Главная » Статьи

Персональные данные это

Содержание
  1. Нюансы
  2. Критика
  3. Цифры
  4. Что такое распространение персональных данных
  5. Виды персональных данных — ПД
  6. Общедоступные
  7. Общие
  8. Обезличенные
  9. Специальные
  10. Биометрические
  11. Виды персональных данных по видам и целям обработки
  12. 1. ФИО и номер телефона – это персональные данные?
  13. 2. Какие еще исключения будут убраны?
  14. 3. То есть отчитываться должны все (вы обещали рассказать про лазейку)?
  15. 4. Какой еще штраф? Сколько?
  16. 5. Как уведомить Роскомнадзор о сборе и обработке персональных данных?
  17. 6. Как составить уведомление?
  18. 7. Для чего Роскомнадзору нужны наши уведомления?
  19. Типы ПД
  20. Оператор и субъект персональных данных – кто есть кто
  21. Как получить согласие на обработку персональных данных
  22. Когда согласие не нужно
  23. Обязательства оператора по защите персональных данных
  24. Уведомление в Роскомнадзор
  25. Обязательные документы

«»Яндекс» указал, что некоторые возможности сервисов станут недоступны после удаления персональных данных. Например, «Яндекс.Музыка» советует новые треки, опираясь на историю прослушиваний, лайки и дизлайки, и без этой информации рекомендации будут неточными».

(Из новости о том, что «Яндекс» разрешил пользователям навсегда удалять персональные данные.)

Нюансы

Выделяют несколько видов персональных данных:

  • Общие персональные данные. Например, Ф. И. О., место работы, место регистрации, номер телефона, электронная почта. Такие данные и так могут быть известны некоторым людям, например родственникам, или опубликованы на общедоступных площадках, например в интернете.
  • Специальные персональные данные. Они находятся в закрытом доступе, и узнать их можно, только получив согласие человека (субъекта персональных данных) либо в установленном законом порядке (через суд или полицию) при наличии оснований. Как правило, это сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъекта персональных данных.
  • Биометрические персональные данные. Это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Например, группа крови, отпечатки пальцев, фотографии или использование функции Face ID. Важный нюанс: такие данные считаются персональными, только если благодаря им можно идентифицировать личность. Если на входе в офис стоит камера с распознанием лиц, то фотография сотрудника — это биометрические персональные данные, так как фото служит, чтобы определить личность.
  • Иные персональные данные. Служат дополнением к общим персональным данным и могут часто меняться. Например, данные, которые хранятся в бухгалтерии: информация о заработной плате, период отпуска, трудовой стаж.

Критика

Главная проблема персональных данных — в их частых утечках. Скандалы вокруг таких инцидентов происходят в России нередко. Так, в мае 2020 года в интернете появились паспортные данные москвичей, оштрафованных за нарушение самоизоляции.

В ноябре 2019 года в открытом доступе оказалась личная информация 500 000 пользователей сайта по поиску работы Job in Moscow. Хакерам стали доступны не только персональные данные соискателей, но и логины и пароли их учётных записей.

«Аксиома: любая база данных утечёт. Завтра или через три года, целиком или по кусочкам, но это обязательно случится. Вот чем опасен сбор персональных и необезличенных данных», — констатирует сооснователь и генеральный директор HFLabs Дмитрий Журавлёв.

Цифры

Чтобы решить эту проблему, в 2021 году Госдума в 10 раз подняла штрафы за разглашение персональных данных. Для граждан — с 500–1000 рублей до 5000–10 000 рублей, для должностных лиц — с 4000–5000 рублей до 40 000–50 000 рублей. Помимо этого, систематически вносимые в законодательство поправки довели ответственность юрлиц за мелкие нарушения до 200 000 рублей.

Более серьёзные нарушения, включая сбор персональных данных посредством информационно-телекоммуникационной сети «Интернет», могут повлечь наложение административного штрафа на юрлицо от 1 млн до 6 млн рублей. Повторное совершение такого нарушения может повлечь штраф от 6 млн до 18 млн рублей.

