Что такое персональные данные

Утечка персональных данных — это удар по репутации, который может поставить под вопрос работу компании. Предприниматель должен следовать закону и оберегать конфиденциальную информацию.

Рассказываем, какие данные считаются персональными, как правильно их собирать, обрабатывать и хранить. А еще — кто такой субъект персональных данных и каковы его обязанности.

Что такое персональные данные

Персональные данные (ПД) — уникальная информация, по которой идентифицируют личность. Перечень персональных данных:

• фамилия, имя, отчество;
• страна, город;
• дата рождения;
• фото- и/или видеоизображение человека;
• адрес проживания;
• телефонный номер;
• email;
• сведения об образовании, трудовом стаже, текущей работе и доходах;
• информация о семейном положении, составе семьи, в том числе подробные сведения о ее членах;
• расовая и национальная принадлежность;
• информация о религиозных, политических и других убеждениях;
• данные о состоянии здоровья;
• документы — серия и номер общегражданского и заграничного паспортов, отметки о пересечении государственной границы, СНИЛС.

Согласно №152-ФЗ «О персональных данных», под такими сведениями подразумевают информацию, привязанную к фамилии, имени, отчеству, адресу и телефонному номеру частного лица. Обезличенные данные — без подобной привязки — не относят к персональным.

Виды персональных данных

Сведения классифицируют по содержанию, уровню секретности, методам обработки. Выделяют четыре основные категории личной информации.

Общие ПД. Это базовые сведения о гражданах, большая часть которых отражена в паспорте. Их используют при устройстве на работу, обучении, прохождении армейской службы и вносят в соответствующие документы — военный билет, диплом об образовании, трудовую книжку, личную карточку сотрудника.

Для получения и использования общих ПД не нужно письменное разрешение человека — достаточно «галочки» в графе обычной или онлайн-анкеты. Такая форма согласия делает эту информацию общедоступной.

Специальные ПД. Это закрытая информация о частном лице:

• национальность;
• политические убеждения;
• вероисповедание;
• состояние здоровья;
• сексуальные предпочтения.

Распространение таких сведений может нанести человеку ущерб — большинство из них берут с письменного разрешения. Ограничения на использование информации о судимости еще жестче — ее обрабатывают на основании закона вне зависимости от согласия гражданина.

Биометрические ПД. Это биологические характеристики человека:

• внешний облик — рост, вес, цвет глаз и волос;
• голос;
• отпечатки пальцев (дактилоскопические данные);
• результаты ДНК-анализа потожировых следов, слюны;
• группа и резус-фактор крови.

Биометрические ПД хранят для идентификации. Например, в банке сотрудник фотографирует клиента, чтобы система безопасности распознала его в случае утери карты или мошенничества.

Речевая аналитика Calltouch — система распознавания речи. С ее помощью вы узнаете пол, тип обращения клиента и получите текстовую расшифровку разговора с ним. Исследуете целевую аудиторию и оцените качество работы клиентского сервиса. Вы поймете, какие звонки приводят к продажам, сможете скорректировать скрипты колл-центра и рекламную стратегию — и увеличить приток покупателей.

Иные ПД. Сведения, не попадающие в описанные выше категории. Это дополнительные характеристики человека: социальный статус, трудовой стаж, размер заработной платы, отпускные периоды. Большая часть таких сведений может меняться.

Оператор и субъект персональных данных

Субъект — конкретный человек, личность которого идентифицируют по персональным данным. 

Оператор — тот, кто занимается обработкой ПД. Им могут быть:

• организация — государственная, общественная, коммерческая;
• частный предприниматель;
• физическое лицо — например, владелец сайта изучает обезличенные ПД пользователей для оценки активности, рассылки, анализа половозрастной структуры.

Оператор должен быть зарегистрирован в реестре Роскомнадзора.

Защитите компанию от сомнительных обращений. Недобросовестные подрядчики могут накручивать звонки и вводить вас в заблуждение. Чтобы контролировать лидогенерацию, подключите Антифрод Calltouch. Он поможет отсечь спам и нецелевые обращения, отметив их специальным тегом. Так вы оптимизируете расходы на рекламу и оставите только прибыльные площадки, которые обеспечивают целевой трафик.

Чек-лист по обработке ПД

Если вы собираетесь обрабатывать персональные данные пользователей, следуйте алгоритму:

1. Назначьте ответственного за организацию процесса.
2. Разработайте политику конфиденциальности и опубликуйте ее на сайте. Утвердите локальные акты.
3. Позаботьтесь о том, чтобы сервер для хранения ПД находился в России.
4. Подготовьте оборудование и безопасное программное обеспечение.
5. Подайте уведомление в Роскомнадзор и дождитесь ответа.
6. Определитесь с перечнем сведений для сбора и хранения информации. Проверьте по официальным источникам, какие документы являются персональными данными.
7. Получите согласие пользователя на обработку ПД.

Как получить согласие на обработку персональных данных

Обработка персональных данных — это любые действия с личной информацией:

• получение;
• структуризация;
• хранение на носителях — в электронных и бумажных архивах;
• анализ;
• использование в коммерческой, социальной, государственной деятельности;
• передача другим владельцам или предоставление доступа к базе;
• обезличивание — устранение очевидной связи между человеком и его ПД;
• блокировка — временная остановка работы с информацией по запросу граждан или регулятора;
• удаление и обновление;
• ликвидация без возможности восстановления.

Персональные данные обрабатывают только с разрешения их владельца. Чтобы законно получить согласие:

1. Уведомите Роскомнадзор о своих планах обрабатывать персональные данные. О случаях, когда уведомление не требуется, расскажем ниже.
2. Составьте текст соглашения и разместите его в общем доступе на сайте или бумажном бланке. Снабдите документ чекбоксом для отметки о согласии на обработку ПД.
3. Предупредите посетителей о сборе куки-файлов и иных метаданных (местоположения, IP-адреса) во всплывающем окне на сайте.
4. Разместите ссылку на документ с политикой конфиденциальности компании или правилами работы с ПД.

