Порядок работы с персональными данными клиентов во многом сходен с порядком работы с аналогичными данными сотрудников (его мы рассмотрели в прошлом номере). Однако в работе с персональными данными клиентов есть несколько особенностей, о которых лучше знать: когда у них можно не запрашивать согласия на обработку персональных данных? как уведомлять Ростехнадзор и в каких случаях этого можно избежать? и др.
Зачастую приходится работать с персональными данными не только сотрудников, но и клиентов. Прежде всего это касается компаний, продающих товары (выполняющих работы, оказывающих услуги) физическим лицам. Но и компании, работающие в секторе B2B, тоже нередко сталкиваются с персональными данными. Это, к примеру, персональные данные контактных лиц в организациях-контрагентах, физических лиц – консультантов, фрилансеров, иных граждан, которые не являются работниками компании, но оказывают ей услуги (например, врачи для фармацевтических компаний, авторы в журналах, рекрутеры в кадровых агентствах и т.д.).
Организуем работу
Требования к организации работы с персональными данными клиентов по сути те же, что и к организации работы с персональными данными сотрудников. Подробнее об этом читайте в статье «Персональные данные работников».
Причем в зависимости от специфики оператора стоит учитывать те или иные нормы подзаконных нормативных актов. Например, в постановлении Правительства РФ от 01.11.2012 № 1119 устанавливаются дополнительные требования к уровню защищенности персональных данных при обработке в информационной системе, если оператор обрабатывает биометрические или иные специальные категории ПД более чем 100 тыс. людей, которые не являются его работниками.
Имейте в виду: несмотря на то что работа с ПД и клиентов, и работников регулируется одним Законом № 152-ФЗ, регламентирование данной работы на уровне организации должно происходить с учетом того, что базы данных клиентов представляют коммерческую ценность. А работа с такой информацией регулируется также Федеральным законом от 29.07.2004 № 98-ФЗ «О коммерческой тайне».
Законодательством о персональных данных специально не предусмотрено, должна ли компания утверждать один локальный нормативный акт о работе с персональными данными работников и клиентов или это могут быть два отдельных акта. Но учитывая, что согласно ч. 2 ст. 18.1 Закона № 152-ФЗ оператор при работе с клиентами обязан опубликовать или иным образом обеспечить неограниченный доступ к положению о защите их персональных данных, целесообразнее разделить положение на два отдельных документа (для работников и клиентов). Ведь далеко не любая компания захочет обнародовать порядок работы с ПД работников.
Мнение эксперта
Станислав Валуев, юрист правового бюро «Олевинский, Буюкян и партнеры»
К сожалению, от риска незаконного использования персональных данных не застрахован никто. Защищать их можно любыми способами, при этом выполняя требования Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Эффективность защиты персональных данных клиентов во многом зависит от правильной организации работы сотрудников, которые взаимодействуют с базой персональной информации. Строгий контроль за доступом и использованием персональных данных клиентов максимально оградит эти сведения от использования нечистоплотными сотрудниками в личных целях. Самое важное, на мой взгляд, – выстроить работу сотрудников таким образом, чтобы ответственность за нарушение норм закона наступала неотвратимо. Руководителям организаций, работающих с персональными данными клиентов, посоветовал бы обязательно разрабатывать положение о защите персональных данных клиентов, где указывать, что каждый сотрудник, получающий для работы персональные данные клиента, несет ответственность за конфиденциальность информации.