Что относится к персональным данным?
Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу (субъекту персональных данных), и позволяющая его определить:
ФИО;
место, дата рождения, место постоянной или временной регистрации;
фотография или видеозапись человека, которые могут его идентифицировать;
сведения о детях, родственниках, семейном положении;
сведения о заработной плате;
оценка навыков, личностных качеств;
индивидуальные личные данные (раса, национальность, политические или религиозные взгляды, философские убеждения; состояние здоровья);
информация о судимостях или их отсутствии;
номер телефона, адрес электронной почты, иные идентификаторы в социальных сетях или мессенджерах;
паспортные данные, СНИЛС, ИНН;
биометрические данные.
Некоторые из этих данных, сами по себе, без связки с другими данными, персональными являться не будут.
Например, номер телефона сам по себе не является персональными данными, но вместе с указанием ФИО владельца — является.
Адрес электронной почты в формате ivanov_ivan_1977@mail.ru тоже относится к персональным данным, как и ФИО с привязкой к ИНН, номеру телефона или месту регистрации.
Классификация персональных данных
Персональные данные подразделяют на:
Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.
Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни, судимостях.
Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.
Иные — к ним относится все остальные данные: электронная почта или геолокация, информация о принадлежности к определенной социальной группе, стаж работы и пр.
Определяемся с понятиями
Оператор персональных данных — лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием или без автоматизированных средств:
Сбор;
Запись;
Систематизация;
Накопление;
Хранение;
Уточнение (обновление, изменение);
Использование;
Передача (распространение, предоставление, доступ);
Обезличивание;
Блокирование;
Удаление;
Уничтожение.
В свою очередь, обработка может осуществляться тремя путями:
Автоматизированная — с помощью средств вычислительной техники. Это компьютеры, телефоны и другие электронные устройства, базы данных, криптографические средства защиты, программы, скрипты и т.д.
Смешанная — обработка человеком при участии средств вычислительной техники. Например, когда бухгалтер вбивает в программу данные из бумажного носителя.
Неавтоматизированная — без использования средств вычислительной техники.
После того, как персональные данные обработаны, они отправляются на хранение в архив. Это может быть отдельное специализированное помещение, если речь о бумажных документах, или электронное хранилище (например, облачное). В любом случае нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (по закону).
Чтобы поиск не превратился в квест, необходимо правильно организовать архив — как обычный, так и электронный.
С чего начать?
Если вы еще не занимаетесь сбором и (или) обработкой персональных данных:
Подготовьте политику обработки персональных данных для сайта и форму согласия на обработку персональных данных. При подготовке обратите внимание на соответствие их содержания требованиям Федерального закона «О персональных данных» от 27.07.2006 №152-ФЗ.
Проверьте свой сайт на наличие ошибок.
Подготовьте положение об организации обработки персональных данных. Локальный акт, который поможет соблюдать основные обязанности: сроки реагирования, порядок доступа, алгоритм действий при компрометации персональных данных и др.
Чтобы собирать, хранить и обрабатывать персональные данные, нужно соблюдать требования Закона №152-ФЗ.
Краткий чек-лист:
Зарегистрироваться в Роскомнадзоре, как оператор персональных данных (обязательно не для всех, ниже вы узнаете об исключениях).
Запрашивать разрешение на сбор и обработку данных у субъектов и не собирать с них лишние данные.
Отвечать на обращения субъектов и предоставлять им всю информацию.
Собирать и хранить информацию только для достижения определенных целей, и на определенный срок.
Хранить и защищать персональные данные по закону, обеспечивать сохранность, тайну и точность данных, не передавая третьим лицам. А если передавать, то только с документальным подтверждением и только аттестованным.
Уточнять, блокировать или уничтожать персональные данные по заявлению субъектов или когда достигли целей их сбора.
Всем ли нужна регистрация в Роскомонадзор?
Кому не нужно регистрироваться как оператору персональных данных:
сбор персональных данных осуществляется для установления трудовых отношений;
персональные данные собираются для заключения договора без последующей передачи и распространения третьим лицам и для исполнения договора;
обработка персональных данных из открытого доступа;
сбор ФИО граждан без телефона и e-mail;
сбор персональных данных для однократного пропуска гражданина на территорию оператора, собирающего данные, или в аналогичных случаях;
сбор, обработка и хранение персональных данных осуществляется на бумажных носителях без использования средств автоматизации. Хранить свой бумажный архив, включая кадровые документы и персональные данные можно вне офиса. Так можно избежать их утраты и несанкционированного доступа к информации.
Во всех остальных случаях — регистрация в Роскомнадзор обязательна
Что стоит проверить, если вы уже занимаетесь сбором и/или обработкой персональных данных?
Доведение политики обработки персональных данных на вашем сайте до пользователей:
Опубликована ли на вашем сайте политика обработки ПД?
Доступен ли документ в «подвале» вашего сайта?
Соответствует ли опубликованная политика установленным законом требованиям к содержанию (п. 2 ч. 1 ст. 18.1 Закона «О персональных данных»)?
Согласие на обработку персональных данных для пользователей:
Указаны ли в форме согласия конкретные категории обрабатываемых данных?
Установлен ли срок обработки (либо порядок его определения)?
Указан ли перечень лиц, которым оператор ПД передаёт данные?
Порядок трансграничной передачи и (или) локализации персональных данных:
Фигурирует ли на сайте информация об использовании иностранных сервисов: Google Analytics, Microsoft Azure, Amazon Web Services и др.?
Если вы хотите продолжить использовать такие сервисы, уведомили ли вы Роскомнадзор о трансграничной передаче персональных данных?
Если вы храните данные на серверах, физически расположенных за пределами РФ, соблюдаются ли требования о локализации персональных данных граждан РФ?
Если данные все же «утекли»
Необходимо уведомить Роскомнадзор о компрометации персональных данных:
в течение 24 часов с момента утечки: об инциденте, о предполагаемых причинах и вреде, о мерах по устранению инцидента, контактное лицо для связи;
в течение 72 часов о результатах внутреннего расследования.
Также необходимо подготовить ответ на запросы субъектов персональных данных и Роскомнадзора — 10 рабочих дней на ответ + 5 рабочих дней при направлении мотивированного письма.
Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу (субъекту персональных данных), и позволяющая его определить:
ФИО;
место, дата рождения, место постоянной или временной регистрации;
фотография или видеозапись человека, которые могут его идентифицировать;
сведения о детях, родственниках, семейном положении;
сведения о заработной плате;
оценка навыков, личностных качеств;
индивидуальные личные данные (раса, национальность, политические или религиозные взгляды, философские убеждения; состояние здоровья);
информация о судимостях или их отсутствии;
номер телефона, адрес электронной почты, иные идентификаторы в социальных сетях или мессенджерах;
паспортные данные, СНИЛС, ИНН;
биометрические данные.
Некоторые из этих данных, сами по себе, без связки с другими данными, персональными являться не будут.
Например, номер телефона сам по себе не является персональными данными, но вместе с указанием ФИО владельца — является.
Адрес электронной почты в формате ivanov_ivan_1977@mail.ru тоже относится к персональным данным, как и ФИО с привязкой к ИНН, номеру телефона или месту регистрации.
Классификация персональных данных
Персональные данные подразделяют на:
Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.
Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни, судимостях.
Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.
Иные — к ним относится все остальные данные: электронная почта или геолокация, информация о принадлежности к определенной социальной группе, стаж работы и пр.
Определяемся с понятиями
Оператор персональных данных — лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием или без автоматизированных средств:
Сбор;
Запись;
Систематизация;
Накопление;
Хранение;
Уточнение (обновление, изменение);
Использование;
Передача (распространение, предоставление, доступ);
Обезличивание;
Блокирование;
Удаление;
Уничтожение.
В свою очередь, обработка может осуществляться тремя путями:
Автоматизированная — с помощью средств вычислительной техники. Это компьютеры, телефоны и другие электронные устройства, базы данных, криптографические средства защиты, программы, скрипты и т.д.
Смешанная — обработка человеком при участии средств вычислительной техники. Например, когда бухгалтер вбивает в программу данные из бумажного носителя.
Неавтоматизированная — без использования средств вычислительной техники.
