Согласие на обработку персональных данных нужно практически везде — чтобы сдать анализы в частной клинике или оформить заказ в приложении. Вместе со специалистом по информационной безопасности Protelion GmbH Алексеем Пыриновым, экспертом Эйч, разбираемся, что является персональными данными и как правильно с ними работать, чтобы не получить штраф от Роскомнадзора.
Что относится к персональным данным
Согласно Федеральному закону №152 от 27 июля 2006 года, персональные данные — это любая информация, которая прямо или косвенно относится к человеку.
Данные можно разделить на четыре группы:
- общие: полное имя, дата рождения, место прописки, номер телефона, сведения о работе, e-mail, данные паспорта и т. д.;
- специальные: национальность, вероисповедание, медицинские данные, наличие судимостей и т. д.;
- биометрические: фотографии, отпечатки пальцев, анализ ДНК, рост, вес и т. д.;
- иные: например, размер зарплаты, социальный статус, рабочий стаж и т. д.
Персональные данные — это набор данных, с помощью которых можно однозначно идентифицировать личность человека. Обычно к ним относят номер телефона, адрес проживания, имя, информацию о состоянии здоровья и семейном положении. В то же время просто номер телефона не является персональными данными, потому что о человеке он не говорит ничего, а телефон плюс фамилия, имя, отчество — это уже персональные данные.
специалист по информационной безопасности Protelion GmbH
Когда нужно согласие на сбор и обработку персональных данных
По закону бизнес должен получить согласие, чтобы обрабатывать личные данные. Оно требуется, чтобы:
- устроиться на работу;
- подписаться на рассылку;
- подключиться к программе лояльности;
- подписать любой договор, например на лечение.
Файлы cookie тоже часто относят к персональным данным, ведь с их помощью можно узнать IP-адрес и установить личность пользователя. Этой же позиции придерживается Роскомнадзор. Поэтому, чтобы собирать cookie, нужно получить согласие.
В некоторых ситуациях согласие на обработку не требуется. К примеру, если:
- компании нужны личные данные, чтобы исполнить условия договора (например, доставить товар);
- надо отправить курьера и нужен только только номер телефона;
- информацию запросило официальное ведомство, например сотрудник Следственного комитета.
Если вы не знаете, нужно ли согласие на обработку ПД, спросите себя: можно ли установить личность клиента по оставленной им информации? Если ответ утвердительный, то согласие необходимо.
Как написать согласие на обработку персональных данных
По закону, чтобы работать с персональными данными, нужно согласие пользователя. Запрещено собирать избыточную информацию.
Обычно соглашение включает:
- данные о компании: название, адрес, юридическую информацию;
- данные о субъекте ПД: полное имя, адрес, реквизиты паспорта;
- цель обработки ПД: должна быть только одна, например регистрация на закрытое мероприятие;
- перечень персональных данных: те, которые пользователь разрешает обрабатывать, например номер телефона, место работы;
- способы обработки ПД: что именно компания-оператор будет делать с данными (собирать, хранить, распространять и т. д.);
- список лиц, имеющих доступ к ПД: сотрудники, партнеры, другие компании;
- срок хранения ПД: обычно от 3 до 75 лет, зависит от того, сколько времени нужно, чтобы выполнить цель соглашения;
- способы отозвать согласие: например, с помощью письма в свободной форме на адрес компании.
Если нужно базовое согласие на работу с персональными данными, можно взять типовую форму и подставить свои данные. Если речь о более серьезных ситуациях, например вы планируете передавать информацию в другую организацию или собираетесь обрабатывать достаточно большой перечень данных, в этом случае лучше проконсультироваться со специалистом.
специалист по информационной безопасности Protelion GmbH
Как собирать согласия на обработку персональных данных
Согласно ФЗ «О персональных данных», собирать согласия пользователей можно в бумажном или электронном виде. Обычно используют:
- печатную анкету: заполняется от руки и хранится в распечатанном виде;
- СМС-код или звонок: клиент устно диктует данные, а чтобы подтвердить согласие, сообщает отправленный код;
- чекбокс: используется онлайн, например при оформлении заказа или для сбора cookies. При необходимости документ можно скачать с сайта;
- double opt-in: двойное подтверждение, например с помощью e-mail. Сначала пользователь заполняет форму на сайте компании, а затем подтверждает согласие по электронной почте.
