Персональные данные: что это такое, как обрабатывать и защищать по закону

Хранение персональных данных на территории России: что нужно знать?

Центр цифровой экспертизы Роскачества объясняет, насколько надежно российские компании хранят данные в облаке и зачем их нужно хранить в российских облаках.

Компании, распространяющие свою цифровую продукцию на территории РФ, должны соответствовать ФЗ-152 – Федеральному закону «О персональных данных» от 2006 года. Он регулирует деятельность по обработке и использованию персональных данных граждан РФ. Закон регламентирует защиту персональных данных, содержит правила обработки и обеспечения персональных данных.

Чтобы какая-то организация или компания могла собрать ваши данные, необходимо получить согласие на их обработку. Это можно сделать, получив письменно согласие, но чаще всего оно получается через интернет, когда пользователь ставит отметку о согласии на обработку.

Важно! В этом случае на сайте компании сборщика данных должна быть размещена политика конфиденциальности.

Нарушение закона о персональных данных грозит определенными санкциями. Если компания не защитит информацию о вас и к ней получат доступ злоумышленники, то ее оштрафуют. Роскомнадзор регулярно проводит плановые и внеплановые проверки сайтов. Последние происходят по заявлениям граждан. Если разработчик хоть в чем-то не соблюдает закон, то рискует оказаться фигурантом административного или уголовного дела. Любой пользователь может написать жалобу за использование его персональных данных. В России уровень и глубина проверок на соответствие 152-ФЗ дискутируется экспертами.

Говоря о 152-ФЗ, невозможно не упомянуть также его европейского коллегу – GDPR (General Data Protection Regulation), или Общий регламент по защите данных. Хоть GDPR и вступил в силу на 10 лет позже, но по большому счету это глобальное обновление закона от 1995 года Data Protection Directive. В плане конфиденциальности GDPR идет немного дальше отечественного аналога и поднимает такие вопросы, как детская конфиденциальность и ее определение, четкость определения персональных данных, прозрачность применения и обработки персональных данных, а также определение количества операторов персональных данных, в том числе предполагаемые действия, перенос и утечка.

С позиции GDPR каждое взаимодействие участников обработки персональных данных должно быть задокументировано. Если какая-то связь при передаче данных внутри оператора будет нарушена, появятся риски получить большие штрафы.

Что относится к персональным данным, а что нет

Чтобы определить, что такое ПДн и как с ними работать, обратимся к Федеральному закону №152-ФЗ «О персональных данных». В законе есть следующее определение персональных данных:

«Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу»

Телефон, email, фотография, ФИО — все это может считаться ПДн.

Категории ПДн в форме на сайте Роскомнадзора.

Также к ПДн можно отнести:

  • национальность;
  • политические, философские и религиозные взгляды;
  • место регистрации;
  • информацию о здоровье, отпечатки пальцев и образцы голоса;
  • информация о судимостях;
  • номер телефона и электронная почта;
  • СНИЛС, ИНН и паспортные данные;
  • ссылки на личные страницы и cookies.

Но есть нюансы. В совокупности друг с другом эти данные могут считаться ПДн, а по отдельности — не всегда. Например, сам по себе адрес электронной почты не ПДн — это абстрактные данные. Но адрес почты «petrov120999@mail.ru», который принадлежит Петрову Петру Петровичу — это ПДн.

Аналогично с телефоном — сам по себе номер это не ПДн. Но если в базе телефонного оператора указано, что владелец номера +7999-999-99-99 — Петров Петр Петрович, то это уже персональные данные. По ним оператор идентифицирует владельца.

Фотографии человека всегда является ПДн, однако они не всегда являются биометрическими ПДн, на обработку которых требуется письменное согласие. К примеру, фото в скане паспорта в личном деле сотрудника. Такая фотография не будет являться биометрией, поскольку не используется для идентификации.

Фамилия, имя и отчество тоже не всегда ПДн. Например, когда мы не знаем человека и без дополнительной информации затруднительно его идентифицировать. Информация «Петров Петр Петрович» ничего нам не говорит — полных совпадений может быть сотни. Но если у нас есть сопоставление, что у Петрова Петра Петровича номер телефона +7-999-999-9999, то это уже ПДн.

Часто ФИО задает контекст и становится ключевой частью в персональной информации, без которой большая часть данных теряет смысл. Например, когда мы анонимно опрашиваем посетителей сайта о размере зарплаты, то не собираем ПДн. Но если через опрос мы выясняем фамилии и имена, то эта информация уже ПДн.

