иметь ввиду, что по Закону, если у оператора не будет подтверждения согласия клиента на получение рекламной информации, то жалоба получателя информации может повлечь за собой привлечение к ответственности.

Лучшие методы

  • Организация осуществляет процедуру подтверждения согласия на обработку данных максимально простым и комфортным для клиентов образом. Получение согласия сопровождается предоставлением информации о целях сбора данных.
  • Организация получает согласие на обработку до момента фактического использования персональной информации.
  • Факт отказа и согласия на обработку данных четко фиксируется.
  • Субъект персональных данных в любое время может отозвать свое согласие на обработку данных.
  • Персонал организации в состоянии объяснить клиентам цели сбора персональных данных.
  • Организация своевременно корректирует цели сбора данных в случае изменений в содержании деятельности.
  • Организация имеет понятные процедуры информирования клиентов и получения их согласия на использование или раскрытие персональной информации для новых целей, не оговоренных во время сбора.

 

Субъект данных должен иметь возможность доступа к данными о себе, а также к информации, касающейся обработки его данных

  • Информируйте субъектов данных о формах доступа к их персональным данным.
  • Организуйте предоставление доступа к данным и информации об их обработке по запросам. Субъект данных имеет право уточнять, какая именно информация о нем храниться и кому она передавалась. Запрос на получение информации должен содержать данные паспорта и личную подпись ( запрос может быть также направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации). Вы должны ответить на подобный запрос в течение 10 дней. Ответ на запрос должен предоставляться субъекту в доступной форме – письменно, по электронной почте, при возможности устно или по телефону.
  • Субъект персональных данных имеет право на получение следующей информации:
    • подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
    • способы обработки персональных данных, применяемые оператором;
    • сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
    • перечень обрабатываемых персональных данных и источник их получения;
    • сроки обработки персональных данных, в том числе сроки их хранения;
    • сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
  • В ответе на запрос не должно содержаться персональной информации, которая относится к другим субъектам.
  • Если нет возможности предоставить клиенту сведения о том, кому передавались его персональные данные - предоставьте список лиц и организаций, которым данные могли быть раскрыты.
  • Отказ в предоставлении доступа к своим данным, сведений об обработке или уточнении персональных данных должен быть обоснован.
  • Определите сотрудника, ответственного за выполнение требований законодательства о персональных данных и предоставление информации по запросам. Опубликуйте контактную информацию сотрудника в открытом доступе (на информационных стендах, на Интернет-сайте, в информационных материалах и т.п.)

Проверьте себя

Если на какой-либо из вопросов Вы дали ответ «НЕТ», значит Вам необходимо пересмотреть свою политику обработки данных и привести ее в соответствие с требованиями законодательства.

  • В организации есть человек, ответственный за соблюдение требований обработки данных и предоставления информации об обработке данных по запросам?
  • Доступна ли клиентам контактная информация сотрудника, ответственного за соблюдение требований обработки данных?

 

Персональные данные должны быть актуальны и достоверны

  • Организуйте возможность исправления и дополнения, а также блокирования и удаления неточных данных.
  • Определите процедуру оперативного уточнения данных, например, адреса, на который должна приходить информация. Если кроме основной базы данных существует несколько используемых и резервных копий - соответствующие уточнения должны вноситься во все из них. Если это возможно и целесообразно, обязанность уточнения информации может распространяться и на сведения, которые были переданы третьим лицам.
  • Формируйте «отказные списки» (списки субъектов, отказавшихся от использования данных, например от получения информационных рассылок) и распространяйте эти списки среди всех сотрудников, ответственных за использование данных, например, осуществляющих рассылку. Регулярно обновляйте списки.
  • Закрепите функцию уточнения данных за ответственным сотрудником. Этот же сотрудник может фиксировать изменение статуса данных в случае блокирования и отвечать за своевременное уничтожение в случае отказа от обработки, удалять из базы данных контактную информацию умерших.
  • Если исправление данных технически невозможно, например, когда данные записаны на CD- ROM, организация должна гарантировать, что неточные данные не будут использоваться.

