Как защитить персональные данные и работать с ними по закону

Компании, которые работают с физическими лицами, вынуждены также иметь дело с их персональными данными. Это могут быть домашние адреса, контактные номера телефонов, электронная почта или данные медицинских обследований — все зависит от специфики компании. Но нарушить 152-ФЗ, основной закон, регулирующий обработку персональных данных, не так сложно. Попробуем разобраться, как защитить личные данные физических лиц и работать с ними, не нарушая при этом закон.

20/03/23

Б-152

Как защитить персональные данные в организации по закону | Б-152

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

В основе всего лежит понимание терминологии. Ее довольно много, но она необходима для соблюдения закона, как ни крути.

В 152-ФЗ дано определение персональным данным. Согласно букве закона, это любая информация, которая относится к прямо или косвенно определённому или определяемому физическому лицу. Т. е. персональные данные — абсолютно любая информация о физическом лице.

Если исходить из минимального набора информации, то персональными данными будет та информация, которая позволит осуществлять какие-либо действия на физическое лицо, например, таргетировать рекламу.

Более того, к персональным данным относят национальную и религиозную принадлежность, политические взгляды, информацию об интимной жизни.

Субъект персональных данных — это лицо, чью информацию обрабатывают, а операторами называют компании, занимающиеся обработкой данных, также в обязанностях таких организаций — защита персональных данных. При этом оператором можно назвать любую компанию — все так или иначе обрабатывают данные сотрудников.

Информационная система персональных данных — это база данных, которая обрабатывается при помощи информационных технологий и технических средств. Например, системы Интернет-магазин, 1С: ЗУП, 1С: ЗиК, 1С: Бухгалтерия, Кадр, SAP, Estaff, CRM и многие другие.

Главный законодательный акт в обработке персональных данных — 152-ФЗ, который определяет требования к обработке персональных данных. Но кроме него есть и другие:

Постановление Правительства Р Ф от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» — регулирует обработку ПД без использования средств информатизации.

01

Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ — определяет требования к обработке персональных данных работников.

02

Постановление Правительства Р Ф от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» — определяет требования к защите персональных данных в ИСПДн.

03

Приказ ФСТЭК России от 18.02.2013 г. № 21. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» — защита ПД в ИСПДн.

04

И ещё ряд других документов меньшего масштаба.

05

1.Наличие законных оснований

2. Наличие целей

3. Отсутствие избыточности

Нельзя просто так собирать данные пользователей — для этого должны быть основания: согласие на обработку персональных данных, договор, публичная оферта, закон и др.

Например, обработка данных работников осуществляется на основании Трудового, Налогового кодексов и других нормативно правовых актов, внутренних политик и положений организации или согласия на обработку персональных данных, если его нужно получать.

А данные пользователей могут обрабатываться на основании Закона о защите прав потребителей и Публичной оферты или согласия на обработку персональных данных.

Обработка персональных данных не должна быть бесцельной.

Не допустимо собирать и хранить данные физлиц на случай, если они понадобятся в будущем для чего-либо.

Если вам нужно пояснение по вопросу, что является целью обработки персональных данных, мы всегда готовы уточнить спорные моменты.

Состав обрабатываемых данных не должен превышать необходимый для достижения цели. К примеру, для доставки товара не нужна информация о дате рождения пользователя, поэтому запрашивать и обрабатывать ее нельзя.

Но если вы поздравляете пользователя с днем рождения и дарите ему бонусы, то дату рождения можно обрабатывать, но эта цель должна быть описана в согласии или публичной оферте.

4. Прекращение обработки по достижению цели

После того, как цель была достигнута и никаких законных оснований для хранения данных нет, их необходимо удалить, либо уничтожить.

Например, после удаления аккаунта пользователя вы должны хранить часть его данных примерно 5 лет, для финансовой отчетности. Но все остальные данные, которые не требуются для данной цели, вам необходимо удалить.

5. Запрет объединения баз данных с несовместимыми целями

Нельзя хранить данные физлиц, если они обрабатываются в совершенно разных целях, совместно. Например, нельзя хранить данные пользователей совместно с данными представителей подрядчиков.

