Если на сайте есть форма запроса или регистрации, он является обработчиком персональных данных (ПДн). О том, что это значит и как правильно действовать, чтобы избежать проблем, пойдет речь в статье.
Что такое персональные данные?
Это прямая информация о конкретном человеке, позволяющая определить, кем он является. К таким данным относятся имя, дата рождения, место жительства, номер телефона, электронная почта и фотография человека. Поэтому, если на сайте используются данные о географическом положении, если в форме заявки требуется ввести регистрационный адрес электронной почты или номер телефона, все это считается сбором персональных данных. Это также означает, что на вас распространяется действие закона 152-ФЗ «О персональных данных».
Основной список персональных данных с сайта Роскомнадзора выглядит следующим образом.
Кроме того, к персональным данным относятся такие сведения, как национальность, вероисповедание, политические взгляды, сведения о месте жительства, медицинская информация, биометрические факторы (отпечатки пальцев, голос), сведения о судимости, номера снилс, НДС, cookies и т.д.
Здесь очень важен один момент. По определению, персональные данные содержат информацию, которая может идентифицировать человека. Иными словами, адрес, включая город, улицу и дом, — это абстрактные данные, но если Иван Макарович Федоров живет по определенному адресу, то мы имеем дело с персональными данными. Существует множество людей с одинаковым полным именем, но уточнение, относящееся к этому человеку, уже переводит данные в категорию персональных.
Существует несколько типов персональных данных. Подробнее об этом мы писали в нашей статье «Персональные данные». Если коротко, то их четыре:
Операции с персональными данными
Операторы персональных данных выполняют следующие действия
Сбор.
В соответствии с законом 152-ФЗ может осуществляться только с согласия субъекта. Для офлайн-процессов необходимо подписать соответствующий документ, в то время как онлайн-согласие может быть получено путем подтверждающих действий (например, проставления галочки в специальном формате).
Согласие включает в себя описание собираемых данных, причин и способов их использования. Все это должно быть четко прописано в политике конфиденциальности, а под любой формой сбора информации должен быть квадрат, подтверждающий, что пользователь ознакомился с политикой конфиденциальности и дает согласие на сбор и обработку данных.
Обработка.
По сути, все действия, совершаемые с персональными данными, включают в себя. сбор, запись, хранение, сохранение, изменение и анализ. Редактирование включает.
Обработка персональных данных может осуществляться только с согласия субъекта.
Хранение.
Данные могут храниться в печатном виде, на сервере или в облаке. По закону хранить можно только тот объем данных, который требуется для достижения цели, то есть больше, чем необходимо. После этого все данные должны быть удалены.
Если данные неактуальны или собраны не полностью, они должны быть удалены.
Сочетание PII, собранных для разных целей, также не допускается.
Защита.
Операторы несут ответственность за все хранящиеся персональные данные. Поэтому база данных должна быть защищена. Это означает, что для определенных категорий персональных данных должен быть соблюден уровень безопасности обрабатываемых данных (PDN).
Контроллер отвечает за то, чтобы требования закона 152-ФЗ не нарушались.
Защита персональных данных. Часть 1. Законодательство и требования
Требования к защите персональных данных в России существуют уже более 16 лет, и за это время был выпущен целый ряд различных документов и нормативных актов. Мало кто может не согласиться с тем, что нормативные требования традиционно являются драйвером рынка в России. Это касается и защиты персональных данных, и защиты критической информационной инфраструктуры, и других областей ЦА. Поэтому, прежде чем говорить о технологиях и решениях, которые могут быть использованы для защиты персональных данных, полезно разобраться в нормативных актах, определяющих необходимость применения тех или иных мер защиты.
Федеральный закон № 152 и персональные данные
Основным документом, определяющим необходимость защиты персональных данных в России, является Федеральный закон Российской Федерации. 152-ФЗ «О персональных данных», который вступил в силу 26 января 2007 года. Этот документ устанавливает требования к обработке персональных данных российских граждан и гарантирует защиту их интересов и надлежащий уровень такой защиты. Конечно, последний пункт вызывает некоторые вопросы. На практике это происходит потому, что, к сожалению, утечка персональных данных — это правило. Но сейчас мы говорим только о законных аспектах проблемы.
Поэтому давайте начнем с определения. Информация о конкретном человеке или субъекте персональных данных называется персональными данными. Имя, номер мобильного телефона, электронная почта, домашний адрес, фотография, паспортные данные — все это персональные данные. По сути, персональные данные — это информация, которая может быть использована для идентификации конкретного человека. Так, например, очень проблематично найти человека, если у него есть фамилия, имя, отчество и фамилия, по которым его можно идентифицировать. Попробуйте набрать в поисковой системе полное имя человека. Если в имени владельца, имени покровителя или фамилии нет ни одного уникального элемента, вы, скорее всего, получите десятки дублей. Добавление местоположения не сильно улучшит ситуацию, так как вас идентифицируют в крупном городе. Добавив дату рождения человека, вы получите очень хорошие шансы на уникальную идентификацию. Опять же, бывали случаи, когда трафик штрафовали по фактическому имени, потому что у трафика были одинаковые имя и дата рождения и он не удосужился проконтролировать другие данные. Таким образом, бесспорной идентификацией субъекта может быть его имя в сочетании с номером телефона, паспортными данными, сунилом и т. д.
Действующее российское законодательство предусматривает четыре категории обрабатываемых персональных данных.
Несмотря на то что в закон о персональных данных с момента его принятия вносились изменения, четко определены только первые три группы, а «прочие» менее конкретны.
И прежде чем приступить к созданию системы защиты персональных данных, операторам персональных данных достаточно понять, с какой информацией они работают, и определить степень защиты ПД.
