Хранение персональных данных клиентов

Решая проблему хранения и защиты персональных данных в организации, нужно отдельно уделить внимание организации процесса работы с информацией, получаемой от клиентов. Несмотря на то, что в отношении подобных сведений действуют те же принципы, что и для ПДн сотрудников, в данном вопросе присутствует множество тонкостей, в особенности если речь идет об интернет-магазинах, блогах, форумах или фирмах, заключающих контракты онлайн. Решение данных вопросов займет немало времени и усилий, однако в этом случае со стороны проверяющих структур не будет возникать претензий в части обработки ПДн (минимизация рисков наложения штрафов), а заказчики смогут быть уверенными в надежности организации.

Что подразумевают под ПДн клиентов?

По мере усиления контроля со стороны государства в сфере сохранения конфиденциальности информации о гражданах все больше компаний осознают необходимость исполнения своих обязанностей в качестве оператора ПДн. Но для того, чтобы выполнить все требования, прописанные в ФЗ-152 и других нормативно-правовых актах, нужно разобраться, что входит в состав персональных данных клиента. Сложностей добавляет тот факт, что границы данного понятия до конца не определены, хотя в законе прописано четкое определение. На практике к числу обрабатываемых и хранимых личных сведений фирмы могут относить:

• информацию об устройстве пользователя;
• Ф.И.О., дату рождения и место жительства;
• пол, гражданство, образование и семейный статус;
• место работы, регион и отрасль деятельности;
• должность и уровень дохода;
• сведения из гражданского или заграничного паспорта;
• мобильный, стационарный номер и адрес электронной почты;
• данные о входе на сайт, длительности посещения, пользовательских действиях (кликах, источнике входа, заполнении полей, просмотрах видео и баннеров, открытия страниц, cookie-идентификации);
• информацию о наличии детей (их количестве, поле, возрасте).

Чтобы не нарушать правовые нормы, все виды ПДн клиентов нужно прописать во внутреннем документе предприятия — порядке хранения и защиты, а также указать их при регистрации в Роскомнадзоре. Если получать и сохранять персональную информацию о субъектах шире заявленного перечня, то есть риск получения штрафов и существенного репутационного ущерба. В законодательстве присутствует одна особенность, которая заключается в том, что каждая разновидность информации не подпадает под понятие ПДн. Лишь совокупность сведений, по которому можно идентифицировать субъекта, как персону можно отнести к ПДн, например, данные о номере телефона номер телефона в сочетании с информацией об имени человека с названием компании, в которой он работает. Также под категорию персональных не подпадают сведения, размещенные их владельцем в социальных или иных сетях общего доступа, за исключением «ВКонтакте».

Во всех остальных случаях действуют положения ФЗ-152 и подзаконных актов, которые оператору нужно выполнять.

Важность обеспечения защиты личной информации

Государство требует от операторов уничтожать или обезличивать ПДн после достижения целей их обработки, при этом период их хранения может быть весьма длительным. С момента получения от субъекта идентифицирующей информации компания несет ответственность за её безопасное хранение, что предполагает разработку и внедрение определенных защитных мер, а также использование специальных средств. Этому аспекту деятельности нужно уделять особое внимание, поскольку персональные данные могут быть обнародованы, утеряны или переданы третьим лицам без согласия владельца. Эффективная политика защиты позволяет избежать:

1. Промышленного шпионажа.
2. Человеческих ошибок.
3. Сбоев в функционировании программного обеспечения.
4. Неполадок в работе операционных систем.

Детально о том, как правильно хранить персональные данные клиентов

Независимо от специфики деятельности организации, в отношении операций с ПДн, включая хранение, нужно руководствоваться прописанными в законодательных актах правилами:

• пройти регистрацию на официальном портале Роскомнадзора, задекларировав и подтвердив статус оператора. Кроме электронного обращения потребуется подать заявление в письменной форме (лично приходить необязательно, можно отправить по почте в соответствующее территориальное подразделение РКН);
• уведомить субъектов о сборе их ПДн и получить их согласие. Если речь идет об интернет-ресурсах, то письменно это делать не нужно, но на сайте обязательно должно быть пользовательское соглашение с пометкой о том, что, пользуясь сервисом, человек автоматически дает согласие на обработку его личных данных;
• разработать и использовать внутренние документы, регулирующие доступ и защиту конфиденциальных сведений. Все акты, положения, руководства и т.д. должны быть подписаны директором предприятия. Также нужно будет назначить лиц, ответственных за безопасность ПДн, и закупить средства защиты.

