Персональные данные: подробное руководство и шаблоны документов

В случае утечки персональных данных репутация и деятельность компании могут сильно пострадать, поэтому ответственный предприниматель всячески их оберегает с самого начала работы. Обращение с конфиденциальной информацией регламентирует законодательство. 

Рассказываем, что такое обработка персональных данных, как собирать информацию без риска наложения санкций надзорными органами, и какую ответственность влечет нарушение правил.

Что такое персональные данные

Персональные данные (ПД) – уникальная информация, которая позволяет идентифицировать личность каждого клиента. К ним относятся:

• фамилия, имя, отчество;
• страна, город;
• дата рождения;
• фотографическое и/или видеоизображение человека;
• адрес проживания;
• телефонный номер;
• электронный адрес;
• сведения об образовании, трудовом стаже, текущей занятости и доходах;
• информация о семейном положении, составе семьи (включая подробные сведения о ее членах);
• национальная (расовая) принадлежность;
• информация о религиозных, политических и других убеждениях гражданина;
• данные о состоянии здоровья;
• документальная информация (серия и номер общегражданского и заграничного паспортов, отметки о пересечении государственной границы, СНИЛС);
• любые сведения, способствующие идентификации пользователей интернет-ресурсов.

Согласно №152-ФЗ «О персональных данных», под персональными сведениями подразумевают информацию, привязанную к фамилии, имени, отчеству (а также адресу, телефонному номеру) частного лица. Обезличенные данные – без подобной привязки – не относят к персональным.

Типы ПД

Личностные сведения классифицируют по содержанию, уровню секретности, методам обработки. Выделяют четыре основные категории такой информации – общую, специальную, биометрическую, иную.

Общие ПД

Это базовые сведения о гражданах (субъектах персональных данных), большая часть которых отражена в паспорте. Их используют при устройстве на работу, прохождении учебы, армейской службы и вносят в соответствующие документы – военный билет, диплом об образовании, трудовую книжку, личную карточку сотрудника.

Для получения и использования ПД общего характера не требуется письменное разрешение частного лица – достаточно «галочки» в графе обычной или онлайн-анкеты. Общедоступными личные сведения делает именно такая форма согласия.

Специальные ПД

Специальные данные включают закрытую информацию о частном лице:

• национальность;
• политические убеждения;
• вероисповедание;
• состояние здоровья;
• сексуальные предпочтения.

Распространение таких сведений может нанести человеку существенный ущерб, поэтому большинство из них обрабатывают лишь с его письменного разрешения. Еще жестче ограничения на использование информации о судимости – обработку ПД в этом случае осуществляют на основании закона (вне зависимости от согласия гражданина).

Биометрические ПД

Биометрическая информация включает биологические характеристики человека:

• внешний облик – рост, вес, цвет глаз, волос;
• голос;
• отпечатки пальцев (дактилоскопические данные);
• ДНК-анализ биологического материала (потожировых следов, слюны);
• группу и резус-фактор крови.

Простейшие методы сбора такой информации – фото-, аудио- и видеозапись. 

Биометрические ПД хранят с целью идентификации. Например, в банке сотрудник фотографирует клиента для возможности распознавания системой безопасности, например, в случае утери карты.

Для определения биологических характеристик применяют лабораторные исследования биоматериалов.

Речевая аналитика Calltouch – система распознавания речи. С ее помощью вы узнаете пол, тип обращения клиента и получите текстовую расшифровку. Это значимая часть исследования целевой аудитории и определения качества работы сотрудников клиентского сервиса – вы поймете, какие звонки приводят к продажам. В процессе вы можете корректировать скрипты продаж и рекламную стратегию и в результате – увеличить приток покупателей.

Технология
речевой аналитики
Calltouch Predict

• Автотегирование звонков
• Текстовая расшифровка записей разговоров

Узнать подробнее

Иные ПД

К иным относят ПД, не попадающие в другие категории. Это дополнительные черты информационного портрета человека: социальный статус, трудовой стаж, размер заработной платы, отпускные периоды. Большая часть подобных сведений может меняться.

Бизнес

Читайте также:

Самые популярные языки программирования в 2021 году

Самые популярные языки программирования в 2021 году

Оператор и субъект персональных данных – кто есть кто

Субъект персональных данных – конкретный человек, личность которого указанная информация помогает идентифицировать. 

Оператор – лицо, занимающееся обработкой ПД. Им могут быть:

• организация – государственная, общественная, коммерческая;
• частный предприниматель;
• физическое лицо – например, владелец сайта, использующий ПД посетителей ресурса для оценки активности, рассылки, анализа половозрастной структуры пользователей и просто хранящий эти сведения.

Отсутствие такой организации или частного лица в соответствующем реестре Роскомнадзора, которое дает им право осуществлять обработку ПД, не освобождает от административной и уголовной ответственности.

Защитите компанию от сомнительных обращений. Недобросовестные подрядчики могут накручивать звонки и вводить вас в заблуждение. Чтобы контролировать лидогенерацию, подключите Антифрод от Calltouch. Он отсечет спам, нецелевые обращения и предоставит данные об активности клиентов. Так вы оптимизируете расходы на рекламу и оставите только прибыльные площадки, которые обеспечивают целевой трафик.

Антифрод

Автоматически выявляет некачественные звонки, которые не приводят к продажам, а просто расходуют бюджет.

• Выявляет и тегирует сомнительные звонки от недобросовестных рекламных подрядчиков или спам
• Позволяет учитывать в отчетах только качественные обращения
• Упрощает контроль подрядчиков

Узнать подробнее

Как получить согласие на обработку персональных данных

Обработка ПД – любые действия с личной информацией о человеке:

• получение (сбор персональных данных);
• структуризация;
• хранение на любых носителях (в электронных и бумажных архивах);
• анализ;
• использование в коммерческой, социальной, государственной деятельности;
• передача другим владельцам или предоставление доступа к базе;
• обезличивание – устранение очевидной связи между человеком и его ПД;
• блокировка – временная остановка работы с информацией по запросу граждан или регулятора;
•  удаление и обновление;
• ликвидация без возможности восстановления.

Обработка персональных данных проводится только с разрешения их владельца. Чтобы получить согласие субъекта и соблюсти закон, нужно:

1. Уведомить Роскомнадзор о своих планах начать обработку персональных данных (за исключением ряда случаев, о которых мы расскажем ниже).
2.  Составить текст соглашения и разместить его в общем доступе на сайте или бумажном бланке, снабдив чекбоксом для отметки о разрешении клиента на обработку ПД.
3. Предупредить посетителей интернет-ресурса о сборе cookie и иных метаданных (местоположения, IP-адреса) для его полноценной работы. Предупреждение обычно оформляют в виде всплывающего окна с предложением согласиться на обработку или покинуть сайт.
4. Разместить на сайте ссылку на документ, отражающий политику конфиденциальности компании или правила работы с ПД.

Устное разрешение на обработку персональных данных не допускается. Нельзя получить его и по умолчанию. Например, то, что клиент совершил покупку на сайте, не говорит о его согласии на обработку ПД.

Для сбора биометрической информации предусматривают техническую возможность письменного разрешения – чекбокс в этом случае не подойдет.

Когда согласие не нужно

В разрешении на обработку ПД нет необходимости, если их субъект:

1. Является участником договора.
2. Подвергается судебному разбирательству.
3. Не может физически предоставить согласие в экстренных ситуациях (например, находится без сознания).

Также не нужно получать согласие на обработку информации, которая не попадает в перечень исключений или не относится к ПД, например:

• сведения, собранные для личных нужд человека – списки телефонных и почтовых контактов, визитные карточки, профили друзей в соцсетях;
• фото или видео с общественных мероприятий или полученные на платной основе;
• ИНН без привязки к другой информации;
• государственные номера транспортных средств.
• данные для проведения научных исследований, творческой деятельности, не нарушающие прав и интересов граждан;
• информация, предназначенная для передачи только внутри компании (группы компаний)

Закон не дает исчерпывающего определения ПД, поэтому при сборе любой информации о клиенте лучше заручиться его согласием. Это поможет избежать взысканий.

Обязательства оператора по защите персональных данных

Оператор персональных данных обязан:

• не раскрывать информацию третьим лицам, не распространять ее без согласия субъекта персональных данных, не допускать утечки;
• изменять или удалять сведения по требованию субъекта персональных данных;
• размещать и хранить архив с информацией на российских серверах.

Для защиты ПД применяют организационные меры и технические средства – противовирусное программное обеспечение, программно-аппаратные комплексы межсетевого экранирования, разграничение прав доступа. Чтобы понять, где и как хранить ПД, обратитесь в Минкомсвязи или Роскомнадзор. Оптимальное готовое решение может предложить и хостинг-провайдер.

