Well done!
Триггерные сценарии прогреют вашу базу в майские со скидкой 50%
Реклама ООО «Колтач Солюшнс»
ИНН 7703388936
erid: 2VtzqwjqwKX
3 апреля 2023
Темы | Бизнес
Нет времени читать?
Отправить статью на почту

Что такое персональные данные

3 апреля 2023
15 мин на чтение
9 767
Что такое персональные данные
author__photo

Утечка персональных данных — это удар по репутации, который может поставить под вопрос работу компании. Предприниматель должен следовать закону и оберегать конфиденциальную информацию.

Рассказываем, какие данные считаются персональными, как правильно их собирать, обрабатывать и хранить. А еще — кто такой субъект персональных данных и каковы его обязанности.

Что такое персональные данные

Персональные данные (ПД) — уникальная информация, по которой идентифицируют личность. Перечень персональных данных:

  • фамилия, имя, отчество;
  • страна, город;
  • дата рождения;
  • фото- и/или видеоизображение человека;
  • адрес проживания;
  • телефонный номер;
  • email;
  • сведения об образовании, трудовом стаже, текущей работе и доходах;
  • информация о семейном положении, составе семьи, в том числе подробные сведения о ее членах;
  • расовая и национальная принадлежность;
  • информация о религиозных, политических и других убеждениях;
  • данные о состоянии здоровья;
  • документы — серия и номер общегражданского и заграничного паспортов, отметки о пересечении государственной границы, СНИЛС.

Согласно №152-ФЗ «О персональных данных», под такими сведениями подразумевают информацию, привязанную к фамилии, имени, отчеству, адресу и телефонному номеру частного лица. Обезличенные данные — без подобной привязки — не относят к персональным.

Виды персональных данных

Сведения классифицируют по содержанию, уровню секретности, методам обработки. Выделяют четыре основные категории личной информации.

Общие ПД. Это базовые сведения о гражданах, большая часть которых отражена в паспорте. Их используют при устройстве на работу, обучении, прохождении армейской службы и вносят в соответствующие документы — военный билет, диплом об образовании, трудовую книжку, личную карточку сотрудника.

Для получения и использования общих ПД не нужно письменное разрешение человека — достаточно «галочки» в графе обычной или онлайн-анкеты. Такая форма согласия делает эту информацию общедоступной.

Специальные ПД. Это закрытая информация о частном лице:

  • национальность;
  • политические убеждения;
  • вероисповедание;
  • состояние здоровья;
  • сексуальные предпочтения.

Распространение таких сведений может нанести человеку ущерб — большинство из них берут с письменного разрешения. Ограничения на использование информации о судимости еще жестче — ее обрабатывают на основании закона вне зависимости от согласия гражданина.

Биометрические ПД. Это биологические характеристики человека:

  • внешний облик — рост, вес, цвет глаз и волос;
  • голос;
  • отпечатки пальцев (дактилоскопические данные);
  • результаты ДНК-анализа потожировых следов, слюны;
  • группа и резус-фактор крови.

Биометрические ПД хранят для идентификации. Например, в банке сотрудник фотографирует клиента, чтобы система безопасности распознала его в случае утери карты или мошенничества.

Речевая аналитика Calltouch — система распознавания речи. С ее помощью вы узнаете пол, тип обращения клиента и получите текстовую расшифровку разговора с ним. Исследуете целевую аудиторию и оцените качество работы клиентского сервиса. Вы поймете, какие звонки приводят к продажам, сможете скорректировать скрипты колл-центра и рекламную стратегию — и увеличить приток покупателей.

Предикт
Анализируй и сегментируй звонки легко и быстро
Текстовая расшифровка звонков и автотегирование
Подробнее

Иные ПД. Сведения, не попадающие в описанные выше категории. Это дополнительные характеристики человека: социальный статус, трудовой стаж, размер заработной платы, отпускные периоды. Большая часть таких сведений может меняться.

Оператор и субъект персональных данных

Субъект — конкретный человек, личность которого идентифицируют по персональным данным. 

Оператор — тот, кто занимается обработкой ПД. Им могут быть:

  • организация — государственная, общественная, коммерческая;
  • частный предприниматель;
  • физическое лицо — например, владелец сайта изучает обезличенные ПД пользователей для оценки активности, рассылки, анализа половозрастной структуры.

Оператор должен быть зарегистрирован в реестре Роскомнадзора.

Защитите компанию от сомнительных обращений. Недобросовестные подрядчики могут накручивать звонки и вводить вас в заблуждение. Чтобы контролировать лидогенерацию, подключите Антифрод Calltouch. Он поможет отсечь спам и нецелевые обращения, отметив их специальным тегом. Так вы оптимизируете расходы на рекламу и оставите только прибыльные площадки, которые обеспечивают целевой трафик.

