Сбор и хранение персональных данных.

29.06.2022
102

Что является персональными данными, как собирать, обрабатывать, защищать и выполнять все это в соответствии с законодательством.

Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных"; далее – закон о персональных данных).

Какие бывают типы ПДн, как их правильно обрабатывать, хранить и защищать — расскажем в этой статье.


Любая организация, занимающаяся сбором и обработкой персональных данных, будь то через сайт, приложение или получение этих данных лично от субъекта персональных данных считается оператором ПДн. Все операторы ПДн подпадает под 152-ФЗ — закон «О персональных данных», который описывает правила обращения с ПДн.


Что относится к персональным данным


Персональными данными принято считать любую информацию о человеке:

— фамилия, имя, отчество;

— дата рождения;

— телефон;

— адрес;

— электронная почта;

— фотография;

— отпечаток пальца;

— место работы;

— должность;

— национальность;

— политические, философские и религиозные взгляды;

— место регистрации;

— информацию о здоровье;

— образцы голоса;

— информация о судимостях;

— СНИЛС, ИНН и паспортные данные;

— ссылки на личные страницы и cookies.


Список весьма обширный и далеко не полный, однако есть существенные нюансы в интерпретации того, что является персональными данными, а что нет. Так одно имя человека не будет считаться ПДн, а вот если вы используете имя и номер телефона — это уже обработка ПДн.


Получается, что любая совокупность данных — это ПДн. Например: электронная почта Ивана Ивановича Иванова, или Татьяна, главный бухгалтер — это уже ПДн.


Зачастую ключевой частью ПДн является фамилия и имя, так как обработка информации без этих данных не имеет смысла.


Так проводя анонимный опрос о месте работы посетителей сайта или о предпочитаемой ими политической партии, мы не имеем дело с ПДн.


В общем и целом, интерпретация совокупности данных как ПДн достаточно часто зависит от контекста ситуации, потому крайне сложно сформировать полный список того, что считается ПДн, а что нет.


Более-менее понятным правилом можно считать следующее:

— если по набору информации можно идентифицировать определенного человека, как личность, то это ПДн.

— если для идентификации личности нужна дополнительная информации — набор данных уже не является ПДн.


Какие виды персональных данных выделяются законом


Постановление правительства № 1119 делит ПДн на 4 категории:

— Общедоступные

Это данные, которые хранятся в общедоступных источниках. Например: справочники, адресные книги и т.д. данные в которые заносятся только с согласия субъекта ПДн. При этом данные, которые можно найти в интернете не являются общедоступными.

— Специальные

В эту категорию входят данные о расовой, национальной принадлежности, религиозных или философских убеждений, политических взглядах, состояния здоровья, интимной жизни субъектов персональных данных

— Биометрические

Категория включает биологические и физиологические особенности человека, в случаях, когда на основе этих данных можно установить личность субъекта ПДн и если они не сопоставляются со специальными ПДн.

— Иные

Все ПДн не вошедшие в первые 3 можно отнести к категории «Иных». Электронная почта, номер телефона, геолокация, стаж работы и т.д.


Кто является субъектом, а кто оператором ПДн


Субъект — это любое физическое лицо. Покупатель в магазине, владелец аккаунта в социальной сети, посетитель сайта. Данные, которые предоставляет это физическое лицо для оформления скидочной карты или доставки покупки на дом как правило достаточны для определения личности, потому эти данные необходимо обрабатывать согласно закону о ПДн.

Оператор — это физическое лицо, государственная или частная организация, которая собирает, обрабатывает, хранит и распространяет ПДн, определяет цели и содержание их обработки.


Какие операции оператор проводит с персональными данными


— Сбор

Это этап собственно передачи ПДн оператору. Регистрация на сайте, заказ товара, заполнение анкеты, подписка на рассылку производится только с согласия субъекта ПДн. Если Данные передаются лично, то оператор обязан получить письменное согласие. В случае с передачей данных через интернет ресурсы используется электронная форма «Политики конфиденциальности» и чекбокс, где, ставя галочку пользователь подтверждает, что ознакомился и согласен с политикой обработки ПДн. Для сбора cookies тоже понадобится разрешение на сбор ПДн.

— Обработка

Все виды операций, которые могут происходить с ПДн, вне зависимости от того происходит ли это автоматически или нет считаются обработкой.

К таким операциям можно отнести запись, хранение, извлечение, передачу, обезличивание, анализ и удаление.

Все операции, касающиеся обработки персональных данных требует согласия субъекта ПДн, в котором прописано для каких целей были собраны персональные данные.

