Персональные данные: что это, их хранение и обработка

Согласно закону 152-ФЗ, каждая компания обязана выполнять защиту персональных данных своих сотрудников и клиентов. Любые действия с информацией – начиная от сбора и заканчивая обезличиванием – должны выполняться по определенным правилам.

Сегодня личные сведения пользователей и клиентов собирает практически каждый сайт и приложение. Владелец ресурса автоматически становится оператором, а значит, должен действовать в рамках существующей законодательной базы. Давайте разбираться, что такое ПДн, какие типы данных существуют, как должна происходить их обработки и какие нюансы стоит учитывать, чтобы соблюсти все законодательные требования.

Что считается ПДн

Начать стоит с вопроса о том, что вообще можно отнести к личной информации. Персональные данные – это различные сведения, которые относятся к определенному человеку. То есть, это сведения о Ф.И.О., телефонном номере, адресе регистрации или проживания, номер паспорта и пр.

Важное условие – чтобы сведения относились к определенному человеку. То есть любой абстрактный e-mail не является ПДн, так как по нему не ясно, кому он принадлежит. А вот если e-mail указан в базе данных напротив конкретного имени, то это уже считается персональными сведениями.

Особенно часто путаница возникает во время различных опросов. Если опрос проходит анонимно и вас спрашивают о семейном положении или образовании, не уточняя имя, то это не считается сбором ПДн.

Какие еще сведения можно отнести к личной информации? Обычно к ПДн относят:

• место регистрации;
• номер телефона;
• сведения о судимости;
• национальность, гражданство;
• политические взгляды;
• номер паспорта, СНИЛС, ИНН;
• отпечатки;
• голосовые образцы и др.

Однако есть и некоторые оговорки. Например, в совокупности все эти сведения можно считать персональными. А вот если они используются по отдельности – то не всегда. Например, сами по себе сведения о национальности или e-mail представляют собой абстрактные данные, если не имеют привязки к конкретному человеку.

Абсолютно всегда к personal data относят фото человека, однако не всегда они считаются биометрическими, поэтому могут не требовать письменного разрешения на использование. Согласие не потребуется при использовании фото в скане паспорта, который хранится в личном деле работника. В этом случае скан используется только для идентификации личности.

С этой точки зрения даже Ф.И.О. человека не всегда относятся к ПДн. Например, если неизвестно дополнительной информации, то иногда трудно идентифицировать человека, особенно, если у него распространенное имя и фамилия.

По этой причине в 152-ФЗ нет окончательного списка сведений, которые относятся к персональным, так как этот список может изменяться в зависимости от контекста.

Операторы и субъекты

Еще одни понятия, которые вы встретите в нормативных документах – это субъект и оператор. Разберемся, в чем разница между понятиями.

Субъект – лицо, чьи личные данные обрабатываются оператором. Им может стать любое физическое лицо: пользователь ресурса, покупатель в интернет-магазине, владелец аккаунта в социальной сети и т. д. Как правило, в этих случаях человек оставляет личную информацию, по которой его можно идентифицировать.

Оператор – физическое или юридическое лицо, которое организует сбор, обработку, хранение и другие операции с персональными данными. Оператор определяет цель использования, состав сведений, которые будут собираться, а также принципы процедуры. В качестве оператора может выступать государственная или частная компания, работодатель, ИП и т. д.

Виды персональных данных

Отдельно стоит рассказать и о существующих категориях ПДн. Согласно Постановлению №1119, их четыре – это общие, биометрические, специальные и иные данные.

1. Общие.

К сведениям такого типа относят базовые личные данные. То есть, это Ф.И.О., место регистрации и проживания, сведения о работе, e-mail, действующий номер телефона. Такие сведения могут быть известны окружающим и даже опубликованы в общедоступных источниках. Например, информацию о той же работе можно увидеть в социальных сетях.

2. Биометрические.

К их числу относят биологические или физиологические особенности, которые могут применяться для подтверждения личности. Это – фото, отпечатки пальцев, генетические данные, группа крови и пр.

Но стоит понимать, что эти сведения не всегда являются биометрическими, а только в тех случаях, когда хранятся с целью идентификации человека. То есть, применение функции распознавания лиц для подтверждения личности – это использование персонализированных данных, а хранение фото сотрудника в личном деле – нет.

Подобное правило касается и медицинских данных. Если они используются для сбора информации о самом пациенте, то относятся к категории общих или специальных.

3. Специальные.

Эти данные содержат в себе любую информацию о личности человека. Какие же сведения относятся к персональным данным специального типа? Чаще всего речь идет о расе или национальности, здоровье, участии в политической партии, наличии судимости, интимной жизни и т. д.

Главное отличие этой категории ПДн в том, что вся информация, как правило, находится в закрытом доступе. То есть узнать эти сведения возможно только после официального запроса. Также человек может не сообщать подобные данные, так как они являются его личным делом.

4. Иные.

К категории иных ПДн относят все, что нельзя отнести к общим, биометрическим и специальным сведениям. Например, это членство в каком-либо клубе или информация о стаже работы.

Очень часто информацию такого типа путают со специальной. Но важно понимать, что специальные данные обычно касаются личных тем и человеку важно, чтобы посторонние об этом не знали. Иные данные являются дополнительными и очень часто могут меняться.

Операции с ПДн

Все действия с персональными данными – это обработка. Она может включать в себя сбор (запись), хранение, изменение, дополнение, обезличивание, удаление и пр.

Процесс может происходит различными способами, выделяют три типа обработки:

• Автоматизированная – используются средства вычислительной техники (это ПК, телефоны, программы и другие электронные способы).
• Неавтоматизированная – выполняется при помощи бумажных носителей.
• Смешанная – включает в себя автоматизированную переработку при участии человека. Например, когда работник переносит информацию с бумаги в базу данных.

