Мы живем в мире, где каждый бит информации имеет цену, а каждый клик оставляет след в цифровом пространстве. И за этим приходит большая ответственность, ведь данные должны использоваться правильно и в соответствии с законодательством. В статье рассмотрим основные понятия, принципы и правила работы с персональными данными.
Что такое персональные данные и что к ним не относится?
Персональные данные (ПДн) – это информация, которая может быть использована для идентификации конкретного человека. Причем эти данные могут относиться к физлицу не только прямо, но и косвенно. Все правила четко прописаны в № 152-ФЗ.
На сайте Роскомнадзора, например, можно найти такую форму:
Скриншот сайта Роскомнадзора
Какая еще информация может считаться ПДн:
- профессия, должность и сведения о работе (стаж и текущий работодатель);
- информация об образовании;
- национальность;
- данные удостоверений – прав, свидетельства о рождении, загранпаспорта;
- метрические данные;
- сведения воинского учета;
- реквизиты карт и номера лицевых счетов из банка;
- политические, философские и религиозные убеждения;
- данные по здоровью;
- изображение лица, звучание голоса и отпечатки пальцев;
- данные о судимости.
Чаще всего «персональность» срабатывает, когда используется сразу несколько видов данных. Самый простой пример – номер телефона. Если имеется набор просто абстрактных цифр, это не будет считаться ПДн. А вот если есть пояснение – очень даже. В любой компании, где трудоустроен хоть один человек, имеются именно персональные данные. Любое личное дело – сборник информации, которая поможет без труда определить, о каком человеке идет речь.
Всегда относится к ПДн фотография человека. Но не всегда фото будет считаться биометрическими данными (на обработку коих, к слову, нужно письменное согласие). Несмотря на наличие Федерального закона, четкого, эталонного списка, что именно считается ПД, не существует. «Персональность» присваивается в зависимости от ситуации и контекста.
Что не является персональными данными?
Здесь идем от обратного. Если данные анонимны, их нельзя связать прямо или косвенно с конкретным человеком, значит, они не относятся к ПДн.
Также не являются персональными данными обезличенные данные, обработанные таким образом, что по ним уже невозможно установить личность человека.
Сведения о юридических лицах и индивидуализированные данные, которые не могут быть использованы для идентификации конкретного человека (например, анонимизированные статистические данные), тоже не являются персональными данными.
Субъект персональных данных – кто это?
Субъекты персональных данных – это физические лица, то есть люди, к которым относятся сами данные и чьи данные обрабатываются. Например, если речь идет о базе клиентов интернет-магазина или колл-центра, то клиенты являются субъектами персональных данных. В контексте организации каждый сотрудник является субъектом. Данные работников собираются при трудоустройстве и используются, обрабатываются в течение всего времени, сколько трудится человек в конкретной компании.
Оператор персональных данных – кто это?
Операторы персональных данных – это компании или частные предприниматели, которые управляют информацией о людях, определяют, зачем им нужны эти данные, какие данные они собирают и как их используют. Они обязаны следовать законам о защите персональных данных и гарантировать сохранность. Например, компания – оператор персональных данных сотрудников, интернет-магазин – оператор для покупателей, продавцов.
Какие виды персональных данных существуют?
Персональные данные могут быть разделены на несколько категорий в зависимости от их характеристик и способа обработки. Категории персональных данных описаны в Федеральном законе: общедоступные, специальные, биометрические и иные.
Общедоступные
Такие данные можно легко получить из открытых источников. Например, это могут быть справочники и адресные книги. Информация из интернета не считается априори общедоступной. Она может стать таковой, только если на это дал согласие субъект данных.
Специальные
Специальная категория – это особо чувствительные данные. Обработка таких данных обычно запрещена или требует специального согласия субъекта данных. Например, такие данные точно хранятся в медицинских учреждениях или компаниях, где при трудоустройстве важно состояние здоровья.
В том числе к специальным категориям персональных данных относятся:
- сведения о национальной принадлежности;
- информация о состоянии здоровья;
- данные о судимости;
- политические взгляды;
-
религиозные убеждения и др.
Биометрические
Биометрические данные – это уникальные физиологические и поведенческие характеристики человека, такие как отпечатки пальцев, голос, лицо, радужка глаза и другие.
Например, на сайте Роскомнадзора можно найти следующие виды биометрических данных:
Скриншот сайта Роскомнадзора
Иные
Грубо говоря, к этой категории можно отнести то, что не подходит по характеристикам к трем предыдущим.
