Все о персональных данных: как собирать, обрабатывать и хранить

В этом году ужесточилась ответственность за нарушения требований законодательства в области персональных данных. Поэтому этот выпуск мы решили посвятить полностью персональным данным.

Who is who?

Для начала, давайте зафиксируем определение персональных данных и связанных понятий:

Персональные данные (ПДн) – это любая информация, относящаяся прямо или косвенно к определенному лицу, например, ФИО, паспортные данные, номер телефона, электронная почта и другие данные. 

Субъект ПДн – физическое лицо, предоставляющее свои персональные данные.

Оператор ПДн — это лицо, которое обрабатывает ПДн: компания (ООО, АО, ПАО), ИП, самозанятые и физические лица.

Что важно знать

До начала обработки ПДн Оператор обязан уведомить Роскомнадзор (РКН) о своем намерении осуществлять обработку ПДн.

Исключения предусмотрены статьей 22 ФЗ «О персональных данных», обработку можно осуществлять без уведомления:

• Если данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
• Если оператор осуществляет деятельность по обработке исключительно без использования средств автоматизации;
• Если обработка подразумевает случаи, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Прежде чем, что-то делать с ПДн (сбор, хранение, уточнение) получаем на это согласие у субъекта ПДн. 

Согласие на обработку должно быть:

• конкретным;
• соответствовать заявленной цели;
•  нельзя собирать ПДн «на всякий случай» (например, если для рассылки нужно только имя и электронная почта, номер телефона не просим).

Форма согласия должна быть такой, чтобы при необходимости вы смогли подтвердить факт его получения (чек-бокс на сайте, письменный документ с «живой» подписью).

Согласие на обработку ПДн  — всегда отдельный документ. Зашивать в текст договора, правила конкурса и другие форматы запрещено. 

Кроме того

Разместите
тендер бесплатно

Наша система сама подберет вам исполнителей на услуги, связанные с разработкой сайта или приложения, поисковой оптимизацией, контекстной рекламой, маркетингом, SMM и PR.

Заполнить заявку 13201 тендер
проведено за восемь лет работы нашего сайта.

Оператор, с согласия субъекта ПДн, может поручить обработку ПДн другому лицу (назовем такое лицо Обработчик).

Важно: если клиент (для оказания ему услуги) передает вам ПДн субъектов, то у вас с этим клиентом должно быть заключено дополнительно Поручение на обработку ПДн.

Обработчик несет ответственность перед Оператором. 

Оператор ПДн несет ответственность перед субъектом ПДн за свои действия и действия Обработчика.  

Как собирать ПДн на сайте

Что касается сайта, то на нем должны быть размещены в публичном доступе следующие документы:

• Согласие на обработку ПДн пользователей сайта;
•  Политика об обработке ПДн (она же политика конфиденциальности);
• Предупреждение о сборе Cookies о пользователях сайта (с кнопкой «Согласен», «ОК», «Принимаю» и тп.);
•  Согласие на рекламную рассылку, на использование фото гражданина для опубликования отзывов, на распространение ПДн при опубликовании отзывов на сайтах должны идти отдельным документом. 

Важно: данные документы должны полностью соответствовать реальным процессам в компании. РКН имеет право проводить профилактическую проверку.

Все формы, в которых собираются персональные данные (например, имя, телефон,

email), должны содержать:

• Чекбокс согласия на обработку данных, без которых нельзя передать данные.
• Гиперссылку на политику конфиденциальности и обработки персональных данных.