В последние несколько лет вопрос о персональных данных стал чрезвычайно актуальным в связи с цифровизацией, которая неразрывно связана с обработкой информации и может приводить к утечкам данных. В ходе проверок эксперты уделяют особое внимание записям, касающимся персональных данных, их доступности, хранению, согласию работников на работу с ними. Расскажем более подробно что такое персональные данные и грамотно с ними работать.
Что такое персональные данные
Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ. В соответствии с законом к таким данным относят: фамилию, имя и отчество; населенный пункт и дата рождения; постоянное или временное место жительства. Персональными сведениями также будут фотографии и видеозаписи физического лица для его идентификации. Сведения о семье - тоже защищаемая законом информация. Это данные о детях, родственниках, семейном положении.
Информация о заработной плате, также оценка компетенции, личностные характеристики также подпадает под понятие “персональные данные”. Вместе с этнической принадлежностью, гражданством, политическими и религиозными убеждениями, философскими взглядами и сведениями о судимостях (их отсутствии) — это в совокупности относится к личным сведениям о физическом лице. Дополнительно — под действие 152-ФЗ подпадают номера телефонов, адреса электронной почты и другие идентификаторы, связанные с социальными сетями и службами обмена сообщениями (в том числе пароли от аккаунтов).
Отдельно необходимо дать определения для субъекта персональных данных и оператора, который эти сведения обрабатывает. Субъект — это лицо, чьи данные обрабатываются. Организации, такие как государственные органы, юридические лица и другие, которые накапливают, обрабатывают и хранят персональную информацию, считаются операторами персональных данных.
При этом отдельные части информации могут не относиться к категории персональных данных. Например, номер телефона сам по себе не может считаться персональными данными, но когда он вместе с именем владельца хранится в базе данных мобильного оператора, тогда он становится персональными данными. То же самое касается адресов электронной почты в виде petrov_sergey_1987@mail.ru или полного имени вместе с ИНН, номером телефона и адресом проживания.
Обратите внимание! Уничтожение персональных данных должно проводиться таким образом, чтобы исключить возможность доступа к ним постороннего персонала или сотрудников, а у проверяющих не должно быть никаких сомнений в законности этого процесса. Делис Архив проведет оценку и отбор документов, уничтожит их, представит все сопутствующие сопроводительные бумаги и уничтожит документы, содержащие конфиденциальную информацию.
Обработка персональных данных
Любое письменное соглашение, в которое включены персональные данные физического лица (а таковым оно будет, если не является общедоступной офертой), должно содержать раздел об обработке таких данных. Никакая обработка данных лица или передача их другим лицам не может происходить без письменного согласия субъекта персональных данных.
В целом, работа с персональными данными подразумевает любые действия, совершаемые с ними. Это может включать в себя накопление, передачу, документирование, хранение, восстановление, изменение, деидентификацию, изучение и утилизацию.
В свою очередь, обработка может осуществляться тремя путями: автоматизировано (с помощью программ), ручная (без применения программного обеспечения) и смешанная (обработка человеком при участии средств вычислительной техники).
После того как с персональными данными завершена работа, они помещаются в архив. Это может быть специальное помещение (в случае бумажных материалов) или цифровое хранилище (например, облачный архив). Независимо от формы хранения, оператор, который завершил обработку персональных данных, должен всегда иметь возможность оперативного поиска информации.
Контроль законодательства о персональных данных возложен на Роскомнадзор. При выявлении нарушений, это ведомство руководствуясь статьей 13.11 КоАП может привлечь любого оператора к штрафу:
- за обработку сведений для целей не упомянутых в разрешении субъекта данных может быть наложен штраф до 3 тыс. для граждан, до 10 тыс. на должностных лиц, до 50 тыс. — на организации.
- за обработку информации без письменного согласования с физическим лицом будет штраф для граждан до 5 тыс., до 20 тыс. на должностных лиц, до 75 тыс. на организации.
- за отсутствие документа о правилах обработки личных данных возможен штраф для граждан до 1,5 тыс руб., для должностных лиц до 6 тыс., для ИП до 10 тыс., а для юрлиц — до 30 тыс.
Оффтоп - мы запустили спецпроект! Telegram-канал "Бумажный мир" - экспертный канал о работе с документами и архивной отрасли! Актуальные новости, законодательство, инструкции и инструменты! Подписывайтесь.
Как безопасно обрабатывать персональные данные
Чтобы собирать, хранить и обрабатывать личные сведения, нужно соблюдать требования Закона № 152-ФЗ:
- Компания или ИП, которые планируют работать с персональными данными должны зарегистрироваться в Роскомнадзоре. При чем подать документы (чтобы статья оператором по обработке данных) необходимо строго до старта сбора, анализа и хранения информации.
- Для сбора сведений у субъектов необходимо запрашивать соответствующее разрешение с подробным описанием какие данные будут собираться. При этом собирать дополнительную информацию (даже если она предоставляется физлицами) нельзя.
- Владелец сведений (гражданин) имеет право сделать запрос оператору персональных данных и последний должен предоставить исчерпывающую информацию о характере обработки информации, порядке ее сбора и хранения.
- Персональные данные должны собираться только под заранее объявленные цели и только на срочной основе, т.е. после достижения целей собранные сведения должны соответствующим образом уничтожаться.
- Оператор персональных данных должен по заявлению субъекта уточнять, блокировать или уничтожать сведения.
Требование согласия на обработку персональных данных не всегда является обязательным. Случаи, когда персональные данные могут обрабатываться без разрешения затронутого лица, перечислены в пунктах 2-11 части 1 статьи 6 152-ФЗ. Если коротко - разрешение не требуется для обработки публичной и анонимизированной статистической информации и СМИ (при условии, что права человека остаются нетронутыми). Тем не менее, данные никогда не должны передаваться третьим лицам. В большинстве случаев веб-сайты, приложения и вообще любые коммерческие онлайн-ресурсы не подпадают под исключения.
Если оператор захочет перенести личные данные граждан в облако, ему необходимо получить на это согласие субъекта и убедиться, что структура соответствует необходимым стандартам безопасности 152-ФЗ Кроме того, необходимо заключить договор на обработку. Это служит основанием для спокойной работы и отсутствия проблем с Роскомнадзором в будущем.
Личные данные должны обрабатываться только с разрешения заинтересованных лиц. Причины обработки должны быть четко определены, например, для использования в списке рассылки. В результате, обрабатываться должна только конкретная информация; такие данные, как номера паспортов или налоговые идентификационные номера, для этой цели излишни.
Закон устанавливает множество правил хранения персональных данных. Продолжительность хранения этой информации должна определяться в соответствии с тем, для чего она нужна. Информация должна храниться так, чтобы можно было определить субъекта, а все хранящиеся данные не должны превышать срок, определенный целями обработки. Операторы персональных данных должны исправлять или удалять недостаточные (неверные) данные. Базы данных с разнородными записями, собранными для разных целей, никогда не должны объединяться. По окончании обработки все собранные данные должны быть либо удалены, либо обезличены.
Оператор несет ответственность за любые проблемы, возникающие с персональными данными, даже если они были переданы третьей стороне. Например, если банк собрал базу отсканированных изображений паспортов своих клиентов и она попала к мошенникам, банк будет привлечен к ответственности. Следовательно, системы, работающие с персональной информацией, должны быть надлежащим образом защищены. Под «надлежащим образом» понимается соответствие стандартам безопасности при обработке и хранении данных, предписанным постановлением Правительства 1119 и относящимся к категории личной информации. Каждый оператор должен самостоятельно определить необходимый уровень безопасности и соответствующим образом настроить свою инфраструктуру.