Полного списка ПДн нет. Данные из списка не всегда относятся к ПДн. Поэтому в 152-ФЗ нет эталонного перечня информации, или законченного списка, по которому было бы понятно, из чего состоят персональные данные. Причина в том, что они зависят от контекста.

Если по набору информации можно идентифицировать человека, как личность, то это ПДн. Если для идентификации нужна дополнительная информации — набор данных уже не ПДн.

Примечание. 152-ФЗ не уникален. В Европе действует его аналог — Общий регламент по защите данных (GDPR). GDPR похож на 152-ФЗ, но есть и некоторые различия. Для начала взглянем на типы ПДн.

реклама

Облачные хранилища это прежде всего Google Диск и Яндекс.Диск. В них можно хранить как текстовые файлы, так и фотографии, музыку, видео. Рассмотрим их подробнее.

Google Диск предоставляет в бесплатное пользование 15 Гб свободного места, если хотите больше, то оформляйте подписку. Не стоит забывать, что компания Гугл (Google) является разработчиком мобильной операционной системы Андроид (Android), и если у Вас на смартфоне стоит одна из его версий, то аккаунт на mail.google.com будет обязательным. Он позволит сохранять в облако записную книжку смартфона и резервные копии приложений типа Ватсап (WhatsApp).

Внимание! Если ваш ребёнок просит сделать ему канал на Ютубе, чтобы стать блогером, то обязательно создавайте для него новый аккаунт! Поскольку если его неожиданно забанят, то Ваши данные останутся в целости и сохранности. Аналогично если Вы сами пишите много комментариев «о накипевшем», пишите их с «чистого» аккаунта.

Kaspersky Password Manager

Данное программное обеспечение, как следует из названия, в первую очередь является менеджером паролей. Однако на самом деле область его применения намного шире, так как фактически вы можете хранить не только свои пароли, но и персональные данные (данные о паспорте, водительском удостоверении, банковских карточках и счетах и т. д.). Причем, естественно, не только свои персональные данные, но данные ваших близких, сотрудников или партнеров.

Рассмотрим подробнее, как работает эта программа. Установка ее не вызывает никаких сложностей, поэтому здесь я не буду ее описывать. Сразу же после установки вам будет предложено на выбор несколько вариантов авторизации.

  • Мастер-пароль (по умолчанию). При этом автоматически будет отслеживаться сложность вашего мастер-пароля.
  • Аутентификация с помощью USB-flash. Естественно, в этом случае вы должны носить флэшку не в той же сумке, что и ноутбук A.
  • Bluetooth-устройство.
  • Без аутентификации. Данный способ, несомненно, самый удобный, однако не рекомендуется ввиду отсутствия безопасности как таковой.

После того как вы введете свой мастер-пароль, на экране появится основное окно программы (экран 4).

Основное окно Kaspersky Password Manager
Экран 4. Основное окно Kaspersky Password Manager

После этого вы можете вручную ввести пароли к необходимому программному обеспечению (например, ICQ). Однако наиболее интересным, на мой взгляд, является создание личных заметок. В диалоговом окне вам будут предложены шаблоны личных заметок (хотя вы можете создавать их сами). В частности, с помощью данного модуля можно хранить такую информацию, как:

  • лицензии на использование программного обеспечения;
  • кредитная карта;
  • банковский счет;
  • удостоверение личности;
  • водительские права;
  • паспорт;
  • виза;
  • удостоверение избирателя;
  • студенческий билет;
  • параметры подключения к Интер­нету.

Для себя я бы еще добавил налоговый код (весьма актуально на Украине).

Пример ввода паспортных данных показан на экране 5.

Паспорт
Экран 5. Паспорт

Таким образом вы можете хранить не только свои личные данные. А теперь, на мой взгляд, самое интересное. Если перейти на вкладку «Настройка», то вы сможете изменить алгоритм шифрования своих данных.

Для этого нужно выбрать разработчика (по умолчанию — Microsoft Strong Cryptographic Provider) и алгоритм (по умолчанию RC4 с длиной ключа 128 разрядов). Вместе с тем необходимо отметить, что вы можете создать переносную версию на основе USB-накопителя, что позволит воспользоваться вашими данными на другом компьютере.

