«»Яндекс» указал, что некоторые возможности сервисов станут недоступны после удаления персональных данных. Например, «Яндекс.Музыка» советует новые треки, опираясь на историю прослушиваний, лайки и дизлайки, и без этой информации рекомендации будут неточными».
(Из новости о том, что «Яндекс» разрешил пользователям навсегда удалять персональные данные.)
Нюансы
Выделяют несколько видов персональных данных:
- Общие персональные данные. Например, Ф. И. О., место работы, место регистрации, номер телефона, электронная почта. Такие данные и так могут быть известны некоторым людям, например родственникам, или опубликованы на общедоступных площадках, например в интернете.
- Специальные персональные данные. Они находятся в закрытом доступе, и узнать их можно, только получив согласие человека (субъекта персональных данных) либо в установленном законом порядке (через суд или полицию) при наличии оснований. Как правило, это сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъекта персональных данных.
- Биометрические персональные данные. Это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Например, группа крови, отпечатки пальцев, фотографии или использование функции Face ID. Важный нюанс: такие данные считаются персональными, только если благодаря им можно идентифицировать личность. Если на входе в офис стоит камера с распознанием лиц, то фотография сотрудника — это биометрические персональные данные, так как фото служит, чтобы определить личность.
- Иные персональные данные. Служат дополнением к общим персональным данным и могут часто меняться. Например, данные, которые хранятся в бухгалтерии: информация о заработной плате, период отпуска, трудовой стаж.
Критика
Главная проблема персональных данных — в их частых утечках. Скандалы вокруг таких инцидентов происходят в России нередко. Так, в мае 2020 года в интернете появились паспортные данные москвичей, оштрафованных за нарушение самоизоляции.
В ноябре 2019 года в открытом доступе оказалась личная информация 500 000 пользователей сайта по поиску работы Job in Moscow. Хакерам стали доступны не только персональные данные соискателей, но и логины и пароли их учётных записей.
«Аксиома: любая база данных утечёт. Завтра или через три года, целиком или по кусочкам, но это обязательно случится. Вот чем опасен сбор персональных и необезличенных данных», — констатирует сооснователь и генеральный директор HFLabs Дмитрий Журавлёв.
Цифры
Чтобы решить эту проблему, в 2021 году Госдума в 10 раз подняла штрафы за разглашение персональных данных. Для граждан — с 500–1000 рублей до 5000–10 000 рублей, для должностных лиц — с 4000–5000 рублей до 40 000–50 000 рублей. Помимо этого, систематически вносимые в законодательство поправки довели ответственность юрлиц за мелкие нарушения до 200 000 рублей.
Более серьёзные нарушения, включая сбор персональных данных посредством информационно-телекоммуникационной сети «Интернет», могут повлечь наложение административного штрафа на юрлицо от 1 млн до 6 млн рублей. Повторное совершение такого нарушения может повлечь штраф от 6 млн до 18 млн рублей.
Что такое персональные данные
Персональные данные (ПД) – уникальная информация, которая позволяет идентифицировать личность каждого клиента. К ним относятся:
- фамилия, имя, отчество;
- страна, город;
- дата рождения;
- фотографическое и/или видеоизображение человека;
- адрес проживания;
- телефонный номер;
- электронный адрес;
- сведения об образовании, трудовом стаже, текущей занятости и доходах;
- информация о семейном положении, составе семьи (включая подробные сведения о ее членах);
- национальная (расовая) принадлежность;
- информация о религиозных, политических и других убеждениях гражданина;
- данные о состоянии здоровья;
- документальная информация (серия и номер общегражданского и заграничного паспортов, отметки о пересечении государственной границы, СНИЛС);
- любые сведения, способствующие идентификации пользователей интернет-ресурсов.
Согласно №152-ФЗ «О персональных данных» , под персональными сведениями подразумевают информацию, привязанную к фамилии, имени, отчеству (а также адресу, телефонному номеру) частного лица. Обезличенные данные – без подобной привязки – не относят к персональным.
Типы ПД
Личностные сведения классифицируют по содержанию, уровню секретности, методам обработки. Выделяют четыре основные категории такой информации – общую, специальную, биометрическую, иную.
Оператор и субъект персональных данных – кто есть кто
Субъект персональных данных – конкретный человек, личность которого указанная информация помогает идентифицировать.
Оператор – лицо, занимающееся обработкой ПД. Им могут быть:
- организация – государственная, общественная, коммерческая;
- частный предприниматель;
- физическое лицо – например, владелец сайта, использующий ПД посетителей ресурса для оценки активности, рассылки, анализа половозрастной структуры пользователей и просто хранящий эти сведения.
Отсутствие такой организации или частного лица в соответствующем реестре Роскомнадзора, которое дает им право осуществлять обработку ПД, не освобождает от административной и уголовной ответственности.
Защитите компанию от сомнительных обращений. Недобросовестные подрядчики могут накручивать звонки и вводить вас в заблуждение. Чтобы контролировать лидогенерацию, подключите Антифрод от Calltouch .
Он отсечет спам , нецелевые обращения и предоставит данные об активности клиентов. Так вы оптимизируете расходы на рекламу и оставите только прибыльные площадки, которые обеспечивают целевой трафик.
Автоматически выявляет некачественные звонки, которые не приводят к продажам, а просто расходуют бюджет.
- Выявляет и тегирует сомнительные звонки от недобросовестных рекламных подрядчиков или спам
- Позволяет учитывать в отчетах только качественные обращения
- Упрощает контроль подрядчиков
Как получить согласие на обработку персональных данных
Обработка ПД – любые действия с личной информацией о человеке:
- получение (сбор персональных данных);
- структуризация;
- хранение на любых носителях (в электронных и бумажных архивах);
- анализ;
- использование в коммерческой, социальной, государственной деятельности;
- передача другим владельцам или предоставление доступа к базе;
- обезличивание – устранение очевидной связи между человеком и его ПД;
- блокировка – временная остановка работы с информацией по запросу граждан или регулятора;
- удаление и обновление;
- ликвидация без возможности восстановления.