Антифрод
Защититесь от спама
и некачественных звонков с рекламы
Защититесь от спама и некачественных звонков
с рекламы
Подробнее

Чек-лист по обработке ПД

Если вы собираетесь обрабатывать персональные данные пользователей, следуйте алгоритму:

  1. Назначьте ответственного за организацию процесса.
  2. Разработайте политику конфиденциальности и опубликуйте ее на сайте. Утвердите локальные акты.
  3. Позаботьтесь о том, чтобы сервер для хранения ПД находился в России.
  4. Подготовьте оборудование и безопасное программное обеспечение.
  5. Подайте уведомление в Роскомнадзор и дождитесь ответа.
  6. Определитесь с перечнем сведений для сбора и хранения информации. Проверьте по официальным источникам, какие документы являются персональными данными.
  7. Получите согласие пользователя на обработку ПД.

Как получить согласие на обработку персональных данных

Обработка персональных данных — это любые действия с личной информацией:

  • получение;
  • структуризация;
  • хранение на носителях — в электронных и бумажных архивах;
  • анализ;
  • использование в коммерческой, социальной, государственной деятельности;
  • передача другим владельцам или предоставление доступа к базе;
  • обезличивание — устранение очевидной связи между человеком и его ПД;
  • блокировка — временная остановка работы с информацией по запросу граждан или регулятора;
  • удаление и обновление;
  • ликвидация без возможности восстановления.

Персональные данные обрабатывают только с разрешения их владельца. Чтобы законно получить согласие:

  1. Уведомите Роскомнадзор о своих планах обрабатывать персональные данные. О случаях, когда уведомление не требуется, расскажем ниже.
  2. Составьте текст соглашения и разместите его в общем доступе на сайте или бумажном бланке. Снабдите документ чекбоксом для отметки о согласии на обработку ПД.
  3. Предупредите посетителей о сборе куки-файлов и иных метаданных (местоположения, IP-адреса) во всплывающем окне на сайте.
  4. Разместите ссылку на документ с политикой конфиденциальности компании или правилами работы с ПД.

Устное разрешение на обработку персональных данных не имеет силы. Нельзя получить его и по умолчанию. Например, покупка на сайте не означает автоматическое согласие клиента на обработку ПД.

Если вы собираете биометрическую информацию, вам понадобится специальное оборудование и письменное согласие субъекта. Чекбокс в этом случае не подойдет.

Обязательства оператора по защите персональных данных

Оператор персональных данных обязан:

  • Не раскрывать информацию третьим лицам, не распространять ее без согласия субъекта, не допускать утечки.
  • Изменять или удалять сведения по требованию субъекта персональных данных. Удаление нужно подтверждать актом об уничтожении данных, выгрузкой из журнала ПД,
  • Размещать и хранить архив с информацией на российских серверах.
  • Оценивать ущерб от возможной утечки личных данных и оформлять их в виде акта. Требования — в приказе Роскомнадзора N 178 от 27.10.2022.
  • Сообщать в Роскомнадзор об утечке персональных данных — форма есть на официальном сайте ведомства.
  • Уведомлять Роскомнадзор о передаче ПД за границу — по ст. 12 N 152-ФЗ.

Для защиты ПД применяют организационные меры и технические средства — противовирусное обеспечение, программно-аппаратные комплексы межсетевого экранирования, разграничение прав доступа. Чтобы понять, где и как хранить ПД, обратитесь в Минкомсвязи или Роскомнадзор. Оптимальное готовое решение может предложить и хостинг-провайдер.

При низком уровне защиты личная информация граждан может попасть в руки преступников. За халатное отношение к своим обязанностям оператор будет отвечать в суде.

Уведомление в Роскомнадзор

Чтобы уведомить Роскомнадзор о намерении обрабатывать персональные данные, заполните электронную форму на сайте ведомства или портале «Госуслуги». В Роскомнадзор нужно сообщать об изменении названия или адреса оператора персональных данных, объема ПД и целей их обработки.

Заполненный документ отправьте онлайн или почтой по адресу местного отделения Роскомнадзора. Сведения о заявителе добавят в реестр в течение месяца.

Через сайт можно отправить уведомление о трансграничной передаче данных или их утечке.

Уведомлять Роскомнадзор не обязательно, если ПД обрабатывают для:

  • оформления разового пропуска на территорию предприятия;
  • исполнения предписаний ТК — только если информацию используют внутри предприятия и не передают в иные организации, например банки;
  • заключения договоров с сотрудниками и клиентами без передачи информации третьим лицам;
  • работы с данными только на бумажных носителях;
  • использования ПД участников в одной общественной или религиозной организации.

Перед подачей уведомления оповестите персонал, оборудуйте помещение и компьютеры средствами защиты информации, подготовьте документацию.