В данном случае допустимо их хранить в одной системе, но, как минимум, в разных базах данных. То есть необходимо разграничить каким — либо образом места хранения данных, которые хранятся в разных целях.

6. Точность и актуальность

Если организации становится известно, что персональные данные поменялись, их нужно актуализировать. К примеру, если пользователь поменял номер телефона, то он должен предоставить обновленный номер, а организация должна скорректировать данную информацию.

Иначе организация будет звонить человеку, который не является ее клиентом, а он может подать жалобу в Роскомнадзор.

152-ФЗ формирует принципы обработки данных пользователей, которые помогут понять как защитить персональные данные в организации. Некоторые из них, правда, дублируют сами себя.

В статье 6 152-ФЗ определены следующие условия для обработки, которые помогут защитить персональные данные в организации:

Согласие на обработку персональных данных позволяет обрабатывать данные только в рамках того, что в согласии было указано.

01

Законодательные акты и Международные договоры, определяют необходимость обработки данных в определенных в них целях.

02

Участие в судопроизводстве и исполнение принятого решения, позволяет обрабатывать данные в рамках ведения судебного процесса и исполнения принятого решения.

03

Договор, либо действия связанные с заключением договора, определяет возможность обработки данных лица, являющегося стороной по договору, выгодоприобретателя и поручителя в рамках исполнения договора, если состав обрабатываемых данных превышает состав, который необходим по договору, необходимо получать согласие на обработку таких данных.

04

Защита жизни, здоровья или иных жизненно важных интересов физлица, применимо только в том случае, если получить согласие на обработку невозможно. Например, если на территории организации работнику стало плохо, и он не может ничего делать, в таком случае представитель организации может передать все необходимые данные о работнике медицинским специалистам.

05

Осуществление прав и законных интересов, применимо в том случае, если удастся доказать наличие прав и законных интересов, при этом они не должны нарушать права и свободы физлица и в организации должен быть разработан документ, который будет регламентировать обработку данных в данных целях.

06

Осуществление обработки общедоступных данных и данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законом, применимо в том случае, если данные опубликованы в тех же целях, в которых вы их обрабатывает.

07

Осуществление обработки персональных данных необходимых для защиты жизни, здоровья или иных жизненно важных интересов физического лица, при условии если согласие на обработку персональных данных получить невозможно.

08

Обработка персональных данных Журналистами и (или) при законной деятельности средств массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы физического лица.

09

Обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии невозможности определения физического лица на основании обрабатываемых данных.

10

Обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен физическим лицом либо по его просьбе (общедоступные персональные данные), при условии, что цель публикации совпадает с целью обработки персональных данных.

11

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Определите рабочую группу — специалистов, которые будут приводить компанию в соответствие законодательству.

Определите, занимается ли организация обработкой персональных данных. Нужно проверить бизнес-процессы, которые могут требовать обработки личной информации. Вместе с сотрудниками, которые занимаются этими процессами, установите, не нарушаются ли в ходе работы принципы обработки персональных данных. Стоит определить цели сбора, длительность хранения и ряд других важных моментов.

Выявите несоответствия с законодательством и продумайте пути их устранения. В рамках устранения несоответствий рабочая группа удаляет и уничтожает данные, которые не нужны для реализации данной цели; организует сбор согласий на обработку персональных данных; приводит формы согласий в соответствие; подготавливает дополнительные соглашения к договорам с контрагентами.

Назначьте ответственного за обработку персональных данных и подготовьте необходимую документацию. Каких-либо требований к количеству или наименованию документов нет. То есть организация может разработать любые документы, главное, чтобы в них содержалась определенная на законодательном уровне информация и информация которая может быть запрошена Роскомнадзором при проверке.

Организуйте процесс получения и предоставления ответов для физических лиц по их персональным данным. Также нужно постоянно проводить обучение работников для повышения их осведомленности в этой сфере.

Но даже после окончания работы над приведением организации в соответствие 152-ФЗ не стоит почивать на лаврах. В компании внедряются новые формы документов и процессы, появляются новые системы, а в различные статьи 152-ФЗ вносятся дополнения. Поэтому важно постоянно работать в этом направлении.

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

Материалы по теме