Что относится к персональным данным и как с ними работать законно?

Мы живем в мире, где каждый бит информации имеет цену, а каждый клик оставляет след в цифровом пространстве. И за этим приходит большая ответственность, ведь данные должны использоваться правильно и в соответствии с законодательством. В статье рассмотрим основные понятия, принципы и правила работы с персональными данными.

Что такое персональные данные и что к ним не относится?

Персональные данные (ПДн) – это информация, которая может быть использована для идентификации конкретного человека. Причем эти данные могут относиться к физлицу не только прямо, но и косвенно. Все правила четко прописаны в № 152-ФЗ.

На сайте Роскомнадзора, например, можно найти такую форму:

Скриншот сайта Роскомнадзора

Какая еще информация может считаться ПДн:

• профессия, должность и сведения о работе (стаж и текущий работодатель);
• информация об образовании;
• национальность;
• данные удостоверений – прав, свидетельства о рождении, загранпаспорта;
• метрические данные;
• сведения воинского учета;
• реквизиты карт и номера лицевых счетов из банка;
• политические, философские и религиозные убеждения;
• данные по здоровью;
• изображение лица, звучание голоса и отпечатки пальцев;
• данные о судимости.

Чаще всего «персональность» срабатывает, когда используется сразу несколько видов данных. Самый простой пример – номер телефона. Если имеется набор просто абстрактных цифр, это не будет считаться ПДн. А вот если есть пояснение – очень даже. В любой компании, где трудоустроен хоть один человек, имеются именно персональные данные. Любое личное дело – сборник информации, которая поможет без труда определить, о каком человеке идет речь.

Всегда относится к ПДн фотография человека. Но не всегда фото будет считаться биометрическими данными (на обработку коих, к слову, нужно письменное согласие). Несмотря на наличие Федерального закона, четкого, эталонного списка, что именно считается ПД, не существует. «Персональность» присваивается в зависимости от ситуации и контекста.

Что не является персональными данными?

Здесь идем от обратного. Если данные анонимны, их нельзя связать прямо или косвенно с конкретным человеком, значит, они не относятся к ПДн.

Также не являются персональными данными обезличенные данные, обработанные таким образом, что по ним уже невозможно установить личность человека.

Сведения о юридических лицах и индивидуализированные данные, которые не могут быть использованы для идентификации конкретного человека (например, анонимизированные статистические данные), тоже не являются персональными данными.

Субъект персональных данных – кто это?

Субъекты персональных данных – это физические лица, то есть люди, к которым относятся сами данные и чьи данные обрабатываются. Например, если речь идет о базе клиентов интернет-магазина или колл-центра, то клиенты являются субъектами персональных данных. В контексте организации каждый сотрудник является субъектом. Данные работников собираются при трудоустройстве и используются, обрабатываются в течение всего времени, сколько трудится человек в конкретной компании.

Оператор персональных данных – кто это?

Операторы персональных данных – это компании или частные предприниматели, которые управляют информацией о людях, определяют, зачем им нужны эти данные, какие данные они собирают и как их используют. Они обязаны следовать законам о защите персональных данных и гарантировать сохранность. Например, компания – оператор персональных данных сотрудников, интернет-магазин – оператор для покупателей, продавцов.

Какие виды персональных данных существуют?

Персональные данные могут быть разделены на несколько категорий в зависимости от их характеристик и способа обработки. Категории персональных данных описаны в Федеральном законе: общедоступные, специальные, биометрические и иные.

Общедоступные

Такие данные можно легко получить из открытых источников. Например, это могут быть справочники и адресные книги. Информация из интернета не считается априори общедоступной. Она может стать таковой, только если на это дал согласие субъект данных.

Специальные

Специальная категория – это особо чувствительные данные. Обработка таких данных обычно запрещена или требует специального согласия субъекта данных. Например, такие данные точно хранятся в медицинских учреждениях или компаниях, где при трудоустройстве важно состояние здоровья.

В том числе к специальным категориям персональных данных относятся:

• сведения о национальной принадлежности;
• информация о состоянии здоровья;
• данные о судимости;
• политические взгляды;
• религиозные убеждения и др.