Обязательные документы и шаблоны

В список необходимых документов входят:

  • Политика конфиденциальности. Регламентирует работу со всей конфиденциальной информацией — деловой перепиской, договорами, внутренней документацией.
  • Правила работы с персональными данными. Их часто объединяют с политикой конфиденциальности — это не противоречит закону.
  • Согласие на обработку персональных данных. Форма для заполнения клиентом. Она содержит наименования (ФИО) и адреса оператора или действующего по его поручению лица, а также данные субъекта ПД. Обязательно указывают цель сбора информации и методы ее обработки, срок действия согласия, способы его отзыва.
  • Обязательство о неразглашении ПД. Это документ, подписанный всеми сотрудниками, которые имеют доступ к конфиденциальной информации о клиентах.
  • Приказ о назначении ответственного за работу с ПД. Этот внутренний документ часто требуют представители Роскомнадзора при проверках. Ответственным обычно назначают специалиста из отдела IT или службы безопасности.

Документы разрабатывают с участием юрисконсульта. Шаблон формы согласия клиента и рекомендации по составлению правил работы с ПД доступны на сайте Роскомнадзора.

Чем грозит нарушение закона

Любое нарушение правил использования персональных данных — это огромный риск для компании. Виды ответственности:

  • Административная — статья 13.11 КоАП РФ «Нарушение законодательства в области ПД».
  • Уголовная — статьи 137, 140, 272 УК РФ.
  • Гражданско-правовая — статьи 15, 151 ГК РФ.
  • Дисциплинарная — статьи 90, 81 ТК РФ.

Наказание зависит от обстоятельств нарушения и тяжести последствий. Возможные санкции:

  • предупреждение;
  • штрафы до 300 тысяч рублей, по административным статьям — до 75 тысяч рублей;
  • арест до шести месяцев;
  • исправительные работы до одного года;
  • принудительные работы до пяти лет;
  • лишение свободы до пяти лет.

Дополнительно суд обязывает возместить пострадавшему материальные убытки и компенсировать моральный вред. По месту работы применяют замечание, выговор или увольнение.

Коротко о главном

  • Персональные данные — это конфиденциальная информация, которая идентифицирует конкретного человека (субъекта ПД). 
  • Оператор персональных данных собирает, обрабатывает и обеспечивает защиту информации.
  • Перед обработкой персональных данных нужно уведомить Роскомнадзор о своем намерении.
  • Правила обработки ПД регламентируются законодательством (ГК, ТК, УК, КоАП). Нарушения влекут правовую ответственность вплоть до уголовного преследования.

FAQ

Можно ли не запрашивать согласие пользователя на обработку персональных данных?

Если пользователь регистрируется или авторизуется на сайте, вводит любую личную информацию, согласие обязательно.

Нужно ли направлять уведомление в Роскомнадзор о сборе персональных данных клиента?

Да, если вы обрабатываете данные в электронном виде (на сайте). Если информацию вносят вручную на бумажных носителях, уведомление не требуется.

Что называют обработкой персональных данных?

Любые действия с информацией о человеке: сбор, хранение, анализ, использование передача, обновление, блокировка, удаление.

Когда согласие на обработку персональных данных не нужно?

В разрешении на обработку ПД нет необходимости, если субъект:
— участвует в договоре как выгодоприобретатель или поручитель;
— привлекается к участию в суде;
— не может физически предоставить согласие в экстренных ситуациях, например находится без сознания.
Не нужно получать согласие на обработку информации, которая не относится к ПД или не используется для коммерции. А именно:
— сведения, собранные для личных нужд человека — списки телефонных и почтовых контактов, визитные карточки, профили друзей в соцсетях;
— фото или видео с общественных мероприятий или полученные на платной основе;
— ИНН без привязки к другой информации;
— государственные номера транспортных средств.
— данные для проведения научных исследований, творческой деятельности, если они не нарушают прав и интересов граждан;
— информация для передачи только внутри компании.
Закон не дает исчерпывающего определения ПД — при сборе любой информации о клиенте лучше заручиться его согласием. Это поможет избежать взысканий

Автор блога Calltouch
Нет времени читать?
Оцените
Поделитесь с друзьями
Лучшие маркетинговые практики — каждый месяц в дайджесте Calltouch
Подписывайтесь сейчас и получите 13 чек-листов маркетолога
У вас интересный материал?
Опубликуйте статью в нашем блоге
Опубликовать статью
Хотите получить актуальную подборку кейсов?
Прямо сейчас бесплатно отправим подборку обучающих кейсов с прибылью от 14 730 до 536 900р.
[contact-form-7 404 "Not Found"]
У нас тут cookies…
На сайте используются файлы cookies. Продолжая использование сайта, вы соглашаетесь с этим. Подробности об обработке ваших данных — в политике использования файлов cookie.
Вставить формулу как
Блок
Строка
Дополнительные настройки
Цвет формулы
Цвет текста
#333333
Используйте LaTeX для набора формулы
Предпросмотр
\({}\)
Формула не набрана
Вставить