Персональные данные: подробная инструкция для бизнеса
09.09.2024
9 сентября 2024
221
Автор
Алена Ильинская
Закон строго запрещает использовать личные данные без согласия человека. Нельзя собирать, использовать или как-либо обрабатывать их без разрешения. Но что считается личными данными, а что можно использовать без разрешения? В этой статье мы расскажем, какая информация о человеке считается конфиденциальной, какие штрафы предусмотрены за незаконное использование таких данных, и когда их используют без согласия человека.
По определению закона №152-ФЗ, персональные данные (ПД) — это сведения о конкретном человеке, которые помогают его идентифицировать. Закон не дает точного списка, что считать ПД, так как правила взяты из Европейской конвенции по защите персональных данных.
Персональные данные включают полное имя, контакты, адрес, паспорт и СНИЛС, банковский счет, семейное положение, место работы и учебы, медицинскую информацию. Это все, что говорит о личности, образе жизни и поведении человека.
Некоторые данные (например, серия и номер паспорта) сами по себе не персональные, а другие становятся такими только в сочетании с другой информацией. Например, место работы не ПД само по себе, но вместе с именем сотрудника оно позволяет узнать конкретного человека.
Таблица покажет распространенные примеры использования данных.
Данные
Являются ли персональными
Почему
ФИО на листке бумаги
Нет
Обладателей имени «Иванов Иван Иванович» много. Для определения личности этого недостаточно.
ФИО на обложке школьной тетради
Да
Если указано, что тетрадь принадлежит Ивану Иванову, ученику 5 «В» школы №23, то это уже позволяет делать выводы о конкретной личности.
ИНН
Да
Двух одинаковых ИНН нет.
Адрес на конверте
Нет
По одному адресу может проживать несколько человек.
Адрес и ФИО на конверте
Да
Человека можно идентифицировать — Иванов Иван, проживающий на ул. Солнечная, 45-121.
Данные анонимного опроса о составе семьи
Нет
Хотя человек может предоставить полные сведения о своей семье (состав, возраст детей, срок брака и т.д.), если там не будет прямого указания на личность, то они не будут персональными.
Номер банковского счета
Да
Счет принадлежит конкретной личности, и банк хранит ее паспортные данные.
Субъекты и операторы персональных данных
Человек (физлицо), к которому относятся ПД, называется субъектом. Тот, кто их обрабатывает выступает в роли оператора. В роли оператора выступает человек, организация или государственный орган.
Например, если указать на сайте контакты организации — это не будет персональными данными, так как компания — это юрлицо. Но если написать, что это личные контакты генерального директора, то информация уже будет персональной.
Человек, которому принадлежат ПД, может:
Узнать, как, когда и на основании каких законов его данные будут обрабатываться.
Запретить использовать ПД.
Оспорить сбор ПД, если они собраны с помощью специальных программ (например, при использовании программ-парсеров).
Пожаловаться на незаконные действия с данными.
Что такое обработка ПД
Неважно, запишете ли вы телефон и ФИО сотрудника на бумаге или укажете на сайте — это обработка
Это действия, чтобы собрать, структурировать, переработать, сохранить, передать, уничтожить информацию или использовать ее в своих целях. Для любых манипуляций с этими сведениями нужно согласие человека.
Данные фиксируют на бумаге или в электронном виде.
Что такое согласие на обработку ПД?
Перед тем, как использовать ПД — например, заносить сведения о новом сотруднике в CRM — нужно, чтобы он заполнил и подписал документ согласия.
третьи лица, которые тоже получат доступ (если они будут);
подпись того, кто дает разрешение.
Если информация нужна для рекламы, это указывают отдельно.
На сайте интернет-магазина галочка, поставленная пользователем напротив утверждения о согласии, считается подтверждающей подписью. Также магазин размещает Политику об обработке персональных данных.
Закон разрешает обработку ПД без согласия в ситуациях:
Это нужно по международному договору России;
Закон требует отправить ПД другим органам — например, сведения сотрудников компании нужны в налоговой;
Владелец данных фигурирует в судопроизводстве;
Он пользуется государственными услугами;
Владелец информации — выгодоприобретатель в договоре;
Жизнь и здоровья человека под угрозой;
Для защиты интересов другой личности, но при этом обработка данных не повлияет на их хозяина;
Для работы в сфере науки, творчества, журналистики;
Для обезличенной статистики;
Для улучшений в госуправлении;
ПД нужно обязательно раскрывать по закону (например, доходы чиновников).