Биометрические

Биометрические данные – это уникальные физиологические и поведенческие характеристики человека, такие как отпечатки пальцев, голос, лицо, радужка глаза и другие.

Например, на сайте Роскомнадзора можно найти следующие виды биометрических данных:

Скриншот сайта Роскомнадзора

Иные

Грубо говоря, к этой категории можно отнести то, что не подходит по характеристикам к трем предыдущим.

Порядок работы оператора с персональными данными

В эпоху информационной революции персональные данные стали не просто ценным активом, а настоящим кладом. Однако с большой силой приходит большая ответственность. Именно поэтому работа оператора с персональными данными становится ключевым элементом успешной деятельности любого современного бизнеса. Рассмотрим основные моменты работы оператора с персональными данными.

Что нужно для законного сбора персональных данных?

Обработка данных происходит только с разрешения субъекта. Исключения составляют лишь случаи, указанные в законе.

Обычно разрешение подразумевает конклюдентные действия, то есть человек должен подтвердить свое желание. Как правило, на интернет-ресурсах или в бумажных документах для этого нужно поставить галочку или крестик в специальном окошке.

Скриншот формы регистрации на сайте РЖД

Второй вариант – письменное разрешение. Его в интернете нередко заменяют возможностью поставить усиленную квалифицированную электронную подпись (УКЭП).

В компаниях все процессы обработки ПДн обычно указываются в отдельном документе – «Политике конфиденциальности». Поэтому и в том, что подписывают сотрудники, обычно указывают, что согласие дается в соответствии именно с этой Политикой. Если речь про внутренние ресурсы компании или электронный документооборот, то часто под таким согласием подразумевается та самая «галочка» в определенном поле. Без этой отметки использование ресурса должно быть ограничено.

Регистрация на сайте «Аэрофлота». Кнопка «Зарегистрироваться» не будет активна без указания о согласии

Особенности обработки ПД

Обработка персональных данных – это любые действия с этими данными. 

Обработку разделяют на три вида:

• автоматизированная – производится с помощью техники, например, смартфонов, персональных компьютеров, программ. Например, корпоративные соцсети;
• неавтоматизированная – предполагает, что данные хранятся на бумаге и обрабатываются вручную человеком. Например, это трудовой договор, который хранится у кадровика;
• смешанной обработкой занимаются и человек, и техника. В частности, когда в HR-отделе вносят данные нового сотрудника из его распечатанного резюме.

Хранение персональных данных

Персональные данные сотрудников в распечатанном виде в папках в кабинете кадрового отдела – это хранение. То же относится к информации в различных хранилищах и на носителях – флеш-картах, серверах, облаке.

Есть четкие требования, прописанные в законе. Например, нельзя хранить информацию о человеке дольше, чем требуется согласно целям обработки.

Еще несколько нюансов хранения персданных:

• при неточности или неполноте информации ее нужно уточнить;
• нельзя объединить базы, содержащие разные данные и собранные с разными целями;
• после обработки данные необходимо уничтожить или обезличить;
• передача данных должна быть безопасной и другие требования (согласно 152 ФЗ).

Защита

Защита персональных данных – это процесс обеспечения конфиденциальности, целостности и доступности информации. Цель заключается в предотвращении несанкционированного доступа к этой информации, ее утечки или использования без согласия владельца данных.

Не все данные защищаются одинаково. На то, какой уровень защиты требуется, влияет множество факторов.

Уровень защищенности нужно определить правильно, в соответствии с законами и постановлениями:

• Первый уровень – самый серьезный и высокий, требует использования большего числа защитных мер. Четвертый – самый низкий уровень.

Вопрос не только в том, чтобы ПДн не украли, но и в их защите от повреждения, уничтожения или «слива». В целом способы защиты персданных делятся на технические и организационные меры. 