Устное разрешение на обработку персональных данных не имеет силы. Нельзя получить его и по умолчанию. Например, покупка на сайте не означает автоматическое согласие клиента на обработку ПД.

Если вы собираете биометрическую информацию, вам понадобится специальное оборудование и письменное согласие субъекта. Чекбокс в этом случае не подойдет.

Бизнес

Читайте также:

Самые популярные языки программирования в 2021 году

Самые популярные языки программирования в 2021 году

Обязательства оператора по защите персональных данных

Оператор персональных данных обязан:

• Не раскрывать информацию третьим лицам, не распространять ее без согласия субъекта, не допускать утечки.
• Изменять или удалять сведения по требованию субъекта персональных данных. Удаление нужно подтверждать актом об уничтожении данных, выгрузкой из журнала ПД,
• Размещать и хранить архив с информацией на российских серверах.
• Оценивать ущерб от возможной утечки личных данных и оформлять их в виде акта. Требования — в приказе Роскомнадзора N 178 от 27.10.2022.
• Сообщать в Роскомнадзор об утечке персональных данных — форма есть на официальном сайте ведомства.
• Уведомлять Роскомнадзор о передаче ПД за границу — по ст. 12 N 152-ФЗ.

Для защиты ПД применяют организационные меры и технические средства — противовирусное обеспечение, программно-аппаратные комплексы межсетевого экранирования, разграничение прав доступа. Чтобы понять, где и как хранить ПД, обратитесь в Минкомсвязи или Роскомнадзор. Оптимальное готовое решение может предложить и хостинг-провайдер.

При низком уровне защиты личная информация граждан может попасть в руки преступников. За халатное отношение к своим обязанностям оператор будет отвечать в суде.

Уведомление в Роскомнадзор

Чтобы уведомить Роскомнадзор о намерении обрабатывать персональные данные, заполните электронную форму на сайте ведомства или портале «Госуслуги». В Роскомнадзор нужно сообщать об изменении названия или адреса оператора персональных данных, объема ПД и целей их обработки.

Заполненный документ отправьте онлайн или почтой по адресу местного отделения Роскомнадзора. Сведения о заявителе добавят в реестр в течение месяца.

Через сайт можно отправить уведомление о трансграничной передаче данных или их утечке.

Уведомлять Роскомнадзор не обязательно, если ПД обрабатывают для:

• оформления разового пропуска на территорию предприятия;
• исполнения предписаний ТК — только если информацию используют внутри предприятия и не передают в иные организации, например банки;
• заключения договоров с сотрудниками и клиентами без передачи информации третьим лицам;
• работы с данными только на бумажных носителях;
• использования ПД участников в одной общественной или религиозной организации.

Перед подачей уведомления оповестите персонал, оборудуйте помещение и компьютеры средствами защиты информации, подготовьте документацию.

Обязательные документы и шаблоны

В список необходимых документов входят:

• Политика конфиденциальности. Регламентирует работу со всей конфиденциальной информацией — деловой перепиской, договорами, внутренней документацией.
• Правила работы с персональными данными. Их часто объединяют с политикой конфиденциальности — это не противоречит закону.
• Согласие на обработку персональных данных. Форма для заполнения клиентом. Она содержит наименования (ФИО) и адреса оператора или действующего по его поручению лица, а также данные субъекта ПД. Обязательно указывают цель сбора информации и методы ее обработки, срок действия согласия, способы его отзыва.
• Обязательство о неразглашении ПД. Это документ, подписанный всеми сотрудниками, которые имеют доступ к конфиденциальной информации о клиентах.
• Приказ о назначении ответственного за работу с ПД. Этот внутренний документ часто требуют представители Роскомнадзора при проверках. Ответственным обычно назначают специалиста из отдела IT или службы безопасности.

Документы разрабатывают с участием юрисконсульта. Шаблон формы согласия клиента и рекомендации по составлению правил работы с ПД доступны на сайте Роскомнадзора.

Бизнес

Читайте также:

Правила написания и оформления деловых писем

Правила написания и оформления деловых писем

Чем грозит нарушение закона

Любое нарушение правил использования персональных данных — это огромный риск для компании. Виды ответственности:

• Административная — статья 13.11 КоАП РФ «Нарушение законодательства в области ПД».
• Уголовная — статьи 137, 140, 272 УК РФ.
• Гражданско-правовая — статьи 15, 151 ГК РФ.
• Дисциплинарная — статьи 90, 81 ТК РФ.

Наказание зависит от обстоятельств нарушения и тяжести последствий. Возможные санкции:

• предупреждение;
• штрафы до 300 тысяч рублей, по административным статьям — до 75 тысяч рублей;
• арест до шести месяцев;
• исправительные работы до одного года;
• принудительные работы до пяти лет;
• лишение свободы до пяти лет.

Дополнительно суд обязывает возместить пострадавшему материальные убытки и компенсировать моральный вред. По месту работы применяют замечание, выговор или увольнение.

Коротко о главном

• Персональные данные — это конфиденциальная информация, которая идентифицирует конкретного человека (субъекта ПД). 
• Оператор персональных данных собирает, обрабатывает и обеспечивает защиту информации.
• Перед обработкой персональных данных нужно уведомить Роскомнадзор о своем намерении.
• Правила обработки ПД регламентируются законодательством (ГК, ТК, УК, КоАП). Нарушения влекут правовую ответственность вплоть до уголовного преследования.