Памятка для организаций, оказывающих услуги дистанционным способом

ПАМЯТКА

ПО АКТУАЛЬНЫМ ПРОБЛЕМАМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

ДЛЯ ОРГАНИЗАЦИЙ, ОКАЗЫВАЮЩИХ УСЛУГИ ДИСТАНЦИОННЫМ СПОСОБОМ

  

Обработка персональных данных покупателя (заказчик услуг).

 Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Федеральный закон о персональных данных) обязывает всех юридических лиц соблюдать определенные требования при обработке персональных данных работников, клиентов. Не исключение в данном случае и организации, а также физические лица, оказывающие услуги дистанционным способом.

В соответствии с постановлением Правительства Российской Федерации от 27.09.2007 № 612 "Об утверждении Правил продажи товаров дистанционным способом" (далее - Постановление) покупатель(заказчик услуг), в целях заключения и надлежащего исполнения договора с организацией, оказывающей услуги дистанционным способом, передает последней сведения о себе в объеме, необходимом для исполнения договора. Таким образом, организация, оказывающая услуги дистанционным способом, является оператором, осуществляющим обработку персональных данных покупателя(заказчика услуг).

 Что такое персональные данные покупателя(заказчика услуг)?

Персональные данные − любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), согласно пункту 1 статьи 3 Федерального закона о персональных данных.

К персональным данным заказчика услуг (покупателя) относятся сведения о нем, необходимые для получения услуги. Перечень необходимых сведений о заказчике услуг (покупателе)получения услуги: фамилию, имя, отчество покупателя или указанного им лица, адрес по которому необходимо доставить товар, как правило являющийся адресом, по которому гражданин постоянно или временно проживает, установлен п.14 Постановления.

 Что такое обработка персональных данных? Согласие покупателя (заказчика услуг) на обработку персональных данных.

 Согласно пункту3 статьи 3 Федерального закона о персональных данных под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Обработка персональных данных должна соответствовать определенным целям. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. В данном случае цель определяется договором между организацией, оказывающей услуги дистанционным способом и заказчиком услуг (покупателем).

Организация, оказывающая услуги дистанционным способом, должна четко определить состав персональных данных, подлежащих обработке и способ их обработки. Выделяют несколько способов обработки:

- автоматизированная обработкаперсональных данных − обработка персональных данных с помощью средств вычислительной техники;

- неавтоматизированная обработкаперсональных данных – обработка персональных данных, осуществляемая при непосредственном участии человека;

- смешенная обработкаперсональных данных.

Обработка персональных данныхосуществляется с согласия субъекта персональных данных на обработку его персональных данных.

Согласие не требуется, если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (пункт 5 части 1 статьи 6 Федерального закона о персональных данных).

 Права и обязанности оператора персональных данных.

Какие локальные документы должны быть изданы Оператором?

 Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

К правовым мерам относится разработка локальных актов оператора организационно-распорядительного характера и построение деятельности организации в соответствии с ними.

Примеры локальных актов, регламентирующих деятельность Оператора в части защиты персональных данных относятся: 

- Издание документов, определяющих политику Оператора в отношении обработки персональных данных;

- Положение об обработке и защите персональных данных покупателя (заказчика услуг);

- Обязательство о соблюдении режима конфиденциальности персональных данных покупателя (заказчика услуг);

- Перечень должностей сотрудников, имеющих доступ к персональным даннымпокупателя (заказчика услуг);

- Приказ о назначении лица, ответственного за организацию обработки персональных данных;

- Приказ об утверждении мест хранения материальных носителей персональных данных покупателя (заказчика услуг) и другие.

Вопрос конфиденциальности персональных данных покупателя (заказчика услуг) должен ставиться не только в отношениях между покупателем (заказчиком услуг) и организацией, оказывающей дистанционные услуги, но и между организацией, оказывающей дистанционные услуги и организацией, осуществляющей пересылку, доставку товара покупателю. Соответствующий договор должен обязательно содержать условие о конфиденциальности персональных данных покупателя, передаваемых организации, осуществляющей пересылку, доставку товара покупателю.

Технические меры по защите персональных данных в соответствии с частью 2 статьи 19 Федерального закона о персональных данных устанавливаются приказом ФСТЭК России от 18.02.2013 № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" и приказом ФСБ России от 10.07.2014 № 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".

 Права и обязанности субъекта персональных данных.

 Субъект персональных данных, в данном случае покупатель (заказчик услуг), имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом о персональных данных;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу.

 Уведомление уполномоченного органа об обработке персональных данных.

 В соответствии с частью 1 статьи 22 Федерального закона о персональных данных оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

Таким образом, с учетом положений п. 2 ч. 2 ст. 22 Федерального закона о персональных данных, в случае, если организация, оказывающая услуги дистанционным способом, передает персональные данные заказчика услуг (покупателя) иному лиц, в том числе организации, осуществляющей пересылку, доставку товара покупателю, без согласия в письменной форме субъекта персональных данных, уведомление уполномоченного органа по защите прав субъектов персональных данных об обработке персональных данных (намерении осуществлять обработку персональных данных) обязательно.

 

 

 

Время публикации: 06.11.2018 11:02
Последнее изменение: 06.11.2018 11:02