Какие нужны документы для хранения персональных данных?

Question

[Максим Кутенков]

Встала задача реализовать ERP. В нее будут вводиться персональные данные клиентов. Как организовать их хранение и защиту? Какие внутренние документы нужны для реализации?

Comments

[Everything_is_not_so_bad]

В какой стране?

[Максим Кутенков]

Роман Мирр, РФ

Answer 1

[other_letter]

Ну для начала давайте разберёмся какие именно данные Вы будете собирать.
Допустим, ФИО + номер телефона.
ФИО - это уже то, что надо защищать.
Однако, если данные обрабатываются в целях исполнения Договора - отдельного согласия, например, не нужно.
Потому сперва определяетесь какие данные и как Вы будете обрабатывать, вносите это счастье прямо в Договор (собственно вероятно, что они там уже будут) и добавляете в Договор что-то типа "осуществление информирования о новых товарах и услугах" и это даст право время от времени звонить.
В целом это всё.

Но это в случае, если Вы с нуля бизнес делаете. Если же раньше вели бизнес в гугл-доке (условно), а сейчас решили внедрить ERP - перечитайте документацию, которая имеется. Вероятно, делать вообще ничего не нужно (практически всегда там общие фразы про автоматизированные способы обработки и хранения) ну или вписать рядом название вашей ERP (в большинстве случаев сертифицировать её не надо).

САМОЕ ВАЖНОЕ: сделать хоть что-то поверхностно, не забивать. При таком раскладе в случае проверки будет требование на фикс, а не приостановка.

Comments

[Максим Кутенков]

Вносятся Личные и Паспортные данные заказчика и паспортные данные приведённого им человека. Все хранится в базе данных на сервере на территории РФ. Эти данные используются для создания договора, создания платежных ордеров. Функционал системы написанный на текущий момент уже использует https соединение(правда на время разработки с бесплатным сертификатом). Доступ с системе возможен по паре логин:пароль. Доступ к серверу доступен только с 1 ip и дополнительно авторизация по телефону.

Answer 2

[Икотий Айтишевич]

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст. 3 Закона о персональных данных).

Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных. Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных). Во избежание судебных споров лучше, если это согласие будет оформлено письменно. То же самое правило действует в отношении соискателей.

В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:

1) при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ).

В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

• цели получения персональных данных работника у третьего лица;
  
• предполагаемые источники информации (лица, у которых будут запрашиваться данные);
  
• способы получения данных, их характер;
  
• возможные последствия отказа работодателю в получении персональных данных работника у третьего лица.
  

При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.