Что такое распространение персональных данных

Это распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

Виды персональных данных — ПД

Общедоступные

Это информация, полученная из публичных источников информации: справочников, социальных сетей, различных каталогов, сети интернет.

Общие

Это самая обширная категория, в нее включается почти вся личная информация:

  • ФИО;
  • паспортные данные;
  • ИНН;
  • семейное положение;
  • образование;
  • адрес;
  • номера телефонов и др.

Обезличенные

Любые ПД становятся обезличенными, если в результате каких-либо действий определить их принадлежность конкретному человеку становится невозможным. Самый яркий пример использования таких ПД – статистика и разнообразные отчеты.

Специальные

К этому виду ПД относят информацию, касающуюся:

  • судимостей;
  • расовой и национальной принадлежности;
  • вероисповедания;
  • политических взглядов;
  • религиозных и философских убеждений;
  • интимной жизни;
  • состояния здоровья.

В отличие от общих данных, в законе приведен исчерпывающий перечень специальных ПД. Для этой информации закон устанавливает особые правила сбора, хранения и обработки.

Биометрические

К этому виду относятся все сведения о биологических или физиологических особенностях человека. Это могут быть:

  • рост;
  • группа крови;
  • вес;
  • отпечатки пальцев;
  • результаты некоторых анализов;
  • иногда фото и видео информация.

Важно, что информация становится биометрическими ПД только в том случае, когда, основываясь на ней, становится возможным установление личности человека.

Виды персональных данных по видам и целям обработки

Для каждой группы ПД имеются особенности и нюансы, касающиеся их использования. Рассмотрим ограничения, установленные законом, развернуто для каждой категории информации.

1. ФИО и номер телефона – это персональные данные?

ФИО пока не считаются персональными данными. Это одно из исключений, перечисленных во второй части статьи 22 Закона №152-ФЗ «О персональных данных». Но с 1 сентября 2022 года фамилия имя и отчество станут считаться персональными данными – их уберут из списка исключений.

Что касается телефонных номеров, то они были, есть и будут оставаться персональными данными, даже если больше никакими данными не сопровождаются. «Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (ст. 3 №152-ФЗ «О персональных данных»).

В Google и «Яндексе», соцсетях, рассылках, на видеоплатформах, у блогеров

2. Какие еще исключения будут убраны?

Подотчетным станет сбор персональных данных:

  • в ходе трудовых отношений,
  • при заключении договоров с мобильными операторами, общественными объединениями или религиозными организациями, государственными автоматизированными информационными системами,
  • уже упомянутых ФИО,
  • даже если люди дают согласие на сбор и обработку своих персональных данных. Поэтому мы так часто должны были ставить галочки в окошках согласия на обработку данных: это снимало с компаний обязанность отчитываться перед Роскомнадзором, но с 1 сентября 2022 года наше согласие перестанет что-то значит и требовать его с нас не будет смысла,
  • для выдачи пропуска (в том числе одноразового) на территорию или в здание (с 1 сентября 2022 года это становится незаконным, если организация не уведомила Роскомнадзор о сборе персональных данных).

По поводу последнего пункта (переписывание паспортных данных на проходной или охране) есть лазейка, о которой мы расскажем, отвечая на следующий вопрос.

3. То есть отчитываться должны все (вы обещали рассказать про лазейку)?

Не все, а только те, кто заносит данные в компьютер. Если вы записываете персональные данные в тетрадку или на листок (без использования средств автоматизации) и не намерены их куда-то после этого передавать, то слать отчеты в Роскомнадзор не нужно – такой подход не нарушает закон.

Передача персональных данных через форму обратной связи на сайте требует уведомления Роскомнадзора, а прямое переписывание их из документа в тетрадь – нет. Поэтому охранник, записывающий ваши данные от руки в тетрадь, ничего не нарушает, а тому, кто заносит их в компьютер без предварительного уведомления Роскомнадзора, грозит штраф.

4. Какой еще штраф? Сколько?

Не так уж много, как можно было бы подумать. Это может быть даже предупреждение. Согласно ст. 19.7 КоАП РФ, физических лиц могут оштрафовать на сумму от 100 до 300 рублей, должностных лиц (тех же охранников и вахтеров) – от 300 до 500 рублей, а юридическим лицам грозит штраф от 3 тысяч до 5 тысяч рублей.

