Как защитить персональные данные и работать с ними по закону

Компании, которые работают с физическими лицами, вынуждены также иметь дело с их персональными данными

Это могут быть домашние адреса, контактные номера телефонов, электронная почта или данные медицинских обследований — все зависит от специфики компании.

Но нарушить 152-ФЗ, основной закон, регулирующий обработку персональных данных, не так сложно. Попробуем разобраться, как защитить личные данные физических лиц и работать с ними, не нарушая при этом закон.

Основная терминология

В основе всего лежит понимание терминологии. Ее довольно много, но она необходима для соблюдения закона, как ни крути.

В 152–ФЗ дано определение персональным данным. Согласно букве закона, это любая информация, которая относится к прямо или косвенно определённому или определяемому физическому лицу. Т.е. персональные данные – абсолютно любая информация о физическом лице.

Если исходить из минимального набора информации, то персональными данными будет та информация, которая позволит осуществлять какие-либо действия на физическое лицо, например, таргетировать рекламу.

Более того, к персональным данным относят национальную и религиозную принадлежность, политические взгляды, информацию об интимной жизни.

Субъект персональных данных — это лицо, чью информацию обрабатывают, а операторами называют компании, занимающиеся обработкой данных, также в обязанностях таких организаций - защита персональных данных. При этом оператором можно назвать любую компанию — все так или иначе обрабатывают данные сотрудников.

Информационная система персональных данных – это база данных, которая обрабатывается при помощи информационных технологий и технических средств. Например, системы Интернет-магазин, 1С: ЗУП, 1С: ЗиК, 1С: Бухгалтерия, Кадр, SAP, Estaff, CRM и многие другие.

Акты, регулирующие обработку персональных данных

Главный законодательный акт в обработке персональных данных — 152-ФЗ, который определяет требования к обработке персональных данных. Но кроме него есть и другие:

Постановление Правительства РФ от 15.09.2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" – регулирует обработку ПД без использования средств информатизации.

Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ – определяет требования к обработке персональных данных работников.

Постановление Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" – определяет требования к защите персональных данных в ИСПДн.

Приказ ФСТЭК России от 18.02.2013 г. №21. "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" – защита ПД в ИСПДн.

И ещё ряд других документов меньшего масштаба.

Шесть принципов обработки персональных данных

152-ФЗ формирует принципы обработки данных пользователей, которые помогут понять как защитить персональные данные в организации. Некоторые из них, правда, дублируют сами себя.

Наличие законных оснований

Нельзя просто так собирать данные пользователей — для этого должны быть основания: согласие на обработку персональных данных, договор, публичная оферта, закон и др.

Например, обработка данных работников осуществляется на основании Трудового, Налогового кодексов и других нормативно правовых актов, внутренних политик и положений организации или согласия на обработку персональных данных, если его нужно получать.

А данные пользователей могут обрабатываться на основании Закона о защите прав потребителей и Публичной оферты или согласия на обработку персональных данных.

Наличие целей

Обработка персональных данных не должна быть бесцельной.

Не допустимо собирать и хранить данные физлиц на случай, если они понадобятся в будущем для чего–либо.

Если вам нужно пояснение по вопросу, что является целью обработки персональных данных, мы всегда готовы уточнить спорные моменты.

Отсутствие избыточности

Состав обрабатываемых данных не должен превышать необходимый для достижения цели. К примеру, для доставки товара не нужна информация о дате рождения пользователя, поэтому запрашивать и обрабатывать ее нельзя.

Но если вы поздравляете пользователя с днем рождения и дарите ему бонусы, то дату рождения можно обрабатывать, но эта цель должна быть описана в согласии или публичной оферте.

Прекращение обработки по достижению цели

После того, как цель была достигнута и никаких законных оснований для хранения данных нет, их необходимо удалить, либо уничтожить.

Например, после удаления аккаунта пользователя вы должны хранить часть его данных примерно 5 лет, для финансовой отчетности. Но все остальные данные, которые не требуются для данной цели, вам необходимо удалить.

Запрет объединения баз данных с несовместимыми целями

Нельзя хранить данные физлиц, если они обрабатываются в совершенно разных целях, совместно. Например, нельзя хранить данные пользователей совместно с данными представителей подрядчиков.

В данном случае допустимо их хранить в одной системе, но, как минимум, в разных базах данных. То есть необходимо разграничить каким – либо образом места хранения данных, которые хранятся в разных целях.

Точность и актуальность

Если организации становится известно, что персональные данные поменялись, их нужно актуализировать. К примеру, если пользователь поменял номер телефона, то он должен предоставить обновленный номер, а организация должна скорректировать данную информацию.

Иначе организация будет звонить человеку, который не является ее клиентом, а он может подать жалобу в Роскомнадзор.

