Закон о персональных данных: приводим сайт в порядок

Что относится к персональным данным?

Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу (субъекту персональных данных), и позволяющая его определить:

• ФИО;
• место, дата рождения, место постоянной или временной регистрации;
• фотография или видеозапись человека, которые могут его идентифицировать;
• сведения о детях, родственниках, семейном положении;
• сведения о заработной плате;
• оценка навыков, личностных качеств;
• индивидуальные личные данные (раса, национальность, политические или религиозные взгляды, философские убеждения; состояние здоровья);
• информация о судимостях или их отсутствии;
• номер телефона, адрес электронной почты, иные идентификаторы в социальных сетях или мессенджерах;
• паспортные данные, СНИЛС, ИНН;
• биометрические данные.

Некоторые из этих данных, сами по себе, без связки с другими данными, персональными являться не будут.

Например, номер телефона сам по себе не является персональными данными, но вместе с указанием ФИО владельца — является.

Адрес электронной почты в формате ivanov_ivan_1977@mail.ru тоже относится к персональным данным, как и ФИО с привязкой к ИНН, номеру телефона или месту регистрации.

Классификация персональных данных

Персональные данные подразделяют на:

• Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.
• Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни, судимостях.
• Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.
• Иные — к ним относится все остальные данные: электронная почта или геолокация, информация о принадлежности к определенной социальной группе, стаж работы и пр.

Определяемся с понятиями

Оператор персональных данных — лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием или без автоматизированных средств:

• Сбор;
• Запись;
• Систематизация;
• Накопление;
• Хранение;
• Уточнение (обновление, изменение);
• Использование;
• Передача (распространение, предоставление, доступ);
• Обезличивание;
• Блокирование;
• Удаление;
• Уничтожение.

В свою очередь, обработка может осуществляться тремя путями:

1. Автоматизированная — с помощью средств вычислительной техники. Это компьютеры, телефоны и другие электронные устройства, базы данных, криптографические средства защиты, программы, скрипты и т.д.
2. Смешанная — обработка человеком при участии средств вычислительной техники. Например, когда бухгалтер вбивает в программу данные из бумажного носителя.
3. Неавтоматизированная — без использования средств вычислительной техники.

После того, как персональные данные обработаны, они отправляются на хранение в архив. Это может быть отдельное специализированное помещение, если речь о бумажных документах, или электронное хранилище (например, облачное). В любом случае нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (по закону).

Чтобы поиск не превратился в квест, необходимо правильно организовать архив — как обычный, так и электронный.

С чего начать?

Если вы еще не занимаетесь сбором и (или) обработкой персональных данных:

1. Подготовьте политику обработки персональных данных для сайта и форму согласия на обработку персональных данных. При подготовке обратите внимание на соответствие их содержания требованиям Федерального закона «О персональных данных» от 27.07.2006 №152-ФЗ.
2. Проверьте свой сайт на наличие ошибок.
3. Подготовьте положение об организации обработки персональных данных. Локальный акт, который поможет соблюдать основные обязанности: сроки реагирования, порядок доступа, алгоритм действий при компрометации персональных данных и др.

Чтобы собирать, хранить и обрабатывать персональные данные, нужно соблюдать требования Закона №152-ФЗ.

Краткий чек-лист:

• Зарегистрироваться в Роскомнадзоре, как оператор персональных данных (обязательно не для всех, ниже вы узнаете об исключениях).
• Запрашивать разрешение на сбор и обработку данных у субъектов и не собирать с них лишние данные.
• Отвечать на обращения субъектов и предоставлять им всю информацию.
• Собирать и хранить информацию только для достижения определенных целей, и на определенный срок.
• Хранить и защищать персональные данные по закону, обеспечивать сохранность, тайну и точность данных, не передавая третьим лицам. А если передавать, то только с документальным подтверждением и только аттестованным.
• Уточнять, блокировать или уничтожать персональные данные по заявлению субъектов или когда достигли целей их сбора.

Всем ли нужна регистрация в Роскомонадзор?

Кому не нужно регистрироваться как оператору персональных данных:

• сбор персональных данных осуществляется для установления трудовых отношений;
• персональные данные собираются для заключения договора без последующей передачи и распространения третьим лицам и для исполнения договора;
• обработка персональных данных из открытого доступа;
• сбор ФИО граждан без телефона и e-mail;
• сбор персональных данных для однократного пропуска гражданина на территорию оператора, собирающего данные, или в аналогичных случаях;
• сбор, обработка и хранение персональных данных осуществляется на бумажных носителях без использования средств автоматизации. Хранить свой бумажный архив, включая кадровые документы и персональные данные можно вне офиса. Так можно избежать их утраты и несанкционированного доступа к информации.

Во всех остальных случаях — регистрация в Роскомнадзор обязательна.

Что стоит проверить, если вы уже занимаетесь сбором и/или обработкой персональных данных?

Доведение политики обработки персональных данных на вашем сайте до пользователей:

1. Опубликована ли на вашем сайте политика обработки ПД?
2. Доступен ли документ в «подвале» вашего сайта?
3. Соответствует ли опубликованная политика установленным законом требованиям к содержанию (п. 2 ч. 1 ст. 18.1 Закона «О персональных данных»)?

Согласие на обработку персональных данных для пользователей:

1. Указаны ли в форме согласия конкретные категории обрабатываемых данных?
2. Установлен ли срок обработки (либо порядок его определения)?
3. Указан ли перечень лиц, которым оператор ПД передаёт данные?

Порядок трансграничной передачи и (или) локализации персональных данных:

1. Фигурирует ли на сайте информация об использовании иностранных сервисов: Google Analytics, Microsoft Azure, Amazon Web Services и др.?
2. Если вы хотите продолжить использовать такие сервисы, уведомили ли вы Роскомнадзор о трансграничной передаче персональных данных?
3. Если вы храните данные на серверах, физически расположенных за пределами РФ, соблюдаются ли требования о локализации персональных данных граждан РФ?

Если данные все же «утекли»

Необходимо уведомить Роскомнадзор о компрометации персональных данных:

• в течение 24 часов с момента утечки: об инциденте, о предполагаемых причинах и вреде, о мерах по устранению инцидента, контактное лицо для связи;
• в течение 72 часов о результатах внутреннего расследования.

Также необходимо подготовить ответ на запросы субъектов персональных данных и Роскомнадзора — 10 рабочих дней на ответ + 5 рабочих дней при направлении мотивированного письма.