В этой статье мы расскажем, что такое персональные данные, на какие категории они делятся и как правильно работать с персональными данными.
- Что такое персональные данные
- Категории персональных данных
- Субъект и оператор персональных данных
- Какие персональные данные нельзя разглашать
- Как оператору работать с персональными данными
Что такое персональные данные
Согласно закону № 152-ФЗ «О персональных данных», персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Другими словами, персональные данные — это информация, по которой можно идентифицировать человека. К персональным данным можно отнести:
- ФИО,
- дату рождения,
- адрес проживания,
- номер телефона,
- электронную почту,
- паспортные данные,
- СНИЛС,
- ИНН,
- ссылки на аккаунты в соцсетях,
- файлы cookie,
- отпечаток пальца,
- фотографию,
- голос,
- информацию о состоянии здоровья и так далее.
В законе не прописан полный перечень того, что относится к персональным данным. Дело в том, что в совокупности данные из списка считаются персональными, а по отдельности — не всегда. Например, ФИО без указания дополнительной информации не относится к персональным данным — людей с одинаковыми именами может быть множество. Но если указаны номер телефона и ФИО, то это уже персональные данные, ведь по ним можно опознать человека.
Категории персональных данных
Персональные данные делятся на 4 категории:
1. Общие.
2. Специальные.
3. Биометрические.
4. Иные.
Общие данные
К этой категории относится ключевая информация о субъекте персональных данных:
- ФИО,
- адрес регистрации,
- дата рождения,
- email,
- номер телефона,
- семейное положение,
- место работы или учебы и так далее.
Как правило, эти данные известны другим людям, например, друзьям или родственникам. Также они могут быть опубликованы в общедоступных местах.
Специальные данные
К специальным данным относится информация о личности человека, например:
- религиозные предпочтения,
- политические взгляды,
- информация о состоянии здоровья,
- подробности личной жизни,
- информация о судимостях.
Как правило, это конфиденциальная информация. Узнать эти данные можно от человека лично или по официальному запросу.
Биометрические данные
К биометрическим данным относятся физиологические или биологические особенности человека, благодаря которым можно установить его личность, например:
- отпечатки пальцев,
- ДНК,
- голос,
- радужная оболочка глаза,
- фотография.
Эти данные считаются биометрическими только в том случае, если они используются для идентификации личности. К примеру, если фотография используется системой распознавания лиц, то это считается биометрическими данными. Но если вы просто сделаете фотографию человека для личного дела или портфолио, то эти данные не будут считаться биометрическими.
Иные данные
К этой категории ПД относится всё, что не попадает под другие категории. К примеру, это может быть стаж работы, информация об отпусках или данные о принадлежности к определенной социальной группе.
Субъект и оператор персональных данных
В федеральном законе № 152 «О персональных данных» упоминаются 2 понятия — субъект и оператор персональных данных. Ниже мы расскажем, кто это такие.
Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Другими словами, оператор персональных данных — это человек или компания, которая занимается обработкой персональных данных.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор персональных данных несет ответственность в случае нарушения закона о защите персональных данных.
Субъект персональных данных — это любой человек, данные которого обрабатывает оператор персональных данных. К примеру, если вы зарегистрировались на сайте, то вы являетесь субъектом персональных данных, а владелец сайта — оператором.
Какие персональные данные нельзя разглашать
Согласно ФЗ-152, распространение персональных данных без согласия субъекта запрещено.
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Как оператору работать с персональными данными
Расскажем, как оператору правильно обрабатывать персональные данные, чтобы не нарушить законодательство и не получить штраф.
Сбор персональных данных
Если на вашем сайте или в приложении есть возможность зарегистрировать личный кабинет, подписаться на рассылку, заказать товар, оставить заявку или комментарии, то вы собираете персональные данные.
Согласно 152-ФЗ, обрабатывать персональные данные можно только с согласия пользователя, кроме исключений, указанных в статье 6. Поэтому необходимо получить у пользователя согласие на обработку персональных данных. Для этого нужно разместить уведомление об обработке персональных данных — добавить под каждой формой сбора данных чекбокс с текстом: «Даю согласие на обработку персональных данных в соответствии с политикой конфиденциальности». Если пользователь не поставит галочку, то дальнейшее использование ресурса будет невозможно. Если пользователь дал согласие на обработку, но затем передумал, он должен подать заявление на отзыв согласия на обработку персональных данных.