Ситуация
Требуется ли согласие
Пояснение
Человек получает полис ОМС
Нет
Обязательное медстрахование — это муниципальные услуги
Человек отвечает на вопросы анонимного опроса
Нет
Данные будут обезличены и использованы для расчета статистики
Журналист запрашивает доступ в городской архив
Нет
Данные нужны для журналистской деятельности
Человек хочет узнать в ЗАГСе дату свадьбы своего знакомого
Да
Это личная информация, и без разрешения ее нельзя предоставлять
Больница запрашивает в поликлинике, к которой прикреплен пациент, его медицинскую карту — пациент без сознания, и требуется срочное оперативное вмешательство
Нет
Это нужно для сохранения жизни пациента
Больница запрашивает медкарту в поликлинике пациента — больной в сознании, срочной операции не требуется
Да
Ситуация не критична для пациента, он вполне может самостоятельно дать согласие
Это полное имя, паспортные данные, банковский счет, СНИЛС, места работы и учебы, контакты, семейное положение, зарплата и т.д.
Эти данные часто знают близкие люди, или человек сам их публикует в соцсетях.
Можно обрабатывать с согласия человека или если это нужно по закону.
Специальные
Это информация о национальности, вероисповедании, политических убеждениях, медицинских аспектах (операциях, программах лечения и т.д.). Об этом могут не знать даже близкие человеку люди.
Обработка разрешена в случаях:
нужно по медицинским показаниям (например, для проведения операции надо уточнить у пациента некоторые заболевания);
клиент страховой компании оформляет полис (медицинские данные нужны для оформления страховки жизни и здоровья);
по требованию госорганов для обеспечения безопасности.
Биометрические
Это рост, вес, фото, отпечатки пальцев, группа крови, рисунок сетчатки глаза, тембр голоса. Причем эта информация становится персональной только, если используется для идентификации. Например, если банк собирает биометрические данные клиента для последующего обслуживания — это будет считаться ПД. Но если, например, к личному делу сотрудника в организации прикреплено фото, то оно не будет относиться к ПД, так как уже известно, чья информация содержится в личном деле, а фото просто дополняет.
Можно обрабатывать без разрешения для безопасности, например, для поиска преступника в метро с помощью камер наблюдения.
Иные
К этой категории относятся ПД, которые не попадают в другие категории. Четкого определения закон не дает, поэтому, чтобы отнести информацию к этой категории, убедитесь, что она не общедоступная, специальная или биометрическая.
Например, это размер дохода, даты отпуска, номер абонемента в спортзале и т.д. То есть, это то, что легко меняется.
Иные ПД сложнее всего отличить от специальных. Специальные ПД помогают понять личность и убеждения человека, а иные сведения — это просто дополнительная информация, которая отдельно не несет никакой ценности. Например, мы ничего особенного не можем сказать о человеке, который уходил в отпуск с 19 по 29 февраля.
Что такое NDA и как его составлять мы написали в этой статье.
Формирование индивидуальных предложений. Когда вы что-то заказываете, указываете свои предпочтения, например, размер и стиль одежды. Бизнес использует эти данные, чтобы предложить вам подходящие товары. Например, вы часто покупаете спортивную форму размера S. Зайдя на сайт магазина одежды, вы увидите на главной подходящие товары. Это ускоряет покупку и увеличивает прибыль магазина.
Реклама. Бизнес собирает ваши общедоступные и иные персональные данные, чтобы использовать это для настройки рекламы. Например, в анкете на сайте вы указали, что ваш день рождения — 15 июля. За неделю до дня рождения вы можете увидеть рекламу со скидками для именинников.
Аналитика. Компании анализируют данные, чтобы понять поведение и потребности клиентов. Например, бизнес знает, что родители маленьких детей покупают чаще после 22:00, когда ребенок заснул, домашние дела сделаны. Значит, открутку рекламы ставят по графику с 22:00 до 00:00.
Защита данных. Информацию из личного кабинета или аккаунта легко украсть, если использовать для входа только логин и пароль. Чтобы избежать этого, бизнес запрашивает у пользователей дополнительные сведения — электронную почту или номер телефона. Это помогает защитить аккаунт и блокировать злоумышленников.
Обратная связь. Бизнес может попросить вас оценить услуги или добавить замечания, чтобы улучшить качество обслуживания. Дополнительно он может спросить о поле и возрасте, чтобы лучше составить статистику.