В число организационных мер защиты данных входят:

• принятие локальных актов и документов, в том числе политика защиты ПДн, положение об уничтожении данных и прочие. Все документы должны учитывать специфику организации и работы;
• назначение (официально, через приказ) ответственных за работу с персданными  (обычно это сотрудники службы безопасности);
• ознакомление с правилами сотрудников и обучение их работе с ПДн и защите данных;
• работа с субъектами, например, сотрудниками или клиентами (заключение соглашений, получение согласий и прочее);
• контроль за соблюдением требований, выявление и устранение нарушений;
• оборудование помещений для хранения и обработки носителя данных (система пропусков и т.д.);
• анализ и актуализация мер;
• своевременная смена паролей и ключей в системах, используемых для обработки ПДн, и другие меры.

Технические меры подразумевают, что работа с персданными производится не только на бумаге, но и с использованием технологий, в  том числе интернета. 

К техмерам защиты ПДн можно отнести:

• аттестация безопасности системы обработки ПДн;
• регулирование доступа к данным;
• обеспечение информационной безопасности;
• контроль и анализ защищенности, актуализация мер и другие.

Обязательные документы для работы с персональными данными

Выше мы уже указывали, что оформление документов – одна из мер по защите персональных данных.

Основные документы, которые придется оформить (список неполный, так как многое зависит от контекста и типа деятельности):

• общедоступная Политика по обработке и защите персданных;
• приказ о назначении ответственного;
• обязательство о неразглашении ПДн;
• приказ о назначении ответственного за организацию обработки ПДн;
• модель угроз безопасности (то есть актуальная информация о том, что может угрожать системе);
• акт оценки вреда субъектам в случае нарушения закона (регламентируется приказом Роскомнадзора).

Чем грозит нарушение правил работы с персональными данными?

Нарушение правил по обработке и хранению персональных данных несет огромные риски для любой компании. И речь тут идет от административной и гражданско-правовой ответственности до уголовной.

Конечно, суровость наказания зависит от тяжести и обстоятельств нарушения. За соблюдением правил тщательно следит Роскомнадзор. Причем речь идет не только про ошибки в обработке данных или не поставленную «галочку», но и про разработку всех документов.

Крайне важно следить за изменениями в законодательстве. Например, с марта 2023 года ряд компании обязали уведомлять Роскомнадзор о трансграничной передаче персданных. А срок уведомления Роскомнадзора об изменениях у оператора ПДн теперь звучит не «в течение 10 дней», а «до 15 числа следующего месяца».

Можно ли отправлять рекламу и рассылки без согласия пользователя?

Листовки на улице раздавать могут и без согласия на обработку ваших данных – они попросту не используются. Но как быть, если речь идет про рекламные рассылки по email?

Тут мы подразумеваем соблюдение сразу нескольких законов, в том числе и о ПДн, и «О рекламе». Если интернет-магазин присылает вам рекламу, но вы не давали согласия, это будет нарушением закона. При отправке рекламных сообщений через email компания должна также соблюдать требование о согласии пользователя на обработку его персональных данных. То же касается и звонков, и смс-ок.

Как убедиться в надежности сотрудников, работающих с персональными данными?

В современном мире, где информация лежит в фундаменте любой организации, вопрос безопасности данных стоит на первом месте. Благонадежность компании становится ключевым фактором при выборе работы для многих соискателей. То же касается и выбора сотрудников.

Сотрудники службы безопасности и HR-специалисты тратят массу времени на подбор кадров. Но новые сотрудники должны не только обладать необходимыми навыками и опытом, но и быть надежными и честными людьми. И верить на слово тут не приходится.

Сервис  от SpectrumData сэкономит время HR-ов и безопасников для более важных задач. 

Всего за 3 минуты отчет покажет:

• не нарушал ли кандидат закон, нет ли на нем астрономических долгов и не станет ли он легкой мишенью для шантажа;
• не пришел ли он к вам, чтобы разузнать что-то для конкурентов – это покажет проверка аффилированности кандидата и его деловых связей;
• нет ли зарегистрированного на нем ИП со схожей деятельность и не пришел ли человек не только за опытом, но и за клиентской базой;
• не судится ли с бывшим работодателем.

Наши специалисты подробно расскажут обо всех возможностях сервиса и помогут подобрать пакет проверок, оптимально соответствующий запросам именно вашей компании. Защитите бизнес и своих сотрудников.

Автор: Валентина Лищенко