Персональные данные: что такое и что к ним относится

Персональные данные (сокращенно ПД) — это информация о вас. Например, ваше имя, возраст, гражданство или место проживания. Отдельно эти факты могут ни о чем не говорить. Но в совокупности они помогают узнать именно вас среди многих людей.

Виды персональных данных

Не все персональные данные нужно засекречивать: мы каждый день представляемся на работе, отправляем письма с электронной почты, делимся номером телефона. Но есть разные категории персональных данных:

• Общие — например, имя, фамилия, возраст, пол, номер телефона и адрес электронной почты. Эти сведения обеспечивают базовую идентификацию личности и используются в повседневной жизни для общения, работы или обучения.
• Специальные (чувствительные). Они включают информацию о национальности, религиозных взглядах, состоянии здоровья, политических предпочтениях. Обработка таких данных подчиняется строгим правилам, чтобы предотвратить дискриминацию или злоупотребление.
• Биометрические — это уникальные физические характеристики каждого человека. К ним относятся отпечатки пальцев, голосовой профиль, изображения лица, используемые для идентификации. Они применяются в системах безопасности и контроля доступа. 
• Иные персональные данные — это данные, которые не входят в предыдущие категории. С их помощью можно косвенно идентифицировать личность. Например, это информация о покупках, интернет-предпочтениях или местоположении. Они могут использоваться для анализа поведения, маркетинговых исследований или персонализации услуг.

Обработка персональных данных

Каждый сайт в интернете обрабатывает персональные данные пользователей. Это касается всех: от электронной коммерции до новостных медиа. Под обработкой данных понимаются действия все действия с ПД:, хранение, обновление, передача информации о людях. Это особенно важно для онлайн-бизнесов, которые для анализа посещаемости и персонализации предложений используют такие инструменты, как cookies. Cookies – это небольшие фрагменты данных, отправляемые веб-сайтом и хранящиеся в браузере пользователя, благодаря которым сайт может «запомнить» его действия и предложить релевантный контент.

Чтобы обеспечить законную и безопасную обработку, следуйте этим шагам:

• Назначьте ответственного за процесс обработки данных. Этот человек будет контролировать соблюдение правил и норм.
• Разработайте политику конфиденциальности. Опишите, как вы собираете, используете и защищаете данные. Убедитесь, что сотрудники и клиенты могут легко найти и прочитать этот документ.
• Обеспечьте хранение данных в России, чтобы соблюдать требования законодательства о локализации баз данных.
• Подготовьте защиту данных, используйте надежное оборудование и программное обеспечение для предотвращения утечек и несанкционированного доступа.
• Информируйте Роскомнадзор об обработке данных. Это обязательный шаг для организаций, которые используют автоматизированные системы обработки.
• Определите, какие данные необходимы для вашей деятельности, и убедитесь, что их сбор соответствует целям, указанным в политике конфиденциальности.
• Получите согласие субъектов — сотрудников, клиентов, пользователей сайта — на обработку их данных. Предоставьте полную информацию о целях, методах обработки и их правах.

Данные на сайте собираются через куки (cookies), формы обратной связи, отзывы и подписки на рассылки. Часто формы предлагают оставить заявку всем. В том числе тем, кто и так совершит обращение, — всплывающие поверх страниц поп-апы только будут раздражать их. «Умная заявка» от Calltouch предлагает оставить заявку только тем пользователям, которые скорее всего не станут совершать звонок.

Если вы решили использовать «Умную заявку» в своей работе, не забудьте включить информацию о ней в политику конфиденциальности. Это поможет обеспечить прозрачность и соответствие требованиям защиты данных. Больше информации об этом — в нашей статьей о том, как составить политику конфиденциальности.

Оператор и субъект персональных данных

Оператор персональных данных — это компания или государственное учреждение, а иногда и отдельный человек, который работает с личными данными. Оператор собирает их, хранит, обрабатывает и может передавать другим. Он должен четко определить цели обработки данных и и обрабатывать только ту информацию, которая нужна для этих целей. Оператор не должен раскрывать данные без согласия субъекта, если иное не предусмотрено законом.

