Содержание:
Вы точно взаимодействуете с персональными данными (ПД), если принимаете сотрудников на работу, заключаете договора, обрабатываете финансовые транзакции.
Все требования по работе с ПД указаны в федеральном законе №152-ФЗ «О персональных данных». Он действует с 2007 года, серьезно изменился в 2023 году и вопросов по нему по-прежнему много. Рассмотрим, как должны храниться персональные данные, что должен знать оператор и владелец ПД.
Персональные данные — любые сведения, с помощью которых можно идентифицировать личность человека. Это ФИО, национальность, место регистрации, место работы, образование, телефонный номер.
В перечень ПД может входить этнос, политические предпочтения или мировоззрение, религиозные убеждения, сведения о месте прописки.
Эти данные не всегда являются персональными. Например:
Снимки человеческого лица тоже не всегда считаются ПД, и поэтому для их обработки не требуется прямое согласие. Например, фотография, которая хранится в личном деле работника, не приравнивается к биометрии, поскольку ее не используют для установления личности.
Часто именно ФИО становится ключевым элементом в идентификации человека. Допустим, если мы проводим опрос посетителей сайта о доходах анонимно, то мы не собираем информацию, позволяющую выявить личность. Если в процессе опроса мы выясняем их фамилии и имена, такая информация уже приобретает статус персональных данных.
Полное имя, фамилия и отчество (ФИО) тоже не во всех случаях признается персональными данными. Допустим, мы не знаем человека и не располагаем иными сведениями чтобы его идентифицировать. Ведь носителей имени «Петр Петрович Петров» может быть много. Сведения превращаются в персональные данные, когда к ФИО прилагается номер телефона.
Оператор — лицо, которое обрабатывает чужие персональные данные (передает, хранит, записывает). В том числе это:
То есть любой ресурс в интернете или информационная система, которая позволяет зарегистрироваться, заполнить анкету, заказать товар или подписаться на рассылку, собирает персональные данные пользователей.
Краткое содержание закона №152-ФЗ в том, что оператор обязан соблюдать установленные законом правила сбора и обработки персональных данных.
Субъект персональных данных — человек, которому принадлежат ПД и которого по ним можно определить. Вы станете субъектом, если укажете личные сведения при регистрации на сайте.
Оператор может передать обработку ПД стороннему лицу — обработчику. Обработчик — тот, кто выполняет обработку информации по поручению оператора. Это может быть кадровое агентство, которое работает на аутсорсе и ищет сотрудников для клиентов.
При этом обработчик сам не обязан собирать согласия с владельцев данных, за это отвечает тот, кто его нанял.
Если кратко, закон о персональных данных не дает права обрабатывать ПД без согласия от владельцев данных. Они должны знать, каким образом хранятся и обрабатываются их сведения и с какой целью. Исключения перечислены в законе:
Что еще стоит учитывать оператору при сборе и обработке ПД на сайтах в сети или в приложениях:
Перед началом обработки ПД лицо должно зарегистрироваться в РКН как оператор персональных данных, отправив уведомление об этом на сайте ведомства. В уведомлении указывают:
Работодатель обязан спрашивать у кандидата разрешение на обработку его персональных данных. Потребуется отдельный документ, электронная форма на сайте, простой галочки под пользовательским соглашением не хватит.
В судебной практике было немало случаев, когда компанию штрафовали за отсутствие локального акта, который устанавливает порядок внутренней передачи ПД сотрудников. Или за то что не составлен список физических лиц, который допускается к обработке персональных данных работников.
Это документ, в котором указывают:
Если у компании есть сайт или аккаунт, политику обязательно публикуют там в открытом доступе. Под формами обратной связи, куда пользователи вписывают личные данные, должен находиться чекбокс и подпись по типу «Даю разрешение на использование информации обо мне».
Важно, чтобы политика была на видном месте, чтобы пользователи могли без проблем найти ее и прочесть.
Форма, которая грозит владельцам сайта штрафом до 75 000 руб., так как не предполагает окошка для галочки
Документ № 152-ФЗ о персональных данных делит на несколько категорий в зависимости от уровня конфиденциальности, сложности сбора, возможности использования сторонними лицами.
К персональным данным относится основная информация о человеке:
Как уже было сказано, по отдельности это не всегда персональные данные, как, например, номер телефона, который по уточнениям Роскомнадзора не позволяет точно идентифицировать личность без связи с другими сведениями. В совокупности с другой информацией, номер телефона становится частью ПД.
Общие данные о человеке указываются в официальных документах — паспорте, военном билете или трудовой книжке. Для их сбора нередко достаточно поставленной галочки в анкете. Однако простота доступа к этой информации может привести к неприятностям для владельца, начиная от нежелательной рекламы и заканчивая мошенничеством и вымогательством.
Это уникальные физиологические и биологические характеристики человека:
Эти персональные данные часто необходимы в медицинских учреждениях, при устройстве на работу в госорганы, при оформлении паспортов и виз.
Особые ПД затрагивают глубоко личную и конфиденциальную информацию:
Чтобы третьи лица получили доступ к особым ПД, тоже потребуется согласие владельца данных.
После последних изменений суть закона о персональных данных не изменилась, но требования операторам выросли, а штрафы ужесточились. За нарушения грозят серьезные санкции, даже если их допустили в первый раз.
Особенно нужно быть внимательнее тем, кто хочет разместить персональные данные российских граждан на иностранных серверах. Раньше законодатели на это внимание не обращали, зато теперь могут оштрафовать в размере до шести миллиона рублей. Данные не должны храниться на серверах, расположенных за пределами территории России без разрешения от РКН. Но даже если получить разрешение, в будущем могут возникнуть проблемы.
Чтобы избежать подобных санкций, рекомендуется перенести обработку ПД на российские ресурсы. Существуют проверенные и надежные отечественные операторы, например QForm. Эта облачная платформа, зарегистрированная в реестре Роскомнадзора гарантирует сохранность и защиту персональных данных. Она позволяет создавать формы обратной связи, квизы и встраивать на сайт видеовиджеты.
При этом клиенту не нужно будет напрямую взаимодействовать с Роскомнадзором, проходить регистрацию или проверки, подготавливать документы.
С помощью QForm можно создать любые формы обратной связи без помощи программиста. Юрист тоже не понадобится: все формы отвечают закону №152-ФЗ, что обеспечивает законность обработки данных. QForm поможет сохранить время и деньги, которые ушли бы на оплату услуг юристов и IT-специалистов.
Читайте по теме: