Что делать с персональными данными? Разбираем новый закон на примерах
- Источник:
- Ольга Антипенко
Главное правило нового регулирования — собирать и использовать персональные данные, то есть информацию, которая может прямо или косвенно идентифицировать человека, только в заранее определенных объемах и целях. Для этого нужно разработать политику обработки данных, в которой и будет указано, каким образом, для каких целей и какие данные получает и использует компания.
Собираем данные пользователей
· Собирать номера телефонов, е-мейлы и другие контактные данные у покупателей можно, если вы соблюдаете свою собственную политику обработки и иные требования защиты персональных данных. Как правило, такие данные вносятся через формы на сайте, поэтому использовать их можно без согласия покупателей исключительно в тех целях, которые указаны у вас в политике.
· С личным кабинетом проблем тоже быть не должно. Если у вас есть интернет-магазин, в котором покупатели могут авторизоваться, то, скорее всего, у вас есть и пользовательское соглашение — по сути, договор между магазином и покупателем на использование вашего сайта и личного кабинета. В этом случае вы можете обрабатывать данные пользователей, такие как имя, фамилия, контактные данные, адрес и тому подобное, без необходимости получения дополнительных согласий, действуя на основании такого соглашения. Важно, чтобы данные, которые указывает покупатель в личном кабинете, действительно были вам нужны для продажи товаров / оказания услуг покупателю. Например, адрес проживания нужен для доставки товаров, а вот место работы и должность вряд ли понадобятся вам как продавцу, разве что вы предлагаете какие-то специализированные товары или услуги.
· Отзывы покупателей на сайте работают по тем же принципам. Если предусмотрена авторизация, то все данные вносятся через личный кабинет, если нет — пользователь в любом случае вводит их сам.
· Авторизация через социальные сети не несет большой проблемы, так как покупатель самостоятельно соглашается поделиться данными с вами, только не заполняя их вручную, а перебросив из другой базы данных. А вам остается только предусмотреть такой механизм технически и, конечно, позаботиться о сохранности данных.
· Файлы cookie. Для их сбора нужно согласие пользователя, которое можно получить, например, через всплывающее окно на сайте. У пользователя должен быть реальный выбор, позволять ли сайту собирать информацию о себе, то есть до момента согласия и в случае несогласия данные собираться не должны. Перед тем как пользователь примет решение, ему должна быть предоставлена подробная информация о том, какие именно данные будут собраны и кому они будут переданы.
· Сложнее с холодными телефонными звонками. В устном разговоре невозможно предусмотреть проставление галочки или подпись документа на обработку данных, поэтому если вы собираетесь осуществлять сбор данных, например, оформляя заказы по телефону, то следует хорошенько подумать, можете ли вы предусмотреть надлежащую форму дачи согласия покупателем. Согласие в этом случае нужно в связи с тем, что у вас нет иных оснований для обработки данных — например, договора.
Кроме защиты персональных данных, здесь затрагивается еще и вопрос законодательства о рекламе. По сути, холодный звонок с презентацией товаров либо услуг — это та же реклама. И для распространения такой рекламы от абонента связи необходимо заранее получить согласие в письменной форме либо в электронном виде (то же проставление галочки). Поэтому, чтобы избежать нарушений, для рекламы по телефонной связи лучше сразу заручиться согласием и на обработку персональных данных, и на получение рекламных звонков.
· Запись звонков, по сути, можно осуществлять с согласия покупателя. Тогда, возможно, в качестве согласия на обработку данных, описанного выше, вы сможете использовать расшифровку телефонного звонка. Обратите внимание, что не совсем правомерно будет вынуждать покупателя соглашаться на запись, если он готов и хочет разговаривать с вами дальше, но не хочет, чтобы ваш разговор был записан. Полезно предусмотреть внутренние политики или процедуры компании, регламентирующие эти вопросы, чтобы работники точно понимали все нюансы.
· Видеозапись в магазине вести также не запрещено, если это делается в целях безопасности. Наоборот, это является требованием законодательства*, поэтому разрешение на сбор и обработку изображений покупателей получать не нужно.