То, что доступно каждому.
Еще одна очень общая категория — общедоступная. Это информация, содержащаяся в профилях в социальных сетях, объявлениях и других публичных ресурсах, доступных в Интернете. Это имя, фамилия, город проживания, номер телефона, электронная почта или личная фотография. В этом случае контролером данных является владелец сайта, который обрабатывает данные пользователя.
Антивирус Truthyes!TM.
ПДн манекена.
‘Антивирусная правда!’ О персональных данных писал уже не раз, и теперь, когда появился новый нормативный документ Федерального правительства РФ, у нас есть возможность вновь обратиться к этой теме.
Напомню, кто по закону обязан защищать персональные данные.
Настоящий Федеральный закон регулирует отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее — государственные органы), муниципальными органами и иными муниципальными органами (далее — иные муниципальные органы). «муниципальные органы»), юридическими и физическими лицами с использованием автоматизированных средств, в том числе информационно-телекоммуникационных сетей, или без использования таких средств.
Федеральный закон 152-ФЗ от 27 июля 2006 г. (ред. от 31.12.2017) «О персональных данных».
Закон требует защиты персональных данных, но на практике контроль за тем, насколько пользователи защищают свои персональные данные, не осуществляется (по крайней мере, нам не известны масштабные случаи таких проверок). Причины этого понятны. У регулятора (в основном, конечно, у Роскомнадзора, который проводит основную часть проверок) нет ресурсов, чтобы справиться с заказами. Понятно, что физические лица не готовы к проверкам (покажите мне пользователя, который подал необходимое уведомление в Роскомнадзор!). .
Однако все меняет постановление Правительства РФ от 13 февраля 2019г. 146 «Об утверждении Положения об организации и осуществлении государственного контроля и надзора за обработкой персональных данных», которое может усложнить жизнь обычным пользователям.
Для начала отметим, какие действия прописаны в положении № 146. Их четыре.
Добавление двух последних пунктов фактически развязывает руки Роскомнадзору.
Планы проверок согласовываются с прокуратурой и без нее не могут быть изменены, планы мероприятий не могут быть изменены, изменения легко и просто вносятся по распоряжению надзорного органа.
На каком основании, например, могут проводиться внеплановые проверки?
Фраза «по результатам рассмотрения обращения гражданина» указывает на то, что проверка может быть проведена на основании обычного обращения или в результате анализа данных системой контроля («выявлено в результате обращения») проведенных мероприятий). Это означает, что проверка может быть инициирована в любое время.
11. орган контроля и надзора уведомляет компанию о планируемой проверке не менее чем за три рабочих дня до ее начала либо путем направления копии зарегистрированного распоряжения с подтверждением получения, либо путем направления подписанного электронной подписью документа. Усиленная специальная электронная подпись уполномоченного должностного лица на адресе электронной почты компании (если этот адрес указан на сайте компании или если компания ранее представила его в контролирующий орган).
Выражение «любым другим доступным способом» подразумевает, что уведомление должно быть направлено, вопрос только в том, как. Даже по почте. И это обычная ситуация, когда уведомление отправляется на почту и благополучно теряется.
15. Проверки проводятся в отношении: a) имени, адреса, номера телефона, адреса, номера телефона, номера телефона, номера телефона
а) документов и локальных актов оператора, определенных в пункте 1 статьи 18.1 Федерального закона «О персональных данных», а также мер, принимаемых оператором, определенных в пункте 1 статьи 18.1 Федерального закона «О персональных данных»; б) документов и локальных актов оператора, определенных в пункте 1 статьи 18.1 Федерального закона «О персональных данных»,
Очень сомнительно, что у обычных пользователей и индивидуальных предпринимателей есть вся необходимая документация.
Что произойдет, если оператор персональных данных не исправит нарушение?
50. если поручение локализованной миссии по устранению нарушения, не являющееся множественным числом, нарушает права и законные интересы субъекта (субъекта) персональных данных, оператор направляется оператору, который требует прекращения деятельности по обработке персональных данных. Устранение нарушения, указанного в пп.
51. В случае невыполнения оператором требований о прекращении деятельности по обработке персональных данных составляется протокол об административном правонарушении в соответствии с нормами об административных правонарушениях Российской Федерации и мерах, предусмотренных федеральным законом.
Однако не все так плохо. В настоящее время в Постановлении № 146 говорится о следующем
Проверки документов, не требующих повторного предъявления, не проводятся.
Не проводятся выборочные проверки холдинговых структур — физических лиц, не являющихся индивидуальными предпринимателями.
Таким образом, физические лица могут быть затронуты только в случае плановых проверок. Конечно, это маловероятно, но, безусловно, это лишь вопрос времени.
Не думайте, что обработка персональных данных — это нечто, не имеющее к вам никакого отношения. Студенческие спортзалы, требующие регистрации данных, владельцы квартир, получающие сканы паспортов жильцов перед заселением, родительские ассоциации классов, собирающие номера телефонов родителей (и вы можете придумать еще много примеров) — все они ежедневно обрабатывают персональные данные. А это значит, что потенциально вы можете оказаться под контролем.
Антивирусная правда! Состав.
В настоящее время частному лицу, не являющемуся частным предпринимателем, очень сложно получить контроль, но приведенная выше выдержка показывает, что это возможно при малейшем изменении документации (и, конечно, наличии необходимых средств). Будьте реалистами. Именно поэтому мы советуем вам не хранить персональные данные дольше, чем в них действительно есть острая необходимость.
А для руководителей компаний мы подготовили краткую брошюру о гигиене персональных данных.