Кроме того, владельцы сайтов обязаны информировать своих посетителей о сборе cookies и получать их согласие. Для соблюдения этого требования они могут либо создать баннер с кнопкой«Я согласен», либо вывести предупреждающее сообщение с текстом: «Этот сайт использует файлы cookie. Продолжая пользоваться сайтом, вы соглашаетесь на обработку этих файлов». Также необходимо включить в текст ссылку на политику конфиденциальности. Если пользователь не желает, чтобы его данные обрабатывались, ему следует покинуть сайт.
Обработка персональных данных
Обработка данных включает в себя:
- сбор,
- запись,
- передачу,
- запись,
- хранение,
- извлечение,
- изменение,
- анализ,
- удаление,
- обезличивание персональных данных.
Существует несколько видов обработки данных:
- Автоматизированная — выполняется автоматически с помощью средств вычислительной техники.
- Смешанная — выполняется человеком при помощи средств вычислительной техники. Например, когда данные с бумажных носителей переносятся в цифровой формат.
- Неавтоматизированная — выполняется на бумажном носителе.
Обработка персональных данных должна выполняться с согласия субъекта. Цель обработки должна быть четко определена. Исходя из целей, можно обрабатывать только определенный набор данных, и не более того. Например, если цель обработки данных — email-рассылка, то вам понадобится ФИО и почтовый адрес. Такие данные, как номера паспортов и ИНН, не нужны для рассылки.
Хранение персональных данных
Существует ряд требований закона 152-ФЗ к хранению данных:
- данные нужно хранить столько, сколько необходимо для достижения цели обработки,
- данные должны храниться таким образом, чтобы можно было идентифицировать субъекта, но не дольше, чем это необходимо для целей обработки,
- если данные неточные или их не хватает, оператор должен уточнить их или удалить,
- нельзя объединять базы данных с информацией, собранной для разных целей,
- после достижения целей обработки данные должны быть удалены или обезличены,
- если вы передаете персональные данные в другую страну, необходимо убедиться, что там обеспечена достаточная защита информации и что субъект дал свое отдельное согласие (если страна не входит в список стран, обеспечивающих адекватную защиту прав субъектов персональных данных).
Субъект в любое время может запросить у оператора информацию о своих персональных данных, включая цель обработки, тип и состав данных. Кроме того, если информация устарела или неверна, субъект может потребовать ее обновления.
Защита персональных данных
Оператор несет ответственность за все, что происходит с персональными данными, даже если к обработке привлечены сторонние лица. Например, если организация собрала базу со скан-копиями паспортов клиентов и данные попали в руки мошенников, то ответственность лежит на этой организации. Поэтому информационные системы персональных данных должны быть защищены в соответствии с уровнем защищенности обрабатываемых данных. Уровни защищенности определены в постановлении Правительства № 1119.
Оператор должен самостоятельно определить уровень защищенности и настроить свою ИТ-инфраструктуру в соответствии с требованиями. Для определения уровня защищенности можно использовать таблицу:
Оператор персональных данных должен подать уведомление в Роскомнадзор, чтобы его внесли в реестр операторов персональных данных. Это можно сделать через специальную форму. В заявке необходимо указать где и какие персональные данные вы будете хранить, а также описать меры, предпринятые для защиты данных.
Уведомление можно не подавать только в следующих случаях:
- если данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка,
- если оператор обрабатывает персональные данные без использования средств автоматизации (на материальных носителях),
- если данные обрабатываются в рамках исполнения законодательства Российской Федерации о транспортной безопасности.
Оформление документов
Для обработки персональных данных необходимо составить перечень документов:
1. Политика конфиденциальности — общедоступный документ, в котором описано то, какие данные вы собираете, с какой целью, как они хранятся, обрабатываются и кому передаются.
2. Модель угроз безопасности информации — документ с описанием угроз, актуальных для информационной системы.
3. Приказ о назначении ответственного за обеспечение безопасности персональных данных — документ о назначении сотрудника, который будет нести ответственность за безопасность данных.
4. Приказ о назначении ответственного за организацию обработки персональных данных — документ о назначении сотрудника, который будет нести ответственность за обработку данных и соблюдение прав субъектов.
5. Акт оценки вреда субъектам персональных данных — документ, в котором оценивается нанесенный субъектам вред в случае нарушения закона о защите персональных данных.
Полный перечень необходимых документов вы можете посмотреть по ссылке.
Роскомнадзор проверяет, собирают ли сайты персональные данные и зарегистрированы ли их владельцы как операторы персональных данных. За нарушения ФЗ-152 накладывается штраф в соответствии со статьей 13.11 КоАП РФ.