При низком уровне защиты личная информация граждан может попасть в руки преступников – воров, мошенников, шантажистов. Оператор за халатное отношение к своим обязанностям будет отвечать перед законом.

Уведомление в Роскомнадзор

Чтобы уведомить Роскомнадзор о намерении вести деятельность по обработке персональных данных, заполните электронную форму на сайте ведомства или портале «Госуслуги». Заполненный и распечатанный документ можно отправить в бумажном виде – почтой по адресу местного отделения Роскомнадзора. Сведения об организации или частном лице будут добавлены в реестр в течение месяца.

Отправлять уведомление в регулирующий орган не обязательно, если обработка ПД применяется в следующих случаях:

• оформление разового пропуска на территорию предприятия;
• исполнение предписаний трудового законодательства при условии только внутреннего использования информации (без передачи в иные организации, например, банки);
• заключение договоров с сотрудниками и клиентами без передачи информации третьим лицам;
• работа с информацией только на бумажных носителях;
• использование ПД участников в рамках одной общественной или религиозной организации.

Перед подачей уведомления нужно оповестить персонал, оснастить помещение и вычислительную технику средствами защиты информации, подготовить необходимую документацию.

Обязательные документы

В список необходимых документов входят:

1. Политика конфиденциальности – документ, регламентирующий работу со всей информацией, требующей защиты (деловой перепиской, договорами, внутренней документацией).
2. Правила работы с персональными данными – частный случай политики конфиденциальности, касающийся только ПД. Нередко первый и второй документы объединяют в один, это не противоречит закону.
3. Согласие на обработку персональных данных – форма для заполнения клиентом. Она содержит наименования (ФИО) и адреса оператора (или лица, действующего по его поручению) и субъекта ПД. Также в ней представлен перечень персональных данных и методов их обработки, на которые клиент дает согласие. Обязательно указывают цель сбора информации, срок действия согласия, способы его отзыва.
4. Обязательство о неразглашении ПД – документ, подписанный всеми сотрудниками, имеющими доступ к конфиденциальной информации о клиентах.
5. Приказ о назначении ответственного за работу с ПД – внутренний документ, который часто требуют представители Роскомнадзора при проверках. Ответственным чаще всего назначают специалиста из отдела IT или службы безопасности.

Документы разрабатывают индивидуально, с участием юрисконсульта. Шаблон формы согласия клиента и рекомендации по составлению Правил доступны на сайте Роскомнадзора. За отсутствие обязательной документации при проверке, контролирующие органы (Роскомнадзор, ФСТЭК, ФСБ России) могут взыскать штраф.

Бизнес

Читайте также:

Как организовать продажу товаров за границу из России: инструкция, рекомендации

Как организовать продажу товаров за границу из России: инструкция, рекомендации

Чем грозит нарушение закона

Нарушение правил использования персональных данных для физических лиц и владельцев бизнеса влечет следующие виды ответственности:

1.  Административная – статья 13.11 КоАП РФ «Нарушение законодательства в области ПД».
2.  Уголовная – статьи 137, 140, 272 УК РФ.
3. Гражданско-правовая – статьи 15, 151 ГК РФ.
4. Дисциплинарная – статьи 90, 81 ТК РФ.

В зависимости от обстоятельств нарушения и тяжести последствий, законодательство предусматривает следующие санкции:

• предупреждение;
• штрафы до 300 тысяч рублей (по административным статьям – до 75 тысяч рублей);
• арест на срок до шести месяцев;
• исправительные работы – до одного года;
• принудительные работы – до пяти лет;
• лишение свободы – до пяти лет.

Дополнительно суд обязывает правонарушителя возместить пострадавшей стороне материальные убытки и компенсировать моральный вред. В качестве дисциплинарных мер по месту работы применяют замечание, выговор или увольнение.

Коротко о главном

• Персональные данные – конфиденциальная информация, которая идентифицирует конкретного человека (субъекта ПД). 
• Оператор персональных данных – юридическое или физическое лицо, которое осуществляет их сбор, обработку и хранение. Он обязан обеспечить надежную защиту информации. 
• Правила обработки ПД регламентируются законодательством (ГК, ТК, УК, КоАП). Нарушения влекут правовую ответственность – вплоть до уголовного преследования.