Обработка персональных данных в малом бизнесе: требования и рекомендации НЦЗПД
Фото: freepik.com
Национальный центр защиты персональных данных (НЦЗПД) подготовил разъяснения об обработке персональных данных субъектами малого предпринимательства и чек-лист для самостоятельной проверки соответствия требованиям законодательства. «ЭГ» выбрала ключевые моменты.
Единые требования для всех предпринимателей
Микроорганизации, индивидуальные предприниматели, самозанятые, ремесленники, блогеры и владельцы агроусадеб обязаны соблюдать требования законодательства об обработке персональных данных, независимо от числа сотрудников и объема данных.
Наличие либо отсутствие коммерческой выгоды от обработки персональных данных или их объем не имеют значения.
Аутсорсинг: распределение обязанностей
Если задачи, связанные с обработкой персональных данных, передаются на аутсорсинг (ведение бухучета, IT-поддержка, транспортные услуги и т.п.), то заказчик остается оператором обработки персональных данных, а исполнитель является уполномоченным лицом.
Договор с исполнителем должен включать (п. 1 ст. 7 Закона о защите персональных данных):
-
цели обработки персональных данных;
-
перечень действий с персональными данными уполномоченным лицом;
-
обязанности по соблюдению конфиденциальности персональных данных;
-
меры по защите персональных данных.
|
Важно: включение положений в договор не освобождает оператора от ответственности за действия аутсорсера. |
Запрет избыточности и ограничение хранения
Персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Недопустимы размытые формулировки целей сбора данных — «с запасом» или «на всякий случай». Хранение данных допустимо столько, сколько необходимо для достижения целей (например, до доставки заказа или истечения гарантийного срока).
Согласие на обработку персональных данных
Согласие не требуется, если обработка персональных данных связана с выполнением договора (например, оформление заказа, напоминание клиенту о визите).
Но для маркетинговых опросов и рассылок согласие клиента обязательно.
|
Важно: хранение копий документов, удостоверяющих личность, допускается только в случаях, определенных законодательством. |
Согласие субъекта персональных данных должно быть выражено отдельно для каждой самостоятельной цели.
Пример. Нельзя использовать конструкции типа:
-
«приобретая нашу услугу, Вы даете согласие на получение рекламной рассылки»;
-
«соглашаясь на съемку, Вы также даете согласие на публикацию фотографий в соцсетях фотографа».
Отказ субъекта от дачи согласия на рекламную рассылку не должен быть препятствием для покупки товара или услуги.
Для использования личного номера телефона работника для связи с клиентами требуется его согласие.
Видеонаблюдение по инициативе бизнеса, например для контроля за сохранностью имущества в сдаваемой квартире, возможно только с согласия лица — объекта съемки.
Передача данных клиента на зарубежные серверы (например, в сервисах Google, Yandex, Telegram) возможна только после разъяснения клиенту возникающих рисков и получения его согласия.
Особенности защиты персональных данных субъектами малого бизнеса
Физические лица (ИП, ремесленники, самозанятые), обрабатывающие персональные данные, не обязаны назначать ответственное лицо за внутренний контроль.
Политику обработки персональных данных обязаны утвердить юрлица и ИП. Для иных физлиц это необязательно, но рекомендуется при обработке большого объема персональных данных.