Порядок работы оператора с персональными данными
В эпоху информационной революции персональные данные стали не просто ценным активом, а настоящим кладом. Однако с большой силой приходит большая ответственность. Именно поэтому работа оператора с персональными данными становится ключевым элементом успешной деятельности любого современного бизнеса. Рассмотрим основные моменты работы оператора с персональными данными.
Что нужно для законного сбора персональных данных?
Обработка данных происходит только с разрешения субъекта. Исключения составляют лишь случаи, указанные в законе.
Обычно разрешение подразумевает конклюдентные действия, то есть человек должен подтвердить свое желание. Как правило, на интернет-ресурсах или в бумажных документах для этого нужно поставить галочку или крестик в специальном окошке.
Скриншот формы регистрации на сайте РЖД
Второй вариант – письменное разрешение. Его в интернете нередко заменяют возможностью поставить усиленную квалифицированную электронную подпись (УКЭП).
В компаниях все процессы обработки ПДн обычно указываются в отдельном документе – «Политике конфиденциальности». Поэтому и в том, что подписывают сотрудники, обычно указывают, что согласие дается в соответствии именно с этой Политикой. Если речь про внутренние ресурсы компании или электронный документооборот, то часто под таким согласием подразумевается та самая «галочка» в определенном поле. Без этой отметки использование ресурса должно быть ограничено.
Регистрация на сайте «Аэрофлота». Кнопка «Зарегистрироваться» не будет активна без указания о согласии
Особенности обработки ПД
Обработка персональных данных – это любые действия с этими данными.
Обработку разделяют на три вида:
- автоматизированная – производится с помощью техники, например, смартфонов, персональных компьютеров, программ. Например, корпоративные соцсети;
- неавтоматизированная – предполагает, что данные хранятся на бумаге и обрабатываются вручную человеком. Например, это трудовой договор, который хранится у кадровика;
-
смешанной обработкой занимаются и человек, и техника. В частности, когда в HR-отделе вносят данные нового сотрудника из его распечатанного резюме.
Хранение персональных данных
Персональные данные сотрудников в распечатанном виде в папках в кабинете кадрового отдела – это хранение. То же относится к информации в различных хранилищах и на носителях – флеш-картах, серверах, облаке.
Есть четкие требования, прописанные в законе. Например, нельзя хранить информацию о человеке дольше, чем требуется согласно целям обработки.
Еще несколько нюансов хранения персданных:
- при неточности или неполноте информации ее нужно уточнить;
- нельзя объединить базы, содержащие разные данные и собранные с разными целями;
- после обработки данные необходимо уничтожить или обезличить;
-
передача данных должна быть безопасной и другие требования (согласно 152 ФЗ).
Защита
Защита персональных данных – это процесс обеспечения конфиденциальности, целостности и доступности информации. Цель заключается в предотвращении несанкционированного доступа к этой информации, ее утечки или использования без согласия владельца данных.
Не все данные защищаются одинаково. На то, какой уровень защиты требуется, влияет множество факторов.
Уровень защищенности нужно определить правильно, в соответствии с законами и постановлениями:
- Первый уровень – самый серьезный и высокий, требует использования большего числа защитных мер. Четвертый – самый низкий уровень.
|
Тип ПДн |
Категория субъектов |
Объем субъектов |
Тип актуальных угроз |
||
|
I |
II |
III |
|||
|
Специальные (личная жизнь, раса, религия и другие) |
не сотрудники |
> 100 тыс. |
1 |
1 |
2 |
|
< 100 тыс. |
1 |
2 |
3 |
||
|
сотрудники |
любое |
1 |
2 |
3 |
|
|
Биометрические (отпечатки, фото и проч.) |
не сотрудники |
> 100 тыс. |
1 |
2 |
3 |
|
< 100 тыс. |
1 |
2 |
3 |
||
|
сотрудники |
любое |
1 |
2 |
3 |
|
|
Иные |
не сотрудники |
> 100 тыс. |
1 |
2 |
3 |
|
< 100 тыс. |
1 |
3 |
4 |
||
|
сотрудники |
любое |
1 |
3 |
4 |
|
|
Общедоступные |
не сотрудники |
> 100 тыс. |
2 |
2 |
4 |
|
< 100 тыс. |
2 |
3 |
4 |
||
|
сотрудники |
любое |
2 |
3 |
4 |
|
Вопрос не только в том, чтобы ПДн не украли, но и в их защите от повреждения, уничтожения или «слива». В целом способы защиты персданных делятся на технические и организационные меры.