Надо полагать, символические суммы рано или поздно изменятся, когда пройдет некий период привыкания.

5. Как уведомить Роскомнадзор о сборе и обработке персональных данных?

Делается это исключительно дистанционно и уведомлять нужно то подразделение Роскомнадзора, к которому вы относитесь территориально (ищите его здесь). То есть можно отправить уведомление по электронной почте, указанной в адресе подразделения, или на общий адрес [email protected], через портал госуслуг или отправив письмо Почтой России. Лично ходить не нужно – Роскомнадзор приостановил такой вид обращений до конца угрозы эпидемии коронавируса.

Уведомления нужно составлять и отправлять перед сбором и обработкой персональных данных для каждой цели отдельно. Для прохода через проходную – одно, а для участия в розыгрыше – еще одно, для приема на работу или заключения договора на оказание услуг – другое и так далее.

Ваша заявка принята.
Мы свяжемся с вами в ближайшее время.

6. Как составить уведомление?

Используйте фирменный бланк компании. Далее вам поможет список рекомендаций от Роскомнадзора по составлению и заполнению формы уведомления, утвержденной приказом Роскомнадзора от 30.05.2017 №94 в редакции от 30.10.2018 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения».

В уведомлениях нужно указывать:

  • название компании или ФИО лица, собирающего данные,
  • правовое основание обработки персональных данных (можно взять отсюда, но не используйте пункт 1),
  • цель обработки персональных данных,
  • категории персональных данных (помните, что фото и видео человека – тоже его персональные биометрические данные),
  • категории субъектов, персональные данные которых обрабатываются (работник, абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и т.п.),
  • перечень действий с персональными данными – неавтоматизированная, исключительно автоматизированная или смешанная обработка,
  • описание мер защиты базы персональных данных от взлома или случайного проникновения в нее,
  • дата начала обработки персональных данных (по факту, обработка начинается вместе с началом сбора данных),
  • сроки и/или условия прекращения обработки данных,
  • планируется или нет передача персональных данных за рубеж,
  • местонахождение базы данных,
  • сведения об обеспечении безопасности персональных данных.

7. Для чего Роскомнадзору нужны наши уведомления?

Вас внесут вот в этот реестр. Здесь же вас может найти любой желающий, кто решит проверить, на законных ли основаниях вы собираете персональные данные людей.

Типы ПД

Личностные сведения классифицируют по содержанию, уровню секретности, методам обработки. Выделяют четыре основные категории такой информации – общую, специальную, биометрическую, иную.

Оператор и субъект персональных данных – кто есть кто

Субъект персональных данных – конкретный человек, личность которого указанная информация помогает идентифицировать.

Оператор – лицо, занимающееся обработкой ПД. Им могут быть:

  • организация – государственная, общественная, коммерческая;
  • частный предприниматель;
  • физическое лицо – например, владелец сайта, использующий ПД посетителей ресурса для оценки активности, рассылки, анализа половозрастной структуры пользователей и просто хранящий эти сведения.

Отсутствие такой организации или частного лица в соответствующем реестре Роскомнадзора, которое дает им право осуществлять обработку ПД, не освобождает от административной и уголовной ответственности.

Защитите компанию от сомнительных обращений. Недобросовестные подрядчики могут накручивать звонки и вводить вас в заблуждение. Чтобы контролировать лидогенерацию, подключите Антифрод от Calltouch .

Он отсечет спам , нецелевые обращения и предоставит данные об активности клиентов. Так вы оптимизируете расходы на рекламу и оставите только прибыльные площадки, которые обеспечивают целевой трафик.

Автоматически выявляет некачественные звонки, которые не приводят к продажам, а просто расходуют бюджет.

