Как определить категорию данных в рабочем процессе
На практике классификация данных лучше работает не как юридическая таблица, а как последовательность вопросов.
Шаг 1. Что именно собирается
Нужно описать не только поля формы, но и фактические данные: вложения, комментарии, документы, логи, изображения, аудио, технические идентификаторы, данные из подрядчиков и внешних сервисов.
Часто при такой проверке выясняется, что компания собирает больше, чем думает. Например, в форме указаны ФИО и телефон, но пользователь может приложить файл с медицинскими сведениями. Или HR-система содержит не только резюме, но и оценки кандидатов, комментарии интервьюеров и результаты тестирования.
Такая проблема часто начинается уже на сайте: форма выглядит простой, но вместе с ней работают cookie, аналитика, CRM и подрядчики. В материале
о формах, cookie и политике на первом экране показано, как проверить не только поля формы, но и весь маршрут данных после отправки заявки.
Шаг 2. К кому относятся данные
Нужно определить категории субъектов:
- клиенты;
- пользователи сайта;
- сотрудники;
- кандидаты;
- представители контрагентов;
- посетители офиса;
- участники мероприятий;
- пациенты;
- пользователи сервиса;
- подрядчики.
Ошибка часто возникает в B2B. Компания считает, что работает с юридическими лицами, но фактически обрабатывает данные представителей: ФИО, рабочие email, телефоны, должности, подписи, переписку.
Шаг 3. Есть ли специальные признаки
Отдельно проверяются сведения о здоровье, религиозных убеждениях, национальности, политических взглядах, интимной жизни и судимости.
Если такие данные появляются даже случайно, например в обращении клиента, резюме или приложенном документе, процесс нужно пересматривать. Нельзя продолжать обрабатывать их как обычные ПДн только потому, что компания не планировала их собирать.
Шаг 4. Используются ли данные для установления личности
Для биометрии решающим становится не только характер данных, но и цель. Фото, голос, отпечаток пальца или изображение лица нужно проверять через вопрос: используются ли они для установления личности.
Если да, нужно смотреть статью 11 Закона № 152-ФЗ, письменное согласие, исключения, требования к системе и, при необходимости, связь с ФЗ № 572.
Шаг 5. Есть ли распространение
Если данные публикуются на сайте, в каталоге, на странице сотрудников, в отзывах, кейсах, карточках экспертов или публичных материалах, нужно проверить статью 10.1 Закона № 152-ФЗ.
Здесь важно не путать доступность данных и законность распространения. Даже если человек сам предоставил информацию, это не всегда означает, что компания может свободно разместить ее для неопределенного круга лиц.
Шаг 6. Что написано в документах
В финале нужно сопоставить вывод с документами:
- политикой обработки ПДн;
- согласием;
- уведомлением в РКН;
- реестром процессов;
- договором с подрядчиком;
- локальными актами;
- настройками ИТ-систем;
- сроками хранения.
Без этой сверки классификация остается теоретической. Бизнес может правильно определить категорию, но не отразить ее в согласии, уведомлении, договоре с подрядчиком или мерах защиты.