Субъект персональных данных — это мы с вами: люди, чья информация обрабатывается. Оператор обязан не только соблюдать правила защиты этой информации, но и гарантировать, что данные используются с нашего согласия и только в тех целях, для которых они были предоставлены.

Как получить согласие на обработку персональных данных

Закон требует, чтобы компании получали явное согласие от людей перед сбором, обработкой или хранением их персональных данных. Вот основные шаги, которые нужно выполнить для получения согласия по действующему законодательству:

• Точно определить, для каких целей понадобятся данные.
• Еще до начала сбора данных компания должна уведомить Роскомнадзор о своих намерениях.
• Нужно проинформировать людей о том, кто собирает их данные, для каких целей, как эти данные будут использоваться. Важно рассказать, какие права есть у людей относительно собранных компанией данных.
• Важно, чтобы запрос на сбор персональных данных звучал понятно. Человек должен осознанно выразить свое согласие. Его можно получить в письменной форме или онлайн, например с помощью чекбоксов на веб-сайте.
• Компания обязана надежно хранить полученные документы о согласии, чтобы при необходимости предъявить доказательства соблюдения процедуры.

Чтобы гарантировать, что ваше согласие на обработку персональных данных соответствует букве закона, мы подготовили специальную статью. В ней — рекомендации, как правильно составить согласие на обработку персональных данных.

Обязательства оператора по защите персональных данных

Оператор персональных данных обязан:

• Не раскрывать информацию третьим лицам, не распространять ее без согласия субъекта, не допускать утечки.
• Изменять или удалять сведения по требованию субъекта ПД. Удаление нужно подтверждать актом об уничтожении данных, выгрузкой из журнала ПД,
• Размещать и хранить архив с информацией на российских серверах.
• Оценивать ущерб от возможной утечки личных данных и оформлять их в виде акта. Требования — в приказе Роскомнадзора N 178 от 27.10.2022.
• Сообщать в Роскомнадзор об утечке персональных данных — форма есть на официальном сайте ведомства.
• Уведомлять Роскомнадзор о передаче ПД за границу — по ст. 12 N 152-ФЗ.

Для защиты ПД используют антивирусное обеспечение, программно-аппаратные комплексы межсетевого экранирования, разграничение прав доступа. Чтобы понять, где и как хранить ПД, обратитесь в Минкомсвязи или Роскомнадзор. Готовое решение может предложить и хостинг-провайдер.

Защита персональных данных — это не только специализированное ПО, которое предотвращает утечку ПД пользователей. Злоумышленники получают ПД многими способами. Один из них — спам-звонки компаниям. Чаще всего это способ «накрутки» — так недобросовестные подрядчики увеличивают количество обращений, которые в итоге оказываются «пустыми» и расходуют рекламный бюджет. 

Телефонный номер в открытом доступе, будь то номер физлица или бизнеса, привлекает и других мошенников: тех, которые предлагают «серые» услуги и, притворяясь партнерами брендов, выманивают из сотрудников чувствительную информацию и номера руководителей. Под угрозой может быть ваша клиентская база, включая логины и пароли клиентов. Блокируя нежелательные звонки, вы уменьшаете вероятность утечки данных и делаете обработку информации безопаснее.

Уведомление в Роскомнадзор

Для многих операторов персональных данных подача уведомления в Роскомнадзор обязательна. Вот как это работает:

• Заполните специальную форму, где нужно указать информацию о вашей организации, целях обработки ПД, описать категории данных и меры их защиты. Это требование установлено Федеральным законом «О персональных данных»” № 152-ФЗ.
• Готовую форму можно подать через официальный сайт Роскомнадзора или отправить по почте.
• После обработки уведомления Роскомнадзор внесет данные о вашей организации в реестр операторов персональных данных. Это — официальное «разрешение» на работу с чужой личной информацией.

