Директор салона красоты

Обработка персональных данных посетителей сайта: о чем необходимо знать директору салона красоты прямо сейчас

  • 23 ноября 2018
  • 116
Обработка персональных данных посетителей сайта: о чем необходимо знать директору салона красоты прямо сейчас
https://ru.freepik.com

С мая 2018 года на территории стран-членов Европейского союза начал действовать регламент по защите данных, персонализирующих пользователей интернет-пространства. Его вступление в силу касается не только европейских компаний, но и любых организаций, которые получают доступ к личным данным граждан ЕС. Ожидать ли при этом проблем российским салонам красоты и как себя обезопасить при обработке персональных данных посетителей сайта – разбираемся в статье.

Обработка персональных данных: на что влияет европейский регламент

Сейчас вопрос обработки и защиты персональных данных стоит рассматривать исключительно в рамках действия европейского регламента по защите персональных данных в интернет-ресурсах. Регламент, или GDPR (General Data Protection Regulation) распространяется на типы хранения, варианты использования информации и на то, как проходит сбор и обработка персональных данных. Причем его применение обязательно для каждого из сайтов.

Если ваш сайт размещает контент только на русском языке, без адаптации  для пользователей европейских государств, вас коснется лишь российское законодательство, регулирующее вопросы сбора и обработки персональных данных. Штрафы там, конечно, тоже есть, но все же не такие большие, как в случае нарушения европейского регламента GDPR. Максимальная сумма штрафов при грубых нарушениях нормативов регламента GDPR  может составить и €20 млн.


По мнению Роскомнадзора, номер телефона можно считать персонализирующими данными лишь в связке с ФИО владельца телефона и городом его проживания.



Персональными данными пользователей считается любая информация, позволяющая  точно определить, что речь идет о конкретном человеке. Таким образом, когда вы просите регистрацию пользователей сайта и в процессе этого собираете от них имя, фамилию, дату рождения и адрес электронной почты, и в дальнейшем планируется обработка персональных данных, это означает, что ваш сайт становится оператором персональных данных. Соответственно, на сайте нужно разместить блок с описанием политики обработки персональных данных (политики конфиденциальности).

Политика конфиденциальности для сайта 2018: требования

В рамках регламента и обязательной с 2018г. политики конфиденциальности для сайта обязан соблюдать соответствующие обязанности: 

  • сообщить пользователям сайта о том, как и для чего его данные будут храниться и использоваться. Сообщение должно быть явным, написано понятным текстом. 
  • согласие на обработку персональных данных на сайте потенциальному клиенту нужно выразить четко и недвусмысленным способом.
  • бездействие пользователя не считается согласием на обработку персональных данных на сайте по умолчанию.
  • согласно политике конфиденциальности 2018 оператор обязан предоставлять пользователю возможности отзыва согласия на обработку персональных данных на сайте и от любого другого типа передачи и использования личной информации.
  • вся собранная салоном красоты персональная информация обязательно требует должного уровня защиты. Для обеспечения безопасности таких данных их обезличивают, то есть информацию связывают со специальными кодами, обозначающими конкретного человека, либо псевдонимами. О каждой утечке личной информации пользователей в результате нарушения политики конфиденциальности необходимо своевременно сообщать, при этом не важно, по чьей вине произошла утечка.
  • строго запрещено передавать в нарушение политики обработки персональных данных сторонним лицам персонализирующую клиентов информацию. 

Ответственность оператора обработки персональных данных

На данный момент нет точной информации, каким образом и в каком размере будут нести наказание операторы обработки персональных данных, юридически не зарегистрированные на территории стран ЕС.

Средства и преимущества автоматизации красивого бизнеса: почему салоны отказываются от Excel

Известно, что размер потенциального штрафа за нарушение политики конфиденциальности оператором обработки персональных данных будет определен отдельно по каждому  конкретному случаю, а рассматриваться такие дела о нарушениях политики конфиденциальности будут в Европейском суде, разбирающем вопросы по правам человека. 

Политика обработки персональных данных: требования российского законодательства


Иван Бируля, директор по безопасности компании «СёрчИнформ»
Обработка персональных данных посетителей сайта: о чем необходимо знать директору салона красоты прямо сейчас
О компании. «СёрчИнформ» –  разработчик средств информационной безопасности для разных типов бизнеса.


Единой обязательной к применению формы политики обработки персональных данных на сайте законодательством РФ не установлено. Единственное, что есть – это рекомендации Роскомнадзора (rkn.gov.ru/personal-data/p908) по составлению политики обработки персональных данных. Поэтому при составлении документа можно взять за основу типовую форму политики конфиденциальности для сайта и адаптировать ее под нужды клиники. 