  • Выявляет и тегирует сомнительные звонки от недобросовестных рекламных подрядчиков или спам
  • Позволяет учитывать в отчетах только качественные обращения
  • Упрощает контроль подрядчиков

Как получить согласие на обработку персональных данных

Обработка ПД – любые действия с личной информацией о человеке:

  • получение (сбор персональных данных);
  • структуризация;
  • хранение на любых носителях (в электронных и бумажных архивах);
  • анализ;
  • использование в коммерческой, социальной, государственной деятельности;
  • передача другим владельцам или предоставление доступа к базе;
  • обезличивание – устранение очевидной связи между человеком и его ПД;
  • блокировка – временная остановка работы с информацией по запросу граждан или регулятора;
  • удаление и обновление;
  • ликвидация без возможности восстановления.

Обработка персональных данных проводится только с разрешения их владельца. Чтобы получить согласие субъекта и соблюсти закон, нужно:

  1. Уведомить Роскомнадзор о своих планах начать обработку персональных данных (за исключением ряда случаев, о которых мы расскажем ниже).
  2. Составить текст соглашения и разместить его в общем доступе на сайте или бумажном бланке, снабдив чекбоксом для отметки о разрешении клиента на обработку ПД.
  3. Предупредить посетителей интернет-ресурса о сборе cookie и иных метаданных (местоположения, IP-адреса) для его полноценной работы. Предупреждение обычно оформляют в виде всплывающего окна с предложением согласиться на обработку или покинуть сайт.
  4. Разместить на сайте ссылку на документ, отражающий политику конфиденциальности компании или правила работы с ПД.

Устное разрешение на обработку персональных данных не допускается. Нельзя получить его и по умолчанию. Например, то, что клиент совершил покупку на сайте, не говорит о его согласии на обработку ПД.

Для сбора биометрической информации предусматривают техническую возможность письменного разрешения – чекбокс в этом случае не подойдет.

Когда согласие не нужно

В разрешении на обработку ПД нет необходимости, если их субъект:

  1. Является участником договора.
  2. Подвергается судебному разбирательству.
  3. Не может физически предоставить согласие в экстренных ситуациях (например, находится без сознания).

Также не нужно получать согласие на обработку информации, которая не попадает в перечень исключений или не относится к ПД, например:

  • сведения, собранные для личных нужд человека – списки телефонных и почтовых контактов, визитные карточки, профили друзей в соцсетях;
  • фото или видео с общественных мероприятий или полученные на платной основе;
  • ИНН без привязки к другой информации;
  • государственные номера транспортных средств.
  • данные для проведения научных исследований, творческой деятельности, не нарушающие прав и интересов граждан;
  • информация, предназначенная для передачи только внутри компании (группы компаний)

Закон не дает исчерпывающего определения ПД, поэтому при сборе любой информации о клиенте лучше заручиться его согласием. Это поможет избежать взысканий.

Обязательства оператора по защите персональных данных

Оператор персональных данных обязан:

  • не раскрывать информацию третьим лицам, не распространять ее без согласия субъекта персональных данных, не допускать утечки;
  • изменять или удалять сведения по требованию субъекта персональных данных;
  • размещать и хранить архив с информацией на российских серверах.

Для защиты ПД применяют организационные меры и технические средства – противовирусное программное обеспечение, программно-аппаратные комплексы межсетевого экранирования, разграничение прав доступа. Чтобы понять, где и как хранить ПД, обратитесь в Минкомсвязи или Роскомнадзор. Оптимальное готовое решение может предложить и хостинг-провайдер.

При низком уровне защиты личная информация граждан может попасть в руки преступников – воров, мошенников, шантажистов. Оператор за халатное отношение к своим обязанностям будет отвечать перед законом.

Уведомление в Роскомнадзор

Чтобы уведомить Роскомнадзор о намерении вести деятельность по обработке персональных данных, заполните электронную форму на сайте ведомства или портале «Госуслуги». Заполненный и распечатанный документ можно отправить в бумажном виде – почтой по адресу местного отделения Роскомнадзора. Сведения об организации или частном лице будут добавлены в реестр в течение месяца.

Отправлять уведомление в регулирующий орган не обязательно, если обработка ПД применяется в следующих случаях:

  • оформление разового пропуска на территорию предприятия;
  • исполнение предписаний трудового законодательства при условии только внутреннего использования информации (без передачи в иные организации, например, банки);
  • заключение договоров с сотрудниками и клиентами без передачи информации третьим лицам;
  • работа с информацией только на бумажных носителях;
  • использование ПД участников в рамках одной общественной или религиозной организации.

