Право Andrey Sever
4 501

Обработка персональных данных: пошаговая инструкция для компаний

Маршрут, который поможет самостоятельно выполнить требования по защите и обработке персональных данных.

В закладки
Аудио
Rawpixel

Меня зовут Андрей Северюхин. Я CEO Sum&Substance. Уже почти три года мы занимаемся онлайн-идентификацией для каршерингов, логистики и финтех-проектов, работа с персональными данными — одна из наших сильных сторон.

Вместе с Павлом Кирилловым, CEO компании Элефус и нашим партнером по работе с персданными, расскажем о том, как обрабатывать такую информацию, не нарушая закон.

Обычно компания задумывается о защите/обработке персональных данных, когда продвинутый клиент спрашивает: «А почему у меня не взяли согласие на обработку? Где на сайте можно посмотреть политику? А вы есть в Реестре операторов?».

Дальше компания начинает быстро собирать информацию, находит ФЗ-152. Но оказывается, что помимо самого закона есть еще куча подзаконных актов, и так, шаг за шагом происходит погружение в кроличью нору. Окончательно потеряв надежду и увязнув в паутине этой достаточно запутанной темы, компания скачивает из интернета какое-то согласие, вешает на сайт политику по обработке персональных данных и, затаив дыхание, ждет, что им за это будет.

Мы предлагаем маршрут, который поможет выполнить все требования регуляторов и позволит выбраться из кроличьей норы. Следуйте за белым кроликом.

Разберемся с терминами

Персональные данные — любая информация, относящаяся (прямо или косвенно) к определенному или определяемому физическому лицу.

Звучит не очень понятно, попробуем разобраться, что относится к персональным данным, а что — нет. Далее представлена практика, полученная из комментариев Роскомнадзора и общения с регулятором.

Как в этом разобраться? Роскомнадзор предлагает следующий подход — если по совокупности данных можно идентифицировать человека, то мы имеем дело с персональными данными, даже если документов и других точных идентификаторов нет. Если же для идентификации нужна дополнительная информация, такие данные не считаются персональными.

Идентификаторы. Однозначные идентификаторы, по Роскомнадзору, это номер и серия паспорта, СНИЛС, ИНН, биометрические данные, банковский счет, номер банковской карты. Чтобы определить человека было невозможно, данные можно обезличить по методологическим рекомендациям Роскомнадзора.

Не могут рассматриваются как персданные (по крайней мере, по отдельности друг от друга): фамилия, имя, отчество, адрес проживания, email, номер телефона, дата рождения.

При этом, если у вас небольшая компания, и вы не уверены, обрабатываете ли персональные данные. Ответ «да» - всегда =)

Почему:

  1. Вы нанимаете себе сотрудников или подрядчиков, заключаете договор, заполняете формы Т-2.
  2. Вы собираете данные клиентов для заключения договоров/выполнения заказов.
  3. На вашем сайте есть форма обратной связи с полями: ФИО, телефон, email.

Итак, любая компания автоматически является оператором персональных данных (то есть юридическим лицом, осуществляющим обработку). Давайте поговорим о том, как данные правильно обрабатывать и защищать, и что будет, если этого не делать.

Как обрабатывать ПДн, чтобы клиенты были спокойны, а Роскомнадзор не беспокоил

Шаг 1. Инвентаризация

Во-первых, нужно выяснить, какие информационные системы есть в компании и какие специалисты задействованы в их функционировании. Инициатива должна исходить от руководства и ИТ, которые лучше других знают, какие системы используются. К процессу также привлекаются кадровые специалисты, юристы, продавцы.

Чаще всего компании обрабатывают персональные данные сотрудников (соискателей), клиентов, контрагентов.

Главное, что нужно сделать на этом этапе — понять, какие персональные данные обрабатываются, откуда они приходят и куда передаются. То есть нарисовать информационные потоки, связанные с обработкой персональных данных, причем как с автоматизированной, так и с ручной.

Шаг 2. Модель угроз и классификация информационных систем

Классификация. Здесь нам необходимо будет классифицировать наши информационные системы, обрабатывающие персональные данные, и определить актуальные для них угрозы. По результатам классификации мы определяем уровень защищенности информации.

Уровень защищенности персональных данных — это показатель, отражающий требования для обеспечения базовой защиты информации.

Модель угроз. Параллельно с классификацией мы определяем актуальные угрозы для наших систем, которые отражаем в модели угроз.

Модель угроз — это документ, в котором отражены актуальные угрозы, потенциально влияющие на работу конкретной информационной системы.

Требования к защите персональных данных при их обработке в информационных системах содержатся в Приказе ФСТЭК России № 21.

За основу разработки модели угроз можно взять Базовую модель угроз ФСТЭК России.