Хранение персональных данных на территории России

Может быть, помните, что начиная с лета 2014 года было много шума из-за принятия закона о персональных данных (№242-ФЗ)? Этот закон обязывает операторов персональных данных обеспечить запись, хранение (и прочие операции) персональных данных граждан РФ с использованием баз данных на территории РФ с 1 сентября 2015 года. Это означает, что персональные данные наших соотечественников должны храниться на российской территории. Однако это не означает, что за рубежом они не могут храниться вовсе. Согласно позиции Министерства связи, хранение данных за пределами РФ является возможным, если первоначальная обработка осуществлялась на территории РФ. Другими словами, можно иметь две базы данных – одна в России, а другая – за рубежом. При этом Роскомнадзор, скорее всего, не сможет проверить, насколько эти базы идентичны.

Огромное внимание Роскомнадзор уделяет правильно составленным обязательным документам. Поэтому рекомендуем Вам в самое ближайшее время разработать и утвердить следующие документы:

  1. Правила обработки персональных данных (скачать образец)
  2. Порядок доступа работников в помещения, в которых проводится обработка персональных данных
  3. Документ о назначении лица, ответственного за организацию обработки персональных данных.

С правилами обработки персональных данных необходимо ознакомить всех работников НКО под роспись. Документы, содержащие персональные данные, должны храниться в запирающихся шкафах.

Закон также требует, чтобы персональные данные уничтожались тогда, когда их хранение уже не является необходимым. Например, жалоба была выиграна в Европейском суде, решение ЕСПЧ было исполнено, значит, данные нужно уничтожить. А об уничтожении составить акт.

Более того, мы Вам ранее рассказали, что закон требует, чтобы хранение и обработка велась в России, поэтому необходимо иметь документы, подтверждающие размещение баз данных на технических площадках (ЦОД, сервера) в России. Это могут быть либо собственные серверные мощности, либо арендованные.

По общему правилу, если Вы обрабатываете (например, храните обращения граждан), то всегда лучше иметь согласие лица на обработку его персональных данных. Примерную форму такого согласия можно найти по ссылке.

Естественно, в работе правозащитных организаций иногда получить согласие человека невозможно. Например, при похищении человека или при применении пыток к заключенному. В законодательстве есть ряд исключений, которые позволяют обрабатывать персональные данные без согласия. Поэтому при работе с такими обращениями важно понимать, в какую категорию исключений они могут попасть (на случай, если к Вам после публикаций придет Роскомнадзор с проверкой). Но их немного:

Если обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, и если получение согласия субъекта персональных данных невозможно. Как только угроза жизни или здоровью прекращается, обработка должна быть прекращена. При этом понять, когда, по мнению Роскомнадзора, угрозу можно считать прекращенной, например, при жалобах на пытки в СИЗО, не совсем ясно. Очевидно одно, что в течение короткого времени, данное исключение будет позволять работать с персональными данными, но если есть перспектива долгосрочной работы над обращением, лучше взять согласие.

Если есть договор между организацией и лицом (например, родственником пропавшего), в котором бенефициаром (человеком, в пользу которого договор исполняется) является лицо, чьи персональные данные подлежат обработке. Это может быть договор оказания услуг (например, юридических, и например, на безвозмездной основе). Поэтому если получение согласие от субъекта персональных данных никак невозможно, то рекомендуем заключить подобный договор с родственником. В таком случае, Вам будет, что предъявить Роскомнадзору при внеплановой проверке.

Однако если Вы обрабатываете данные, которые относятся к категории «специальные персональные данные» (это данные относительно расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни), то нужно обязательно брать согласие человека.

Что считается персональными данными

Если коротко, персональные данные — это любая информация, относящаяся к человеку прямо или косвенно, например номер телефона или цвет глаз.

Вот типичный перечень сведений о клиенте, которые обрабатывают компании:

  • имя и фамилия;
  • дата рождения;
  • электронная почта;
  • телефон;
  • адрес;
  • геопозиция;
  • cookies;
  • данные из соцсетей;
  • любые другие факты о человеке, его образовании, убеждениях и физиологических особенностях, которые помогают его идентифицировать.

Некоторые данные, например географическое положение, сами по себе неинформативны, но их тоже относят к персональным данным — зачастую они обрабатываются вкупе с другими сведениями.

Существуют ли четкие правила хранения персональных данных?