Бизнес обязан сообщить, зачем ему ваши ПД, и заручиться вашим согласием на их обработку.
Кто такой оператор персональных данных
Это физлицо, юрлицо, государственный или муниципальный орган, который занимается обработкой персональных данных, а также определяет зачем, как и когда будут проводиться манипуляции с данными.
Любая организация с сотрудниками имеет этот статус, так как она работает с данными работников.
Как оператор работает с персональными данными
Оператор должен уведомить Роскомнадзор о своих намерениях по определенной форме. Ее распечатывают, заполняют и отправляют обычной почтой или в электронном виде, подписав усиленной квалифицированной электронной подписью либо используя портал «Госуслуг».
В форме указывают название, контакты, регионы, задачи и способы обработки данных, типы данных, список субъектов, правовое основание, средства защиты и место хранения данных.
Уведомление нужно отправить в течение 10 дней с начала обработки данных. Если что-то изменится, нужно отправить обновленное уведомление.
Говоря о персональных данных, чаще всего упоминают сбор, обработку, хранение и защиту.
Сбор
Получение данных, например, заполнение анкеты в банке для кредита.
Обработка
Манипуляции с данными, в том числе удаление, обезличивание и блокирование. Занимается этим только тот, кто получил разрешение, либо эту возможность дал закон.
Хранение
Это процесс, при котором личная информация хранятся в электронном или бумажном виде, пока не будет достигнута цель обработки. Сроки прописываются в согласии об обработке ПД. Когда срок истек, нужно уничтожить хранящиеся в базе данные. Например: личное дело сотрудника хранится до увольнения, а после — уничтожается.
В уведомлении Роскомнадзора подробно расписывают, как будут храниться полученные данные, и какая защита для их безопасности будет использована.
Защита
Это меры для предотвращения утечек данных и защиты от посторонних. Правила о защите ПД написаны в Постановлении правительства №1119:
Нужно обеспечить доступ к данным только тем, кто имеет на это право — с помощью электронной аутентификации, выдачи персонализированных пропусков в хранилище и т.д.
Если данные хранятся в электронном виде, то на сервере установливают противовирусное и противофишинговое ПО — используют только сертифицированное ФСТЭК.
Хранить биометрические данные можно в составе информационной системы персональных данных (ИСПД) или на других носителях, но при условии использования технологий для запрета неправомерного доступа.
Также среди операций по обработке данных выделяют:
Извлечение ПД — процесс перевода неструктурированных или закодированных автоматически данных в удобочитаемый формат.
Изменение ПД — добавление, удаление или корректировка без изменения состава ПД и особы, которой они принадлежат.
Обезличивание ПД — сокрытие сведений в блоке ПД, которые прямо указывают на личность.
Анализ ПД — выводы, которые делаются после изучения ПД. При этом выводы касаются как хозяина ПД, так и социальной, демографической или иной группы, к которой он принадлежит.
Удаление ПД — изъятие ПД из информационной системы или любого другого носителя. Следует отличать удаление от уничтожения — при удалении персональные данные продолжают существовать, и их можно восстановить. При уничтожении сведения прекращают существование и не восстанавливаются. Например, если личное дело работника после увольнения было перемещено в архив — то это удаление ПД из актуальной базы. А если оно было стерто со всех носителей, а бумажные документы — отправлены в шредер, говорят об уничтожении ПД.
Какие документы готовит оператор для субъекта ПД
Оператор предоставляет документы, объясняющие правила обработки данных. Роскомнадзор составил примерный список, но он может меняться, в зависимости от нужд организации:
Приказ, который назначает ответственного за обработку ПД;
Политика обработки данных;
Документы, подтверждающие наличие защиты ПД;
Документы, где описаны категории ПД, способы и порядок их обработки;
Формы документов, в которых требуются личные сведения;
Список людей, которым разрешен доступ к конфиденциальной информации;
Информация об используемой ИСПД.
Какие условия обязан соблюдать оператор
По просьбе владельца данных нужно:
Ответственность за неправомерный доступ к данным – на операторе.
Предоставить информацию об имеющихся персональных данных, внести в них изменения, уничтожить или заблокировать, если человек докажет, что данные устарели, некорректны или не нужны.
Если невозможно предоставить информацию о ПД владельцу данных, объяснить причину согласно закону.