Перед подачей уведомления нужно оповестить персонал, оснастить помещение и вычислительную технику средствами защиты информации, подготовить необходимую документацию.

Обязательные документы

В список необходимых документов входят:

  1. Политика конфиденциальности – документ, регламентирующий работу со всей информацией, требующей защиты (деловой перепиской, договорами, внутренней документацией).
  2. Правила работы с персональными данными – частный случай политики конфиденциальности, касающийся только ПД. Нередко первый и второй документы объединяют в один, это не противоречит закону.
  3. Согласие на обработку персональных данных – форма для заполнения клиентом. Она содержит наименования (ФИО) и адреса оператора (или лица, действующего по его поручению) и субъекта ПД. Также в ней представлен перечень персональных данных и методов их обработки, на которые клиент дает согласие. Обязательно указывают цель сбора информации, срок действия согласия, способы его отзыва.
  4. Обязательство о неразглашении ПД – документ, подписанный всеми сотрудниками, имеющими доступ к конфиденциальной информации о клиентах.
  5. Приказ о назначении ответственного за работу с ПД – внутренний документ, который часто требуют представители Роскомнадзора при проверках. Ответственным чаще всего назначают специалиста из отдела IT или службы безопасности.

Документы разрабатывают индивидуально, с участием юрисконсульта. Шаблон формы согласия клиента и рекомендации по составлению Правил доступны на сайте Роскомнадзора . За отсутствие обязательной документации при проверке, контролирующие органы (Роскомнадзор, ФСТЭК, ФСБ России) могут взыскать штраф.

Бизнес

Большой Callday в большом коворкинге: лучшее в этом месяце

Большой Callday в большом коворкинге: лучшее в этом месяце

Вам также может быть интересно
Статьи
Как выглядит документы на квартиру
Оригинальные документы предоставляются клиентом агентству в сроки, указанные в договоре. Если Вы планируете совершать
Статьи
Жилищный фонд
§ 3 Учет жилищного фонда В соответствии с ч. 4 ст. 19 ЖК РФ
Статьи
Что такое выписка из егрн
Выписка из ЕГРН — основной документ, подтверждающий, что здание, жильё, машино-место или участок земли
Статьи
Срок уплаты ндфл физическим лицом 2024
Обязанность по удержанию НДФЛ зависит от даты получения дохода. С 1 января 2023 года
Статьи
Исполнительский сбор
Такой сбор назначается если лицо, являющееся должником, либо несвоевременно, либо вообще не погашает тот
Статьи
Во сколько забирают в армию
Основные правила призыва в российскую армию освещены в законодательстве. Возраст призыва определяется в ФЗ
Статьи
Образец заявления в управляющую компанию на ремонт
Постановление Государственного строительства № 170 от 2003 года обязует проводить ремонт в доме каждые
Статьи
Арендодатель не возвращает залог
Аренда жилья в наше время — обычное явление. И несмотря на то, что цены
Статьи
Жестокое обращение с животными
Сокращена процедура оглашения приговора суда или иного решения, вынесенного по результатам судебного разбирательства по
Статьи
Адрес проживания
Институт прописки существовал в Советском Союзе и даже еще до его появления. Она имела
Статьи
Как откосить от армии по психушке
Полный перечень заболеваний и расстройств, который относятся к непризывным диагнозам и считаются несовместимыми с
Статьи
Что будет если не идти в армию
встать на воинский учет по месту непосредственного проживания; являться по повесткам в военкомат; хранить
Статьи
Сайты мошенники
Под конец года практически все интернет-магазины объявляют скидки — всевозможные «чёрные» дни недели, на
Статьи
Когда подавать заявление на 10000 школьникам
Чтобы собрать ребёнка в школу требуется немало денег — обновить школьную и спортивную форму
Статьи
Органы опеки это
Отдел опеки в субъектах РФ является структурным подразделением муниципальных и региональных администраций. Как правило,
Adblock
detector