Обработка персональных данных проводится только с разрешения их владельца. Чтобы получить согласие субъекта и соблюсти закон, нужно:
- Уведомить Роскомнадзор о своих планах начать обработку персональных данных (за исключением ряда случаев, о которых мы расскажем ниже).
- Составить текст соглашения и разместить его в общем доступе на сайте или бумажном бланке, снабдив чекбоксом для отметки о разрешении клиента на обработку ПД.
- Предупредить посетителей интернет-ресурса о сборе cookie и иных метаданных (местоположения, IP-адреса) для его полноценной работы. Предупреждение обычно оформляют в виде всплывающего окна с предложением согласиться на обработку или покинуть сайт.
- Разместить на сайте ссылку на документ, отражающий политику конфиденциальности компании или правила работы с ПД.
Устное разрешение на обработку персональных данных не допускается. Нельзя получить его и по умолчанию. Например, то, что клиент совершил покупку на сайте, не говорит о его согласии на обработку ПД.
Для сбора биометрической информации предусматривают техническую возможность письменного разрешения – чекбокс в этом случае не подойдет.
Когда согласие не нужно
В разрешении на обработку ПД нет необходимости, если их субъект:
- Является участником договора.
- Подвергается судебному разбирательству.
- Не может физически предоставить согласие в экстренных ситуациях (например, находится без сознания).
Также не нужно получать согласие на обработку информации, которая не попадает в перечень исключений или не относится к ПД, например:
- сведения, собранные для личных нужд человека – списки телефонных и почтовых контактов, визитные карточки, профили друзей в соцсетях;
- фото или видео с общественных мероприятий или полученные на платной основе;
- ИНН без привязки к другой информации;
- государственные номера транспортных средств.
- данные для проведения научных исследований, творческой деятельности, не нарушающие прав и интересов граждан;
- информация, предназначенная для передачи только внутри компании (группы компаний)
Закон не дает исчерпывающего определения ПД, поэтому при сборе любой информации о клиенте лучше заручиться его согласием. Это поможет избежать взысканий.
Обязательства оператора по защите персональных данных
Оператор персональных данных обязан:
- не раскрывать информацию третьим лицам, не распространять ее без согласия субъекта персональных данных, не допускать утечки;
- изменять или удалять сведения по требованию субъекта персональных данных;
- размещать и хранить архив с информацией на российских серверах.
Для защиты ПД применяют организационные меры и технические средства – противовирусное программное обеспечение, программно-аппаратные комплексы межсетевого экранирования, разграничение прав доступа. Чтобы понять, где и как хранить ПД, обратитесь в Минкомсвязи или Роскомнадзор. Оптимальное готовое решение может предложить и хостинг-провайдер.
При низком уровне защиты личная информация граждан может попасть в руки преступников – воров, мошенников, шантажистов. Оператор за халатное отношение к своим обязанностям будет отвечать перед законом.
Уведомление в Роскомнадзор
Чтобы уведомить Роскомнадзор о намерении вести деятельность по обработке персональных данных, заполните электронную форму на сайте ведомства или портале «Госуслуги». Заполненный и распечатанный документ можно отправить в бумажном виде – почтой по адресу местного отделения Роскомнадзора. Сведения об организации или частном лице будут добавлены в реестр в течение месяца.
Отправлять уведомление в регулирующий орган не обязательно, если обработка ПД применяется в следующих случаях:
- оформление разового пропуска на территорию предприятия;
- исполнение предписаний трудового законодательства при условии только внутреннего использования информации (без передачи в иные организации, например, банки);
- заключение договоров с сотрудниками и клиентами без передачи информации третьим лицам;
- работа с информацией только на бумажных носителях;
- использование ПД участников в рамках одной общественной или религиозной организации.
Перед подачей уведомления нужно оповестить персонал, оснастить помещение и вычислительную технику средствами защиты информации, подготовить необходимую документацию.
Обязательные документы
В список необходимых документов входят:
- Политика конфиденциальности – документ, регламентирующий работу со всей информацией, требующей защиты (деловой перепиской, договорами, внутренней документацией).
- Правила работы с персональными данными – частный случай политики конфиденциальности, касающийся только ПД. Нередко первый и второй документы объединяют в один, это не противоречит закону.
- Согласие на обработку персональных данных – форма для заполнения клиентом. Она содержит наименования (ФИО) и адреса оператора (или лица, действующего по его поручению) и субъекта ПД. Также в ней представлен перечень персональных данных и методов их обработки, на которые клиент дает согласие. Обязательно указывают цель сбора информации, срок действия согласия, способы его отзыва.
- Обязательство о неразглашении ПД – документ, подписанный всеми сотрудниками, имеющими доступ к конфиденциальной информации о клиентах.
- Приказ о назначении ответственного за работу с ПД – внутренний документ, который часто требуют представители Роскомнадзора при проверках. Ответственным чаще всего назначают специалиста из отдела IT или службы безопасности.
Документы разрабатывают индивидуально, с участием юрисконсульта. Шаблон формы согласия клиента и рекомендации по составлению Правил доступны на сайте Роскомнадзора . За отсутствие обязательной документации при проверке, контролирующие органы (Роскомнадзор, ФСТЭК, ФСБ России) могут взыскать штраф.
Бизнес
Всё взлетело: 5 фактов о e-commerce в 2020 году
Всё взлетело: 5 фактов о e-commerce в 2020 году