Интеграция требований 152-ФЗ в бизнес-процессы: пошаговый разбор для предпринимателей

Консультант по персональным данным компании Б-152 Константин Холманов

Как правильно трудоустраивать работника?

Руководствуясь положениями п. 2 ч. 1 ст. 6 152-ФЗ и ч. 1 ст. 86 ТК РФ, обработка персональных данных работника не требует получения согласия, при условии, что объем обрабатываемых работодателем персональных данных не превышает перечень, установленный ТК РФ.

В рамках трудоустройства работодатель обязан получить согласие от работника либо обеспечить иное правовое основание, например, закрепление целей для обработки (передачи) персональных данных работника в трудовом договоре или коллективном договоре на обработку (передачу) персональных данных в целях, не связанных с исполнением требований законодательства или с осуществлением и выполнением возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

Также крайне важно ознакомить работника под роспись с «документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области» (п.6 ч.1 ст.18.1 152-ФЗ и ч.8 ст. 86 ТК РФ).

Как принимать заказы

Получение заказа как основание в контексте п. 5 ч. 1 ст. 6 152-ФЗ для обработки персональных данных клиентов может быть осуществлено с помощью сайта, мобильного приложения либо telegram-бота.

При рассмотрении каждого способа получения заказа важно обеспечить наличие точного перечня персональных данных, необходимых для выполнения заказа. В противном случае обработка данных будет признана избыточной, что повлечет за собой административную ответственность согласно ч. 1 ст. 13.11 КоАП РФ.

Не менее важным будет соблюдение оператором обязанности в обеспечении неограниченного доступа к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных (Политика конфиденциальности). За несоблюдение данной обязанности также возникает административная ответственность в соответствии с ч. 3 ст. 13.11 КоАП РФ.

Если, помимо принятия заказа, вы собираете персональные данные клиента для иных целей (участие в программе лояльности, создание личного кабинета клиенту, осуществление рекламных рассылок), то нужно обеспечить отдельное правовое основание для обработки персональных данных.

Если вы собираете персональные данные через telegram-бота, то важно обеспечить их обработку именно на территории Российской Федерации. Частое нарушение этого правила заключается в первоначальном сборе данных на зарубежные CRM-системы. За несоблюдение этой обязанности предусмотрена административная ответственность по части 8 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях.

Как организовать поддержку пользователей (HelpDesk)

Компании часто предлагают клиентам обратиться в службу поддержки для решения разных вопросов. При этом способы связи могут быть разными: через сайт, электронную почту или по телефону.

Здесь также важно обеспечить правовое основание для обработки персональных данных. Это может быть важно для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект, либо для осуществления прав и законных интересов оператора (более всем нам знакомое «в целях улучшения качества обслуживания»).

Как делать рассылку

В целях осуществления email-рассылки нужно отдельное согласие. То есть на сайте это дополнительная галочка, которую нельзя ставить по умолчанию, иначе это нарушает положения ч. 1 ст. 9 152-ФЗ. Также необходимо обеспечить удобный инструмент для отписки от email-рассылки.

Как заключить договор с поставщиком или подрядчиком

В договоре или соглашении о конфиденциальности следует четко указать, что передача персональных данных осуществляется исключительно в рамках исполнения обязательств по договору.

Также необходимо точно прописывать обязанности принимающей стороны в отношении обработки ПДн: применять организационные и технические меры защиты, не распространять и не передавать их третьим лицам, использовать исключительно для целей договора. Передающая сторона должна подтвердить наличие правовых оснований для передачи данных.

Многие компании ведут свою деятельность за рубежом, работают с иностранными партнерами, что предполагает трансграничную передачу персональных данных. Отсюда возникает необходимость направить в Роскомнадзор уведомление о намерении осуществлять трансграничную передачу персональных данных.

Как вести видеонаблюдение

Видеозапись сотрудников и посетителей попадает под действие 152-ФЗ. Основанием для видеонаблюдения может быть признано «осуществление прав и законных интересов оператора» (п. 7 ч.1 ст. 6 152-ФЗ). Не лишним для посетителей будет поставить табличку или иным образом указать, что ведется видеонаблюдение.

Как избежать нарушений

С учетом все большего ужесточения ответственности в области персональных данных операторы должны все большее внимание уделять обработке персональных данных. Поэтому важно обеспечить не только правовое основание для обработки персональных данных, но и адекватную защиту, например, ограничивать доступ к персональным данным для тех, кто осуществляет их обработку на законной основе, потому что более половины утечек происходит по вине сотрудников — намеренно или случайно.

Проведите внутренний аудит или привлеките профильные организации, чтобы выявить слабые места в защите — технические и юридические.

Соблюдение 152-ФЗ защитит компанию от штрафов и повысит лояльность клиентов, которые ценят безопасность своих данных.