 

Персональные данные должны храниться не дольше, чем это требуется для достижения целей обработки

Законодательство устанавливает следующие основания, возникновение которых влечет обязательное уничтожение персональных данных:

  • невозможность устранения неправомерных действий с персональными данными
  • достижение целей обработки персональных данных
  • отзыв Клиентом согласия на обработку персональных данных

Уничтожение персональных данных должно быть произведено в течение трех дней с момента, когда наступили соответствующие основания, если иное не предусмотрено соглашением между Организацией и Клиентом.

Данные могут быть уничтожены двумя способами – деидентифицированы или уничтожены. Когда технические условия не позволяют уничтожить данные – организация должна гарантировать, что информация не будет использоваться.

Данные могут хранится в течение большего срока, чем этого требуют заявленные цели, если их планируется использовать в исследовательских, научных целях.

Требование уничтожения персональной информации клиентов при достижении целей обработки не абсолютно - для определенных категорий персональной информации законодательство устанавливает обязательные сроки хранения. Так, например, согласно правилам, установленным Федеральной архивной службой, обращения граждан (предложения, заявления, жалобы и др.), документы (справки, сведения, переписка) по их рассмотрению должны храниться в течение 5 лет; журналы регистрации и контроля обращений граждан, приема посетителей – в течение 3 лет. Организация должна хранить данные клиентов до момента истечения срока гарантийных обязательств, либо срока когда возможно предъявить претензии к качеству товара или услуги.

  • Включайте в Положение об обработке персональных данных описание процедуры и оснований уничтожения данных.
  • Назначьте ответственного за уничтожение персональных данных.
  • Обеспечьте технические возможности уничтожения персональных данных. Это может быть машинка по уничтожению печатных материалов или программа, которая автоматически уничтожает персональные данные в электронной форме.
  • Разработайте бланк формы уведомления об уничтожении его персональных данных. Определите способ направления уведомления Клиенту: например, почтой или в электронной форме с помощью специальной программы. Подтверждением факта уничтожения персональных данных может служить направление вместе с уведомлением письменных документов, переданных Клиентом Агентству. Уведомление направляется Клиенту, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также в указанный орган.

 

Персональные данные относятся к категории конфиденциальной информации, они не должны передаваться третьим лицам без согласия субъекта данных.

Персональные данные должны быть защищены от несанкционированного доступа и распространения.

Закон о персональных данных возлагает на любых операторов, обрабатывающих персональные данные, обязанность принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для их защиты. Правительством РФ ( постановление от 17 ноября 2007 года № 781) установлены требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

В рамках данной практики Агентство должно определить требования к хранению персональных данных и технические методы их реализации для обеспечения безопасности персональных данных на основе требований, установленных Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации (в настоящее время находятся в разработке). К полномочиям этих органов отнесен и надзор за обеспечением безопасности персональных данных на основе требований законодательства.

  • Проведите инвентаризацию персональной информации, которая у Вас хранится. Разбейте информацию на категории, в зависимости от уровня конфиденциальности информации (размера возможного морального или материального ущерба, который может причинить ее разглашение).
  • Разработайте и утвердите Положение (стандарт) о порядке обеспечения безопасности при работе с персональными данными. Определите четкие и понятные правила, устанавливающие продолжительность хранения данных, порядок их уничтожения и обезличивания. Сокращайте объем данных.
  • Не храните данные, в которых нет необходимости, обезличивайте информацию, своевременно уничтожайте данные, актуальность в использовании которых отпала, всегда, когда это возможно, оказывайте услуги анонимно.
  • Избегайте хранения специальных категорий персональных данных.
  • Защищайте информацию, которая находится в Вашем распоряжении.
  • Определите организационные и технические меры защиты данных. Принимаемые меры должны соответствовать характеру личной информации, размеру возможного морального или материального ущерба, который может причинить ее разглашение.

