Бесплатная консультация юриста в Москве
8 499 705-84-25
Поиск

Консультируйтесь с юристом онлайн

264 юриста готовы ответить сейчас
Ответ за 15 минут
264 юриста сейчас на сайте
  1. Категории
  2. Защита прав потребителей

Как не «накосячить» при организации Программы Лояльности…

Составьте подробный план необходимых юридических действий (как подготовительного, так и регулярного характера), которые нужно предпринять/выполнять организации, являющейся организатором программы лояльности покупателей, чтобы соблюсти закон «О персональных данных» в области защиты персональных данных участников программы лояльности. Дайте ссылки или приложите необходимые документы. Сообщите где еще почитать…

И еще… поделитесь pls информацией на тему «Кого, когда и как сильно прижали по данному ФЗ»… думаю всем будет небезынтересно…

PS персональные данные, которые собираются в рамках ПЛ: ФИО, пол, дата рождения, телефон, email, фото.

28 Июня 2012, 23:03, вопрос №10638 Андрей, г. Москва
1200 стоимость
вопроса
вопрос решён
Свернуть

Ответы юристов (7)

  • Юрист - Пудов Павел Игоревич
    Юрист, г. Санкт-Петербург
    Общаться в чате

    Для уверенности в том, чтобы в дальнейшем не возникало проблемных ситуаций, связанных с претензиями клиентов, советую проштудировать сам закон «О персональных данных», благо он невелик.

    http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=117587

    Особое внимание следует уделить Главам 2, 4 вышеуказанного закона.

    Постарайтесь в своей деятельности максимально соответствовать его положениям и «нежелательных» прецедентов удастся избежать.

    -------------------------------------------------------------------------------

    Что касается практики применения положений закона и судебной практики по указанной тематике…
    http://www.garant.ru/action/interview/373047/

    Ну и в довесок, просто немного полезной информации о самой программе лояльности…
    ms.korusconsulting.ru/netcat_files/2866/2635/h_e65d3a13a1eb735a89012ddbe68f72c7

    28 Июня 2012, 23:27
    Ответ юриста был полезен? + 0 - 0
    Свернуть
  • Юрист - Спирина Римма

    К персональным данным Закон N 152-ФЗ относит следующую информацию: фамилию, имя, отчество гражданина; год, месяц, дату и место рождения; адрес; семейное положение; социальное положение; имущественное положение; сведения об образовании; сведения о профессии; сведения о доходах; другие сведения, относящиеся к определенному или определяемому на основании такой информации физическому лицу.

    Для установления единых организационно-правовых требований к обращению с персональными данными целесообразно ввести в действие в организации соответствующие правила обработки персональных данных.

    Более подробно почитайте статью "Организация работы с персональными данными" Тьевар А.Ю., "Зарплата", 2011, N 11.

    • Статья Организация работы с персональными данными.rtf
    28 Июня 2012, 23:53
    Ответ юриста был полезен? + 0 - 0
    Свернуть
  • Юрист - Стихин Дмитрий

    Главное - отбирать подпись покупателя под его согласием на обработку персональных данных. Разработайте анкету, содержащую такое согласие, заполняйте её сами при выдаче дисконтной карты (например) и, распечатав, выдавайте покупателю подписать.

    Таким образом, у Вас будут персональные данные покупателя (в анкете) и его письменное согласие на обработку персональных данных (там же).

    29 Июня 2012, 05:46
    Ответ юриста был полезен? + 0 - 0
    Свернуть
  • Юрист - Жуков Константин
    получен
    гонорар
    40%
    Юрист, г. Санкт-Петербург
    Общаться в чате

    Добрый день, Андрей Викторович!

    Любые действия с персональными данными - от сбора и хранения до использования и уничтожения - рассматриваются как их обработка, а значит, попадают в сферу действия ФЗ "О персональных данных". Организации, осуществляющие или организующие такую обработку, а также определяющие ее цели, считаются операторами персональных данных и обязаны предпринимать весьма сложные организационные и технические меры по защите этой информации.

    Операторы, принимают следующие меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами:

    а) назначают ответственного за организацию обработки персональных данных;

    б) утверждают приказом руководителя следующие документы:
    - правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;
    - правила рассмотрения запросов субъектов персональных данных или их представителей;
    - правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора;
    - правила работы с обезличенными данными;
    - перечень информационных систем персональных данных;
    - должностная инструкция ответственного за организацию обработки персональных данных
    - форма согласия на обработку персональных данных субъектов персональных данных, а также форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;

    в) в целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям организуют проведение периодических проверок условий обработки персональных данных;

    г) осуществляют ознакомление работников непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных и (или) организуют обучение указанных служащих;

    д) уведомляют уполномоченный орган по защите прав субъектов персональных данных об обработке (намерении осуществлять обработку) персональных данных, за исключением случаев, установленных Федеральным законом "О персональных данных";

    е) согласно требованиям и методам, установленным уполномоченным органом по защите прав субъектов персональных данных, осуществляют обезличивание персональных данных, обрабатываемых в информационных системах персональных данных.

    Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, соответственно, клиент должен быть поставлен в известность о сборе персональных данных и дать своё согласие, например, поставив подпись.

    Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 ФЗ "О персональных данных".

    --------------------

    Ответственность:

    Статья 13.11. КоАП РФ:

    Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -
    влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

    Статья 13.14. КоАП РФ:
    Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, -
    влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от четырех тысяч до пяти тысяч рублей.

    29 Июня 2012, 05:58
    Ответ юриста был полезен? + 1 - 0
    Свернуть
  • Юрист - Степанова Ольга Юрьевна

    Здравствуйте

    Основные контрольно-надзорные функции в отношении компаний, фирм, организаций, обрабатывающих персональные данные лежат на Роскомнадзоре (http://www.rsoc.ru/personal-data/register/). Этот орган согласно п. 3 ч. 5 ст. 23 ФЗ «О персональных данных» обязан вести реестр операторов.

    Роскомнадзор регулярно проводит как плановые, так и внеплановые проверки компаний по исполнению ФЗ О персональных данных.

    О плановых проверках можно узнать на сайте http://www.rsoc.ru/plan-and-reports/contolplan/

    Если вы не в Реестре, то можно ожидать внеплановую проверку, что не всегда приятно.

    Если хотите быть законопослушными и знать точно, когда вас проверят, то следует вступить в Реестр, как это сделали многие компании.

    Для того чтобы быть включенной в Реестр, ваша компания должна подать в территориальный орган Федеральной службы по надзору в сфере связи и массовых коммуникаций (Роскомнадзоре) соответствующее уведомление.

    Электронная форма вот тут http://pd.rsoc.ru/operators-registry/notification_check/

    Судебная практика вот тут http://www.rsoc.ru/chamber-of-commerce/p575/

    особо следует обратить внимание на ст.22, 23, 24 (ответственность), п.4 ст.25 указанного закона

    29 Июня 2012, 09:32
    Ответ юриста был полезен? + 1 - 0
    Свернуть
  • Юрист - Ермолаева Татьяна Андреевна

    Самое первое, что необходимо сделать, это провести аудит и обследование информационной системы, обрабатывающей персональные данные, и исследовать ее на соответствияе требованиям законодательства в отношении обработки персональных данных.

    На основании проведенного аудита производится классификация информационных систем и построение частной модели угроз безопасности с учетом требования законодательства. Следующий шаг – проектирование и построение системы защиты персональных данных, а также разработка соответствующей организационно-рапорядительной документации.

    По окончанию этих этапов, в зависимости от класса систем, производится аттестация построенной системы защиты.

    Один из важнейших шагов при проведении работ по защите персональных данных – уведомление Роскомнадзора о том, что организация является оператором персональных данных. Уведомление представляет собой документ, где указываются сведения об организации, типы персональных данных, способы обработки и основания для этого, а также существующие меры по защите персональных данных. Форма такого документа разработана Роскомнадзором .Непременным условием успешно проведенной работы является обучение сотрудников, взаимодействующих с персональными данными и обеспечение корректного функционирования построенной системы защиты.

    Уполномоченным органом по защите прав субъектов персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций – Роскомнадзор.

    В первую очередь основанием для проверки является обращение субъектов персональных данных.

    Также Роскомнадзор инициирует плановые проверки по факту получения ими уведомления от оператора. График проверок можно найти на официальном сайте Роскомнадзора

    В соответствии с 23-ей статьей закона «О персональных данных», уполномоченный орган имеет право:
    запрашивать у операторов (физических или юридических лиц) информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;
    осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;
    требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
    принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований Федерального закона;
    обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;
    направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
    направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
    привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.

    Информационные системы делятся на два типа:
    Типовые;
    Специальные.
    Типовые информационные системы персональных данных – это такие системы, в которых требуется только обеспечения конфиденциальности персональных данных. Специальные информационные системы персональных данных – это информационные системы, в которых помимо обеспечения конфиденциальности персональных данных необходимо обеспечить как минимум одну из характеристик безопасности персональных данных, а именно:
    Целостность;
    Доступность;
    К специальным информационным системам относятся:
    информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
    информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
    На основании категории/кол-ва персональных данных, обрабатывающихся и хранящихся в информационной системе, определяется класс системы:
    класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных;
    класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
    класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
    класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных
    Порядок классификации определен приказом ФСТЭК, ФСБ, Мининформсвязи РФ от 13 февраля 2008г. №55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

    Оценка информационной системы персональных данных на соответствия требованиям законодательства – это определение соблюдений предписанных законодательством в отношении информационной системы.

    Оценка соответствия информационной системы персональных данных проводится в зависимости от класса системы:
    для информационных систем защиты персональных данных 1 и 2 классов обязательна аттестация по требованиям безопасности информации;
    для информационных систем 3 класса оператору необходимо либо декларировать соответствие требованиям безопасности информации, либо провести аттестацию;
    для информационных систем 4 класса оценка соответствия проводится по решению оператора.
    По сути, процесс аттестации,- это оценка информационной системы персональных данных 1 и 2 класса установленным требованиям безопасности информации. Порядок аттестации регламентирован “Положением по аттестации объектов информатизации по требованиям безопасности информации”

    В случае нарушения законодательных актов Российской Федерации, регулирующих правоотношения в сфере персональных данных предусмотрены следующие санкции:
    Привлечение к административной и гражданской ответственности (ст. 13.12 - 13.14, ст. 19.5, 19.7, 19.20 КоАП РФ)
    Направление в органы прокуратуры материалов о возбуждении уголовных дел (ст. 137, 171 УК РФ)
    Прекращение обработки персональных данных
    Приостановление деятельности оператора в случае осуществления ее без лицензии
    Конфискация неcертифицированных средств обеспечения безопасности и шифровальных средств

    Комплекс мероприятий по обеспечению защиты персональных данных
    Организационные меры по защите персональных данных включают в себя:
    Разработку организационно-распорядительных документов, которые регламентируют весь процесс получения, обработки, хранения, передачи и защиты персональных данных;
    Определение перечня мероприятий по защите ПДн.

    29 Июня 2012, 14:21
    Ответ юриста был полезен? + 0 - 0
    Свернуть
  • Юрист - Тихонова Наталья
    получен
    гонорар
    20%
    Юрист
    Общаться в чате

    Здравствуйте!

    Вот ссылка для вас , где можно почитать о программе лояльности:

    http://www.trademarketing.ru/node/392

    и ссылка на Федеральный закон "О персональных данных" :

    http://www.flexa.ru/law/zak/zak079-5.shtml?for_printing

    При обработке персональных данных основополагающим является СОГЛАСИЕ субъекта на обработку сведений о его частной жизни. (ст.13.11 КоАП РФ)

    Вот официальный комментарий к данной статье:

    1. Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" информация о гражданах (персональные данные) определяется как любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (ч. 1 ст. 3 указанного Закона). Свойства данной информации - обеспечивать идентификацию конкретного лица - предопределяют отнесение ее к категории конфиденциальной, т.е. информации с ограниченным доступом. Обеспечения конфиденциальности персональных данных не требуется в случае обезличивания персональных данных (для статистических или иных научных целей), а также в отношении общедоступных персональных данных (ч. 2 ст. 6, ст. 7). Указанный режим персональной информации обусловливает необходимость правовой защиты ее конфиденциальной части.

    Такая защита обеспечивается в первую очередь путем установления конституционного запрета осуществлять сбор, хранение, использование и распространение информации о частной жизни лица без его согласия, а также требованием судебного решения для ограничения тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений (ст. 23 и 24 Конституции РФ). Статьей 19 Конституции РФ запрещаются также любые формы ограничения прав граждан по признакам социальной, расовой, национальной, языковой или религиозной принадлежности.

    Федеральный закон "О персональных данных" рассматривает согласие субъекта персональных данных на обработку сведений о его частной жизни в числе одного из принципов правового регулирования отношений в сфере информации, информационных технологий и защиты информации, включая информацию персонального характера.

    Из данного основополагающего принципа согласия могут иметь место исключения, предусмотренные в законодательном порядке, в том числе в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством РФ о безопасности, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством РФ, законодательством РФ о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, а также в случаях, связанных с медицинскими и медико-профилактическими целями (п. 2 - 7 ч. 2 и ч. 3 ст. 10, ч. 2 ст. 11, п. 2 - 5 ч. 3 ст. 12 Федерального закона "О персональных данных").

    30 Июня 2012, 16:52
    Ответ юриста был полезен? + 1 - 0
    Свернуть
stats