Утечка персональных данных — это удар по репутации, который может поставить под вопрос работу компании. Предприниматель должен следовать закону и оберегать конфиденциальную информацию.
Рассказываем, какие данные считаются персональными, как правильно их собирать, обрабатывать и хранить. А еще — кто такой субъект персональных данных и каковы его обязанности.
Персональные данные (ПД) — уникальная информация, по которой идентифицируют личность. Перечень персональных данных:
Согласно №152-ФЗ «О персональных данных», под такими сведениями подразумевают информацию, привязанную к фамилии, имени, отчеству, адресу и телефонному номеру частного лица. Обезличенные данные — без подобной привязки — не относят к персональным.
Сведения классифицируют по содержанию, уровню секретности, методам обработки. Выделяют четыре основные категории личной информации.
Общие ПД. Это базовые сведения о гражданах, большая часть которых отражена в паспорте. Их используют при устройстве на работу, обучении, прохождении армейской службы и вносят в соответствующие документы — военный билет, диплом об образовании, трудовую книжку, личную карточку сотрудника.
Для получения и использования общих ПД не нужно письменное разрешение человека — достаточно «галочки» в графе обычной или онлайн-анкеты. Такая форма согласия делает эту информацию общедоступной.
Специальные ПД. Это закрытая информация о частном лице:
Распространение таких сведений может нанести человеку ущерб — большинство из них берут с письменного разрешения. Ограничения на использование информации о судимости еще жестче — ее обрабатывают на основании закона вне зависимости от согласия гражданина.
Биометрические ПД. Это биологические характеристики человека:
Биометрические ПД хранят для идентификации. Например, в банке сотрудник фотографирует клиента, чтобы система безопасности распознала его в случае утери карты или мошенничества.
Речевая аналитика Calltouch — система распознавания речи. С ее помощью вы узнаете пол, тип обращения клиента и получите текстовую расшифровку разговора с ним. Исследуете целевую аудиторию и оцените качество работы клиентского сервиса. Вы поймете, какие звонки приводят к продажам, сможете скорректировать скрипты колл-центра и рекламную стратегию — и увеличить приток покупателей.
Иные ПД. Сведения, не попадающие в описанные выше категории. Это дополнительные характеристики человека: социальный статус, трудовой стаж, размер заработной платы, отпускные периоды. Большая часть таких сведений может меняться.
Субъект — конкретный человек, личность которого идентифицируют по персональным данным.
Оператор — тот, кто занимается обработкой ПД. Им могут быть:
Оператор должен быть зарегистрирован в реестре Роскомнадзора.
Защитите компанию от сомнительных обращений. Недобросовестные подрядчики могут накручивать звонки и вводить вас в заблуждение. Чтобы контролировать лидогенерацию, подключите Антифрод Calltouch. Он поможет отсечь спам и нецелевые обращения, отметив их специальным тегом. Так вы оптимизируете расходы на рекламу и оставите только прибыльные площадки, которые обеспечивают целевой трафик.
Если вы собираетесь обрабатывать персональные данные пользователей, следуйте алгоритму:
Обработка персональных данных — это любые действия с личной информацией:
Персональные данные обрабатывают только с разрешения их владельца. Чтобы законно получить согласие:
Устное разрешение на обработку персональных данных не имеет силы. Нельзя получить его и по умолчанию. Например, покупка на сайте не означает автоматическое согласие клиента на обработку ПД.
Если вы собираете биометрическую информацию, вам понадобится специальное оборудование и письменное согласие субъекта. Чекбокс в этом случае не подойдет.
Самые популярные языки программирования в 2021 году
Оператор персональных данных обязан:
Для защиты ПД применяют организационные меры и технические средства — противовирусное обеспечение, программно-аппаратные комплексы межсетевого экранирования, разграничение прав доступа. Чтобы понять, где и как хранить ПД, обратитесь в Минкомсвязи или Роскомнадзор. Оптимальное готовое решение может предложить и хостинг-провайдер.
При низком уровне защиты личная информация граждан может попасть в руки преступников. За халатное отношение к своим обязанностям оператор будет отвечать в суде.
Чтобы уведомить Роскомнадзор о намерении обрабатывать персональные данные, заполните электронную форму на сайте ведомства или портале «Госуслуги». В Роскомнадзор нужно сообщать об изменении названия или адреса оператора персональных данных, объема ПД и целей их обработки.
Заполненный документ отправьте онлайн или почтой по адресу местного отделения Роскомнадзора. Сведения о заявителе добавят в реестр в течение месяца.
Через сайт можно отправить уведомление о трансграничной передаче данных или их утечке.
Уведомлять Роскомнадзор не обязательно, если ПД обрабатывают для:
Перед подачей уведомления оповестите персонал, оборудуйте помещение и компьютеры средствами защиты информации, подготовьте документацию.
В список необходимых документов входят:
Документы разрабатывают с участием юрисконсульта. Шаблон формы согласия клиента и рекомендации по составлению правил работы с ПД доступны на сайте Роскомнадзора.
Правила написания и оформления деловых писем
Любое нарушение правил использования персональных данных — это огромный риск для компании. Виды ответственности:
Наказание зависит от обстоятельств нарушения и тяжести последствий. Возможные санкции:
Дополнительно суд обязывает возместить пострадавшему материальные убытки и компенсировать моральный вред. По месту работы применяют замечание, выговор или увольнение.
Если пользователь регистрируется или авторизуется на сайте, вводит любую личную информацию, согласие обязательно.
Да, если вы обрабатываете данные в электронном виде (на сайте). Если информацию вносят вручную на бумажных носителях, уведомление не требуется.
Любые действия с информацией о человеке: сбор, хранение, анализ, использование передача, обновление, блокировка, удаление.
В разрешении на обработку ПД нет необходимости, если субъект: — участвует в договоре как выгодоприобретатель или поручитель; — привлекается к участию в суде; — не может физически предоставить согласие в экстренных ситуациях, например находится без сознания. Не нужно получать согласие на обработку информации, которая не относится к ПД или не используется для коммерции. А именно: — сведения, собранные для личных нужд человека — списки телефонных и почтовых контактов, визитные карточки, профили друзей в соцсетях; — фото или видео с общественных мероприятий или полученные на платной основе; — ИНН без привязки к другой информации; — государственные номера транспортных средств. — данные для проведения научных исследований, творческой деятельности, если они не нарушают прав и интересов граждан; — информация для передачи только внутри компании. Закон не дает исчерпывающего определения ПД — при сборе любой информации о клиенте лучше заручиться его согласием. Это поможет избежать взысканий
Хочу получать интересные новости блога
3 апреля 2023
4 апреля 2023
5 апреля 2023
Нажимая на кнопку, вы даете согласие на обработку своих персональных данных