Какие нужны документы для хранения персональных данных?

Встала задача реализовать ERP. В нее будут вводиться персональные данные клиентов. Как организовать их хранение и защиту? Какие внутренние документы нужны для реализации?
  • Вопрос задан
  • 98 просмотров
Пригласить эксперта
Ответы на вопрос 2
@other_letter
Ну для начала давайте разберёмся какие именно данные Вы будете собирать.
Допустим, ФИО + номер телефона.
ФИО - это уже то, что надо защищать.
Однако, если данные обрабатываются в целях исполнения Договора - отдельного согласия, например, не нужно.
Потому сперва определяетесь какие данные и как Вы будете обрабатывать, вносите это счастье прямо в Договор (собственно вероятно, что они там уже будут) и добавляете в Договор что-то типа "осуществление информирования о новых товарах и услугах" и это даст право время от времени звонить.
В целом это всё.

Но это в случае, если Вы с нуля бизнес делаете. Если же раньше вели бизнес в гугл-доке (условно), а сейчас решили внедрить ERP - перечитайте документацию, которая имеется. Вероятно, делать вообще ничего не нужно (практически всегда там общие фразы про автоматизированные способы обработки и хранения) ну или вписать рядом название вашей ERP (в большинстве случаев сертифицировать её не надо).

САМОЕ ВАЖНОЕ: сделать хоть что-то поверхностно, не забивать. При таком раскладе в случае проверки будет требование на фикс, а не приостановка.
Ответ написан
ikoit
@ikoit
Front-End Developer
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст. 3 Закона о персональных данных).

Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных. Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных). Во избежание судебных споров лучше, если это согласие будет оформлено письменно. То же самое правило действует в отношении соискателей.

В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:

1) при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ).

В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

  • цели получения персональных данных работника у третьего лица;
  • предполагаемые источники информации (лица, у которых будут запрашиваться данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работодателю в получении персональных данных работника у третьего лица.

При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы