Что относится к персональным данным? Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу (субъекту персональных данных), и позволяющая его определить: ФИО; место, дата рождения, место постоянной или временной регистрации; фотография или видеозапись человека, которые могут его идентифицировать; сведения о детях, родственниках, семейном положении; сведения о заработной плате; оценка навыков, личностных качеств; индивидуальные личные данные (раса, национальность, политические или религиозные взгляды, философские убеждения; состояние здоровья); информация о судимостях или их отсутствии; номер телефона, адрес электронной почты, иные идентификаторы в социальных сетях или мессенджерах; паспортные данные, СНИЛС, ИНН; биометрические данные. Некоторые из этих данных, сами по себе, без связки с другими данными, персональными являться не будут. Например, номер телефона сам по себе не является персональными данными, но вместе с указанием ФИО владельца — является. Адрес электронной почты в формате ivanov_ivan_1977@mail.ru тоже относится к персональным данным, как и ФИО с привязкой к ИНН, номеру телефона или месту регистрации. Классификация персональных данных Персональные данные подразделяют на: Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете. Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни, судимостях. Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии. Иные — к ним относится все остальные данные: электронная почта или геолокация, информация о принадлежности к определенной социальной группе, стаж работы и пр. Определяемся с понятиями Оператор персональных данных — лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием или без автоматизированных средств: Сбор; Запись; Систематизация; Накопление; Хранение; Уточнение (обновление, изменение); Использование; Передача (распространение, предоставление, доступ); Обезличивание; Блокирование; Удаление; Уничтожение. В свою очередь, обработка может осуществляться тремя путями: Автоматизированная — с помощью средств вычислительной техники. Это компьютеры, телефоны и другие электронные устройства, базы данных, криптографические средства защиты, программы, скрипты и т.д. Смешанная — обработка человеком при участии средств вычислительной техники. Например, когда бухгалтер вбивает в программу данные из бумажного носителя. Неавтоматизированная — без использования средств вычислительной техники. После того, как персональные данные обработаны, они отправляются на хранение в архив. Это может быть отдельное специализированное помещение, если речь о бумажных документах, или электронное хранилище (например, облачное). В любом случае нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (по закону). Чтобы поиск не превратился в квест, необходимо правильно организовать архив — как обычный, так и электронный. С чего начать? Если вы еще не занимаетесь сбором и (или) обработкой персональных данных: Подготовьте политику обработки персональных данных для сайта и форму согласия на обработку персональных данных. При подготовке обратите внимание на соответствие их содержания требованиям Федерального закона «О персональных данных» от 27.07.2006 №152-ФЗ. Проверьте свой сайт на наличие ошибок. Подготовьте положение об организации обработки персональных данных. Локальный акт, который поможет соблюдать основные обязанности: сроки реагирования, порядок доступа, алгоритм действий при компрометации персональных данных и др. Чтобы собирать, хранить и обрабатывать персональные данные, нужно соблюдать требования Закона №152-ФЗ. Краткий чек-лист: Зарегистрироваться в Роскомнадзоре, как оператор персональных данных (обязательно не для всех, ниже вы узнаете об исключениях). Запрашивать разрешение на сбор и обработку данных у субъектов и не собирать с них лишние данные. Отвечать на обращения субъектов и предоставлять им всю информацию. Собирать и хранить информацию только для достижения определенных целей, и на определенный срок. Хранить и защищать персональные данные по закону, обеспечивать сохранность, тайну и точность данных, не передавая третьим лицам. А если передавать, то только с документальным подтверждением и только аттестованным. Уточнять, блокировать или уничтожать персональные данные по заявлению субъектов или когда достигли целей их сбора. Всем ли нужна регистрация в Роскомонадзор? Кому не нужно регистрироваться как оператору персональных данных: сбор персональных данных осуществляется для установления трудовых отношений; персональные данные собираются для заключения договора без последующей передачи и распространения третьим лицам и для исполнения договора; обработка персональных данных из открытого доступа; сбор ФИО граждан без телефона и e-mail; сбор персональных данных для однократного пропуска гражданина на территорию оператора, собирающего данные, или в аналогичных случаях; сбор, обработка и хранение персональных данных осуществляется на бумажных носителях без использования средств автоматизации. Хранить свой бумажный архив, включая кадровые документы и персональные данные можно вне офиса. Так можно избежать их утраты и несанкционированного доступа к информации. Во всех остальных случаях — регистрация в Роскомнадзор обязательна Что стоит проверить, если вы уже занимаетесь сбором и/или обработкой персональных данных? Доведение политики обработки персональных данных на вашем сайте до пользователей: Опубликована ли на вашем сайте политика обработки ПД? Доступен ли документ в «подвале» вашего сайта? Соответствует ли опубликованная политика установленным законом требованиям к содержанию (п. 2 ч. 1 ст. 18.1 Закона «О персональных данных»)? Согласие на обработку персональных данных для пользователей: Указаны ли в форме согласия конкретные категории обрабатываемых данных? Установлен ли срок обработки (либо порядок его определения)? Указан ли перечень лиц, которым оператор ПД передаёт данные? Порядок трансграничной передачи и (или) локализации персональных данных: Фигурирует ли на сайте информация об использовании иностранных сервисов: Google Analytics, Microsoft Azure, Amazon Web Services и др.? Если вы хотите продолжить использовать такие сервисы, уведомили ли вы Роскомнадзор о трансграничной передаче персональных данных? Если вы храните данные на серверах, физически расположенных за пределами РФ, соблюдаются ли требования о локализации персональных данных граждан РФ? Если данные все же «утекли» Необходимо уведомить Роскомнадзор о компрометации персональных данных: в течение 24 часов с момента утечки: об инциденте, о предполагаемых причинах и вреде, о мерах по устранению инцидента, контактное лицо для связи; в течение 72 часов о результатах внутреннего расследования. Также необходимо подготовить ответ на запросы субъектов персональных данных и Роскомнадзора — 10 рабочих дней на ответ + 5 рабочих дней при направлении мотивированного письма.