В число организационных мер защиты данных входят:
- принятие локальных актов и документов, в том числе политика защиты ПДн, положение об уничтожении данных и прочие. Все документы должны учитывать специфику организации и работы;
- назначение (официально, через приказ) ответственных за работу с персданными (обычно это сотрудники службы безопасности);
- ознакомление с правилами сотрудников и обучение их работе с ПДн и защите данных;
- работа с субъектами, например, сотрудниками или клиентами (заключение соглашений, получение согласий и прочее);
- контроль за соблюдением требований, выявление и устранение нарушений;
- оборудование помещений для хранения и обработки носителя данных (система пропусков и т.д.);
- анализ и актуализация мер;
- своевременная смена паролей и ключей в системах, используемых для обработки ПДн, и другие меры.
Технические меры подразумевают, что работа с персданными производится не только на бумаге, но и с использованием технологий, в том числе интернета.
К техмерам защиты ПДн можно отнести:
- аттестация безопасности системы обработки ПДн;
- регулирование доступа к данным;
- обеспечение информационной безопасности;
-
контроль и анализ защищенности, актуализация мер и другие.
Обязательные документы для работы с персональными данными
Выше мы уже указывали, что оформление документов – одна из мер по защите персональных данных.
Основные документы, которые придется оформить (список неполный, так как многое зависит от контекста и типа деятельности):
- общедоступная Политика по обработке и защите персданных;
- приказ о назначении ответственного;
- обязательство о неразглашении ПДн;
- приказ о назначении ответственного за организацию обработки ПДн;
- модель угроз безопасности (то есть актуальная информация о том, что может угрожать системе);
-
акт оценки вреда субъектам в случае нарушения закона (регламентируется
приказом Роскомнадзора).
Чем грозит нарушение правил работы с персональными данными?
Нарушение правил по обработке и хранению персональных данных несет огромные риски для любой компании. И речь тут идет от административной и гражданско-правовой ответственности до уголовной.
Конечно, суровость наказания зависит от тяжести и обстоятельств нарушения. За соблюдением правил тщательно следит Роскомнадзор. Причем речь идет не только про ошибки в обработке данных или не поставленную «галочку», но и про разработку всех документов.
Крайне важно следить за изменениями в законодательстве. Например, с марта 2023 года ряд компании обязали уведомлять Роскомнадзор о трансграничной передаче персданных. А срок уведомления Роскомнадзора об изменениях у оператора ПДн теперь звучит не «в течение 10 дней», а «до 15 числа следующего месяца».
Можно ли отправлять рекламу и рассылки без согласия пользователя?
Листовки на улице раздавать могут и без согласия на обработку ваших данных – они попросту не используются. Но как быть, если речь идет про рекламные рассылки по email?
Тут мы подразумеваем соблюдение сразу нескольких законов, в том числе и о ПДн, и «О рекламе». Если интернет-магазин присылает вам рекламу, но вы не давали согласия, это будет нарушением закона. При отправке рекламных сообщений через email компания должна также соблюдать требование о согласии пользователя на обработку его персональных данных. То же касается и звонков, и смс-ок.
Как убедиться в надежности сотрудников, работающих с персональными данными?
В современном мире, где информация лежит в фундаменте любой организации, вопрос безопасности данных стоит на первом месте. Благонадежность компании становится ключевым фактором при выборе работы для многих соискателей. То же касается и выбора сотрудников.
Сотрудники службы безопасности и HR-специалисты тратят массу времени на подбор кадров. Но новые сотрудники должны не только обладать необходимыми навыками и опытом, но и быть надежными и честными людьми. И верить на слово тут не приходится.
Сервис «Проверка соискателей и сотрудников» от SpectrumData сэкономит время HR-ов и безопасников для более важных задач.
Всего за 3 минуты отчет покажет:
- не нарушал ли кандидат закон, нет ли на нем астрономических долгов и не станет ли он легкой мишенью для шантажа;
- не пришел ли он к вам, чтобы разузнать что-то для конкурентов – это покажет проверка аффилированности кандидата и его деловых связей;
- нет ли зарегистрированного на нем ИП со схожей деятельность и не пришел ли человек не только за опытом, но и за клиентской базой;
- не судится ли с бывшим работодателем.
Оставьте заявку, и наши специалисты подробно расскажут обо всех возможностях сервиса и помогут подобрать пакет проверок, оптимально соответствующий запросам именно вашей компании. Вы также получите в подарок несколько бесплатных тестовых проверок, чтобы убедиться в достоверности и полноте предоставляемых данных. Защитите бизнес и своих сотрудников.
Автор: Валентина Лищенко