Результат этапа. Это полный перечень требований по защите персональных данных (уровень защищенности, базовые требования, модель угроз, требования, учитывающие специфику конкретной информационной системы, обрабатывающей персональные данные).

Шаг 3. Меры защиты персональных данных

После того, как мы определили требования, необходимо эти требования реализовать. Защита персональных данных делится на технические и организационные меры. Рассмотрим их подробнее.

Технические меры

  1. Антивирусная защита
  2. Модули разграничения доступа на уровне прикладных систем или сети.

Организационные меры

  1. Назначаем ответственного за защиту персональных данных
  2. Утверждаем перечень обрабатываемых и защищаемых данных.
  3. Составляем регламент для сотрудников и знакомим с ним всех под роспись. Например, предупреждаем, что нельзя отправлять по почте сканы паспортов или заявляем о необходимости регулярно обновлять антивирус на рабочем месте.

На данном этапе мы должны разработать Согласие на обработку персональных данных и Политику по обработке персональных данных. Про них поговорим подробнее.

Согласие на обработку.

  1. Письменная форма согласия. Требования к пунктам согласия отражены здесь. Обратите внимание, данные требования предъявляются только к письменной форме, при этом письменная форма требуется далеко не во всех случаях. Например, при обработке биометрических данных, специальных категорий персональных данных (подробнее о том, что это такое — здесь), при трансграничной передаче.
  2. Когда согласие не нужно. Если вы заключаете договор с клиентом, в рамках которого вы берете с него персональные данные, то согласие брать не требуется. Подробнее о таких случаях — тут.
  3. Электронное согласие. В остальных случаях, достаточно электронного согласия.

Политики по обработке персданных. Рекомендации по разработке выпустил Роскомнадзор. Но это лишь рекомендации. Если они вас по каким-то причинам не удовлетворяют, можете руководствоваться другими подходами. Но, если у вас нет своих идей, возьмите предложения регулятора за основу.

Неавтоматизированная обработка персональных данных. Принимая решение, как и где хранить персональные данные на бумаге, можно ориентироваться на специальное постановление.

Шаг 4. Отправка уведомления в Роскомнадзор

Уведомление отправляется через сайте Роскомнадзора, где вводится вся та информация, которую мы собрали на предыдущих шагах. Заполнить и отправить уведомление можно здесь.

Есть случаи, когда уведомление в Роскомнадзор подавать не надо, они оговорены здесь. Обычно эти условия подходят для небольших и средних компаний. То есть не надо в любой непонятной ситуации отправлять уведомление в Роскомнадзор.

Чем грозит невыполнение требований по обработке персональных данных

Мы потратили уже прилично вашего времени, но не ответили на ключевой вопрос: а что же будет, если этого всего не сделать?

Разберем самые распространенные нарушения:

Нехитрый математический подсчет показывает, что если нарушить все пункты, то можно получить совокупный штраф порядка 300 тыс. рублей, о котором часто пишут в статьях. Но это в совокупности, по каждому конкретному нарушению будет меньшая сумма.

Выводы

Вот такие нехитрые шаги позволят вам спать спокойно и обрабатывать персональные данные. В первую очередь важно понимать, кто, где и зачем обрабатывает персональные данные. Это стержень на который наматывается вся остальная обертка, связанная с разработкой документов и доработкой сведений на сайте. Тот, кто познает эту истину, познает дзен.

Основные нормативные документы, касающиеся обработки персональных данных

Материал опубликован пользователем. Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать
{ "author_name": "Andrey Sever", "author_type": "self", "tags": [], "comments": 16, "likes": 25, "favorites": 107, "is_advertisement": false, "subsite_label": "legal", "id": 52958, "is_wide": false, "is_ugc": true, "date": "Wed, 12 Dec 2018 12:45:14 +0300" }
{ "promo": {"title":"\u0411\u0435\u0441\u043f\u0438\u043b\u043e\u0442\u043d\u0438\u043a \u0432 \u0412\u0435\u0433\u0430\u0441\u0435","order_id":0,"state":80,"description":"\u0420\u0430\u0441\u0441\u043a\u0430\u0437 \u00ab\u042f\u043d\u0434\u0435\u043a\u0441.\u0422\u0430\u043a\u0441\u0438\u00bb \u043e CES","email":"kontsarenko@gmail.com","button_text_id":0,"link":"https:\/\/vc.ru\/yandex.taxi\/56184-bez-cheloveka-v-voditelskom-kresle-ne-kataetsya-nikto-a-my-nachali","app_store_link":null,"google_play_link":null,"color_id":1,"rejection_reason_text":null,"image":"{\"type\":\"image\",\"data\":{\"uuid\":\"fde0aad4-708e-e885-d18c-427be9d10fcd\",\"width\":488,\"height\":487,\"size\":70187,\"type\":\"jpg\",\"color\":\"1a1513\",\"external_service\":[]}}","total":15000,"with_payment":false,"dates":"[{\"year\":\"2019\",\"month\":\"01\",\"day\":\"24\",\"available\":\"true\",\"price\":\"15000\",\"discount\":\"0\",\"format\":\"backend\"}]","hits_count":35225,"scrolls_count":0,"clicks_count":104,"hits_limit":0,"scrolls_limit":0,"clicks_limit":0}, "link": "https://vc.ru/redirect?hash=1a74d55c23feefca512c69875bff37fcbe384ca617a5148499bcd799df76df7f&component=booster&id=113&type=daily&target=entry&url=aHR0cHM6Ly92Yy5ydS95YW5kZXgudGF4aS81NjE4NC1iZXotY2hlbG92ZWthLXYtdm9kaXRlbHNrb20ta3Jlc2xlLW5lLWthdGFldHN5YS1uaWt0by1hLW15LW5hY2hhbGk=", "buttonText": "Узнать", "location": "entry", "id": "113" }
{ "id": 52958, "author_id": 115308, "diff_limit": 1000, "urls": {"diff":"\/comments\/52958\/get","add":"\/comments\/52958\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/52958"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199120, "possessions": [] }