Многие начинающие бизнесмены полагают, что для урегулирования вопросов, касающихся операций с ПДн, есть четкие инструкции, используя которые получится сформировать четкие правила и привести деятельность в соответствии с законодательными требованиями. На практике единого подхода к решению вопроса нет. Это значит, что каждый руководитель или ИП самостоятельно (или делегируя обязательства на заместителя либо руководителя отдела кадров):

  • разрабатывает регламент хранения персональных данных;
  • определяет, где они будут находиться;
  • подбирает и одобряет предпринимаемые меры защиты и ограничения доступа;
  • назначает сотрудников, которые будут нести ответственность за контроль операций с личными сведениями;
  • выбирает те или иные виды наказаний за нарушения правил;
  • подписывает внутренние распоряжения.

Ответственный подход на начальном этапе дает возможность в будущем не вносить радикальных изменений даже при изменении нормативно-правовой базы. Для того, чтобы все сделать правильно, необходимо принимать в расчет актуальные предписания относительно работы архивов, ограничения доступа к информации разных категорий сотрудников, а также ранее установленный порядок сбора и обработки ПДн (он должен быть закреплен в локальном акте или распоряжении). Еще один существенный момент заключается в том, чтобы политика по данному вопросу учитывала способ выполнения операций (в рамках ИСПДн либо на бумажных носителях).

Какие права у меня есть при обработке моих персональных данных?

1. Право на получение у оператора информации, касающейся обработки ваших ПД.

Вы можете обратиться к оператору с требованием о предоставлении следующей информации:

  • подтверждение факта обработки ваших ПД оператором – он должен подтвердить или опровергнуть информацию об этом;
  • правовые основания и цели обработки ваших ПД – если вы дали свое согласие на обработку, то оператор должен сослаться на него. Если он вправе осуществлять обработку без вашего согласия, то должен сослаться на конкретное положение закона. Также оператор должен перечислить цели, для которых осуществляется обработка ПД;
  • способы обработки ваших ПД – возможны два способа: автоматизированный – обработка с помощью средств вычислительной техники; без использования средств автоматизации – обработку осуществляет человек;
  • наименование и место нахождения оператора; сведения о лицах (за исключением работников оператора), которые имеют доступ к ПД или которым эти данные могут быть раскрыты на основании договора с оператором или на основании федерального закона – здесь речь идет об органах госвласти, которым оператор передает ваши ПД, а также об иных третьих лицах, которым оператор передает ваши ПД на основании договора;
  • перечень обрабатываемых ПД и источник их получения – оператор должен указать, какие именно ваши данные он обрабатывает и как их получил;
  • сроки обработки и хранения ПД;
  • порядок осуществления вами прав, предусмотренных Законом о персональных данных, – информация о том, каким образом вы можете реализовать свои права у данного оператора;
  • о трансграничной передаче ПД – информация о том, передаются ли ваши ПД за границу;
  • сведения о лице, осуществляющем обработку ваших ПД вместо оператора, – например, сторонняя организация вместо работодателя обрабатывает ПД работников для предоставления кадровых и бухгалтерских услуг;
  • иные сведения, предусмотренные законодательством.

Право на получение такой информации не распространяется на случаи обработки ПД в целях обороны страны, безопасности государства, охраны правопорядка, в рамках законодательства о противодействии отмыванию доходов, полученных преступным путем, и т.д.

Как получить от оператора необходимую информацию?

Вы вправе обратиться к оператору лично, придя в офис. Можно направить запрос по почте в виде письменного документа или на e-mail в виде электронного документа, подписанного усиленной квалифицированной электронной подписью.

Самый надежный способ обращения – направление по обычной почте ценного письма с описью вложения. Оставьте у себя почтовые квитанции и опись – так вы сможете подтвердить факт направления запроса оператору.

В запросе обязательно нужно указать:

  • паспортные данные;
  • если ваши ПД обрабатываются оператором на основании договора, то укажите дату его заключения и номер;
  • если вы не заключали договор с оператором, укажите иные сведения, подтверждающие ваши взаимоотношения с ним; например, если вы купили товар на сайте оператора, можете сослаться на адрес сайта, номер вашего заказа и т.д.;
  • иные сведения, подтверждающие факт обработки ваших ПД оператором; например, ссылка на электронное письмо с рекламными материалами;
  • ваша подпись.

