Top.Mail.Ru
Закон о персональных данных: приводим сайт в порядок

Закон о персональных данных: приводим сайт в порядок

В последние несколько лет вопрос о персональных данных стал очень актуален — рассказываем обо всем по порядку в этой статье.

Закон о персональных данных: приводим сайт в порядок


Что относится к персональным данным?


Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу (субъекту персональных данных), и позволяющая его определить:


  • ФИО;
  • место, дата рождения, место постоянной или временной регистрации;
  • фотография или видеозапись человека, которые могут его идентифицировать;
  • сведения о детях, родственниках, семейном положении;
  • сведения о заработной плате;
  • оценка навыков, личностных качеств;
  • индивидуальные личные данные (раса, национальность, политические или религиозные взгляды, философские убеждения; состояние здоровья);
  • информация о судимостях или их отсутствии;
  • номер телефона, адрес электронной почты, иные идентификаторы в социальных сетях или мессенджерах;
  • паспортные данные, СНИЛС, ИНН;
  • биометрические данные.


Некоторые из этих данных, сами по себе, без связки с другими данными, персональными являться не будут.


Например, номер телефона сам по себе не является персональными данными, но вместе с указанием ФИО владельца — является.


Адрес электронной почты в формате ivanov_ivan_1977@mail.ru тоже относится к персональным данным, как и ФИО с привязкой к ИНН, номеру телефона или месту регистрации.



Классификация персональных данных


Персональные данные подразделяют на:


  • Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.
  • Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни, судимостях.
  • Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.
  • Иные — к ним относится все остальные данные: электронная почта или геолокация, информация о принадлежности к определенной социальной группе, стаж работы и пр.



Определяемся с понятиями


Оператор персональных данных — лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.


Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием или без автоматизированных средств:


  • Сбор;
  • Запись;
  • Систематизация;
  • Накопление;
  • Хранение;
  • Уточнение (обновление, изменение);
  • Использование;
  • Передача (распространение, предоставление, доступ);
  • Обезличивание;
  • Блокирование;
  • Удаление;
  • Уничтожение.


В свою очередь, обработка может осуществляться тремя путями:


  1. Автоматизированная — с помощью средств вычислительной техники. Это компьютеры, телефоны и другие электронные устройства, базы данных, криптографические средства защиты, программы, скрипты и т.д.
  2. Смешанная — обработка человеком при участии средств вычислительной техники. Например, когда бухгалтер вбивает в программу данные из бумажного носителя.
  3. Неавтоматизированная — без использования средств вычислительной техники.


После того, как персональные данные обработаны, они отправляются на хранение в архив. Это может быть отдельное специализированное помещение, если речь о бумажных документах, или электронное хранилище (например, облачное). В любом случае нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (по закону).


Чтобы поиск не превратился в квест, необходимо правильно организовать архив — как обычный, так и электронный.



С чего начать?


Если вы еще не занимаетесь сбором и (или) обработкой персональных данных:


  1. Подготовьте политику обработки персональных данных для сайта и форму согласия на обработку персональных данных. При подготовке обратите внимание на соответствие их содержания требованиям Федерального закона «О персональных данных» от 27.07.2006 №152-ФЗ.
  2. Проверьте свой сайт на наличие ошибок.
  3. Подготовьте положение об организации обработки персональных данных. Локальный акт, который поможет соблюдать основные обязанности: сроки реагирования, порядок доступа, алгоритм действий при компрометации персональных данных и др.


Чтобы собирать, хранить и обрабатывать персональные данные, нужно соблюдать требования Закона №152-ФЗ.


Краткий чек-лист:


  • Зарегистрироваться в Роскомнадзоре, как оператор персональных данных (обязательно не для всех, ниже вы узнаете об исключениях).
  • Запрашивать разрешение на сбор и обработку данных у субъектов и не собирать с них лишние данные.
  • Отвечать на обращения субъектов и предоставлять им всю информацию.
  • Собирать и хранить информацию только для достижения определенных целей, и на определенный срок.
  • Хранить и защищать персональные данные по закону, обеспечивать сохранность, тайну и точность данных, не передавая третьим лицам. А если передавать, то только с документальным подтверждением и только аттестованным.
  • Уточнять, блокировать или уничтожать персональные данные по заявлению субъектов или когда достигли целей их сбора.


Всем ли нужна регистрация в Роскомонадзор?


Кому не нужно регистрироваться как оператору персональных данных:


  • сбор персональных данных осуществляется для установления трудовых отношений;
  • персональные данные собираются для заключения договора без последующей передачи и распространения третьим лицам и для исполнения договора;
  • обработка персональных данных из открытого доступа;
  • сбор ФИО граждан без телефона и e-mail;
  • сбор персональных данных для однократного пропуска гражданина на территорию оператора, собирающего данные, или в аналогичных случаях;
  • сбор, обработка и хранение персональных данных осуществляется на бумажных носителях без использования средств автоматизации. Хранить свой бумажный архив, включая кадровые документы и персональные данные можно вне офиса. Так можно избежать их утраты и несанкционированного доступа к информации.


Во всех остальных случаях — регистрация в Роскомнадзор обязательна.



Что стоит проверить, если вы уже занимаетесь сбором и/или обработкой персональных данных?


Доведение политики обработки персональных данных на вашем сайте до пользователей:


  1. Опубликована ли на вашем сайте политика обработки ПД?
  2. Доступен ли документ в «подвале» вашего сайта?
  3. Соответствует ли опубликованная политика установленным законом требованиям к содержанию (п. 2 ч. 1 ст. 18.1 Закона «О персональных данных»)?


Согласие на обработку персональных данных для пользователей:


  1. Указаны ли в форме согласия конкретные категории обрабатываемых данных?
  2. Установлен ли срок обработки (либо порядок его определения)?
  3. Указан ли перечень лиц, которым оператор ПД передаёт данные?


Порядок трансграничной передачи и (или) локализации персональных данных:


  1. Фигурирует ли на сайте информация об использовании иностранных сервисов: Google Analytics, Microsoft Azure, Amazon Web Services и др.?
  2. Если вы хотите продолжить использовать такие сервисы, уведомили ли вы Роскомнадзор о трансграничной передаче персональных данных?
  3. Если вы храните данные на серверах, физически расположенных за пределами РФ, соблюдаются ли требования о локализации персональных данных граждан РФ?



Если данные все же «утекли»


Необходимо уведомить Роскомнадзор о компрометации персональных данных:


  • в течение 24 часов с момента утечки: об инциденте, о предполагаемых причинах и вреде, о мерах по устранению инцидента, контактное лицо для связи;
  • в течение 72 часов о результатах внутреннего расследования.


Также необходимо подготовить ответ на запросы субъектов персональных данных и Роскомнадзора — 10 рабочих дней на ответ + 5 рабочих дней при направлении мотивированного письма.