Защита персональных данных: как правильно собирать и хранить контакты клиентов

В мае в Беларуси был принят новый закон «О защите персональных данных». Он вступил в силу 15 ноября 2021. Это значит, что впервые защита персональных данных в нашей стране будет детально регулироваться на законодательном уровне. Теперь, чтобы собирать контакты клиентов и работников, хранить их и использовать в маркетинге и других сферах, нужно соблюсти определенные правила.

Что такое персональные данные

Персональные данные — это любая информация, которая идентифицирует человека или по которой его можно идентифицировать. Такая информация может быть общей и специальной.

К общей относятся ФИО, адрес, дата рождения, паспортные данные, телефон, имейл, образование, семейное положение, уровень доходов, место работы и так далее.

Специальная информация — это результаты медицинских исследований, диагнозы, фото, отпечатки пальцев, отношение к религии, политические взгляды, раса, пол и прочее. Также это cookies, IP-адрес и другие идентификаторы на сайте.

Требования к сбору и обработке персональных данных

1. Для начала определи цели сбора и обработки персональных данных. Это может быть нужно для оформления трудовых или договорных отношений (например, продажа товаров физическим лицам), исполнения договора (например, доставка товара или оказание услуг), проведения маркетинговых исследований или отправки предложений со скидками и акциями.

Пропиши все цели в специальном документе — «Политике по обработке персональных данных» или «Политике конфиденциальности». Подробнее о нём будет ниже.

2. Далее определи объём запрашиваемых данных и убедись, что он соответствует целям использования. Например, для исполнения договора поставки неверным будет запрашивать имейл клиента, если тебе нужны имя, фамилия, адрес доставки и телефон для связи на месте.

Если ты запрашиваешь имейл для маркетинговой рассылки, это нужно указать как отдельную цель обработки.

3. Всегда получай согласие физического лица на обработку персональных данных.

Дополнительное письменное согласие не нужно только в случаях, прямо предусмотренных законом. Например, для оформления трудовых отношений или привлечения к уголовной и административной ответственности.

Ты можешь получить согласие в письменной форме, когда клиент подписывает документ со всеми условиями по обработке персональных данных. А также в электронной форме, в виде SMS-оповещения или галочки согласия на сайте.

Обрати внимание, что получение согласия при помощи фразы «продолжая оставаться на сайте, вы принимаете нашу политику» считается спорным.

Согласие должно быть чётко определено. Оптимальным вариантом будет «галочка» в графе «ознакомлен с Политикой конфиденциальности и согласен на обработку моих персональных данных в порядке, определенном в Политике конфиденциальности», которую поставит сам человек.

До того, как человек согласится на обработку персональных данных, он должен знать о твоём бизнесе, какие данные, для чего и в каком объёме будут использоваться, как и сколько их будут хранить. Всё это должно быть прописано в «Политике по обработке персональных данных» или «Политике конфиденциальности».

Политика конфиденциальности

В документе обязательно укажи:
– твоё наименование (фамилию, имя) и место нахождения (адрес места жительства);
– цели обработки персональных данных;
– объём персональных данных, которые ты планируешь собирать и обрабатывать;
– срок хранения персональных данных;
– информацию об иных лицах (физических и юридических), которым ты, возможно, будешь передавать персональные данные для обработки;
– перечень действий с персональными данными (хранение, сортировка, использование для рассылки и так далее), общее описание способов обработки персональных данных.

Политика должна быть написана простым и понятным языком в форме письменного документа или размещена в электронном виде (например, на сайте) в самом начале взаимодействия с клиентом. Форма должна совпадать с той, в которой ты получаешь согласие человека на обработку его персональных данных (простая письменная или электронная).

В рамках нового законодательства важно дать возможность физическим лицам реализовать следующие права:
– получение информации о персональных данных и их изменение;
– прекращение обработки и удаление персональных данных;
– получение информации о предоставлении данных третьим лицам.

Для этого в своей политике укажи электронный адрес ответственного лица, к которому клиент может обратиться для реализации этих прав.

Ответственность

За нарушение требований Закона «О защите персональных данных» предусмотрены различные виды ответственности, начиная с гражданско-правовой и заканчивая уголовной.

Административная ответственность:
– за умышленные незаконные сбор, обработку, хранение или предоставление персональных данных физического лица или нарушение его прав, связанных с обработкой персональных данных (ч. 1 ст. 23.7 КоАП), может быть назначен штраф до 50 базовых величин;
– за несоблюдение мер обеспечения защиты персональных данных физических лиц (ч. 4 ст. 23.7 КоАП) индивидуального предпринимателя могут оштрафовать на 10-25 базовых величин, а юридическое лицо на 20-50 базовых величин;
– за нарушение требований законодательных актов по учёту и хранению персональных данных пользователей интернет-услуг (ч. 2 ст. 23.9 КоАП) может грозить штраф 5-15 базовых величин.

Гражданско-правовая ответственность подразумевает возмещение имущественного и морального вреда, который причинён физическому лицу нарушением его прав, установленных Законом «О защите персональных данных».

В рамках дисциплинарной ответственности нарушение порядка обработки персональных данных является основанием для увольнения работника (п. 10 ч. 1 ст. 47 ТК РБ).

Уголовная ответственность наступает в случае нанесения существенного вреда.

Передача персональных данных третьим лицам

Ты можешь передавать персональные данные третьим лицам, например, своему бухгалтеру, который работает по договору подряда. Или маркетологу, который делает рассылку, а также другим работникам, которые не состоят в штате.

Такая передача возможна только при наличии договора с этими людьми. В договоре нужно обозначить, какие данные передаются, цели обработки (например, «с целью ведения бухгалтерского учета» или «для проведения маркетинговых исследований»), действия, которые человек будет совершать с персональными данными, меры обеспечения конфиденциальности и меры по защите персональных данных в таком случае.

Возможна также трансграничная передача. Она происходит, например, если информация хранится на серверах за границей Республики Беларусь. В этом случае к договорам применяются специальные требования законодательства, с которыми важно ознакомиться заранее.

Как подготовиться к изменению законодательства

Перед тем, как подготовить «Политику конфиденциальности», тебе нужно пройти ряд шагов.

1. Определить цели обработки персональных данных, субъектов персональных данных, категории обрабатываемых данных и срок их хранения.

2. Установить перечень людей, у которых есть доступ к персональным данным, порядок их доступа и перечень уполномоченных лиц, которые получают данные для обработки.

3. Назначить лицо (структурное подразделение), ответственное за внутренний контроль за обработкой персональных данных.

4. Разработать:
– политику (положение) обработки персональных данных;
– положения в договор с клиентами-физическими лицами;
– договор с уполномоченными лицами;
– форму согласия на обработку и документ, который содержит информацию для предоставления клиентам при получении согласия (при необходимости).

5. Ознакомить с законодательством и внутренними документами компании об обработке персональных данных сотрудников, которые с ними работают.

6. Разместить политику обработки персональных данных на сайте компании или в другом месте, к которому возможен неограниченный доступ.