После того, как персональные данные обработаны, они отправляются на хранение в архив. Это может быть отдельное специализированное помещение, если речь о бумажных документах, или электронное хранилище (например, облачное). В любом случае нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (по закону).
Чтобы поиск не превратился в квест, необходимо правильно организовать архив — как обычный, так и электронный.
С чего начать?
Если вы еще не занимаетесь сбором и (или) обработкой персональных данных:
Подготовьте политику обработки персональных данных для сайта и форму согласия на обработку персональных данных. При подготовке обратите внимание на соответствие их содержания требованиям Федерального закона «О персональных данных» от 27.07.2006 №152-ФЗ.
Проверьте свой сайт на наличие ошибок.
Подготовьте положение об организации обработки персональных данных. Локальный акт, который поможет соблюдать основные обязанности: сроки реагирования, порядок доступа, алгоритм действий при компрометации персональных данных и др.
Чтобы собирать, хранить и обрабатывать персональные данные, нужно соблюдать требования Закона №152-ФЗ.
Краткий чек-лист:
Зарегистрироваться в Роскомнадзоре, как оператор персональных данных (обязательно не для всех, ниже вы узнаете об исключениях).
Запрашивать разрешение на сбор и обработку данных у субъектов и не собирать с них лишние данные.
Отвечать на обращения субъектов и предоставлять им всю информацию.
Собирать и хранить информацию только для достижения определенных целей, и на определенный срок.
Хранить и защищать персональные данные по закону, обеспечивать сохранность, тайну и точность данных, не передавая третьим лицам. А если передавать, то только с документальным подтверждением и только аттестованным.
Уточнять, блокировать или уничтожать персональные данные по заявлению субъектов или когда достигли целей их сбора.
Всем ли нужна регистрация в Роскомонадзор?
Кому не нужно регистрироваться как оператору персональных данных:
сбор персональных данных осуществляется для установления трудовых отношений;
персональные данные собираются для заключения договора без последующей передачи и распространения третьим лицам и для исполнения договора;
обработка персональных данных из открытого доступа;
сбор ФИО граждан без телефона и e-mail;
сбор персональных данных для однократного пропуска гражданина на территорию оператора, собирающего данные, или в аналогичных случаях;
сбор, обработка и хранение персональных данных осуществляется на бумажных носителях без использования средств автоматизации. Хранить свой бумажный архив, включая кадровые документы и персональные данные можно вне офиса. Так можно избежать их утраты и несанкционированного доступа к информации.
Во всех остальных случаях — регистрация в Роскомнадзор обязательна
Что стоит проверить, если вы уже занимаетесь сбором и/или обработкой персональных данных?
Доведение политики обработки персональных данных на вашем сайте до пользователей:
Опубликована ли на вашем сайте политика обработки ПД?
Доступен ли документ в «подвале» вашего сайта?
Соответствует ли опубликованная политика установленным законом требованиям к содержанию (п. 2 ч. 1 ст. 18.1 Закона «О персональных данных»)?
Согласие на обработку персональных данных для пользователей:
Указаны ли в форме согласия конкретные категории обрабатываемых данных?
Установлен ли срок обработки (либо порядок его определения)?
Указан ли перечень лиц, которым оператор ПД передаёт данные?
Порядок трансграничной передачи и (или) локализации персональных данных:
Фигурирует ли на сайте информация об использовании иностранных сервисов: Google Analytics, Microsoft Azure, Amazon Web Services и др.?
Если вы хотите продолжить использовать такие сервисы, уведомили ли вы Роскомнадзор о трансграничной передаче персональных данных?
Если вы храните данные на серверах, физически расположенных за пределами РФ, соблюдаются ли требования о локализации персональных данных граждан РФ?
Если данные все же «утекли»
Необходимо уведомить Роскомнадзор о компрометации персональных данных:
в течение 24 часов с момента утечки: об инциденте, о предполагаемых причинах и вреде, о мерах по устранению инцидента, контактное лицо для связи;
в течение 72 часов о результатах внутреннего расследования.
Также необходимо подготовить ответ на запросы субъектов персональных данных и Роскомнадзора — 10 рабочих дней на ответ + 5 рабочих дней при направлении мотивированного письма.