Об обработке персональных данных в современных условиях

В конце июня у пользователей интернета и у большинства наших коллег был всплеск интереса к обработке персональных данных. Естественно, это было связано с повышением штрафов за эти нарушения, которыми нас может наградить очередная проверяющая структура, в нашем случае - Роскомнадзор.

Мою клинику эта организация проверяла в плановом порядке в прошлом году (мы подавали уведомление об обработке персональных данных в 2009 году). Из-за этого пришлось брать на работу отдельного специалиста по защите персональных данных, обновлять документацию.

Были разработаны следующие документы:

• приказ «Об организации работ по защите персональных данных в учреждении», которым были утверждены Положение об обработке и защите персональных данных сотрудников и Положение об обработке и защите персональных данных пациентов, Обязательство сотрудников о неразглашении информации, содержащей персональные данные, Положение о разграничении прав доступа к информации, Порядок доступа сотрудников впомещения, в которых ведется обработка персональных данных, Списки должностей, допущенных к автоматической и неавтоматической обработке персональных данных, Форма согласия работника на обработку персональных данных, назначен ответственный за обработку персональных данных;
• приказ «О порядке учета, хранения и обращения с машинными и материальными носителями конфиденциальной информации»;
• приказ «Об утверждении инструкций по защите персональных данных»;
• приказ «Об утверждении положения о порядке обращения с конфиденциальной информацией»
• приказ «Об утверждении правил рассмотрения запросов субъектов персональных данных»
• приказ «Об обеспечении безопасности информации при работе с пользователями в сети «Интернет»»;
• приказ «Об утверждении списка сотрудников, допущенных до работы в информационных системах персональных данных»
• приказ «Об утверждении отдельных документов по защите персональных данных»;
• приказ «О допуске сотрудников в помещении регистратуры»;
• приказ «О перечне документов, содержащих персональные данные», и ряд других документов.

В результате получилась объемная папка листов на 300 (из документов на сайте была размещена политика по обработке персональных данных), и эту проверку мы прошли без замечаний.

В июне этого года я вновь вернулся к этой проблеме, ведь у меня, кроме клиники, есть и интернет-магазин по продаже косметики.

Изучив огромное количество информации, я пришел к следующим выводам:

• если мы берем у покупателя даже e-mail, мы обрабатываем персональные данные;
• если на сайте есть формы подписки на рассылку или иные формы (например, обратной связи, записи, он-лайн-консультант) (имя + email, телефон и т.д.), мы являемся операторами персональных данных.

Следовательно, мы должны составить политику конфиденциальности и разместить её на сайте (на одном сайте она у меня была, на другом не было).

Кроме того:

• уведомить Роскомнадзор об обработке персональных данных (заполнив электронную форму на их сайте и отправить потом печатную версию);
• разместить согласие посетителей на сбор персональных данных и получить их согласие на каждой форме (причем, оно должно быть конкретным, информированным и сознательным, при этом ссылка на политику конфиденциальности должна быть обязательна и чек-бокс с галочкой — обязательно;
• если мы собираем cookies, геотеги, ip и другие данные для систем аналитики — на сайте желательно вывесить дисклеймер (это уведомление, которое всплывает при заходе на сайт, в нем мы указываем, какие данные собираете, зачем они нужны, и если эти условия не устраивают посетителя, попросить его покинуть сайт);
• выбирать только российский хостинг (то есть хранить персональные данные только на территории РФ).

Удачи! Пусть проверки обойдут вас стороной!