Согласие на обработку персональных данных нужно практически везде — чтобы сдать анализы в частной клинике или оформить заказ в приложении. Вместе со специалистом по информационной безопасности Protelion GmbH Алексеем Пыриновым, экспертом Эйч, разбираемся, что является персональными данными и как правильно с ними работать, чтобы не получить штраф от Роскомнадзора.
Что относится к персональным данным
Согласно Федеральному закону №152 от 27 июля 2006 года, персональные данные — это любая информация, которая прямо или косвенно относится к человеку.
Данные можно разделить на четыре группы:
- общие: полное имя, дата рождения, место прописки, номер телефона, сведения о работе, e-mail, данные паспорта и т. д.;
- специальные: национальность, вероисповедание, медицинские данные, наличие судимостей и т. д.;
- биометрические: фотографии, отпечатки пальцев, анализ ДНК, рост, вес и т. д.;
- иные: например, размер зарплаты, социальный статус, рабочий стаж и т. д.
Когда нужно согласие на сбор и обработку персональных данных
По закону бизнес должен получить согласие, чтобы обрабатывать личные данные. Оно требуется, чтобы:
- устроиться на работу;
- подписаться на рассылку;
- подключиться к программе лояльности;
- подписать любой договор, например на лечение.
Файлы cookie тоже часто относят к персональным данным, ведь с их помощью можно узнать IP-адрес и установить личность пользователя. Этой же позиции придерживается Роскомнадзор. Поэтому, чтобы собирать cookie, нужно получить согласие.
В некоторых ситуациях согласие на обработку не требуется. К примеру, если:
- компании нужны личные данные, чтобы исполнить условия договора (например, доставить товар);
- надо отправить курьера и нужен только только номер телефона;
- информацию запросило официальное ведомство, например сотрудник Следственного комитета.
Если вы не знаете, нужно ли согласие на обработку ПД, спросите себя: можно ли установить личность клиента по оставленной им информации? Если ответ утвердительный, то согласие необходимо.
Как написать согласие на обработку персональных данных
По закону, чтобы работать с персональными данными, нужно согласие пользователя. Запрещено собирать избыточную информацию.
Обычно соглашение включает:
- данные о компании: название, адрес, юридическую информацию;
- данные о субъекте ПД: полное имя, адрес, реквизиты паспорта;
- цель обработки ПД: должна быть только одна, например регистрация на закрытое мероприятие;
- перечень персональных данных: те, которые пользователь разрешает обрабатывать, например номер телефона, место работы;
- способы обработки ПД: что именно компания-оператор будет делать с данными (собирать, хранить, распространять и т. д.);
- список лиц, имеющих доступ к ПД: сотрудники, партнеры, другие компании;
- срок хранения ПД: обычно от 3 до 75 лет, зависит от того, сколько времени нужно, чтобы выполнить цель соглашения;
- способы отозвать согласие: например, с помощью письма в свободной форме на адрес компании.
Как собирать согласия на обработку персональных данных
Согласно ФЗ «О персональных данных», собирать согласия пользователей можно в бумажном или электронном виде. Обычно используют:
- печатную анкету: заполняется от руки и хранится в распечатанном виде;
- СМС-код или звонок: клиент устно диктует данные, а чтобы подтвердить согласие, сообщает отправленный код;
- чекбокс: используется онлайн, например при оформлении заказа или для сбора cookies. При необходимости документ можно скачать с сайта;
- double opt-in: двойное подтверждение, например с помощью e-mail. Сначала пользователь заполняет форму на сайте компании, а затем подтверждает согласие по электронной почте.
Все согласия необходимо хранить, пока не закончится срок их действия. Документы могут понадобиться при проверке Роскомнадзора или при жалобе пользователя.
Защита персональных данных
Компания-оператор должна защищать личные данные пользователей от утечки. Для этого нужно:
- разработать «Положение о работе с персональными данными». Это локальный документ, в котором описан порядок работы с ПД. За его отсутствие можно получить штраф;
- выбрать ответственное лицо — это может быть начальник службы персонала, глава отдела безопасности или руководитель IT-подразделения. Ответственность работника должна быть закреплена приказом руководителя;
- составить список тех, кто имеет доступ к персональным данным в организации. Некоторые сотрудники, например HR-специалисты или маркетологи, используют личные данные для работы. Они должны подписать соглашение о неразглашении;
- обеспечить безопасное хранение ПД. Например, установить камеры в архиве с данными, сделать двухуровневую систему паролей, регулярно менять ключи доступа;
- отправить заявление в Роскомнадзор. Прежде чем собирать личные данные, нужно уведомить контрольные органы. Это можно сделать через сайт, Госуслуги или лично в подразделении. Компанию внесут в реестр операторов в течение 30 дней.
Если, несмотря на все меры предосторожности, все же произошла утечка и данные попали в сеть, нужно предупредить Роскомнадзор и начать внутреннее расследование.
Уничтожение персональных данных
Пользователь имеет право отозвать согласие на обработку, и компания обязана уничтожить личные данные. После этого она не может их использовать.
Также данные должны быть обезличены и удалены, если цель получения и обработки выполнена. На это дается 30 дней.
Штрафы за нарушения в обработке персональных данных
Надзорным органом по персональным данным является Роскомнадзор. Специалисты регулярно проводят мониторинг и устраивают проверки, например по жалобам пользователей.
За неправильную работу с персональными данными предусмотрены штрафы от 10 000 до 18 миллионов рублей. Точная сумма зависит от тяжести нарушения и формы собственности организации. За повторные нарушения сумма штрафа может быть выше. Также компанию могут оштрафовать, если она не сообщит об утечке.
Главное о хранении и сборе персональных данных
- Персональные данные — это информация, которая позволяет установить личность человека.
- Чтобы работать с персональными данными, нужно получить согласие клиента. Сделать это можно в бумажном или электронном виде.
- Согласие на обработку ПД должно включать только ту информацию, которая нужна бизнесу для работы.
- Персональные данные нужно уничтожить, когда истечет срок их хранения или если пользователь отзовет согласие на обработку.
- За неправильную работу с ПД и утечку данных могут оштрафовать.