Что относится к персональным данным

Любая информация о человеке (Ф. И. О., фото, место жительства, email, телефонный номер, сведения из документов и т. д.) относится к разряду персональных данных (далее ПД). Такие сведения должны касаться конкретного субъекта (к примеру, телефон или имейл), иначе она будет абстрактной, не принадлежащей никому. Но если в базу той или иной компании внесены Ф. И. О. покупателя, адрес электронной почты и мобильный номер, то речь уже идет о персональных данных, так как становится понятно, кому они принадлежат.

Источник: shutterstock.com

Аналогично и с опросами. Если анонимно интервьюировать людей, интересуясь их семейным положением, то это не является сбором ПД. Но с дополнительными сведениями о Ф. И. О. и контактном телефоне это уже персональные данные клиента. Четкого списка конфиденциальной информации не существует. Чтобы персонализировать ее, достаточно добавить паспортные данные или фамилию, имя, отчество.

Читайте также! Теплая база клиентов: как не упустить сделку

Значение конфиденциальности персональных данных

Секретность личных данных особенно важна сейчас, ведь ценность этой информации растет, а доступ к ней все больше упрощается. К ПД относятся любые сведения, которые могут идентифицировать определенного субъекта, – Ф. И. О., домашний адрес, контактный телефон, почтовый ящик и др.

Фундаментальным правом каждой личности является защита (или безопасность) персональных данных. Это важнейший принцип повседневности, который применяется в работе предприятий и учреждений.

Источник: shutterstock.com

Причины, когда конфиденциальность персональных данных имеет важное значение

• Личная безопасность. Похищенные и раскрытые ПД дают возможность злоумышленникам совершать противоправные деяния (получать доступ к банковским картам, красть деньги со счетов и др.). В этом случае защита индивидуальных данных обеспечит финансовую безопасность каждого клиента.
• Доверие. Секретность персональной информации является фундаментом доверия людей к компаниям и организациям. Если потребитель убежден, что сведения о нем защищены и будут применяться с соблюдением гражданских прав, то он готов ими делиться.
• Правовые акты. В большинстве стран имеются законодательные нормативы, которые устанавливают правила сбора, обработки и сохранения личных данных. Их нарушение приводит наложению немалых штрафов и юридическим последствиям.

Для сохранения конфиденциальности ПД обычно юридические лица разрабатывают меры безопасности, а именно ограничение доступа, установление паролей, шифровка данных, препятствование несанкционированному использованию. Такие способы позволят защитить личные сведения о гражданах и сохранить их конфиденциальность.

Защита частной информации

Это одна из ключевых задач в сегодняшней реальности, где ежедневно происходит сбор и обработка персональной информации в больших масштабах. Что означает конфиденциальность персональных данных для людей? Это надежная защита их гражданских прав на тайну частной жизни, возможность ограничить доступ к ней для третьих лиц.

Секретность ПД гарантируется следующими принципами:

• Соблюдение закона – все действия с приватной информацией осуществляются в пределах правового поля.
• Сужение целей – сбор данных с их последующей обработкой проводится в рамках заранее поставленных и согласованных задач, не выходя их правового поля.
• Минимизация приватных данных – получение и действия с приватной информацией необходимо ограничивать пределами оперативных целей и задач.
• Корректность ПД – сведения о потребителях должны быть актуальными и верными.
• Ограничение периода хранения – персональные данные необходимо обрабатывать и сохранять только на время выполнения поставленных задач.
• Индивидуальный контроль – клиенты, как субъекты личных данных, должны свободно контролировать и корректировать сведения о себе.
• Безопасность частной информации – защита ПД должна осуществляться с привлечением новейших технологий и организационных мер.

Федеральный закон о персональных данных № 152-ФЗ

ФЗ-152 от 27.07.2006 «О персональных данных» запрещает получать и пользоваться этой информацией без ведома владельца. Ответственность за сохранность сведений возложена на оператора в лице компании со штатом от одного сотрудника либо ИП, работающих с ПД.