— Хранение

Любой метод хранения собранной информации о субъектах ПДн, будь то распечатанный вид, ПК, переносной накопитель, сервер компании или облачное хранилище должен соответствовать необходимому уровню безопасности. Нормы хранения ПДн закреплены в 149-ФЗ.

Кроме того, согласно закону, субъект вправе в любой момент запросить у оператора перечень имеющихся у него данных и потребовать их удаление.

— Защита

За все, что может произойти с полученными ПДн отвечает оператор. Для различных видов ПДн законом предусмотрены определенные уровни защиты:

— 1 УЗ как самый высокий уровень предусмотрен для спецданных. Сюда входит безотказная работа серверов, специальные лицензии облачных хранилищ и т.д.

— 2 УЗ рекомендован для биометрических данных и требует установки систем обнаружения вторжений и резервных копирований хранимой информации.

— 3 УЗ используется для хранения иных данных, предусматривает меры по ограничению доступа к системам.

— 4 УЗ предусмотрен для общедоступных данных. Здесь будет достаточно антивирусного приложения.


Всего «Приложение» к приказу «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» описано 109 требований к безопасности.


Основные из них:

— 1 Ограничение доступа к данным.

— 1 Физическая и техническая защищенность серверов.


Организованный оператором уровень защиты подтверждается технической документацией.


Какие документы необходимы организации для сбора персональных данных


Внутри организации, являющейся оператором ПДн также должны быть утверждены различные документы. В объемный список входят: приказ о назначении ответственного за безопасность ПДн, приказ о допуске к обработке, инструкция пользователя системы ПДн и т.д.


Какая ответственность предусмотрена за несоблюдение закона «О защите персональных данных»


Контролирующим органом является Роскомнадзор и при назначении штрафов руководствуется статьей 13.11. КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных».


Штраф можно получить за:

— Сбор и хранение данных без согласия субъекта: для физлиц 6000–10 000 рублей, для должностных лиц — 20 000–40 000 рублей, для организаций — 30 000–150 000 рублей.

— Нарушение указанной цели сбора данных: для физлиц 2000–6000 рублей, для должностных лиц — 10 000–20 000 рублей, для организаций — 60 000–100 000 рублей.

— Отсутствие в публичном доступе политики обработки персональных данных для физлиц 1500–3000 рублей, для должностных лиц — 6000–12 000 рублей, для ИП — 10 000–20 000 рублей, для юрлиц — 30 000–60 000 рублей.

— Не предоставление субъекту ПДн информации о том какие их данные хранятся и обрабатываются: для физлиц 2000–4000 рублей, для должностных лиц — 8000–12 000 рублей, ИП — 20 000–30 000 рублей, юрлиц — 40 000–80 000 рублей.

— Утечка данных по вине оператора: для физлиц 1500–3000 рублей, должностных лиц — 8000–20 000 рублей, ИП — 20 000–40 000 рублей, юрлиц — 50 000–100 000 рублей.

— Отказ или игнорирование просьбы субъекта ПДн об удалении: для граждан 2000–4000 рублей, для должностных лиц — 8000–20 000 рублей, для ИП 20 000–40 000 рублей, для юрлиц — 50 000–90 000 рублей.

— Отсутствие уведомления в Роскомнадзор о том, что компания является оператором ПДн: граждан — до 300 рублей, для должностных лиц — до 500 рублей, для юрлиц — до 5000 рублей.


В статье приведены основные выдержки из закона «О персональных данных» и сопутствующих документов. Потому приведем ссылки на ресурсы, где вы можете ознакомиться с подробной информацией:


Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ


КоАП РФ Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных


Основные документы, которые требуются для соответствия требованиям закона № 152-ФЗ «О персональных данных» и прохождения проверок Роcкомнадзора.


Приказ Федеральной службы по техническому и экспертному контролю от 18 февраля 2013 г. N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»


Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»


Форм уведомления в Роскомнадзор.


Разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30 августа 2013 г. «Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки»

ВАМ ТАК ЖЕ МОЖЕТ БЫТЬ ИНТЕРЕСНО:

Кто может реализовывать товары и услуги без ККТ и кассовых чеков

54ФЗ обязует всех ИП и юрлиц использовать ККТ при реализации товаров и услуг. Но есть исключения.

14.07.2022
0

Маркировка молочной продукции

С 1 сентября 2022 года вводится обязательная передача сведений о реализации молочной продукции для розничной торговли.

11.07.2022
0

Новый режим налогообложения – АУСН.

Все подробности и особенности новой системы налогообложения

04.07.2022
0
Остались вопросы? Получите бесплатную консультацию специалиста