Организационные меры защиты данных от потери, несанкционированного доступа и распространения

  1. Назначьте ответственным за обеспечение безопасности персональных данных структурное подразделение или должностное лицо (работника). Это необязательно должно быть отдельный работник(и), чья главная функция заключается в организации процесса обеспечения безопасности персональных данных. Это может быть дополнительная обязанность кадрового работника, офис-менеджера или программиста. В зависимости от того, в какой форме происходит обработка персональных данных.
  2. Определите список лиц, доступ которых к персональным данным необходим для выполнения служебных (трудовых) обязанностей. Скорей всего, в Агентстве в той или иной степени с этого рода информации работает каждый сотрудник. Тем не менее, для выполнения данного требования законодательства приказом руководителя должен быть утвержден поименный перечень сотрудников, работающих с персональными данными. Целесообразно в приказе конкретизировать, кто из сотрудников и к какой информации допущен. Это поможет обеспечить надлежащий внутренний контроль в организации за движением информационных потоков, для надзорных органов это будет критерием соблюдения требований законодательства о создании системы безопасности.
  3. Ограничивайте число людей, которые могут иметь доступ к персональной информации (кто в силу своих должностных обязанностей не работает с персональными данными клиентов).
  4. Разработайте систему защиты персональных данных на основе моделей угроз их безопасности. Система защиты персональных данных в Агентстве не должна быть очень сложной. При хранении персональных данных в печатной форме – сейф с журналом записи каждого случая доступа к ним, при хранении в электронной форме – наличие специальных кодирующих программ, ограничивающих доступ посторонних лиц.
  5. Персонифицируйте доступ к данным, определите персонально ответственных сотрудников за ограничение доступа к персональным данным. Выстраивайте систему доступа к персональным данным таким образом, чтобы ответственный сотрудник всегда знал кто, кроме него просматривал персональные данные и использовал их.
  6. Установите меры ответственности за намеренное разглашение и уточку информации, контроля за соблюдением мер информационной безопасности и выполнением требований уничтожения и обезличивания данных.
  7. Создайте электронный журнал учета обращений за получением персональных данных, а также фактов их предоставления. Журнал должен находиться под внутренним контролем кого-нибудь из сотрудников Агентства. Целесообразно, чтобы это было тоже лицо, которое отвечает за их безопасность.
  8. Организуйте систему документооборота в организации, касающегося персональных данных. Документооборот должен включать в себя приказы и учетные документы, в которых отражаются принятые меры, а также учет материальных средств, предназначенных для обработки и обеспечения безопасности персональных данных. Перечень индексов, условных наименований и регистрационных номеров для технических и программных средств определяется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации.
  9. Установите и введите в эксплуатацию технические средства защиты информации на основе требований указанных выше органов власти. Используйте программы шифрования информации, защиты от несанкционированного доступа к компьютерам и компьютерным сетям, защиты от вирусов. Делайте регулярное резервное копирование данных, для предотвращения их случайной утери или искажения.
  10. Информируйте сотрудников о требованиях соблюдения конфиденциальности, обучайте их техническим навыкам защиты информации и правилам работы со средствами защиты персональных данных.
  11. Ограничивайте физический доступ к документам, папкам, архивам, помещениям, где хранятся данные. Используйте приборы для уничтожения бумаги. Избегайте хранения электронных баз данных на ноутбуках сотрудников (в том числе, чтобы избежать случайной утери информации вместе с компьютером). Используйте утилиты для уничтожения информации на жестких дисках.
  12. Определите продолжительность хранения персональных данных. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Проверьте себя

Если на какой-либо из вопросов Вы дали ответ «НЕТ», значит Вам необходимо пересмотреть свою политику обработки данных и привести ее в соответствие с требованиями законодательства.

  • В организации есть человек, ответственный за соблюдение требований безопасности?
  • В организации принята Политика обеспечения информационной безопасности и реализуются соответствующие меры и процедуры.
  • Когда данные обрабатывает третья сторона, она поддерживает тот же уровень защиты приватности что и ваша организация.
  • Сотрудники организации проходят специальное обучение навыкам защиты информации, имеют необходимые для обеспечения информационной безопасности знания и навыки.

Рекомендации подготовлены в рамках проекта

Межрегиональной группы «Правозащитная сеть»

«Защита персональных данных и приватности: модельные кодексы»

Источник: http://privacy.hro.org

 

Наверх