При личном обращении информация об обработке ПД должна быть предоставлена вам незамедлительно. Если запрос был направлен по почте, то ответ должен поступить в течение 30 дней с даты получения оператором запроса.

Повторно обратиться к оператору вы можете не ранее чем через 30 дней после первоначального обращения. Отправить второй запрос, не дожидаясь истечения 30-дневного срока, вы можете, только если оператор предоставил не всю информация, которую вы требовали. Но вы должны будете обосновать свое обращение. В случае несоблюдения этих условий оператор вправе отказать в выполнении повторного запроса.

2. Право на предъявление иных требований к оператору, обрабатывающему ваши ПД.

Вы можете требовать от оператора:

  • уточнить ваши ПД;
  • блокировать ПД – временно прекратить обработку данных. Например: вы обратились к оператору с требованием уточнить ПД и, пока вносятся изменения, заблокировать их, чтобы приостановить обработку неточных данных;
  • уничтожить ПД. Например: вы просите оператора уничтожить паспортные данные, которые не нужны ему для направления вам рекламных материалов.

Такие требования можно предъявить, если ПД, которые обрабатывает оператор:

  • неполные, например вместо Ф.И.О. указана только фамилия;
  • устаревшие, например если вы поменяли паспорт;
  • неточные, например ваша фамилия указана с ошибкой;
  • получены незаконно;
  • не являются необходимыми для заявленной цели обработки. Например: продавец обрабатывает ваши паспортные данные, хотя получал ПД для направления рекламных материалов, для чего ему достаточно знать ваши имя и e-mail или номер телефона.

Как обратиться к оператору с одним из требований?

Порядок обращения может быть таким же, как и при запросе информации об обработке ПД (см. выше пункт 1). При оформлении обращения рекомендую указать свои контактные данные и четко сформулировать свое требование (об уточнении, блокировании или уничтожении ПД). Тут же нужно сослаться на ч. 1 ст. 14 и ч. 3 ст. 20 Закона о персональных данных.

Отказать в выполнении требования оператор не может. Он обязан сделать это в течение 7 дней и уведомить об этом вас и тех, кому были переданы ваши ПД. Если оператор не выполнил ваши требования, имеет смысл обратиться в контролирующий орган – Роскомнадзор.

3. Право на отзыв согласия на обработку ПД.

После отзыва согласия оператор не может обрабатывать ваши ПД, за исключением случаев, когда обработка может быть продолжена по закону. Например: вы заключили с оператором договор оказания услуг и подписали согласие. После его отзыва оператор вправе продолжить обработку ваших ПД только в том объеме, который необходим для оказания вам услуг по договору.

Как отозвать согласие на обработку персональных данных?

Порядок обращения может быть таким же, как и при запросе информации об обработке ПД (см. выше пункт 1). При оформлении отзыва рекомендую указать свои контактные данные и четко сформулировать свое требование (отзыв ранее выданного согласия на обработку ПД). Сослаться нужно будет на ч. 2 ст. 9 и ч. 5 ст. 21 Закона о персональных данных.

Оператор не может вам отказать и должен будет прекратить обработку ПД в течение 30 дней с даты поступления отзыва.

4. Право принимать предусмотренные законом меры по защите своих прав.

Если вы считаете, что оператор:

  • осуществляет обработку ваших ПД с нарушением требований закона, например обрабатывает биометрические данные без письменного согласия;
  • иным образом нарушает ваши права, например игнорирует ваши требования об уничтожении ПД, отзыве согласия, отказе от обработки ПД в целях продвижения товаров, работ или услуг и т.д.

В таких случаях вы можете обратиться:

  • в территориальный орган Роскомнадзора с жалобой на действия или бездействие оператора;
  • в суд с требованием о восстановлении нарушенных прав, а также с требованием о взыскании убытков (причиненный вам имущественный вред) и компенсации морального вреда (причиненные нравственные страдания).

Вы можете обратиться за защитой своих прав в любой из этих органов. Однако наиболее быстрый и надежный способ – направление жалобы в территориальный орган Роскомнадзора. Это позволит сэкономить время и силы. При обращении в суд дело может рассматриваться очень долго, нужно будет посетить не одно судебное заседание, представить доказательства и т.д.

1 Кассационное определение Судебной коллегии по административным делам Верховного Суда РФ от 22 января 2020 г. № 5-КА19-56.

Adblock
detector