16 комментариев 16 комм.

Популярные

По порядку

Написать комментарий...
2

Сразу вопрос который возникнет у большинства владельцев сайтов и тп. При регистрации на сайте (не инет магазин), если человек указывает свои ФИО и телефон. Обязан ли я выполнять требования Роскомнадзора?

Ответить
0

Да, на сайте, где есть форма обратной связи с ФИО и телефоном и (или) электронкой - надо получать согласие на обработку персональных данных и надо опубликовать политику обработки персональных данных.
Потому что через те данные, которые Вы собираете - можно однозначно идентифицировать человека, соответственно, они относятся к персональным данным.

Немного подробнее я расписывал вот здесь: https://vc.ru/legal/46868-zachem-nuzhno-soglasie-na-obrabotku-personalnyh-dannyh

Ответить
2

Николай,
решение зависит от состава обрабатываемых данных. В статье мы приводим примеры, что РКН считает персданными, что нет. Но есть и неприятное решение суда в тамбовской области, где за форму обратной связи оштрафовали: http://sudact.ru/regular/doc/TRz3NsNQuVWy/ решений таких не много, но это тревожный звонок. в таком случае, к сожалению да, придется озаботиться выполнением требований фз-152 на сайте.
если все же остались вопросы, опишите пожалуйста конкретную ситуацию.

Ответить
0

ох чую скоро придется окунуться)
пока у меня только форма обратной связи - там имя(не полное фио) и телефон - это уже попадос на всю эту историю?) а если +email?(ну тут походу да)

Ответить
0

Телефон - нет, не попадос.
Имя + телефон - нет, не попадос.
ФИО + телефон - попадос.
ФИО + е-mail - попадос.
Имя + телефон + e-mail - попадос.

Для номера телефона есть даже разъяснение Роскомнадзора:
«Абонентский номер (номер телефона) служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца».

Ответить
0

Никита, Вы можете какую-то практику предоставить или это Ваше личное мнение? Просьба по возможности прикладывать ссылки или говорить, что это Ваше мнение

Ответить
0

Павел, я рад, что Вы стараетесь изучать правовые вопросы о персональных данных детально!
Что же, поехали! Надеюсь, что некоторые законные акты Вы сможете погуглить.

Давайте определим что такое персональные данные. Персональные данные, согласно статье 3 Федерального закона "О персональных данных" от 27.07.2006 N 152-ФЗ - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
То есть, это данные, которые могут идентифицировать человека и позволить понять кто перед нами - Вася Петров или Иван Иванов.
При этом законодатель не даёт чёткого разграничения что это такое, а определяет как некую совокупность информации. Есть, конечно Указ Президента РФ от 06.03.97 № 188 (https://zakonbase.ru/content/base/20358), где была дана некая конкретизация, но она в данном случае не очень помогает.
Но мы-то с Вами сейчас найдём эту грань)

Так вот, телефон, как было сказано мной выше в комментарии по мнению Роскомнадзора не является персональными данными и это он говорит даже в лице своих территориальных подразделений в ответах на вопросы (к примеру: http://26.rkn.gov.ru/p8926/p10713/ - 5 вопрос, https://57.rkn.gov.ru/p8924/p14069/p14070/), эти позиции применяются и судами, вот, к примеру, можно посмотреть здесь: апелляционное определение СК по гражданским делам Новосибирского областного суда от 04 февраля 2016 г. по делу N 33-774/2016 или апелляционное определение Московского городского суда от 24 июля 2017 г. N 33-28957/17.
Письмо Минкомсвязи России от 07.07.2017 N П11-15054-ОГ "О разъяснении норм федерального законодательства" говорит, что: "абонентский номер или адрес электронной почты могут быть признаны персональными данными в случае, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу (абонентский номер, принадлежащий юридическому лицу, не может рассматриваться в качестве персональных данных)".

