Получаете заявки с сайтов? Ведете клиентскую базу в CRM? Проверьте, как организована работа с персональными данными, чтобы избежать штрафов и проверок госорганов.
С 1 июля 2017 года повышаются штрафы (максимум до 75 тысяч рублей) за нарушение законодательства о персональных данных. Предлагаем чек-лист для проверки степени законности работы в CRM.
Прежде чем привести чек-лист, давайте разберемся:
Что такое персональные данные?
Персональные данные — это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных) (п. 1 ст. 3, ст. 8 ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных»), в том числе:
- фамилия, имя, отчество
- год и место рождения,
- адрес
- телефон
- профессия
- другая информация.
Широкое понятие дал закон, согласны? Поэтому возникают вопросы, какая информация в реальности является персональными данными. По сути это любая информация, которой достаточно, чтобы по ней идентифицировать человека. Например, информации о ФИО и телефоне клиента достаточно для идентификации. Следовательно, ФИО и телефон вместе — это персональные данные. На наш взгляд, ФИО вместе с любой другой персональной информацией из законного определения «персональных данных» (адрес, год рождения, профессия) является персональными данными, когда она позволяет идентифицировать конкретного человека.
Теперь давайте подумаем: «С какой целью ведется клиентская база?» Собрать контакты клиентов, по которым можно соотнести каждый контакт как отдельного клиента, т.е. идентифицировать его. Значит, в клиентской базе, как правило, содержатся персональные данные.
Хотите понять, какие риски есть в вашей компании при работе с CRM и во сколько они могут обойтись. Отметьте в чек-листе, что у вас сделано для легальной работы CRM-системы и что предстоит сделать.
Чек-лист:
1. Проверьте, есть ли у вас согласие лиц из текущей клиентской базы на хранение и обработку персональных данных и передачу их третьим лицам. Последнее нужно, если доступ к базе есть у кого-либо не из числа штатных сотрудников, например, у разработчика облачной CRM.
2. Организуйте получение согласия будущих клиентов на обработку их ПД. Как это сделать?
Если клиент оставил заявку с контактами на сайте:
Предусмотрите в пользовательском соглашении согласие на обработку и передачу персональных данных.
Если клиент позвонил:
Спросите по телефону, согласен ли звонящий на обработку и передачу информации о нем третьим лицам. Храните записи разговоров.
Если клиент пришел в офис:
В анкетах для потенциальных клиентов и в договорах с текущими клиентами пропишите согласие на обработку персональных данных.
Предусмотрите, чтобы согласие было дано на сбор персональных данных в интересующих вас целях. Например, с целью заключения договора, рекламной рассылки.
Последствия нарушения: возможно привлечение к административной ответственности в виде предупреждения или штрафа от 5 до 10 тысяч для ИП и от 30 до 50 тысяч для юр. лица.
3. Проверьте и организуйте получение согласия в письменной форме для обработки:
- фотографий, рисунков, видеозаписей с изображениями клиентов
- данных о:
- национальности и расе
- политических взглядах
- религиозных или философских убеждений
- состоянии здоровья
- интимной жизни.
Если у вас нет таких данных, то и письменное согласие необязательно.
Последствия нарушения: возможен административный штраф от 10 до 20 тысяч для ИП и от 50 до 75 тысяч для юр. лица.
4. Проверьте и опубликуйте на сайте политику конфиденциальности (документ, определяющий вашу политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных).
Если на вашем сайте нет возможности оставить заявку с информацией о себе, то можно разместить политику конфиденциальности вместо сайта в другом месте, где обеспечен неограниченный доступ. Например, в офисе компании.
Последствия нарушения: возможно привлечение к административной ответственности в виде предупреждения или штрафа от 5 до 10 тысяч для ИП и от 15 до 30 тысяч для юр. лица.
5. Если к вам обратится клиент с просьбой предоставить информацию о том, как вы обрабатываете его персональные данные, предоставьте ему.
Последствия нарушения: возможен административный штраф от 10 до 15 тысяч для ИП и от 20 до 40 тысяч для юр. лица.
6. Если к вам обратился клиент, его представитель или Роскомнадзор с требованием уточнить персональные данные, заблокировать или уничтожить их, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, сделайте это.
Последствия нарушения: возможно привлечение к административной ответственности в виде предупреждения или штрафа от 10 до 20 тысяч для ИП и от 25 до 45 тысяч для юр. лица.
7. Примите меры по сохранности персональных данных, если вы не пользуетесь средствами автоматизации для обработки персональных данных. Обеспечьте отсутствие несанкционированного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, предоставления, распространения либо иных неправомерных действий с персональными данными.
Меры сохранности персональных данных могут быть техническими, организационными и правовыми. К правовым мерам могут относиться действующая в компании политика работы с персональными данными, письменное ознакомление сотрудников компании, работающих с персональными данными, с утвержденной политикой.
Последствия нарушения: возможен административный штраф от 10 до 20 тысяч рублей для ИП, от 25 до 50 тысяч для юр. лица.