Если хозяин данных отказался предоставить свои ПД, объяснить, что за это будет.
Если обрабатывают ПД в электронном виде, используют только базы данных на территории России. Политику о персональных данных и сведения об их защите публикуют в свободном доступе. Можно поручить обработку ПД третьему лицу, если получить согласие, подтвержденное подписью.
В каких случаях можно обойтись без регистрации в Роскомнадзоре
Есть ситуации, когда Роскомнадзор не нужно уведомлять о ПД:
Сведения обрабатывают без использования автоматизированных сервисов (то есть, вручную).
Данные нужны для заключения трудовых отношений между сотрудником и работодателем.
Договор заключается между юрлицом и физлицом, и данные физлица не будут передаваться кому-то еще.
Сведения собирает общественная или религиозная организация.
Обрабатывается информация, которую сам владелец сделал общедоступной (например, информация в профиле соцсети).
Данные вносятся в государственную информационную систему (например, «Госуслуги»).
Сведения собирает транспортная компания для обеспечения безопасности и надлежащего функционирования.
Данные нужны для одноразового пропуска.
В качестве ПД выступают только ФИО.
Ответственность оператора за нарушение
Если не подать уведомление об обработке данных в Роскомнадзор, то за непредоставление сведений предусмотрен штраф:
для физлиц — от 100 ₽ до 300 ₽;
для должностных лиц — от 300 ₽ до 500 ₽;
для юрлиц — от 3 000 ₽ до 5 000 ₽.
Если обрабатывать ПД без согласия, то за это будет штраф:
для физлиц — от 10 тыс до 15 тыс ₽;
для ИП и представителей юрлиц — от 100 тыс до 300 тыс ₽;
для юрлиц — от 300 тыс до 700 тыс ₽.
За повторное нарушение штрафы будут выше — вплоть до 1,5 млн ₽ для юрлиц.
Популярные вопросы
Ответим на частые вопросы, которые касаются обработки ПД
Можно ли не давать согласие на обработку ПД?
Да, согласие на обработку персональных данных — это право, а не обязанность. Обязанностью оно станет, если предоставление ПД потребует закон или это вопрос жизни и смерти.
Могут ли не продать товар, не оказать услугу, не выполнить работы, если субъект не дает согласие на обработку ПД?
Это спорный вопрос, но в большинстве случаев доказывают, что несогласие с предоставлением ПД не повод не оказывать услугу, не продавать товары, не выполнять работы и т.д. Например:
Магазины, которые работают на основании публичной оферты, могут оказывать услуги и без предоставления согласия на обработку ПД, потому что хозяин информации в данном случае выгодоприобретатель и не обязан предоставлять сведения.
Госорганы имеют право обрабатывать ПД без согласия и, значит, не могут отказать в услугах, если у них нет нужных данных;
Организациям, где есть пропускной режим, не нужно согласие на обработку ПД, так как они обеспечивают безопасность предприятия.
Может ли оператор передать ПД другим лицам
Да, может, если это прописано в согласии на обработку ПД, и человек поставил там подпись. Список лиц, которые тоже будут участвовать в обработке ПД, должен быть составлен заранее.
Также передача ПД разрешена, если это предусмотрено законом. Например, организация может передать видеозапись со своих камер, если это поспособствует раскрытию преступления.
Почему организация требует оформить согласие на обработку ПД?
Организация требует сведения, если, например:
не знает о действующих законах и исключениях из них;
хочет использовать данные в других целях, о которых не говорит прямо (например, рекламных);
хочет убедиться в том, что точно не будет проблем из-за несоблюдения закона.
Законно ли направление рекламы без согласия субъекта?
Если человек не дал прямого согласия на отправку рекламных сообщений, это незаконно. Чтобы отправлять рекламу, получают дополнительное согласие:
на получение промо-материалов;
на обработку ПД в целях рекламы и продвижения продуктов.
Часто владельцы сайтов получают такие согласия за счет невнимательности пользователей — например, заранее проставляют в форме для отправки данных галочку рядом с пунктом «Согласен на использование ПД в рекламных целях и получение рассылки». Пользователь не обращает на это внимания, отправляет сведения и «соглашается» с обработкой ПД для рекламы. Поэтому нужно внимательно следить за тем, какие пункты указаны в формах обратной связи на сайте.
Не рискуйте безопасностью! Проверьте соответствие своих бумаг —наши эксперты помогут: проведут аудит или разработку необходимого пакета документов.