Условия для обработки персональных данных

В статье 6 152–ФЗ определены следующие условия для обработки, которые помогут защитить персональные данные в организации:

1. Согласие на обработку персональных данных позволяет обрабатывать данные только в рамках того, что в согласии было указано.

2. Законодательные акты и Международные договоры, определяют необходимость обработки данных в определенных в них целях.

3. Участие в судопроизводстве и исполнение принятого решения, позволяет обрабатывать данные в рамках ведения судебного процесса и исполнения принятого решения.

4. Договор, либо действия связанные с заключением договора, определяет возможность обработки данных лица, являющегося стороной по договору, выгодоприобретателя и поручителя в рамках исполнения договора, если состав обрабатываемых данных превышает состав, который необходим по договору, необходимо получать согласие на обработку таких данных.

5. Защита жизни, здоровья или иных жизненно важных интересов физлица, применимо только в том случае, если получить согласие на обработку невозможно. Например, если на территории организации работнику стало плохо, и он не может ничего делать, в таком случае представитель организации может передать все необходимые данные о работнике медицинским специалистам.

6. Осуществление прав и законных интересов, применимо в том случае, если удастся доказать наличие прав и законных интересов, при этом они не должны нарушать права и свободы физлица и в организации должен быть разработан документ, который будет регламентировать обработку данных в данных целях.

7. Осуществление обработки общедоступных данных и данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законом, применимо в том случае, если данные опубликованы в тех же целях, в которых вы их обрабатывает.

8. Осуществление обработки персональных данных необходимых для защиты жизни, здоровья или иных жизненно важных интересов физического лица, при условии если согласие на обработку персональных данных получить невозможно.

9. Обработка персональных данных Журналистами и (или) при законной деятельности средств массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы физического лица.

10. Обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии невозможности определения физического лица на основании обрабатываемых данных.

11. Обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен физическим лицом либо по его просьбе (общедоступные персональные данные), при условии, что цель публикации совпадает с целью обработки персональных данных.

Приведение организации в соответствие законодательства в области персональных данных

Определите рабочую группу — специалистов, которые будут приводить компанию в соответствие законодательству.

Определите, занимается ли организация обработкой персональных данных. Нужно проверить бизнес-процессы, которые могут требовать обработки личной информации. Вместе с сотрудниками, которые занимаются этими процессами, установите, не нарушаются ли в ходе работы принципы обработки персональных данных. Стоит определить цели сбора, длительность хранения и ряд других важных моментов.

Выявите несоответствия с законодательством и продумайте пути их устранения. В рамках устранения несоответствий рабочая группа удаляет и уничтожает данные, которые не нужны для реализации данной цели; организует сбор согласий на обработку персональных данных; приводит формы согласий в соответствие; подготавливает дополнительные соглашения к договорам с контрагентами.

Назначьте ответственного за обработку персональных данных и подготовьте необходимую документацию. Каких-либо требований к количеству или наименованию документов нет. То есть организация может разработать любые документы, главное, чтобы в них содержалась определенная на законодательном уровне информация и информация которая может быть запрошена Роскомнадзором при проверке.

Организуйте процесс получения и предоставления ответов для физических лиц по их персональным данным. Также нужно постоянно проводить обучение работников для повышения их осведомленности в этой сфере.

Но даже после окончания работы над приведением организации в соответствие 152-ФЗ не стоит почивать на лаврах. В компании внедряются новые формы документов и процессы, появляются новые системы, а в различные статьи 152-ФЗ вносятся дополнения. Поэтому важно постоянно работать в этом направлении.

Остались вопросы?

Задать вопрос

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Физическое лицо, оставляя заявку на веб-сайте b-152.ru через форму «Обсудить ваш проект», действуя свободно, своей волей и в своем интересе, а также подтверждая свою дееспособность, предоставляет свое согласие на обработку персональных данных (далее – Согласие) Обществу с ограниченной ответственностью «Б152» (ИНН 5050091524, info@b-152.ru, +7(499)372-06-52), которому принадлежит веб-сайт b-152.ru и которое зарегистрировано по адресу 141170, Московская область, Щелковский район, пгт. Монино, ул. Алксниса, д. 34, кв. 45, на обработку своих персональных данных со следующими условиями:

