Организация программы лояльности: план юридических действий для соблюдения закона о персональных данных и работы с базой данных бонусных карт

Здравствуйте!

Для соблюдения закона «О персональных данных» организации, являющейся организатором программы лояльности покупателей (бонусные карты), необходимо выполнять следующие юридические действия:

1. Согласовать с руководством организации политику обработки персональных данных участников программы лояльности и принять внутренний документ, регламентирующий правила работы с персональными данными.

2. Обеспечить конфиденциальность персональных данных участников программы лояльности и предотвращение их неправомерного использования, а также разглашения третьим лицам.

3. Получить согласие участников программы лояльности на обработку и хранение их персональных данных, которое должно быть представлено в письменной форме или через электронные средства связи.

4. Информировать участников программы лояльности о целях обработки и использования их персональных данных, а также информацию об ответственном лице, осуществляющем обработку персональных данных.

5. Определить ответственное лицо, осуществляющее обработку персональных данных, и обеспечить его квалификационный уровень, соответствующий требованиям законодательства Российской Федерации.

6. Сохранять персональные данные участников программы лояльности в течение периода, установленного законодательством Российской Федерации.

7. Уничтожать персональные данные участников программы лояльности, которые перестали быть необходимыми для целей, для которых они были получены.

В отношении уведомления Роскомнадзора о обработке персональных данных участников программы лояльности, уведомление в Роскомнадзор не требуется, если организатор программы лояльности не является оператором персональных данных.

Управление по защите прав потребителей Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека разработало методические рекомендации по защите прав потребителей при использовании программ лояльности, которые вы можете ознакомиться по ссылке: http://fguopt.ru/upload/%D0%9C%D0%B5%D1%82%D0%BE%D0%B4%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8%D0%B5.%D1%80%D0%B5%D0%BA%D0%BE%D0%BC%D0%B5%D0%BD%D0%B4%D0%B0%D1%86%D0%B8%D0%B8.pdf

Также, вы можете ознакомиться с положениями Федерального закона «О персональных данных» по ссылке: https://www.consultant.ru/document/consdocLAW_61801/

По вопросу порядка работы с базой данных по бонусным картам, рекомендуется определить принципы работы с базой данных, обеспечивающие ее защиту от несанкционированного доступа. Важно также регулярно обновлять базу данных, хранить ее на надежных серверах и избегать разглашения данных участников программы лояльности.

Надеюсь, мой ответ был полезен для Вас.

Для обеспечения соблюдения закона "О персональных данных" в области защиты персональных данных участников программы лояльности, организация-организатор должна предпринимать следующие действия:

1. Разработать политику обработки персональных данных участников программы лояльности, в которой должны быть определены цели обработки персональных данных, правовые основания для обработки, порядок сбора, хранения и уничтожения персональных данных.
2. Получить согласие на обработку персональных данных от участников программы лояльности, которые предоставляют свои персональные данные в рамках использования бонусных карт. Документом, подтверждающим согласие на обработку персональных данных, может выступить согласительная картотека, установленная на месте подписи клиента на документе.
3. Обеспечить сохранность персональных данных, используя необходимые технические и организационные меры защиты персональных данных.
4. Обеспечить соблюдение прав участников программы лояльности на доступ к своим персональным данным, а также право на внесение изменений в свои персональные данные.

Если при обработке персональных данных участников программы лояльности используется электронная база данных, то необходимо ознакомиться со следующими нормативными правовыми актами: - Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных"; - Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 01.11.2012 г. № 217 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"; - Постановлением Правительства РФ от 01.11.2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных и внесении изменений в некоторые акты Правительства Российской Федерации"; - Рекомендациями Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций "Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

Организация-организатор должна также уведомлять Роскомнадзор об обработке персональных данных участников программы лояльности, если обработка персональных данных осуществляется в электронной форме.

Дополнительную информацию по данной теме можно также найти на сайте Роскомнадзора (www.rkn.gov.ru) и в литературе по защите персональных данных.

Статьи законодательства Российской Федерации, применимые для решения вопроса по защите персональных данных участников программы лояльности, включают:

1. Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных" (статьи 4, 6, 9, 18, 22, 24, 26, 27, 28, 75);

2. Постановление Правительства РФ от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (статьи 4, 5, 8, 10, 11).

Относительно уведомления Роскомнадзора о обработке персональных данных, статьей 22 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" предусмотрено, что оператор обязан уведомить Роскомнадзор о начале обработки персональных данных не позднее чем за 30 дней до начала такой обработки, если иное не предусмотрено федеральным законом. При этом, если организация уже является оператором, то уведомление не требуется.

При работе с базой данных по бонусным картам необходимо соблюдать требования законодательства о защите персональных данных, установленные Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных" и Постановлением Правительства РФ от 1 ноября 2012 г. № 1119. Оператор должен обеспечивать сохранность персональных данных, предоставленных участниками программы лояльности, а также регулярно осуществлять мероприятия по их защите.