Юридически безопаснее не размещать на сайте формы для заполнения, а оставить ссылку либо е-мейл для отправки сведений.

Условия и особенности хранения данных о клиентах напрямую зависят от того, каким образом они были собраны:

1. Если ПДн получены с помощью Интернета, то они попадают на сервер, и ответственность за их безопасность несет хостинг-провайдер, с которым должно быть заключено соглашение о поручения обработки ПДн, при этом по закону сведения должны размещаться на серверах на территории Российской Федерации.
2. Отсканированная информация может размещаться на съемных носителях, внешних или внутренних жестких дисках, в локальной сети либо в облаке. Последнее время многие организации выбирают именно последний вариант ввиду его экономичности и простоты доступа, однако необходимо быть предельно внимательными, выбирая хранилище с высоким уровнем защиты от взлома.
3. Сведения, собранные благодаря анкетам и опросникам, заносят в электронные базы — преимущественно используются CRM и Excel.
4. ПДн в бумажном виде должны помещаться в металлические запирающиеся шкафы либо сейфы, которые должны находиться в помещении, куда имеют доступ лишь уполномоченные сотрудники. С точки зрения удобства есть смысл организовать отдельное место для хранения каждой группы данных.

Наказание за нарушение требований законодательства в отношении ПДн

За проверку условий хранения и защиты личных сведений граждан в организациях отвечает, прежде всего, Роскомнадзор, специалисты которого могут прийти к вам с плановым или внеплановым визитом (например, если поступило заявление о том или ином нарушении). На этот случай на предприятии должны быть внедрены и соблюдены организационные и технические меры защиты персональных данных. Организационные мероприятия внедряются после разработки организационно-распорядительной документации, которая описывает все бизнес-процессы предприятия в части обработки персональных данных. К техническим относится определение уровней защищенности информационных систем персональных данных на основе моделей угроз. В соответствие с уровнем защищенности подбираются и устанавливаются на компьютеры необходимое программное обеспечение для защиты.

Будьте готовы к тому, что проверяющие захотят увидеть сейфы и помещения, где находятся папки с договорами и т.д., а также убедиться в наличии пользовательского соглашения на интернет-ресурсе. Также контролирующие органы могут запросить воочию продемонстрировать каким образом и какие данные вносятся в ваши ИСПДн.

Обнаружение нарушений предполагает назначение штрафов в размере до 300 тысяч рублей. Минимальное наказание предусмотрено для физических лиц. При этом сумма может увеличиться в несколько раз, если нарушений много. Оспаривать решение контролирующего органа долго и, как правило, безрезультатно, поэтому разумнее изначально адаптировать работу компании под установленные требования. Проще всего это сделать, обратившись к экспертам в Центр безопасности данных.

Нюансы, которые нужно принимать во внимание

Разбираясь, как хранить персональные данные клиентов, следует учесть:

1. Выполнив заказ на поставку товара или предоставление услуги, организация должна в течение 30 дней после завершения сделки (либо после закрытия, предусмотренного договором окна по срокам) уничтожить собранные и хранимые ПДн
2. Запрещается передача идентифицирующих сведений о гражданах третьим лицам, за исключением случаев, прописанных в ФЗ-152
3. Для добавления в клиентскую базу с целью дальнейшего сотрудничества нужно получить у субъекта бессрочное согласие. При этом нужно принимать в расчет, что гражданин может в любой момент отозвать его, подав соответствующее заявление
4. Формирование базы данных должно осуществляться для выполнения какой-то одной цели сбора и обработки информации

Даже при получении сведений через мессенджеры вы не освобождаетесь от ответственности за их сохранность несмотря на то, что фактически ПДн находятся на сервере другой фирмы