Все согласия необходимо хранить, пока не закончится срок их действия. Документы могут понадобиться при проверке Роскомнадзора или при жалобе пользователя.
Все организации должны иметь у себя на сайте в открытом доступе политику по работе с персональными данными. Пользователи должны в явном виде выразить свое согласие на их использование для описанных целей. Обычно это достигается посредством простой галочки и ссылки на политику безопасности.
специалист по информационной безопасности Protelion GmbH
Защита персональных данных
Компания-оператор должна защищать личные данные пользователей от утечки. Для этого нужно:
- разработать «Положение о работе с персональными данными». Это локальный документ, в котором описан порядок работы с ПД. За его отсутствие можно получить штраф;
- выбрать ответственное лицо — это может быть начальник службы персонала, глава отдела безопасности или руководитель IT-подразделения. Ответственность работника должна быть закреплена приказом руководителя;
- составить список тех, кто имеет доступ к персональным данным в организации. Некоторые сотрудники, например HR-специалисты или маркетологи, используют личные данные для работы. Они должны подписать соглашение о неразглашении;
- обеспечить безопасное хранение ПД. Например, установить камеры в архиве с данными, сделать двухуровневую систему паролей, регулярно менять ключи доступа;
- отправить заявление в Роскомнадзор. Прежде чем собирать личные данные, нужно уведомить контрольные органы. Это можно сделать через сайт, Госуслуги или лично в подразделении. Компанию внесут в реестр операторов в течение 30 дней.
Если, несмотря на все меры предосторожности, все же произошла утечка и данные попали в сеть, нужно предупредить Роскомнадзор и начать внутреннее расследование.
С 2022 года многие крупные IT-компании России подверглись утечкам: СДЕК, Яндекс Еда, Delivery Club. Совсем недавно глава Ростелекома признал, что в сеть слиты данные 100% россиян. Иногда причина утечки — не очень довольный сотрудник, который выкачивает базу данных, а потом публикует ее в даркнете. Может быть и внешний злом системы хакером. Но так или иначе это связано с несовершенством систем — недостаточно качественными средствами защиты информации или ошибками сотрудников, обеспечивающих безопасность.
специалист по информационной безопасности Protelion GmbH
Уничтожение персональных данных
Пользователь имеет право отозвать согласие на обработку, и компания обязана уничтожить личные данные. После этого она не может их использовать.
Также данные должны быть обезличены и удалены, если цель получения и обработки выполнена. На это дается 30 дней.
Затирание должно производиться либо по запросу самого человека, когда он отзывает свое согласие, либо в случае, если истекает срок, прописанный в соглашении. Если мы говорим про бумажное хранение, то листы с персональными данными нельзя просто выкинуть в мусорку, они должны быть уничтожены с помощью шредера. При уничтожении составляется акт, который должен храниться на предприятии в течение определенного времени. Его могут запросить контролирующие органы во время проверки.
специалист по информационной безопасности Protelion GmbH
Штрафы за нарушения в обработке персональных данных
Надзорным органом по персональным данным является Роскомнадзор. Специалисты регулярно проводят мониторинг и устраивают проверки, например по жалобам пользователей.
За неправильную работу с персональными данными предусмотрены штрафы от 10 000 до 18 миллионов рублей. Точная сумма зависит от тяжести нарушения и формы собственности организации. За повторные нарушения сумма штрафа может быть выше. Также компанию могут оштрафовать, если она не сообщит об утечке.
Год назад ввели оборотные штрафы за утечку персональных данных. Как простого пользователя меня это очень радует. Но как специалиста по безопасности заставляет немного понервничать. За нарушения по сбору и обработке предусмотрены фиксированные суммы штрафов, которые не зависят от выручки компании.
специалист по информационной безопасности Protelion GmbH
Главное о хранении и сборе персональных данных
- Персональные данные — это информация, которая позволяет установить личность человека.
- Чтобы работать с персональными данными, нужно получить согласие клиента. Сделать это можно в бумажном или электронном виде.
- Согласие на обработку ПД должно включать только ту информацию, которая нужна бизнесу для работы.
- Персональные данные нужно уничтожить, когда истечет срок их хранения или если пользователь отзовет согласие на обработку.
- За неправильную работу с ПД и утечку данных могут оштрафовать.