Наиболее часто в политике  обработки персональных данных операторы персональных данных описывают следующее:

• цели сбора таких данных;
• правовые основания обработки персонализирующих клиента данных;
• объем и типы обрабатываемых данных;
• категории субъектов получаемых данных;
• порядок и условия обработки получаемых оператором данных, актуализация, исправление, удаление и уничтожение данных, ответы на запросы субъектов на доступ к таким данным.

Политика обработки персональных данных для сайта должна соответствовать нормативам российского законодательства. В первую очередь оператору персональных данных следует ориентироваться на требования ФЗ No 152 «О персональных данных» от 27.07.2006. А в случае, если салон красоты или косметологическая клиника имеют иностранный сайт и ведут обслуживание иностранных клиентов, потенциально клиника попадает и под международные стандарты. Европейский GDPR, например, имеет экстерриториальный статус.

Классификация медицинских отходов и особенности их утилизации


Есть альтернативный вариант – обратиться в компанию, которая сделает за оператора персональных данных сам документ,  проработает формы взаимодействия с пользователем и сформулирует согласие на обработку персональных данных на сайте. Однако большинство подобных контор для составления политики конфиденциальности для сайта используют шаблоны документов, в которые просто вписывается название юрлица-заказчика и ФИО лиц, ответственных за политику обработки персональных данных на сайте салона красоты или косметологической клиники. Более того, некоторые такие компании, что называется, «торгуют страхом». Приходят к руководителю и пугают, мол, завтра придет Роскомнадзор, и у вас будут неприятности, а мы за скромную сумму готовы  сделать вам политику конфиденциальности и решить вашу проблему прямо сейчас.


При составлении политики обработки персональных данных на сайте стоит руководствоваться не столько формализмом, сколько практицизмом. Даже самый проработанный с юридической точки зрения документ является бессмысленным, если пользователи его не видят и не соглашаются с ним.


Обязанности оператора персональных данных

• Оператор персональных данных обязан обеспечить неограниченный доступ через интернет к документу, который определяет в косметологической клинике или салоне красоты политику обработки персональных данных (ч. 2 ст. 18.1 ФЗ No 152). Кроме этого, нужно поместить на сайте сведения о том, какие меры принимает владелец сайта, чтобы защитить персональные данные.
• Политика  должна в обязательном порядке выводиться для всех пользователей. До того, как пользователь даст согласие с политикой оператору персональных данных, его действия с сайтом должны быть ограничены (относительно возможности заполнять какие-либо контактные формы).
• Политика конфиденциальности для сайта должна быть составлена максимально понятным языком, текст документа должен хорошо читаться.
• Соглашение  с пользователем (например получение согласия на обработку персональных данных на сайте) должно быть адресным – вы должны иметь идентификационные данные человека, согласившегося с политикой, хотя бы почту (иначе как понять, с кем именно соглашение заключено).
• Текст политики конфиденциальности должен быть юридически грамотным, но не являться излишне содержательным. Если через сайт нельзя работать с какими-то отдельными видами персональных данных, то  включать их в текст бессмысленно.

Однако составление политики конфиденциальности – это маленький шаг в процессе внедрения системы обработки персональных данных в организации. Если салон красоты или косметологическая клиника намерена внедрить процессы обработки персональных данных грамотно, то имеет смысл действовать последовательно. 

  • необходимо провести аудит, чтобы понять, по каким каналам персональные поступают в салон красоты или косметологическую клинику, как обрабатываются информационной системой, где хранятся.
  • создать нормативную базу документов, в которых будет описан порядок обработки и хранения персональных данных в соответствии с действующим законодательством. В-третьих, привести систему в соответствие с описанными требованиями и назначить сотрудников, которые будут отвечать за их выполнение. 

Примечательно, что вопросы обработки данных операторами персональных данных рассматриваются сейчас бизнесом исключительно с точки зрения выполнения требований регулятора. Руководители готовятся к проверкам Роскомнадзора, а вопрос, связанный с утечкой данных клиентов, остается открытым. 

Случаи утечек данных для компаний пока не имеют серьезных последствий. Но, я думаю, достаточно скоро может настать момент, когда штрафы за ненадлежащее выполнение требований регулятора заменит ответственность за утечку персональных данных. И тогда большие проблемы будут иметь не те компании, у которых не выполнены требования по обработке данных, а те, у которых произошла утечка.

Рекомендации по теме
Мы в соцсетях
Простите, что прерываем ваше чтение

Чтобы обеспечить качество материалов и защитить авторские права редакции, многие статьи на нашем сайте находятся в закрытом доступе.

Предлагаем вам зарегистрироваться и продолжить чтение. Это займет всего полторы минуты.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
Или вы можете войти через соц. сеть
Присоединиться
Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Посещая страницы сайта и предоставляя свои данные, вы позволяете нам предоставлять их сторонним партнерам. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.