Защита личных данных подразумевает, что предприятие должно иметь согласие от каждого клиента на получение и обработку сведений о них, уведомить соответствующий орган о своих намерениях работать с частной информацией и безопасно сохранять ее в дальнейшем.

Со дня принятия закон периодически ужесточал свои условия для операторов. Поначалу фирмам можно было просто разместить поп-ап с оповещением о cookies на своем сайте и типовой шаблон согласия на обработку персональной информации. Теперь этого мало, и операторы ПД работают над данными вопросами серьезно.

Они обязаны составить соответствующий документ, обычно называющийся «Политика использования персональных данных клиентов», где предусмотрены все способы работы с такого рода информацией. Кроме того, хранить их исключительно в отечественных хостингах, а также обеспечивать защиту от утечки информации и взлома базы. Причем хостинг-провайдер также обязан соблюдать закон ФЗ-152.

Читайте также! Работа с телефонными звонками: как заполучить клиента

Правила использования персональных данных

Как говорилось выше, работа с ПД регулируется юридически на уровне закона. В нем установлены строгие правила сбора, обработки и хранения приватной информации, которые необходимо выполнять:

• Получение и использование персональных данных проводится только для достижения законных целей оператора.
• При сборе индивидуальных сведений нужно иметь согласие от каждого субъекта на их применение.
• Передача ПД посторонним лицам происходит только с ведома их владельца и при соблюдении закона.
• После выполнения намеченных компанией (организацией) задач персональные данные необходимо обезличить либо просто удалить.
• Предприятия (учреждения), которые занимаются обработкой ПД, в обязательном порядке сообщают субъекту, каким способом и для чего они используют такую информацию, а также объясняют его права в вопросах проведения подобных операций.
• Операторы, которым нужны личные данные клиентов для достижения определенных целей, обязаны защищать их от утечки, изменения, несанкционированного доступа третьих лиц или уничтожения.
• Каждый субъект должен иметь свободный доступ к своим ПД, возможность их корректировки, блокировки либо удаления при нарушении закона или обнаружения неточностей.

Несоблюдение принципов использования персональной информации часто приводит к административной ответственности и даже уголовной. Поэтому рекомендуем следовать законодательству и создавать необходимые условия для безопасного хранения ПД и правильного их использования.

Кто такие оператор и субъект персональных данных

В тексте закона № 152-ФЗ упоминаются понятия «субъект» и «оператор» персональных данных. Поговорим о них подробнее.

Оператор ПД — это государственный (муниципальный) орган, предприятие или субъект гражданского права (физическое лицо), которые осуществляют обработку и хранение ПД, а также намечают цели или способы подобной обработки. Как разобраться, кого именно считают оператором? Для этого рассмотрим, что предусматривает обработка и защита личной информации.

В организациях вся эта информация используется по-разному. Доступ к сведениям о персонале открыт одним сотрудникам, а с данными о потребителях работают другие (например, отдел продаж). Поэтому при разработке правил применения ПД в компании обычно выделяют категории владельцев данных (субъектов). Это могут быть клиенты, работники, стажеры, семьи сотрудников, представители заказчиков и др.

Подведем итог. Кого считают оператором ПД? Того, кто получает, анализирует, передает и изменяет персональные данные, а также сохраняет их на серверах.

Кто называется субъектом ПД? Владельцы личной информации, которую хранит и применяет оператор (предприятие, учреждение, ИП).

Читайте также! Инструменты отдела продаж для заключения сделок и управления сотрудниками

Как оператор обязан защищать персональные данные

По закону № 152-ФЗ сборщик ПД обязан обеспечить их надежную защиту, уровень которой определяет тип имеющихся сведений.

• Общедоступные – не требуют мощной защиты, поскольку их легко собрать и по большому счету незачем скрывать.
• Другие ПД нужно охранять сильнее, так как они известны ограниченной группе людей.
• Биометрические данные нуждаются в повышенной защите. С их помощью проходит идентификация людей.
• Специальные ПД предполагают максимальную сохранность. Они позволят навредить субъекту.