В определенных случаях уведомление в Роскомнадзор не требуется:

• Оформление разового пропуска на территорию предприятия, если данные используются исключительно для этой цели.
• Исполнение предписаний Трудового кодекса (ТК), если информация используется внутри предприятия и не передается в иные организации.
• Заключение договоров с сотрудниками и клиентами без передачи информации третьим лицам.
• Работа с данными только на бумажных носителях.
• Использование ПД участников в одной общественной или религиозной организации без распространения данных вовне.

Что делать, чтобы не получить штраф

Для операторов персональных данных крайне важно соблюдать законодательные требования и обеспечивать должный уровень защиты данных. Вот ключевые действия:

• Регистрация в реестре Роскомнадзора, кроме описанных выше случаев.
• Честная и законная обработка данных. Защита прав субъектов данных, включая их информирование, доступ к данным и возможность их исправления, обязательна.
• Подключение всех необходимых технических и организационных мер для защиты данных. Рекомендации Роскомнадзора включают использование средств шифрования для передачи и хранения данных, регулярное обновление антивирусного программного обеспечения, проведение аудита безопасности системы обработки данных.
• Регулярный пересмотр и обновление мер защиты и информации о них в реестре Роскомнадзора, особенно после внедрения новых технологий или изменений в обрабатываемых данных. Это требование уточняется в Приказе Роскомнадзора № 21 от 01.02.2013 г., который устанавливает процедуру уведомления.

Чем грозит нарушение закона

Нарушение правил в сфере персональных данных чревато серьезными последствиями.

Административная ответственность 

Статья 13.11 КоАП РФ устанавливает штрафы за нарушения в области персональных данных. 

Обработка данных без законного основания:

• Для граждан: до 6 000 рублей (повторно — до 12 000 рублей).
• Для должностных лиц: до 20 000 рублей (повторно — до 50 000 рублей).
• Для юридических лиц: до 100 000 рублей (повторно — до 300 000 рублей).

Обработка данных без согласия субъекта и нарушение требований к согласию на обработку данных карается еще строже:

• Для граждан: до 15 000 рублей.
• Для должностных лиц: до 300 000 рублей.
• Для юридических лиц: до 700 000 рублей.

За повторное нарушение штрафы значительно возрастают, могут достигать 1,5 млн рублей для юридических лиц в случае особо серьезных нарушений.

Уголовная ответственность 

Уголовная ответственность предусмотрена за серьезные нарушения, например:

• Неправомерный доступ к информации или ее разглашение — до двух лет лишения свободы.
• Нарушение неприкосновенности частной жизни — до четырех лет лишения свободы.
• Неправомерный отказ в предоставлении информации, или за предоставление неполной или заведомо ложной информации — штраф до двухсот тысяч рублей.

Гражданско-правовая ответственность

Согласно статьям 15, 151 ГК РФ, пострадавшие могут требовать возмещения убытков и компенсации морального вреда.

Дисциплинарная ответственность

Статьи 90, 81 ТК РФ предусматривают такие меры, как замечание, выговор или увольнение за нарушения, связанные с обработкой ПД.

Заключение

Обработка персональных данных — предмет повышенного внимания со стороны государства. Поэтому важно быть особенно аккуратными и разбираться в законодательстве. Вот ключевые аспекты для защиты и законной обработки ПД:

• Государственный контроль усиливается, требуя от организаций внимания к изменениям в законах.
• Важно правильно идентифицировать и классифицировать персональные данные для их эффективной защиты.
• Необходимо ясно и четко получать согласие на обработку ПД от субъектов данных, соблюдая все процедурные требования.
• Внедрение технических и организационных мер защиты ПД предотвращает утечки данных и несанкционированный доступ к ним.
• Квалифицированный специалист по ПД помогает оставаться в курсе законодательных изменений и адаптировать процессы обработки данных.