Данное Согласие дается на обработку персональных данных, как без использования средств автоматизации, так и с их использованием.
Согласие дается на обработку следующих моих персональных данных:
- персональные данные, не относящиеся специальной категории персональных данных или к биометрическим персональным данным: адрес электронной почты (e-mail); имя; сведения о месте работы; номер мобильного телефона; информация о том, откуда пришел на сайт (метка).
Цель обработки персональных данных: обсуждение возможного проекта
В ходе обработки с персональными данными будут совершены следующие действия: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение.
Третьи лица не обрабатывают персональные данные по поручению ООО «Б152» для указанной в согласии цели.
Персональные данные обрабатываются до отказа в дальнейшем обсуждении проекта или до заключения договора на проект, смотря что произойдет быстрее.
Согласие может быть отозвано вами или вашим представителем путем направления ООО «Б152» письменного заявления или электронного заявления, подписанного согласно законодательству Российской Федерации в области электронной подписи, по адресу, указанному в начале Согласия.
В случае отзыва вами или вашим представителем Согласия ООО «Б152» вправе продолжить обработку персональных данных без него при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ «О персональных данных» от 27.07.2006 г.
Настоящее согласие действует все время до момента прекращения обработки персональных данных, указанных в п.6 и п.7 Согласия.

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Физическое лицо, оставляя заявку на веб-сайте b152.ru через форму «Запрос на демо Privacy Box», действуя свободно, своей волей и в своем интересе, а также подтверждая свою дееспособность, предоставляет свое согласие на обработку персональных данных (далее – Согласие) Обществу с ограниченной ответственностью «Б152» (ИНН 5050091524, info@b-152.ru, +7(499)372-06-52), которому принадлежит веб-сайт b152.ru и которое зарегистрировано по адресу 141170, Московская область, Щелковский район, пгт. Монино, ул. Алксниса, д. 34, кв. 45, на обработку своих персональных данных со следующими условиями:

Данное Согласие дается на обработку персональных данных, как без использования средств автоматизации, так и с их использованием.
Согласие дается на обработку следующих моих персональных данных:
- персональные данные, не относящиеся специальной категории персональных данных или к биометрическим персональным данным: адрес электронной почты (e-mail); имя; номер мобильного телефона; место работы; информация о том, откуда человек пришел на сайт (метка).
Цель обработки персональных данных: демонстрация работы сервиса Privacy Box с возможностью дальнейшего заключение договора
В ходе обработки с персональными данными будут совершены следующие действия: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение.
Третьи лица не обрабатывают персональные данные по поручению ООО «Б152» для указанной в согласии цели.
Персональные данные обрабатываются до отказа в дальнейшем обсуждении Privacy Box или до заключения договора на лицензию Privacy Box, смотря что произойдет быстрее.
Согласие может быть отозвано вами или вашим представителем путем направления ООО «Б152» письменного заявления или электронного заявления, подписанного согласно законодательству Российской Федерации в области электронной подписи, по адресу, указанному в начале Согласия.
В случае отзыва вами или вашим представителем Согласия ООО «Б152» вправе продолжить обработку персональных данных без него при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ «О персональных данных» от 27.07.2006 г.
Настоящее согласие действует все время до момента прекращения обработки персональных данных, указанных в п.6 и п.7 Согласия.

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Физическое лицо, оставляя заявку на веб-сайте b152.ru через форму «Подпишитесь на рассылку», действуя свободно, своей волей и в своем интересе, а также подтверждая свою дееспособность, предоставляет свое согласие на обработку персональных данных (далее – Согласие) Обществу с ограниченной ответственностью «Б152» (ИНН 5050091524, info@b-152.ru, +7(499)372-06-52), которому принадлежит веб-сайт b152.ru и которое зарегистрировано по адресу 141170, Московская область, Щелковский район, пгт. Монино, ул. Алксниса, д. 34, кв. 45, на обработку своих персональных данных со следующими условиями:

Данное Согласие дается на обработку персональных данных, как без использования средств автоматизации, так и с их использованием.
Согласие дается на обработку следующих моих персональных данных:
- персональные данные, не относящиеся специальной категории персональных данных или к биометрическим персональным данным: адрес электронной почты (e-mail); имя; номер мобильного телефона; информация о том, откуда пришел на сайт (метка).
Цель обработки персональных данных: проведение информационных и рекламных рассылок
В ходе обработки с персональными данными будут совершены следующие действия: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение.
Третьи лица не обрабатывают персональные данные по поручению ООО «Б152» для указанной в Согласии цели.
Персональные данные обрабатываются до перехода по ссылке «Отписаться от рассылки», которое располагается в каждом рассылаемом письме.
Согласие может быть отозвано вами или вашим представителем путем направления ООО «Б152» письменного заявления или электронного заявления, подписанного согласно законодательству Российской Федерации в области электронной подписи, по адресу, указанному в начале Согласия.
В случае отзыва вами или вашим представителем Согласия ООО «Б152» вправе продолжить обработку персональных данных без него при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ «О персональных данных» от 27.07.2006 г.
Согласие действует все время до момента прекращения обработки персональных данных, указанных в п.6 и п.7 Согласия.