* Постановление Совета министров Республики Беларусь от 30.12.2013 г. № 1164 «О критериях отнесения объектов к числу подлежащих обязательному оборудованию средствами системы видеонаблюдения за состоянием общественной безопасности».
Храним данные покупателей
Как и где должны храниться персональные данные?
Вы можете хранить данные как на бумажных, так и на электронных носителях. Если решите действовать по старинке, то учтите: вы должны обеспечить поиск персональных данных или доступ к ним по определенным критериям через, например, картотеки, списки, базы данных, журналы.
Наше законодательство прямо не предусматривает запрет на хранение данных вне Беларуси, но есть одно «но». Если вы решили передавать данные в другую страну, стоит проверить, включена ли страна назначения в список стран, где обеспечивается надлежащий уровень защиты прав субъектов персональных данных. Список таких стран включает в себя страны-стороны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, принятой в Страсбурге 28 января 1981 года. Для передачи данных в иные государства нужно использовать другие законные основания. Одним из таких оснований является согласие самого субъекта на трансграничную передачу данных в определенную страну.
Дополнительное требование установлено к белорусским компаниям и предпринимателям, которые реализуют товары и услуги через интернет. Самый распространенный пример — интернет-магазин. По требованиям законодательства, такие интернет-магазины должны размещаться на серверах, расположенных исключительно на территории Беларуси. Соответственно, локализация данных в этом случае должна быть соблюдена.
Использование CRM- или ERP-систем не запрещено. Нужно только помнить, что все данные должны быть получены законно. Если вы храните в таких системах данные сотрудников, их согласия получать также не нужно, так как они предоставлены вам в связи с оформлением трудовых отношений.
Передаем данные покупателей
Маркетологи используют пиксели Facebook. Это норма с точки зрения закона?
Да, норма, если это оформлено надлежащим образом. Если вы используете такой инструмент, как пиксели, то вы, вероятно, делитесь информацией с Facebook. При этом вы собираете файлы cookie, что требует получения согласия пользователей. Если пользователь даст разрешение на отслеживание его действий через сайт, то и использование пикселей будет правомерным.
Доставка продукции сторонними перевозчиками. Как передать им данные покупателей?
Как правило, при заказе продукции между покупателем и продавцом есть договорные отношения, которые предусматривают обязанность продавца по доставке. В этом случае передать данные перевозчику вы можете как раз во исполнение договора с покупателем, то есть для выполнения обязанностей по доставке. Нужно понимать, что перевозчик в этом случае тоже будет обрабатывать персональные данные и должен соблюдать требования законодательства. В этом случае, однако, вы не будете отвечать перед своим покупателем за незаконное использование его персональных данных перевозчиком.
Аутсорс или незаконная продажа?
Ситуация, когда вам придется отвечать перед покупателями за неправомерное использование их данных третьими лицами, — это та ситуация, когда вы передаете обработку данных на аутсорс (в законе используется термин «уполномоченное лицо»). Передача на аутсорс от обычной продажи данных (кстати, незаконной) отличается тем, что при передаче данных уполномоченному лицу вы должны установить в договоре, какие данные передаются, конкретные цели обработки, которые должен будет соблюдать ваш контрагент, требование о соблюдении конфиденциальности и мер защиты данных. Именно за нарушение этих положений вашими контрагентами вы и будете нести ответственность перед субъектами персональных данных.
Удаляем данные пользователей
Срок хранения данных определяется каждой организацией самостоятельно. Но стоит учитывать, что данные не могут храниться дольше, чем этого требуют цели обработки. То есть, если цели обработки достигнуты, то данные необходимо удалить.
Если данные были получены вами на основании согласия субъекта персональных данных, то имейте в виду, что он имеет право в любое время это согласие отозвать. Тогда, если у вас не будет других оснований для обработки его данных, например договора, данные также придется удалить. Если вы отдали обработку данных на аутсорс, то вы должны будете потребовать удаления данных и от вашего уполномоченного лица.
Фото: depositphotos.com