То есть, если берём номер телефона или электронную почту - всё окей, нет никаких персональных данных.

Переходим к имени. Имя не идентифицирует субъекта персональных данных. Вообще никак. Таким образом, персональными данными не является. Или просто фамилия - тоже не подлежит защите как персональные данные (Постановление Восемнадцатого арбитражного апелляционного суда от 24 сентября 2014 г. N 18АП-10690/14; Определение СК по гражданским делам Приморского краевого суда от 09 сентября 2013 г. по делу N 33-7063 (тут суд даже сказал, что "в совокупности имя, отчество, улица и номер дома не позволяют достоверно установить, о каком именно человеке идет речь на страницах форума"); обзор обращений граждан за II квартал 2012 года Управление Роскомнадзора по Республике Карелия рассмотрело вопрос, являются ли фамилия и инициалы гражданина персональными данными).

Телефон + имя - не позволят определить Вам однозначно и безошибочно (что является критерием персональных данных) человека.
А вот, если добавить к телефону или электронке немного больше данных, к примеру, ФИО - всё, персональные данные готовы и подлежат защите.

Так что, да, это моё личное мнение, основанное на правоприменительной практике и требованиях законодательства ;)

Ответить
0

Никита, если Вы обратите внимание, то увидите, что эту статью я написал, так что правовые вопросы о персональных данных мне вроде как знакомы. В Ваших примерах Вы указываете на то, что НЕ является персональными данными, исходя из судебной и прочей практики. А в предпоследней фразе говорите, что:
"А вот, если добавить к телефону или электронке немного больше данных, к примеру, ФИО - всё, персональные данные готовы и подлежат защите."
это показалось немного голословно. Вот, если можно, покажите пожалуйста примеры такой практики, где фио + телефон или фио + почта это персональные данные. Я думаю, читателям тоже будет любопытно.

Ответить
0

В первую очередь желательно понять, нужна ли Вам эта форма обратной связи. Если нужна, то лучше минимизировать состав данных для обратной связи, чтобы не дать возможности РКН придраться к такой мелочи

Ответить
0

Ды нужна. Потому что это один из каналов поступления заказа.
Технически это форма обратной связи
В целом мне только и нужно имя с номером. Чтобы по телефону уже договариваться.

Ответить
0

Давайте разберемся по шагам, как в статье)

Ответить
0

Давайте разберемся по шагам, как в статье)
1. Есть ли у Вас информационные системы, обрабатывающие персональные данные? - Есть, потому что вы принимаете заказы от клиентов (физических лиц с их данными).
2. Являетесь ли Вы оператором персональных данных? - Да, потому что Вы обрабатываете персональные данные клиентов.
3. После ответа на этот вопрос, Вам в любом случае надо выполнять требования ФЗ-152. Увы, но как я писал в статье, нет ни одной компании, которая не является оператором персональных данных.
4. Форма обратной связи - это лишь маленький кусок всех данных, которые у вас есть о клиенте и защищать надо все. Когда вы оставляете форму обратной связи, для себя ответьте на простой вопрос: Смогу ли я идентифицировать человека по той информации, что мне прислали? Смогу ли я обосновать РКН, что это обезличенная информация? По большому счету - ответ "1. да, 2. нет", потому что это не анонимный отзыв. Цель данной формы - сбор информации для заказа, а она не может быть обезличенной, согласитесь. И в этом нет ничего страшного, что есть форма обратной связи, наоборот можно ее сделать удобной, добавить линк на согласие на обработку ПДн и политику по обработке ПДн, и к сайту никто не придерется.

Ответить
0

Статья — дно.

Ответить
0

Очередная статья для впаривания всяких псевдо-услуг.

Ответить
0

Это называется контент-маркетинг, вы что [/sarcasm]

Ответить
0

Все верно написано. Единственное, чего здесь нет, это того, что в интернете умышленно кошмарят бизнес Роскомнадзором те компании, которые зарабатвают на этом деньги. Каждый руководитель должен знать законы, в рамках которых он осуществляет деятельность. И ни кто по голове не ударит за вопросы Роскомнадзору и другим компетентным структурам. Сходите, пообщайтесь с экспертами напрямую и совершенно бесплатно. Удивитесь, но большая часть вопросов отпадет сама по себе.

Ответить
0
{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Приложение-плацебо скачали
больше миллиона раз
Подписаться на push-уведомления
{ "page_type": "default" }