Теперь подробнее рассмотрим некоторые варианты обработки ПДн:

• Сбор. Осуществляется при регистрации на сайте, заполнении анкеты, заказе товаре, подписке на рассылку. Важно условие для сбора персональных сведений – это наличие согласия субъекта. То есть человек должен знать о том, что его личные данные собираются сайтом или магазином. В интернете для согласия достаточно выполнить конклюдентное действие (как правило, поставить «галочку» напротив графы с согласием). Письменную форму такого согласия также может заменить электронная подпись. В согласие на обработку ПДн должны четко указываться цели и задачи действий. Также компания должна отразить общий подход к обработки информации. Как правило, все это находит свое отражение в Политике конфиденциальности. Этот официально составленный документ размещается на сайте для того, чтобы любой человек мог с ним заранее ознакомиться. Однако согласие субъекта потребуется не всегда. Например, допустим сбор и обработка данных при создании обезличенной статистики или в СМИ. Единственное условие в том, что любые полученные данные не могут передаваться третьим лицам. Интересный момент связан с тем, что при хранении таких статистических данных в облаке согласие субъекта потребуется. Кроме этого, облако должно отвечать законодательным требованиям.
• Хранение. Этот процесс предполагает размещение сведений на сервере, жестком диске, в облаке или даже на бумажном носителе. Хранить информацию разрешено столько, сколько необходимо для выполнения целей обработки. Законодательство также накладывает ряд ограничений и требований на оператора. Например, если данные о субъекте неполные, то их нужно уточнить или удалить. После обработки ПДн и выполнения поставленных целей все сведения потребуется обезличить или удалить.
• Защита (сохранность). Оператор всегда отвечает за любые действия с персонализированными данными субъекта, особенно в том случае, если для переработки привлекались третьи лица. То есть, если копия паспорта клиента случайно попала к мошенникам, то оператор будет отвечать за неправильное хранение и защиту ПДн. Именно по этой причине потребуется надежная защита сведений. Уровень защищенности данных оператор определяет самостоятельно, при необходимости выполняются дополнительные настройки и усовершенствования инфраструктуры, также назначается лицо, ответственное за сохранность сведений. Хранение персональных данных должно осуществляться в соответствии с требованиями Постановления №119 и быть связано с типом данных.

В ряде случаев оператору потребуется подать в Роскомнадзор официальное уведомление для того, что организацию внесли в существующий Реестр. В уведомлении указывается, как осуществляется сбор и хранение ПДн, где они хранятся и какие именно сведения нужны.

Обработка данных может проводиться только после подготовки необходимой техники и документации. Например, у компании должно быть следующее:

• Политика обработки ПДн. Этот документ обязательно должен быть общедоступным и содержат в себе актуальную информацию.
• Приказ о выборе сотрудника, отвечающего за обработку ПДн. Сбором и хранением информации чаще всего занимается юридический отдел компании.
• Приказ о выборе сотрудников, отвечающих за безопасность информации. Обычно эту роль выполняет сотрудник службы информационной безопасности.

Оператору потребуется предоставлять отчет о своей деятельности. Также Роскомнадзор в любой момент может проверить, как компания соблюдает все предписания закона. В случае нарушений ей грозит крупный штраф, согласно статье 13.11 КоАП. К примеру, незаконная обработка сведений может обойтись до 30 тыс. рублей. Также штраф можно получить в случае некорректного хранения и защиты или нарушения в систематизации и записи.

Очень много вопросов возникает в связи с хранением ПДн в облачной инфраструктуре. Важно понимать, что в этом случае ЦОД является лишь промежуточным звеном, а вся ответственность лежит на операторе (то есть компании, которая обрабатывает сведения).

Выводы

Надеемся, что вы разобрались в вопросе, что такое персональные данные и как происходит их обработка. Подведем итоги:

• ПДн – абсолютно любая информация, которая соотносится с конкретным человеком. Это не только Ф.И.О. или место рождения, но и фото, группа крови, социальная принадлежность и т. д. Перечень персональных сведений очень большой.
• Не вся информация относится к персонализированной. Если данные нельзя соотнести с конкретным лицом, то они не считаются персональными.
• Если компания занимается обработкой данных, то потребуется соблюсти ряд положений 152-ФЗ. Во-первых, потребуется зарегистрироваться в качестве оператора. Во-вторых, разработать ряд нормативных актов и выполнять сбор данных только при согласии субъекта.
• В случае нарушения законодательства компания несет ответственность перед субъектом. Если базы ПДн хранятся на серверах или в облаке, размещенном в ЦОД, то ответственность все равно лежит на самой компании. ЦОД в этом случае лишь промежуточное звено, осуществляющее процедуру хранения.

Если у вас остались вопросы, то специалисты нашего дата-центра Xelent обязательно ответят на них. Оставьте заявку на сайте или позвоните по указанным номерам – мы поможем разобраться в нюансах!

Облачная платформа

Облачная платформа — это набор инструментов, предназначенных для удаленного запуска и использования приложений без затрат на приобретение серверной техники. Такие услуги как PaaS, IaaS, SaaS базируются на технологии вычислений в облаке.

Миграция инфраструктуры в облако Xelent

Миграция в облако Xelent – технология, позволяющая адаптировать инфраструктуру к высоким нагрузкам. Понятное управление и администрирование позволяет уменьшать или наоборот увеличивать количество ресурсов, которые вам необходимы в тот или иной момент.

Отказоустойчивая инфраструктура

Отказоустойчивая инфраструктура – это комплекс решений, направленных на поддержание постоянной работоспособности оборудования: компьютеров, комплектующих, ПО и локальной сети.