Сегодня почти каждый сайт и многие организации работают с персональными данными. Это может быть оформление заказа товаров из корзины, заполнение заявки на участие в мероприятии или просто заполнение формы для email-рассылки. Каждый такой случай является предметом проверок Роскомнадзора и может стать поводом для крупных штрафов. Как этого избежать и что для этого предпринять, мы разберемся в данном материале.
Персональные данные – это что?
Согласно Федеральному закону №152-ФЗ от 27.07.2006, персональные данные это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Стоит признать, определение довольно размытое и неочевидное, но здесь есть указание на главный критерии – информация должна указывать на конкретное лицо, конкретного гражданина.
В итоге просто указание ФИО человека не является персональными данными, ведь людей с идентичными ФИО может быть множество. Но стоит добавить к ним адрес проживания либо номер телефона либо адрес электронной почты – и теперь это персональные данные, по которым можно определить конкретного жителя нашей страны.
Четкого перечня сведений, которые могут считаться персональными данными, законом не предусмотрено. При этом, он содержит в себе несколько их категорий, отличающихся степенью раскрытия сведений о гражданине и, соответственно, степени их должной защиты.
К таким относят:
1. Общедоступные данные, то есть базовые сведения о человеке, которые, как подразумевает их название, могут быть получены неограниченным кругом лиц. Это могут быть, к примеру, различные справочники или иные общедоступные документы, а также мессенджеры и соцсети. Необходимо отметить, что изначально запись общедоступных документов должна производиться только с согласия физического лица и по его же желанию они могут быть исключены.
К общедоступным данным относят:
• ФИО;
• Дата и место рождения;
• Возраст;
• Профессия и образование;
• Электронная почта и номер телефона.
• Ссылки на личные
2. Специальные данные. Эта категория включает в себя, как правило, более личные сведения о лице, доступ к которым значительно ограничен. К ним относят:
• Обстоятельства личной жизни;
• Состояние здоровья;
• Судимости;
• Политические и философские взгляды, религиозные убеждения;
3. Биометрические данные, то есть уникальные черты организма человека, пригодные для его опознавания и установления личности. К таковым относят, например, отпечатки пальцев, образцы голоса, изображения лица или сетчатки глаза.
4. Иные данные. Сюда, как правило, относят сведения, которые не подходят ни одной другой группе. Например, это:
• Геолокация;
• Стаж работы;
• График отпусков;
• Принадлежность к какому либо объединению и др.
На практике различать сложные и специальные данные бывает затруднительно. Для упрощения процесса часто рекомендуют обращаться внимание на точность и неизменность информации: специальные данные точно характеризуют человека и относительно постоянны, иные же просто дополняют общедоступные сведения и довольно динамичны.
Лица, что обрабатывают вышеуказанные данные, называются операторами персональных данных. При этом под обработкой персональных данных понимаются практически любые действия с ними, будь то сбор, запись, хранение, распространение, удаление и не только.
Те же, кого эти данные характеризуют, называются субъектами персональных данных.
Что сделать для работы с персональными данными
Теперь, когда мы имеем хотя бы минимальное представление о персональных данных, нужно усвоить, что их сбор, обработка и хранение являются важным и ответственным процессом, к которому предъявляются определенные требования и они различаются в зависимости от вида персональных данных.
К необходимым мерам в данной сфере относят:
1. Разработка внутренней документацию для работы с персональными данными:
◦ Положения об обработке персональных данных, защите персональных данных
◦ Политика конфиденциальности;
◦ Согласие на обработку персональных данных;
◦ Обязательство о неразглашении персональных данных;
◦ Приказ о назначении лиц, ответственных за обработку и защиту персональных данных;
◦ Инструкция лица, ответственного за обработку и защиту персональных данных и др.
Перечень документов, которые могут подвергнуться проверке Роскомнадзора, довольно обширен и зависит от конкретных обстоятельств, что не позволяет указать его полностью в рамках данной статьи.
2. Направление в Роскомнадзор уведомления об обработке персональных данных. Если Вы собираете, храните, пересылаете персональные данные, Вам необходимо уведомить об этом Роскомнадзор для включения в реестр операторов персональных данных. Сделать это можно на сайте Роскомнадзора.
Важно учитывать, что если данные отправляются за рубеж, то необходимо также направит в Роскомнадзор уведомление о трансграничной передаче данных. Сделать это можно также на сайте.
3. Обеспечение технической безопасности персональных данных. Это включает ограничение доступа к серверам, содержащим данные, установку антивирусных программ и межсетевых экранов, использование ПО, сертифицированного Федеральной службой по техническому и экспортному контролю (ФСТЭК).
Чтобы точно знать, каким мер защиты будет достаточно, необходимо сперва определить, к какому виду персональных данных относится нужная Вам информация. В зависимости от того, является она общедоступной, специальной и др., может быть минимальных мер как установка противовирусного ПО.
Если же для сбора данных используется сайт, рекомендуется также:
• Убедиться, что его хостинг находится на территории Российской Федерации. В противном случае сайт могут заблокировать. Важно учитывать, что речь идет именно о физическом местонахождении хостинга.
• Удостовериться, что сайт перешел на протокол SSL и имеет SSL-сертификат. В противном случае собираемые персональные данные могут перехвачены, а Вы – привлечены к ответственности.
• Указать дисклеймер о сборе cookie и обработке персональных данных, если Вы их используете;
• Разместить на видном месте сайта Политику обработки персональных данных, в котором будут отражены цели обработки, предпринимаемые действия, сроки хранения данных и др. Часто ссылку на Политику обработки персональных данных размещают в футере сайта.
• Разместить предупреждение о сборе данных под каждой форме сбора на сайте, а также указать ссылку на текст согласия на обработку персональных данных.
• Подготовить для сотрудников регламент для ответов на запросы пользователей. По закону Вы должны ответить на запрос всего за 10 рабочих дней, ввиду четко сотрудники должны четко знать весь процесс от начала и до конца.
Компания «Галифанов, Мальков и Партнеры» специализируется на работе с Роскомнадзором и имеет высокую репутацию в этой области. Наша команда заботится о клиентах, предоставляя им максимальную поддержку и помощь. Чтобы получить бесплатную консультацию эксперта по соответствию сайта законодательству, заполните форму и к консультации получите бесплатный аудит.