Чтобы обеспечить конфиденциальность персональных данных, как гласит закон, оператор должен создавать довольно безопасную IT-инфраструктуру с четкой доступностью ПД, а также исключить потерю и утечку их на сторону. Кроме того, все операции (сбор, обработка, передача информации) проводятся лишь с ведома владельца. Сам оператор отвечает перед государством за свои действия, хранение и меры по защите личной информации.

Источник: shutterstock.com

Какую именно охрану обеспечить своей базе, определяет УЗ (уровень защищенности), прописанный в законодательстве. Выбор его зависит от типа персональных данных и потенциальных рисков. Существует четыре степени защиты ПД:

• УЗ-3, УЗ-4 – информацию можно держать в облачном хранилище, прошедшем государственную аттестацию.
• УЗ-1, УЗ-2 – нужны специальные условия, которые доступны только избранным провайдерам.

В облачном сервисе MCS (Cloud Solutions) можно держать личные данные со степенью защиты УЗ-2, УЗ-3, УЗ-4. Для сохранения ПД со специальными условиями (УЗ-1, УЗ-2) предусмотрена сертификация в виде частного облака или выделенного гипервизора в ЦХОД.

Облачная платформа VK Cloud (ранее известная как MCS) позволяет получить гибридную инфраструктуру для размещения персональных данных, полностью адаптированную под правовое поле. Чтобы оперативнее пройти все процедуры, в аттестации частного контура окажут помощь профессионалы VK.

Ответственность за нарушение закона

Несоблюдение законных норм при обработке личных данных компании оператору грозят штрафные санкции в размере 30 000-6 000 000 рублей с учетом вида нарушения (Кодекс РФ об административных правонарушениях, статья 13.11).

Помимо этого, отказ клиенту в оформлении договора за непредоставление ПД с 01.09.2022 карается административным штрафом на сумму 30 000-50 000 рублей (для юридических лиц).

Часто задаваемые вопросы о конфиденциальности персональных данных

Для чего нужна закрытость ПД?

Секретность индивидуальных данных позволит защитить личные сведения о субъекте от утечки, распространения или использования третьими лицами в корыстных целях. Это предотвращает риск злоупотребления информацией, мошенничества, разглашения, дискриминации и кражи личности. Каждый человек имеет право на конфиденциальность персональных данных. Это ключевой аспект их эффективного использования.

Кто должен обеспечить безопасность личной информации?

Защита ПД считается обязанностью оператора (компании, организации) или любого, кто воспользовался доступом к приватным данным.

Что не относится к специальным персональным сведениям?

Это остальные личные данные. В эту группу входит все, что не является общедоступной, биометрической и специальной информацией. К примеру, членство в клубе, вхождение в одну из социальных групп, корпоративные данные (допустим, сведения из бухгалтерии – размер зарплаты, трудовой стаж, период отпусков и др.). Другие сведения довольно трудно отличить от специальных.

Когда ПД необходимо удалять из источников общего доступа?

Согласно ФЗ-152 (статья 8), все персональные данные (будь то общедоступные или закрытые) могут выкладываться в общий доступ только с ведома и согласия их владельца. По требованию субъекта ПД или уполномоченного на то органа (суды, государственные структуры, федеральный Роскомнадзор и др.) личные данные граждан должны быть удалены из используемого источника.

Что понимается под разглашением персональных данных?

В судебной практике это определение трактуется как грубое нарушение правил конфиденциальности. Допустим, если сведения о сотруднике без его ведома передаются третьим лицам. В этом случае Уголовный кодекс РФ предполагает уголовную ответственность за разглашение персональных данных. Таковым считаются любые действия, нацеленные на распространение приватной информации среди посторонних лиц (ФЗ-152, статья 3).

Как видим, конфиденциальность персональных данных – важнейшая проблема современности, связанная с обеспечением безопасности. Сегодня каждая компания или субъект гражданских прав обязаны нести ответственность за сохранение и защиту соответствующей информации о гражданах с учетом всех потенциальных рисков.